Windows 2000 Server Todo

Windows 2000 Server
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15.
Visin general de Windows 2000 Introduccin a los servicios de directorio Planificacin del espacio de nombres y de los dominios Instalacin de Windows 2000 Server Configuracin de las instalaciones nuevas de Windows 2000 Server Actualizacin a Windows 2000 Sistemas de almacenamiento Active Directory, Instalacin Active Directory, Configuracin Active Directory, Administracin Gestin de Usuarios Gestin de Grupos Gestin de Directivas de Grupo Operaciones cotidianas Instalacin y gestin de Impresoras
file:///D|/downloads/W2000%20server/index.htm (1 of 2) [27/12/2002 20:55:25]
Windows 2000 Server
16. 17. 18. 19. 20. 21. 22. 23. 24.
Cmo implantar la administracin de discos Planificacin de la seguridad Interoperatividad con Novell NetWare y con UNIX Uso de los servicios para Macintosh Implantacin de Servicios de Terminal Server Control del rendimiento y ajustes Copia de seguridad El Registro de Windows 2000 Consola de Recuperacin
file:///D|/downloads/W2000%20server/index.htm (2 of 2) [27/12/2002 20:55:25]
Captulo 1
Captulo 1
Microsoft Windows 2000 constituye un gran avance en las reas de administracin de redes, soporte de hardware, acceso a Internet y dems. Sin embargo, eso no quiere decir que no existan limitaciones. Windows 2000 tiene que funcionar tanto en el presente como en el futuro, y la necesidad de una compatibilidad con lo anterior conlleva unos compromisos que, an siendo esenciales, no son probablemente lo que se podra esperar. Sin embargo, los cambios positivos son varios. Windows 2000 es, con certeza, ms fiable, ms sencillo de administrar (una vez que nos hemos habituado a los cambios) y ms rpido que Microsoft Windows NT. Microsoft Windows 2000 Server, llamado tambin Microsoft Windows 2000 Server Standard Edition, es el sucesor de Microsoft Windows NT 4. Basado en el Active Directory, incluye seguridad Kerberos e infraestructura de clave pblica (PKI, Public-Key Infraestructure), Servicios de terminal (Terminal Services), COM+, Servicios de componente (Component Services), Servicios de informacin de Internet (Internet Information Services), Servicio de ndices (Indexing Services) y Colas de mensajes (Message Queuing). Tambin soporta hasta 4 Gb de memoria fsica y hasta 4 vas de multiprocesamiento simtrico (SMP, Symmetric Multiprocesing). Microsoft Windows 2000 Advanced Server es el sucesor de Microsoft Windows NT 4 Enterprise Edition. Tiene todas las caractersticas de Windows 2000 Server adems de equilibrado de la carga de la red, agrupamiento de aplicaciones con gestin de fallos mejorado, hasta 8 Gb de memoria fsica y SMP de 8 vas. Microsoft Windows Datacenter Server tendr las caractersticas del Advanced Server adems de SMP de 32 vas, hasta 64 Gb de memoria fsica y agrupamiento an ms avanzado.
Implantacin conjunta de las funciones de servidor y de estacin de trabajo

La implantacin conjunta de Windows 2000 Professional y Windows 2000 Server proporcionar beneficios excepcionales por medio de las tecnologas de administracin nula de Windows (ZAW, Zero Administration for Windows). Estas tecnologas almacenan de forma inteligente los datos, aplicaciones, archivos de sistema y configuraciones administrativas de los usuarios de los escritorios basados en Windows 2000 Professional en los servidores que ejecutan Windows 2000 Server. Por ejemplo, IntelliMirror es un servicio de rplica distribuido y altamente configurable que permite a clientes y servidores compartir la informacin del sistema de archivos local o distribuido y hacer espejos de este sistema. El Servicio de inicio remoto de IntelliMirror proporciona un mecanismo para que cualquier computadora cliente autorizada cargue todo o parte de una instalacin desde un servidor remoto, incluyendo una versin completamente configurada del sistema operativo, aplicaciones e
file:///D|/downloads/W2000%20server/Capitulo1.htm (1 of 45) [27/12/2002 20:55:32]
Captulo 1
informacin especifica del sitio. Con ZAW, una aplicacin asignada a un usuario, simplemente aparece en su men Inicio y se instala la primera vez que pulsa sobre ella. Si la aplicacin no se requiere inmediatamente, el administrador puede publicarla de forma que aparezca como una opcin en Agregar o quitar programas para que el usuario la instale cuando la necesite. Cuando se encuentre disponible una actualizacin para una aplicacin, se aplica automticamente la siguiente vez que el usuario ejecuta la aplicacin. Los documentos y la configuracin personal del usuario pueden almacenarse, o duplicarse, en un servidor gestionado por un administrador. Esto proporciona:
G
Acceso mejorado: Los usuarios pueden conectarse a cualquier PC en la red; todos sus documentos y configuraciones personales aparecern en cualquier computadora que utilicen. Disponibilidad incrementada: La informacin duplicada en el servidor tambin reside en la mquina local, de forma que est disponible incluso cuando los usuarios no estn conectados a la red. Cuando un usuario se vuelve a conectar, la informacin del servidor se sincroniza con la nueva informacin local. Como la informacin de los usuarios de computadoras porttiles se sincroniza con el servidor cada vez que una computadora porttil se conecta a la red, los administradores de la red pueden hacer una copia de seguridad de la informacin de los usuarios mviles incluso cuando las computadoras porttiles no estn conectadas. Mejor proteccin: Todos los archivos residen en el servidor, de forma que se pueden hacer copias de seguridad como parte de los procedimientos de copia y restauracin normales y centralizados.
Mientras que los sistemas operativos de mquinas que ejecutan Windows 95/98, Macintosh y UNIX se pueden conectar como clientes de Windows 2000 Server, la totalidad de las mejoras slo est disponible para la combinacin de Windows 2000 Server y Windows 2000 Professional instalados conjuntamente. Sin embargo, se puede ganar bastante con actualizaciones graduales o parciales. Se pueden obtener beneficios simplemente actualizando un nico servidor a Windows 2000 Server. Primero se debe actualizar el controlador primario de dominio (PDC, Primary Domain Controller) a Windows 2000. Si se aade un controlador de Windows 2000 o se actualiza cualquier otro controlador que no sea el PDC en un dominio Windows NT existente, se crear un nuevo dominio Windows 2000 que se parece al dominio existente, pero no es el mismo dominio. Aunque se puede utilizar Windows 2000 en un entorno Windows NT 4 ms o menos de forma indefinida, no se obtendrn muchas de las ventajas reales implcitas en Windows 2000 hasta que se realice el compromiso con un entorno Windows 2000.
Gestin de la Red
Captulo 1
Hay que admitir que la suerte de un administrador de red no es siempre favorable, particularmente cuando se enfrenta a grandes cambios que pueden tener un impacto negativo en el presupuesto departamental. No hay ninguna duda de que cualquier mejora tiene su lado negativo. Existe el coste (en tiempo) del aprendizaje de las nuevas tecnologas y su puesta en prctica. Aparece entonces el coste (econmico) de las inevitables actualizaciones de hardware y software necesarias para implantar Windows 2000 Server y Windows 2000 Professional conjuntamente para cosechar los beneficios tecnolgicos, algunos de los cuales no sern evidentes de forma inmediata. En el caso de Windows 2000, los esfuerzos sern recompensados con fiabilidad, dimensionabilidad y seguridad incrementadas, adems de las herramientas administrativas para simplificar la gestin de grandes y complicadas redes. Incluso los administradores de Windows NT experimentados (quizs especialmente esos administradores de Windows NT experimentados) deberan emplear bastante tiempo en aprender y practicar los nuevos conceptos de Windows 2000. La organizacin de la interfaz no ser familiar, y una red de pruebas dedicada es esencial para cualquiera que vaya a vrselas con Active Directory por primera vez. Interfaces de Administracin La consola de administracin de Microsoft (MMC, Microsoft Management Console) incorpora herramientas administrativas mostradas como consolas. Estas herramientas, formadas por una o ms aplicaciones, estn construidas mediante mdulos llamados complementos. Este diseo permite personalizar las herramientas de forma que se puedan delegar tareas administrativas especficas a usuarios o grupos. Almacenadas como archivos MMC, estas herramientas personalizadas se pueden enviar por correo electrnico, compartirse en una carpeta de red o publicarse en la Web. Por medio de la configuracin de la poltica del sistema, se pueden asignar tambin archivos MMC a usuarios, grupos o computadoras. Una herramienta puede dimensionarse, integrarse a la perfeccin en el sistema operativo, reempaquetarse y personalizarse. De hecho, se puede hacer todo con estas herramientas, incluso aadir diseos y tapices de fondo personalizados.
G
Consola Microsoft de Gestin (MMC). La Consola Microsoft de Gestin (MMC) ofrece a los administradores de sistema una consola comn para ver las funciones de red y usar las herramientas administrativas. La MMC muestra consolas que albergan programas llamados complementos, que ofrecen las funcionalidades necesarias para administrar la red. La MMC rebaja el coste total de propiedad de los desktops. La delegacin de tareas, el agrupamiento lgico de herramientas y procesos y la administracin mediante un interfaz nico permiten a los administradores de sistemas organizar mejor sus herramientas y tareas y simplificar la administracin remota. Administracin del Ordenador (complemento de la MMC): el complemento de
Captulo 1
Administracin del Ordenador es una herramienta de configuracin de ordenadores que los administradores podrn usar para operar desde cualquier ordenador de la red y a distancia para detectar problemas y configurar otros ordenadores de la red. el complemento de Administracin del Ordenador es una caja de herramientas remotas, una carpeta de Herramientas Administrativas. No slo ofrece acceso a las herramientas bsicas de Windows 2000 Server (ver eventos, crear comparticiones, administrar dispositivos, etc.), sino que adems descubre dinmicamente que servicios y aplicaciones de servidor hay para administrar.
G
Administracin de Disco (complemento de la MMC): el complemento de Administracin de Disco es la herramienta grfica para administrar discos que sustituye al Administrador de Discos. Soporta particiones, drivers lgicos y volmenes dinmicos, incluyendo adems mens de asistentes acceso directo para simplificar la creacin de volmenes y la inicializacin y actualizacin de discos. Esta herramienta permite a los administradores realizar tareas administrativas como la creacin, extensin y copia espejo de volmenes e incluso el aadido de discos, todo ello son necesidad de reiniciar el sistema o interrumpir el trabajo de los usuarios Administracin de Servicio de Sistema (complemento de la MMC): Esta herramienta le permite detener, iniciar, pausar o desconectar los servicios de un ordenador local o remoto. Reemplaza la aplicacin de Panel de Control de Servicios de las versiones anteriores a Windows 2000 Server. Esta funcionalidad permite al servicio SCM ocuparse de la mayora de los problemas ms comunes de los usuarios. Por ejemplo, cuando un servicio falle, lo reiniciar automticamente, ejecutar un script .exe o incluso reiniciar el servidor. Asistente de Hardware y Administrador de Dispositivos (complemento de la MMC): El Asistente de Hardware es un complemento de la Consola Microsoft de Gestin que le permite configurar los dispositivos y recursos de su ordenador. Aadir hardware nuevo, desconectar o sacar un dispositivo o cambiar sus propiedades y resolver cualquier conflicto de hardware son slo algunas de las operaciones que podr llevar a cabo con el Asistente de Hardware. Polticas de Grupo: El interfaz de usuario para el desarrollo de aplicaciones, las opciones de polticas para ordenadores y usuarios y los scripts es un complemento de la MMC llamado Polticas de Grupo (GP). Este complemento es el responsable de administrar la configuracin de las polticas de grupo aplicadas a un sitio, dominio o Unidad Organizativa dado. La administracin basada en polticas automatizar tareas como las actualizaciones del sistema operativo, la instalacin de aplicaciones o el bloqueo del sistema desktop y los perfiles de usuario. Windows Scripting Host (WSH): Windows 2000 Server soporta la ejecucin directa de scripts desde el interfaz de usuario o la ventana de comandos. Este soporte se realiza a travs del Windows Scripting Host (WSH), una herramienta extremadamente flexible con soporte integrado para los scripts Visual Basic y Java y una arquitectura independiente de lenguaje. Windows Scripting Host permite a administradores y usuarios ahorrar tiempo automatizando muchas de las acciones del interfaz de usuario, como la creacin de accesos directos, la conexin o desconexin
Captulo 1
a un servidor de red, etc. Programador de Tareas: El Programador de Tareas ofrece un interfaz de usuario muy cmodo para programar una agenda de aplicaciones. Este interfaz es en mismo que el de Windows 95, con la salvedad de que incluye funcionalidades de seguridad adicionales. Con el Programador de Tareas es posible invocar cualquier script, programa o documento puente cualquier momento o con el intervalo que se desee, desde una vez al da a anualmente, y en eventos como la reinicializacin del sistema, la conexin del usuario o los tiempos de inactividad del sistema.
Administracin nula El propsito de Windows 2000 es proporcionar clientes y servidores intocables. En otras palabras, una vez que se configuran los clientes y servidores, el hardware, el software y los cambios de los usuarios se gestionan automticamente, utilizando reglas y perfiles para determinar lo que pasa. Los administradores pueden controlar las reglas para una red completa desde una nica localizacin central. Aunque ZAW no est completamente desarrollado en Windows 2000, se han realizado muchos progresos en esa direccin. La siguiente tabla resume algunas de las tareas de administracin de red centralizada disponibles en Windows 2000. Las tareas de administracin centralizadas en Windows 2000 Server son:
G
Administracin de los documentos del usuario: Duplica la informacin del usuario en la red y almacena en la cach la informacin de red localmente en el cliente. Para ello se utiliza Active Directory, Poltica de grupos, Archivos sin conexin, Administrador de sincronizacin, cuotas de disco y mejoras de la interfaz Administracin de las configuraciones del usuario: Duplica las configuraciones del usuario en la red y aplica lo establecido de forma predeterminada por el administrador al entorno del usuario. Para ello se utiliza Active Directory, Poltica de grupos, Archivos sin conexin, perfiles de usuario mviles y mejoras de la interfaz. Instalacin remota del SO: Instala el sistema operativo desde servidores de red. Para ello se utiliza Active Directory, Poltica de grupos, Servidor de instalacin remota, estacin de trabajo con instalacin remota. Administracin de los perfiles del usuario: Permite a los usuarios navegar entre computadoras dentro de la red corporativa. Para ello se utiliza Perfiles de usuario mviles, Poltica de grupos. Instalacin de software: Proporciona instalacin a tiempo de software (aplicaciones y actualizaciones del sistema operativo). Para ello se utiliza Active Directory, Poltica de grupos, Instalacin de Windows, Instalacin de software, Agregar o quitar programas, Panel de control y mejoras de la interfaz. Instalacin Remota del Sistema Operativo: Usando la tecnologa de inicio remoto basado en estndares (PXE), un PC podr conectarse automticamente a un Windows 2000 Server e instalar Windows 2000 Professional. El servicio de instalacin remota del sistema operativo puede ser usado para configurar un nuevo ordenador, actualizarse a Windows 2000 Server o reformatear y reinstalar el sistema operativo en un ordenador ya existente.
Captulo 1
G
Administracin de Datos del Usuario: Los usuarios podrn moverse por cualquier PC Windows 2000 Professional de la red corporativa y tendrn acceso a sus datos, aplicaciones y preferencias informticas. Podrn adems usar los recursos de la red sin conexin, sincronizandose automticamente al reestablecerse sta. Los datos del usuario estn siempre disponibles, y la vista del usuario del entorno informtico es homognea, tanto si el ordenador cliente est conectado como si no. Adems, se evita la prdida o el dao de los datos de usuario en caso de error del ordenador local. Mantenimiento e Instalacin de Software: Los administradores pueden definir un conjunto de aplicaciones para que est siempre a disposicin del usuario o grupo de usuarios. Si una aplicacin en concreto no lo estuviera, sera instalada automticamente en cuanto fuera necesaria. Tambin soporta la autoreapracin, actualizacin y eliminacin de aplicaciones.Los administradores IT pueden implementar y mantener las aplicaciones de cualquier usuario o grupo de usuarios en un par de pasos, sin intervencin de usuario y sin tener que acudir a su desktop. Administracin de Configuraciones de Usuario: El control y la administracin centralizada de los ordenadores desktop permite bloquear las configuraciones desktop. Con la tecnologa de administracin IntelliMirror, las configuraciones del usuario pueden ser copiadas en una imagen espejo en la red, de forma que los administradores puedan definir los entornos especficos de usuarios y ordenadores.
Servicios de Terminal Server Los servicios de Terminal Server permiten a las aplicaciones basadas en Windows ejecutarse en equipos que normalmente no pueden ejecutar grandes aplicaciones Windows. Todo el procesamiento de la aplicacin y el almacenamiento de informacin tiene lugar en el servidor; la mquina cliente slo necesita ser capaz de ejecutar un cliente ligero, que requiere cantidades de memoria y espacio de almacenamiento de disco muy pequeos. (Bajo Windows 2000, un cliente puede ser tanto un cliente ligero como un cliente pesado, simultneamente.) Esto permite a mquinas que hubieran requerido actualizaciones de hardware para poder ejecutar Windows 2000 tener acceso a aplicaciones que no hubieran estado disponibles de otro modo. Mediante el uso de un complemento de terceros, incluso mquinas DOS, UNIX y Macintosh pueden ser clientes. Con los Servicios de Terminal Server, los usuarios se conectan y ven nicamente su propia sesin, la cual es completamente independiente de cualquier otra sesin cliente. La aplicacin opera en el servidor, y todo el proceso es trasparente al usuario. Instalando los Servicios de Terminal se obtiene:
G
Soporte de Clientes Mltiples: Ofrece el GUI Windows a los usuarios de Terminales Windows y desktops heredados, incluyendo Win16, Macintosh y UNIX, as como desktops de interfaz de programacin de aplicaciones Win32. Los clientes podrn usar su hardware heredado. Soporte de Desconexin en Itinerancia: Soporta la opcin de desconectarse de una sesin sin salir del sistema. Los usuarios podrn dejar una sesin activa u operativa sin desconectarse, pudiendo retomarla desde otro ordenador o en otro momento.
Captulo 1
Soporte de Conexin Mltiple: Soporta varias sesiones de conexin simultanea desde desktops diferentes. Los usuarios podrn conectarse a varios Terminal Servers o a uno solo varias veces para realizar diferentes tareas o para operar con varias sesiones en un solo desktop. Soporte del Sistema de Archivo Distribuido: Soporta la conexin a una comparticin Dfs. Los usuarios podrn albergar comparticiones Dfs de un Terminal Server. Administracin de los Servicios de Terminal y Administracin de Control Remoto: La herramienta de Administracin de los Servicios de Terminal es usada para buscar y administrar Sesiones Terminal Server y usuarios y procesos de los Terminal Servers. Cualquier usuario de los Servicios de Terminal con privilegios administrativos y acceso a las utilidades de gestin del Terminal Server podr administrar de forma remota el Terminal Server. Entre otras funciones, esta utilidad puede: Desconectarse de una sesin H Enviar un mensaje a una Sesin o usuario H Restaurar una Sesin H Mostrar el estado de conexin de una Sesin H Mostrar la informacin del cliente de la Sesin H Mostrar los procesos del sistema y del usuario H Finalizar un proceso Configuracin de los Servicios de Terminal: Crea, modifica y borra sesiones y configuraciones de sesin en su Terminal Server. Entre otras funciones, esta utilidad puede: H Configurar una nueva conexin H Administrar permisos para conectarse H Aadir usuarios y grupos a las listas de permisos H Controlar la configuracin de las pausas de inactividad y de las desconexiones Integracin con el Monitor de Rendimiento de Windows 2000 Server: Permite al administrador de sistemas mantener un seguimiento fcil del rendimiento del sistema Terminal Server. Usando el Monitor de Rendimiento con los Servicios de Terminal, los administradores de red pueden: H Seguir el uso del procesador por sesiones de usuario H Seguir la localizacin de memoria por sesiones de usuario H Seguir el uso e intercambio de memoria compaginada por sesiones de usuario Pausa de Inactividad Configurable: Los administradores pueden configurar cuando desactivar una sesin por su inactividad. Esta funcionalidad permite una reduccin de la carga del servidor. Niveles mltiples de Encriptacin: Los administradores tendrn la opcin de configurar la transmisin de datos entre el Terminal Server y los Clientes Terminal Server. Los administradores podrn encriptar parte de o todos los datos transmitidos entre el cliente y el servidor en tres niveles diferentes, dependiendo de sus necesidades de seguridad.
H
INTEROPERATIVIDAD
Captulo 1
La red natural en un medio de una gran empresa es completamente heterognea, de forma que la interoperabilidad entre sistemas operativos es fundamental. Para una interoperabilidad mejorada, Windows 2000:
G G
Se comunica de forma nativa con sistemas UNIX y NetWare, utilizando TCP/IP. Proporciona servicios para compartir archivos e impresoras con UNIX, NetWare, Macintosh e IBM (esta ltima por medio de un Servidor SNA). Soporta software con Conectividad abierta de bases de datos (ODBC, Open Database Connectivity), Servicios de colas de mensajes y Modelo de objetos de componentes (COM+, Component Object Model), de forma que las nuevas aplicaciones puedan interoperar con el software e informacin existentes.
Adems, si se implanta el Active Directory, se pueden integrar mltiples espacios de nombres bajo varios sistemas operativos en un directorio unificado y fcilmente administrable.
SEGURIDAD DEL SISTEMA Y DE LA RED

La seguridad est disponible en Windows 2000 para cualquier configuracin, desde un simple grupo de trabajo hasta sistemas servidores para empresas. El nfasis en la seguridad y el hecho de que los mecanismos de seguridad impregnen cada esquina de Windows 2000 no debera ser una sorpresa. La seguridad es una cuestin que se vuelve cada vez ms crtica en prcticamente cualquier empresa. Intranets, extranets y acceso telefnico a redes, por no mencionar la eventual actuacin incorrecta del usuario, son amenazas tanto para la informacin como para la infraestructura. Al mismo tiempo, un aparato de seguridad demasiado complejo pone a prueba la paciencia de administradores y usuarios por igual. Windows 2000 trata de resolver estas necesidades conflictivas con un sistema de seguridad fcil de administrar y transparente al usuario. El Administrador Configuracin de la seguridad es una herramienta integrada que permite a un administrador configurar en un nico emplazamiento ajustes del registro sensibles a la seguridad, control de acceso en archivos y claves del registro. Esta informacin puede incorporarse en una plantilla de seguridad que se puede aplicar despus a mltiples computadoras en una nica operacin. Windows 2000 Server incluye soporte completo para el protocolo de seguridad del MIT Kerberos versin 5, proporcionando un nico acceso a recursos empresariales basados en Windows 2000 Server. Kerberos reemplaza al Administrador de LAN de NT (NTLM, NT LAN Manager), utilizado en Windows NT 4 como principal protocolo de seguridad. Para proporcionar una integracin sin complicaciones, Windows 2000 permite ambos mtodos de autenticacin -NTLM, cuando el cliente o el servidor ejecuta una versin anterior de Windows, y Kerberos, para servidores y clientes Windows 2000. Adems, el soporte para Capa de conectores seguros/Seguridad de la capa de transporte (SSL/TLS, Secure Socket Layer/Transport Layer Security) est incorporado para usuarios que se conecten a un servidor Web seguro.
Captulo 1
Entre el resto de mejoras de seguridad se incluyen:

G
Un servidor de certificados de clave pblica basado en X.509 integrado con el Active Directory, que permite el uso de certificados de clave pblica para la autenticacin. Soporte para tarjetas inteligentes anti-manipulacin para almacenar contraseas, claves privadas, nmeros de cuentas u otra informacin de seguridad. Seguridad del protocolo de Internet de Microsoft (IPSec, Internet Protocol Security), que gestiona la comunicacin segura extremo a extremo. Una vez implementada IPSec, las comunicaciones son seguras de forma transparente; no es necesario el entrenamiento o la interaccin del usuario.
Varias de las funciones de seguridad en Windows 2000 son innatas al Active Directory, y su implementacin completa slo est disponible cuando se utiliza el Active Directory. Adems, algunas funciones de seguridad no se pueden llevar a cabo completamente en un entorno mixto de dominios de servidor. Por ejemplo, Windows 2000 incluye soporte para la transitividad de la confianza, lo que significa que cuando un dominio Windows 2000 se une a un bosque de dominios Windows 2000, se establece automticamente una relacin de confianza transitiva de dos direcciones. No se requiere ninguna tarea administrativa para establecer esta relacin de confianza. Sin embargo, para establecer una relacin de confianza entre un dominio Windows 2000 y un dominio Windows NT es necesario hacerlo explcitamente.
G
CHAP, MS-CHAP, PAP: El Challenge Handshake Authentication Protocol es un estndar IETF usado comnmente para la autentificacin de usuarios a travs de conexiones PPP. El Microsoft CHAP es una variacin del CHAP usado para autentificar usuarios contra un Mdulo de Acceso de Seguridad (SAM) Windows 2000 Server, e incluye soporte para cambios de contraseas. MS-CHAP ofrece una encriptacin y un intercambio de claves transparente y automtico. El Password Authentication Protocol ofrece autentificacin de contrasea de texto limpio. Este protocolo es completamente soportado, pero no se recomienda su uso por cuestiones de seguridad. Los sistemas funcionan as sin necesidad de alteraciones con los protocolos de autentificacin ms frecuentemente usados por ISPs. Extensible Authentication Protocol (EAP): El EAP extiende los mtodos de autentificacin usados por el PPP. Usando APIs EAP, los ISVs pueden ofrecer nuevos mdulos de autentificacin para tarjetas inteligentes, hardware biomtrico, etc. Permite aadir servicios de autentificacin ms potentes a las conexiones VPN y de marcacin telefnica, para aumentar as la seguridad en la conexin. Soporte de Tarjetas Inteligentes (EAP-TLS): El mdulo EAP integrado soporta la autentificacin de certificados de clave pblica basada en tarjetas inteligentes para conexiones VPN y de marcacin telefnica. Funciona con cualquier tarjeta inteligente certificada para Windows. Funciona sin necesidad de alteraciones con la mayora de las tarjetas inteligentes para simplificar la integracin de servicios de autentificacin ms potentes.
Captulo 1
Servicios de Encriptacin RC4: Dispondr de soporte integrado para la encriptacin RC4 de 40 y 128 bits para conexiones VPN y de marcacin telefnica mediante la Microsoft Point to Point Encryption. La generacin inicial de claves y la actualizacin no requieren la intervencin del usuario. Permite a los usuarios poder elegir una opcin de encriptacin fuerte sin el gasto y los esfuerzos asociados a una infraestructura de clave pblica. Cliente RADIUS RFC 2138: Ahora, un servidor de PC operando con Windows 2000 Server pueden actuar como cliente RADIUS de un servidor RADIUS, ofreciendo opciones adicionales de autentificacin- El RADIUS (Remote Authentication Dial-In User Service) es el protocolo de contabilidad y autentificacin de marcacin telefnica usado por los proveedores de servicios de Internet. Ofrece una opcin para autentificar a los usuarios contra una base de datos de usuarios externos con Windows. Servidor RADIUS: Internet Authentication Server es un completo RADIUS. Soporta la autentificacin y contabilidad RADIUS, almacena la informacin en el Directorio Activo o en una base de datos local del servidor IAS. Ofrece un interfaz de usuario grfico muy intuitivo para la mayora de los atributos necesarios, adems de un tabulador de input para todos los atributos de cada fabricante. Adems, emplea los mecanismos de Acceso de Usuario Basado en Polticas (polticas y perfiles). Permite mantener las cuentas de usuario de forma centralizada dentro del Directorio Activo, a la vez que permite a los sistemas no Windows 2000 Server autentificarse contra Windows 2000 Server. Filtrado de paquetes IP: El servicio de enrutamiento soporta una amplia variedad de funcionalidades de filtrado de paquetes de entrada y salida, una importante medida de la seguridad del sistema que incluye: puerto TCP, puerto UDP, ID de protocolo IP, tipo ICMP, cdigo ICMP, direccin fuente y destino, etc. Ofrece un mtodo bsico para bloquear la entrada a la red de cierto tipo de trfico, mejorando la seguridad de la red. Filtrado de paquetes IPX: El servicio de enrutamiento soporta un nivel similar de filtrado de paquetes para paquetes IPX. Entre las diversas opciones destacan la direccin fuente y destino, el nodo fuente y destino, el enchufe fuente y destino y el tipo de paquete. Ofrece un mtodo bsico para bloquear el trfico NetWare de porciones de una red. Set de Herramientas de Configuracin de la Seguridad: El Set de Herramientas de Configuracin de la Seguridad ofrece una herramienta inmediata de anlisis y configuracin de la seguridad para Windows 2000 Server. Permite configurar varios parmetros de seguridad, acceder a los controles sobre las claves de registro y archivo y la configuracin de la seguridad de los servicios de sistema. El Administrador de Configuraciones de Seguridad es una tecnologa "definir una vez, aplicar infinitas veces" que permite a los administradores de redes definir las configuraciones de seguridad como si fueran una plantilla, para luego aplicarlas a los ordenadores designados al efecto con una sola operacin.
Captulo 1
Autentificacin Kerberos: El protocolo de autentificacin Kerberos Versin 5 reemplaza a NTLM como protocolo de seguridad primario para acceder a los recursos en uno o varios dominios Windows 2000 Server. El soporte completo de la versin 5 de Kerberos permite una conexin nica a Windows 2000 Server basada en los recursos empresariales y en el resto de entornos que soportan este protocolo. PPTP/L2TP: El PPTP/L2TP ofrece soporte para VPNs, permitiendo a las empresas usar Internet como una VPN para asegurar y autentificar sus comunicaciones. Permite a los usuarios remotos conectarse a su empresa por Internet. De esta forma se sustituye el caro alquiler de lneas telefnicas por el uso de Internet. Servidor de Certificados de Clave Pblica: El servidor de certificados de clave pblica X.509 y la integracin con el Directorio Activo permite el uso de certificados de clave pblica para servicios de autentificacin. Servidor de Certificados de Clave Pblica integrado en Windows 2000 Server est orientado a organizaciones que deseen crear certificados de clave pblica para sus usuarios sin depender de los servicios CA comerciales. Infraestructura de Tarjeta Inteligente: Las tarjetas inteligentes ofrecen un almacenamiento a prueba de errores de manipulacin para proteger las claves privadas, los nmero de cuenta, las contraseas y otros tipos de informacin personal. Las tarjetas inteligentes son un componente fundamental de la infraestructura de clave pblica que Microsoft est integrando en la plataforma Windows porque mejoran las soluciones slo de software (autentificacin de clientes, conexin nica, almacenamiento y administracin de sistema seguros, etc.). Protocolo de Seguridad IP: El IPSEC soporta la encriptacin e integridad de datos y la autentificacin a nivel de redes, integrndose con la seguridad inherente del sistema operativo Windows 2000 Server para ofrecer la plataforma ideal para asegurar las comunicaciones por intranets y por Internet. La Administracin de Seguridad IP de Microsoft gobierna las comunicaciones seguras entre puntos finales. Una vez que el administrador implementa la seguridad IP de una empresa, las comunicaciones son aseguradas de forma transparente, sin necesidad de intervencin por parte del usuario. Nueva Funcionalidad Descripcin Beneficios
Windows 2000 Professional y Windows 2000 Server Administracin de direcciones y nomenclatura
Captulo 1
DNS Dinmico
El DNS Dinmico es un estndar IETF para la actualizacin dinmica de registros en servidores DNS, para reflejar los cambios y adiciones en los mapas direccin-anombre. Windows 2000 Server incluye una implementacin de servidor de DNS Dinmico intergrada con DHCP y el Directorio Activo, as como soporte de DNS Dinmico para implementaciones no Windows 2000 Server.
El DNS Dinmico reduce los costes de administracin de redes al elimina la necesidad de editar y replicar manualmente la base de datos DNS cada vez que se produzca un cambio en la configuracin del cliente DNS. La integracin con el Directorio Activo acaba con el requeremiento de mantener una infraestructura de replicacin separada slo para DNS. El soporte de los protocolos de actualizacin DNS de IETF permite la interoperatibilidad con los entornos DNS existentes y con las implementaciones de DNS dinmico de otros fabricantes. Se trata de una mejora significativa para ahorrar tiempo y dinero, en comparacin con la asignacin manual de direcciones IP utilizables.
DHCP con soporte de DNS El Dynamic Host Dinmico Configuration Protocol (DHCP) permite rebajar el coste total de propiedad para redes IP, puesto que asigna dinmicamente direcciones IP a los PCs y resto de recursos conectados a una red IP. El servidor DHCP Windows 2000 Server se integra con el DNS Dinmico y el Directorio Activo para simplificar la administracin de direcciones y reflejar
Captulo 1
dinmicamente las asignaciones de direcciones. Servicio Localizador de Informacin (ILS) ILS ofrece un registro dinmico para los servicios especficos de aplicaciones. El Marcador Telefnico Windows 2000 Server emplea el ILS para programar y localizar llamadas de conferencia de red. El Windows Internet Name Service ofrece una resolucin nombre-adireccin para peticiones de cliente NetBIOS. Permite a usuarios y aplicaciones conectarse a servicios dinmicos cuando se necesita ms de una direccin IP para la conexin.
WINS
Ofrece un modo Plug & Play para que los clientes Windows encuentren los servicios Windows en una red enrutada. Protege su inversin actual en clientes Windows, y permite la administracin escalable de namespaces NetBIOS.
calidad de servicio (QoS) Calidad de Servicio Diferenciada (diff-serve) Permite a las aplicaciones multimedia o de misin crtica (SAP, correo electrnico, etc.) obtener de la red la calidad de servicio necesaria. Adems, los administradores de red podrn gestionar el impacto de estas aplicaciones en los recursos de red. Interopera con RSVP. Permite a tipos especficos de aplicaciones obtener un mejor servicio en las conexiones de red y por las porciones diff-serve de las redes corporativas internas.
Captulo 1
Servicio de Control de Admisin
Los administradores pueden controlar la cantidad de ancho de banda que cada aplicacin se reserva segn polticas configuradas en el Directorio Activo.
Las redes con el ACS implementado pueden evitar su invasin por vdeo de gran ancho de banda de larga duracin. Los recursos de red pueden ser asignados as a aplicaciones de gran valor, como las de telefona IP, por ejemplo. Permite un mejor servicio de redes para aquellas aplicaciones que no pueden tolerar la prdida o el retraso en la transmisin de paquetes (aplicaciones de audio, de misin crtica, etc.)
LANs Priorizadas IEEE 802.1p
Permite la Priorizacin del trfico LAN. Windows 2000 Server ha integrado soporte QoS para permitir al trfico de red por LANs 802.1p obtener servicios priorizados. Este soporte est integrado con el Servicio de Control de Admisiones, el RSVP y los Servicios Diferenciados. Permite a las aplicaciones (principalmente a las multimedia) obtener la calidad de acceso que necesitan de la red. Permite adems a los administradores de red gestionar el impacto de estas aplicaciones sobre los recursos de red. Interopera con diff-serv.
RSVP
Mejora el rendimiento de las aplicaciones de latencia y sensibles al ancho de banda en redes locales (por ejemplo, aplicaciones de difusin multimedia continua de audio o vdeo).
SOPORTE DE HARDWARE
Windows 2000 incluye cientos de nuevos controladores de impresoras, mdem y dems hardware, haciendo la instalacin y configuracin del hardware ms eficiente. La fusin de los equipos de
Captulo 1
desarrollo y prueba de Windows NT con los de Windows 98 abri el mundo de los dispositivos soportados por Windows 98. Por consiguiente, Windows 2000 soporta tipos de dispositivos que resultan difciles de utilizar en Windows NT. Un controlador de puerto paralelo bidireccional permite a Windows 2000 comunicarse con muchos ms escneres, impresoras y dispositivos multioffice. La conexin y uso inmediatos (PnP, Plug and Play) ha llegado finalmente con Windows 2000, lo que es una buena noticia especialmente para los usuarios de porttiles. Sin embargo, muchos porttiles antiguos necesitarn una actualizacin de la flash BIOS o software complementario para aprovechar la gestin de energa de Windows 2000. A la vez que aade soporte para mucho hardware nuevo, Windows 2000 conserva la compatibilidad con los controladores de vdeo de Windows NT 4. La trampa est en que al utilizar estos controladores de vdeo se desactivan las funciones de gestin de energa en Windows 2000, aunque el resto de controladores de Windows NT 4 debera funcionar. Microsoft est animando a los distribuidores de tarjetas de vdeo a escribir nuevos controladores para Windows 2000 y, al final, todos los controladores nativos de Windows NT 4 se actualizarn.
DISPONIBILIDAD Y FIABILIDAD
Si se ha trabajado antes con Windows NT Server, se habr observado sin duda que prcticamente cualquier modificacin en la configuracin requiere el reinicio. Cada vez que se instala un escner o un controlador de red o se cambia cualquier otro parmetro de la configuracin, es necesario reiniciar. Se han eliminado aproximadamente cincuenta, y ahora slo es necesario reiniciar tras instalar un Service Pack, actualizar un controlador de dominio, cambiar las fuentes del sistema, cambiar la ubicacin predeterminada del sistema o al aadir o eliminar puertos COM (cuando es necesario hacer cambios en los puentes). Adems, las nuevas herramientas para controlar la salud del sistema pueden jugar un papel decisivo a la hora de mantener activos y en funcionamiento los servidores un alto porcentaje del tiempo. Windows 2000 Advanced Server (el sustituto de Windows NT Enterprise Edition) permite conectar dos servidores en un agrupamiento (cluster) de hasta 64 procesadores, de forma que los recursos del servidor estn ms disponibles y sean ms fciles de administrar. Este agrupamiento controla la salud de las aplicaciones estndar y de los servidores, y puede prevenir de forma automtica a la informacin y a las aplicaciones crticas de muchos tipos de errores, normalmente en menos de un minuto.
ACTIVE DIRECTORY
Un servicio de directorio es una herramienta que conecta los directorios a lo largo de la red y acta como una gran gua telefnica para todos los usuarios. Por medio de una consulta en lenguaje natural, un usuario puede obtener un listado de recursos disponibles. Los servicios de directorio en Windows NT 4 proporcionan funciones importantes en forma de un inicio de sesin nico y un nico punto de administracin y rplica. Aunque stas son crticas, los servicios de directorio de Windows NT 4 no las
Captulo 1
equilibran suficientemente bien. El Active Directory es la siguiente generacin de servicios de directorio de Microsoft y ofrece grandes ventajas en dimensionabilidad, ampliacin y seguridad, a la vez que proporciona una vista jerrquica del directorio y rplica multimaestro. Active Directory combina los estndares de denominacin X.500, el Sistema de nombres de dominio (DNS, Domain Name System) de Internet como dispositivo de localizacin y el Protocolo de acceso ligero a directorios (LDAP, Lightweight Directory Access Protocol) como protocolo principal. El Active Directory permite un nico punto de administracin para todos los recursos, incluyendo usuarios, archivos, dispositivos perifricos, conexiones al anfitrin (host), bases de datos, accesos a la Web, servicios y recursos de red. Soporta un espacio de nombres jerrquico para usuarios, grupos e informacin de cuentas de la mquina y puede englobar otros directorios para reducir la carga administrativa y los costes asociados al mantenimiento de mltiples espacios de nombres. La migracin al Active Directory no es muy complicada, pero la planificacin del diseo de los nuevos directorios puede ser pesada. Los errores de diseo pueden perjudicar a la estabilidad y eficiencia de la red. Afortunadamente, no es necesario deshacerse de los dominios existentes para aprovechar las ventajas del Active Directory, y la migracin puede realizarse de forma gradual. Los servidores se pueden actualizar de Windows NT 4 a Windows 2000 sin que los usuarios se den cuenta de los cambios.
G
Lightweight Directory Access Protocol (LDAP): El LDAP versin 2 y versin 3 es implementado para el acceso cliente. Permite la interoperatibilidad entre diferentes sistemas operativos y directorios. Nomenclatura Estndar: Tanto las aplicaciones como los usuarios se ven afectados por el formato de nombre usado en los servicios de directorio. Si cualquiera de ellos necesita encontrar o usar algo, deber saber antes el nombre o alguna de sus propiedades para localizarlo. Hay varias formas comunes para los nombres de los directorios, definidos por estndares formales y de facto, y el Directorio Activo soporta muchos de estos formatos, incluyendo los Nombres de URL HTTP, las URLs LDAP y los Nombres X.500 y UNC. Este soporte extendido para formatos de nombre diversos permite a los usuarios emplear el formato con el que estn ms familiarizados al acceder al Directorio Activo. Integrado en DNS: DNS es el servicio de directorio ms usado en todo el mundo. Se trata del servicio de localizacin usado en Internet y en la mayora de las intranets. Se emplea un servicio de localizacin para traducir un nombre (por ejemplo, MiMaquina.MiEmpresa.com) en una direccin TCP/IP. Dado que DNS ha sido diseado para escalarse en grandes sistemas, a la vez que permanece lo suficientemente "ligero" como para ser usado en un sistema con pocos ordenadores, las organizaciones pueden estar seguras de que el servicio de directorio de Windows 2000 Server se escalar a la medida de sus necesidades especficas. Interfaz de Servicios de Directorio Activo (ADSI): ADSI integra todas las capacidades de los servicios de directorio de varios proveedores de redes para presentar un solo set de interfaces de
Captulo 1
servicios de directorio para administrar los recursos de red. ADSI es un conjunto de interfaces de programacin fciles de usar y ampliar, diseados para escribir aplicaciones que accedan y administren:
H H H
El Directorio Activo Cualquier directorio LDAP Otros servicios de directorio de la red del cliente, incluyendo NDS
Esto simplifica notablemente el desarrollo de aplicaciones de directorio, as como la administracin de sistemas distribuidos. Los desarrolladores y los administradores podrn usar este set nico de interfaces de servicios de directorio para enumerar y administrar los recursos de un servicio de directorio, independientemente del entorno de red que contenga esos recursos.
G
Esquema Extensible: El Directorio Activo ofrece a los desarrolladores y administradores la posibilidad de aumentar el esquema de directorio y crear nuevas propiedades y objetos. Los desarrolladores pueden usar esta funcionalidad de extensibilidad para crear sus propias estructuras de datos en el directorio para aplicaciones, usando as el directorio como almacn de datos. Es ms, los usuarios de la red podr publicar la informacin importante en el directorio, de forma que el resto de usuarios puedan encontrarla fcilmente. Catlogo Global: Otro nuevo concepto del Directorio Activo es el Catlogo Global (GC), que incluye todos los objetos de todos los dominios del directorio Windows 2000 Server, y un subconjunto de las propiedades de cada objeto. Diseado para alcanzar un gran rendimiento, el GC permite a los usuarios encontrar con facilidad un objeto, independientemente de dnde se encuentre en el rbol, mientras realiza una bsqueda por atributos seleccionados. Replicacin Multimaster: Con la replicacin multimaster se pueden realizar cambios en cualquier controlador de dominios del dominio. El controlador de dominios replica luego los cambios en sus partners de replicacin. El uso de esta funcionalidad permite conseguir una alta disponibilidad del directorio para cambios, incluso cuando un controlador de dominios independiente no est disponible. Adems, ofreciendo varias copias del directorio en diferentes servidores, el directorio Windows 2000 Server es capaz de escalarse para satisfacer las necesidades de la empresa. Compatibilidad Hacia Atrs: Windows 2000 Server soporta un entorno mixto de los controladores de dominio del Directorio Activo de Windows 2000 Server y los controladores de dominio de Windows NT Server 4.0. Los clientes de bajo nivel pensarn que estn accediendo a los controladores de Windows NT Server 4.0. Esta compatibilidad hacia atrs permite a las empresas migrar sus controladores de dominio primero y luego sus clientes, o migrar una mezcla de servidores y clientes. No hay nunca un punto en el proceso de migracin que requiera de una migracin masiva a la nueva versin del sistema operativo en servidores o clientes, as como no es necesario desconectar un dominio entero para migrar los clientes o controladores de dominio.
ALMACENAMIENTO Y SOPORTE DE SISTEMAS DE ARCHIVOS
Captulo 1
Se han producido grandes cambios en el rea del almacenamiento y el soporte de sistemas de archivos, incluyendo una nueva versin de NTFS 5 que permite cuotas de disco para observar y limitar el uso del espacio de disco en volmenes NTFS a la vez que se mejora drsticamente la seguridad. Los administradores pueden establecer cuotas de disco globales que impidan a los usuarios almacenar o copiar ms informacin en un dispositivo de almacenamiento una vez que han alcanzado su cuota.
G
Administracin del Servicio de Archivo: El complemento de la MMC de Administracin del Servicio de Archivo permite a los usuarios crear comparticiones y administrar las sesiones y conexiones en ordenadores locales y remotos. Sustituye una funcionalidad anterior de la aplicacin Panel de Control del Sistema. Adems de sus capacidades remotas, permite al usuario crear compaticiones para cualquier servicio de archivo instalable de Microsoft: Servicios de Archivo e Impresin para Macintosh, Servicios de Archivo e Impresin para NetWare, etc. Usada junto con el Sistema de Archivo Distribuido (dfs), esta herramienta puede emplearse para conectar juntas comparticiones en toda la empresa en un solo namespace lgico (es decir, los usuarios se conectan a un solo recurso para acceder a todos los recursos publicado en cualquier volumen Dfs). Tambin puede ser usado con la Herramienta de Administracin de Directorio para publicar una comparticin como un Objeto de Volumen en el Directorio Activo, que los usuarios podrn rastrear fcil y rpidamente en busca de cualquier recurso disponible. Mejoras NTFS: Windows 2000 Server incluye una versin mejorada del sistema de archivo NTFS, con soporte para la encriptacin de archivo, la posibilidad de aadir espacio de disco a un volumen NTFS sin tener que reiniciar, seguimiento de links distribuidos y cuotas de disco por usuario para controlar y limitar el uso del espacio de disco, as como otras mejoras de rendimiento.: Los descriptores de seguridad pueden ser almacenados una sola vez para luego ser usados en varios archivos, ahorrando as espacio de disco. El soporte nativo para propiedades como el flujo NTFS pemite realizar bsquedas ms rpidas. Adems, se puede evitar tener que descomprimir y recomprimir los datos de los archivos al transmitirlos por una red, reduciendo as el sobreuso de la CPU del servidor. Sistema de Archivos Encriptados: La Encriptacin del Sistema de Archivo (NTFS) de Windows 2000 protege sus datos segn un criterio de archivo o directorio. Se emplea una tecnologa de encriptacin de clave pblica, operando como un servicio de sistema integrado fcil de administrar, difcil de atacar y transparente para el usuario. En versiones anteriores de Windows 2000 Server cualquiera con acceso fsico al sistema poda sortear las funcionalidades de seguridad integradas en el sistema operativo usando una herramienta para leer las estructuras en el disco del sistema de archivo (NTFS) de Windows 2000 Server. Seguimiento de Links Distribuidos: Windows 2000 Server ofrece un Servicio de Seguimiento de Links Distribuidos para que las aplicaciones cliente puedan rastrear las fuentes de los enlaces modificados. El Seguimiento de Links Distribuidos ayuda a resolver los cortes y links OLE a los archivos NTFS que hayan sufrido un cambio de nombre o ruta.
Captulo 1
G
Cuotas de Disco: Windows 2000 Server y Windows 2000 Professional soportan las cotas de disco para volmenes formateados por NTFS (volmenes NTFS). Podr usar las cuotas de disco para controlar y limitar el uso de espacio de disco. Podr asignar una cuota a cada objeto de un disco, as como definir polticas y acciones que se ejecuten cuando se sobrepase un umbral de nivel predeterminado. Archivos Esparcidos: El soporte de archivos esparcidos permite a una aplicacin crear grandes archivos sin tener que asignar espacio de disco a todos los bytes. Usando los archivos esparcidos, NTFS slo localizar el espacio de disco fsico a las porciones del archivo escritas. Servicios de Almacenamiento Remoto (RSS): Los RSS son una herramienta de administracin de almacenamientos jerrquicos. Monitoriza de forma automtica la cantidad de espacio disponible en un disco duro local, de forma que cuando el espacio libre del disco duro primario desciende por debajo del nivel necesario, los RSS eliminan datos locales copiados en el almacenamiento remoto, disponiendo as del espacio de disco libre necesario. Dado que los discos pticos y las cintas de almacenamiento son menos caros (por MB) que los discos duros, ste puede ser el medio ms econmico de lograr la mxima capacidad de almacenamiento con un rendimiento local ptimo. Administrador de Almacenamiento no Fijo (RSM): El RSM presenta un interfaz comn para libreras de medios y robots de cambios automticos, permitiendo a varias aplicaciones compartir libreras locales y drives de disco y cintas, y controla los medios regrabables en un sistema de un solo servidor. La Administracin de Disco ha sido mejorada en Windows 2000 Server para permitir a los administradores realizar tareas online sin tener que apagar el sistema o interrumpir la labor de sus usuarios. Utilidad de Copia de Seguridad NT: Seagate Software ofrece una actualizacin de Copia de Seguridad Windows 2000 Server basada en medios en lugar de en cintas, que incluye adems un nuevo interfaz de usuario con asistentes de copias de seguridad y recuperacin, hojas de propiedades y acceso al Vecindario de Red. La Utilidad de Copia de Seguridad Windows 2000 Server ayuda a proteger los datos de prdidas accidentales por fallos de los medios de almacenamiento o el hardware. Con Windows 2000 Server, la utilidad puede hacer una copia de seguridad de los datos en una amplia gama de medios de almacenamiento (drives de cinta o de disco dura externo, discos zipeados, CD-ROMs regrabables, drives lgicos, etc.). Utilidad de Desfragmentacin de Discos: Windows 2000 Server y Windows 2000 Professional soportan la posibilidad de desfragmentar volmenes de disco, formateados como FAT, FAT32 y NTFS. Adems de ser segura y compatible con todo tipo de discos, esta nueva utilidad de desfragmentacin opera mientras el sistema est en marcha y los discos en uso. Sistema de Archivo Distribuido (Dfs): El Sistema de Archivo Distribuido (Dfs) de Microsoft implementa un solo namespace para recursos del sistema de archivo dispares en un mismo sitio.
Captulo 1
Un Dfs est organizado como una estructura jerrquica de volmenes lgicos independiente de la localizacin fsica del recurso en cuestin. El Dfs para Windows 2000 Server es un servicio de red que facilita a los administradores la tarea de gestionar servidores de archivos, y ofrece a las organizaciones una mayor disponibilidad en servidores de archivo y a los usuarios un vista nica de todos los servidores de archivos de red mediante un solo rbol de directorios. Nueva Funcionalidad Descripcin Beneficios
Integracin con el Windows 2000 Directorio Activo Server incluye un objeto de impresora estndar para el Directorio Activo. Usando este objeto, las organizaciones pueden publicar impresoras en el Directorio Activo para compartirlas por la red. Protocolo de Impresin por Internet (IPP) IPP es el ltimo estndar de Internet para poder imprimi directamente en una URL, ver el estado de la impresora con un navegador e instalar drivers desde una URL.
Los usuarios contarn con un mtodo sencillo de bsqueda de impresoras en la red, mediante atributos (capacidades como PostScript, color, tamao del papel, etc.) y localizaciones almacenadas en el Directorio Activo.
Los usuarios podrn imprimir fcilmente sus documentos va intranet o Internet. Por ejemplo, usted podr mandar a imprimir su documento a www.colorprinter.kinkos.com/.
Captulo 1
Impresin de Alta Las organizaciones Los usuarios dispondrn del ms alto Disponibilidad pueden aprovechar nivel de disponibilidad del servidor de impresin. los servicios de cluster de Windows 2000 Advanced Server y Windows 2000 Datacenter Server para construir servidores de impresin de mayor disponibilidad. Interfaz de Usuario Simplificado y Mejorado Usando el nuevo soporte de Plug &Play, el asistente mejorado para aadir impresoras y la coniguracin de dispositivos simplificada, los usuarios podrn preparar una impresora para su uso con Windows 2000 Server de una forma muy sencilla. Estas funcionalidades convierten la instalacin y configuracin de una impresora para su uso desde el servidor y las estaciones de trabajo en una tarea sencilla; por ejemplo, los usuarios no tendrn que saber nada sobre drivers, lenguajes de impresoras o puertos, puesto que todo esto se les dar hecho.
Comunicaciones
La comunicacin es el alma de los negocios, y no slo las comunicaciones de red, tan importantes como son. Windows 2000 incluye docenas de mejoras para hacer que las comunicaciones sean ms sencillas y fiables. Para las conexiones tanto dentro como fuera de una empresa, Windows 2000 ofrece las siguientes herramientas: Por medio del soporte de Internet integrado en Windows 2000 Professional, los usuarios pueden enviar correo electrnico, mantener conversaciones y consultar grupos de noticias.
Captulo 1
Windows 2000 proporciona soporte cliente para el estndar industrial red privada virtual (VPN, Virtual Private Network) por medio de dos protocolos: el Protocolo punto a punto canalizado (PPTP, Point-ToPoint Tunneling Protocol) y el Protocolo canalizado de la capa dos (L2TP, Layer Two Tunneling Protocol). Estos protocolos permiten a los clientes o sucursales conectarse a otra red (como a su red corporativa) a travs de Internet. Windows 2000 Professional integra Microsoft Outlook Express, un cliente de correo electrnico basado en los estndares de Internet. Los usuarios pueden enviar, recibir, controlar y administrar faxes directamente desde el escritorio. Hay disponibles diversas utilidades sencillas de utilizar desde el men Inicio.
G
Mejoras TCP/IP: El TCP/IP Microsoft ha sido actualizado en Windows 2000 Server para incluir diversas mejoras de rendimiento para redes en entornos LAN y WAN de gran ancho de banda. El amplio soporte Windows mejora el rendimiento del TCP/IP cuando grandes cantidades de datos permanecen "volando" o ignoradas largo tiempo en su camino entre dos host conectados. Servidor Telnet: Telnet emplea el protocolo TELNET, parte de la suite del protocolo TCP/IP, para conectarse a un ordenador remoto por la red. El Servidor Telnet acta como puerta de comunicaciones para que todos los clientes se comuniquen entre si, pudiendo soportar hasta 63 de estos al mismo tiempo. El software de servidor Telnet permite a los clientes Telnet conectarse a un ordenador remoto, realizar la conexin a un ordenador, lanzar aplicaciones en modo carcter y modificar las preferencias de usuario. Seguridad IP (IPSec): El protocolo de Seguridad IP es un estndar propuesto por IETF para la encriptacin del trfico IP. Windows 2000 Server integra perfectamente IPSec con la administracin de polticas de sistema para asegurar la encriptacin entre sistemas (transparente para los usuarios). IPSec puede ser usado tanto para comunicaciones privadas y VPNs. Los usuarios pueden enviar comunicaciones administradas por polticas de grupo y aseguradas va encriptacin por cualquier red. Dado que IPSec est integrado en el sistema operativo, es ms fcil de configurar y administrar que las soluciones add-on. Adems, se encripta todo el trfico, no slo el que transcurre entre dispositivos de red como enrutadores o cajas de encriptacin. Layer 2 Tunneling Protocol (L2TP): El Layer 2 Tunneling Protocol en una anteproyecto de especificacin de IETF para el encapsulamiento y la transmisin de trfico no IP por redes TCP/IP. Emplea IPSec para una encriptacin opcional y soporta la asignacin de direcciones IP dinmicas para una administracin simplificada de las VPNs. Los usuarios pueden usar est nuevo estndar para soportar protocolos IP o no IP (IPX, AppleTalk, etc.) a travs de conexiones VPN basadas en IPSec. Point-to-Point Tunneling Protocol (PPTP): El Point-to-Point Tunneling Protocol en un protocolo de mltiples fabricantes ampliamente adoptado para crear soluciones de Redes Virtuales Privadas (VPNs). Como el L2TP, el PPTP ofrece servicio de tnel para soportar protocolos no TCP/IP. Emplea MPPE como sus servicios de encriptacin, y es compatible con el viejo soporte de VPNs de versiones anteriores de Windows. Se trata pues de una excelente alternativa a IPSec y al L2TP para aquellas organizaciones que no deseen instalar y administrar una infraestructura de clave pblica para VPNs. Los usuarios pueden usar una VPN sencilla de
Captulo 1
secreto compartido para evitar los gastos asociados al mantenimiento de una infraestructura de clave pblica. Podrn proteger adems su inversin en el PPTP como solucin VPN, puesto que ofrece una encriptacin de software eficiente y es una opcin apropiada para los procesadores 486 y los primeros Pentium H.323: H.323 es un estndar ITU para realizar llamadas multimedia por redes IP. Este protocolo es soportado como parte del sistema operativo Windows 2000 Server, y es accesible con los APIs de telefona estndar. Las aplicaciones Windows que usen H.323 podrn interoperar con las aplicaciones y los servicios H.323 de otras plataformas. TCP/IP Mejorado: El Transmission Control Protocol/Internet Protocol es la suite de protocolos estndar de la Fuerza de Trabajo de Ingenieros de Internet (IETF) para transmitir el trfico por Internet. La implementacin del TCP/IP de Microsoft cumple los requerimientos para Hosts de Internet (RFC 1122 y RFC 1123), la especificacin que enumera los requerimientos para implementaciones de sistema host de la suite de protocolo de Internet. El TCP/IP de Windows 2000 Server incluye soporte para redes de alta velocidad (RFC 1323) y soporte para Reconocimientos Selectivos (SACK) para un mejor rendimiento en redes sin cables o de IPS. Su soporte de TCP/IP estndar implica que Windows 2000 Server se conecta fcilmente a Internet e interopera con la ms amplia gama posible de soluciones de redes de otros fabricantes. IPX/SPX: El Internet Packet Exchange/Sequenced Packet Exchange es el protocolo propietario heredado para Novell NetWare. El soporte IPX protege sus inversiones heredadas en redes NetWare, facilitando la integracin de estos entornos con Windows 2000 Server. AppleTalk: El AppleTalk es el protocolo propietario heredado usado para las antiguas comunicaciones Apple Macintosh. Apple ya ha establecido el TCP/IP como su protocolo de redes preferido para los sistemas Macintosh, soportando la comparticin de archivos va Apple File Protocol a travs del TCP/IP. Con Windows 2000 Server, los clientes pueden elegir entre mantener el AppleTalk o sustituirlo por el Apple File Protocol a travs del TCP/IP. El soporte AppleTalk protege sus antiguas inversiones en sistemas Macintosh, dndole la opcin de soportar viejos ordenadores Macintosh sin tener que cambiar el cliente. Los sistemas Macintosh ms nuevos pueden usar el TCP/IP para reducir la complejidad de administracin de varios protocolos de red para soportar clientes Macintosh. Point-to-Point Protocol (PPP): El Point-to-Point Protocol es un estndar IETF para conexiones de marcacin telefnica multiprotocolo. El protocolo soporta la asignacin dinmica de direcciones IP a sistemas remotos. El PPP permite a los sistemas Windows 2000 Server conectarse directamente a Internet o a otros servicios de marcacin telefnica con mdems y sin necesidad de aadir hardware nuevo.
Servicios de puerta de comunicaciones y protocolos de enrutamiento

G
Traductor de Direcciones de Red (NAT): El Traductor de Direcciones de Red (NAT) administra internamente direcciones IP de redes externas, traduciendo una direccin interna privada a direccin externa pblica. Reduce los costes de registro de direcciones IP al permitir a los usuarios eliminar el registro de direcciones IP internamente, con traduccin a un reducido nmero de direcciones IP registradas externamente. Esconde adems la estructura interna de la red, reduciendo el riesgo de ataques de servicio contra los sistemas internos.
Captulo 1
G
IGMP versin 2: El Internet Group Management Protocol es empleado para registrar clientes IP con sesiones de comunicaciones multidifusin. Windows 2000 Server soporta IGMP v2, lo que permite a las subredes emplear este sistema operativo para enrutamientos multidifusin. Permite a varios clientes compartir una sesin de multidifusin comn, para mejorar as el rendimiento y reducir los costes en las redes de las delegaciones. RIP v2 (y v1) para IP: El Routing Information Protocol protocolo de enrutamiento de muy frecuente uso en redes de tamao medio. Es relativamente fcil de usar, y ofrece un gran rendimiento. El servicio soporta las versiones 1 y 2 de RIP. Permite la interoperatibilidad con enrutadores RIP de otros fabricantes. OSPF: El Open Shortest Path First es el protocolo estndar de enrutamiento de estado de los links estndar de la IETF para enrutamientos IP. Es ms sofisticado que RIP, ofreciendo una convergencia de algoritmos de enrutamiento ms rpida. La implementacin OSPF del servicio es resultado del esfuerzo de colaboracin entre Microsoft y Bay Networks, un proveedor lider en sistemas de interconexiones de red. Permite la interoperatibilidad con enrutadores OSPF de otros fabricantes. Proxy DNS: El Proxy DNS dirige las peticiones de nombre DNS del ordenador cliente y por una red IP privada a un servidor DNS de Internet. Mejora la seguridad en la ocultacin de redes a la vez que soporta la interoperatibilidad de los estndares IETF para resolucin de nombres. DHCP Relay Agent: El servicio ofrece una funcin de relay agent para los servidores DHCP, de forma que las asignaciones DHCP puedan ser hechas a travs de redes enrutadas, independientemente de si la conexin es va LAN o WAN. Permite a clientes de diferentes redes obtener asignaciones de direccin IP de un servidor DHCP central. RIP y SAP para IPX: El Routing Information Protocol (RIP) y el Service Advertising Protocol (SAP) son dos protocolos de enrutamiento muy comunes en entornos Novell NetWare (IPX) de tamao pequeo y mediano. El servicio soporta estos protocolos para hacer posible la ineroperatibilidad en entornos de red mixtos. Ofrece la posibilidad de enrutar trfico IPX a la vez que se interopera con entornos NetWare heredados. Enrutamiento esttico: El servicio sigue soportando el uso de asignaciones de enrutamiento fijas o estticas. Los administradores podrn controlar la ruta que sigue el trfico en una red enrutada.
Servicios VPN y acceso remoto

G
Servicios de Acceso Remoto: Los Servicios de Acceso Remoto de Windows 2000 Server ofrecen un acceso VPN y de marcacin telefnica integrado para individuos y delegaciones a travs de IPSec, PPTP y/o L2TP. Esto permite contar con la flexibilidad de poder usar marcacin telefnica directa, VPN de Internet o ambas para conectarse a sistemas remotos de la red. Las compaas pueden conectar fcilmente a gente fuera de la oficina a la red a la vez que controlan las polticas para reducir costes. Los protocolos mltiples permiten a los administradores optimizar los beneficios, mientras que su transparencia facilita la labor a los usuarios. Redes de Marcacin Telefnica: Windows 2000 Server incluye el interfaz de redes de marcacin telefnica habitual, que permite conectarse a redes corporativas directamente a travs de conexiones VPN. Permite a los usuarios conectarse a un ISP para obtener acceso a Internet o marcar telefnicamente a su servidor Windows fcilmente mediante un solo interfaz.
Captulo 1
Servicios de Internet
Con Windows 2000, cualquier cosa que se puede hacer en una red corporativa se puede realizar tambin en un entorno Web. Windows 2000 incorpora un conjunto de servicios que proporcionan soporte del lado del servidor para los protocolos de Internet para las aplicaciones ms populares, permitiendo que un servidor Windows 2000 funcione como servidor Web, servidor FTP, host SMTP o host NNTP En el sistema operativo Microsoft Windows NT 4, estos servicios se proporcionan como un componente opcional llamado Servidor de informacin de Internet (Internet Information Server). Para obtener un soporte completo para los servicios de Internet en un entorno Windows NT 4, los administradores deben instalar el Servidor de informacin de Internet instalando el Service Pack 3 para Windows NT 4 o superior y el Option Pack para Windows NT 4. En contraposicin, los servicios bsicos de Internet estn integrados en las plataformas Windows 2000 Server y Windows 2000 Advanced Server. Estos servicios se denominan ahora Servicios de informacin de Internet 5 en lugar de Servidor de informacin de Internet. Como los Servicios de informacin de Internet estn completamente integrados en Windows 2000, se pueden hacer cosas como hospedar mltiples sitios Web en un nico servidor Windows 2000 y una nica direccin IP Adems, cada sitio Web puede tener su propia base de datos de usuarios, lo que significa que pueden coexistir mltiples dominios de usuarios independientes en un nico servidor.
G
Configuracin y Actualizacin Integradas: Internet Information Server se instala como un servicio de red de as Windows 2000 Server. Aquellos clientes con Windows NT Server 3.51 o 4.0 sern actualizados automticamente a los servicios Web de Windows 2000 Server. Tambin sern actualizados si estn actualizando, como lo sern los usuarios de Windows 9x y PWS durante la actualizacin a Windows 2000 Professional desde Windows 9x. Facilita a los usuarios la tarea de aprovechar los nuevos servicios y funcionalidades de Windows 2000 Server y IIS. Contabilidad de Procesos: Ofrece informacin sobre cmo usan los sitios Web los recursos de la CPU del servidor. La Contabilidad de Procesos es habilitada y personalizada segn un criterio por sitio. Los administradores de sistemas y los desarrolladores de aplicaciones pueden usar esta funcionalidad para conocer todos los datos disponibles sobre la utilizacin de la CPU. Los Proveedores de Servicio de Internet (ISPs) pueden usar esta informacin para determinar qu sitios estn usando una cantidad desproporcionada de recursos de la CPU o contienen scripts o CGIs de funcionamiento errneo. Los administradores IT pueden usar esta informacin para facturar el coste de albergar un sitio o una aplicacin Web a la divisin apropiada dentro de la compaa. Potenciacin de la CPU: Aprovechando los Objetos de tarea de Windows 2000 Server, los administradores pueden limitar el tiempo de proceso de la CPU que una aplicacin o sitio Web podr emplear en un periodo de tiempo dado. Las organizaciones operando con varios sitios Web
Captulo 1
en un solo ordenador o con varias aplicaciones en el mismo ordenador (que hace las veces de servidor Web) pueden limitar el tiempo que las aplicaciones fuera de servicio de un sitio Web pueden usar el procesador. Esto asegura que siempre haya capacidad de proceso disponible para el resto de sitios Web y aplicaciones ajenas al entorno Web.
G
Dominios de Usuario Mltiples: En el caso de albergar varios sitios Web en Windows 2000 Server, los administradores pueden ofrecer un namespace nico para cada sitio. Permite a los ISPs albergar varios sitios Web en un solo servidor, a la vez que ofrecen dominios de usuario independientes para cada sitio. De esta forma, cada dominio de usuario puede ser administrado con un nivel de seguridad alto por el administrador de sitio asignado. Asistente de Certificados: La seguridad SSL es un requisito cada vez ms comn para los sitios Web que pretendan ofrecer capacidades de comercio electrnico y acceso a informacin empresarial confidencial . El nuevo Asistente SSL hace ms sencilla la configuracin de sitios Web preparados para SSL en Windows 2000 Server. Con el Asistente de Certificados, los administradores podrn configurar y mantener de manera sencilla la encriptacin SSL y la autentificacin de certificados cliente en un sitio Web Windows 2000 Server. Asistente de Permisos: El Asistente de Permisos acompaa a los administradores en las tareas de configuracin de permisos y acceso autentificado en un sitio Web IIS. Facilita en gran medida la configuracin y administracin de sitios Web que requieren de un acceso autorizado a sus contenidos. Almohadilla de Tareas de la MMC: IIS saca el mximo partido a las capacidades de almohadilla de tareas de la Consola de Gestin Microsoft. Se presenta a los administradores una lista de tareas realizables en cada nodo u objeto de el complemento IIS. Por ejemplo, si un usuario ha seleccionado un servidor con el snap-.in de la MMC, la almohadilla de tareas mostrar los asistentes correspondientes para crear nuevos sitios Web y FTP. Convierte en increblemente sencillo administrar un servidor IIS. Con slo elegir las tareas que se desea ver completadas, los asistentes se encargarn de hacer el resto por usted. Scripts Administrativos de Lnea de Comando Mejorados: IIS incluye scripts adicionales que pueden ser ejectados desde la lnea de comando para automatizar las tareas de administracin del servidor Web ms comunes. Desde la lnea de comando, los administradores pueden crear scripts personalizados con los que automatizar la administracin de IIS. Distribuir por Protocolo HTTP: Sirve una difusin unicast va HTTP a otro Windows 2000 Server y servidor multimedia. Facilita la difusin a travs de firewalls sin tener que abrir puertos especficos en ellos. Autentificacin de proxy distribuido: Si el usuario se enfrenta a un reto con el proxy, el servidor le ofrecer la oportunidad de introducir su ID y contrasea. Con lo que se consigue seguridad
Captulo 1
firewall.
G
Reenvo UDP: Si se pierde algn paquete UDP , el servidor lo reenviar inmediatamente. Con lo que se consigue mejor calidad de multimedia al usar el protocolo UDP. Limitar las conexiones cliente por punto de publicacin: Limita el nmero de clientes conectados a un punto de publicacin. Con lo que se consigue mejor gestin de los servidores albergados para maximizar los clientes en un punto de publicacin especfico. Excelente para los escenarios de contabilidad. Limitar el ancho de banda total por punto de publicacin: Limita el ancho de banda por punto de publicacin. Con lo que se consigue mejor gestin de los servidores albergados para maximizar los clientes en un punto de publicacin especfico. Output a formato de archivo W3C: Eventos de registro del output basado en las estadsticas cliente. Con lo que se consigue que las herramientas de anlisis estndar pueden mantener un seguimiento de la informacin fcilmente. Anlisis e Informe basado en el Analizador de Usos: Integracin con Site Server para informar con registros Windows Multimedia. Con lo que se consigue mejor integracin con Site Server para informar sobre usos. Modelo de autorizacin conectable: Los usuarios pueden autorizar el inicio de la difusin de un contenido especfico con aplicaciones personalizadas. (API abierto en el SDK). Con lo que se permite a las aplicaciones de comercio operar con difusiones Windows Multimedia. Modelo de notificacin conectable: El servidor puede indicar qu cliente est iniciando, pausando o deteniendo una difusin en el momento en el que lo hace. (API abierto en el SDK). Excelente para las compaas encargadas de albergar contenidos que desean saber cunto tiempo permanecen sus clientes conectados, y para escenarios de contabilidad. Muestras de autorizacin de servidor de comercio y notificacin de eventos: Muestras de autorizacin integradas para beneficio de los usuarios. Con lo que se facilita el empezar a usar la funcionalidad de autorizacin. Modelo de autentificacin conectable: Use su propia base de datos de autentificacin personalizada. (API abierto en el SDK). Con lo que se podr usar los Servicios Windows Multimedia con sus bases de datos de autentificacin actuales. Seguridad por punto de publicacin: Restringe el acceso a grupos de archivos o eventos en vivo a travs de seguridad en los puntos de publicacin. Con lo que se consigue uno de los nuevos niveles de seguridad que hacen posible el ofrecer ms informacin confidencial a determinados
Captulo 1
individuos.
G
Autentificacin BASIC usando NTLM: Los administradores pueden restringir el acceso en base a la ID y contrasea del usuario. Con lo que se consigue ms seguridad en el servidor para conceder o denegar el acceso a sus contenidos. Membresas mediante autentificacin BASIC: Los administradores pueden restringir el acceso en base a la ID y contrasea del usuario. Con lo que se consigue ms seguridad en el servidor para conceder o denegar el acceso a sus contenidos. Distribuir por Protocolo HTTP: Sirve una estacin a travs del protocolo HTTP protocol a otro Servidor Multimedia Windows 2000 Server. Con lo que se facilita la difusin a travs de firewalls sin tener que abrir puertos especficos en ellos. Autentificacin de proxy distribuido: Si se enfrenta a un reto con el proxy, el servidor le ofrecer la oportunidad de introducir su ID y contrasea. Con lo que se consigue Requerira de autentificacin proxy entre Servidores Multimedia y mejor seguridad entre Servidores Multimedia. Gathering multidifusin sin conexin: Al recibir una multidifusin, el cliente usar el protocolo HTTP para registar las estadsticas cliente en un servidor Web HTTP. Con lo que se consigue mejor acceso a la informacin cliente en gatherings de multidifusin sin conexin. Tres asistentes completamente funcionales: Asistente Bajo Demanda para contenidos almacenados. Asistente Unicast en Vivo. Asistente Multidifusin para transmisiones de este tipo. Con lo que se simplifica la configuracin para crear escenarios complejos.
Soporte para los estndares ms nuevos

G
Soporte para WebDAV: El Versionado y Autora Distribuidos (DAV) es una extensin del estndar HTTP 1.1 para mostrar un medio de almacenamiento de archivos jerrquico, del tipo de un sistema de archivos, a travs de una conexin HTTP. Usando el DAV, los autores remotos pueden acceder fcilmente a recursos en el sistema de archivo va http. Con la implementacin IIS de DAV, los usuarios podrn permitir a los autores remotos editar, mover, buscar y borrar los archivos y directorios del servidor. Carpetas Web: El Soporte para Carpetas Web permite a los usuarios navegar en un servidor de Versionado y Autora Distribuidos (DAV) y visualizar los contenidos (con los permisos apropiados) como si fuera parte del mismo namespace que el sistema local. Los usuarios podrn arrastrar y soltar archivos, recuperar/modificar informacin de las propiedades de los archivos y realizar otras tareas relacionadas con el sistema de archivo. El Soporte para Carpetas Web permite a los usuarios mantener una imagen y capacidad de uso homogneos a la hora de navegar por un sistema de archivos local, un drive en red y un sitio Web en Internet. Por ejemplo, usando las
Captulo 1
Carpetas Web y el DAV es posible realizar el equivalente de un comando DIR en un recurso http y recuperar toda la informacin necesaria para completar un vista Microsoft Windows Explorer. Autentificacin Compendiada: La Autentificacin Compendiada ofrece las mismas funcionalidades que la Autentificacin Bsica, pero implica un modo diferente de transmitir las credenciales de autentificacin. La Autentificacin Bsica enva las contraseas por Internet como texto limpio, mientras que la Compendiada la oscurece en la conexin. Los usuarios con navegadores que soporten la Autentificacin Compendiada se autentifican a si mismos ante un servidor IIS sin comprometes sus credenciales de conexin. Compresin HTTP: Integracin con el protocolo de compresin HTTP estndar. Esta funcionalidad comprime y almacena en cach los archivos estticos, y puede opcionalmente realizar una compresin bajo demanda de los generados dinmicamente. Ofrece una transmisin rpida de pginas entre el servidor Web y los clientes con la funcionalidad de compresin habilitada. Esto es muy til en escenarios en los que el ancho de banda es limitado pero hay recursos disponibles en el servidor para realizar la compresin. Las versiones 4 y 5 de Internet Explorer soportan los mtodos de compresin usados en Windows 2000 Server. Reinicio FTP: Si se interrumpe a un usuario la descarga de un archivo largo de un sitio de FTP, la prxima vez que trate de descargarlo comenzar a hacerlo desde dnde lo dej. Se trata de un modo ms sencillo, cmodo y rpido para descargar informacin de Internet.
Sitios Web dinmicos ms fciles de construir

G
Mejoras de Rendimiento: ASPs sin script. Los archivos ASP que no contienen scripts de servidor son procesados como pginas HTML estticas. H Control de Flujos. En lugar de redireccionar las peticiones que requieren de un viaje de ida y vuelta al cliente de alto impacto sobre el rendimiento, los desarrolladores Web pueden transferirlas directamente a un archivo .asp, para que no tengan que salir del servidor. H Objetos de Rendimiento Mejorado. IIS ofrece versiones de rendimiento mejorado actualizadas de los componentes instalables ms populares. H AutoSintonizacin. IIS detecta la ejecucin de peticiones bloqueadas por recursos externos, ofreciendo automticamente ms hilos de informacin para ejecutar simultaneamente peticiones adicionales que permitan continuar con los procesos normales. El rendimiento es fundamental para construir e implementar soluciones empresariales rentables para la Web. Las continuas mejoras de rendimiento de IIS ofrecen a las organizaciones una solucin ms rentable para construir e implementar aplicaciones empresariales para la Web.
Tratamiento de Errores: Los desarrolladores pueden redireccionar los errores a pginas ASP con informacin til (descripcin del error, nmero de lnea en el archivo .asp, etc.). Con estas capacidades, los desarrolladores pueden evitar perder tanto tiempo escribiendo procedimientos de tratamiento de errores personalizados, para centrarse en la lgica empresarial de las aplicaciones. Scriptlets de Servidor: Con los Scriptlets de Server, los desarrolladores pueden encapsular scripts comunes, como los usados para acceder a bases de datos o generar contenidos, en
Captulo 1
componentes reutilizables accesibles desde cualquier programa o archivo .asp. Los scriptlets pueden adems ser incorporados a los programas escritos en lenguajes de programacin COM, como Microsoft VBScript o Microsoft Visual J++. Con scriptlets, los desarrolladores pueden aprovechar los lenguajes de scripting ms fciles de usar para convertir sus procedimientos de script de lgica empresarial en componentes COM reutilizables en otras aplicaciones Web y en otros programas compatibles con el COM. Servicios de aplicacin Web
G
Pginas Activas de Servidor (ASPs): Las Pginas Activas de Servidor son un entorno de trabajo de aplicaciones diseado para ofrecer a las organizaciones un modo sencillo para construir aplicaciones Web. Las ASPs de Windows 2000 Server incluyen las siguientes funcionalidades: H Control de Flujo Mejorado. El objeto ASP Server tiene ahora dos nuevos mtodos a disposicin de los desarrolladores para controlar el flujo de programas, Server.Transfer and Server.Execute. En lugar de redireccionar las peticiones, lo que hace necesario un viaje de ida y vuelta al cliente con la consiguiente prdida de rendimiento, podrn usar estos nuevos mtodos para transferir las peticiones directamente a un archivo .asp sin tener que salir del servidor. H Tratado de Errores. Las ASPs cuentan con una nueva capacidad de tratado de errores, que permite a los desarrolladores atraparlos en un archivo .asp de mensaje de error personalizado. Usando el nuevo mtodo Server.GetLastError, el administrador podr mostrar la informacin til (descripcin del error, nmero de lnea en el archivo .asp, etc.) al usuario. H Scriptlets de Servidor. Las ASPs soportan una nueva y potente tecnologa Microsoft de scripting, los Scriptlets de Server. Con ellos, los desarrolladores podrn convertir sus procedimientos de script de lgica empresarial en componentes COM reutilizables en otras aplicaciones Web y en otros programas compatibles con el COM. H Objectos de Rendimiento Mejorado. Las ASP ofrecen ahora versiones de rendimiento mejorado de sus populares componentes instalables. Estos objetos se escalarn de forma fiable de una amplia gama de entornos de aplicacin Web. Las nuevas funcionalidades ASP de Windows 2000 Server han sido diseadas para: Facilita a los desarrolladores la tarea de construir aplicaciones Web. H Ofrecer mejores capacidades de tratado de errores para aplicaciones Web H Ofrecer mejor rendimiento y escalabilidad Potenciacin de la CPU: Las organizaciones que operen con varios sitios Web en un slo ordenador o con otras aplicaciones en su servidor Web podrn limitar la cantidad de tiempo que se les permite a las aplicaciones fuera de proceso de un sitio Web utilizar el procesador. Permite asegurarse de que de dispone de tiempo del procesador para los sitios Web y las aplicaciones no Web. Contabilidad de Procesos: La Contabilidad de Procesos agrega campos personalizados al archivo W3C Extended Log para registrar la informacin sobre el modo en que los sitios Web
H
Captulo 1
emplean los recursos de la CPU del servidor. La Contabilidad de Procesos est habilitada y personalizada segn un criterio por sitio. Esta informacin puede ser til para que los ISPs puedan determinar qu sitios estn usando una cantidad desproporcionada de recursos de CPU o cuentan con scripts o procesos CGI daados. Servicios de cola de mensajes
G
Integracin del Directorio Activo: Los Servicios de Cola de Mensajes de Windows 2000 Server usan el directorio para almacenar la informacin de la cola de mensajes. Permite a las aplicaciones localizar sin problemas las colas de mensajes en una red.
RESISTENCIA A LAS CATEGORAS

Como se puede deducir del apartado anterior, resulta difcil clasificar muchos de los cambios de Windows 2000. El sistema de archivos NTFS 5 afecta a la administracin de discos porque permite establecer cuotas de disco para controlar y limitar el uso del espacio de disco en volmenes NTFS. Es al mismo tiempo un importante componente de seguridad, ya que aade cifrado de archivos a sus caractersticas de seguridad ya existentes. Como consecuencia no siempre es posible tener categoras ordenadas. Nueva Funcionalidad Descripcin Beneficios
Herramientas de configuracin y resolucin de problemas Administracin de Para soportar la Componentes Opcionales instalacin de componentes opcionales, la configuracin de Windows 2000 Server incluye ahora un mecanismo para ligar cualquier nmero de componentes aadidos a un mdulo de instalacin, instalndolos durante o tras la configuracin del sistema. Windows 2000 Server soporta la posibilidad de integrar componentes opcionales para que los integradores de sistemas puedan personalizar las instalaciones de add-ons de otros fabricantes.
Captulo 1
Configuracin en Modo Seguro
Windows 2000 soporta ahora una pantalla de opciones de modo seguro accessible desde el inicio del sistema con slo pulsar F8.
El modo seguro evita el sistema operativo si es imposible de iniciar por un driver de "comportamiento errneo" de otro fabricante o por una aplicacin que usa drivers de modo kernel (especialmente filtros de sistema de archivo). Los usuarios corporativos que deben implementar miles de desktops y servidores Windows 2000 Server en entornos informticos homogneos con el mismo hardware desean contar con la posibilidad de personalizar un solo ordenador para luego "clonar" su disco duro en el resto de desktops de la corporacin. En el caso de detectarse una incompatibilidad, el usuario puede ir directamente a un sitio Web creado por el OEM/ISV para hallar ms informacin al respecto o para arreglar su problema, o bien usar un disco del OEM/ISV para reparar la aplicacin incompatible.
Duplicacin de Discos
La configuracin incluye un mecanismo para que los OEMs, VARs y administradores de sistemas puedan duplicar o "clonar" sistemas completamente instalados en circunstancias controladas (por ejemplo, configuraciones de un dominio o hardware idntico)
Asistente de Incompatibilidad de Drivers
Este asistente de resolucin de problemas detecta y avisa al usuario si alguna aplicacin o componente provoca errores en la actualizacin o es previsible que no funcione una vez completada sta.
Captulo 1
Asistente Configure su Servidor
Windows 2000 Server puede ser ahora configurado automticamente para un gran nmero de escenarios de uso: Servidor de Directorio Activo, Servidor de Aplicaciones y Servidor Avanzado, Servidor de Archivos, Servidor de Impresoras, Servidor Web/Media y Servidor de Redes. La Configuracin sin Supervisin es la solucin para que los OEMs, los administradores de corporaciones, los Vendedores de Valor Aadido (VARs) y el resto de usuarios puedan instalar Windows 2000 Server y los componentes opcionales (Windows Media Services, Clustering, Directorio Activo, etc.) sin intervencin del usuario.
En cada escenario la configuracin slo instalar los servicios relevantes; por ejemplo, el escenario de Directorio Activo configura el servidor como controlador de dominios e instala los servicios AD y DNS (opcionalmente, tambin puede instalar DHCP).
Configuracin sin Supervisin
Esto permite hacer ms rpidas las instalaciones personalizadas del sistema operativo.
Consola de Comandos de Esta utilidad permite a un Reparacin usuario autorizado leer/escribir volmenes NTFS usando los Discos de Inicio de Windows 2000 Server, y por tanto copiar archivos, iniciar y detener servicios y reparar el sistema. Podr adems reparar el sector de Inicio / Registro de Inicio Master y
En lanzamientos beta anteriores Microsoft no ofreca ningn medio sancionado de acceder a un volumen NFTS sin tener Windows 2000 Server inicializado. En algunos casos, sin embargo, era imposible hacerlo si un archivo de sistema fundamental haba sido daado o borrado. La
Captulo 1
formatear/fdisk volmenes.
nica solucin en ese caso era volver a instalar Windows 2000 Server en paralelo o activar el proceso de reparacin, perdiendo bastante tiempo en ambos casos. Muchas veces, y debido precisamente a esto, los administradores instalaban Windows 2000 en la FAT, de forma que pudieran acceder al volumen en todo momento usando un disquete de DOS. Un volumen de disco dinmico es cualquier disco partido por el Administrador de Disco Lgico (que contiene una particin de sistema de 4 MB al final del disco fsico), que permite aumentar el volumen ser configurado para ser tolerante a fallos. Beneficios
Soporte de Disco Dinmico
Permite actualizaciones e instalaciones limpias en volmenes de disco dinmicos (por ejemplo, volmenes que no precisan de inicializaciones para implementar cambios de configuracin).
Nueva Funcionalidad
Descripcin
Ms Rendimiento y Escalabilidad para aplicaciones
Captulo 1
Arquitectura de Memoria Empresarial
Memorias mayores de 4GB en plataformas Intel (PAE). Dependiendo de la plataforma, podrn soportar memorias fsicas principales de hasta 64 GB.
La localizacin de procesadores de 64 bits permite a las aplicaciones que realizan procesos de transacciones o soporte de decisiones en grandes conjuntos de datos en memoria, para mejorar el rendimiento. Windows 2000 Server ha sido optimizado para una cantidad creciente de servidores SMP de 4, 8 y 32 modos a precios competitivos basados en procesadores de arquitectura Intel cada vez ms rpidos. I2O alivia el host de tareas I/O de interrupcin intensiva, mejorando notablemente el rendimiento I/O en aplicaciones de banda ancha (vdeo por red, procesos cliente/servidor y groupware, etc.).
Escalabilidad SMP Mejorada
Microsoft ha centrado sus esfuerzos de desarrollo, prueba y sintonizacin de escalabilidad SMP en Windows 2000 Advanced Server y Datacenter Server.
Soporte I20
La arquitectura I2O emplea un procesador dedicado con su propia memoria de descargar de procesos I/O el procesador principal. Este permite incrementar en gran medida el rendimiento y rebajar la utilizacin de la CPU.
Captulo 1
Dispersin/Unificacin de I/O
LA Dispersin/Unificacin de I/O es un tipo especial de I/O de alto rendimiento disponible mediante las funciones Win32 ReadFileScatter y WriteFileScatter.
Permite un rendimiento I/O mayor cuando los datos de las aplicaciones estn situados en localizaciones de memoria no contiguas (lo normal) y necesitan pues ser reescritos en una localizacin de archivo contiguo. Esta clasificacin ha sido diseada para preparar los datos para ser cargada en aplicaciones de datawarehouse y datamart y para preparar operaciones de archivo lote e impresin a gran escala sensibles a clasificaciones. A medida que los servicios de Internet se han convertido en esenciales para realizar los procesos empresariales diarios, es necesario que sean capaces de manejar grandes volmenes de peticiones de clientes sin generar demoras. Escalando el rendimiento mediante el Equilibrado de Cargas de Red,
Clasificacin de Alto Rendimiento
Optimiza el rendimiento de clasificacin comercial en grandes conjuntos de datos.
Equilibrado de Cargas de Red
El Equilibrado de Cargas de Red equilibra y distribuye las conexiones cliente (conexiones TCP/IP) por servidores mltiples escalando el rendimiento de servicios TCP/IP (servidores Web, Proxy o FTP, por ejemplo) y asegurando una alta disponibilidad.
Captulo 1
podr aadir hasta 32 servidores Windows 2000 a su cluster para satisfacer la demanda de estos servicios. Ms fiabilidad y disponibilidad para aplicaciones Objetos de Tarea Windows 2000 Server contiene una extensin de modelo de procesos denominada tarea. Los objetos de tarea son renombables, asegurables y compartibles, y su misin es controlar los atributos de sus procesos asociados, permitiendo administrar y manipular los grupos de procesos como si fueran una unidad. Los ISPs suelen albergar varios sitios Web sin relacin alguna entre si en un solo servidor, y para ello necesitan contar con un modo de localizar los recursos usado por cada sitio dinmico. Los ISPs podran usar los objetos de tarea para contabilizar el uso de la CPU por las aplicaciones Web y para definir los lmites de este uso de cada una de ellas. El soporte de Clustering permite ofrecer un alto nivel de servicio a los usuarios a la vez que se gana control sobre la administracin de los recursos de servidor crticos. Los cluster de Windows 2000 Advanced Server y Windows 2000 Datacenter Server aprovechan las tecnologas de redes y las
Servicios de Clustering
El clustering de Windows 2000 Advanced Server y Windows 2000 Datacenter Server permite conectar tres o cuatro servidores en un "cluster" para mayor disponibilidad y una administracin ms sencilla de los recursos de servidor. El servicio de clustering controla la salud de las aplicaciones y los servidores estndar, pudiendo recuperar automticamente las aplicaciones y datos de misin crtica tras los tipos
Captulo 1
de cada ms comunes.
plataformas PC estdares actuales. El modelo de driver por Destacan entre las nuevas capas de Windows mejoras el soporte para el Directorio Activo, el soporte 2000 Server permitir a Microsoft para conexiones de red de marcacin telefnica de alta aadir soporte disponibilidad, servicios de rpidamente para las tecnologas de sistema preparados para el cluster (DHCP, WINS, Dfs) cluestering de alto rendimiento y y soporte para propsito especial actualizaciones en serie. (por ejemplo, interconexiones de latencia baja) a medida que sean desarrolladas por los fabricantes especializados. Menos Reinicializaciones de Servidor Para mejorar la configuracin y el mantenimiento de hardware y software se ha eliminado la necesidad de reiniciar en varias funciones que lo precisaban con Windows NT Server 4.0 (aumentar un volumen de almacenamiento, configurar protocolos de red o reconfigurar parmetros en PCI y otro hardware PnP. Un menor nmero de reinicializaciones para las tareas comunes de mantenimiento del servidor implica mayor operatividad para los usuarios. Windows 2000 Advanced Server y Windows 2000 Datacenter Server soportan actualizaciones en serie, que permiten un mantenimiento planeado con el menor tiempo de cada posible.
Captulo 1
Proteccin de Archivos Windows (WFP)
La WFP evita el reemplazo de archivos de sistema fundamentales, evitando los errores de versiones de archivo. Protege estos archivos mediante un mecanismo de fondo que opera dentro del WINLOGON.EXE de Windows 2000. Tras iniciarse, el servicio de Proteccin de Archivos Windows chequea todos los archivos de catlogo (.cat) usados para mantener un seguimiento de las versiones de archivo correctas. Si falta o est daado alguno de ellos, la Proteccin de Archivos Windows renombrar el archivo afectado y recuperar un versin almacenado en el directorio de cach de dlls.
Versiones anteriores de los sistemas operativos Windows permitan que los archivos de sistema compartidos pudieran ser sobreescritos durante la instalacin de una aplicacin. Una vez hechos los cambios, el usuario no poda predecir su resultado, que oscilaba entre el fallo de la aplicacin y la cada del sistema completo. Este problema afecta sobre todo a las libreras delinks dinmicos (DLLs) y a los archivos ejecutables (EXEs), siendo denominado familiarmente "infierno DLL". Con Windows 2000, la Proteccin de Archivos Windows impide la sustitucin de los archivos de sistema monitorizados, evitando as estos errores de versin.
Captulo 1
CHKDSK y recuperacin de cadas ms rpida
Una cada de kernel permite un reinicio ms rpido de sistemas con grandes cantidades de memoria fsica. Una cada resumen es generada tras un error de parada, y precisa menos tiempo y espacio porque slo salva las pginas vlidas de la memoria kernel y, opcionalmente, las pginas de usuario vlidas de los procesos en curso.
Dependiendo del uso del sistema, esto puede disminuir hasta un 80% el tamao y tiempo de la cada, mejorando as la disponibilidad y capacidad de recuperacin del sistema.
Menos Cadas de "Pantalla Windows 2000 incluye Azul" varias funcionalidades para permitir a los desarrolladores evitar problemas en los sitios de sus clientes:
G
Estas funcionalidades protegen las reas del sistema operativo de bugs en otras secciones, Proteccin de modo permitiendo a lso desarrolladores kernel: emplea el evitar posibles administrador de memoria de Windows problemas en los sitios de sus clientes. 2000 para ofrecer proteccin contra la sobreescritura de cdigo y subsecciones de slo lectura del kernel y los drivers de dispositivo. Tecnologa de Firma de Cdigo: complementa la Proteccin de Archivos de Sistema usando las tecnologas criptogrficas de Firma Digital existentes para verificar la fuente de
Captulo 1
archivo de sistema antes de instalarlo. Etiquetado de Pools: permite a los editores de drivers de dispositivos de kernel producir mejores drivers y cdigo ms limpio, llevando todas las localizaciones de memoria de los drivers seleccionados a un pool especial en lugar de a un pool de sistema compartido. Los drivers deben cumplir unas complejas reglas para interactuar de forma segura con el resto de drivers y componentes del sistema operativo. Una pequea desviacin de estas reglas puede significar una corrupcin muy dificil de localizar y reparar. El Verificador de Drivers muestra y seala con precisin el cdigo errneo.
Verificador de Drivers
El Verificador de Drivers es un potente mecanismo configurable por el administrador diseado para que Windows 2000 pueda mostrar los drivers de modo kernel y activar sus defensas en caso de encontrar alguno imposible de instalar.
Captulo 1
Firma de Drivers
Para asegurar a los usuarios que los drivers de dispositivo cargados en sus sistemas son productos certificados y avisarles en caso contrario, Microsoft ofrece un potente mecanismo de firma criptogrfica sobre el cdigo binario del driver, y ha empezado a firmar digitalmente los drivers que han superado los tests de los Windows Hardware Quality Labs (WHQL). Una vez habilitada la funcionalidad PageHeap para una aplicacin, todas las localizaciones heap (rea especial en la memoria que se utiliza para guardar recursos importantes) de esa aplicacin (incluyendo las de las DLLs en ese proceso) son colocadas en la memoria de forma que el fin de la localizacin heap est alineada con el fin de una pgina virtual de memoria. La siguiente pgina estar definida como NO_ACCESS. Cualquiera lectura o escritura de memoria por detrs de la localizacin heap provocar una violacin de acceso inmediata, captada por el depurador para mostrar al desarrollador la lnea exacta causante de la corrupcin heap.
La certificacin demuestra al usuario que los drivers que est empleando son idnticos a los probados por Microsoft, evitando cualquier cambio en su cdigo una vez el producto es incluido en la Lista de Compatibilidad de Hardware.
PageHeap
La funcionalidad PageHeap puede ayudar a los desarrolladores a detectar problemas de corrupcin heap de forma ms rpida y fiable.
Captulo 1
Nueva Funcionalidad
Descripcin
Beneficios
Servicios de componente COM+ El Modelo de Objetos de COM+ tiene las siguientes Componente (COM+) de ventajas: Windows 2000 Server simplifica radicalmente la G Escalabilidad de creacin y uso de componentes aplicaciones de software, ofreciendo unos mejorada. servicios y un rendimiento Tecnologas como la fciles de usar con cualquier Base de Datos en herramienta o lenguaje de Memoria permiten a programacin, y permitiendo la las aplicaciones interoperatibilidad entre operar y escalarse ms componentes rpidamente. independientemente de cmo G Flexibilidad mejorada. hayan sido implementados. Tecnologas como los Componentes en Cola y los Eventos de G El Servicios de Publicacin y Publicacin y Suscripcin facilitan a Suscripcin de Eventos los desarrolladores la es un mecanismo de tarea de integrar su evento general para que cdigo en los sistemas varios clientes se puedan de otros fabricantes. "suscribir" a mltiples G Programacin eventos "publicados". simplificada. La Cuando el editor integracin con el suspende un evento, el modelo de sistema de eventos programacin MTS y COM+ revisa la base de COM simplifica el datos de suscripcin y se desarrollo y aumenta lo notifica a todos los el soporte para la suscriptores. programacin por G Los componentes en atributos. cola permiten a los clientes invocar mtodos en componentes COM usando un modelo ascrono, muy til en redes poco fiables y en
Captulo 1
escenarios de uso desconectados. Analizador de XML El Analizador de XML Windows 2000 es implementado como un componente COM, y ofrece la base XML completa para las aplicaciones DNA de Windows DNA Entre sus funcionalidades se cuentan:
G
El Analizador de XML de Microsoft XML tiene una arquitectura multicapa de alto rendimiento ideal para el proceso de XSL y XML de cliente y servidor.
Un completo modelo de programacin independiente de la programacin, que incluye soporte para ECMAScript, Java, Perl, Python, SQL, el sistema de desarrollo Visual Basic y Visual C++ y Visual Basic Scripting Edition (VBScript). Soporte para el W3C XML 1.0, XML DOM, y las recomendaciones Namespaces. Soporte para DTDs y validacin. El prime soporte de la industria para XSL, querying y una vista previa de la tecnologa de esquemas.
NECESIDAD DE PLANIFICACIN
Si se disea una nueva red o se realizan cambios en una existente, la planificacin es el componente
Captulo 1
esencial y sofisticado que hay que tener en cuenta antes que cualquier otra cosa. Poca diversin y mucho trabajo convierten esta tarea en algo desagradable, pero es importante comprender que cada minuto y cada hora empleados en planificar le sern despus correspondidos al administrador (o a sus herederos y ayudantes) multiplicados por cien. Algunas veces cuesta apreciar los beneficios de una planificacin meticulosa -hasta que se ha tenido la mala fortuna de tener que soportar una instalacin mal planteada-. Windows 2000 es particularmente implacable con una planificacin tomada a la ligera. Como se mencion anteriormente, se puede aadir Windows 2000 Server o Professional a una red Windows NT 4. Sin embargo, a menos que se piense utilizar finalmente el Active Directory y otras herramientas especficas de Windows 2000, los beneficios de simplemente acoplar un par de mquinas Windows 2000 sern mnimos. Y en todos los casos, el diseo de directorios -por no mencionar la aplicacin de los nuevos conceptos como bosques y rbolesrequiere una planificacin considerable y la capacidad de proyectar la experiencia actual al futuro. Por lo tanto, los administradores de sistemas sensatos poseen una mayor perspectiva.
Captulo 2
Captulo 2
Todo el mundo utiliza directorios dentro o fuera del ordenador. Despus de todo, si no fuera por las programaciones televisivas que aparecen en los peridicos, se perderan horas cambiando de canal, buscando algo que ver. Otro tipo de directorio que muchos encuentran indispensable es la gua de telfonos. De hecho, las guas telefnicas son la fuente de analoga para dos formas de bsqueda necesarias en los directorios informticos. Existe la bsqueda en "pginas blancas" por atributo, por medio de la cual se puede conocer el nombre u otro dato del objeto y cuya bsqueda se realiza utilizando ese fragmento de informacin. El segundo tipo de bsqueda, llamada bsqueda en "pginas amarillas", se realiza por categora. El tener los dos tipos de bsqueda disponibles implica que no es necesario conocer muchos datos de un objeto para localizarlo. La falta de coherencia que puede ir unida a los directorios tiene grandes consecuencias en una red de cualquier tamao. Los servicios de directorio reales -un catlogo global de servicios y recursos de la redno existen en las redes Microsoft Windows NT. Las funciones de directorio disponibles en la versin 4 proporcionan los tan importantes inicio nico y punto de administracin nico que los entornos empresariales necesitan, pero tienen serias deficiencias cuando se involucra una gran cantidad de usuarios. Los intentos de organizar documentos en carpetas y directorios funcionan hasta cierto punto, pero cuando el nmero de objetos se incrementa, su administracin se vuelve compleja y pesada. Hasta ahora, el servicio de directorio informtico considerado como el mejor era Servicios de directorio de Novell (NDS, Novell Directory Services), incorporado en NetWare 4.0 en 1993.
Introduccin a los Servicios de Directorio (DC)

En un entorno informtico Windows NT normal, un usuario puede iniciar sesin en la red con un nombre de usuario, digamos Mperez, y una contrasea. Asumiendo que tiene los permisos necesarios, Mperez puede pulsar con el ratn en Entorno de red o conectarse a una unidad de red y buscar los archivos que necesite. Todo esto funciona muy bien hasta que el mbito de la red cambia. La empresa introduce correo electrnico y Mperez obtiene otra identidad (mariaperez@dominio.com). Los servicios, bases de datos y herramientas administrativas adicionales -cada uno identificando a Mara Prez de forma ligeramente distinta- necesitan estar accesibles por el mismo usuario. Cuando se considera que todo esto es slo para uno de cientos e incluso miles de usuarios, no cuesta ver lo difcil de resolver que pueden resultar los errores que pueden presentarse. A medida que el nmero de objetos en una red crece, los servicios de directorio -un lugar centralizado donde almacenar la informacin administrativa que se emplea para
Captulo 2
gestionar el sistema informtico completo- se vuelven esenciales. Los servicios de directorio se diferencian de un directorio en que son tanto la fuente de la informacin de directorio como los servicios que hacen que la informacin est disponible para los usuarios. Al ser al mismo tiempo una herramienta de administracin y una herramienta para el usuario final, los servicios de directorio necesitan contemplar estas necesidades:
G
G G
Acceso a todos los servidores, aplicaciones y recursos por medio de un inicio de sesin nico. (El acceso del usuario se permite o se bloquea por medio de permisos.) Rplica multimaestro. Toda la informacin se distribuye por todo el sistema y se replica en varios servidores. Bsquedas en pginas blancas basadas en atributos, por ejemplo, por nombre o tipo de archivo. Bsquedas en pginas amarillas basadas en clasificaciones, por ejemplo, todas las impresoras de la tercera planta o todos los servidores de la oficina de Madrid. La capacidad de eliminar la dependencia con las ubicaciones fsicas para propsitos de administracin. Esto es, debera ser posible delegar la administracin del directorio, tanto parcial como completamente.
Aunque Microsoft ha empleado alguna vez el trmino servicios de directorio en relacin con Windows NT (al igual que en el Administrador de servicios de directorio para NetWare), Windows NT no proporciona un autntico servicio de directorio jerrquico. En Windows NT, las funciones de directorio se dividen en una gran cantidad de servicios basados en dominios. El Servidor del Sistema de nombres de dominio (DNS, Domain Name System) proporciona la traduccin de nombres en nmeros IP y se integra con los servidores con Protocolo de configuracin dinmica de host (DHCP, Dynamic Host Configuration Protocol) utilizados para asignar dinmicamente direcciones TCP/IP. El Servicio de nombres de Internet para Windows (WINS, Windows Internet Naming Service) se utiliza para la resolucin de nombres de NetBIOS y lo necesitan las redes Windows NT para compartir archivos y algunas aplicaciones. La seguridad se implementa por medio de listas de control de acceso (ACLs, Access Control List), la base de datos del gestor de cuentas de seguridad (SAM, Security Accounts Manager) y otros servicios. En Microsoft Windows 2000 Server, Active Directory reemplaza la coleccin de funciones de directorio de Windows NT con una implementacin integrada que incluye DNS, DHCP, Protocolo de acceso ligero a directorios (LDAP, Lightweight Directory Access Protocol) y Kerberos. X.500 es un estndar para servicios de directorio establecido por la Unin internacional de telecomunicaciones (ITU, International Telecommunications Union). La Organizacin internacional de normalizacin/ Comisin electrotcnica internacional (ISO/IEC, International Standars Organization/International Electrotechnical Commission) tambin ha publicado el mismo estndar. El estndar X.500 define el modelo de informacin utilizado en los servicios de directorio. En este modelo, toda la informacin de un directorio se almacena en entradas, cada una de las cuales pertenece al menos a una clase
Captulo 2
de objetos. La informacin real de una entrada se determina por los atributos que contiene. El estndar original X.500 de 1988 se centr principalmente en los protocolos que deban implementarse. El Protocolo de acceso a directorios (DAP, Directory Access Protocol) especifica cmo acceden las aplicaciones de usuario a la informacin del directorio. El Protocolo de servicios de directorio (DSP, Directory Service Protocol) se utiliza para propagar las peticiones al directorio entre los servidores de directorio cuando el servidor de directorio local no puede satisfacerlas. Ningn servicio de directorio existente implementa completamente el estndar X.500, pero todos se modelan segn las especificaciones bsicas de X.500, como Active Directory.
Active Directory en Windows 2000 (AD)

Active Directory posee numerosas ventajas, no slo el poder manejar instalaciones de cualquier tamao, desde un nico servidor con unos cientos de objetos hasta miles de servidores con millones de objetos. Active Directory tambin simplifica enormemente el proceso de localizar recursos a lo largo de una gran red. La Interfaz de servicios de Active Directory (ADSI, Active Directory Services Interface) permite a los desarrolladores hacer que sus aplicaciones soporten el directorio, proporcionando a los usuarios una nica forma de acceder a mltiples directorios, ya estn basados en LDAP, NDS o en los Servicios de directorio de NT (NTDS, NT Directory Services). En Windows 2000, Active Directory integra el concepto de espacio de nombres de Internet con los servicios de directorio del sistema operativo. Esta combinacin permite la unificacin de mltiples espacios de nombres entre, por ejemplo, la mezcla de entornos software y hardware de las redes corporativas, incluso de un lado a otro de las fronteras entre sistemas operativos. La capacidad de subsumir directorios empresariales individuales en un directorio de propsito general implica que Active Directory puede reducir notablemente los costes de la administracin de mltiples espacios de nombres. Active Directory no es un directorio X.500. En cambio, utiliza LDAP como protocolo de acceso y soporta el modelo de informacin X.500 sin requerir sistemas que soporten toda la sobrecarga de X.500. LDAP est basado en TCP/IP y es considerablemente ms simple que el DAP de X.500. Al igual que X.500, el modelo de directorio de LDAP se basa en entradas, donde se utiliza el nombre distinguido para identificar una entrada sin ambigedad. Pero en lugar de utilizar la estructurada codificacin de datos de X.500, LDAP adopta un enfoque sencillo basado en cadenas para representar las entradas de directorio. LDAP utiliza muchas de las tcnicas de acceso a directorio especificadas en el estndar DAP de X.500 pero requiere menos recursos del cliente, hacindolo ms prctico cuando se tiende a usarlo sobre un enlace TCP/IP. Active Directory tambin soporta directamente el Protocolo de transferencia de hipertexto (HTTP, Hypertext Transfer Protocol). Todo objeto de Active Directory se puede mostrar como una pgina en
Captulo 2
Lenguaje de marcas de hipertexto (HTML, Hypertext Markup Languaje) en un explorador Web. El directorio soporta extensiones para que el Servicio de informacin de Internet (IIS, Internet Information Service) de Microsoft traduzca las peticiones HTTP para objetos del directorio en pginas HTML para mostrarlas en cualquier cliente HTML. Active Directory permite un punto nico de administracin para todos los recursos pblicos, entre los que se pueden incluir archivos, dispositivos perifricos, conexiones al host, bases de datos, accesos Web, usuarios, otros objetos arbitrarios, servicios, etc. Utiliza el DNS de Internet como servicio de localizacin, organiza los objetos en dominios dentro de una jerarqua de unidades organizativas (OU, Organizational Unit) y permite que varios dominios se conecten en una estructura en rbol. Los conceptos de Controlador primario de dominio (PDC, Primary Domain Controller) y Controlador de reserva del dominio (BDC, Backup Domain Controller) desaparecen. Active Directory slo utiliza controladores de dominio, y las actualizaciones se replicarn en el resto de controladores de dominio. Terminologa y conceptos de Active Directory Algunos de los trminos empleados para describir conceptos de Active Directory se han utilizado durante algn tiempo en otros contextos, por lo que resulta importante comprender lo que significan cuando se utilizan especficamente en referencia al Active Directory.
Espacio de nombres y resolucin de nombres
Espacio de nombres es quizs un trmino poco familiar para un concepto muy familiar. Cada servicio de directorio es un espacio de nombres -un rea circunscrita en la cual un nombre se puede resolver-. Un listado de programas televisivos constituye un espacio de nombres en el cual se puede traducir un programa de televisin al canal correspondiente. Un sistema de archivos informtico constituye un espacio de nombres en el cual se puede relacionar un nombre de archivo con el propio archivo. Active Directory constituye un espacio de nombres en el cual se puede relacionar el nombre de un objeto del directorio con el propio objeto. La resolucin de nombres es el proceso de relacionar un nombre con algn objeto o informacin que representa dicho nombre.
Atributo
Cada fragmento de informacin que describe algn aspecto de una entrada se denomina atributo. Un atributo est formado por un tipo del atributo y uno o ms valores del atributo. Un ejemplo de un tipo de atributo puede ser "nmero de telfono", y un ejemplo de valor del atributo nmero de telfono puede ser 914 785 426.
Objeto
Un objeto es un conjunto determinado de atributos que representa algo concreto, como un usuario, una
Captulo 2
impresora o una aplicacin. Los atributos contienen la informacin que describe lo que se identifica por medio del objeto de directorio. Entre los atributos de un usuario se podran incluir el nombre del usuario, los apellidos y la direccin de correo electrnico. La clasificacin de un objeto define qu tipos de atributos se utilizan. Por ejemplo, los objetos clasificados como usuarios podran permitir el uso de tipos de atributos como nombre, nmero de telfono y direccin de correo electrnico, mientras que la clase de objetos empresa permitira tipos de atributos como nombre de la empresa y tipo de negocio. Un atributo puede tener uno o ms valores, dependiendo de su tipo.
Identidad del objeto
Cada objeto en Active Directory tiene una identidad nica. Los objetos se pueden mover o renombrar, pero su identidad nunca cambia. Los objetos se conocen internamente por su identidad, no por su nombre actual. La identidad de un objeto es un identificador nico global (GUID, Globally Unique Identifier), asignado por el Agente del sistema del directorios (DSA, Directory System Agent) cuando se crea el objeto. El GUID se almacena en un atributo, objectGUID, que forma parte de todo objeto. El atributo objectGUID no se puede modificar ni borrar. Cuando se almacena una referencia a un objeto de Active Directory en un almacn externo (por ejemplo, una base de datos), se debera utilizar objectGUID porque, a diferencia de un nombre, no cambiar.
Contenedor
Un contenedor se parece a un objeto en el hecho de que posee atributos y forma parte del espacio de nombres de Active Directory. Sin embargo, a diferencia de un objeto, un contenedor no representa algo concreto. Es un almacn de objetos y otros contenedores.
rbol y subrbol
Un rbol en Active Directory es simplemente una extensin de la idea de rbol de directorios. Es una jerarqua de objetos y contenedores que muestra cmo se relacionan los objetos o el camino desde un objeto hasta otro. Los puntos finales del rbol son generalmente objetos. Un subrbol es cualquier camino sin interrupciones del rbol, incluyendo todos los miembros de cada contenedor de dicho camino.
Nombre distinguido
Todo objeto en Active Directory tiene lo que se denomina un nombre distinguido (DN, Distinguished
Captulo 2
Name). En este contexto, distinguido implica las cualidades que permiten distinguir al nombre. Los nombres distinguidos identifican el dominio que contiene el objeto adems del camino completo a travs de la jerarqua del contenedor utilizado para alcanzar el objeto. Un DN tpico podra ser CN=Mara Prez,OU=Investigacin,DC=dominio,DC=com. Este DN identifica al objeto usuario Mara Prez en el departamento de investigacin, en el dominio dominio.com. CN se interpreta como nombre propio (Common Name), OU como unidad organizacional (Organizational Unit) y DC significa controlador de dominio (Domain Controller). Algunos atributos se derivan del modelo X.500; un administrador puede definir otros. Active Directory utiliza tambin un nombre distinguido relativo (RDN, Relative Distinguished Name), el cual forma parte del nombre distinguido que es un atributo del propio objeto. En el ejemplo anterior, el RDN del objeto usuario es CN = Mara Prez. El RDN del objeto padre es OU = Investigacin. El fragmento "DC=" de un nombre distinguido permite a los directorios X.500 conectarse al espacio de nombres DNS, lo que tambin hace Active Directory. La raz del espacio de nombres global de Active Directory es el espacio de nombres DNS. De este modo, los nombres de dominio DNS se mezclan con el esquema de denominacin de Active Directory. Por ejemplo, dominio.com es un nombre de dominio DNS correcto y tambin podra ser el nombre de un dominio de Active Directory. La integracin con DNS implica que Active Directory se adapte perfectamente a entornos de Internet e intranet. Los servidores de Active Directory pueden conectarse directamente a Internet para simplificar las conexiones seguras y el comercio electrnico con clientes y socios.
Esquema
" Esquema" es un trmino utilizado generalmente en el trabajo con bases de datos. En el contexto de Active Directory, el esquema son todos los fragmentos que componen un Active Directory: los objetos, atributos, contenedores, etc. Active Directory posee un esquema predeterminado que define la mayora de las clases de objetos habituales, como usuarios, grupos, computadoras, departamentos, polticas de seguridad y dominios. El esquema de Active Directory se puede actualizar de forma dinmica. Esto es, una aplicacin puede ampliar el esquema con nuevos atributos y clases y utilizar las extensiones inmediatamente. Las actualizaciones del esquema se realizan creando o modificando los objetos esquema almacenados en el directorio. ACLs protege los objetos esquema, de forma que slo los usuarios autorizados puedan modificar el esquema.
ARQUITECTURA DE ACTIVE DIRECTORY

Active Directory no es, estrictamente hablando, un servicio de directorio X.500, aunque como el resto de servicios de directorio, se deriva de ese estndar. Las caractersticas de la arquitectura de Active Directory son:
Captulo 2
El Directory System Agent (DSA) El DSA es el proceso que proporciona acceso al almacn fsico de la informacin del directorio ubicada en un disco duro. El DSA es parte del subsistema Local System Authority (LSA) de Windows 2000. Los clientes pueden acceder a la informacin del directorio por medio de alguno de los siguientes mecanismos:
G
Los clientes LDAP se conectan a DSA utilizando el protocolo LDAP; Active Directory soporta LDAP v3, definido en el RFC 2251; y LDAP v2, definido en el RFC 1777. Los clientes Windows 2000 Server y los clientes Windows 95/98 con los componentes clientes de Active Directory instalados utilizan LDAP v3 para conectarse a DSA. Los clientes Interfaz de programacin para aplicaciones de mensajera (MAPI, Messaging Applications Programming Interface) como Microsoft Exchange se conectan a DSA utilizando la interfaz Llamada a procedimientos remotos (RPC, Remote Procedure Call) MAPI. Los clientes Windows que utilizan Windows NT se conectan al DSA por medio de la interfaz SAM. Los DSA de Active Directory se conectan entre ellos para realizar replicaciones por medio de una interfaz RPC propietaria.
Formatos de denominacin Active Directory soporta varios formatos de denominacin para adaptarse tanto a los usuarios como a las aplicaciones:
G
Nombres RFC 822, conocidos por la mayora de usuarios como direcciones de correo electrnico de Internet, como mariaperez@dominio.com. Active Directory proporciona un nombre intuitivo de la forma RFC 822 para todos los objetos. De este modo, un usuario puede emplear un nombre intuitivo tanto como direccin de correo electrnico como nombre utilizado para iniciar la sesin. URL HTTP, conocidos por la mayora de usuarios que tienen exploradores Web. Un URL normal tiene la forma http://dominio/camino-hasta-la-pgina, donde dominio se refiere al servidor que ejecuta los servicios de Active Directory y camino-hasta-la-pgina es el camino al objeto de inters a travs de la jerarqua de Active Directory. El URL para Mara Prez es http: //AServer.dominio.com/Divisin/Producto/Investigacin/MaraPrez. Nombres LDAP, que son ms complicados que los nombres de Internet, pero que generalmente se ocultan dentro de una aplicacin. Los nombres LDAP utilizan el convenio de denominacin por medio de atributos de X.500. Un URL LDAP especifica el servidor que contiene los servicios de Active Directory y el nombre del objeto utilizando atributos -por ejemplo, ldap://AServer.dominio.com/CN=mariaperez, OU=Investigacin, OU=Producto, OU=Divisin, 0=MegaIntl, C=ES. Nombres UNC, el convenio de denominacin universal utilizado en servidores basados en
Captulo 2
Windows NT y redes basadas en Windows 2000 Server para referirse a volmenes, impresoras y archivos compartidos. Por ejemplo, \\dominio.com\Divisin.Producto.Investigacin.Volmen\DocumentosWord\informeabril.doc.
El modelo de datos
El modelo de datos de Active Directory se deriva del modelo de datos de X.500. El directorio contiene objetos que representan elementos variados, descritos por medio de atributos. El universo de objetos que se pueden almacenar en el directorio est definido en el esquema. Para cada clase de objeto, el esquema define qu atributos debe tener un ejemplar de la clase, qu atributos adicionales podra tener y qu clase de objetos puede ser su padre.
Implementacin del esquema
El esquema de Active Directory est implementado como un conjunto de ejemplares de clases de objetos almacenados en el directorio. Esto difiere bastante de los directorios que poseen un esquema pero lo almacenan como un archivo de texto que se lee al iniciar. Almacenar el esquema en el directorio tiene muchas ventajas. Por ejemplo, las aplicaciones de los usuarios pueden leerlo para averiguar qu objetos y propiedades se encuentran disponibles. El modelo de seguridad Active Directory es parte de la base de confianza informtica de Windows 2000 y participa completamente en la infraestructura de seguridad de Windows 2000. El modelo de seguridad distribuida se basa en el protocolo de autenticacin Kerberos del MIT (versin 5). La autenticacin Kerberos incorpora seguridad tanto de clave pblica como de clave privada, utilizando el mismo soporte ACL que el sistema operativo subyacente, Windows 2000. Los ACL protegen todos los objetos de Active Directory. Determinan quin puede ver el objeto, qu atributos puede ver cada usuario y qu acciones puede realizar cada usuario sobre el objeto. Si un usuario no tiene permiso para ver un objeto o un atributo, nunca conocer su existencia. Un ACL, a su vez, se construye con Entradas de control de acceso (ACE, Access Control Entries) almacenadas junto al objeto que protege el ACL. En Windows NT y Windows 2000, un ACL se almacena como un valor binario, llamado descriptor de seguridad. Cada ACE contiene un identificador de seguridad (SID, Security Identifier) que identifica al director (usuario o grupo) al cual el ACE aplica y proporciona la informacin sobre qu tipo de acceso permite o rechaza el ACE. Los ACL de los objetos del directorio contienen ACE que se aplican a la totalidad del objeto y ACE que se aplican a atributos individuales del objeto. Esto permite a un administrador controlar no slo qu usuarios pueden ver un objeto, sino tambin qu propiedades pueden ver. Por ejemplo, todos los usuarios podran tener permiso para leer los atributos correo electrnico y nmero de telfono del resto de usuarios, pero el acceso a las propiedades de seguridad de los usuarios estara prohibido para todos
Captulo 2
excepto para los miembros de un grupo de seguridad especial de administradores. Adems, los usuarios individuales deberan tener permiso de escritura a atributos personales como el telfono y las direcciones de correo de sus propios objetos usuario. Active Directory es el almacn del sistema de seguridad, incluyendo las cuentas de usuario, grupos y dominios. Este almacn reemplaza a la base de datos del registro de cuentas y es un componente de confianza dentro del LSA.
Delegacin y herencia
La delegacin es una de las caractersticas de seguridad ms importante de Active Directory. Un administrador puede autorizar a un usuario a realizar un conjunto especfico de acciones en algunos subrboles identificados del directorio. Esto se denomina administracin. La administracin delegada permite un control muy fino sobre quin puede hacer qu y permite a los administradores delegar autoridad sin conceder privilegios elevados. Esto elimina tambin la necesidad de los administradores de dominio con amplia autoridad sobre grandes segmentos de la poblacin de usuarios. Los administradores conceden permisos sobre operaciones concretas en clases de objetos concretas aadiendo ACE al ACL del contenedor. La herencia permite propagar un ACE dado desde el contenedor en el que fue aplicado a todos los hijos de dicho contenedor. La herencia se puede combinar con la delegacin para conceder derechos administrativos a subrboles completos del directorio con una nica operacin. Contextos de denominacin y particiones Active Directory se compone de uno o ms contextos de denominacin o particiones. Un contexto de denominacin es cualquier subrbol contiguo del directorio. Los contextos de denominacin son las unidades de divisin. Un servidor nico siempre contiene al menos tres contextos de denominacin:
G G G
El esquema. La configuracin (topologa de rplica e informacin relacionada). Uno o ms contextos de denominacin de usuarios (subrboles que contienen los objetos reales del directorio).
El Catlogo global El DN de un objeto incluye suficiente informacin para localizar una copia de la particin que contiene al objeto. Muchas veces, sin embargo, el usuario o la aplicacin no conoce el DN del objeto objetivo, o qu particin debera contener el objeto. El Catlogo global (GC, Global Catalog) permite a los usuarios y a las aplicaciones encontrar objetos en un rbol de dominio de Active Directory, proporcionando uno o ms atributos del objeto deseado.
Captulo 2
El Catlogo global contiene una copia parcial de cada contexto de denominacin del directorio. Tambin contiene el esquema y los contextos de denominacin de la configuracin. Esto significa que el GC contiene una copia de cada objeto de Active Directory, pero con slo un pequeo nmero de sus atributos. Los atributos en el GC son los utilizados con mayor frecuencia en las operaciones de bsqueda (como el nombre y apellidos de un usuario, el nombre de entrada al sistema, etc.) y aquellos necesarios para encontrar una copia completa del objeto. El GC permite a los usuarios encontrar los objetos de inters rpidamente sin conocer qu dominio los contiene y sin que sea necesario un espacio de nombres ampliado contiguo en la empresa. El Catlogo global est integrado en el sistema de rplicas de Active Directory. La topologa de rplicas del GC tambin se genera de forma automtica. Las propiedades replicadas en el GC incluyen un conjunto base definido por Microsoft. Los administradores pueden especificar propiedades adicionales para satisfacer las necesidades de su instalacin.
Captulo 3
Captulo 3
Cuando se emplea tiempo en analizar la estructura y necesidades de la organizacin y en determinar la mejor forma de trasladar esos requisitos al nuevo espacio de nombres, se obtiene como recompensa unos costes de soporte reducidos, una flexibilidad mejorada y una menor reorganizacin posterior. Es importante comprender que la planificacin del espacio de nombres de una organizacin o compaa grande o incluso de tamao medio es un proceso iterativo.
Anlisis de las necesidades de convenios de denominacin

Para planificar cmo debera quedar la estructura de espacios de nombres y dominios, es necesario analizar la organizacin y tratar de comprender sus necesidades de denominacin fundamentales. Este proceso requiere una profunda comprensin del tipo de organizacin que se trata y quines son los actores, adems de algunas conjeturas razonables acerca de adnde se dirigir la organizacin en el futuro. rboles y bosques Como primer paso, es necesario entender las diferencias entre los dos tipos bsicos de espacios de nombres -rboles y bosques- para decidir cmo se adaptan a la organizacin. Se pueden cambiar los modelos despus y no sin tener impacto sobre la totalidad de los nombres utilizados, por lo que se debe emplear algn tiempo para asegurarse de la comprensin de lo que realmente necesita la organizacin. Lo que la organizacin necesita puede ser diferente de lo que se piensa que quiere.
rboles
El espacio de nombres en rbol es un espacio de nombres nico y contiguo, donde cada nombre del espacio de nombres desciende directamente de un nico nombre raz. Este sencillo tipo de diseo de denominacin es apropiado para una organizacin esencialmente cohesiva que tiene un nico nombre bajo el cual puede haber muchas divisiones diferentes y diversos negocios. Muchos pequeos o medianos negocios encajarn bien en este modelo. Incluso negocios muy grandes pueden ajustarse cmodamente a una estructura en rbol si la organizacin est bastante centralizada y se la conoce por un nico nombre.
Captulo 3
Como se puede observar en la figura, con un espacio de nombres estructurado en rbol, cada rama del rbol tiene un nombre que desciende directamente de la raz del rbol. Este convenio facilita el encontrar cualquier hoja o rama del rbol rastreando la estructura de su nombre.
Bosques
Un espacio de nombres en bosque es una coleccin de rboles esencialmente iguales, sin una nica raz en el espacio de nombres. El espacio de nombres en rbol es apropiado para una organizacin que tenga mltiples lneas de negocio, cada una con su propio nombre independiente e identificable. Generalmente sern grandes empresas, especialmente aquellas que hayan crecido por medio de adquisiciones. Por lo general no disponen de un grupo de sistemas de informacin nico y central que gestiona toda la organizacin, y cada divisin tiene normalmente una identidad e infraestructura esencialmente independiente. Definicin de un convenio de denominacin Tanto si se va a tener un nico rbol o un bosque de rboles como espacio de nombres global, es necesario tomar algunas decisiones sobre cmo se llamarn las distintas ramas del rbol. sta podra ser con facilidad una de las decisiones ms difciles y polticamente delicadas que se tendrn que tomar al disear toda la estructura de denominacin. Existen esencialmente dos tipos de convenios de denominacin: organizativo y geogrfico. Ambos tienen sus defensores, y existe un argumento para cada eleccin. No se debe olvidar que la gente puede volverse muy sensible de forma asombrosa sobre la manera de llamar a su divisin o departamento y sobre su peso relativo en la organizacin.
El convenio de denominacin organizativo
Por medio de un convenio de denominacin organizativa se podra modelar el espacio de nombres de la misma forma que est estructurada la organizacin. As, la raz del rbol podra ser dominio.com, con un primer nivel que consista en admin.dominio.com, finanzas.dominio.com, rrhh.dominio.com, etc. Algunas de las ventajas e inconvenientes del convenio de denominacin organizativo son:
Ventajas
Captulo 3
G G G G
Refleja la organizacin de la compaa. Se entiende fcilmente. Posee un camino natural de crecimiento. Permite organizar los recursos por tipo de necesidad.
Inconvenientes
G G G
Resulta difcil de ajustar cuando las estructuras y nombres de la organizacin cambian. Puede ser polticamente delicado. Puede resultar difcil de implementar si las divisiones de la organizacin tienen mltiples ubicaciones de sus sitios. Es difcil el soporte de divisiones que se dividen y mezclan.
El convenio de denominacin geogrfico
Por medio de un convenio de denominacin geogrfico se podra modelar el espacio de nombres sobre las divisiones geogrficas de la organizacin. Por ejemplo, con la misma raz dominio.com, se podra tener un primer nivel que consista en corp.dominio.com, nortam.dominio.com, europa.dominio.com, africa.dominio.com, etc. Bajo este primer nivel, podra desglosarse cada entrada en los pases o estados/provincias individuales, dependiendo del tamao y complejidad de la organizacin. Los sitios, una nueva estructura de Windows 2000 proporcionada por Active Directory, se pueden utilizar para reducir o eliminar el problema de la implementacin de la estructura de denominacin organizativa con divisiones que tienen mltiples ubicaciones. Una compaa puede crear un sitio para cada isla de computadoras con conexin LAN. Por ejemplo, la oficina principal podra ser un sitio, y una sucursal otro sitio. Cualquier dominio que abarque ms de un sitio ajusta automticamente sus parmetros de rplica para optimizar el uso del lento enlace WAN entre los sitios. Los clientes tambin se dirigen de forma automtica a los controladores locales de dominio para solicitar servicios, disminuyendo as el uso de los enlaces WAN. Algunas de las ventajas e inconvenientes del convenio de denominacin geogrfica son:
Ventajas
G G G
Es apoltico. Emplea nombres que tienden a ser persistentes. Ofrece mayor flexibilidad y granularidad.
Inconvenientes
G G
No refleja la naturaleza de la organizacin. Puede requerir ms dominios para satisfacer las necesidades de seguridad.
Captulo 3
Los sitios son tiles para optimizar el uso de los lentos enlaces WAN en redes que utilizan un convenio de denominacin geogrfico. Aunque generalmente no existen dominios que abarquen mltiples sitios en redes que utilizan el convenio de denominacin geogrfico, el uso de sitios optimiza mucho ms el uso de enlaces WAN al ajustar la rplica entre dominios de Active Directory.
Convenios de denominacin mixtos
Por ltimo, se puede optar por utilizar una mezcla de los convenios de denominacin organizativo y geogrfico, especialmente en un espacio de nombres en bosque donde distintas culturas empresariales han crecido y tienen sus propias agendas. El truco, por supuesto, es que esto puede producir mucha confusin y volver ms costosa cualquier tarea de soporte, ya que no existe consistencia en la forma de hacer las cosas. Al crear los primeros espacios de nombres de Active Directory en Windows 2000, se debera considerar la realizacin de todos los esfuerzos para racionalizar la estructura, puesto que facilitar todo el trabajo de soporte posterior. Incluso si se emplea un convenio de denominacin puramente geogrfico a lo largo de toda la organizacin, es posible que resulte ventajoso crear departamentos o dominios en el nivel inferior del rbol porque los grupos que trabajan en reas similares o en proyectos relacionados tienden a necesitar acceder a los recursos de naturaleza similar. Las necesidades de la planta de fabricacin suelen ser diferentes de la de contabilidad, por poner un ejemplo. Estas necesidades comunes pueden identificar las reas naturales de soporte y control administrativo. Determinacin de la resolucin de nombres Una segunda decisin que se debe tomar es si se desea que el espacio de nombres utilizado internamente sea el mismo que el que se presenta al mundo exterior. Se podra pensar que los nombres deberan ser los mismos, pero en realidad puede haber razones de peso para optar por espacios de nombres internos y externos diferentes.
Utilizacin del mismo espacio de nombres interna y externamente
Si se tiene un nico espacio de nombres, las mquinas tienen los mismos nombres en la red interna y en Internet. En otras palabras, se obtiene un nico nombre de la autoridad de registro en Internet correspondiente y se mantiene un nico espacio de nombres DNS, aunque slo un subconjunto de los nombres ser visible desde fuera de la compaa. Si se utiliza el mismo nombre en los espacios de nombres interno y externo, se debe asegurar que la capacidad de resolver nombres desde fuera de la compaa se limita a mquinas fuera del cortafuego que se suponen que son visibles externamente. Hay que asegurarse de que ningn servidor de Active Directory resida fuera del cortafuego. Sin embargo, tambin es necesario asegurarse de que las mquinas
Captulo 3
internas puedan resolver nombres y acceder a recursos en ambos lados del cortafuego. Algunas de las ventajas e inconvenientes de utilizar el mismo espacio de nombres de forma interna y externa son:
Ventajas
G G G
Proporciona consistencia en las denominaciones interna y externa. Permite registrar los nombres una nica vez. Permite a los usuarios tener una identidad de acceso y de correo electrnico nica.
Inconvenientes
G G G
Necesita una configuracin del servidor proxy compleja. Requiere el mantenimiento de distintas zonas que tienen los mismos nombres. Obliga a los usuarios a trabajar con diferentes vistas de los recursos, dependiendo de donde se encuentren.
Utilizacin de distintos espacios de nombres interna y externamente
Si se establecen espacios de nombres interno y externo distintos, la presencia pblica debera ser dominio.com, mientras que internamente se podra usar dom.com. Todos los recursos que residen fuera de la red de la compaa podran tener nombres que terminen en dominio.com, como www.dominio.com. Sin embargo, dentro de la red de la compaa, se podra utilizar un espacio de nombres independiente que tuviera dom.com como raz. Una consideracin que conviene recordar en este escenario: es conveniente registrar tanto el nombre pblico como el privado con la autoridad de nombres de Internet correspondiente. Se puede pensar que no es necesario preocuparse sobre el nombre que es slo interno si no se tiene intencin de exponerlo en Internet. Sin embargo, lo que se est haciendo realmente es asegurarse de que nadie ms utilice el mismo nombre, lo que podra causar problemas de resolucin a los clientes internos. Algunas de las ventajas e inconvenientes de utilizar distintos espacios de nombres de forma interna y externa son
Ventajas
G G G
Proporciona una distincin clara entre lo que es interno y lo que es externo. Ofrece un mantenimiento y configuracin de proxy ms sencillos. Facilita a los usuarios la comprensin de las diferencias entre los espacios de nombres interno y externo.
Inconvenientes
Captulo 3
G G
Requiere que se registren dos espacios de nombres. Implica que los nombres de acceso de los usuarios difieran de sus nombres de correo electrnico.
Planificacin de una estructura de Dominios

Una vez que se ha establecido todo el diseo del espacio de nombres, es necesario disear la estructura de dominios que le d soporte. Cada rama del espacio de nombres se divide bien en un dominio, bien en una unidad organizativa (OU, Organizational Unit). El que una rama sea un dominio o una OU depender de mltiples consideraciones, incluyendo la necesidad de rplica, poltica de seguridad, disponibilidad de recursos, calidad de la conexin, etc. Dominios y unidades organizativas Los rboles de red de Windows 2000 estn formados por dominios y unidades organizativas. Cada uno proporciona fronteras administrativas entre las ramas del rbol, pero tienen implicaciones y requisitos de recursos diferentes.
Dominios
La unidad principal de Active Directory de Windows 2000 es el dominio, al igual que en Windows NT 3.x y Windows NT 4. Todos los objetos de la red forman parte de un dominio, y la poltica de seguridad es uniforme a lo largo de un dominio. A diferencia de Windows NT, la seguridad de Windows 2000 se basa en la versin 5 de Kerberos, y las relaciones de confianza son transitivas. En las relaciones transitivas, si un dominio A confa en un dominio B y un dominio B confa en un dominio C, entonces el dominio A tambin confa en el dominio C. Se pueden establecer relaciones de confianza unidireccionales al estilo de Windows NT 4. Y an ms importante, las relaciones entre los dominios Windows 2000 y los dominios Windows NT heredados se basan en las relaciones de confianza unidireccionales no transitivas inherentes a Windows NT. Es esencial considerar estas relaciones al planificar la estructura de dominios. Con Windows 2000, los conceptos de controlador de dominio principal y controlador de reserva de dominios han desaparecido. Los controladores de dominio (DC, Domain Controller) de Windows 2000 estn basados en mltiples maestros y parejos. Cada controlador de un dominio tiene la misma autoridad sobre el dominio, y si el controlador cae, los dems continan administrando y autenticando el dominio. Cualquier DC puede originar un cambio en el dominio y propagarlo despus a los dems DC del dominio. El dominio es tambin la unidad de rplica. Los cambios en un dominio se replican a lo largo del mismo, incluso cuando el dominio abarca mltiples sitios o ubicaciones. Esta capacidad permite a los
Captulo 3
controladores de dominio de sitios distantes originar cambios en el dominio y tener los cambios replicados a lo largo del dominio. Aunque los derechos de acceso son transitivos a ambos lados de las fronteras entre dominios, los derechos administrativos estn limitados, de forma predeterminada, al dominio. Esto permite conceder derechos administrativos a un usuario clave en un dominio concreto sin tener que preocuparse de comprometer toda la seguridad de la organizacin, dado que los derechos administrativos terminan en la frontera del dominio, a no ser que se concedan de forma explcita en otros dominios.
Unidades organizativas
El concepto de OU es nuevo en Windows 2000. Tiene algunas de las caractersticas de un dominio, pero sin la sobrecarga de recursos. Una OU est contenida en un dominio y acta como contenedor de objetos de servicios de directorio. Forma una rama del espacio de nombres contiguo, y puede contener a su vez otras OU. As, el dominio corp.dominio.com puede contener otros dominios, como finanzas.corp.dominio.com, y tambin puede contener OU, como hr.corp.dominio.com. La OU proporciona una frontera administrativa conveniente, y los derechos y privilegios para la administracin se pueden conceder a los usuarios en una OU sin comprometer al resto del dominio. Sin embargo, una OU no requiere un controlador de dominio independiente ni est implicada en la rplica. La analoga ms cercana a una OU en el modelo de dominios de Windows NT es el dominio de recursos, pero sin la sobrecarga del controlador de dominio que se requera bajo Windows NT. En los casos en los que no se necesita una poltica de seguridad independiente para un contenedor administrativo dado, la OU proporciona una frontera apropiada que consume pocos recursos. Por otra parte, una OU se puede convertir, si es necesario, en un dominio. Diseo de una estructura de dominios Una vez que se ha diseado el espacio de nombres y todos los involucrados se han registrado en l, se puede empezar a disear e implementar la estructura de dominios. El diseo de la estructura de dominios se corresponder con el diseo del espacio de nombres, si bien se puede tomar la decisin de que ciertas fronteras del espacio de nombres requieran slo OU, no dominios completos. La decisin entre una unidad organizativa y un dominio debera basarse en si es necesaria una poltica de seguridad independiente para las entidades en los lmites del espacio de nombres. Si un lmite concreto del espacio de nombres no requiere una poltica de seguridad diferente de la de su padre, probablemente una OU resultar una divisin apropiada, ya que requiere menos recursos para su implementacin. Como se menciona anteriormente, se puede convertir fcilmente una OU en un dominio ms adelante si resulta necesario.
Diseo de una estructura de dominios en rbol
Si se va a crear un espacio de nombres nico y contiguo y, por lo tanto, una estructura de dominios
Captulo 3
puramente en rbol, se desear crear los dominios en orden jerrquico, comenzando por la parte superior del rbol. El primer dominio ser el dominio raz y tendr, por lo general, o todos los usuarios en l (para modelos pequeos con un nico dominio) o ningn usuario en absoluto (si se utiliza un dominio estructural como dominio raz). Para los que estn familiarizados con los modelos de dominios de Windows NT 4, este patrn se corresponde aproximadamente con el modelo de dominio maestro nico, con una importante diferencia. Los usuarios no necesitan (y muy menudo no deberan) residir en un nico dominio maestro, sino que deberan residir en el lugar real que les corresponde en la estructura de dominios. A medida que se ramifica el rbol del espacio de nombres, se crearn dominios o unidades organizativas para cada rama del rbol. La decisin sobre si crear una OU o un DC depender del modelo de seguridad, la calidad de la conexin a la ubicacin y variedad de otros factores, incluyendo las consideraciones polticas de la planificacin original del espacio de nombres. Si se tiene alguna duda en algn punto, basta con crear una OU, que se puede actualizar fcilmente a un dominio ms tarde.
Diseo de una estructura de dominios en bosque
La estructura de bosque de rboles se utiliza a menudo para adaptarse a un espacio de nombres existente que no es contiguo y no se puede hacer contiguo de forma sencilla. Al final habr mltiples dominios raz, todos al mismo nivel. Bajo cada uno de esos dominios raz se tendr un espacio de nombres contiguo para ese rbol. Cada rama del espacio de nombres ser bien un dominio (con el requisito que conlleva de uno o ms controladores de dominio) o una unidad organizativa. Generalmente se crear cada rbol de arriba a abajo, y cada rama del rbol tendr automticamente una relacin de confianza transitiva con las otras ramas del rbol. Los rboles del bosque compartirn los mismos esquemas, configuracin y Catlogo global, con relaciones de confianza transitivas Kerberos, entre todos los miembros del bosque. La jerarqua de confianza dentro de cada rbol seguir la jerarqua de denominacin. Sin embargo, la jerarqua de confianza en el bosque considerado como un todo seguir el orden en el que los rboles se unan al bosque. Este hecho es trasparente a los usuarios pero puede ser modificado por el administrador para mejorar la gestin y otros aspectos relacionados. Directivas para la seguridad de los dominios Dentro de cada dominio, los requisitos, la poltica y la configuracin de seguridad son consistentes. Si se necesita modificar los requisitos y la poltica de seguridad para una subunidad dentro de un dominio, ser necesario crear esa subunidad como otro dominio, no como OU. Conviene recordar esta limitacin al planificar el espacio de nombres al completo: ser necesario tener una rama independiente del espacio de nombres para poder tener una poltica de seguridad independiente. La poltica de seguridad incluye:
Captulo 3
G G G G G
Requisitos de acceso. Certificados. Caducidad y longitud mnima de las contraseas. Tarjetas inteligentes u otros complementos de autenticacin. Restricciones de la mquina o los horarios de conexin.
Muchas de estas cosas podrn mantenerse constantes a lo largo de toda la organizacin, pero puede haber ciertas reas que requieran una seguridad significativamente mayor que la que se necesita en el resto de la organizacin. Si es as, conviene planificar que las reas que requieren precauciones extra se encuentren en un dominio independiente para que su seguridad ms restrictiva no se imponga a toda la organizacin. Creacin de unidades organizativas En las situaciones donde no es necesario crear dominios independientes por motivos de seguridad pero se quiere mantener un nivel independiente en el espacio de nombres, se crear una OU independiente. De este modo, se podra tener un dominio llamado nortam.dominio.com que se quisiera dividir en unidades de negocio dentro de la regin. Se podran crear dominios de ventas, soporte, educacin, recursos humanos, produccin y finanzas independientes bajo nortam.dominio.com. Sin embargo, la sobrecarga de los dominios independientes (y sus controladores necesarios) para cada una de esas unidades no es necesaria, especialmente si todas ellas comparten una nica poltica de seguridad. As que basta con crear una OU para cada una de ellas. Si ms adelante se decide actualizar a dominio alguna de ellas, se puede hacer fcilmente. Las unidades organizativas establecen fronteras tiles para propsitos administrativos. Se pueden delegar varias tareas y privilegios administrativos al administrador de una OU especfica, liberando al administrador del dominio y proporcionando a la OU el control local de sus propios recursos.
Planificacin de varios Dominios

Cuando la organizacin es suficientemente compleja, o simplemente suficientemente grande, como para tener que crear mltiples dominios, se debera emplear tiempo extra planificando exactamente cmo implementarlos. El tiempo empleado en la interfaz de primer plano se ahorrar a la hora de la instalacin. Conviene recuperar la estructura de dominios planificada y compararla con el espacio de nombres planificado (o existente). Hay que decidir qu debe ser simplemente un dominio y qu puede ser sin problemas una OU. Se deben identificar los servidores que sern los controladores de dominio. No hay que olvidar que los conceptos de controlador de dominio principal y controlador de reserva de dominios ya no existen. Todos los servidores dentro de un dominio tienen el mismo peso e importancia. Las modificaciones hechas a cualquier controlador de dominio se propagan al resto de controladores dentro del dominio. Si se realizan cambios simultneos en mltiples controladores, Active Directory utilizar los nmeros de actualizacin secuenciales y las marcas temporales de los cambios para resolver cualquier
Captulo 3
conflicto. Planificacin de un espacio de nombres contiguo Al planificar un espacio de nombres contiguo y, por lo tanto, una estructura con un nico rbol, se tendr que crear inicialmente el dominio raz del espacio de nombres. En este espacio de nombres se crearn las cuentas administrativas principales, pero es mejor dejar la creacin del resto de las cuentas para ms tarde. Las cuentas de usuarios y mquinas deberan residir en las hojas del rbol donde van a realizar la mayora de su trabajo. Esto es lo contrario que en Windows NT donde, si haba mltiples dominios, a menudo era necesario crear todas las cuentas de usuario en el nivel ms alto del dominio a causa de la naturaleza de las relaciones de confianza. Si se est migrando desde un entorno Windows NT existente, se tendrn los usuarios en un dominio nico o multimaestro. Se puede mantener esta disposicin y puede ser la forma ms sencilla de migrar desde un entorno existente. Determinacin de la necesidad de bosques Si se tiene un entorno donde ya hay mltiples dominios raz, o donde no existe un espacio de nombres contiguo, ser necesario crear un bosque en lugar de un entorno con un nico rbol. El primer paso es examinar lenta y concienzudamente los espacios de nombres no contiguos. Ahora es el momento de hacerlo. Fusionarlos despus ser mucho ms complicado. Creacin de bosques Si se decide que simplemente no hay forma de obtener un nico espacio de nombres contiguo, lo que implica que ser necesario crear un bosque, se debera decidir dnde residir exactamente la raz de cada rbol del bosque. Hay que pensar en las ubicaciones fsicas de los potenciales controladores de dominio, la disposicin de la red, el ancho de banda de cada sitio y la existencia actual de dominios y controladores Windows NT 4. Una vez que se tiene un buen mapa fsico y lgico de la red, se est en disposicin de planificar la estrategia de dominios. Primero se deben crear los dominios del nivel raz y despus comenzar a construir los rboles. No es un requisito absoluto, si se pasa por alto algn rbol o algo cambia, se puede volver atrs y aadir otro rbol al bosque. Sin embargo, generalmente conviene crear primero las races, aunque slo sea por mantener las cosas alineadas y las relaciones de confianza de rbol a rbol en orden. Una vez que se ha creado la raz de un rbol, no existe una forma sencilla de cambiarle el nombre o borrarla, por lo que no conviene apresurarse a la hora de crear la estructura de dominios. Una planificacin en detalle puede evitar grandes dolores de cabeza en el futuro.
Captulo 3
Captulo 4
Captulo 4
Planificar la instalacin podra no reducir demasiado el tiempo total hasta que el servidor se encuentre operativo, pero reducir el nmero de procesos que se tendrn que hacer, deshacer y volver a hacer de nuevo.
Requisitos del sistema

Antes de instalar Microsoft Windows 2000 Server hay que verificar que se dispone del hardware adecuado. Esto implica tanto cumplir los requisitos de sistema mnimos (y a ser posible superarlos si se quiere que el servidor realice algn trabajo real) como verificar la lista de hardware compatible (HCL, Hardware Compatibility List) de Microsoft para asegurarse de que el equipo y los perifricos son soportados. Y, antes de comprar hardware para el servidor, hay que comprobar la HCL en la carpeta Support del CD de instalacin de Windows 2000. Si el sistema no aparece en la lista, conviene comprobar la HCL en el sitio Web de Microsoft (http://www.microsoft.com/hwtest/hcl/). Si existen controladores actualizados para el hardware que se va a utilizar, conviene descargarlos y copiarlos a un disquete o disco duro disponible para poder utilizarlos durante la instalacin, si es necesario. Si un componente del sistema no aparece en la HCL se puede visitar el sitio Web del fabricante del dispositivo o contactar con l para ver si hay disponibles controladores actualizados. En general, la regla ha seguir es la siguiente: no utilizar un servidor que no es 100 por 100 compatible. Requisitos mnimos para obtener un rendimiento adecuado:
G
G G G
G G
Intel Pentium 133 a 32 bits: Uno o ms procesadores Intel Pentium II 300 ms rpidos (o procesadores compatibles; comprubese la HCL). 64 Mb de RAM: 128 Mb de RAM mnimo, 256 Mb o ms recomendado. Monitor VGA: Monitor Sper VGA con resolucin de al menos 800 x 600. Teclado y ratn u otro dispositivo sealador: Cualquier tipo de teclado y ratn u otro dispositivo sealador. (Si el teclado es del tipo PS/2, el ratn debe ser tambin PS/2 o USB) Particin de 850 Mb con 650 Mb de espacio libre: 2 Gb de espacio libre en un disco duro Ultra IDE o (preferiblemente) Ultra Wide SCSI con 7200 rpm o ms. CD-ROM de inicio 12x: No se necesita ms velocidad para la instalacin, aunque tiene que ser compatible con el sistema de inicio El Torito. Unidad de disco de 1.44 Mb: Si se va a realizar la instalacin con los cuatro discos de inicio. Uno o ms adaptadores de red: Si se va a realizar la instalacin a travs de la Red
file:///D|/downloads/W2000%20server/capitulo4.htm (1 of 28) [27/12/2002 20:55:41]
Captulo 4
Planificacin de las particiones Lo siguiente es decidir cmo se desea dividir en particiones y configurar las unidades. Microsoft recomienda utilizar el sistema de archivos de NT (NTFS) en todo el sistema, a menos que se necesite mantener la compatibilidad con otro sistema operativo existente en el equipo, algo bastante raro en un servidor. NTFS posee muchas ventajas, incluyendo eficiencia, fiabilidad, seguridad y compresin. Adems, muchas caractersticas o servicios de Windows 2000 requieren una particin NTFS. Por ejemplo, para utilizar el servidor como controlador de dominio o servidor de Active Directory debe haber disponible una particin NTFS. NTFS ha sido siempre superior a la tabla de asignacin de archivos (FAT, File Allocation Table) o los sistemas de archivos FAT32, pero tiene un problema en Windows NT. Si, por alguna razn, no se puede iniciar con la unidad de disco de sistema NTFS, la nica esperanza de recuperacin es realizar una instalacin paralela de Windows NT. Windows 2000 viene equipado con una opcin de inicio en Modo seguro, al estilo de Windows 95/98, adems de un Consola de recuperacin especial que permite iniciar con una lnea de comandos en un sistema que no inicia y acceder de forma segura a las particiones NTFS. Se pueden crear hasta cuatro particiones primarias en una unidad de disco, o hasta tres particiones primarias y una particin extendida. Para instalar Windows 2000, se utilizar simplemente, en la mayora de los casos, una nica particin con formato NTFS en la unidad de disco de inicio de aproximadamente 1 2 Gb. Conviene dejar el resto del espacio libre del disco duro sin asignar hasta despus de la instalacin, cuando se podrn crear particiones adicionales para programas y datos en el espacio sin asignar. Por regla general, se utilizarn una o ms unidades de disco para datos, preferiblemente configuradas con alguna clase de tolerancia a fallos. Si se utiliza una unidad o unidades de disco diferentes para los datos, conviene convertirlas en discos dinmicos y darles formato con el sistema de archivos NTFS. Este enfoque permitir trabajar de forma sencilla con los volmenes y almacenar la informacin de forma segura y eficiente. Recogida de informacin de la red Despus de determinar cmo se quieren dividir en particiones las unidades de disco, hay que localizar todos los controladores para el hardware. Despus, hay que almacenar (o crear) los siguientes parmetros:
G
Nombre en el Sistema de nombres de dominio (DNS, Domain Name System) del equipo: Este nombre puede contener letras maysculas o minsculas, nmeros y el carcter guin. El nombre DNS del host no debe sobrepasar los 15 caracteres si se pretende que el nombre NetBIOS sea el mismo que el DNS y mantener as la compatibilidad con clientes que no sean Windows 2000. Nombre del dominio o grupo de trabajo al que debe unirse (si se encuentra en una red): Si
Captulo 4
se est creando un nuevo dominio Windows 2000, este nombre debera ser compatible con el DNS: por ejemplo, midepartamento.miempresa.com. Direccin IP del equipo: Esto es necesario a menos que la red disponga de un servidor de Protocolo de Configuracin Dinmica de Host (DHCP, Dynamic Host Configuration Protocol). Si no se dispone de un servidor DHCP y no se asigna una direccin IP al equipo, Windows 2000 asignar al equipo una direccin IP restringida. Esta direccin IP funcionar en una red sencilla con slo una subred IP, pero no funcionar en redes ms complejas, ni funcionar como direccin IP de Internet. Para redes ms complejas, conviene instalar un servidor DHCP en la red o asignar las direcciones IP manualmente. Para adquirir una direccin IP de Internet vlida es necesario registrar un contexto de direcciones IP en el proveedor de servicios de Internet.
G G
Componentes adicionales de Windows 2000 Server Modo de licencia de clientes y el nmero de clientes simultneos (si el modo de licencia es Por servidor) Windows 2000 Server soporta licencias Por servidor y Por puesto. Si no se est seguro de qu modo de licencia utilizar, es mejor elegir Por servidor. Se puede cambiar de modo Por servidor a Por puesto una vez (sin coste adicional) pero no de modo Por puesto a Por servidor.
Preparacin fsica Una vez almacenados los siguientes parmetros, an quedan varias tareas fsicas:
G
G G
Hacer copia de seguridad de la informacin existente en todas las unidades de disco de las que es responsable el servidor. Desactivar cualquier disco espejo durante el proceso de instalacin. Desconectar cualquier conexin a un sistema de alimentacin ininterrumpida (SAI). El equipo SAI puede interferir en la capacidad de detectar dispositivos conectados a puertos serie del programa de instalacin. Actualizar la BIOS del sistema a la ltima versin disponible. Esto es especialmente importante en sistemas basados en ACPI.
Consideraciones sobre inicios duales Bajo muchas circunstancias, un servidor no tiene dos sistemas operativos, pero algunas veces este enfoque resulta apropiado. Por ejemplo, se puede utilizar una segunda instalacin paralela de Windows 2000 en el servidor para poder reparar el sistema en el caso de que no se pueda iniciar con la instalacin normal. En este caso, las instalaciones deberan estar, no slo en particiones separadas, sino en discos duros fsicamente independientes. Esta precaucin tiene sentido cuando se considera que una de las formas de las que se puede conseguir un sistema que no inicia es mediante una avera en el disco duro; si ambas instalaciones estn en el mismo disco duro fsico, no estaremos de suerte.
Captulo 4
Si se dispone de un dispositivo extrable de almacenamiento masivo como una unidad Jaz de Iomega, se puede realizar la instalacin paralela de Windows 2000 en ese disco, que despus se puede extraer para ponerlo a buen recaudo. Y se puede utilizar una segunda instalacin de Windows 2000 como entorno de pruebas para esos inevitables experimentos de configuracin que tendrn consecuencias impredecibles. Tambin se podra desear mantener una instalacin existente de Windows NT 4 para minimizar el tiempo de inactividad del servidor durante la transicin a Windows 2000. Mltiples copias de Windows 2000 Si se decide crear una instalacin paralela de Windows 2000, se puede elegir Windows 2000 Professional en lugar de la versin completa de Windows 2000 Server como segunda instalacin. Se puede usar la instalacin paralela de Windows 2000 nicamente para reparar la instalacin existente, y utilizar despus la instalacin principal para corregir los problemas adicionales que haya. Hay que tener un nombre de equipo diferente para cada instalacin de sistema operativo en una red. Para cada instalacin de Windows en un dominio se genera un nico identificador de seguridad (SID, Security Identifier), y cada SID se asocia con un nombre de equipo concreto. De este modo, se pueden iniciar varios sistemas operativos, pero en cada sistema el equipo se conoce en la red por un nombre distinto. Inicios duales con Windows NT En lugar de actualizar el servidor, se puede optar por realizar una instalacin limpia de Windows 2000 Server. Una instalacin limpia permite preservar la instalacin existente para utilizarla en caso de que se encuentre algn problema al configurar el servidor con Windows 2000. Realizar una instalacin limpia es tambin la nica opcin si el servidor ejecuta una versin de Windows anterior a la 3.51 y no se desea actualizar a la 3.51 4.0. Sin embargo, cuando se realiza una instalacin limpia, Windows 2000 no migra los programas y la configuracin existentes como si se hubiera actualizado el servidor. Deberemos tener presentes algunas cuestiones cuando se utilice un inicio dual entre Windows NT y Windows 2000 en equipos con unidades de disco NTFS:
G
G G
Slo Windows NT 4 con Service Pack 4 o posterior puede acceder a las unidades de disco y volmenes NTFS 5. Las caractersticas de NTFS 5 como cuotas de disco y cifrado no funcionan en Windows NT 4. (Los archivos cifrados no se pueden leer en Windows NT 4.) Las utilidades de disco de Windows NT 4 como Chkdsk no funcionarn con las unidades de disco NTFS 5. Habr que utilizar las versiones Windows 2000 de estas utilidades. Los discos de reparacin de emergencia de Windows NT 4 no se podrn utilizar nunca ms. No se podr reinstalar Windows NT 4 despus de instalar Windows 2000, a menos que se vuelva a crear y dar formato a la particin en la que se instal Windows NT 4. Los archivos que se guarden o se creen en Windows 2000 podran no ser accesibles en Windows
Captulo 4
NT 4. Los soportes extrables que tengan formato NTFS se convertirn automticamente a NTFS 5 cuando se introduzcan o se utilicen con Windows 2000. Windows NT 4 no podr leer ninguna unidad de disco con el formato del sistema de archivos FAT32. Si se opta por un inicio dual de Windows 2000 con otro sistema operativo (o copia de Windows 2000) habr que instalar Windows 2000 en una particin de disco independiente. Los intentos de instalar dos sistemas operativos en una nica particin causarn problemas, tanto durante la instalacin como poco despus. Si, por alguna razn, se planifica un inicio dual de Windows 95/98 y Windows 2000, deberemos instalar Windows 95/98 primero y despus Windows 2000.
Inicios duales con otros sistemas operativos El inicio dual de Windows 2000 Server con MS-DOS, Windows 95, Windows 98 u otro sistema operativo personal como BeOS debera realizarse en computadoras de sobremesa y no en el servidor. Realizar un inicio dual con UNIX u otro sistema operativo de servidor es quizs ms til, pero se debera evitar si resulta posible. Si se opta por realizar un inicio dual con otro sistema operativo hay que utilizar la utilidad Copia de seguridad de Windows 2000 u otro programa de copia de seguridad de Windows 2000 para realizar una copia de seguridad completa del sistema incluyendo la informacin del estado del sistema. Adems, se debera crear un disco de reparacin de emergencia utilizando la utilidad Copia de seguridad de Windows 2000 (slo por si acaso). Al instalar o configurar los sistemas operativos, hay que tener cuidado con el Registro de inicio principal (MBR, Master Boot Record). Inicio dual de Windows 2000 con otros Sistemas Operativos
G
Windows 95/98: Instalar y reiniciar antes de la instalacin de Windows 2000 para evitar que Windows 95/98 sobreescriba el MBR e impida que Windows 2000 se inicie. Todos los sistemas operativos: Los programas deben ser instalados de forma independiente en cada sistema operativo. Windows 2000 no se puede instalar en una unidad de disco que se haya comprimido con cualquier programa que no sea la utilidad Compresin de archivos de NTFS. MS-DOS, OS/2: Si se instala Windows 2000 en un equipo que ya realiza inicios duales entre MSDOS y OS/2 por medio del comando Boot, en el inicio slo se podr elegir entre iniciar con Windows 2000 o con el sistema operativo iniciado ms recientemente.
Instalacin de Windows 2000

La eleccin de cmo instalar Windows 2000 Server depende de lo que ya hay en el servidor, de dnde se encuentran los archivos de instalacin y de cuntas instalaciones haya que hacer. Si se dispone de
Captulo 4
Windows 95/98 o Windows NT en la mquina, hay que ejecutar la instalacin de Windows 2000 de 32 bits desde Windows 95/98 o Windows NT. Tambin se puede iniciar desde el CD-ROM de Windows 2000 o desde el disco de inicio de instalacin (o un disco de inicio de MS-DOS con controladores de CDROM o de red) y ejecutar el programa de instalacin de Windows 2000 de 16 bits. Ambas versiones de la instalacin se pueden ejecutar desde la red o se pueden automatizar. Instalacin desde Windows 95/98 Windows NT Si tenemos instalado Windows 95/98 Windows NT, la instalacin recopila informacin y copia los archivos que necesita el equipo para iniciar en el modo de texto de Windows 2000 y despus reinicia en modo texto. Se puede entonces (opcionalmente) seleccionar la particin apropiada, despus de lo cual se instala Windows 2000 en el disco duro y se pasa al Asistente para instalacin de Windows 2000 en modo grfico, que recopila ms informacin, configura los dispositivos y termina de copiar los archivos. Despus de esto, la instalacin est completa y el equipo se reinicia en Windows 2000. 1. Insertar el CD-ROM de Windows 2000 y pulsar en Instalar Windows 2000, si est activa la Reproduccin automtica del CD-ROM (Notificacin automtica de insercin). Si no es as, hay que ejecutar winnt32.exe desde la carpeta \i386 del CDROM de Windows 2000. 2. Para instalar Windows 2000 Server desde la red, hay que ejecutar el programa winnt32.exe desde la unidad de disco de red que contenga los archivos de instalacin de \w2ks y despus, proceder con la instalacin normalmente. 3. Dependiendo del Sistema Operativo que tengamos y de la Licencia que hayamos adquirido (Actualizacin o OEM), el sistema activar o desactivar las siguientes opciones, ofreciendo todas las posibilidades de instalacin posibles: G Actualizar a Windows 2000. G Instalar una nueva copia de Windows 2000. 4. Despus de elegir la opcin deseada pulsamos Siguiente. 5. Contrato de Licencia: Se debe leer el contrato de licencia, seguidamente hay que elegir el botn de opcin Acepto este contrato y pulsar con el ratn en Siguiente. La instalacin muestra la
Captulo 4
ventana Seleccionar opciones especiales, y que se utiliza para personalizar las opciones de idioma, cambiar cmo copiar la instalacin los archivos y activar el uso de utilidades de accesibilidad durante la instalacin para usuarios con problemas de visin. 6. Seleccionar opciones especiales: En esta pantalla se pueden configurar las siguientes pociones: G Opciones de Idioma: Si se desea configurar el sistema operativo Windows 2000 para que utilice conjuntos de caracteres de varios idiomas, hay que pulsar en el botn Opciones de idioma, elegir el idioma principal de la lista desplegable, seleccionar cualquier grupo de idiomas adicionales para los cuales se desea instalar soporte y despus pulsar Aceptar G Opciones avanzadas: Para especificar la carpeta y particin de instalacin de Windows 2000, o para decirle a la instalacin de Windows 2000 la ubicacin de los archivos de instalacin, hay que pulsar con el ratn en el botn Opciones avanzadas en la ventana Seleccionar opciones especiales para abrir la ventana Opciones avanzadas. G Opciones de accesibilidad: Para configurar las opciones de pantalla con configuraciones especiales para disminuidos fsicos. 7. Se debe pulsar en Siguiente para copiar los archivos de instalacin al equipo. Despus de que la instalacin termine de copiar archivos, se reinicia el equipo y se pasa al modo de texto de Windows 2000 para la parte de la instalacin basada en texto. Instalacin desde un sistema con MS-DOS Instalacin desde un sistema con MS-DOS, la instalacin copia los archivos necesarios al disco duro para reiniciar en el modo de texto de Windows 2000 y despus lo hace. La instalacin realiza el mismo proceso que hubiera realizado si se hubiera iniciado desde un CD-ROM o disco de inicio de instalacin de Windows 2000. Instalacin desde los discos de inicio de instalacin de Windows 2000 desde el CDROM Si no se dispone de Windows 95/98 o Windows NT instalado en el servidor, es necesario iniciar el
Captulo 4
sistema con el CD-ROM de Windows 2000 o los disquetes de inicio de instalacin y configuracin. (Tambin se puede iniciar con un disco de inicio MS-DOS, pero es mucho ms lento.) Para iniciar desde el CD-ROM de Windows 2000, hay que introducir el CD en la unidad y reiniciar el sistema. Si la instalacin no comienza automticamente, quizs sea necesario configurar el inicio en la BIOS para decirle al sistema que utilice la unidad CD-ROM antes que el disco duro. Si no es posible iniciar desde el CD-ROM, hay que introducir el Disco de instalacin 1 en la disquetera y reiniciar la mquina. Se solicitar el resto de los disquetes de instalacin y, entonces, el equipo pasar a la fase en modo texto de la instalacin de Windows 2000, como se describe en la siguiente seccin. Fase del Programa de instalacin en modo texto Cuando se inicia desde el CD-ROM o los disquetes de Windows 2000, o cuando se reinicia la primera vez despus de ejecutar la instalacin desde MS-DOS, Windows 85/98 o Windows NT, se entra en la fase basada en texto en la cual el programa de instalacin copia los archivos necesarios para reiniciar en Windows 2000 para la porcin de la instalacin basada en GUI. Durante la fase basada en texto de la instalacin, hay que seguir los siguientes pasos: 1. La primera pantalla que aparece es la de Instalacin de Windows 2000 Server, en la que se presentan tres posibilidades: Instalar Windows 2000, actualizar una instalacin previa o salir del programa de instalacin. Para continuar con la instalacin hay que pulsar Intro. 2. Hay que leer el contrato de licencia de Windows 2000 Server. Se puede utilizar la tecla AV PG para desplazarse hacia abajo, y pulsar despus F8 para continuar. Buscar instalaciones de Windows 2000 que pueda actualizar y si las encuentra nos pedir que confirmemos si queremos actualizar o realizar una instalacin nueva. 3. En la siguiente pantalla, se pide elegir en qu disco y particin se quiere instalar Windows 2000. Se muestran todas las unidades de disco y particiones reconocidas del sistema, clasificadas por identificador SCSI o IDE y el nmero de bus. Hay que seleccionar una particin o espacio sin dividir en particiones utilizando las teclas de direccin del teclado. Si se dispone de una unidad extrable con capacidad de 829 Mb o ms, se puede instalar Windows 2000 en un disco extrable. Este paso slo est recomendado para instalaciones paralelas, no para la instalacin principal de Windows 2000. 4. Para borrar la particin seleccionada, hay que pulsar D; para crear una nueva particin, hay que seleccionar algn espacio libre sin dividir en particiones y pulsar c. Si se elige crear una nueva particin, la instalacin preguntar si se quiere dar formato a la particin con el sistema de archivos NTFS o FAT. Si se escoge el sistema de archivos FAT en una particin mayor de 2 Gb, la particin se dar formato con el sistema de archivos FAT32. Al borrar una particin, se borra toda la informacin que contiene. No se debe borrar una particin a menos que toda su informacin se encuentre en una copia de seguridad fiable. 5. Cuando se termine de modificar las particiones, hay que seleccionar la particin en la que se desea instalar Windows 2000 y pulsar Intro.
Captulo 4
6. La instalacin pedir confirmacin sobre la eleccin de la particin y se dar la opcin de formatear en FAT o NTFS. Si hubiera una particin formateada previamente, aparecer una tercera opcin que nos permitir dejar la particin con el mismo sistema de archivos que ya tiene. Seleccionamos la opcin correcta y pulsamos Intro. 7. La instalacin comprueba la ausencia de errores en los discos duros y copia entonces los archivos apropiados en la recin creada carpeta de Windows 2000 (llamada \WINNT de forma predeterminada). Cuando la instalacin termina de copiar los archivos, pide que se extraiga cualquier disquete o CD-ROM, y entonces reinicia el sistema e inicia el Asistente para la instalacin de Windows 2000. Asistente para la instalacin de Windows 2000 Cuando la fase basada en texto de la instalacin concluya, el equipo reiniciar y Windows 2000 se iniciar por primera vez, cargando el Asistente para la instalacin de Windows 2000. Para utilizar el Asistente para la instalacin hay que seguir los pasos que se indican a continuacin. Al final de cada paso hay que pulsar con el ratn el botn Siguiente o el botn Aceptar para continuar. 1. Pantalla Instalando Dispositivos: el Asistente para la instalacin detecta y configura los dispositivos instalados en el equipo. Si la instalacin no puede detectar de forma apropiada un dispositivo, mostrar un cuadro de dilogo de configuracin de dispositivo para la configuracin manual del dispositivo. 2. Configuracin regional: Despus de detectar el hardware, se solicitan los parmetros regionales. Estos parmetros afectan a factores tales como la disposicin del teclado y cmo se muestran las fechas y la moneda. Para escoger la localizacin que se quiere utilizar, para establecer la posibilidad de leer y escribir documentos en otros idiomas o para especificar el formato de nmeros, fechas y monedas, hay que pulsar el primer botn Personalizar. G En el cuadro de lista desplegable Su idioma (ubicacin), hay que elegir la localizacin que se desea utilizar para la configuracin de nmeros, monedas y fecha y hora. Para configurar el sistema de forma que se puedan leer o escribir documentos en otros idiomas, hay que seleccionar la casilla de verificacin situada junto a los idiomas que se quieren activar para lectura y escritura. Las otras pestaas se utilizan para modificar el formato de los nmeros, monedas, fechas y horas. G Para modificar la disposicin del teclado, hay que pulsar el segundo botn Personalizar en la ventana Configuracin regional, y utilizar entonces las opciones de Idiomas instalados para configurar el teclado para el idioma que se quiere utilizar. Hay que pulsar Siguiente. 3. Personalizacin del Software: Se debe introducir el nombre de la persona bajo la que se registrar el equipo adems de la empresa. 4. Clave del Producto: Introducir el CD-KEY del producto que se est instalando. 5. Modos de licencia: Hay que escoger el modo de licencia en la siguiente ventana, como Por servidor o Por puesto. Por defecto aparecern las licencias para las que tiene el producto. Si se escoge Por servidor, hay que especificar cuntas Licencias de acceso de cliente se han adquirido. 6. Nombre del equipo y contrasea del administrador: Hay que introducir el nombre del equipo
Captulo 4
7.
8.
9.
10. 11. 12.
en el cuadro de texto Nombre de equipo. El nombre del equipo puede contener los nmeros del cero al nueve, letras en mayscula y minscula y el carcter guin, pero no espacios o puntos. El nombre debera ser compatible con DNS y puede tener un mximo de 63 caracteres de longitud, pero en inters de la compatibilidad con clientes anteriores a Windows 2000, debera ser menor de 15 caracteres. Tras introducir el nombre del equipo, hay que introducir la contrasea de la cuenta del administrador de hasta 14 caracteres de longitud en el cuadro de texto Contrasea de administrador, y escribirla de nuevo en el cuadro de texto Confirmar contrasea. Hay que pulsar Siguiente. Para hacer que el sistema sea lo ms seguro posible, hay que asignar siempre una contrasea a la cuenta de administrador, preferiblemente una contrasea de al menos siete caracteres de longitud y que consista en letras y caracteres mezclados, maysculas y minsculas. Tambin se debera limpiar el historial de accesos despus de instalar Windows 2000 para que los aspirantes a hackers tengan que adivinar tanto la contrasea como el nombre de usuario. Otra buena precaucin despus de la instalacin es utilizar la cuenta de administrador incorporada para crear una segunda cuenta con todos los privilegios administrativos. Esta cuenta puede tener el nombre del administrador o llamarse de alguna forma descriptiva. Conviene usarla para el trabajo administrativo de cada da. Hay que asignar una contrasea especial segura para la cuenta de administrador incorporada y cambiarle el nombre predeterminado. Hay que esconder la contrasea y el nombre en algn lugar seguro y relegar esa cuenta a una semi-jubilacin. Como es posible desactivar cualquier cuenta de administrador, incluyendo la cuenta de administrador incorporada, resulta prudente tener una cuenta de reserva. De esta forma, siempre se tendr una cuenta de administrador no contaminada; y que se sabe que es buena, a la que recurrir slo si se da el caso. Componentes de Windows 2000: La siguiente ventana sirve para seleccionar los componentes a instalar en este momento. Para instalar una opcin, hay que seleccionar la casilla de verificacin situada a la izquierda de la opcin, o seleccionar la opcin y pulsar con el ratn en el botn Detalles para modificar los subcomponentes que se deseen instalar. En la ventana de ubicacin de marcado que se muestra si la instalacin detecta un mdem, hay que seleccionar el pas, introducir el cdigo de zona o la lnea telefnica (si la hay), introducir los cdigos necesarios para obtener lnea al exterior y pulsar Siguiente. (Se pueden escoger localizaciones adicionales o modificar la localizacin actual por medio de la herramienta Opciones de telfono y mdem del Panel de control cuando haya concluido la instalacin.) Valores de fecha y hora: Hay que revisar la fecha, hora e informacin de la zona horaria, realizar cualquier correccin necesaria y pulsar Siguiente para configurar los parmetros de red. Si se seleccion Servicios de Terminal Server, hay que escoger el modo de operacin, que puede ser Modo de administracin remoto o Modo de servidor de aplicaciones. Pulsar Siguiente. Configuracin de Red: Nos da dos posibilidades de configuracin, una personalizada o tpica. G Configuracin tpica: se instalan los siguientes protocolos y servicios de red usados comnmente: Cliente para redes Microsoft, Compartir impresoras y archivos para redes Microsoft y TCP/IP configurado para utilizar DHCP (o Direcciones IP privadas automticas (APIPA, Automatic Prvate IP Adressing) si no hay ningn servidor DHCP disponible.)
Captulo 4
13.
14.
15.
16.
17.
18.
Configuracin personalizada: muestra la lista predeterminada de componentes de red y que se puede modificar segn las necesidades. Para instalar componentes adicionales hay que pulsar el botn Instalar, seleccionar Cliente, Servicio o Protocolo, pulsar Agregar, seleccionar el componente deseado y pulsar Aceptar. Para desactivar un componente instalado hay que desmarcar la casilla de verificacin situada al lado del componente y pulsar Desinstalar para eliminarla del sistema. Grupo de Trabajo y Dominio: Para unirse a un grupo de trabajo, hay que elegir la primera opcin de la ventana Grupo de trabajo o dominio del equipo y escribir el nombre del grupo de trabajo en el cuadro de texto Dominio o grupo de trabajo del equipo. Si se est configurando un nuevo dominio, hay que escoger la primera opcin y teclear en el cuadro de texto Dominio o grupo de trabajo del equipo el nombre del dominio futuro (la instalacin hace que se cree un grupo de trabajo con ese mismo nombre). Para unirse a un dominio existente, hay que pulsar la segunda opcin e introducir el nombre del dominio al que se desea unirse en el cuadro de texto Dominio o grupo de trabajo del equipo. Hay que pulsar Siguiente cuando se haya terminado de configurar los parmetros del dominio o grupo de trabajo. Si se escoge unirse a un dominio, aparece un cuadro de dilogo pidiendo la introduccin de un nombre de usuario y una contrasea para un usuario con permisos suficientes para crear una nueva cuenta de equipo para el servidor. Hay que introducir el nombre de usuario y la contrasea y pulsar despus Aceptar. La instalacin inicia sesin en el dominio y configura una cuenta de equipo para el servidor. Instalando componentes: El programa instala despus los componentes especificados y configura Windows 2000. Cuando finaliza ese proceso, se borran todos los archivos de instalacin temporales y se solicita la extraccin de cualquier CD-ROM o disquete que haya en las unidades. Hay que pulsar Finalizar para reiniciar el equipo. Si se produce algn error durante el proceso de instalacin, el programa de instalacin muestra un mensaje de error y pregunta si se desea ver el archivo de registro setuplog.txt creado. Para hacer esto, hay que pulsar Aceptar. Conviene revisar el archivo y pulsar despus Cerrar para reiniciar el sistema. Cuando la instalacin reinicie el equipo, se ver la ventana de inicio de sesin estndar de Windows 2000. Cuando se inicie sesin aparecer el asistente para Configurar el servidor que servir de gua durante la configuracin de los parmetros adicionales del servidor.
G
Automatizacin de las instalaciones de Windows 2000 Server La instalacin de Windows 2000 Server, como la instalacin de cualquier sistema operativo, dura bastante tiempo. La configuracin de mltiples servidores puede consumir das enteros si se configura cada servidor manualmente. El tiempo que se puede ahorrar mediante la automatizacin de las instalaciones para un gran nmero de servidores similares compensa con creces los contratiempos ocasionales que puedan aparecer. Antes de automatizar las instalaciones, se debera realizar un par de instalaciones manuales para familiarizarse mejor con el proceso de instalacin. Conviene revisar los puntos anteriores y prestar atencin durante el proceso de instalacin. Se puede avanzar un paso y utilizar los modificadores de la
Captulo 4
lnea de comandos para automatizar parcialmente la instalacin. Despus de eso, se pueden crear algunos guiones que automaticen partes del proceso de instalacin pero que an permitan al usuario introducir datos en otras partes. Cuando el proceso resulte familiar, se pueden crear y probar guiones de instalacin completamente automatizados. Si el tiempo para ajustar los guiones de instalacin crece demasiado, conviene tener en cuenta que es necesario automatizar completamente todas las instalaciones. El uso de los archivos de respuesta automatizados (guiones de instalacin) puede proporcionar considerables ahorros de tiempo, pero es importante elegir el nivel de automatizacin apropiado para un trabajo concreto. Eso implicar crear algunas veces un nico archivo de respuesta que se utilizar para implantar cientos de servidores, y otras significar utilizar slo uno o dos parmetros de la lnea de comandos para acelerar la instalacin de un nico servidor. Parmetros de la lnea de comandos del Programa de instalacin Se puede hacer ms eficiente el proceso de instalacin en una nica mquina ejecutando el programa de instalacin con parmetros de la lnea de comandos; tambin se pueden utilizar los parmetros de la linea de comandos para especificar un archivo de respuesta que automatice completamente la instalacin Para utilizar un parmetro de la lnea de comandos en un equipo sin Windows 95/98 o Windows NT, hay que iniciar el equipo con un disco de inicio MS-DOS o Windows 95/98. Despus, en el smbolo del sistema, hay que escribir [ruta de acceso]\winnt.exe [parmetro], sustituyendo [ruta de acceso] por la ubicacin de los archivos de instalacin de Windows 2000. Para utilizar un parmetro de la lnea de comandos en un equipo con Windows 95/98, Windows NT o Windows 2000, hay que iniciar el equipo con el sistema operativo y abrir una ventana con el smbolo del sistema. Despus hay que escribir [ruta de acceso]\winnt32.exe [parmetroJ, sustituyendo [ruta de acceso] por la ubicacin de los archivos de instalacin de Windows 2000 adems de reemplazar [parmetro] por el parmetro o parmetros apropiados que se desean utilizar. Parmetros del comando WINNT.EXE:
G G
/a: Activa las Caractersticas de accesibilidad durante la instalacin. /e:[comando]: Ejecuta el comando que sigue al parmetro /e: cuando finaliza el Asistente para la instalacin de Windows 2000. /i:[archivo inf]: Especifica el archivo de informacin (.INF) que ha de utilizar Instalar (el predeterminado es dosnet.inf). No hay que incluir la ruta de acceso al archivo. /r:[carpeta]: Nombra una carpeta adicional que debe ser copiada en la carpeta en la cual se instala Windows 2000. La carpeta permanece despus de que el programa de instalacin termine, y se pueden copiar carpetas adicionales utilizando varios parmetros /r:. /rx:[carpeta]: Nombra una carpeta adicional que debe ser copiada en la carpeta en la que se instala Windows 2000. La carpeta se borra cuando el programa de instalacin termina.
Captulo 4
G
/s:[ruta origen]: Especifica la ubicacin de los archivos de instalacin de Windows 2000. (La forma predeterminada es la carpeta actual.) Debe de ser una ruta de acceso completa, X:\ruta o \\servidor\ruta\compartida. Para especificar mltiples rutas de acceso para que el programa de instalacin busque los archivos necesarios, hay que utilizar varios parmetros /s:. /t:[letra de unidad]: Especifica la unidad de disco donde se quiere que el programa de instalacin copie sus archivos temporales. De forma predeterminada, el programa de instalacin utiliza la particin con mayor espacio libre. /u:[archivo de respuestas]: Ejecuta el programa de instalacin en modo desatendido utilizando el archivo de respuestas proporcionado. Se debe utilizar el modificador /s: para especificar la ubicacin del archivo de respuestas. /udf:[id, archivo UDF]: Especifica un archivo de base de datos nico (UDF, Uniqueness Database File) para modificar un archivo de respuestas. El ID identifica qu parmetro del archivo de respuestas debera reemplazarse con informacin del archivo UDF. Por ejemplo, /udf:ComputerName,nuestra_empresa.udf tomara el Nombre de la empresa del archivo .UDF en lugar del archivo de respuestas. Si no se especifica un archivo UDF, se pedir la introduccin de un disco que contenga el archivo $Unique$.udf.
Parmetros del comando WINNT32.EXE:

G
/checkupgradeonly: Ejecuta una prueba de compatibilidad en el equipo para ver si tiene algn problema que pudiera interferir con la actualizacin del SO. Guarda un informe Winnt32.log en la carpeta de instalacin para las actualizaciones de NT, o un informe Upgrade.txt en la carpeta Windows para las actualizaciones de Windows 95/98. /cmd:[comando]: Ejecuta el comando que sigue al parmetro /cmd: cuando el Asistente para la instalacin de Windows 2000 termine. /cmdcons: Activa el uso de la Consola de recuperacin durante el inicio para poder reparar instalaciones fallidas. Slo se puede utilizar despus de que se haya instalado Windows 2000. /copydir:[nombre de carpeta]: Nombra una carpeta adicional que debe ser copiada en la carpeta en la que se instala Windows 2000 (\Winnt). La carpeta permanece cuando el programa de instalacin termina y se pueden copiar carpetas adicionales utilizando el parmetro varias veces. La carpeta puede contener controladores u otros archivos necesarios despus de la instalacin. /copysource:[nombre de carpeta]: Nombra una carpeta adicional que debe ser copiada en la carpeta en la cual se instala Windows 2000. La carpeta se borra cuando el programa de instalacin termina. /debug[nivel: nombre de archivo]: Crea un archivo de registro de depuracin con el nivel especificado. El predeterminado crea un archivo de registro llamado C:\winnt32.log con el nivel establecido a 2 (Advertencias). /m:[nombre de carpeta]: Especifica la ubicacin de una carpeta que contiene los reemplazamientos de los archivos de sistema. El programa de instalacin examina primero esta carpeta cuando busca los archivos a copiar y despus la carpeta de instalacin. /makelocalsource: Informa al programa de instalacin que copie todos los archivos de la instalacin al disco duro local para que estn disponibles ms adelante durante la instalacin si el CD-ROM de Windows 2000 o el recurso de red compartido no est accesible.
Captulo 4
G
/noreboot: Informa al programa de instalacin que no reinicie despus de que finalice la fase inicial de copia de archivos de Windows NT/95/98/2000 de la instalacin. Esto permite ejecutar comandos adicionales antes de continuar. /s:[ruta de origen]: Especifica la ubicacin de los archivos de instalacin de Windows 2000. (La forma predeterminada es la carpeta actual.) Debe ser una ruta de acceso completa, X:\ruta o \\servidor\ruta\compartida. Para especificar mltiples rutas de acceso para que el programa de instalacin busque los archivos necesarios, hay que utilizar varios parmetros /s:. (Algunas veces tambin se pueden acelerar las transferencias desde un servidor especificando el mismo origen ms de una vez.) El programa de instalacin fallar si el primer servidor no est disponible. /syspart:[letra de unidad]: Especifica un disco duro al cual se quieren copiar los archivos de inicio de la instalacin. Se marca como activa esta unidad de disco y el programa de instalacin termina, permitiendo extraer el disco e insertarlo en otro equipo. Cuando se inicie de nuevo el equipo, la siguiente fase de la instalacin comenzar automticamente. Hay que usar el parmetro /tempdrive junto con el parmetro /syspart (ambos apuntando a la misma unidad de disco). /tempdrive:[letra de unidad]: Especifica la unidad de disco donde se quiere que el programa de instalacin copie sus archivos temporales e instale Windows 2000. De forma predeterminada, el programa de instalacin utiliza la particin con mayor espacio libre. /unattend: Actualiza la versin anterior de Windows en modo desatendido, tomando toda la configuracin de la instalacin anterior. Los OEMs no deberan utilizar el modificador unattend en las ventas para usuarios finales porque admite de forma explcita la comprensin y aceptacin del contrato de licencia para usuarios finales (EULA, End User Licence Agreement). /unattend:[nm:archivo de respuestas]: Ejecuta el programa de instalacin en modo desatendido utilizando el archivo de respuestas proporcionado. El parmetro nm especifica el nmero de segundos que debe esperar despus de copiar los archivos y antes de reiniciar el equipo, y slo funciona cuando se ejecuta el programa de instalacin desde Windows 2000. Hay que utilizar el modificador /s: para especificar la ubicacin del archivo de respuestas. /udf:[id, archivo UDF]: Especifica un UDF a utilizar para modificar un archivo de respuestas. El ID identifica qu parmetro del archivo de respuestas debera reemplazarse con informacin del archivo UDF. Por ejemplo, /udf:ComputerName,nuestra_empresa.udf tomara el Nombre de la empresa del archivo .UDF en lugar del archivo de respuestas. Si no se especifica un archivo UDF, se pedir la introduccin de un disco que contenga el archivo $Unique$.udf.
Como se puede ver, muchos de estos parmetros se apoyan en otros parmetros, y muy pronto se acabarn escribiendo (y algunas veces reescribiendo) largas cadenas en el smbolo del sistema. Si se acaba haciendo esto a menudo, conviene crear un archivo de procesamiento por lotes (un archivo de texto con la extensin .BAT) que contenga el comando y los parmetros del programa de instalacin. Entonces, basta simplemente con ejecutar el archivo procesamiento por lotes en lugar de escribir todos los parmetros.
Creacin de una carpeta de distribucin
Una carpeta de distribucin (llamada algunas veces directorio origen) es una carpeta compartida en el
Captulo 4
servidor que contiene la carpeta \i386 del CD-ROM y cualquier controlador de dispositivo u otros archivos que se aadan para dar soporte a sistemas especficos: Si se utiliza la herramienta Setup Manager del Kit de recursos de Windows 2000 para crear guiones de instalacin automatizados, se puede disponer de una carpeta de distribucin ya creada. O se puede crear esta carpeta manualmente. Para crearla hay que seguir los siguientes pasos: 1. Conectarse al volumen donde se quiere crear la carpeta de distribucin. Copiar la carpeta \i386 desde el CD-ROM de Windows 2000 al volumen en el cual se quiere crear la carpeta de distribucin. 2. Crear una subcarpeta en la carpeta \i386 para cualquier controlador o programa adicional que se quiera preinstalar en los sistemas. Todos los archivos y carpetas de esta carpeta se copian a la carpeta temporal de la instalacin durante el proceso de instalacin. 3. Crear las subcarpetas adicionales necesarias para las instalaciones. Con Windows 2000, se pueden aplicar service packs a las carpetas de distribucin. Esto no slo elimina el paso del service pack del proceso de instalacin, sino que tambin asegura que si en algn momento un equipo necesita los archivos originales de Windows 2000 de la carpeta de distribucin, recibe archivos actualizados. (De esta forma los service packs no tienen que ser reaplicados nunca ms tras cambiar la configuracin del sistema.) Para actualizar una carpeta de distribucin, hay que ejecutar el programa de instalacin del service pack y dirigirlo a la carpeta de distribucin. Subcarpetas que se pueden crear para almacenar archivos extra Carpeta \$OEM$\textmode Descripcin La carpeta en la cual se sita cualquier archivo dependiente del hardware para utilizarlo durante la carga de la instalacin de Windows 2000 y durante la fase en modo texto del programa de instalacin. Entre estos archivos se incluye cualquier HAL del fabricante de equipos original (OEM, Original Equipment Manufacturer) que se podra usar, adems de controladores SCSI actualizados, de teclado, de vdeo y de dispositivos sealadores. En esta carpeta se incluye tambin el archivo txtsetup.oem para controlar la carga e instalacin de estos archivos. Para crear el archivo txtsetup.oem hay que crear un archivo de texto normal e incluir los nombres de todos los archivos de esta carpeta. (Hay que asegurarse de incluir este archivo y todos los archivos mencionados en el archivo Unattend.txt, bajo la seccin [OEMBootFiles].)
Captulo 4
\$OEM$\$$
La carpeta que contiene cualquier archivo o archivos de sistema nuevos que reemplazan a los archivos de sistema existentes. Estos archivos se copian en los diferentes subdirectorios que se crean en la carpeta de sistema de Windows 2000 (\winnt). Esta carpeta debe tener una estructura que se corresponda exactamente con las subcarpetas de sistema de Windows 2000 para aquellas carpetas en las que se quieran aadir o reemplazar archivos de sistema. Por ejemplo, para copiar archivos nuevos o de reemplazamiento en la carpeta \%windir%\System32, hay que crear una carpeta \$OEM$\$$\System32. La carpeta en la cual se sitan los archivos que se quieren copiar a la unidad de disco donde se instalar Windows 2000. Es equivalente a la variable de entorno %systemdrive% y se puede utilizar para permitir que las letras de unidad cambien sin causar problemas a las aplicaciones que se dirigen a una letra de unidad debido a su codificacin. Tambin se pueden crear subcarpetas aqu para los archivos que se desee y toda la estructura de carpetas se copiar a la unidad del sistema.
\$OEM$\$1
\$OEM$\letra_unidad La carpeta que especifica los archivos y carpetas adicionales que se han de copiar a la carpeta raz de la unidad de disco mencionada. Habr una entrada para cada unidad que necesite archivos adicionales. Por ejemplo, los archivos situados en la carpeta \$OEM$\C se copian en la carpeta raz de la unidad C: durante la fase enmodo texto de la instalacin. Tambin se copia cualquier subcarpeta de la carpeta \$OEM$\C. Todos los archivos deben utilizar nombres cortos (8.3), pero se pueden renombrar despus de la instalacin incluyndolos en el archivo $$Rename.txt. Las carpetas \Display y \Net que se utilizaban en la carpeta \$OEM$ en Windows NT 4 ya no se usan en Windows 2000. Tambin se puede situar la carpeta \$OEM$ fuera de la carpeta de distribucin si se incluye la ruta de acceso (archivo o UNC) a la carpeta \$OEM$ en el archivo de respuestas despus de la clave OEMFILESPATH.
Instalacin de controladores Plug and Play en la carpeta de distribucin
Para configurar la carpeta de distribucin con controladores Plug and Play (PnP) hay que seguir los siguientes pasos:
Captulo 4
1. Crear una subcarpeta en la carpeta \$OEM$\$1 con un nombre que no contenga ms de ocho caracteres. 2. Dentro de la subcarpeta creada se pueden crear subcarpetas adicionales para clasificar los dispositivos; por ejemplo, se deberan tener los siguientes directorios: \$OEM$\$1\Company\Net \$OEM$\$1\Company\Video \$OEM$\$1\Company\Sound 3. Copiar los controladores y los archivos .INF en la subcarpeta apropiada. 4. Si no se crean subcarpetas adicionales y se sitan todos los controladores en una nica subcarpeta (por ejemplo, \$OEM$\$1\Company), hay que aadir la siguiente lnea al archivo de respuestas: OEMPnPDriversPath = "Company". Si se crean mltiples subcarpetas para las unidades, hay que aadirlas al archivo de respuestas con el siguiente formato, en el que cada referencia a carpeta va separada por punto y coma: OEMPnPDriversPath = "Company\net; Company\video; Company\sound" .
Conversin de los nombres de archivo cortos en nombres de archivo largos de nuevo
La instalacin en modo texto de Windows 2000 requiere el uso de los formatos de archivo 8.3 de MSDOS porque el programa est basado en una implementacin MS-DOS de 16 bits. Por lo tanto, todos los archivos que se incluyan en la carpeta de distribucin necesitan tener nombres cortos compatibles con MS-DOS. Sin embargo, el programa de instalacin los convertir en nombres largos mediante el uso de un archivo de renombramiento. Para crear un archivo de renombramiento, hay que seguir los siguientes pasos: 1. Abrir el Bloc de notas. 2. Entre corchetes hay que escribir la ruta de acceso a la subcarpeta que contenga los archivos que se quieren renombrar (dejndola en blanco o utilizando el carcter barra invertida (\) para la carpeta raz). 3. Debajo de la cabecera entre corchetes hay que introducir cada nombre de archivo corto que se desea renombrar (sin encerrarlo entre comillas) seguido de un signo igual y el nombre de archivo largo entre comillas. 4. Se debe repetir el paso 3 con cada subcarpeta adicional en la cual haya archivos o carpetas que sea necesario renombrar. A continuacin se muestra un ejemplo de archivo de renombramiento: [media] nmarchl.txt = "Aqu el nombre de archivo largo.txt" ding.wav = "Campanada realmente alta y molesta.wav" whiz.drv = "Whizbang Deluxe Video.drv" [images] desktpl.bmp = "logo empresarial.bmp" desktp2.bmp = "logo de divisin.bmp" 5. Hay que guardar el archivo como $$rename.txt en la carpeta de distribucin antes de ejecutar el programa de instalacin.
Captulo 4
Tambin se incluye un archivo $$rename.txt ejemplo en el CD adjunto, en la carpeta \Samples\Chapter 5\unattend files.
Creacin de archivos de respuestas por medio del Asistente para administracin de la instalacin
Cuando se instala Windows 2000, el programa de instalacin se detiene varias veces a lo largo del camino esperando la introduccin de datos por parte del usuario. Los archivos de respuesta son simplemente archivos de texto que suministran esos datos al programa de instalacin, automatizando de este modo la mayor parte del proceso de instalacin. Si se dispone del Kit de recursos de Windows 2000, se tiene el Asistente para administracin de la instalacin de Windows 2000, una prctica herramienta para crear archivos de respuestas. Es un paso, que realmente ahorra trabajo, se puede configurar un servidor o cliente tpico y dejar despus que el Asistente para administracin de la instalacin construya un archivo de respuestas que duplique la configuracin de la mquina. Despus se puede utilizar el archivo de respuestas para configurar mltiples versiones de la mquina tpica. Para crear un nuevo archivo de respuestas hay que instalar primero las herramientas de soporte del Kit de recursos de Windows 2000. Despus hay que elegir el comando Ejecutar del men Inicio, escribir setupmgr en el cuadro de texto Abrir y seguir los siguientes pasos: 1. Pulsar Siguiente para empezar a utilizar el asistente, y escoger entonces la opcin de crear un nuevo archivo de respuestas. El Asistente para administracin de la instalacin de Windows 2000 recorre la creacin o modificacin de archivos de respuestas que se pueden utilizar para automatizar las instalaciones. 2. Elegir el tipo de instalacin para el que se quiere crear un archivo de respuestas escogiendo el tipo de instalacin apropiado. A continuacin, pulsar Siguiente. , 3. Seleccionar el producto para el cual se est creando el archivo de respuestas. 4. Suministrar el nombre y la empresa que se quieren utilizar, y despus pulsar con el ratn en Siguiente. (El cuadro de dilogo dice que si se dejan las cajas en blanco, no se especificar ningn nombre o empresa en el archivo de respuestas, pero para un archivo de respuestas totalmente automatizado, se requieren nombre y empresa.) 5. Especificar el modo de licencia que utilizarn los servidores, y, si es necesario, para cuntas conexiones simultneas se dispone de licencia; despus hay que pulsar Siguiente. 6. Crear una lista de nombres de equipo para que la utilicen los sistemas. Se debe introducir un nombre de equipo en el cuadro de texto Nombre de equipos, y pulsar despus Agregar. El Asistente para administracin de la instalacin de Windows 2000 toma los nombres (si hay dos o ms) y crea un UDF que el programa de instalacin consultar para obtener los nombres de los equipos, utilizando cada nombre solamente una vez. Conviene asegurarse de que los nombres de equipo son tanto compatibles DNS como compatibles NetBIOS si se quiere mantener la compatibilidad con clientes anteriores a Windows 2000. Hay que continuar introduciendo todos los nombres de equipo necesarios para el nmero de sistemas que se espera configurar por medio
Captulo 4
de este archivo de respuestas. Para eliminar un nombre de la lista, hay que seleccionar el nombre y pulsar despus el botn Quitar. Para importar una lista de nombres desde un archivo de texto, hay que pulsar el botn Importar. Se puede seleccionar Generar de forma automtica nombres de equipo basados en nombres de organizacin para que el programa de instalacin lo haga automticamente: los nombres incluirn unas pocas letras del nombre de la empresa pero, por otro lado, sern aleatorios e intiles. Cuando se haya terminado, hay que pulsar Siguiente. A la hora de determinar el nivel de interaccin que se le va a solicitar al usuario, existen varias alternativas, y la eleccin que se haga determina el nivel de atencin al proceso necesario por la persona que ejecute la instalacin. A continuacin se incluye una explicacin ms detallada de los niveles de interaccin: G Proporcionar valores predeterminados (Provide Defaults): Utiliza la informacin del archivo de respuestas como respuestas predeterminadas durante la instalacin de Windows 2000. El usuario todava tiene que confirmar los valores predeterminados o realizar cambios a medida que progresa la instalacin. G Completamente automatizado (Fully Automated): Automatiza completamente la instalacin por medio de los parmetros especificados en el archivo de respuestas proporcionado. Esta opcin resulta adecuada para configurar rpidamente mltiples sistemas con idnticas configuraciones. G Ocultacin de pginas (Hide Pages): Automatiza las partes de la instalacin para las que se proporciona informacin, pero requiere que el usuario suministre cualquier informacin que no se incluya en el archivo de respuestas. Se puede utilizar esta opcin para configurar un sistema de una forma especfica, al tiempo que an se permite al usuario personalizar algunas opciones limitadas. (El usuario slo ver las partes de la instalacin que no se cubran en el archivo de respuestas.) G Slo lectura (Read Only): Oculta las partes de la instalacin para las que se proporciona informacin, al igual que la opcin Ocultacin de pginas. Sin embargo, si se suministra en el archivo de respuestas slo parte de las respuestas de una ventana (y por lo tanto no est oculta para el usuario), el usuario puede completar slo la porcin no respondida de la ventana. Los parmetros proporcionados en el archivo de respuestas no se pueden cambiar durante la instalacin. G GUI atendida (GUI Attended): Automatiza la parte basada en texto de la instalacin. La persona que ejecute el programa de instalacin suministrar respuestas para el Asistente para la instalacin de Windows 2000. Conviene usar este nivel cuando se quiera automatizar la parte de la instalacin basada en texto y permitir que la persona que ejecute la instalacin proporcione los parmetros durante la parte GUI. 7. La siguiente ventana se puede utilizar para especificar cmo han de elegirse las contraseas de las cuentas de administrador de los sistemas. El archivo de respuestas que crea el Asistente para administracin de la instalacin de Windows 2000 es un archivo de texto no cifrado. Si se especifica una contrasea de cuenta de administrador en el archivo de respuestas, hay que asegurarse de que despus de la instalacin se cambie la contrasea de la cuenta de administrador por algo ms seguro. 8. Se puede seleccionar la configuracin de pantalla que va a utilizar el equipo durante la instalacin en la siguiente ventana. Se podran dejar los valores predeterminados o bien utilizar los
Captulo 4
9.
10.
11. 12.
13.
14. 15.
16.
parmetros ms bsicos (pantalla a 640 x 480 con 16 colores y 60Hz) para asegurar la compatibilidad. Tambin se puede especificar una configuracin personalizada pulsando en el botn Personalizada y especificando los parmetros deseados, pero se recomienda seguir adelante con el mnimo comn denominador de los parmetros para reducir problemas en la instalacin. Se puede ajustar la resolucin y los colores despus de la instalacin si es necesario. A continuacin hay que pulsar Siguiente. Se puede elegir la opcin Configuracin tpica para instalar TCP/IP, activar DHCP e instalar el Cliente para redes Microsoft en los sistemas, o se puede elegir la opcin Configuracin personalizada para especificar cmo se desean configurar los parmetros de red de los sistemas. A continuacin, pulsar Siguiente. Esta ventana ofrece la opcin de unir el equipo o equipos a un dominio o a un grupo de trabajo. Si los sistemas se van a unir a un grupo de trabajo hay que elegir la opcin Grupo de trabajo y escribir el nombre del grupo de trabajo apropiado. Si los sistemas se van a unir a un dominio, hay que elegir la opcin Dominio de servidor Windows. Hay que escribir el nombre del dominio de Windows Server en el cuadro de texto proporcionado. Para crear una cuenta para el equipo en el dominio se debe pulsar la casilla de verificacin Crear una cuenta de equipo en el dominio y suministrar un nombre de usuario y contrasea. El nombre de usuario y contrasea deben ser los de una cuenta de usuario que tenga suficientes privilegios administrativos para autorizar la creacin de una cuenta de equipo. Para continuar, hay que pulsar Siguiente. Si se introduce un nombre de usuario y contrasea con privilegios suficientes para crear una cuenta de equipo en el dominio para los nuevos sistemas, se aade un riesgo de seguridad porque el archivo de respuestas almacena todas las contraseas en un archivo de texto plano sin cifrar. La mejor solucin es no incluir contraseas de cuentas administrativas en un archivo de respuestas, pero, si es necesario hacerlo, hay que proteger cuidadosamente el archivo y asegurarse de borrarlo despus de completar la instalacin. En la siguiente ventana se puede especificar la zona horaria que utilizarn los sistemas. Pulsar Siguiente. En este punto ya se ha recogido suficiente informacin para crear el archivo de respuestas, pero tambin se pueden especificar parmetros adicionales. Si se opta por no editar los parmetros adicionales, se puede saltar al paso 18. En otro caso, hay que seleccionar S, modificar la configuracin adicional y pulsar Siguiente. Elegir Configuracin regional, donde se especifica (o se rehsa especificar) el conjunto de caracteres para el idioma y regin donde se utilizar el equipo. Esta configuracin determina la representacin predeterminada para la hora, la fecha, la moneda y otros caracteres especficos de una regin. En la ventana Idiomas se puede seleccionar cualquier grupo adicional de idiomas que se desee utilizar. Pulsar Siguiente. En la ventana Configuracin del explorador y el shell se puede seleccionar el mtodo de personalizacin de Internet Explorer. Se pueden dejar los valores predeterminados, utilizar un guin de autoconfiguracin personalizado creado con el Kit de administracin de Internet Explorer, o especificar los parmetros concretos del proxy y de la pgina inicial predeterminada. En la ventana Carpeta de instalacin, se puede escoger la carpeta en la que se desea instalar
Captulo 4
17.
18.
19. 20.
21.
22.
23.
Windows 2000. Se debe utilizar la carpeta predeterminada e instalar en una carpeta llamada \Winnt a menos que se tenga un motivo especfico para hace otra cosa. Si se elige crear una carpeta de distribucin desde la cual el sistema instalar Windows 2000, se pedir especificar si se debera crear una nueva carpeta o modificar una existente. Si se va a instalar Windows 2000 desde un CD-ROM, no se necesitar una carpeta de distribucin, por lo que se debe elegir No. Para instalar controladores de almacenamiento masivo (generalmente controladores para nuevos adaptadores SCSI o controladores FibreChannel), hay que pulsar el botn Examinar en la ventana Proporcionar controladores adicionales de almacenamiento masivo. Se solicitar la ubicacin de los controladores. Hay que especificar una HAL de reemplazamiento si se necesita una. Pulsar el botn Examinar y localizar la HAL proporcionada por el fabricante del sistema. Introducir cualquier comando a ejecutar al final de la instalacin en el cuadro de texto Comandos para ejecutar, pulsando Agregar despus de escribir cada comando. Obsrvese que no se pueden ejecutar comandos que requieran que un usuario inicie sesin. Se pueden eliminar comandos de la lista seleccionando el comando y pulsando Quitar. Para personalizar la instalacin, se puede incluir un logotipo o fondo para que se muestre durante la instalacin. Se puede especificar un mapa de bits con el logotipo para que se muestre en la esquina durante la parte GUI de la instalacin. El mapa de bits con el fondo debe ser de 640 por 480 con 16 colores y se mostrar como fondo durante la instalacin. En la ventana Copia de archivos o carpetas adicionales, se pueden seleccionar archivos o carpetas que se copiarn automticamente en el equipo destino. Esta lista se puede extender a varias carpetas. Hay que resaltar una carpeta y pulsar Agregar archivo. Despus hay que buscar el archivo o la carpeta a aadir. Si se dispone de controladores adicionales para dispositivos Plug and Play que no estn incluidos en Windows 2000, se deben copiar a la carpeta IPlug and Play Drivers en la unidad de disco del sistema. La instalacin de Windows 2000 buscar los controladores en esta carpeta si no pudiera encontrarlos. Escribir el nombre y la ubicacin para el archivo de respuestas y despus pulsar Siguiente. Hay que pulsar Finalizar para cerrar el asistente. El Asistente para administracin de la instalacin crea un archivo de procesamiento por lotes (con el mismo nombre que el archivo de respuestas) que, cuando se ejecute, iniciar la instalacin y utilizar los contenidos del archivo de respuestas. Se puede utilizar este archivo de procesamiento por lotes o ejecutar el programa de instalacin con los parmetros apropiados, incluyendo el parmetro con la ruta de acceso del archivo de respuestas. Los archivos de procesamiento por lotes que crea el Asistente para administracin de la instalacin de Windows 2000 utilizan la versin de 32 bits del programa de instalacin. Si no se dispone de una versin de 32 bits de Windows en la mquina donde se pretende instalar Windows 2000, hay que modificar el archivo de procesamiento por lotes para que utilice el archivo con la versin de 16 bits del programa de instalacin, borrando el 32 desde la tercera hasta la ltima lnea del archivo. Tambin hay que cambiar el parmetro /unattend: desde la segunda hasta la ltima lnea por /u:
Captulo 4
Resolucin de los problemas de las instalaciones

En muchos casos, la instalacin de Windows 2000 Server es un proceso relativamente llevadero; sin embargo, cuando el programa de instalacin falla por una u otra razn, la vida se complica. Afortunadamente, la mayora de los problemas de la instalacin se resuelven con facilidad. El Programa de instalacin se paraliza o se bloquea Algunas veces la instalacin de Windows 2000 se bloquea inexplicablemente al poco tiempo de comenzar el proceso de instalacin. Si se recibe un mensaje de error STOP, conviene anotarlo y consultar bien el Solucionador de problemas relacionados con errores graves en la ayuda de Windows 2000 o en el soporte tcnico de Microsoft. En general, estos fallos son intermitentes y no vienen acompaados ms que con un mensaje de error de escasa utilidad. Lo primero es reiniciar el sistema presionando CTRL+ALT+SUPR. Hay que hacer esto de forma repetida si es necesario. Si no se obtiene respuesta hay que pulsar el botn RESET del equipo o apagar el sistema, esperar 10 segundos y volverlo a encender. Si aparece un Men de inicio, hay que escoger la opcin Instalacin de Windows 2000 Server para permitir que Instalar Windows 2000 trate de continuar con su instalacin. Si no aparece ningn Men de inicio, hay que ejecutar el programa de instalacin de nuevo. En cualquier caso, no se debe optar por reparar la instalacin sino por continuar con el programa de instalacin. El programa de instalacin detecta, normalmente, que ha ocurrido un error en su ltimo intento de instalar Windows 2000 y lo compensa con un mtodo ms seguro de instalacin. Si el programa de instalacin se bloquea o deja de responder de nuevo, hay que repetir el proceso. Algunas veces, el programa de instalacin se bloquear en mltiples ocasiones antes de finalizar la instalacin de Windows 2000, por lo que hay que ser persistente. Si la instalacin se paraliza en una parte concreta del proceso, se puede intentar elegir unas opciones de instalacin ms sencillas, si son aplicables. Por ejemplo, se pueden descartar los componentes opcionales de Windows. A continuacin se muestran otros procedimientos que se pueden utilizar para solucionar problemas de instalacin:
G
Desactivar la cach del sistema (la cach del procesador) en la BIOS, y ejecutar el programa de instalacin de nuevo. Para realizar esta operacin conviene consultar la documentacin del hardware para obtener ms informacin sobre el procedimiento correcto. Una vez que se ha completado la instalacin, hay que activar la cach de nuevo para evitar una prdida significativa del rendimiento. Intentar aadir un estado de espera para la RAM en la BIOS del sistema. Esto puede ser de ayuda con chips de RAM parcialmente defectuosos. (Sin embargo, si este servidor es importante -y qu servidor no lo es?- conviene plantearse el reemplazar esa RAM sospechosa antes de realizar
Captulo 4
G G
cualquier trabajo crtico en la mquina.) Verificar que los mdulos RAM estn fabricados por la misma empresa y sean de la misma velocidad y tipo. Aunque esto no sea una necesidad puede, a menudo, eliminar problemas. Modificar el orden de los mdulos RAM o quitar algunos mdulos y tratar de instalar de nuevo. Verificar los mdulos RAM para buscar chips RAM defectuosos con un programa de terceros. Hay que reemplazar cualquier mdulo defectuoso y ejecutar el programa de instalacin de nuevo. Comprobar el equipo en busca de un virus MBR iniciando desde un disquete libre de virus y despus ejecutar un programa detector de virus y explorar las unidades en busca de virus. Si se encuentra algn virus hay que eliminarlo del sistema y ejecutar el programa de instalacin de nuevo.
Si el programa de instalacin se paraliza sistemticamente durante el Asistente para la instalacin basado en Windows 2000 y el sistema tiene una BIOS compatible con ACPI, la BIOS podra no funcionar en modo ACPI con Windows 2000. Las paralizaciones pueden producirse en cualquier momento durante el Asistente para la instalacin, aunque se producen ms frecuentemente durante la fase de deteccin de dispositivos. Si se sospecha que la BIOS no est funcionando correctamente con Windows 2000, conviene descargar la ltima versin desde el distribuidor del sistema. Si aun as hay problemas, o si no se encuentra disponible la BIOS actualizada, se puede intentar desactivar la ACPI durante la instalacin presionando F5 al principio de la fase en modo texto del programa de instalacin, justo despus de que se indique que se puede pulsar F6 para instalar controladores de almacenamiento de terceros. Si esto no resuelve los problemas de la instalacin, significa que no existe un problema con el soporte ACPI de la BIOS. Se puede volver a aadir el soporte ACPI una vez finalizada la instalacin abriendo el cuadro de dilogo Propiedades de PC estndar en el Administrador de dispositivos y utilizando el Asistente para actualizacin de controlador de dispositivo para instalar el controlador Equipo compatible con ACPI, sin embargo, esto podra introducir problemas de estabilidad en el sistema y slo debera intentarse si se es amante del riesgo. Tambin se puede activar o desactivar manualmente el soporte ACPI tras finalizar la fase de copia de archivos de la instalacin, justo antes de que el equipo pase al Asistente para la instalacin de Windows 2000. (Algunas veces se puede hacer esto despus de que el sistema se paralice durante el Asistente para la instalacin.) Para forzar a Windows 2000 a que active o desactive el soporte ACPI se deben seguir los siguientes pasos: 1. Despus de que finalice la fase en modo texto del programa de instalacin, pero antes de que Windows 2000 pase a Asistente para la instalacin, hay que ir al smbolo del sistema. 2. Escribir attrib -r -s -h c:\txtsetup.sif en el smbolo del sistema. 3. Abrir el archivo c:\txtsetup.sif por medio del comando edit u otro editor de textos y buscar "ACPIEnable=". 4. Para forzar la activacin del soporte ACPI, lo que algunas veces soluciona problemas de instalacin, hay que cambiar el valor de "ACPIEnable=" a 1.
Captulo 4
5. Para desactivar el soporte ACRI, hay que cambiar el valor de ACPIEnable= a 0. 6. Guardar el archivo y reiniciar para pasar al Asistente para la instalacin de Windows 2000. De nuevo si alguno de los pasos realizados revela hardware cuestionable, hay que reemplazar el hardware antes de confiar en el equipo para almacenar informacin importante o proporcionar funciones crticas a los usuarios. El Programa de instalacin se detiene durante la copia de archivos Si el programa de instalacin se bloquea mientras copia archivos, podra existir un problema con la configuracin de la unidad de disco IDE. Se pueden intentar algunas de las siguientes soluciones:
G
Reiniciar la mquina usando CTRL+ALT+suPR o Reset y acceder a la BIOS del sistema. Hay que verificar que los controladores IDE estn activados y configurados apropiadamente. Conviene asegurarse de que todos los discos duros o CD-ROM IDE se han detectado correctamente. (Para verificarlo, posiblemente haya que reiniciar el sistema y observar la pantalla, porque a menudo las unidades no se muestran dentro de la BIOS.) Comprobar la configuracin fsica de los puentes de las unidades de disco para asegurarse de que indiquen correctamente que hay un maestro y un mximo de un esclavo por canal IDE. Si la unidad de CD-ROM se encuentra en el mismo canal que el disco duro, conviene moverla al segundo canal y configurarla como maestra. Intentar disminuir la tasa de transferencia de datos de las unidades; por ejemplo, se pueden configurar las unidades para que utilicen PIO modo 2 en lugar del modo Ultra DMA o modo de transferencia Ultra 66. Asegurarse de que las unidades estn correctamente cableadas y que los cables no estn defectuosos. Verificar la configuracin del hardware para asegurarse de que el controlador del disco duro no est en conflicto con otro dispositivo. Se pueden intentar extraer todas las tarjetas del equipo, excepto la tarjeta de vdeo y el adaptador SCSI (si se est utilizando una unidad SCSI), y ejecutar el programa de instalacin de nuevo. Si la instalacin tiene xito, hay que aadir las tarjetas una a una despus de la instalacin, y utilizar el Asistente para nuevo hardware encontrado de Windows 2000 para configurar los dispositivos y resolver cualquier conflicto de hardware que se encuentre. Windows 2000 proporciona una variedad de herramientas que se pueden utilizar para iniciar un sistema que no quiere iniciar, incluyendo las opciones Modo seguro y La ltima configuracin buena conocida, adems de la Consola de recuperacin, que permite un acceso de lnea de comandos a una unidad NTFS o FAT que no iniciara.
Si nada de esto sirve de ayuda, se pueden intentar las recomendaciones de la seccin anterior o consultar la Base de conocimiento de Windows 2000.
Captulo 4
El sistema operativo anterior no se inicia Cuando se instala Windows 2000 Server en un equipo que ya utiliza un sistema operativo y se opta por no actualizar, el programa de instalacin crea un inicio dual de forma que se pueda seleccionar qu sistema operativo se quiere utilizar en el momento de iniciar. Si el equipo nunca muestra el men del Cargador de Windows 2000 que permite escoger el sistema operativo anterior, el problema se debe generalmente a uno o dos motivos: el archivo boot.ini tiene un tiempo lmite establecido a 0 (y, de este modo, el Men de inicio no se muestra), o bien el MBR se ha sobreescrito durante la instalacin, impidiendo el inicio del sistema operativo anterior incluso si se dispone de la entrada apropiada en el archivo boot.ini. Para restaurar la capacidad de iniciar el resto de sistemas operativos, primero hay que realizar una copia de seguridad del disco duro con un programa de copia de seguridad de Windows 2000 que guarde la informacin del estado del sistema (como la utilidad Copia de seguridad incluida en Windows 2000). Hay que crear un disco de reparacin de emergencia, tambin con Copia de seguridad, y seguir despus los siguientes pasos: 1. Reiniciar el equipo y presionar la BARRA ESPACIADORA despus de que se muestren las pantallas de la BIOS y en cuanto aparezcan los puntos en la parte superior de la pantalla. Esto muestra la pantalla Men de recuperacin de perfil y configuracin de hardware. 2. Presionar F3 para mostrar la pantalla del Cargador de Windows 2000 sin valor de tiempo lmite. 3. Seleccionar el sistema operativo anterior y pulsar INTRO para iniciarlo. Tambin se puede cambiar el parmetro tiempo lmite si se abre el subprograma Sistema del Panel de control de Windows 2000, se pulsa en la pestaa Avanzado, se pulsa Inicio y recuperacin, se selecciona entonces la casilla de verificacin Mostrar lista de sistemas operativos durante y se establece el nmero de segundos que se desea que se muestre el men de inicio. Si esto funciona y se desea que se muestre el Cargador de Windows 2000 automticamente, hay que cambiar el valor timeout en el archivo boot.ini a un valor superior a 0. Para hacer esto hay que seguir los siguientes pasos: 1. En el smbolo del sistema de Windows 2000 (si la unidad de inicio est con formato NTFS) o de MS-DOS (iniciando desde un disquete) hay que escribir el siguiente comando: attrib -r -s -h c:\boot.ini edit c:\boot.ini 2. Cambiar el valor del tiempo lmite de 0 al nmero de segundos que se desea que el sistema muestre la pantalla del Cargador de Windows 2000 antes de iniciar automticamente. (El valor predeterminado es de 30 segundos.) 3. Guardar y cerrar Edit, y escribir el siguiente comando:
Captulo 4
attrib +r +s +h c:\boot.ini 4. Reiniciar el equipo de forma normal. Si el equipo no tiene un archivo boot.ini, se puede utilizar o modificar uno de los archivos boot.ini incluidos en el CD adjunto o crear uno partiendo de cero. A continuacin se muestra un ejemplo de archivo boot.ini. [Boot Loader] Timeout=30 Default=multi(0)disk(0)rdisk(0)partition(1)\WINNT [Operating Systems] multi(0)disk(0)rdisk(0)partition(1) \WINNT="Windows 2000 Server" /fastdetect multi(0)disk(1)rdisk(0)partition(1) \WINNT="Windows 2000 Profesional (Instalacin paralela)" /fastdetect Las variables clave de un archivo boot.ini
G G G
G G
Timeout: Nmero de segundos que se debe mostrar el men del Cargador de Windows 2000. Default: Ubicacin del sistema operativo predeterminado para iniciar. Multi: Nmero y tipo de controlador de disco duro utilizado. Hay que reemplazarlo por un parmetro scsi para unidades de disco conectadas a un controlador SCSI con su BIOS desactivada. Disk: Nmero del disco en el que reside el sistema operativo. Este valor siempre ser 0 para unidades IDE, pero ser el ID SCSI de una unidad SCSI. rdisk: Nmero del disco en el que reside el sistema operativo. Para unidades IDE ser el nmero ordinal de la unidad, comenzando por el 0. Para un disco SCSI siempre ser 0. Partition: Nmero de la particin en la que reside el sistema operativo. La numeracin comienza por el 1. \WINNT: Ruta de acceso al sistema operativo en la particin especificada. "Windows 2000 Server": Nombre del sistema operativo que se muestra en el Men de inicio del Cargador de Windows 2000. Puede ser cualquiera. La creacin incorrecta de un archivo boot.ini puede causar que un sistema no inicie. No conviene realizar este procedimiento a menos que se disponga de una copia de seguridad actual, un disco de inicio que funcione y permita acceder a todos los recursos necesarios del equipo (hay que verificar el disco primero!), junto con el CD de instalacin de Windows 2000, los discos de inicio del programa de instalacin y un Disco de reparacin de emergencia recin creado.
Cuando se crea el archivo boot.ini hay que asegurarse de utilizar el nmero de unidad de disco y de particin correctos o el sistema no iniciar. Una vez que se haya modificado o creado el archivo boot.ini, hay que copiarlo a la carpeta raz de la unidad de disco de inicio y reiniciar el equipo. Cuando aparezca el
Captulo 4
men del Cargador de Windows 2000, hay que seleccionar el sistema operativo que se desea cargar y presionar INTRO. Las particiones se numeran de la siguiente manera: primero se numeran las unidades que se encuentran en particiones primarias por orden de posicin en el disco, despus las unidades lgicas creadas en las particin extendida. Si el sistema operativo que tiene problemas para iniciar es Windows NT o Windows 2000, se puede utilizar un modificador en la seccin [Operating Systems] del archivo boot.ini para ayudar en la resolucin del problema. Si no se puede iniciar apropiadamente con ninguno de los sistemas operativos, es necesario eliminar el archivo boot.ini recin creado. Hay que iniciar el equipo por medio de la Consola de recuperacin o un disco de inicio, escribir las siguientes lneas en el smbolo del sistema y reiniciar entonces el sistema. attrib -r -s -h c:\boot.ini del boot.ini Si el sistema operativo no inicia adecuadamente, podra ser necesario volver a crear el MBR del sistema operativo que estaba instalado antes. Esto es un asunto arriesgado, por lo que conviene releer la advertencia de la el Aviso anterior y asegurarse de que se dispone de tiempo para reinstalar el sistema operativo y restaurar una copia de seguridad si ocurre algn problema. Para volver a crear el MBR del sistema operativo anterior, hay que seguir los siguientes pasos: 1. Iniciar el equipo con un disco de inicio del sistema operativo que no se puede iniciar. (Hay que asegurarse de que el disco contenga el archivo Sys.com.) 2. Escribir lo siguiente en el smbolo del sistema para transferir los archivos del sistema del disquete al disco duro: A:\sys c: Si este paso no funciona en ese sistema operativo, hay que transferir los archivos del sistema de la forma que permita el sistema operativo o intentar utilizar cualquier utilidad de reparacin de MBR incluida en ese sistema operativo. 3. Extraer el disquete y reiniciar el equipo. Hay que verificar que el sistema operativo que se quiere reparar se inicia correctamente antes de realizar el siguiente paso. 4. Iniciar Windows 2000 por medio del CD-ROM o los discos de inicio del programa de instalacin de Windows 2000. 5. Cuando se ejecute la instalacin de Windows 2000, hay que presionar Intro para empezar y pulsar despus R para reparar una instalacin existente. 6. Presionar R de nuevo y presionar despus M para realizar una reparacin manual. 7. Desmarcar todas las casillas de verificacin excepto la casilla Inspeccionar el sector de inicio. Pulsar despus Intro. 8. Insertar el disco de reparaciones de emergencia cuando se solicite, o presionar Esc para que el programa de instalacin busque la instalacin de Windows 2000.
Captulo 4
9. Cuando el programa de instalacin termine de reparar el MBR, hay que reiniciar el equipo y escoger el sistema operativo apropiado en el men del Cargador de Windows 2000. Modificadores para resolucin de problemas del sistema operativo:
G
G G
/basevideo: Arranca utilizando el controlador estndar VGA. Muy til si se tienen problemas de visualizacin. /sos: Muestra en pantalla cada controlador tal y como se ha cargado durante la fase de carga del ncleo. Muy til para determinar si un controlador est provocando un fallo de arranque. /noserialmice: Desactiva la deteccin de serie. Puede aadirse =COMX slo para eliminar esta deteccin con un puerto COMK especfico. /crashdebug: Activa la caracterstica Recuperacin automtica y reinicio. /maxmem:n: Limita la cantidad de memoria a "n" megabytes. Muy til para la resolucin de problemas con errores de paridad de memoria. /scsiordinal:n: Asigna el nmero 0 al primer controlador SCSI y el nmero 1 al segundo.
Captulo 5
Captulo 5
Despus de instalar Microsoft Windows 2000 es necesario configurar el servidor aadiendo los dispositivos que hagan falta, cambiando posiblemente los protocolos y servicios de red e instalando las herramientas clave del servidor.
Configuracin de dispositivos
Inmediatamente despus de finalizar una instalacin de Windows 2000, o cualquier otro sistema operativo de similar propsito, hay que asegurarse de que los dispositivos se han reconocido y configurado apropiadamente. Aunque el Programa de instalacin de Windows 2000 realiza un buen trabajo de deteccin y configuracin, el Programa de instalacin no es capaz de resolver los conflictos de recursos o superar la carencia de controladores. Tambin ser necesario activar dispositivos, como un sistema de alimentacin ininterrumpida (SAI), que se desconectaron o desactivaron antes de comenzar la instalacin. Windows NT 4 no es el mejor sistema operativo a la hora de encontrar y solucionar los problemas de los dispositivos porque carece de funciones Plug and Play (PnP) y slo tiene soporte para una base limitada de hardware. En cambio, Windows 2000 integra soporte PnP junto con un mtodo ms centralizado de administrar los dispositivos hardware, por medio del Administrador de dispositivos y el Asistente para agregar o quitar hardware, y mejorando en general el soporte de controladores de dispositivos. Hay que comprobar la existencia de conflictos en la lista de dispositivos a travs del Administrador de dispositivos en dispositivos que no se instalaron durante la instalacin, y utilizar entonces el Asistente para agregar o quitar hardware para hacer los cambios necesarios. Asistente para agregar o quitar hardware Aunque se puede utilizar el Administrador de dispositivos en lugar del Asistente para agregar o quitar hardware para gestionar la mayora de las funciones del asistente, es necesario utilizar el Asistente para agregar o quitar hardware para aadir un dispositivo que Windows 2000 no puede reconocer o para desconectar o extraer un dispositivo. Una vez iniciado aparecen dos opciones
Captulo 5
G
Desinstalar o desconectar un dispositivo: lo seleccionaremos en el Asistente para agregar o quitar hardware, y utilizar despus la ventana siguiente bien para desconectar temporalmente un dispositivo con conexin en caliente o bien para desinstalar permanentemente un dispositivo del sistema. Siempre se puede volver a agregar el dispositivo despus utilizando este mismo asistente o por medio de la autodeteccin de dispositivos PnP de Windows 2000. Agregar dispositivo o solucionar problemas: lo seleccionaremos para agregar un dispositivo al sistema, hay que asegurarse de que el dispositivo est fsicamente conectado y/o encendido. Despus hay que pulsar dos veces en el icono Agregar o quitar hardware en el Panel de control y, cuando aparezca la ventana de bienvenida, pulsar Siguiente para iniciar el asistente. y pulsar Siguiente. Windows 2000 busca hardware PnP en el sistema y muestra despus una lista con el hardware detectado. Si se detecta nuevo hardware PnP, Windows 2000 instala los controladores, si puede localizarlos, y muestra una lista de los dispositivos que ha instalado. Hay que pulsar Finalizar para terminar el proceso de instalacin.
Resolucin de problemas con un dispositivo
Captulo 5
Si despus de aadir un dispositivo, Windows 2000 no lo detecta o lo hace de forma incorrecta, se puede solucionar el problema por medio del Asistente para agregar o quitar hardware. Cuando no se encuentran nuevos dispositivos, Windows 2000 muestra todos los dispositivos del sistema, mostrando primero cualquier dispositivo o dispositivos deshabilitados o con problemas. Para solucionar un problema con un dispositivo, hay que seleccionar el dispositivo en la lista y despus pulsar Siguiente para ver el estado del dispositivo e iniciar un asistente para resolver problemas. Para agregar un dispositivo que Windows 2000 no pueda detectar, hay que seleccionar Agregar un dispositivo nuevo en la lista de la ventana Seleccione un dispositivo de hardware y seguir los siguientes pasos: 1. Escoger si se desea que Windows 2000 busque el hardware o si se quiere seleccionar el dispositivo manualmente de una lista. 2. Seleccionar de la lista de dispositivos detectados o seleccionar el tipo de hardware que se desea instalar de la lista proporcionada y pulsar Siguiente. 3. Si se escogi la seleccin manual del dispositivo, hay que seleccionar el fabricante y el dispositivo o pulsar Utilizar disco para proporcionar unos controladores propios y despus pulsar Siguiente. Windows 2000 instala los controladores del dispositivo y muestra despus un resumen de sus acciones. 4. Pulsar Finalizar para terminar el asistente. El Administrador de dispositivos El Administrador de dispositivos es un almacn central de informacin sobre dispositivos de Windows 2000. Si ya se ha utilizado el Administrador de dispositivos de Windows 95/98, no se tendr ningn problema con el nuevo Administrador de dispositivos de Windows 2000. Se utiliza para ver o imprimir la configuracin y los controladores cargados de cualquier dispositivo del sistema adems de para deshabilitar, desinstalar o modificar la configuracin de un dispositivo.
Captulo 5
Inicio del Administrador de dispositivos
Se puede acceder al Administrador de dispositivos de muchas formas. Quizs la ms til es pulsar el icono Administracin de equipos en el men Herramientas administrativas del men Inicio. Hay que pulsar el signo ms junto a Herramientas del sistema para expandir el rbol y pulsar despus Administrador de dispositivos. Tambin se puede acceder al Administrador de dispositivos abriendo la herramienta Sistema del Panel de control. Hay que pulsar la pestaa Hardware y pulsar despus el botn Administrador de dispositivos. La pestaa hardware tambin contiene el Asistente para hardware y la herramienta Firma de controladores que se puede utilizar para especificar si se desea permitir el uso de controladores de dispositivos no firmados. Para utilizar el complemento Administracin de equipos para administrar remotamente otro equipo que ejecuta Windows 2000, hay que seleccionar Administracin de equipos en el rbol de consolas y escoger despus Conectar con otro equipo en el men Accin. Hay que seleccionar el equipo que se desea administrar y pulsar Aceptar para empezar a hacerlo.
Trabajo con el Administrador de dispositivos
Tras abrir el Administrador de dispositivos, se podr observar una lista de todos los dispositivos que Windows 2000 ha detectado en el sistema. Los dispositivos que no funcionan se muestran con un signo de admiracin, indicando que existe un problema con el dispositivo; los dispositivos deshabilitados se muestran con una pequea "x" roja sobre el icono. En la parte derecha de la barra de herramientas se encuentran disponibles varios iconos segn el dispositivo resaltado. En la figura aparecen los siguientes botones (leyendo de izquierda a derecha):
Captulo 5
Buscar cambios en el hardware: Se puede pulsar este botn para decirle al sistema que busque cambios en el hardware. Hay que usar este botn despus de aadir nuevos dispositivos PnP o despus de cambiar el hardware. Deshabilitar/Habilitar: Hay que resaltar un dispositivo y pulsar este botn para deshabilitarlo o habilitarlo, dependiendo de su estado actual. Cuando un dispositivo est deshabilitado, sus recursos se liberan y sus controladores permanecen pero no se cargan durante el inicio. Hay que tener cuidado de no deshabilitar algo que sea necesario para iniciar la mquina. Desinstalar: Hay que resaltar un dispositivo y pulsar este botn para desinstalarlo. Esto slo debera ser necesario para dispositivos no PnP Un dispositivo PnP se puede desinstalar simplemente extrayndolo del equipo. La desinstalacin de un dispositivo no elimina los controladores del dispositivo del disco duro. Para modificar la forma en la que se muestra el Administrador de dispositivos hay que escoger una opcin del men Ver. Se pueden utilizar las diferentes opciones de vista del Administrador de dispositivos para organizar los dispositivos del sistema de forma que resulte sencillo encontrar la informacin que se necesita. Opciones de vista:
G
Dispositivos por tipo: Muestra los dispositivos clasificados por tipo de dispositivo; normalmente es la vista ms til (tambin la predeterminada). Dispositivos por conexin: Muestra todos los dispositivos en relacin a cmo estn conectados a otros dispositivos. Recursos por tipo: Muestra todos los recursos del sistema, clasificndolos por tipo de recurso. Recursos por conexin: Muestra todos los recursos del sistema, clasificndolos y agrupndolos por el dispositivo al que estn conectados. Mostrar dispositivos ocultos: Incluye dispositivos que no son PnP adems de dispositivos que podran haberse extrado fsicamente pero que todava tienen sus controladores instalados.
Trabajo con las Propiedades del dispositivo
Para mostrar las propiedades de un dispositivo, hay que seleccionar el dispositivo y pulsar despus el botn Propiedades de la barra de herramientas o pulsar dos veces sobre el dispositivo. En la ventana Propiedades del dispositivo existen varias pestaas. Se puede ver la informacin del estado y la configuracin, adems del fabricante del dispositivo, el tipo de dispositivos y su ubicacin, en la parte superior de la pestaa General.
Captulo 5
El nombre de dispositivo que se muestra en el Administrador de dispositivos es el nombre del controlador que Windows 2000 est utilizando para el dispositivo y puede ser en realidad incorrecto si se ha cargado el controlador equivocado para el dispositivo. El cuadro Estado del dispositivo en el centro de la pestaa General muestra el estado del dispositivo, incluyendo cualquier error. Si el dispositivo tiene algn problema, el cuadro Estado del dispositivo describir resumidamente el problema y, normalmente, describir tambin la forma apropiada de proceder para corregir el problema. Se puede pulsar el botn Solucionador de problemas para utilizar los mecanismos incorporados para detectar la naturaleza del problema. Entre las otras pestaas se incluye la pestaa Controlador, que muestra los detalles del controlador que se est utilizando. Esta pestaa tambin permite actualizar o desinstalar el controlador. La pestaa Recursos muestra los recursos hardware que se estn utilizando. Esta pestaa permite ver y resolver cualquier conflicto causado por dispositivos no PnP junto con estas pestaas, algunos dispositivos cuentan con configuracin avanzada adicional o pestaas para parmetros especficos del dispositivo. El Administrador de dispositivos trabaja en equipos remotos en modo de slo lectura. Se puede utilizar el Administrador de dispositivos para diagnosticar problemas, pero habr que realizar los cambios de forma local.
Configuracin de parmetros de la Red

Aunque el Programa de instalacin de Windows 2000 solicita los parmetros de red necesarios, podra ser necesario modificar esos parmetros en algn punto despus de completar la instalacin, posiblemente inmediatamente, si los parmetros especificados eran errneos o incompletos.
Captulo 5
Cambio de la identidad de red Los cambios son algunas veces necesarios, aunque con un servidor es mejor emplear el tiempo en planificar primero que tener que hacer cambios despus. Sin embargo, incluso con una planificacin cuidadosa, se puede descubrir que una mquina necesita tener un nombre diferente o necesita unirse a un dominio diferente.
Cambio de un servidor autnomo
Para cambiar la identidad de un servidor que no es un controlador de dominio, hay que iniciar sesin utilizando una cuenta de administrador y seguir los siguientes pasos: 1. Abrir la herramienta Sistema del Panel de control y pulsar despus en la pestaa Identificacin de red. 2. Para cambiar el nombre y el dominio o miembro de grupo de trabajo del equipo, hay que seleccionar Propiedades. Despus hay que introducir el nuevo nombre del equipo en el cuadro de texto Nombre de equipo en el cuadro de dilogo Cambios de identificacin. 3. Para modificar el dominio o el grupo de trabajo al que se pertenece, hay que escoger la opcin Dominio o la opcin Grupo de trabajo, y escribir despus el nombre del dominio o del grupo de trabajo en el cuadro de texto. 4. Se puede pulsar Ms para especificar manualmente el nombre del dominio para el equipo y para obtener una vista previa del nombre NetBIOS del sistema. Hay que pulsar Aceptar cuando se haya terminado. Es una buena idea utilizar un nombre de equipo que sea tanto compatible DNS como compatible NetBIOS de forma que todos los tipos de clientes vean el mismo nombre para el equipo. Para hacer esto hay que mantener el nombre con un tamao inferior a 15 caracteres y no utilizar asteriscos o puntos. Para obtener la mejor compatibilidad con las aplicaciones, hay que tratar tambin de evitar el uso de espacios, subrayados y guiones. La modificacin de la identidad de un controlador de dominio es un proceso de varios
Captulo 5
pasos. Primero hay que bajar de categora al controlador de dominio. Despus se puede cambiar la identidad y, finalmente, se puede ascender de nuevo al controlador de dominio.
Configuracin de los componentes de Red

Para agregar o modificar la configuracin de los componentes principales de la red como clientes, servicios y protocolos, hay que abrir la carpeta Conexiones de red y de acceso telefnico, pulsar con el botn derecho del ratn en el icono Conexin de rea local y escoger Propiedades en el men contextual. Este procedimiento abre la ventana Propiedades de Conexin de rea local que se puede utilizar para ver y modificar los componentes de red del servidor. Para instalar un componente de red, hay que seleccionar Instalar, escoger el tipo de componente que se desea instalar (Cliente, Servicio o Protocolo) y pulsar despus Agregar. Hay que seleccionar el componente de la lista presentada y pulsar Aceptar. Para configurar el componente (si el componente tiene la opcin de configuracin) hay que seleccionar el componente y pulsar Propiedades. Si se dispone de un sistema de multipropiedad (un servidor con ms de un adaptador de red) conviene dar a las conexiones de rea local un nombre que indique a qu red estn conectados los adaptadores. TCP/IP TCP/IP es el protocolo ms importante de las redes actuales y es el eje central de la visin de Microsoft de red con Windows 2000. El protocolo se adapta bien a las redes de empresa y se requiere para acceder a Internet.
Instalacin de TCP/IP
TCP/IP se instala como protocolo de red predeterminado y se detecta un adaptador de red durante la instalacin. Si se ha ignorado el mtodo predeterminado durante la instalacin, se puede agregar TCP/IP como sigue: 1. Pulsar el botn Inicio, seleccionar Configuracin y escoger entonces Conexiones de red y de
Captulo 5
2. 3. 4. 5. 6.
acceso telefnico. Pulsar con el botn derecho del ratn en la conexin para la que se desea instalar TCP/IP y escoger Propiedades. Si TCP/IP no se encuentra en la lista de componentes utilizados hay que pulsar Instalar. Resaltar Protocolo y pulsar Agregar. En el cuadro Seleccione el protocolo de red, hay que resaltar Protocolo Internet (TCP/IP) y pulsar Aceptar. Hay que comprobar que la casilla de verificacin Protocolo Internet (TCP/IP) est seleccionada y pulsar despus Cerrar.
Direccionamiento dinmico o esttico
La forma ms sencilla y ms fiable de configurar mquinas de una red que funciona con TCP/IP es utilizar un servidor DHCP para distribuir automticamente las direcciones IP DHCP tambin puede informar a los clientes de los servidores DNS y puertas de enlace apropiados a utilizar. Un servidor DHCP no slo simplifica la configuracin del cliente, tambin ayudaa la administracin de la Red dado que administra la base de datos de direcciones IP disponibles de forma dinmica y automtica. El direccionamiento dinmico por medio de DHCP es la configuracin predeterminada de Windows 2000. Si la red no dispone de un servidor DHCP o si se est configurando un servidor DHCP, es necesario configurar TCP/IP manualmente para que utilice una direccin IP e informacin DNS estticas. Para hacer esto hay que obtener la direccin IP de la persona que mantiene la base de datos de direcciones IP que la empresa puede utilizar. Si se utiliza DHCP, todos los servidores DHCP necesitan ser actualizados tambin para excluir las direcciones IP estticas.
Captulo 5
Pasa configurar el direccionamiento de la tarjeta de Red deberemos seguir los siguientes pasos: 1. Seleccionar el componente Protocolo Internet (TCP/IP) en la ventana Propiedades de Conexin de rea local y pulsar Propiedades. G Obtener una direccin IP automticamente. Seleccionar esta opcin para que el host se convierta en cliente de un Servidor DHCP. G Usar la Siguiente direccin IP: Se debe seleccionar esta opcin para dotar al host de una configuracin manual de TCP/IP, debiendo proporcionar una direccin IP y una mscara de subred apropiadas. Deberemos introducir la direccin IP de la puerta de enlace o enrutador predeterminado en el campo Puerta de enlace predeterminada. La puerta de enlace predeterminada reenva o encamina cualquier trfico destinado a hosts fuera de la subred local, posiblemente a otra porcin de la red de rea extensa (WAN, Wide Area Network) o a Internet. 2. Para seleccionar los servidores DNS existen, tambin, dos opciones: G Obtener la direccin del servidor DNS automticamente si el servidor DHCP est configurado para proporcionar las direcciones del servidor DNS a los clientes. G Usar las siguientes direcciones de servidor DNS: hay que introducir las direcciones IP de los servidores DNS que se desean utilizar.
Opciones de Configuracin avanzada de TCP/IP
Si no se utiliza un servidor DHCP para configurar las direcciones IP del servidor y su configuracin asociada y es necesario introducir otros parmetros aparte de las direcciones IP del servidor y los servidores DNS, hay que seleccionar Avanzada en la ventana Propiedades de Protocolo Internet (TCP/IP). Esto abre el cuadro de dilogo Configuracin avanzada de TCP/IP, el cual se puede utilizar para especificar parmetros adicionales, incluyendo servidores WINS, NetBIOS sobre TCP/IP y parmetros opcionales de TCP/IP.
Captulo 5
Ficha Configuracin de IP
El cuadro de dilogo Configuracin avanzada de TCP/IP contiene cuatro fichas, la primera de las cuales es la ficha Configuracin de IP Esta ficha se utiliza para aadir la direccin IP y la mscara de subred de la conexin de red, adems de las puertas de enlace que debera utilizar el servidor. Las opciones que se pueden configurar en esta ficha son:
G
Direcciones IP: Utilizar los botones Agregar, Modificar y Quitar bajo el cuadro Direcciones IP para modificar la configuracin de la direccin IP y la mscara de subred. Se pueden usar hasta cinco direcciones IP y mscaras de subred para la conexin de red, tanto para acceder a diferentes redes IP lgicas como para utilizar diferentes direcciones IP en una nica red IP lgica. Puertas de enlade predeterminadas: Para aadir una puerta de enlace o enrutador predeterminado hay que seleccionar Agregar e introducir la direccin IP del enrutador. Mtrica de interfaz: La mtrica de la interfaz asigna un coste relativo al uso de un enrutador particular para acceder a una direccin IP concreta. Conviene asignar mtricas de interfaz inferiores a los enrutadores que se conecten a redes rpidas, como otra seccin de una red local; y conviene asignar nmeros ms altos a las conexiones ms lentas, como una conexin a Internet por medio de la Red digital de servicios integrados (RDSI) o de una Lnea de suscriptor digital (DSL, Digital Subscriber Line).
Ficha DNS
Para acceder a la configuracin avanzada de DNS de la conexin de red, hay que pulsar en la pestaa DNS donde se pueden configurar los siguientes parmetros:
Captulo 5
G
Direcciones de servidores de DNS, por orden de utilizacin: Utilizar los botones Agregar, Modificar y Quitar bajo el cuadro de direcciones DNS para aadir o modificar los servidores que se deseen utilizar para esta conexin. Se pueden usar las flechas hacia arriba y hacia abajo cercanas al cuadro para cambiar el orden en el cual el servidor consulta los servidores DNS. Parmetros para resolucin de nombres no cualificados: Seleccionar las opciones apropiadas para nombres no cualificados. G Anexar sufijos DNS principales y de conexiones especficas: Limita la resolucin de nombres no cualificados a los sufijos de dominio y los sufijos de conexiones especficas. De esta forma, si el sufijo DNS principal es eng.dominio.com y se escribe ping srv4 en el smbolo del sistema, DNS buscar srv4.eng.dominio.com. Si se especifica tambin un nombre especfico de la conexin (bajo Sufijo DNS para esta conexin), como dev.dominio.com, DNS consultar srv4.eng.dominio.com y srv4.dev.dominio.com. i. Anexar sufijos primarios del sufijo DNS principal: Incluye sufijos primarios hasta el dominio de segundo nivel en la resolucin de nombres no cualificados. De esta forma, si el sufijo DNS principal es eng.uk.corp.dominio.com y se escribe ping srv4 en el smbolo del sistema, DNS consultar lo siguiente: - srv4.eng.uk.corp.dominio.com - srv4.uk.corp.dominio.com - srv4.corp.dominio.com - srv4.dominio.com G Anexar estos sufijos DNS (en este orden): Especifica los nicos sufijos de dominio a anexar a los nombres de dominio no cualificados durante el proceso de resolucin de nombres. Si se especifican sufijos de dominio aqu, los sufijos principal y de conexiones especficas no se utilizan. Sufijo DNS para esta conexin: Para ignorar el nombre DNS primario del dominio especificado para el equipo en la ficha Identificacin de red de la herramienta Propiedades del sistema del
Captulo 5
Panel de control, hay que escribir el nombre DNS del dominio que se desea utilizar en el cuadro de texto Sufijo DNS para esta conexin. Registrar estas direcciones de conexiones en DNS: Para impedir que se registre el nombre DNS completo de la direccin IP del servidor en el servidor DNS, hay que desactivar la casilla de verificacin Registrar estas direcciones de conexiones en DNS. Utilizar este sufijo DNS de conexin para registro DNS: Para registrar las direcciones IP de las conexiones de red en DNS basndose en el nombre de dominio de las conexiones, adems de en el FQDN del servidor, hay que seleccionar la casilla de verificacin Utilizar este sufijo DNS de conexin para registro DNS. El nombre de dominio de la conexin se introduce en el cuadro de texto Sufijo DNS para esta conexin o se asigna por el servidor DHCP
Ficha WINS
Para configurar los parmetros de WINS del equipo, hay que pulsar la pestaa WINS en el cuadro de dilogo Configuracin avanzada de TCP/IP.
G
Direcciones WINS, en orden de uso: Si hay servidores WINS operativos en la red, se deberan aadir sus direcciones aqu. Haciendo esto se consiguen los mejores resultados a la hora de comunicarse con hosts que ejecuten sistemas operativos de Microsoft anteriores a Windows 2000. Al igual que con el resto de fichas del cuadro de dilogo Configuracin avanzada de TCP/IP, se pueden utilizar los botones Agregar, Modificar y Quitar para modificar la lista de servidores WINS. Habilitar la bsqueda de LMHOSTS: Para habilitar el uso de un archivo LMHOSTS para asignar direcciones IP a nombres NetBIOS, hay que seleccionar la casilla de verificacin Habilitar la bsqueda de LMHOSTS y pulsar el botn Importar LMHOSTS para importar un archivo LMHOSTS. Se recomienda no utilizar archivos LMHOSTS a menos que sea absolutamente necesario dado que tratar de mantenerlos actualizados puede ser difcil: la minscula reduccin
Captulo 5
del trfico de red que ofrecen los archivos LMHOSTS no compensa. Cuando se configura un servidor WINS hay que utilizar el comando Ipconfig en el smbolo del sistema para obtener la direccin IP actual e introducir entonces esa direccin en el campo Direcciones WINS. No se debe introducir ningn otro servidor WINS en este campo; no es deseable que el servidor WINS registre su nombre NetBIOS en otro servidor WINS si el servicio WINS no se ha iniciado a tiempo para responder en el inicio.
G
Habilitar NetBIOS sobre TCP/IP: Lo ms probable es que sea necesario comunicarse con clientes que ejecutan sistemas operativos de Microsoft anteriores a Windows 2000, por lo que conviene asegurarse de que esta opcin est seleccionada. Deshabilitar NetBIOS sobre TCP/IP: Slo hay que desactivarla si hay comunicacin exclusivamente con otros equipos que ejecutan Windows 2000 o equipos que se basan nicamente en DNS para los servicios de resolucin de nombres (por ejemplo, UNIX). Adems, conviene observar que cualquier aplicacin que utilice NetBIOS no funcionar si se desactiva NetBIOS sobre TCP/IP. Usar configuracin NetBIOS del servidor DHCP: Cuando se obtiene una direccin IP a travs de DHCP, esta opcin est seleccionada de forma predeterminada para que el equipo utilice la configuracin NetBT proporcionada opcionalmente por el servidor DHCP y la configuracin mediante DHCP. Slo hay que seleccionar esta opcin si la red tiene un servidor DHCP que configure completamente el equipo y proporcione la configuracin NetBIOS correcta.
Configuracin de las opciones de TCP/IP
Si es necesario configurar cualquier opcin de TCP/IP, hay que pulsar la pestaa Opciones del cuadro de dilogo Configuracin avanzada de TCP/IP Hay que seleccionar la opcin que se quiera configurar y pulsar Propiedades. Configuracin de NWLink IPX/SPX El protocolo NWLink IPX/SPX se dise como un protocolo de enrutamiento fcil de usar y configurar compatible con el protocolo IPX/SPX de NetWare. Como tal, es un protocolo popular en muchas empresas y puede ser clave para mantener la interoperabilidad con diferentes entornos de red. Afortunadamente, la configuracin del protocolo NWLink IPX/SPX es sencilla. Basta con seguir los siguientes pasos: 1. Instalar el protocolo en el cuadro de dilogo Propiedades de Conexin de rea local, al que se puede acceder pulsando con el botn derecho del ratn en el icono Conexin de rea local en la carpeta Conexiones de red y de acceso telefnico y seleccionando Propiedades. 2. Seleccionar el protocolo y pulsar Propiedades. 3. Para dar a conocer los servicios que se ejecutan en el servidor (como Servicios de archivos e impresin vara NetWare o Enrutamiento IPX) a los clientes NetWare nativos, hay que introducir
Captulo 5
un nmero hexadecimal de ocho dgitos nico para identificar al servidor en el cuadro de texto Nmero de red interno. 4. En muchos casos tambin se puede dejar a Windows 2000 que maneje la deteccin del tipo de trama seleccionando la opcin Deteccin automtica del tipo de trama. Windows 2000 detecta despus el tipo de trama apropiado enviando una peticin de protocolo de informacin de enrutamiento (RIP, Routing Information Protocol) para todos los tipos de trama y esperando la respuesta. El tipo de trama para el que recibe respuesta Windows 2000 se convierte en el predeterminado. Si se reciben respuestas para mltiples tipos de trama, Windows 2000 establece los tipos de trama predeterminados para los que ha recibido respuestas siguiendo este orden: Ethernet 802.2, Ethernet 802.3, Ethernet II, SNAIP 5. Si se desea especificar el tipo de trama de forma manual o aadir mltiples tipos de trama, hay que seleccionar la opcin Deteccin manual del tipo de trama, seleccionar Agregar y escoger despus un tipo de trama e introducir el nmero de red para ese tipo de trama.
Captulo 6
Captulo 6
Mejoras de Arquitectura en Windows 2000
Las mejoras de arquitectura en Windows 2000 incluyen cambios en los tipos de funciones de servidor disponibles y en el tipo de confianzas de dominio utilizadas; nuevo soporte para dispositivos, Plug and Play (PnP), gestin de energa y, por supuesto, la inclusin del servicio Active Directory. Sin embargo, todos estos cambios implican que algunas aplicaciones y controladores existentes pueden no funcionar bajo la nueva arquitectura de Windows 2000. Los controladores de dominio y los papeles de servidor en Windows 2000 En Windows 2000, los tipos de papeles de servidor son ligeramente diferentes a los disponibles bajo Windows NT. Los servidores Windows NT 4 pueden tener uno de cuatro papeles: controlador primario de dominio (PDC, Primary Domain Controller), controlador de reserva del dominio (BDC, Backup Domain Controller), servidor miembro y servidor independiente. Los dominios Windows NT estn basados en un solo maestro, con el PDC sirviendo como almacn maestro para un dominio dado. Todos los cambios realizados al dominio deben ser llevados a cabo por el PDC. Los BDC se utilizan para hacer copias de seguridad del PDC y tambin reducen la carga en el PDC prestando, ellos mismos, servicio a las peticiones de los clientes. Los BDC mantienen una copia actualizada del dominio sincronizndose peridicamente con el PDC y pueden asumir el papel del PDC si este servidor falla o esta fuera de servicio. Los servidores miembro son simplemente servidores Windows NT que pertenecen a un dominio Windows NT y normalmente trabajan compartiendo archivos o compartiendo impresoras o ejecutando algn otro tipo de software de servidor, como Web, Sistema de nombres de dominio (DNS, Domain Name System) o software servidor de Protocolo de configuracin dinmica de host (DHCP, Dynamic Host Configuration Protocol). Los servidores independientes son servidores Windows NT que no pertenecen a un dominio Windows NT sino que son parte de un grupo de trabajo. Es importante comprender que aunque un servidor independiente no pertenece a un dominio Windows NT, no esta limitado en sus funciones como servidor. Aun puede operar como DNS, DHCP a otro tipo de servidor, pero, por definicin, no puede ser PDC o BDC. Las funciones del servidor miembro y del servidor independiente son las mismas en Windows 2000 y en Windows NT, pero las funciones del PDC y del BDC son reemplazadas por una nica funcin de un
Captulo 6
controlador de dominio (DC, Domain Controller). Si, los dominios en Windows NT estn por fin basados en mltiples maestros, con todos los DCs de Windows 2000 actuando parejos unos con otros. Cualquier DC puede realizar cambios al dominio cuando sea oportuno. Toda la informacin del dominio se almacena en el Active Directory, que gestiona las replicas entre todos los controladores de dominio. La parte negativa es que los DCs de Windows 2000 no pueden existir en un dominio Windows NT hasta que el PDC del dominio se actualice a Windows 2000. Los servidores miembro Windows 2000 y los servidores independientes pueden ser ascendidos al nivel de controlador de dominio, y los controladores de dominio pueden ser degradados a servidores miembro o a servidores independientes sin reinstalacin del sistema operativo como ocurre en Windows NT. Active Directory Active Directory es probablemente la caracterstica nueva mas importante de la familia Windows 2000 Server. Es un servicio de directorio ampliable, fcilmente administrable y tolerante a fallos, que es requerido por los controladores de dominio Windows 2000 y tambin es recomendable para su uso en servidores DNS Windows 2000.
Dominios de Active Directory
Aunque Active Directory no hace cambios fundamentales en la forma en que funcionan los dominios en Windows 2000 de cara a los usuarios finales, introduce algunas estructuras de dominio importantes que podran afectar a la forma de aproximarse al diseo del dominio. Active Directory, al igual que el servicio de directorio de Windows NT, utiliza dominios como unidades principales de la estructura lgica. Los dominios ayudan a organizar la estructura de la red ajustndose a la organizacin de la empresa, ya sea poltica o geogrficamente. Cada dominio requiere al menos un DC (preferiblemente ms) para almacenar la informacin del dominio, siendo cada DC un maestro del dominio. Los dominios Windows 2000, a diferencia de los dominios Windows NT, usan nombres DNS para los nombres de dominio. Al igual que los dominios DNS, los dominios Windows 2000 estn organizados jerrquicamente. En Active Directory, los grupos de dominios con un espacio de nombres contiguo organizados jerrquicamente se llaman rboles, mientras que las agrupaciones de rboles con espacio de nombres no contiguos se llaman bosques.
Sitios, dominios estructurales y unidades organizativas
Active Directory tambin introduce los conceptos de sitios, dominios estructurales y unidades organizativas.
G
Un sitio se define como un grupo de una o mas subredes con Protocolo Internet (IP) que comparten conectividad LAN. Dentro de un sitio puede haber uno o mas dominios, o un dominio nico puede abarcar mltiples sitios.
Captulo 6
G
Los dominios estructurales son dominios que no contienen cuentas; simplemente sirven como raz para dominios hijos de nivel mas bajo. Como tales, los dominios estructurales facilitan la reestructuracin de los dominios hijos y tambin hacen que la replica entre dominios sea mas fcil y rpida, ya que todos los dominios simplemente se replican con el dominio estructural, que acta como algo parecido a un concentrador de replicas. Las unidades organizativas (OU, Organizational Unit) son muy similares a los dominios en el hecho de que tienen contenedores para objetos de red tales como cuentas de usuarios y recursos. Sin embargo, a diferencia de los dominios, no marcan un limite de seguridad y no requieren controladores de dominio. Las OU de Active Directory proporcionan una forma excelente de proporcionar organizacin en un dominio sin la necesidad de directivas de seguridad y controladores de dominio adicionales. tambin se pueden convertir fcilmente en dominios y los dominios pueden convertirse fcilmente en OU, lo que los hace flexibles.
Relaciones de confianza en Active Directory
Las relaciones de confianza implicaban cierta dificultad si se trataba de mltiples dominios Windows NT. Windows 2000 simplifica esta labor. Relaciones de confianza entre dominios de diferentes tipos Dominio Windows Dominio Windows Dominio Windows NT 2000 (mismo 2000 (diferente bosque) bosque) Dominio Windows Confianza NT unidireccional * Dominio Windows Confianza 2000 unidireccional Confianza unidireccional Solo confianza transitiva bidireccional Confianza unidireccional Confianza unidireccional
* Una confianza unidireccional se puede establecer en ambas direcciones. Una relacin de confianza es un mecanismo por el cual los usuarios de un dominio pueden ser autentificados por un controlador de dominio en otro dominio. Entre unos y otros dominios Windows NT, todas las confianzas son no transitivas, lo que significa que cada confianza es una relacin en un nico sentido que debe ser establecida explcitamente. Para que dos dominios confen mutuamente, se deben establecer dos relaciones de confianza por separado, -una en cada sentido. Una confianza no transitiva tambin esta estrictamente limitada. Por ejemplo, supngase que un dominio Finanzas confa en un dominio Administracin y el dominio Fabricacin confa en el dominio Administracin. Cuando se involucran confianzas no transitivas esta afirmacin dice solamente que Finanzas y Fabricacin permiten al controlador de dominio en Administracin autenticar usuarios. No dice nada acerca de la relacin entre Finanzas y Fabricacin. Ni tampoco indica si Administracin, a su vez, permite a Finanzas o Fabricacin autenticar usuarios. Cada relacin de confianza debe ser establecida separada y explcitamente.
Captulo 6
Windows 2000 permite el concepto de confianzas transitivas. Las confianzas transitivas son siempre de dos sentidos. Adems, cuando se crea un dominio secundario, Windows 2000 establece automticamente una confianza transitiva entre el dominio secundario y el dominio principal. Sin embargo, las confianzas transitivas no entran en escena hasta que se eliminan todos los controladores Windows NT del dominio y el dominio se cambia explcitamente al modo nativo. Mientras los controladores Windows NT estn activos, el dominio esta en el modo mixto predeterminado, lo cual es necesario para que los DC de Windows 2000 se repliquen con los BDC de Windows NT. Soporte de hardware Windows NT siempre ha sido muy particular con respecto al hardware. Los usuarios de Windows 95 y Windows 98 han disfrutado mucho del amplio soporte para controladores de dispositivos, PnP, Gestin de energa, IEEE 1394 (Firewire) y Bus serie universal (USB, Universal Serial Bus), el ms reciente en Windows 95 OSR 2.1 y Windows 98. Los usuarios de Windows NT carecen esencialmente de todo lo citado, aunque disponen de otras ventajas. Windows 2000 introduce un buen soporte para PnP, USB, IEEE 1394 (Firewire) y la configuracin de dispositivos y gestin de energa configuracin avanzada a interfaz de energa (ACPI, Advanced Configuration Power Interface), tambin se ha mejorado enormemente el soporte de dispositivos, aunque Windows 2000 todava soporta menos dispositivos que Windows 95/98. (Hay excepciones, como el soporte de impresoras. Casi todas las impresoras soportadas bajo Windows 98 y Windows NT 4 se soportan en Windows 2000). En la mayora de los casos, si el dispositivo es soportado bajo Windows NT 4, tambin ser soportado por Windows 2000. Sin embargo, esto mismo no siempre es cierto para Windows 95/98, as que conviene comprobar la Lista de hardware compatible (HCL, Hardware Compatibility List) o contactar con el fabricante del dispositivo para determinar si el dispositivo es soportado bajo Windows 2000. En la actualidad, se requiere BIOS compatible con ACPI para un uso completo de PnP y Gestin de energa. Se soportan la Administracin avanzada de energa (APM, Advanced Power Management) heredada y las BIOS PnP, pero sus funciones son limitadas. Los controladores de dispositivos en Windows 2000 han cambiado para mejorar la estabilidad del sistema al incrementar el numero de dispositivos soportados. Ahora se soporta el Modelo de controlador de Win32 (WDM, Win32 Driver Model), lo que permite a muchos controladores funcionar de forma intercambiable en Windows 2000 y Windows 98. tambin se soporta la firma de controladores de dispositivo (Device Driver Signing), y los controladores que no han sido verificados y firmados digitalmente por Microsoft activan una alerta cuando se instalan (Los administradores tambin pueden crear directivas para evitar que se instalen controladores sin firma). Tambin se han realizado cambios en el modelo de controlador para evitar la inestabilidad del sistema y facilitar el PnP y la Gestin de energa, lo cual impide desgraciadamente que algunos controladores Windows NT funcionen en Windows 2000. Adems, la Gestin de energa y el PnP no estn disponibles con los controladores de Windows NT 4.
Captulo 6
Como en Windows NT 4, los controladores de dispositivos elaborados para Windows 95, 3.x o MS-DOS no funcionan en Windows 2000. Soporte de software El soporte de software es un rea en la cual Windows 2000 tiene algunos aspectos de compatibilidad. Al igual que Windows NT 4, es posible que Windows 2000 experimente problemas de compatibilidad con programas para MS-DOS y Windows 3.x (especialmente con algunos que accedan directamente al hardware). Las aplicaciones para Windows 95/98 que no se soporten explcitamente en Windows NT o Windows 2000 tambin pueden convertirse en problemas. Casi todas las aplicaciones para Windows NT 4 se ejecutan bajo Windows 2000. La actualizacin de un sistema existente basado en Windows 95/98 presenta complejidades adicionales debidas a que los distribuidores tienen a menudo diferentes versiones de su software para Windows 95/98 y Windows NT/2000, o porque la misma aplicacin se instala de diferente manera dependiendo del sistema operativo implicado. Consecuentemente, algunas aplicaciones requieren archivos de migracin suministrados por el distribuidor (paquetes de actualizacin) durante la actualizacin del sistema operativo.
Planificacin de una actualizacin del Dominio

La actualizacin de un dominio Windows NT a un dominio Windows 2000 requiere una considerable planificacin incluso antes de ejecutar el Programa de instalacin de Windows 2000 en el primer equipo. Algunos equipos, como los PDC y los BDCs, deben ser actualizados en un orden especifico, siendo el PDC el primero a actualizar. Otros equipos, como los servidores miembro y servidores independientes Windows NT, adems de equipos cliente, pueden actualizarse en cualquier momento antes o despus de la actualizacin del dominio propiamente dicho. Antes de comenzar la actualizacin de un dominio Windows NT existente, es importante evaluar la red actual y planificar el enfoque que se quiere tomar para la actualizacin. Documentacin de la red existente El primer paso en la planificacin de la actualizacin de un dominio in situ es documentar la estructura de la red actual. Para hacerlo de esta manera es necesario tomar nota del modelo del dominio existente, las confianzas existentes, el numero y la ubicacin de los controladores de dominio, los dominios de cuentas y recursos, los espacios de nombres DNS actualmente en uso, los servidores de aplicaciones y algunos servidores Windows NT 3.51. La actualizacin de un dominio in situ es la actualizacin de un dominio que se realiza dejando el dominio intacto tambin se pueden actualizar los dominios eliminando el PDC
Captulo 6
del dominio, dejando que los BDCs suministren los servicios. Hay que actualizar el PDC a Windows 2000, probarlo y, entonces, devolverlo al dominio de la produccin.
G
El modelo de dominio existente: El tipo de estructura del dominio, o modelo, que los dominios Windows NT existentes utilizan determina como implementar los rboles y bosques de Active Directory de Windows 2000.
H
Dominio nico: Un nico dominio Windows NT. Maestro nico: Un dominio de cuentas y mltiples dominios de recursos. Mltiples maestros: Mltiples dominios de cuentas con confianzas bidireccionales entre ellos y mltiples dominios de recursos que confan en todos los dominios maestros.
Confianza completa: Cada dominio es un dominio de recursos y un dominio de cuentas, con cada dominio confiando en cada uno de los otros dominios. Relaciones de confianza existentes: Ya que las relaciones de confianza se preservarn durante el proceso de actualizacin, es conveniente comprobar y documentar que relaciones de confianza existen actualmente.
H
Ubicacin y nmero de controladores de dominio: Hay que determinar dnde estn localizados los PDC y todos los BDC. El PDC se debe actualizar primero. Los BDC pueden actualizarse despus y, obviamente, no pueden desempear sus funciones deseadas durante la actualizacin. Dominios de cuentas y dominios de recursos: Hay que registrar el numero de dominios de cuentas y dominios de recursos actuales, tambin conviene registrar como estn configurados estos dominios e ir pensando si se desea realizar una reestructuracin del dominio antes o despus de la actualizacin de la red a Windows 2000. Espacios de nombres DNS: Si la empresa ya ha implantado algn DNS se deberan documentar cuidadosamente los espacios de nombres actualmente en uso. Los dominios no se pueden renombrar una vez creados y deben ser nicos en la red, as que es importante tener nombres de dominios que no hayan sido usados en la organizacin. Servidores: Un paso crucial y a veces olvidado en la documentacin de una red es hacer un inventario de los servidores de aplicaciones. Esto incluye todos los servidores DNS, DHCP y WINS, as como servidores de aplicaciones como servidores Exchange, servidores SQL, servidores proxy, etc. DNS es un servicio requerido en un dominio Windows 2000 nativo, as que se debera dedicar algn tiempo a determinar si se quieren usar servidores DNS existentes para este propsito, implantar nuevos servidores DNS o usar controladores de dominio como servidores DNS, que es lo que recomienda Microsoft. Tambin conviene examinar algunos servidores NetWare en el entorno y determinar si se quiere
Captulo 6
sincronizar Active Directory con Servicios de directorio de Novell (NDS, Novell Directory Services). tambin se deberan revisar las notas de la versin incluidas en el CD-ROM de Windows 2000 Server para comprobar algunos aspectos de compatibilidad con la versin de NetWare. Los servidores de aplicaciones como Exchange, SQL o servidores de medios tambin deberan evaluarse para comprobar la compatibilidad con los nuevos dominios Windows 2000. La mayora de los servidores no presentaran problemas, pero es una buena oportunidad para comprobar doblemente, adems de volver a evaluar las funciones de estos servidores y su eficacia en la red.
G
Servidores Windows NT 3.51: Los servidores Windows NT 3.51 presentan problemas en un dominio Windows 2000 lo que hace generalmente inadecuado su uso, as que la estrategia de actualizacin debe tener en cuenta la actualizacin o inutilizacin de servidores que se ejecutan en Windows NT 3.51. Entre los problemas se incluyen servidores de aplicaciones Windows NT 3.51 tanto negando acceso a inicios de sesin de usuarios o grupos, como concediendo incorrectamente acceso a usuarios o grupos que tienen el acceso denegado. Estas dificultades se producen a causa de la forma en que Windows NT 3.51 genera testigos de acceso cuando un usuario inicia sesin en el sistema.
Elaboracin de un plan de recuperacin Despus de evaluar la situacin de la red actual, hay que concebir un plan de recuperacin para el caso en el que algo vaya mal durante la actualizacin del dominio. Si falla la actualizacin a Windows 2000 del PDC y no hay ningn BDC disponible, el dominio entero puede venirse abajo. Es importante tener un plan de copias de seguridad satisfactorio para estas y otras situaciones.
Comprobacin de que todos los dominios tienen al menos un BDC
Es necesario asegurarse de que todos los dominios que se planea actualizar poseen al menos un BDC, adems del PDC, para evitar que el dominio se quede hurfano si falla la actualizacin a Windows 2000 del PDC. Adems, antes de actualizar el PDC, hay que asegurarse de que se sincroniza el PDC con todos los BCDs.
Realizacin de copias de seguridad de todos los equipos antes de actualizar
Es de sentido comn hacer una copia de seguridad de los sistemas antes de actualizarlos. Aunque esto es quizs demasiado cauteloso en algunos sistemas de escritorio Windows NT, es realmente importante en servidores, especialmente en los controladores de dominio. Adems, hay que asegurarse de que se verifican las copias de seguridad; no hay nada mas intil que una cinta con copias de seguridad estropeada.
Sincronizacin de todos los BDCs con el PDC
Captulo 6
Hay que sincronizar el PDC con todos sus asociados de replica antes de actualizarlo. Si el PDC falla durante la actualizacin del dominio, se puede ascender un BDC a PDC y el dominio no perder ninguno de los cambios.
Utilizacin de un BDC desconectado para la copia de seguridad
Tener los BDCs recientemente sincronizados y nuevas copias de seguridad del PDC en cinta servir de proteccin ante muchos desastres. Adems, desconectar un BDC recientemente sincronizado antes de actualizar el PDC es un buen seguro. Esto proporciona una copia de seguridad del dominio como se encontraba antes de comenzar el proceso de actualizacin a Windows 2000 operativa y rpidamente disponible. Si el PDC actualizado replica informacin de dominio defectuosa a los BDCs o el dominio resulta daado de alguna otra forma, tener una copia de seguridad desconectada permite retroceder y comenzar de nuevo. Si se registran todos los cambios realizados en el dominio despus de desconectar el BDC, se puede incluso retroceder en los cambios antes de conectar de nuevo el BDC (si ocurre un desastre) y no perder los cambios en el dominio. Para preparar un BDC para que acte como una copia de seguridad del dominio sin conexin hay que sincronizar el BDC que se desea utilizar con el PDC del dominio, hacer copia de seguridad en ese BDC y desconectar despus el cable de red del BDC. Si se produce un desastre serio durante la actualizacin del PDC a Windows 2000 y es necesario recuperar el estado del dominio antes de Windows 2000, hay que degradar todos los DCs Windows 2000 que haya en la red, volver a conectar a la red el BDC desconectado, ascender el BDC anteriormente desconectado a PDC y sincronizar despus el resto de la red con el. Esto devolver al dominio al estado en que se encontraba inmediatamente antes de desconectar el BDC. Todos los cambios realizados en el dominio despus de desconectar el BDC con la copia de seguridad se perdern si se vuelve a conectar el BDC y se asciende a PDC.
Planificacin del rbol de Active Directory
Existen varios pasos que se deberan realizar a la hora de planificar el rbol de Active Directory, incluyendo la definicin del espacio de nombres del DNS y la creacin de la estructura del rbol inicial.
Definicin del espacio de nombres
Cuando se ha decidido cmo implementar un espacio de nombres DNS, normalmente es necesario decidir si se va a utilizar un espacio de nombres DNS existente y se va a crear el dominio raz con un nombre de dominio existente o si se va a crear un nuevo dominio raz y su espacio de nombres DNS asociado. La decisin es crucial porque el dominio raz no se puede eliminar o renombrar fcilmente. Con estos antecedentes, la siguiente lista resume las tareas necesarias para definir a implementar el espacio de nombres.
Captulo 6
Decidir si se puede utilizar un nombre de dominio existente para el dominio raz o si es necesario crear uno nuevo. Si se va a utilizar un nuevo nombre de dominio, hay que determinar que restricciones existen en el proceso de seleccin de nombres y utilizar los canales apropiados para escoger el nombre del dominio. Configurar el dominio raz para crear el nivel superior del espacio de nombres, con una pareja de controladores de dominio para tener redundancia. Configurar uno o mas servidores DNS para el rbol del dominio raz. El servidor DNS necesita soportar el registro de recursos de servicio (el registro de recursos DNS para la especificacin de la ubicacin de los servicios) y debera soportar tambin, idealmente, actualizaciones dinmicas. Microsoft recomienda instalar el DNS en cada controlador de dominio y almacenar la informacin de la zona en el Active Directory. Aadir el resto de dominios como dominios secundarios para el dominio raz. Es un excelente momento para realizar una reestructuracin del dominio, o al menos para consolidar algunos de los dominios de recursos en las OU.
Creacin de la estructura inicial del rbol
Una vez tomadas las decisiones sobre el espacio de nombres DNS es el momento de planificar el rbol de Active Directory con detalle. Se asumir que se tiene un bosque con un nico rbol, con todos los dominios compartiendo un espacio de nombres contiguo. En la practica, muchas empresas necesitaran utilizar un bosque con mltiples rboles, cada uno con su propio espacio de nombres. Sin embargo, el proceso no es diferente; cada rbol se construye y se aade al bosque de la misma forma. El primer dominio que se actualice a Windows 2000 (o que se cree si se utiliza un modelo de mltiples dominios maestros que no se presta a una consolidacin bajo uno de los dominios actuales) ha de ser necesariamente el dominio raz. El dominio raz almacena la configuracin y el esquema de todo el bosque de Active Directory y no se puede cambiar de nombre o eliminar.
Adaptacin a modelos de dominios especficos
En Windows NT hay disponibles cuatro modelos de dominios.
Captulo 6
G
Modelo de un nico dominio: El modelo de un nico dominio es fcil de actualizar: el nico dominio bajo Windows NT se convierte en el dominio raz en Active Directory bajo Windows 2000. Se pueden utilizar despus las OU para organizar las cuentas y los recursos y para delegar parte de la carga administrativa. Modelo de dominios de un solo maestro: Si existe un modelo de dominios de un solo maestro, hay que hacer que el antiguo dominio maestro sea la raz del rbol y aadir los dominios de recursos como dominios secundarios de la raz. Si la empresa posee una estructura de red centralizada, se podra tomar en consideracin la reestructuracin de los dominios en un nico dominio despus de haber actualizado el dominio y cambiado a modo nativo. Se pueden utilizar OU bien para imitar los dominios de recursos o para organizarlos de forma mas lgica, con las cuentas y los recursos agrupados y organizados en concordancia con la estructura de la empresa. Mezclar los dominios de recursos de nuevo en un nico dominio ofrece varias ventajas. Como hay menos dominios que administrar, la carga administrativa es menor. Se pueden utilizar las OU para crear una estructura de red detallada sin la necesidad de tratar con confianzas. Adems, se puede delegar autoridad administrativa a las OU, lo que proporciona la flexibilidad para gestionar las tareas administrativas de la forma deseada. Las consultas de Active Directory tambin se realizan mas rpido y de forma mas eficiente en un nico dominio. Finalmente, como las OU no requieren controladores de dominio, existe el potencial para liberar algunos de los recursos informticos infrautilizados para dedicarlos a otras tareas. Una empresa con una organizacin mas descentralizada, o una con diferentes unidades de negocio, podra desear mantenerse fiel a los mltiples dominios pero convertir sus dominios de recursos en dominios hechos y derechos, tanto con recursos como con cuentas. (Con Active Directory no hay motivo para mantener dominios de recursos distintos). Esta solucin permite a los usuarios estar en el mismo dominio que los recursos que utilizan, lo que reduce el trafico y facilita a los usuarios la bsqueda y el acceso a los recursos que necesitan. Sin embargo, se debera esperar hasta que la red se convirtiera al modo nativo de Windows 2000 antes de trasladar las cuentas porque las confianzas transitivas facilitan bastante el traslado de cuentas entre dominios y este tipo de confianza solo esta disponible en un
Captulo 6
dominio en modo nativo. Como alternativa se puede establecer una confianza bidireccional entre los dominios de recursos y el dominio principal, pero normalmente tiene mas sentido esperar hasta que todos los dominios trabajen en modo nativo. Algunas soluciones de terceros pueden proporcionar mucha de esta flexibilidad organizativa en Windows NT 4, con la intencin de permitir a las empresas reestructurar sus dominios de forma que funcionen correctamente con Active Directory antes de trasladarlos a Windows 2000. Modelo de dominio principal mltiple: Debido a la flexibilidad y a las ventajas que ofrece el modelo con un nico dominio, muchas empresas con un modelo de dominio principal mltiple optan por consolidar sus dominios en un nico dominio Windows 2000, utilizando las OUs para estructurar jerrquicamente su red. Si se opta por fusionar los dominios, primero se debera realizar la actualizacin del dominio de igual forma que si se fuera a preservar las estructura de dominios existente y, entonces, realizar la fusin de dominios solo despus de actualizar la red al modo nativo despus de que los dominios estn en modo nativo, todas las cuentas se pueden trasladar a un nico dominio sin la necesidad de volver a asignar los permisos sobre los objetos. Si se desea crear un rbol con un nico dominio (con un espacio de nombres contiguo) durante la actualizacin del dominio, se puede utilizar uno de los dominios existentes como raz del rbol, o se puede crear un nuevo dominio raz y aadir el resto de los dominios maestros como sus hijos. Se puede considerar la utilizacin de un dominio estructural para este dominio raz. Primero hay que actualizar o crear el dominio raz. Una vez que existe el dominio y trabaja con un par de controladores de dominio, hay que actualizar el resto de los dominios y aadirlos al rbol. Si se desea mantener cada dominio maestro con un papel autorizador, se puede crear un bosque con mltiples rboles, con cada dominio maestro sembrado como la raz de un nuevo rbol del bosque. En este caso, no importa que dominio maestro se actualice primero, pero se debe actualizar cada dominio maestro de cada rbol antes de actualizar los dominios de recursos que se piensen aadir al rbol. El modelo de dominio principal mltiple se utiliza ampliamente en grandes organizaciones por un par de motivos. Primero, porque permite que la red crezca mas all de los lmites del Administrador de cuentas de seguridad (SAM, Security Accounts Manager), el nico que utiliza los dominios nicos y los dominios de un solo maestro. El SAM de Windows NT se almacena en el registro del sistema y, cuando crece por encima de los 40 Mb, la degradacin del rendimiento se vuelve evidente. Esto implica que el lmite practico de un dominio es de 40.000 objetos, con un mximo de 20.000 cuentas de usuarios. Para poder tener mas cuentas de usuarios a objetos, Microsoft recomienda la migracin a un modelo de dominio principal mltiple. El segundo motivo por el cual las empresas utilizan dominios principales mltiples bajo Windows
Captulo 6
NT es para poder tener sitios de red fsicamente diferentes que no posean conexiones de red de rea local (WAN, Wide rea Network) lo suficientemente rpidas y fiables como para permitir que tenga lugar la replica de controladores de dominio sin consumir una cantidad inapropiada del ancho de banda de la WAN. La utilizacin de un dominio maestro en cada sitio permite superar esta carencia de conectividad adecuada, dado que entre dominios de cuentas maestros no hay replica y todo el ancho de banda de la WAN queda disponible para otros usos. La tercera razn para utilizar una estructura de dominios Windows NT con mltiples maestros es reflejar la organizacin de la empresa en los casos en los que diferentes partes de la empresa necesitan controlar sus propios recursos y usuarios. Cada dominio de cuentas maestro puede tener su propio administrador o se puede centralizar la administracin, dependiendo de los deseos de la empresa. Active Directory de Windows 2000 trata estos asuntos con efectividad, permitiendo a muchas empresas migrar a un modelo de un nico dominio (o al menos reducir el numero de dominios) y ganar las ventajas que ofrece ese modelo. Active Directory almacena toda la informacin del dominio en su base de datos (que es externa al registro y puede aumentar su tamao con libertad), de forma que cada dominio almacene su panel del directorio completo en lugar de que un servidor almacene todo el esquema de la red, lo que permite que el dominio crezca hasta aproximadamente un milln de objetos. No se necesita otro dominio; toda la organizacin se puede realizar con OUs. tambin se pueden crear mltiples sitios fsicos con un nico dominio que abarque todos los sitios y una replica entre sitios configurada para hacer el mejor use de los enlaces WAN lentos. Modelo de confianza o relacin completa: El modelo de confianza completa de Windows NT se utiliza muy a menudo en empresas muy descentralizadas o en empresas que han ido implementando dominios poco a poco y conectndolos de forma gradual. El modelo proporciona bastante autonoma y flexibilidad en cada dominio maestro, pero tambin conlleva una gran carga administrativa. Al igual que con el modelo de dominio principal mltiple, muchas empresas, cuando actualicen un dominio que utiliza el modelo de confianza completa a Windows 2000, intentaran consolidar sus dominios en un nico rbol o incluso en un nico dominio. Sin embargo, si se desea mantener la autonoma de la estructura de dominios actual del modelo de confianza completa, se puede configurar cada dominio maestro actual como un nuevo rbol o (si es necesario) como un nuevo bosque. Cuando se crea una estructura Active Directory como esta se reduce automticamente la cantidad de administracin necesaria, dado que todas las confianzas entre dominios en un rbol o bosque Active Directory son automticamente transitivas. Las confianzas transitivas no tienen efecto hasta que los dominios se convierten al modo nativo
Captulo 6
de Windows 2000. Cuando se actualiza el dominio, hay que crear primero el dominio raz creando un nuevo dominio (estructural o normal) o actualizando un dominio existente y sembrndolo como la raz del rbol Active Directory. Una vez que la raz este funcionando con un par de controladores de dominio, se puede pasar a actualizar el resto de dominios y a aadirlos como hijos del dominio raz o como races de nuevos rboles o bosques. Si es necesario, despus de actualizar todos los dominios y cambiar al modo nativo de operacin, se pueden reemplazar todas las confianzas de un sentido al estilo de Windows NT por confianzas transitivas para limitar el acceso dentro de un bosque o para proporcionar a dominios externos acceso a dominios especficos del rbol o del bosque. Una confianza de un nico sentido tambin se puede configurar para permitir que un dominio heredado Windows 3.51 o NT 4 o un dominio secundario de otro bosque (como, por ejemplo uno que pertenezca a un socio del negocio) acceda a un dominio especifico del rbol o del bosque. Cuando se establece una confianza en un nico sentido explicita en Windows 2000, funciona de forma idntica que las confianzas en Windows NT, esto es, la confianza no es transitiva. Si se concede a un dominio acceso a un nico dominio del rbol o del bosque, el dominio en que se confa no puede acceder a ningn otro dominio del rbol, aun cuando el rbol este enlazado con confianzas transitivas. Planificacin de la topologa de un sitio Los sitios, una nueva caracterstica importante de Windows 2000, definen los limites de la conectividad LAN, haciendo mas eficientes los enlaces WAN. Cuando se configuran sitios que delimitan las secciones de la red que tienen conectividad de alta velocidad, Active Directory ajusta la forma en que utiliza los enlaces WAN reduciendo la frecuencia de replica entre sitios y dirigiendo las peticiones de servicio de los clientes (como inicios de sesin clientes o bsquedas en el directorio) a los controladores de dominio que estn disponibles localmente.
Captulo 6
Los sitios son independientes de los dominios. Mientras que los dominios generalmente duplican la estructura organizativa lgica de la una empresa, los sitios duplican la estructura fsica de la red de una empresa. Un nico sitio puede consistir en uno o mas dominios, rboles o incluso bosques, y un nico dominio puede abarcar mltiples sitios. Un sitio puede consistir en una nica subred IP (lo que es a menudo el caso, porque las subredes marcan con frecuencia los limites de la red fsica) o en mltiples subredes IP, pero todas las subredes deben compartir una conectividad fiable de alta velocidad para poder ser parte de un nico sitio. En estos das de los enlaces WAN con modo de transferencia asncrona (ATM, Asynchronous Transfer Mode), cada vez es ms comn que el enlace WAN de una empresa sea tan rpido (o algunas veces mas rpido) que la LAN interna. Sin embargo, la carga del enlace WAN podra estar basada en el uso, o una empresa podra utilizar el enlace principalmente para tareas en tiempo real con un uso intensivo del ancho de banda como el video, lo que reduce el ancho de banda disponible. En tales casos, aun se puede establecer una estructura de sitios para el bosque Active Directory, para evitar sobrecargar el enlace WAN con una replica o peticiones de servicio excesivos. A la hora de planificar la actualizacin de un dominio Windows NT a Windows 2000, es importante planificar la topologa del sitio para que se pueda configurar la estructura del sitio sin demora despus de la actualizacin. Conviene plantearse las siguientes cuestiones y registrar las respuestas:
Captulo 6
G G
G G
Qu sitios ser necesario crear en el bosque Active Directory? Qu enlaces hay disponibles entre esos sitios, y cmo son de rpidos y caros? Se utilizan ya intensamente o hay disponible abundante ancho de banda? Se han planificado enlaces entre los sitios? Existen dominios que abarcaran sitios fsicos y, si es as, son suficientemente rpidos los enlaces entre los sitios como para soportarlo?
Hay dos tipos de conexiones disponibles para la replica entre sitios: RPC sncrono de baja velocidad punto a punto y el Protocolo simple de transferencia de correo (SMTP, Simple Mail Transfer Protocol). Cualquier dominio que abarque varios sitios debe tener al menos una conexin RPC sncrona de baja velocidad entre los sitios incluidos en el dominio. Se requiere esta conexin porque no se puede utilizar SMTP para una replica intensiva entre controladores de dominio en el mismo dominio; slo se puede utilizar SMTP para replicar el esquema, la configuracin y la informacin del Catalogo global. Por lo tanto, si se tienen dominios con varios sitios, hay que comprobar dos veces el enlace entre los sitios para asegurarse de que se dispone de la conectividad adecuada para esta configuracin. Las empresas que utilizan el modelo de dominio principal mltiple o el de confianza completa bajo Windows NT escogern normalmente un dominio existente para utilizarlo como la raz de su rbol Active Directory. Sin embargo, algunas organizaciones podran optar por utilizar un dominio estructural como raz de su rbol, con los anteriores dominios maestros como dominios secundarios. Un dominio estructural es simplemente un dominio sin cuentas de usuario ni recursos existe puramente para formar la estructura del dominio (de ah el nombre) adems de ayudar a una replica entre dominios fcil y eficiente. Los dominios estructurales se pueden utilizar para proporcionar una estructura de dominios adecuada para una futura reestructuracin ms a fondo. Si se sitan uno o ms niveles de dominios estructurales en el rbol Active Directory, se proporciona un ancla inalterable en el rbol de dominios, bajo la cual se pueden trasladar dominios secundarios sin alterar la estructura de dominios de nivel superior. Al mismo tiempo, el dominio raz estructural acta como un escudo ante el mundo de forma que los cambios en la complejidad quedan ocultos tras el. Los dominios estructurales tambin son tiles para la replica entre sitios, especialmente cuando se accede o se replica el Catlogo Global (CG), que es el catlogo maestro de todos los objetos de la porcin de Active Directory del dominio del host y un catalogo
Captulo 6
parcial de objetos almacenados en otros dominios. Si se dispone de mas de un sitio, se puede optar por crear un dominio estructural en la raz que abarque todos los sitios y mantenga una copia del CG de cada sitio. (tambin se debera almacenar una copia del CG en el dominio local de nivel mas alto de cada sitio y utilizar el dominio estructural simplemente como un enlace entre los sitios). Disponer de un CG en el sitio permite que los dominios locales de todos los sitios se concentren en el procesamiento y rplica de la informacin interna del sitio, dejando que el dominio estructural realice toda la rplica entre sitios. La utilizacin de dominios estructurales para la rplica tambin facilita la configuracin y el mantenimiento de los vnculos de rplica. Los dominios secundarios simplemente se replican hacia arriba, hacia el dominio principal, obviando la necesidad de conocer el nombre de cada dominio con el que necesitan replicarse. Desarrollo de una estrategia para la actualizacin Despus de documentar la infraestructura de red existente, realizar un plan de recuperacin y disear los rboles y sitios Active Directory, es el momento de juntarlo todo y crear el plan real de actualizacin.
Comprobacin de que el PDC es suficientemente potente
Hay que comenzar la actualizacin del dominio examinando cuidadosamente el PDC actual. Aunque Windows 2000 utiliza controladores de dominio principales mltiples parejos, el primer controlador de dominio conserva servicios extra que, en algunos casos, no se pueden trasladar fcilmente a otros controladores de dominio. Entre estos servicios se incluyen el servidor del Catalogo global, el Maestro de operaciones y el emulador de PDC. (El emulador de PDC proporciona servicios para clientes Windows NT y Windows 95/98 y tambin realiza algunas tareas en un entorno Windows 2000 puro). En otras palabras, todos los controladores de dominio son iguales, pero el primer controlador de dominio de Windows 2000 es un poco mas igual que los otros, por lo que puede ser deseable que esa mquina sea especialmente rpida y potente.
Creacin del nuevo dominio raz antes de actualizar el PDC
Si se esta migrando desde un modelo de dominio principal mltiple o de confianza completa y se desea crear un nuevo dominio para que trabaje como la raz del rbol de dominios, es necesario hacerlo antes de actualizar el PDC. Una vez que se haya creado el nuevo dominio y este funcionando con un par de controladores de dominio (adems de todos los nuevos sistemas o instalaciones limpias), se puede actualizar el PDC y unirlo a este nuevo rbol como dominio secundario.
Actualizacin del PDC primero
El primer servidor que ha de ser actualizado debe ser el PDC Windows NT del dominio de cuentas que
Captulo 6
se quiera utilizar como la raz del nuevo rbol Active Directory. Esto es cierto tanto si el rbol que se esta creando es el primero del bosque o el nmero veinte del tercer bosque; siempre es necesario actualizar el PDC primero si se desea actualizar el dominio Windows NT en lugar de crear un nuevo dominio.
Actualizacin de los BDC a continuacin
Conviene actualizar todos los BDCs del dominio tan pronto como sea posible tras el comienzo del proceso de actualizacin. Este paso permitir cambiar el dominio al modo nativo de Windows 2000 y obtener los beneficios administrativos del modo nativo cuanto antes. Cuando se actualice un BDC a Windows 2000, se replicar con el primer controlador de dominio que pueda alcanzar. Si en el anterior PDC, ahora Windows 2000, el controlador de dominio no esta disponible, el BDC tratar de configurarse como el primer controlador Windows 2000 del dominio, creando serios problemas cuando el primer controlador de dominio vuelva a estar disponible. Hay que asegurarse de que el primer controlador de dominio Windows 2000 es visible en la red cuando se actualiza un BDC.
Actualizacin de los servidores miembro y de los clientes de forma independiente
Los servidores miembro y las estaciones de trabajo se pueden actualizar cuando se desee, o bien antes o bien despus de actualizar el dominio a Windows 2000. Los clientes Windows 2000 y los servidores miembro funcionan perfectamente bien con los dominios Windows NT; sin embargo, no pueden acceder a los beneficios de Active Directory hasta que el dominio se actualice.
Programacin apropiada de la actualizacin del dominio
Hay que programar la actualizacin del dominio para un momento en que tenga el menor impacto en la poblacin de usuarios. Aunque probablemente sea una vana esperanza, es mejor evitar las actualizaciones durante los proyectos mas importantes y en las pocas mas ocupadas del ao. Incluso las actualizaciones perfectas producen algn impacto en los usuarios, especialmente si se realiza una reestructuracin o consolidacin de los dominios.
Preparacin de los Dominios y de los Equipos para la actualizacin

El primer paso de la actualizacin a Windows 2000 es preparar los dominios y los equipos. Este importante paso har mas eficiente el proceso de actualizacin para que transcurra con los menos contratiempos posibles. Preparacin de los dominios Para preparar los dominios para su actualizacin a Windows 2000 hay que asegurarse de que todos los servidores que se piensan actualizar ejecutan Windows NT 4. tambin es buena idea hacer limpieza de
Captulo 6
directorios y cuentas de usuario para eliminar la basura anticuada. Cuando se actualiza el dominio a Windows 2000, todas las cuentas de usuario se trasladan al Active Directory -y aunque el Active Directory es extremadamente dimensionable, consume una buena parte del espacio del disco duro-. No tiene sentido almacenar las cuentas deshabilitadas y las no utilizadas indefinidamente, por lo que es mejor eliminarlas antes de actualizar. Conviene vaciar y limpiar los directorios no utilizados y desinstalar el software caducado. Hay que desactivar las confianzas que no se deseen preservar. Se debe sincronizar el PDC con todos los BDCs a implementar despus el plan de recuperacin, incluyendo la desconexin de uno de los BDC de la red. Preparacin de los equipos Para preparar los equipos para la actualizacin, hay que seguir estos pasos en cada equipo involucrado: 1. Comprobar los requisitos de sistema de Windows 2000 para asegurarse de que el equipo los cumple. Solo porque el equipo satisfaga los requisitos mnimos de sistema no significa necesariamente que este preparado para las tareas previstas para l. 2. Comprobar la HCL en la carpeta Support del CD-ROM de instalacin de Windows 2000. Si el sistema no aparece en la lista, hay que comprobar la HCL en el sitio Web de Microsoft (http://www.microsoft.com/hwtestlhcl/). Si existen controladores actualizados para el hardware hay que descargarlos y copiarlos a un disquete o a un disco local para poder utilizarlos durante la instalacin, si fuese necesario. Si un componente del sistema no aparece en la HCL de Microsoft, se puede visitar el sitio Web del fabricante o contactar con el fabricante del dispositivo para ver si hay disponibles controladores actualizados. En general, es mejor reemplazar los componentes que no aparezcan como 100 por 100 compatibles. 3. Leer los archivos lealro.txt y leame.doc incluidos en el CD-ROM de Windows 2000 para obtener detalles sobre aplicaciones y sobre el hardware. 4. Desinstalar cualquier programa de proteccin antivirus que haya instalado, a menos que se sepa que funciona bajo Windows 2000 sin modificaciones. 5. Realizar y verificar una copia de seguridad de todo el sistema. 6. Crear o actualizar el disco de reparacin de emergencia o el disco de inicio de Windows 95/98. 7. Registrar la configuracin del hardware del sistema para tenerla como referencia en caso de que se produzca un conflicto o problema con el hardware. Entre los elementos a registrar se incluyen los dispositivos instalados, las IRQ, la configuracin de los puentes y las configuraciones de discos duros. 8. Desactivar el duplicado de disco si se esta utilizando. (Se puede activar cuando finalice la actualizacin). 9. Descomprimir el disco duro. (Esto slo se aplica a los clientes Windows 95/98). 10. Desconectar el cable serie de cualquier dispositivo de alimentacin ininterrumpida (SAI) de puerto serie. (Los dispositivos SAI/USB se pueden dejar enchufados). 11. Localizar todas las unidades y obtener el CD-ROM de Windows 2000 o conectarse a un recurso compartido de red con los archivos de la instalacin de Windows 2000.
Captulo 6
Actualizacin a Windows 2000 Professional desde Windows 95/98

Con toda probabilidad un administrador de redes empleara mas tiempo en realizar actualizaciones de clientes que actualizaciones de servidores. Windows 2000 es el primero de los sistemas operativos de red de Microsoft que proporciona una va de actualizacin para los sistemas operativos de escritorio (Windows 95 y Windows 98) adems de para el sistema operativo de estaciones de trabajo (Windows NT Workstation). Las actualizaciones de Windows 95/98 son la va de actualizacin a Windows 2000 mas difcil y, a causa de estas dificultades, se recomienda considerar la realizacin de instalaciones limpias en lugar de actualizaciones siempre que sea posible. Antes de decidir si se deben actualizar o realizar nuevas instalaciones, hay que leer las secciones que siguen y probar la actualizacin en algunos clientes que sean representativos de la poblacin de clientes. Windows 2000 Professional es de lejos el mejor cliente para empresas que vende Microsoft. Sin embargo, por algn motivo, Microsoft no lo ha promocionado como la primera opcin para todas las empresas y continua revisando la lnea Windows 95/98 aun cuando, en general, Windows 95 y Windows 98 no son los mejores sistemas para el lugar de trabajo. De acuerdo, estos poseen reexpedidotes funcionales para redes Microsoft y se pueden actualizar para acceder a Active Directory, pero tambin carecen de muchos de los atributos que hacen que un sistema operativo sea bueno para la empresa. Si Windows 2000 se ejecutara en los sistemas clientes, casi siempre ser mejor utilizarlo que Windows 95/98. Windows 2000 Professional tiene una sorprendente estabilidad de sistema, superando incluso a la de Windows NT Workstation. La seguridad del sistema es personalizable; se puede hacer que la seguridad del cliente sea muy flexible o extremadamente estricta. (Windows NT 3.51 esta certificado con la seguridad de nivel C2, y se espera que Windows NT 4 y Windows 2000 reciban tambin esta certificacin cuando emerjan del proceso de prueba un tanto prolongado). Windows 2000 tambin esta construido para ser rpido, con un eficiente ncleo de 32 bits completamente multienhebrado con multitarea preferente y multiprocesamiento simtrico (SMP, Symmetric Multiprocessing), lo que permite a los usuarios ejecutar mas aplicaciones y ejecutar esas aplicaciones mas rpido. Los usuarios con mltiples procesadores y software escrito para sacar ventaja del SMP pueden utilizar un segundo procesador, algo no disponible en Windows 95/98. Windows 2000 es en realidad significativamente mas rpido en muchas aplicaciones que Windows 98 en un hardware equivalente (asumiendo que el hardware cumple los requisitos de sistema mnimos para Windows 2000). Windows 2000 Professional esta diseado para complementar la familia Windows 2000 Server, y como tal proporciona los mejores servicios de cliente para las redes basadas en Windows 2000, superando enormemente las excelentes prestaciones de red de Windows
Captulo 6
NT 4 Workstation. En un dominio Windows 2000, los clientes Windows 2000 Professional pueden administrarse remotamente, hacer uso de los escritorios mviles y aprovechar las ventajas de las aplicaciones instaladas remotamente. (Incluso el sistema operativo se puede instalar remotamente). Dificultades en las actualizaciones de Windows 95/98 Una actualizacin directa de Windows 95 o Windows 98 a Windows 2000 es posible y no se hace bien, pero resulta sorprendente descubrir que se hace completamente. La dificultad radica en una diferencia fundamental en las arquitecturas: Windows 2000 esta basado en Windows NT, y Windows 95 y Windows 98 son herederos de MS-DOS/Windows 3.x (aunque obviamente todos los sistemas operativos anteriores incluyen grandes cantidades de cdigo nuevo). Para complicar aun mas el asunto, Windows 95 y 98 no utilizan los mismos controladores que Windows 2000. Estos son los principales obstculos a vencer, aunque si hay controladores Windows 2000 disponibles para los componentes del sistema, el problema de los controladores se puede solucionar fcilmente. El hecho es que algunas aplicaciones Windows 95/98 no se ejecutarn bajo Windows 2000 sin alguna modificacin. Por lo tanto, cuando se realiza una actualizacin desde Windows 95 o Windows 98, es importante o bien desinstalar las aplicaciones que no funcionan sin modificaciones tanto en Windows 98 como en Windows 2000, o bien obtener un paquete de actualizacin (tambin llamado DLL de migracin) del distribuidor de la aplicacin. Con lo dicho, se puede actualizar un sistema basado en Windows 95 o en Windows 98 a Windows 2000 Professional, y se puede conseguir que funcione. Sin embargo, una persona prudente realizara varias actualizaciones en sistemas representativos antes de decidirse sobre la estrategia de actualizacin. Muchos paquetes de aplicacin instalan diferentes versiones del mismo programa, dependiendo de si la instalaron se realiza para Windows 95/98 o bajo Windows 2000. Cuando este sea el caso, la versin Windows 95/98 normalmente no se ejecutara bajo Windows 2000. Si hay que enfrentarse a esta situacin, es necesario obtener un paquete de actualizacin o una DLL de migracin del distribuidor de la aplicacin. O se puede desinstalar la aplicacin antes de actualizar a instalar despus la versin compatible con Windows 2000. Inicio dual Si es necesario trabajar con aplicaciones heredadas que solo funcionan bajo Windows 95/98, se puede configurar un inicio dual con Windows 95/98 y Windows 2000. El inicio dual permite a los usuarios seleccionar el sistema operativo en el inicio, estando cada sistema operativo instalado en una particin o unidad de disco independiente y manteniendo sus propias aplicaciones. Aunque el uso de un inicio dual permite bastante flexibilidad, no es algo que se deba hacer a gran escala a causa del trabajo administrativo adicional y los recursos extra requeridos.
Captulo 6
Si se desea realizar un inicio dual con Windows 95/98 se deberan tener en cuenta las siguientes limitaciones:
G
G G
Windows 95/98 no puede acceder a las particiones NTFS, aunque Windows 2000 puede acceder a todas las particiones FAT y FAT32. Por lo tanto, si es necesario acceder a toda la informacin de la unidad de disco desde ambos sistemas operativos, es necesario utilizar FAT o FAT32 como formato para las particiones. Sin embargo, la utilizacin de FAT y FAT32 elimina muchas de las ventajas en seguridad que Windows 2000 ofrece, por lo que se debe utilizar esta solucin con precaucin. Se debe instalar cada aplicacin de forma independiente en cada sistema operativo. Se necesita un nombre de equipo diferente para cada sistema operativo. El equipo aparecer en la red como nombre1 cuando se inicie en Windows 95 o Windows 98; aparecer como nombre2 cuando se inicie en Windows 2000. Si actualmente ya se utiliza un inicio dual entre Windows 95/98 y Windows NT se puede actualizar la instalacin Windows NT a Windows 2000 y despus utilizar un inicio dual entre Windows 95/98 y Windows 2000. Sin embargo, en esta situacin no se puede actualizar la instalacin Windows 95/98 a Windows 2000.
Para configurar un inicio dual desde Windows 95/98 hay que ejecutar el Programa de instalacin o bien, si la opcin para notificar automticamente la insercin esta activa, basta con insertar el CDROM de Windows 2000 y pulsar No cuando se pregunte si se desea actualizar a Windows 2000. En la primera ventana que aparece despus de ejecutar el Programa de instalacin o pulsar No hay que seleccionar Instalar una nueva copia de Windows 2000 para realizar una instalacin limpia. Ejecucin de la actualizacin Se puede ejecutar el Programa de instalacin desde el CD-ROM de Windows 2000 o desde una unidad de red. En cualquier caso, primero hay que ejecutar Windows 95 o Windows 98, cerrar todos los programas y desinstalar cualquier programa de proteccin ante virus que haya instalado. Para ejecutar el Programa de instalacin desde el CD-ROM hay que insertar el CD-ROM de Windows 2000. Aparece el cuadro de dialogo CD de Microsoft Windows 2000 si esta activa la Reproduccin automtica del CD-ROM (Notificar automticamente la insercin). (Si esta opcin no esta activa, hay que abrir la carpeta i386 del CD-ROM y pulsar dos veces en winnt32.exe). Este cuadro de dialogo pregunta si se desea actualizar la versin de Windows. Hay que pulsar S para iniciar el Programa de instalacin. Para actualizar a Windows 2000 Professional a travs de la red hay que ejecutar el programa winnt32.exe desde la unidad de red que contenga los archivos de instalacin de Windows 2000 Advanced Server y, despus, proceder con el Programa de instalacin. Una vez ejecutado el Programa de instalacin hay que seguir estos pasos para actualizar el equipo a Windows 2000 Professional:
Captulo 6
1. Seleccionar la opcin Actualizar a Windows 2000 y despus pulsar Siguiente. Esto actualizara el equipo a Windows 2000 Professional manteniendo la configuracin y los programas intactos. 2. Leer el contrato de licencia y seleccionar la opcin Acepto este contrato y, despus, pulsar Siguiente. 3. Pulsar el hipervnculo proporcionado para conectarse al sitio Web de Microsoft para buscar los archivos de actualizacin que se pudieran necesitar y, despus, pulsar Siguiente. despus, el Programa de instalacin explora el sistema en busca de incompatibilidades software y hardware. 4. Si se dispone de paquetes de actualizacin (tambin conocidos como DLLs de migracin) para cualquiera de los programas, hay que seleccionar la opcin correspondiente y despus pulsar Agregar para seleccionar la carpeta que contiene los archivos. Si no se dispone de paquetes de actualizacin hay que seleccionar la segunda opcin y pulsar Siguiente. 5. Indicar si se desea actualizar la unidad a NTFS en la siguiente pantalla y despus pulsar Siguiente. (NTFS es necesario pare utilizar las caractersticas de seguridad de Windows 2000). 6. Si se sabe que se posee hardware pare el cual Windows 2000 no tiene controladores, hay qua indicar qua se suministraran al Programa de instalacin controladores actualizados y despus pulsar Siguiente. 7. El Programa de instalacin muestra un informe de la actualizacin que documenta el estado del hardware y del software. Hay qua leer este informe detenidamente para determinar si todava se desea realizar la actualizacin o no. Hay que desinstalar los programas qua el Programa de instalacin indique que causan problemas y, despus, pulsar Siguiente pare permitir qua el Programa de instalacin actualice el equipo. El Programa de instalacin proceder. Si no se proporcionan controladores actualizados, los dispositivos con controladores anticuados no funcionaran hasta que se instalen controladores ms nuevos. Esto se puede hacer despus de instalar Windows 2000 sin causar problemas.
Actualizacin a Windows 2000 Server desde Windows NT

Cuando existen servidores o clientes Windows NT, la actualizacin a Windows 2000 Server o Advanced Server es con mucho la va ms sencilla. hacer esto permite preservar todas las configuraciones y, cuando se actualize el PDC, permite preservar el dominio y todas sus cuentas de usuario y recursos. Realizar una instalacin limpia tambin es una opcin, pero no es necesario a menos que se este ejecutando un sistema operativo de servidor distinto de Windows NT 3.51 4. (Normalmente es mejor actualizar primero los servidores qua ejecutan versiones anteriores de Windows NT a 3.51 4 y despus actualizar a Windows 2000, en lugar de realizar una instalacin limpia). De forma similar, no se recomienda la configuracin de un inicio dual a menos qua haya alguna necesidad de utilizar la configuracin del servidor o cliente Windows NT existente parte del tiempo. El inicio dual entre Windows NT 4 y Windows 2000 tiene varias limitaciones. Para actualizar a Windows 2000 Advanced Server con el CD-ROM de actualizacin de Windows 2000
Captulo 6
Advanced Server, es necesario estar ejecutando Windows NT 4 Enterprise Edition. Si se dispone de la versin completa de Windows 2000 Advanced Server, pensada para equipos nuevos, se puede actualizar desde los siguientes productos:
G G G G
Windows NT 4 Enterprise Edition. Windows NT 4 Terminal Server. Windows NT 4 Server. Windows NT 3.51 Server.
Despus de planificar la actualizacin del dominio y preparar el equipo, es el momento de comenzar la actualizacin. Si se esta actualizando un PDC hay que sincronizar con los BDC del dominio una ultima vez antes de iniciar la actualizacin. Se deben cerrar todos los programas abiertos y desactivar todos los programas de proteccin antivirus y despus insertar el CD-ROM de Windows 2000. Si esta activada la Reproduccin automtica del CDROM (Notificar automticamente la insercin), aparece el cuadro de dialogo CD de Microsoft de Windows 2000. (Si esta opcin no esta activada, hay que abrir la carpeta i386 del CDROM y pulsar dos veces en winnt32.exe). El cuadro de dialogo pregunta si se desea actualizar la versin de Windows. Hay que pulsar Si para iniciar el Programa de instalacin y, despus, seguir estos pasos para actualizar a Windows 2000: 1. Seleccionar la opcin Actualizar a Windows 2000 y, despus, pulsar Siguiente. Esto actualizara el equipo a Windows 2000 manteniendo las configuraciones y los programas intactos. 2. Leer el contrato de licencia y seleccionar la opcin Acepto este contrato y despus pulsar Siguiente. 3. Si el Programa de instalacin encuentra hardware que no es compatible con Windows 2000 lo muestra en la siguiente pantalla. Hay que seleccionar el hardware incompatible y pulsar Utilizar disco para proporcionar controladores Windows 2000 actualizados para el dispositivo y, despus, pulsar Siguiente. En este punto el Programa de instalacin reinicia, instala Windows 2000 y despus reinicia el recin actualizado sistema operativo. 4. Si se esta actualizando un PDC o un BDC comenzara el Asistente para instalacin de Active Directory. Para ms informacin acerca de la utilizacin de este asistente para instalar Active Directory y un servidor DNS si se desean implantar ambos servicios en el controlador del dominio.
Modos operativos en los dominios

Despus de actualizar el PDC a Windows 2000, el dominio opera en modo mixto, lo que significa que pueden estar presentes controladores tanto Windows 2000 como Windows NT. Esta es la configuracin predeterminada para los servidores Windows 2000. En modo mixto, las confianzas operan como lo haran entre dominios Windows NT 4.
Captulo 6
Acerca del modo nativo Para operar en modo nativo, un dominio Windows 2000 solo debe tener controladores de dominio Windows 2000 y debe cambiarse explcitamente al modo de operacin nativo. Dado que esta es una migracin en un solo sentido, se debe hacer de forma manual. Desde el momento en que se actualice a modo nativo, los controladores Windows NT 4 dejaran de funcionar en el dominio. Por lo tanto, no se debera cambiar a modo nativo a menos que se este seguro de que se han actualizado o desconectado todos los BDC Windows NT y de que no se van a actualizar en el futuro controladores de dominio Windows NT. Los servidores miembro Windows NT 4 funcionan sin problemas en un dominio Windows 2000 en modo nativo, al igual que lo hacen los clientes basados en Windows NT 4 y en Windows 95/98. El modo nativo solo se refiere a los controladores de dominio, no a las maquinas del dominio. Los dominios Windows 2000 en modo nativo ofrecen varias ventajas sobre los dominios Windows NT 4, adems de sobre los dominios Windows 2000 en modo mixto. Adems de las ventajas mostradas en la tabla, cambiar al modo nativo permite a clientes heredados beneficiarse de las relaciones transitivas entre dominios en el Active Directory y, una vez autentificados, acceder a recursos en cualquier parte del rbol del dominio, siempre que tengan los permisos adecuados. Diferencias entre dominios Windows NT 4, dominios Windows 2000 en modo mixto y dominios Windows 2000 en modo nativo Caracterstica Objetos por dominio Windows NT 4 Menos de 40.000 (20.000 cuentas de usuario) recomendado Windows 2000 en Windows 2000 en modo mixto modo nativo Menos de 40.000 Hasta 1 milln (20.000 cuentas de usuario) recomendado S Global, Local Si Universal, Global del dominio, Local del dominio, Local S Completa Instalados automticamente en todos los DC
Rplica con No mltiples maestros Tipos de grupos Global, Local
Grupos anidados
No
No Limitada Instalados manualmente en cada DC
Administracin a Limitada travs del dominio Filtros de contraseas Instalados manualmente en cada PDC y BDC
Captulo 6
Consultas por medio del cambio de escritorio/gestin de configuracin Protocolos de autentificacin
No
Solo en DC Windows 2000
Si
NTLM
NTLM, Kerberos
Kerberos
Es importante comprender que no todos los sistemas del dominio tienen que estar ejecutando Windows 2000 para poder operar en modo nativo. El modo nativo solo afecta a la operacin de los controladores de dominio. Sin embargo, el problema de tener sistemas que no sean Windows 2000 en el dominio es importante cuando se va a planificar la implantacin de un servidor WINS. Mientras haya clientes y servidores heredados (no Windows 2000) en el dominio, se necesitan servidores WINS para la resolucin de nombres NetBIOS (a menos que se tenga una red pequea no enrutada que pueda gestionar la resolucin de nombres NetBIOS mediante difusin). Adems, no se debera desactivar NetBIOS sobre TCP/IP en las maquinas Windows 2000 hasta que la red conste nicamente de Windows 2000 porque los sistemas heredados no sern capaces de comunicarse con los sistemas Windows 2000. (Los sistemas heredados basan su comunicacin de red en llamadas NetBIOS). Cambio al modo nativo Cuando todos los BDCs Windows NT 4 hayan sido bien actualizados a Windows 2000 o bien desconectados, se puede cambiar la red al modo nativo de Windows 2000. Para realizar el cambio hay que iniciar sesin en un controlador de dominio utilizando una cuenta de administrador y seguir estos pasos: 1. Abrir Dominios y confianzas de Active Directory desde la carpeta Herramientas administrativas. 2. Pulsar con el botn derecho del ratn en el dominio que se desee convertir al modo nativo y escoger Propiedades en el men contextual. 3. Pulsar el botn Cambiar el modo en la ventana Propiedades. Obsrvese que el cuadro Modo de operacin del dominio muestra Modo mixto. 4. Cuando Windows 2000 pida que se confirme el cambio hay que pulsar Si. Hay que pulsar Aceptar en el siguiente cuadro de dialogo. 5. Reiniciar el controlador de dominio en el que se han hecho cambios adems de cualquier DC del dominio despus de que el DC modificado informe de que se esta ejecutando en modo nativo. Cambiar al modo nativo es un proceso irreversible. despus de cambiar al modo nativo no se pueden usar controladores de dominio Windows NT 4 en el dominio.
Captulo 6
Captulo 7
Captulo 7
En Windows 2000, tanto compartir archivos como los medios de almacenamiento extrables se han simplificado para el usuario final. Y mientras que las tareas rutinarias asociadas a la administracin se han racionalizado, compartir archivos y los medios de almacenamiento extrables ahora son ms complejos de administrar debido a que las caractersticas de tecnologas simples han crecido.
El Sistema de Archivos Distribuido (DFS)

Uno de los problemas con compartir archivos y las redes es que los usuarios suelen tener dificultades para encontrar los archivos en la red a la que tienen acceso. Si se crea un nico servidor de archivos para la red, este problema puede ser intrascendente. Sin embargo, cuando se aaden mltiples servidores de archivos en diversas ubicaciones, la ayuda a los usuarios a encontrar los recursos compartidos correctos puede convertirse en un trabajo a tiempo completo. El Sistema de archivos distribuido (Distribuited File System, DFS) fue diseado para ayudar a aliviar este dilema, mientras se proporciona tambin los beneficios del equilibrio de carga, tolerancia a fallos adicional y conservacin del ancho de banda libre de la red. DFS logra estos objetivos ocultando la estructura subyacente de compartir archivos dentro de una estructura de carpeta virtual tal que los usuarios vern una nica estructura continua de carpetas, la cual est formada en realidad por carpetas que residen en una docena de distintos servidores esparcidos a travs de la organizacin. Ventajas La principal ventaja de DFS es su nico punto de acceso para todos los recursos compartidos de la red. Otro beneficio es que permite organizar los recursos compartidos de archivos y administrar disponibilidad y tolerancia a fallos mejorada, as como la funcionalidad de equilibrio de carga. Adems, la seguridad es fcil con DFS.
Un punto de acceso para todos los archivos de red
DFS hace ms fcil al usuario encontrar y acceder a los archivos compartidos que necesiten. Sin DFS, los usuarios a menudo tienen que conectarse a una serie de recursos compartidos diferentes en varios servidores de archivos para obtener los archivos que necesitan. A menos que los usuarios sepan en qu servidores y qu archivos compartidos buscan, tienen que buscar los archivos por todos. DFS permite la creacin de una coleccin virtual y organizada de forma jerrquica de archivos compartidos para que los usuarios slo tengan que conectarse a un nico servidor (el servidor host para la estructura de DFS). Todas las carpetas que necesite el usuario aparecen como si estuviesen almacenadas en el servidor incluso cuando las carpetas en realidad estn almacenadas en mltiples servidores.
Captulo 7
Alta disponibilidad y mejor rendimiento
DFS admite la configuracin de la topologa de carpetas compartidas de forma que maximiza la disponibilidad, incrementa la tolerancia a fallos y permite a los administradores configurar el equilibrio de carga para archivos compartidos de gran uso. Cuando los archivos compartidos redundantes se combinan con dominios de Windows 2000 usando sitios para delimitar las reas de alta conectividad, DFS tambin incrementa el rendimiento del vnculo de red enlazado a los usuarios de las carpetas compartidas lo ms cercanas posible. Para enriquecer esta gran disponibilidad, DFS protege el verdadero archivo compartido de los usuarios. Los usuarios navegan por la estructura de carpetas de DFS de manera totalmente transparente. Es posible beneficiarse de esta abstraccin de muy distintas formas. Por ejemplo, se puede incrementar la disponibilidad permitiendo actualizaciones y mantenimiento del servidor sin tener que dejar la carpeta compartida fuera de lnea. Para hacerlo, slo hay que cambiar el vnculo DFS para que apunte a otro servidor con una copia de la carpeta compartida. Esta posibilidad de estar en lnea puede ser especialmente til para los sitios Web. Slo hay que crear un sitio Web en una carpeta compartida, crear un vnculo DFS a la carpeta compartida y configurar Internet Information Server (IIS) para que use el vnculo DFS a la carpeta como sitio Web. Si es necesario quitar de lnea el servidor que almacena la carpeta compartida, slo hay que cambiar el vnculo DFS a una copia de la carpeta compartida en otro servidor (no se rompen hipervnculos haciendo esto). Cuando se usa DFS en un dominio de Windows 2000, la topologa de DFS se publica en Active Directory y automticamente se replica a todo los controladores de dominio del dominio, lo que asegura que los usuarios siempre tendrn acceso al rbol DFS, aun cuando uno o ms servidores estn cados. Tambin se puede configurar una raz de DFS o una carpeta compartida en un servidor para replicar con un duplicado de la carpeta compartida en otro servidor, proporcionando tolerancia a fallos en caso de que uno de los servidores falle. La replicacin entre carpetas compartidas DFS tambin permite un sencillo equilibrio de la carga de red. Configurando un vnculo DFS para que apunte a una serie de servidores distintos, cada uno con idnticas carpetas compartidas que estn replicadas para que sean idnticas, los archivos compartidos populares pueden lograr un beneficio de rendimiento: tener mltiples servidores manteniendo las carpetas, mientras que al usuario final todo parece estar mantenido en una nica mquina.
Seguridad
Otra ventaja es que la seguridad de DFS es fcil de administrar. Se asignan los permisos para la raz de DFS sobre quin puede acceder o modificar la estructura de DFS, pero el resto de la seguridad la trata el sistema de archivos NTFS. Esta ordenacin tiene sentido gracias a que DFS proporciona slo una estructura virtual del conjunto existente de archivos compartidos. Las mismas opciones de seguridad que se aplican para acceder directamente a los archivos compartidos se aplica para acceder a archivos compartidos por medio del rbol de DFS. Conceptos y terminologa
Captulo 7
DFS es una nueva tecnologa de Windows que introduce nuevos conceptos y trminos.
Clientes de DFS
Para acceder a la estructura de carpetas de DFS, es necesario un cliente DFS. Un cliente de DFS, no se puede acceder al rbol de DFS y lograr los beneficios de DFS; se puede acceder a los archivos compartidos slo como se podra hacer si no se hubiese configurado DFS en la red. Si se est ejecutando un sistema operativo que no sea Microsoft no puede ser cliente DFS. El tipo de clientes DFS admitidos que proporcionan diversos sistemas operativos son:
G G G G G
G G
No Microsoft, Macintosh, UNIX, OS/2: Ninguno MS-DOS: Ninguno Windows 3.x: Ninguno Windows 95: Se puede descargar el cliente para DFS 4.x y 5 Windows 98/98 Segunda edicin: Clientes de DFS 4.x y 5 independientes incluidos y el cliente de DFS 5 basado en dominio se puede descargar Windows NT 4 con Service Pack 3 o posterior: Clientes de DFS 4.x y 5 independientes incluidos Windows 2000: Soporte pleno incorporado
Servidor de DFS
El componente del lado del servidor para DFS est integrado en Windows 2000 Server y no se puede eliminar. Windows NT 4 con Service Pack 3 o posterior tambin puede ser host de races para DFS. Sin embargo, las races de DFS slo pueden implantarse en servidores Windows NT independientes, no en servidores que pertenezcan a un dominio, ya que DFS basado en dominio depende fuertemente de Active Directory, con los cuales Windows NT slo tiene posibilidades para interactuar. Para usar la caracterstica de sincronizacin de carpetas de DFS que mantiene dos archivos compartidos idnticos, es necesario implantar los archivos compartidos en particiones NTFS de Windows 2000. Finalmente, no se puede instalar un servidor de DFS en NetWare o en UNIX. DFS actualmente es una de esas caractersticas slo Microsoft, tanto el cliente como el servidor. Sin embargo, se pueden incluir archivos compartidos en el rbol de DFS desde cualquier sistema operativo que pueda resolverse mediante un camino UNC, incluyendo Microsoft Windows 95, Windows 98 y NetWare.
DFS dentro y fuera de dominios
DFS viene en dos variantes: independiente y basado en dominios.

G
DFS independiente o una estructura DFS con una raz de DFS hospedada en un servidor que no pertenece a un dominio de Windows 2000 tiene dos limitaciones respecto a DFS basado en
Captulo 7
dominios. H La primera de estas limitaciones es que DFS independiente no puede usar Active Directory. Esta limitacin es obvia, ya que los dominios de Windows 2000 estn basados en Active Directory. El inconveniente ms importante es que DFS independiente no puede realizar la replicacin automtica de carpetas compartidas en un conjunto de rplica, ni puede replicar la raz de DFS en forma alguna. H La segunda limitacin de DFS independiente es que slo puede tener una nica capa de vnculos DFS. Esto en la actualidad tambin es una limitacin real de DFS basado en dominio, ya que las uniones a medio nivel todava no estn implementadas. En consecuencia, tanto la topologa de DFS independiente como la basada en dominios estn limitadas a una nica capa de vnculos. Para lograr rboles de carpetas ms profundos, las carpetas compartidas necesitan tener o bien carpetas, o bien es necesario crear un vnculo DFS a otra raz DFS en otro servidor.
G
DFS basadas en dominios se diferencian de DFS independientes en un par de cosas. DFS basado en dominios debe residir en un miembro o en un controlador de dominio de un dominio de Windows 2000. Alojar DFS en un servidor de un dominio Windows 2000 hace que publique automticamente la topologa de DFS en Active Directory, proporcionando tolerancia a fallos y la optimizacin del rendimiento de la red dirigiendo a los clientes a la carpeta DFS ms cercana del conjunto de rplica.
Active Directory tambin permite que DFS basado en dominio sincronice automticamente las carpetas compartidas del conjunto de rplica, as como las copias de la raz de DFS. Y mientras que DFS en la actualidad slo puede crear un nivel de vnculos DFS por raz (exactamente igual que DFS independiente), en futuras versiones de Windows, DFS basado en dominios admitir un nmero ilimitado de vnculos DFS anidados.
Estructura y topologa
La estructura de un rbol DFS empieza con una raz DFS. La raz DFS es una carpeta compartida ordinaria que sirve como carpeta raz para un determinado rbol DFS. Debido a que DFS es slo un sistema de archivos virtual, la carpeta usada como raz DFS tiene las mismas funciones que cualquier otra carpeta compartida y puede contener archivos y subcarpetas ordinarias. El servidor que almacena la raz de DFS se llama servidor host. Windows NT admite slo una raz de DFS por servidor, mientras que Windows 2000 no posee limitaciones de arquitectura al nmero de races DFS que puede admitir un nico servidor. Sin embargo, en la actualidad Windows 2000 posee la misma limitacin DFS de raz por servidor que Windows NT Por s misma, la raz DFS no es ms que slo un archivo compartido. Sin embargo, se puede usar el complemento Sistema de archivos distribuido para aadir vnculos DFS a otros archivos compartidos de la organizacin. Los vnculos DFS funcionan de manera casi idntica a los hipervnculos de las pginas Web.
Captulo 7
Los vnculos DFS que se crean de forma transparente vinculan la raz DFS a cualquier otra carpeta compartida de la red. Cuando el usuario abre la raz DFS, todas las carpetas vinculadas aparecen como si fuesen subcarpetas de la raz DFS. Por lo tanto, cuando los usuarios abren una subcarpeta, abren de forma transparente el archivo compartido vinculado. Independientemente de si est en una unidad distinta del mismo servidor o en un servidor en un departamento completamente distinto, los usuarios nunca se darn cuenta de que la carpeta que han abierto no es sino una subcarpeta de la carpeta que abrieron previamente (en la raz DFS). Los vnculos DFS no tienen por qu apuntar a una sola carpeta, pueden apuntar hasta a 32 carpetas idnticas, llamadas carpetas compartidas DFS o rplicas y el usuario final ver slo una nica carpeta. Se pueden crear rplicas de archivos compartidos normales, as como de la raz DFS, y se puede hacer que se sincronicen automticamente con todas las restantes rplicas en un conjunto de rplica (si se usa DFS basado en dominio). El uso de conjuntos de rplicas -un grupo idntico de rplicas- crea un nivel de tolerancia a fallos y de equilibrio de carga, mejorando tanto el tiempo de acceso a los archivos compartidos como la respuesta de los archivos compartidos. Los clientes DFS escogen automticamente una rplica en su sitio, si est disponible, reduciendo el trnsito de la red. Si hay ms de una rplica disponible en el sitio del cliente, cada cliente escoge de forma aleatoria una rplica, permitiendo que la carga se distribuya a travs de los servidores disponibles. Tambin se pueden crear vnculos DFS a otras races DFS residentes en otros servidores. Estos vnculos se llaman vnculos nter-DFS y en la actualidad son la nica forma de crear rboles DFS con mayor profundidad de un nivel. Los vnculos nter-DFS tambin son la forma de vincular distintos espacios de nombres de DNS, ya que todos los vnculos normales de DFS tienen que ser a archivos compartidos dentro del mismo espacio de nombres de DNS. Para lograr la flexibilidad necesaria para crear rboles jerrquicos anidados en profundidad, DFS necesita soporte de unin a medio nivel: vnculos DFS desde una carpeta que no sea la raz DFS. Las uniones a medio nivel todava no estn admitidas en Windows 2000.
Configuracin, creacin y apertura de una raz DFS
El primer paso para trabajar con DFS es crear una raz DFS (o abrir una para trabajar con una raz
Captulo 7
existente). Para hacerlo, hay que seguir estos pasos: 1. Se inicia el complemento Sistema de archivos distribuido desde la carpeta Herramientas administrativas. 2. Seleccionamos Sistema de Archivos distribuidos y seleccionamos Nueva raz DFS en el men Accin y despus pulsar Siguiente. Se abre el Asistente para crear nueva raz DFS. 3. Seleccionar el tipo de raz DFS que se quiere crear: G Crear una raz DFS de dominio: seleccionarlo si se pertenece a un dominio y pulsar Siguiente G Crear una raz DFS independiente: si no se pertenece a un dominio 4. Si hemos elegido la primera opcin, en la siguiente pantalla, se presenta el cuadro de seleccin del dominio donde se quiere crear la raz DFS. Se selecciona el dominio del host a usar para la raz DFS y despus se pulsa Siguiente. 5. En la siguiente pantalla, se introduce el nombre de DNS del servidor que mantendr la raz DFS o se pulsa Explorar para buscar en la red el host apropiado. Se pulsa Siguiente. 6. Se elige un archivo compartido existente a usar como raz DFS o se crea un nuevo recurso compartido para mantener la raz DFS, introduciendo el camino a la carpeta y el nombre de recurso compartido a usar para la carpeta. Despus, hay que pulsar Siguiente.
Captulo 7
7. Se introduce el nombre para la raz DFS en el cuadro Nombre de raz DFS, el cual vern los usuarios de DFS cuando abran la raz DFS, se introducen los comentarios en el cuadro Comentarios y se pulsa Siguiente. 8. Se revisan las opciones y despus se pulsa Finalizar para crear la raz DFS. Si se administran con frecuencia mltiples races de DFS, hay que abrir una MMC en blanco, abrir el complemento Sistema de archivos distribuido, abrir todas las races que se pretenda usar y despus salvar el archivo de la consola. Despus, cuando sea necesario acceder a todas las races de DFS, hay que iniciar la consola guardada en lugar del complemento estndar.
Cmo aadir vnculos DFS
Los vnculos DFS son lo que hacen especial a la raz DFS. Sin vnculos DFS, no es ms que otro archivo compartido. Los vnculos DFS permiten navegar desde la raz DFS a otros archivos compartidos de la red sin tener que abandonar la estructura DFS. Para crear un vnculo DFS, hay que seguir estos pasos: 1. Desde el panel de rbol de la izquierda, se selecciona la raz DFS a la que agregar vnculos DFS. 2. Se escoge la orden Nuevo vnculo DFS en el men Accin. Esto muestra el cuadro de dilogo Crear un nuevo vnculo DFS.
Captulo 7
Nombre de vnculo: se introduce el nombre que los usuarios vern para la carpeta compartida que se est vinculando. G Enviar el usuario a esta carpeta compartida: Se introduce el UNC o el camino de DNS de la carpeta compartida o se pulsa Explorar para buscar la carpeta compartida a enlazar. G Comentario: se introducen todos los comentarios que se desea que vean los usuarios. G Los clientes mantienen en cach esta referencia durante: se usa para introducir la cantidad de tiempo que los clientes mantendrn en cach esta referencia antes de comprobar si la referencia an es vlida. Asignar un tiempo mayor reduce el trfico de red, pero puede ocasionar referencias inadecuadas o interrupciones del servicio en caso de que cambie el vnculo DFS (durante la recuperacin de un miembro de un conjunto de rplica a otro o manualmente, para preparar el mantenimiento de un servidor que alberga el archivo compartido). 3. Hay que pulsar Aceptar cuando se haya terminado.
G
Al igual que en el texto del hipervnculo de una pgina Web no es necesario reflejar el nombre de archivo de la pgina Web a la que est vinculado, el nombre de un vnculo DFS puede ser completamente distinto del nombre real de la carpeta compartida a la que est vinculado.
Configuracin de la rplica
Una de las caractersticas clave de DFS es la posibilidad de configurar una carpeta compartida en el rbol de DFS para que se replique automticamente (o manualmente) con una carpeta compartida idntica que tambin pertenezca al rbol DFS. Se puede implementar esta caracterstica sobre cualquier carpeta compartida DFS o sobre la propia raz DFS. Rplica de la raz DFS La raz DFS es la parte ms importante a replicar del rbol DFS, ya que alberga la mayor parte de los vnculos DFS del rbol. Si el servidor de la raz DFS cae, el rbol DFS estar inaccesible -a menos que se haya replicado la raz DFS-. Para configurar la rplica de la raz DFS, hay que seguir estos pasos: 1. Se inicia el complemento Sistema de archivos distribuido y seleccionamos la raz DFS que se
Captulo 7
2. 3.
4.
5. 6. 7. 8. 9. 10.
desea replicar. Se elige Nueva rplica de raz en el men Accin. Aparece el Asistente para crear nueva raz DFS. Se introduce el nombre del servidor que se desea utilizar para albergar la rplica de la raz DFS o se pulsa Explorar para buscar en la red el host apropiado. Se pulsa Siguiente. Se elige un recurso compartido existente a usar como rplica de la raz DFS o se crea uno nuevo para albergar la rplica de la raz DFS, introduciendo el camino de la carpeta y el nombre de recurso compartido que se desea utilizar para la carpeta. Se pulsa Finalizar. Se repiten los pasos 2 al 4 para todas las carpetas compartidas que se deseen utilizar como rplica de esta raz DFS; despus vyase al paso 6. Se elige la orden Directiva de rplica en el men Accin para mostrar el cuadro de dilogo Directiva de rplica. Se selecciona la carpeta compartida que se pretende que sea la copia principal inicial para el conjunto de rplica y despus se pulsa Habilitar. Se selecciona cada carpeta compartida que se desea que participe en la rplica y se pulsa Habilitar despus de seleccionar cada una. Si se desea cambiar la copia maestra inicial para el conjunto de rplica, hay que seleccionar la carpeta compartida y pulsar Copia principal inicial. Se pulsa Aceptar una vez terminado. DFS basado en dominios est totalmente influenciado por Active Directory, rplica de archivos multicopia principal; sin embargo, la primera vez que se crea un conjunto de rplica es necesario especificar una copia principal inicial que se usar como carpeta fuente principal para sincronizar las otras rplicas.
Rplica de carpetas compartidas Un sistema de archivos fcil de usar, tolerante a fallos y con alto rendimiento no vale demasiado si los datos a los que se desea acceder no estn disponibles. Por esta razn, DFS posee la rplica de carpetas compartidas. Se puede configurar que cualquier carpeta compartida tenga hasta 32 rplicas de s misma, de tal forma que aunque ocurra el ms profundo desastre, al menos haya todava un servidor disponible con los datos que necesiten los usuarios. (Sin embargo, esto no es infalible si se pierde la corriente de la red completa, todos los servidores podran estar inaccesibles). Aunque la rplica de carpetas compartidas bsicamente es lo mismo que configurar la rplica de la raz DFS, existe una ligera diferencia, por lo que hay que seguir estos pasos para realizar el procedimiento: 1. Se selecciona el vnculo DFS en el rbol DFS al cual se desean aadir rplicas. 2. Se elige nueva rplica en el men Accin. 3. Dentro del cuadro de dilogo proporcionado, se introduce el camino UNC para el recurso compartido de red que se desea utilizar como rplica o se pulsa Examinar para localizar la carpeta de la red. 4. Se elige si se desea que la carpeta compartida se replique automticamente (por defecto, cada 15 minutos) o manualmente. Se pulsa Aceptar. En un conjunto de rplica no se debe asignar una parte de las carpetas para rplica automtica y otra para rplica manual. Se ocasionara que las carpetas se sincronizasen de una forma bastante
Captulo 7
5. 6. 7. 8. 9. 10.
pobre. Se repiten los pasos 2 al 4 para todas las carpetas compartidas que se desean agregar al conjunto de rplica; despus vyase al paso 6. Se elige Directiva de rplica en el men Accin para mostrar el cuadro de dilogo Directiva de rplica. Se selecciona la carpeta compartida que se desea como copia principal inicial para el conjunto de rplica y despus se pulsa Habilitar. Se selecciona la carpeta compartida que se desea que participe en la rplica y despus se pulsa Habilitar tras seleccionar cada una. Si se desea cambiar la copia principal del conjunto de rplica, hay que seleccionar la carpeta compartida y pulsar Copia principal inicial. Se pulsa Aceptar una vez terminado el procedimiento. DFS basado en dominios est totalmente influenciado por Active Directory, rplica de archivos multicopia principal; sin embargo, la primera vez que se crea un conjunto de rplica es necesario especificar una copia principal inicial que se usar como carpeta fuente principal para sincronizar las otras rplicas.
Almacenamiento Remoto
Aunque los precios de los discos han cado de forma dramtica y las posibilidades se han mejorado tremendamente, nunca se tiene espacio suficiente en el disco duro. Debido a esta insaciable necesidad de espacio, Windows 2000 incluye una utilidad de administracin de almacenamiento jerrquico de Seagate Software que permite a los servidores aprovechar un recurso varias veces ms barato que el espacio en disco duro: las cintas. Esta utilidad, llamada Almacenamiento remoto, se beneficia del soporte integrado de agrupacin de Windows 2000 para las unidades de almacenamiento jerrquico y habilita a Windows 2000 para extender un volumen NTFS de forma casi infinita. Almacenamiento remoto lo hace de forma transparente migrando los archivos no usados frecuentemente a una cinta, a la vez que los mantiene fcilmente accesibles. Los usuarios ven los archivos migrados como si todava estuviesen almacenados en el disco en lugar de en la cinta. Aun cuando los usuarios acceden a archivos migrados, las nicas diferencias apreciables son un pequeo cuadro de dilogo informando de que se est volviendo a llamar al archivo de la cinta y un tiempo de carga del archivo ms largo. Adems, excepto para la instalacin y configuracin de Almacenamiento remoto, esta caracterstica viene con poco o nada de carga para los administradores. Almacenamiento remoto realiza toda la migracin y recuperacin de la cinta de forma automtica (a menos que el medio necesario est fuera de lnea, en cuyo caso Medios de almacenamiento extrables situar la peticin para un operador). Conceptos y requisitos del sistema Almacenamiento remoto tambin es conocido como Administracin de almacenamiento jerrquico, ya que permite dos capas de almacenamiento de datos. La primera capa, el almacenamiento local, es el disco duro
Captulo 7
estndar o la unidad de disco extrable albergada en un volumen NTFS (como una unidad Jazz de Iomega). La segunda capa, proporcionada por Almacenamiento remoto y acertadamente denominada como capa de almacenamiento remoto, es la unidad de cinta y la biblioteca de cintas automatizada. Los datos estn almacenados inicialmente en el almacn local, y una vez que los datos han caducado (no se ha accedido a ellas dentro del periodo de tiempo especificado), se copian o migran al medio de almacenamiento remoto, aunque tambin permanecen intactos o en la cach del almacn local para un rpido acceso. Almacenamiento remoto slo administra fsicamente los archivos de un volumen, no sigue enlaces DFS. Finalmente, cuando el almacn local se llena y es necesario liberar espacio para datos adicionales, los archivos que hayan caducado y se hayan migrado al almacn remoto se convierten en reservas de sitio o vnculos, liberando el espacio que solan consumir. Los archivos que se hayan desplazado al almacn remoto y que no vayan a estar ms en la cach local, todava aparecern como residentes en el almacn local. Estas reservas de sitio se parecen y actan de igual forma que los archivos guardados de forma local, exceptuando un par de diferencias. La primera diferencia es que el icono del archivo que se movi al almacn remoto posee un pequeo reloj sobre l para indicar que al abrir el archivo, el usuario tendr que esperar a que Windows 2000 recupere el archivo del almacn remoto. La segunda diferencia es que, aunque el Explorador de Windows muestre los archivos remotos usando la misma cantidad de espacio en disco que cuando estaban almacenados de forma local y esto no cambia la forma de funcionamiento de las cuotas de disco (los archivos remotos se descuentan de la cuota de disco igual que lo hacen los archivos locales), el Explorador de Windows resta los archivos remotos del total de espacio usado en la estimacin de disco. En otras palabras, Windows 2000 trata los archivos remotos exactamente igual que los archivos locales, excepto cuando calcula la cantidad de espacio libre en disco, en cuyo caso Windows 2000 reconoce que los archivos almacenados de forma remota no consumen espacio en disco. El Explorador de Windows tambin aade la ficha Almacenamiento remoto al cuadro de dilogo Propiedades de los volmenes administrados, permitiendo a los administradores visualizar y cambiar la configuracin de los volmenes administrados directamente desde el Explorador de Windows. Cuando un usuario accede a un archivo almacenado de forma remota, aparece el cuadro de dilogo Recuperando desde el almacenamiento remoto, explicando que Windows est volviendo a llamar al archivo desde Almacenamiento remoto. Si un usuario no desea esperar al archivo, puede pulsar Cancelar y dejar el archivo en el almacn remoto. En caso contrario, el archivo se restaura en el almacn local y su marca de fecha de ltimo acceso se pone a cero, impidiendo que se migre al almacn remoto hasta que el archivo haya vuelto a caducar. Las operaciones de copiar y mover realizadas sobre reservas de sitio actan de forma algo diferente a las operaciones de copiar y mover sobre archivos normales. Las reservas de sitio que se renombran o mueven a una ubicacin diferente del mismo volumen no necesitan que se renombren en el almacn remoto. Sin embargo, cuando el usuario copia un archivo, Almacenamiento remoto vuelve a llamar al archivo y despus lo copia en la nueva ubicacin. El nuevo archivo no est vinculado al archivo antiguo del almacn remoto, tal y como se esperara de un archivo copiado. Cuando el usuario mueve una reserva de sitio a un volumen distinto, Almacenamiento remoto vuelve a llamar al archivo, lo copia a su nueva ubicacin y despus
Captulo 7
elimina el archivo original.

Compatibilidad con programas
La compatibilidad de Windows 2000 con programas es un aspecto importante de Almacenamiento remoto. Aunque Almacenamiento remoto est fuertemente integrado en el sistema operativo, algunos programas pueden no comportarse de forma ptima a menos que se especifique que sean conformes con Almacenamiento remoto. Dos ejemplos son los programas de copia de seguridad y los programas antivirus.
G
Programas conformes a Almacenamiento Remoto: Los programas de copia de seguridad conformes a Almacenamiento remoto pueden realizar copias de seguridad de todos los datos almacenados localmente y de los vnculos a datos, pero no existe una forma de hacer la copia de seguridad de los datos que se han desplazado al almacn remoto (excepto mediante la restauracin de los archivos almacenados de forma remota, con la funcionalidad de Almacenamiento remoto). Si un programa de copia de seguridad es conforme a Almacenamiento remoto (como el programa Copia de seguridad de Windows 2000), se tiene la opcin de recuperar archivos del almacn remoto y hacerles la copia de seguridad junto con todos los datos almacenados de forma local y despus devolver los archivos al almacn remoto una vez que se haya terminado. Programas no conformes a Almacenamiento Remoto: Los programas antivirus, de copia de seguridad, de bsqueda y de indexacin que no son conformes a Almacenamiento remoto tienen una mala tendencia a acceder a todos los archivos que comprueban, poniendo a cero por lo tanto Almacenamiento remoto, as como llamando a archivos del almacn remoto para comprobar si tienen virus. Los programas conformes a Almacenamiento remoto no tienen esta desventaja. Microsoft Office 97 provoca que todos los documentos de Word, documentos de PowerPoint y archivos HTML del almacn remoto se vuelvan a llamar al final de la instalacin de Office 97. Esto se puede detener terminando el proceso Findfast.exe. Se debe desactivar FindFast usando la herramienta Panel de control de FindFast y asegurndose de que no hay ningn acceso directo a Findfast.exe en la carpeta Inicio del men Inicio. Office 95 y Office 97 tambin pueden volver a llamar a archivos del almacn remoto cuando se use la orden Buscar del men Edicin.
Almacenamiento remoto minimiza el efecto de los programas que no son compatibles con Almacenamiento remoto limitando el nmero de llamadas sucesivas que permite el almacn remoto. Si un programa llama a un archivo del almacn remoto y solicita que se vuelva a llamar a otro sin pasar 10 segundos desde que se llam al primero, Almacenamiento remoto lo cuenta. Cuando el contador alcance el lmite configurable (el valor por defecto es 60), Almacenamiento remoto prohbe ms llamadas durante esa sesin. Fijar un lmite no suele afectar a los usuarios normales, pero puede impedir que un programa antivirus no conforme a Almacenamiento remoto restaure todos los archivos del almacn remoto.
Seguridad de datos
Probablemente se est preguntando cmo se asegura que los datos tienen una copia de seguridad adecuada cuando se trabaja con Almacenamiento remoto. Si un archivo se ha movido a una cinta, qu ocurre si la
Captulo 7
cinta se daa o se pierde?, y qu ocurre si el vnculo del almacn local al archivo se pierde? Los miedos a la prdida de datos se pueden mitigar de varias formas. La primera forma es bastante conocida: frecuentes y minuciosas copias de seguridad. Se deben combinar las copias de seguridad regulares de los sistemas de almacenamiento locales con la creacin de copias del medio de Almacenamiento remoto. La segunda forma de proteger los datos es combinar las copias de seguridad regulares de los sistemas de almacenamiento locales con la creacin de copias del medio de almacenamiento remoto. Por lo tanto, cada vez que se haga la copia de seguridad del almacn local, se hace una copia del medio de Almacenamiento remoto y se guarda con la copia de seguridad del almacn local. Este paso asegura que se hace una copia de seguridad del sistema de almacenamiento completo. Tambin se pueden proteger los datos usando un programa de copia de seguridad compatible con Almacenamiento remoto para hacer la copia de seguridad del almacn remoto junto con la copia de seguridad del almacn local. El proceso de recuperacin es el mismo para casi todos los tipos de copia de seguridad. Para resumir, si se desea una proteccin minuciosa de los datos y se tiene la posibilidad de copiar el medio de Almacenamiento remoto, hay que usar una estrategia similar a una de las siguientes.
G G
Copia de seguridad de los datos locales regularmente. Cada vez que se realice una copia de seguridad completa, crear una copia de los medios de Almacenamiento remoto y guardar esa copia con la copia de seguridad completa. Hacer ms de una copia (hasta tres) del medio principal de Almacenamiento remoto y regularmente sincronizar estas copias con la copia principal del medio. Considerar la copia de seguridad de los datos del almacn remoto a la vez que se hace la copia de seguridad del almacn local. Puede llevar ms tiempo y el uso de ms medios, pero ofrece la mayor proteccin de datos y la mayor flexibilidad en caso de desastre.
Requisitos del sistema
Almacenamiento remoto no es particularmente intensivo con los recursos, y como tal funciona con casi todos los sistemas que cumplan la configuracin de sistema recomendada para Windows 2000 Server. Se puede ejecutar Almacenamiento remoto en una mquina con Windows 2000 Professional y que Almacenamiento remoto slo puede administrar volmenes con formato NTFS 5. Sin embargo, Almacenamiento remoto es algo exigente sobre el subsistema de almacenamiento extrable a usar. La unidad necesita ser reconocida por Almacenamiento remoto; hay que usar hardware slo de la Lista de compatibilidad de hardware. Adems, por el momento, Almacenamiento remoto slo admite las bibliotecas de cintas SCSI 4mm, 8mm y DLT que reconozca Medios de almacenamiento extrables. Almacenamiento remoto no admite unidades pticas, bibliotecas de cintas QIC, ni cualquier tipo de unidad de disco extrable (Jazz, Zip y dems). Los sistemas cliente que usen el Administrador de archivos de Windows no pueden acceder a archivos
Captulo 7
administrados por Almacenamiento remoto, el cual impide que los clientes Windows 3.x puedan acceder a estos archivos. Tambin, los usuarios de Windows 95 deben evitar el uso del Administrador de archivos si desean acceder a archivos de Almacenamiento remoto. Instalacin y configuracin Deberemos instalar Almacenamiento remoto en el sistema, configurarlo de forma ptima segn las necesidades y asegurarnos de que se est protegido de forma correcta frente a desastres. Es necesario tener el dispositivo configurado correctamente antes de ejecutar el programa de instalacin de Almacenamiento Remoto, ya que los dispositivos aadidos con posterioridad no se detectarn.
Instalacin de Almacenamiento remoto
Almacenamiento remoto es fcil de instalar. Slo hay que asegurarse de que la biblioteca de almacenamiento que se desea utilizar con Almacenamiento remoto est conectada y configurada; despus hay que seguir estos pasos: 1. Se abre la herramienta Agregar o quitar programas desde el Panel de control. 2. Se pulsa sobre Agregar o quitar componentes de Windows en el panel izquierdo. 3. Se selecciona el cuadro de verificacin Almacenamiento remoto, si todava no est seleccionado, y se pulsa Siguiente. 4. Se reinicia el equipo. 5. Se inicia Almacenamiento remoto desde la carpeta Herramientas administrativas del men Inicio. Aparecer el Asistente para instalacin de Almacenamiento remoto. Se pulsa Siguiente. El asistente detecta todos los dispositivos de almacenamiento compatibles y comprueba las opciones de seguridad. 6. En la siguiente pantalla se seleccionan los volmenes con los que se desea usar Almacenamiento remoto (slo aparecen volmenes NTFS) y despus se pulsa Siguiente. 7. En el cuadro Espacio libre deseado, se introduce la cantidad mnima de espacio libre que se desea que est disponible en los volmenes administrados. 8. En el cuadro Mayor de, se introduce el tamao ms pequeo de archivo que se desea que Almacenamiento remoto migre a la cinta si hace falta ms espacio en disco. 9. En el cuadro No accedido en, se introduce el nmero de das que tendrn que pasar desde que se accedi al archivo por ltima vez para que el archivo se pueda elegir para su migracin a cinta. Despus se pulsa Siguiente. 10. Se selecciona el medio deseado para su uso en Almacenamiento remoto en el cuadro de lista desplegable Tipos de medio (slo se listan los medios detectados y admitidos). Se pulsa Siguiente. 11. Se pulsa Cambiar agenda para cambiar cuando Almacenamiento remoto copie los archivos a cinta o se pulsa Siguiente para continuar. 12. Se revisan las opciones introducidas y despus se pulsa Finalizar para completar la instalacin de Almacenamiento remoto.
Configuracin de volmenes adicionales con Almacenamiento remoto
Captulo 7
Si se desean configurar volmenes de almacenamiento adicionales en el sistema para su uso con Almacenamiento remoto despus de haber completado la instalacin inicial, se puede usar al Asistente para agregar administracin de volumen. Para hacerlo, hay que seguir estos pasos: 1. Iniciar el complemento de MMC Almacenamiento remoto desde la carpeta Herramientas administrativas del men Inicio, o introducir %RazDeSistema%\System32\RsAdmin.msc en el cuadro de dilogo Ejecutar o en la lnea de rdenes. 2. Se selecciona la carpeta Administrar volmenes en el rbol de consola. 3. Se pulsa el botn de la barra de herramientas Nuevo volumen a administrar para iniciar el Asistente para agregar administracin de volumen y despus se pulsa Siguiente en la primera pantalla. 4. Se selecciona el cuadro de verificacin junto al volumen NTFS que se desea o se escoge la opcin Administrar todos los volmenes para decirle a Almacenamiento remoto que administre todos los medios disponibles. Despus se pulsa Siguiente. 5. En el cuadro Espacio libre deseado, se introduce la cantidad de espacio libre que se desea que haya en el volumen, como tanto por ciento del espacio. 6. En el cuadro Mayor de, se introduce el tamao de archivo mnimo que se desea para que Almacenamiento remoto migre a cinta los archivos. Ntese que la migracin de archivos menores de 12 Kb normalmente no tiene sentido, ya que lleva demasiado tiempo, pero se puede cambiar esta opcin si es necesario. 7. En el cuadro No accedido en, se introduce el nmero de das que deben pasar desde que se accedi por ltima vez al archivo, para que el archivo sea elegible para su migracin al almacn remoto. Despus se pulsa Siguiente. Hay que recordar que asignar un nmero demasiado alto limitar la cantidad de espacio que Almacenamiento remoto puede liberar, pero la asignacin demasiado baja ocasionar una cantidad innecesaria de llamadas a cinta. 8. Se revisan las opciones en la pantalla final del asistente y despus se pulsa Finalizar.
Cambio de opciones de volumen
Almacenamiento remoto usa un conjunto de reglas para gobernar qu archivos son elegibles para la migracin al almacn remoto. Estas reglas se pueden fijar inicialmente cuando se instala un volumen de almacenamiento en la computadora para que Almacenamiento remoto lo administre, usando bien el Asistente para instalar Almacenamiento remoto, bien el Asistente para agregar volumen a administrar. Sin embargo, puede que se deseen cambiar estas opciones ms tarde o agregar exclusiones, como que ciertos tipos de archivos nunca se migren a la cinta. Para hacerlo, hay que seguir estos pasos: 1. Se inicia el complemento de MMC Almacenamiento remoto desde la carpeta Herramientas administrativas del men Inicio. 2. Se selecciona la carpeta Volmenes administrados en el rbol de consola, se pulsa el botn derecho sobre el volumen que se desea configurar y se elige Configuracin en el men de contexto. 3. En el cuadro Espacio libre deseado, se introduce la cantidad de espacio libre que se desea tener en el volumen, como tanto por ciento del espacio total. Tambin se pueden cambiar las opciones de un volumen administrado pulsando el botn derecho sobre el volumen en el Explorador de Windows, eligiendo Propiedades en el men de contexto y despus pulsando la ficha Almacenamiento remoto. Sin embargo, aqu no se pueden incluir o excluir
Captulo 7
4.
5.
6. 7. 8. 9. 10. 11. 12.
13.
reglas. En el cuadro Mayor de, se introduce el tamao mnimo de archivo que se desea para que Almacenamiento remoto migre a cinta el archivo. La mayora de los usuarios encontraran que sobre todo hay que incrementar el tamao del archivo, aunque si se tiene una gran cantidad de archivos pequeos de gran acceso, habra que considerar bajarlo. En el cuadro No accedido en, se introduce el nmero de das que deben pasar desde que se accedi por ltima vez al archivo para que sea elegible para la migracin al almacn remoto. Hay que recordar que asignar un nmero muy alto a esta opcin limitar la cantidad de espacio en disco que Almacenamiento remoto podr limitar, pero asignarlo demasiado bajo ocasionar una cantidad innecesaria de llamadas a la cinta. Se pulsa la pestaa Reglas de inclusin o exclusin para crear o modificar reglas que especifiquen los tipos de archivo a excluir de Almacenamiento remoto. Se selecciona la regla que se desea modificar (algunas reglas no se pueden cambiar) y se pulsa Editar para modificar la regla o Eliminar para eliminarla. Para agregar una nueva regla, se pulsa Agregar para mostrar el cuadro de dilogo Modificar regla de inclusin o exclusin. Se introduce el camino de la carpeta a la que se desea aplicar la regla en el cuadro Camino o se introduce una barra invertida para aplicar la regla al volumen completo. En el cuadro Tipo de archivo, se introduce el tipo de archivo que se desea incluir o excluir de Almacenamiento remoto. Se selecciona Excluir archivos coincidentes si se desea excluir de Almacenamiento remoto los archivos coincidentes con el criterio. Se selecciona Incluir archivos coincidentes si se desea permitir explcitamente que Almacenamiento remoto administre los archivos que coincidan con el criterio. Esto es muy til si se desea tomar una excepcin para excluir de la regla slo a determinadas carpetas. Se selecciona el cuadro de verificacin Aplicar reglas a las subcarpetas, si se desea que Almacenamiento remoto aplique la regla a todas las subcarpetas de las carpetas listadas en el cuadro Camino.
Cmo desactivar Almacenamiento remoto para un volumen administrado
Si se piensa desinstalar Almacenamiento remoto, habr que interrumpir antes la administracin de los volmenes para que se pueda volver a llamar a los archivos del almacn remoto. Este paso es muy importante, ya que si no se hace, se puede perder la posibilidad de acceder a los archivos guardados en el almacn remoto. Tambin podra quererse hacer esto si se planea realizar una reinstalacin completa (limpieza) de Windows 2000. Volver a llamar a los datos permite dejar los datos intactos en la unidad mientras se reinstala Windows o se hace una copia de seguridad de los datos usando un programa que no sea conforme a Almacenamiento remoto. (Si se desea volver a dar formato a la unidad, se puede hacer una copia de los datos y despus restaurarlos una vez terminado). Si no se vuelve a llamar a los datos o se realiza una copia de seguridad de todos los datos (incluyendo los del almacn remoto) antes de hacer la reinstalacin de limpieza de Windows 2000, se puede encontrar realizando un complejo procedimiento de recuperacin de Almacenamiento remoto.
Captulo 7
Otro caso en el que se puede elegir interrumpir la administracin de Almacenamiento remoto de un volumen es cuando el medio que se est usando para el volumen se llena y no se desea que la base de datos de almacenamiento remoto se extienda a varias cintas. En este caso, se puede interrumpir la administracin de Almacenamiento remoto del volumen, lo cual le dice a Almacenamiento remoto que deje de copiar archivos en el almacn remoto, pero que siga llamando a los archivos que ya estn en el almacn remoto. Cualquiera que sea la razn para finalizar la administracin de Almacenamiento remoto de un volumen del sistema, se puede usar el Asistente para eliminar administracin de volumen, para eliminar la administracin de un volumen de Almacenamiento remoto: 1. Se inicia el complemento de MMC Almacenamiento remoto desde la carpeta Herramientas administrativas del men Inicio. 2. Se pulsa sobre Volmenes administrados en el rbol de consola. 3. Se pulsa el botn derecho sobre el volumen que se desea eliminar de Almacenamiento remoto y despus se elige Eliminar en el men de contexto. Se pulsa Siguiente cuando se abra el Asistente para eliminar administracin de volumen. 4. Para volver a llamar a todos los archivos del almacn remoto y situarlos de nuevo en el volumen administrado para que Almacenamiento remoto no los vuelva a usar en este volumen, se selecciona la opcin Recuperar archivos copiados en almacenamiento remoto. Ntese que el volumen administrado necesita tener espacio suficiente para albergar a todos los archivos llamados. 5. Para hacer que Almacenamiento remoto deje de aadir archivos adicionales al almacn remoto mientras permite continuar la administracin de los archivos que actualmente estn en el almacn remoto, se selecciona la opcin Mantener archivos copiados en el almacn remoto y despus se pulsa Siguiente. 6. Se pulsa S en el cuadro de dilogo que se abre. 7. Se revisan las opciones y despus se pulsa Finalizar para implantarlas.
Cmo realizar las tareas de forma manual
Almacenamiento remoto se configura para realizar casi todas las operaciones de forma automtica usando la carpeta Tareas programadas de Windows 2000. Sin embargo, a veces puede que sea necesario copiar inmediatamente todos los archivos elegibles al almacn remoto, crear espacio adicional en un volumen administrado o validar todas las reservas de sitio. Para realizar estas tareas, hay que seguir estos pasos: 1. Se inicia el complemento de MMC Almacenamiento remoto desde la carpeta Herramientas administrativas del men Inicio. 2. Se pulsa sobre Volmenes administrados en el rbol de consola. 3. Se pulsa el botn derecho sobre el volumen en el que se desea realizar una tarea, se elige Todas las tareas en el men de contexto y despus se elige la tarea determinada en el submen. Las tareas que se pueden llevar a cabo son: G Copiar archivos al almacn remoto Copia de inmediato todos los archivos elegibles del volumen administrado al almacn remoto. G Validar archivos Verifica que todas las reservas de sitio y los archivos en cach local estn
Captulo 7
an vinculados a datos vlidos del almacn remoto y actualiza las estadsticas del volumen. G Crear espacio libre Elimina todos los datos en cach de archivos que ya se hayan migrado al almacn remoto. Esto crea espacio libre slo si existen datos en la cach local. 4. Se pulsa en Aceptar en el cuadro de dilogo que se abre.
Visualizacin de las tareas de Almacenamiento remoto
Almacenamiento remoto sita todas las tareas en la carpeta Tareas programadas, tanto las tareas que Almacenamiento remoto realiza de forma automtica, como las tareas que se realicen de forma manual. Para visualizar o modificar cundo se van a realizar (o si se van a realizar), hay que seguir estos pasos: 1. Se abre la carpeta Tareas programadas abriendo el men Inicio y eligiendo Programas, Accesorios, Herramientas de sistema. 2. Para realizar de inmediato una tarea programada, se pulsa el botn derecho sobre la tarea y se elige Ejecutar en el men de contexto. 3. Para cancelar una tarea que se est ejecutando ahora, se pulsa el botn derecho sobre la tarea y se escoge Finalizar tarea en el men de contexto. 4. Para visualizar las propiedades de la tarea (puede que para cambiar la agenda), se pulsa el botn derecho sobre la tarea y se elige Propiedades en el men de contexto.
Cambio de la programacin de tareas
Para cambiar la agenda que Almacenamiento remoto usa para copiar archivos al almacn remoto, para validar reservas de sitio y archivos en cach, o para crear espacio en disco, hay que seguir estos pasos: 1. Para cambiar la agenda de copia de archivos de Almacenamiento remoto, se pulsa el botn derecho sobre la raz de Almacenamiento remoto en el rbol de consola y se elige Cambiar programacin en el men de contexto. 2. Se pulsa el botn Cambiar programacin. 3. Se usa el cuadro de dilogo proporcionado para configurar la programacin. 4. Para tener mltiples programaciones, hay que seleccionar el cuadro de verificacin Mostrar todas las programaciones y usar los botones Nueva o Eliminar para agregar o eliminar programaciones. 5. Para modificar la informacin avanzada sobre programacin, hay que pulsar el botn Avanzadas. 6. Para modificar las programaciones de otras tareas de Almacenamiento remoto, hay que abrir la carpeta Tareas programadas abriendo el men Inicio y elegir Programas, Accesorios y despus Herramientas de sistema. 7. Se pulsa el botn derecho sobre la tarea y se elige Propiedades en el men de contexto. 8. Se pulsa la pestaa Programacin y despus se modifica la informacin de programacin, tal y como se describe en los pasos 4 y 5.
Asignacin de los lmites de rellamada
La caracterstica de limitacin de rellamada de Almacenamiento remoto puede volverse muy til. Recuerde que debe usarse la caracterstica de lmite de rellamada debido a que existen programas no conformes a
Captulo 7
Almacenamiento remoto, como programas de copia de seguridad, antivirus o buscadores, que tienen una insistente mana por poner todos los datos fuera del almacn remoto, haciendo que Almacenamiento remoto sea bastante poco til. Cuando se fija el lmite de rellamada, tambin conocido como un lmite de rellamadas desbocadas debido a que slo limita las rellamadas que tienen lugar en los 10 segundos posteriores a la ltima llamada, se impiden estos asaltos automticos al Almacenamiento remoto deteniendo las llamadas desbocadas al almacn remoto. Esto no suele afectar a los usuarios (males, ya que la mayora de los usuarios no son tan rpidos cuando realizan operaciones de copia masiva. Para configurar el lmite de rellamada, hay que seguir estos pasos: 1. Se pulsa el botn derecho sobre la raz de Almacenamiento remoto en el rbol de consola y se elige Propiedades en el men de contexto. 2. Se pulsa sobre la ficha Lmite de recuperacin. 3. En el cuadro proporcionado, se introduce el nmero de rellamadas sucesivas deseado que pueden realizarse en los 10 segundos posteriores a la ltima rellamada antes de impedir ms rellamadas. Si los usuarios realizan tareas de copia masiva con frecuencia y se usan aplicaciones conformes con Almacenamiento remoto, debera fijarse un lmite alto; en caso contrario, debe dejarse as o reducirlo segn las necesidades. 4. Si se desea eximir a los usuarios con privilegios administrativos de este lmite, hay que seleccionar el cuadro de verificacin Eximir a los administradores de este lmite. La seleccin del cuadro de verificacin Eximir a los administradores de este lmite permitir a aplicaciones no compatibles que se ejecuten como administrador hacer rellamadas potenciales a archivos del almacn remoto si el administrador no detiene explcitamente el proceso de rellamada de los datos. Recuperacin de datos y proteccin Podra pensarse que debido a que los datos se almacenan remotamente en una cinta, esto es seguro. Puede que en algunas ocasiones sea una forma ms segura que cuando se ubican en un disco duro local, pero la proteccin de los datos es an ms importante para los datos almacenados de forma remota, debido a la imposibilidad de los dispositivos de cinta de tener tolerancia a fallos como unidades espejo. Tambin, debido a las nuevas tecnologas, un administrador es ms probable que se encuentre un error que impida la recuperacin de datos de un almacn remoto. Por lo tanto, hay que aprender e implementar un buen plan de proteccin de los datos. Debido a que ni el mejor plan de proteccin puede prevenir un desastre, tambin hay que saber cmo recuperar datos si aparece el problema. Las secciones siguientes ensean cmo proteger y recuperar datos con Almacenamiento remoto.
Introduccin a las estrategias de proteccin de datos
La estrategia a usar para proteger los datos almacenados de forma remota variar dependiendo de la posibilidad de crear copias del medio de Almacenamiento remoto. (Hacen falta dos unidades del mismo tipo
Captulo 7
de medio para poder hacerlo). Estrategias de unidad nica: Si se est usando una nica unidad de cinta con Almacenamiento remoto, recomendamos que se realice la copia de seguridad de los archivos locales de acuerdo al plan de copia de seguridad preexistente. Por ejemplo, se podra realizar una copia de seguridad incremental cada noche y una copia de seguridad completa todos los fines de semana. Para las copias de seguridad completas, hay que asegurarse de instruir al programa de copia de seguridad para que realice la copia de seguridad de los datos migrados por Almacenamiento remoto, o de lo contrario no se tendr una copia de seguridad de los archivos migrados. Ntese que esto significa casi hacer la copia de seguridad en una unidad distinta a la que mantiene el medio de Almacenamiento remoto. Si no se dispone de otro dispositivo de copia de seguridad, hay que considerar comprar un duplicado del dispositivo de Almacenamiento remoto. Probablemente no sea necesario hacer la copia de seguridad de los archivos migrados en un plan de copia de seguridad diferencial o incremental, ya que los archivos que se aaden al almacn remoto probablemente no hayan cambiado desde la ltima copia de seguridad completa. Estos archivos se pueden devolver al almacn local a partir de la ltima copia de seguridad completa. Si los archivos han cambiado desde la ltima copia de seguridad completa y se han migrado al almacn remoto y eliminado su cach local (si se tiene un plan de copia de seguridad largo o un plan de migracin corto y el volumen lleno), se pueden restaurar estos archivos desde una copia de seguridad diferencial o incremental reciente. Por supuesto, no hay que olvidar que a mayor tiempo entre las copias de seguridad completas, ms parches incrementales habr que aplicar si es necesaria la restauracin de una copia de seguridad (una buena razn para usar en su lugar copias de seguridad diferenciales), o ms datos se perdern si no se realizan con frecuencia estas copias de seguridad incrementales. Adems de un plan regular de copia de seguridad, recomendamos que se verifiquen con frecuencia las reservas de sitio del almacn remoto y los archivos en cach para asegurarse de que todava estn vinculados a archivos vlidos del almacn remoto. Ntese que Almacenamiento remoto crea automticamente un plan de validacin cuando se instala. Estrategias de varias unidades Si se poseen varias unidades del mismo tipo de medio que se pueden usar para hacer copias del medio de Almacenamiento remoto, se tiene un poco ms de flexibilidad para la proteccin de datos que con una nica unidad. Aunque la espina dorsal del plan de proteccin de datos seguir siendo un buen plan de copia de seguridad, se puede complementar ste creando copias del medio de almacenamiento remoto y sincronizando estas copias de forma frecuente. Hay que hacer la copia de seguridad de acuerdo al plan de copia de seguridad existente. Para las copias de seguridad completas, se puede elegir dar instrucciones a un programa de copia de seguridad para que haga la copia de seguridad de los datos migrados por Almacenamiento remoto. Esto proporciona algo de seguridad extra, eliminando la necesidad de tratar con Almacenamiento remoto en la recuperacin; en cambio, slo se pueden restaurar todos los datos al almacn local y ni siquiera preocuparse de Almacenamiento remoto. Esta es una buena idea si se tienen las facilidades (y el tiempo) para hacerlo. En caso contrario, hay que hacer la copia de seguridad slo del almacn local, de acuerdo con el plan normal de copia de seguridad.
Captulo 7
Adems del plan de copia de seguridad, se deben hacer de una a tres copias del medio principal (el medio que mantiene los datos del almacn remoto) y sincronizarlos de forma rutinaria. Si el medio principal falla, se puede volver a crear a partir de una de las copias. Si no se hace la copia de seguridad de los archivos migrados al almacn remoto durante las copias de seguridad completas, hay que asegurarse de sincronizar la copia del medio y mantenerla con la copia de seguridad completa. Esto asegura que la copia de seguridad completa ha realizado la copia de seguridad de todos los datos. Adems de un plan de copia de seguridad regular, se deben verificar frecuentemente las reservas de sitio del almacn remoto y los archivos en cach para asegurarse de que todava estn vinculados a datos vlidos del almacn remoto. Almacenamiento remoto crea automticamente un plan de validacin cuando se instala y suele ser ajustado para la mayora de los propsitos. Slo hay que asegurarse de que cubre todos los volmenes que administra Almacenamiento remoto.
Trabajo con copias de medios
Debido a que se pueden crear arrays tolerantes a fallos de dispositivos de almacenamiento remoto, Microsoft proporciona la posibilidad de crear copias de los medios de Almacenamiento remoto para que exista algn nivel de redundancia en los datos almacenados de forma remota. Hay que poner los medios nuevos en la cola de medios libres en lugar de manualmente en la cola de Almacenamiento remoto. Almacenamiento remoto tomar automticamente y dar el formato apropiado a los medios de la cola de medios libres cuando sea necesario. Cambio del nmero de copias principales: No es necesario crear explcitamente copias de medios en Almacenamiento remoto; en su lugar, se puede especificar cuntas se desean y Almacenamiento remoto se pondr a hacerlas de forma automtica. Cuando se termine una copia, Almacenamiento remoto comenzar la copia siguiente, suponiendo que hay suficientes medios disponibles en la cola de aplicacin de Almacenamiento remoto o en la cola de medios libres. A cada grupo de copias de medios se le denomina Conjunto de copias de medios e incluye una copia de cada uno de los medios principales. (Es posible tener ms de un medio principal cuando la cantidad de datos en el almacn remoto es demasiado grande para ajustarse a una cinta). Para especificar el nmero de conjuntos de copias de medios que se desean, hay que seguir estos pasos: 1. Se pulsa el botn derecho sobre la raz de Almacenamiento remoto en el rbol de consola de Almacenamiento remoto y se elige Propiedades en el men de contexto. 2. Se pulsa sobre la ficha Copias de medio y despus se especifica el nmero de conjuntos de copias de medios que se desea crear para cada conjunto de medios principales (hasta un mximo de tres). Si se decide que no son necesarios tantos conjuntos de copias de medios como se pens originalmente, se puede decrementar el nmero de conjuntos que muestra Almacenamiento remoto y acceder segn lo descrito. Sin embargo, ntese que hacer esto no quita la asignacin de ningn medio. Si se desea liberar algn medio, hay que eliminarlo de la copia de medios, tal y como se describe en la seccin siguiente.
Captulo 7
Cmo eliminar y verificar el estado de copias de medio Si ya no va a hacer falta la copia de medios o se desea verificar si la copia de medios est funcionando correctamente (es decir, para ver si se tiene una cinta errnea), hay que eliminar o verificar las copias de medios. No slo hay que reducir el nmero de copias admitidas por Almacenamiento remoto. Para eliminar o verificar el estado de una copia de medio, hay que seguir estos pasos: 1. Se selecciona la carpeta Medio en el rbol de la consola de Almacenamiento remoto. 2. Se pulsa el botn derecho sobre el medio principal que est asociado a la copia de medio que se desea eliminar o verificar y despus se elige Copias de medio en el men de contexto. 3. Se visualiza la informacin de las copias de medios y despus se pulsa el botn Eliminar copia correspondiente, para todas las copias de medio que se deseen eliminar. Sincronizacin de copias de medio Sincronizar copias de medios es tan sencillo que parece ridculo. Slo hay que abrir el complemento de MMC Almacenamiento remoto, pulsar el botn derecho sobre Medio en el rbol de consola y despus elegir Sincronizar copias de medios en el men de contexto. Aparecer el Asistente para la sincronizacin de medios; esto nos llevar a lo largo del resto del proceso. No se pueden hacer llamadas o copiar datos al almacn remoto mientas se sincronizan las copias de medios. Por lo tanto, se deben sincronizar las copias de medio fuera de horas. Cmo volver a crear una copia principal en caso de desastre: Si el medio principal est daado o se ha perdido, se puede volver a crear a partir de una copia de medio sincronizada de forma reciente. Ntese que se perdern todos los datos que se hayan migrado al almacn remoto tras la ltima vez que se sincroniz la copia del medio, a menos que la cach local de los datos no se haya eliminado todava. Los pasos siguientes se deben seguir slo si se experimentan errores: 1. Hay que asegurarse de que haya medios suficientes disponibles en la cola de almacenamiento remoto o en la cola de medios libres y despus abrir la carpeta Medios del rbol de la consola de Almacenamiento remoto. 2. Se pulsa el botn derecho sobre la copia de medio sincronizada de forma ms reciente y despus se escoge Copias de medios en el men de contexto. 3. Se pulsa la ficha Recuperacin y despus se pulsa Volver a crear copia principal. Recuperacin de un desastre: Los desastres ocurren. Los servidores se caen. Las unidades fallan. Son hechos. Sin embargo, si se est preparado de antemano, se puede reducir el impacto negativo del desastre cuando ste golpee. Pueden darse unos pocos tipos distintos de desastres con Almacenamiento remoto y existen unas pocas formas de recuperarse de ellos. Si el disco duro falla, hay que restaurar los archivos almacenados de forma local a partir de las copias de seguridad que se mantienen religiosamente, pero hay que tener cuidado de no realizar la operacin de validacin de Almacenamiento remoto hasta que se hayan restaurado todas las copias de seguridad incrementales o diferenciales. Cuando no se vea afectada la base de datos de Almacenamiento remoto guardada en la carpeta %RazDeSistema%\System32\RemoteStorage, no es
Captulo 7
necesario hacer nada ms que realizar la validacin para limpiar cualquier problema de las reservas de sitio. Si el disco duro que guarda Windows 2000 falla, hay que restaurar el sistema a partir de una copia de seguridad. El sistema debe funcionar normalmente; sin embargo, podra verse el siguiente error cuando se llame a un archivo almacenado de forma remota: Camino\nombrearchivo.doc. El sistema no puede acceder al archivo. Si se experimenta este error, vase el artculo Q235469 de la Base de conocimiento y realcese el procedimiento Restauracin de una base de datos RSS daada. Si es necesario realizar una limpieza y reinstalar Windows 2000, la mejor solucin es llamar primero a todos los datos del almacn remoto. Sin embargo, si ocurre un desastre que impide volver a llamar a los datos y no se puede restaurar el sistema a partir de una copia de seguridad, hay que realizar un procedimiento especial para restaurar la base de datos de Almacenamiento remoto a partir del medio de Almacenamiento remoto, tras la reinstalacin de Windows 2000. Para ver cmo realizar este procedimiento, vase el artculo Q235469 de la Base de conocimiento. Si se ve cualquiera de los siguientes mensajes de error cuando se accede a Almacenamiento remoto, vase el artculo Q235032 de la Base de conocimiento:
G
G G
Copia de seguridad no puede conectar con Almacenamiento remoto. Este servicio es necesario para usar las unidades de cinta y otros dispositivos de copia de seguridad. Almacenamiento remoto: Ha fallado la ejecucin del servidor. Ha fallado la carga de la base de datos de almacenamiento remoto. Verificar el visor de sucesos.
Carpetas Compartidas
En Windows 2000 se pueden administrar las carpetas compartidas de dos formas. Se puede pulsar el botn derecho sobre una carpeta en el Explorador de Windows y escoger Compartir en el men de contexto o se puede usar el complemento de MMC Carpetas compartidas. El complemento de MMC Carpetas compartidas proporciona una forma de visualizar todos los archivos compartidos a la vez, junto con las conexiones actuales a los archivos abiertos. El Explorador de Windows no. Para usar la herramienta Carpetas compartidas, hay que seguir estos pasos: 1. Se abre el complemento de MMC Administracin de equipos en la carpeta Herramientas administrativas del men Inicio o se introduce %RazDeSistema%\System32\ Compmgmt.msc en el cuadro de dilogo Ejecutar o en una lnea de rdenes. 2. Se expande la carpeta Carpetas compartidas en el rbol de consola. 3. Hay que usar las carpetas Recursos compartidos, Sesiones, y Archivos abiertos para visualizar los archivos compartidos del sistema que se est administrando y ver cunta actividad estn acumulando.
Configuracin de Carpetas compartidas
Captulo 7
Windows 2000 facilita compartir una carpeta o volumen en el sistema con otros usuarios de la red corporativa. Slo hay que seguir estos pasos: 1. En la consola Administracin de equipos, se abre la carpeta Carpetas compartidas en el rbol de la consola. 2. Se pulsa el botn derecho sobre la carpeta Recursos compartidos y se elige Nuevo recurso compartido de archivo en el men de contexto. 3. En el cuadro de dilogo Crear carpeta compartida se pulsa el botn Explorar para localizar o crear la carpeta que se desea compartir. 4. Se introduce el nombre que se desea dar al recurso compartido de archivo. Este nombre debe ser perfectamente compatible con DNS y NetBIOS para una mejor interaccin con los clientes de bajo nivel y no Microsoft. 5. Se introduce una descripcin para el recurso compartido en el cuadro Descripcin del recurso y despus se pulsa Siguiente. 6. Opcionalmente, se pueden especificar los permisos Nivel de recurso compartido y despus se pulsa Finalizar.
Captulo 7
Se recomienda que se implementen los permisos a nivel de archivos NTFS en lugar de los permisos a nivel de recurso compartido. El uso de permisos a nivel de recurso compartido no suele ser lo bastante seguro en la mayora de los casos, y el uso de ambos introduce un nivel de complejidad inaceptable. Sin embargo, existen algunas excepciones para esta regla; por ejemplo, puede que se desee permitir a todos los usuarios acceso a un volumen en una determinada subcarpeta, pero permitir slo a un determinado grupo el acceso al directorio raz. (Los administradores siempre pueden acceder a la carpeta raz de una unidad conectando el recurso compartido oculto de la unidad, por ejemplo, C$). En este caso, podran crearse dos recursos compartidos de archivo: uno para el nivel de la subcarpeta sin seguridad de recurso compartido y uno para la carpeta raz con seguridad a nivel de recurso compartido, permitiendo el acceso slo al grupo especificado. Algo an ms til es la posibilidad de ocultar los recursos compartidos de archivo aadiendo un carcter signo dlar ($) al final del nombre del recurso compartido. Esta notacin permite a cualquier usuario conectarse al recurso compartido -suponiendo que l o ella conoce el nombre del recurso compartido-. Una vez que los usuarios se conecten, todava estn ligados a los permisos de seguridad de NTFS, pero esto puede ser prctico para almacenar potentes herramientas muy tiles a las que los administradores quieran poder acceder desde un sistema de usuario y con una cuenta de usuario. La seguridad de archivos realmente no es el problema; lo nico que no queremos es que los usuarios pierdan el tiempo con los archivos.
Cmo dejar de compartir una carpeta
Para dejar de compartir una carpeta en la red, hay que seguir estos pasos:
Captulo 7
1. En la consola Administracin de equipos, se abre la carpeta Carpetas compartidas en el rbol de la consola y despus se abre la subcarpeta Recursos compartidos. 2. Se pulsa el botn derecho sobre la carpeta compartida que se desea dejar de compartir y se elige Dejar de compartir en el men de contexto. 3. Se pulsa Aceptar.
Cmo desconectar usuarios
Si es necesario desconectar usuarios del servidor por alguna razn (digamos para cerrar el servidor mientras se actualizan los archivos), hay que seguir estos pasos: Hay que ser deferente con los usuarios y avisarles antes de desconectarlos. La desconexin de un usuario que est trabajando puede ocasionar la prdida de datos y los malestares consecuentes. 1. Se abre Carpetas compartidas en la consola Administracin de equipos y despus se abre la subcarpeta Sesiones.
Captulo 7
2. Se pulsa el botn derecho sobre el usuario que se desea desconectar y se elige Cerrar sesin en el men de contexto. 3. Para desconectar todas las sesiones, se pulsa el botn derecho sobre la carpeta Sesiones y se elige Desconectar todas las sesiones en el men de contexto. 4. Para cerrar un archivo abierto, se pulsa sobre la carpeta Archivos abiertos, se pulsa el botn derecho sobre el archivo que se desea cerrar y despus se elige Cerrar archivo abierto en el men de contexto. 5. Para cerrar todos los archivos abiertos, se pulsa el botn derecho sobre la carpeta Archivos abiertos y se elige Desconectar todos los archivos abiertos en el men de contexto.
Propiedades de los Recursos compartidos
Para ver las propiedades de los recursos compartidos abrimos Carpetas compartidas en la consola Administracin de equipos y despus se abre la subcarpeta Recursos compartidos. Si pulsamos el botn Propiedades aparecen tres pestaas.
Pestaa General
Aparece el nombre del recurso, la ruta y la descripcin, nico elemento que se puede modificar en esta pantalla.
G
Lmite de usuarios: Se puede limitar el nmero de conexiones de usuarios simultneas que se desea permitir para una carpeta compartida, de forma que una determinada carpeta compartida no sobrecargue al servidor con conexiones de usuario. H Mximo permitido: Si mantenemos seleccionada esta opcin se podrn conectar al servidor el nmero de usuarios establecido en las licencias del servidor
Captulo 7
H
Permitir: Se debe seleccionar y establecer un lmite de usuarios si no se quiere que se sobrecargue el servidor con conexiones de usuario.
Windows 2000 Professional admite un mximo de diez usuarios simultneos.

Pestaa Permisos de los recursos compartidos
Como norma general no hay que usar los permisos a nivel de recurso compartido en la mayora de los casos, a menos que no se est usando la seguridad a nivel de archivos de NTFS. Los permisos a nivel de recurso compartido permiten o deniegan el acceso a una carpeta compartida dependiendo del grupo de usuarios del que se es miembro y de las opciones de seguridad del recurso compartido de archivo. La seguridad a nivel de archivo, por otro lado, tiene un nivel de control mucho ms fino, proporcionando la posibilidad de conceder o denegar a usuarios y grupos la posibilidad de realizar un amplio rango de acciones, tanto para carpetas como para archivos individuales. Debido a que los permisos NTFS se suelen usar en situaciones en las que la seguridad es importante, generalmente no se recomiendan los permisos a nivel de recurso compartido. Sin embargo, se puede hacer, y por lo tanto, aqu est cmo. (Tambin se pueden cambiar permisos NTFS usando este procedimiento, lo que es bastante cmodo). Configuracin de recursos compartidos Web Si se ha instalado IIS en el sistema, se tiene la posibilidad de compartir cualquier carpeta en el sistema con todos los usuarios Web de la Intranet que puedan acceder al servidor. Normalmente, los recursos compartidos Web se instalan con IIS, pero tambin se puede hacer rpidamente usando el Explorador de Windows. Hay que seguir estos pasos:
Captulo 7
1. Se abre el Explorador de Windows, se pulsa el botn derecho sobre la carpeta o unidad que se desea compartir en el Web y se elige Propiedades en el men de contexto. 2. Se pulsa sobre la ficha Uso compartido de Web. 3. Se elige el sitio Web en el que se desea compartir la carpeta en la lista desplegable Compartir en. 4. Se selecciona la opcin Compartir esta carpeta y despus, en el cuadro de dilogo que aparece, Modificar alias, se introduce el nombre de la carpeta que se desea usar para el recurso compartido. Ntese que el alias que se introduce se anexa al nombre del sitio Web: http://miservidor.micompaia.com/alias. 5. Se fijan los permisos de acceso para la carpeta seleccionando los cuadros de verificacin de la seccin Permisos de acceso del cuadro de dilogo. (Es importante fijar estos permisos de acceso, especialmente si el servidor est visible en Internet). 6. Las opciones Permisos de la aplicacin se usan para escoger el nivel de permisos que se desea conceder a las aplicaciones para esta carpeta, y despus se pulsa Aceptar.
Captulo 8
Captulo 8
La gestin del servicio de directorio Active Directory es una parte importante del proceso de administracin de Microsoft Windows 2000, y es esencial familiarizarse con las distintas herramientas que se proporcionan para este propsito. Casi todas las herramientas utilizan complementos de Microsoft Management Console (MMC) para proporcionar la interfaz de usuario. El grupo de programa Herramientas administrativas del men Inicio incluye algunos complementos, pero para el funcionamiento diario se debern aadir otros manualmente mediante la funcin Agregar complemento de la MMC. Se descubrir que algunas de las herramientas de administracin de Active Directory son programas que se ejecutan cada da, mientras que otras solo son necesarias durante la instalacin de Active Directory a ocasionalmente a partir de entonces. Los complementos MMC que proporcionan las funciones de administracin de Active Directory son los siguientes:
G
G G
Asistente para instalacin de Active Directory crea controladores de dominio, nuevos dominios, rboles y bosques. Dominios y confianzas de Active Directory cambia el modo del dominio, gestiona las relaciones de confianza entre dominios y configura los sufijos del nombre principal de usuario (UPN). Usuarios y equipos de Active Directory crea, gestiona y configura los objetos Active Directory. Sitios y servicios de Active Directory crea y configura sitios dominio y gestiona el proceso de replica del controlador de dominio. Esquema de Active Directory modifica el esquema que define los objetos y propiedades de Active Directory.
Adems de los complementos MMC, Microsoft Windows 2000 Server incluye utilidades independientes para importar y exportar informacin a y desde Active Directory.
Asistente para la instalacin de Active Directory

A diferencia de la versin 4 y anteriores de Microsoft Windows NT Server, Windows 2000 Server no permite designar un sistema como controlador de dominio durante la instalacin del sistema operativo. Cada servidor de Windows 2000 se instala como un sistema independiente o un miembro de un dominio. Cuando la instalacin esta completa se puede promocionar al servidor al estado de controlador de dominio utilizando el Asistente para instalacin de Active Directory de Windows 2000. Esta herramienta proporciona una gran flexibilidad adicional a los administradores de Active Directory porque los servidores se pueden promover o degradar en cualquier momento, mientras que los servidores Windows NT 4 se designan irrevocablemente como controladores de dominio durante el proceso de instalacin.
Captulo 8
Algo que tambin ha desaparecido es la distincin entre controladores principales de dominio y controladores de dominio de reserva. Los controladores de dominio Windows 2000 son todos parejos en un sistema de replica con mltiples maestros. Esto significa que los administradores pueden modificar los contenidos del rbol de Active Directory de cualquier servidor que funcione como controlador de dominio. Esto es un avance muy importante desde el sistema de replica de un solo maestro de Windows NT 4, en el cual un administrador slo puede cambiar el controlador principal de dominio (PDC, Primary Domain Controller) para que despus los cambios se repliquen a todos los controladores de dominio de reserva (BDC, Backup Domain Controller). Otra ventaja de Windows 2000 es que se puede utilizar el Asistente para instalacin de Active Directory para degradar un controlador de dominio de nuevo a un servidor independiente o miembro. En Windows NT 4, una vez que se instala un servidor come controlador de dominio, es posible degradarlo de PDC a BDC, pero no se puede eliminar su estado de controlador de dominio completamente, excepto reinstalando el sistema operativo. La funcin bsica del Asistente para instalacin de Active Directory es configurar un servidor para que funcione come controlador de dominio, pero dependiendo del estado actual de Active Directory en la red, esta tarea puede tomar distintas formas. Si se instala el primer Windows 2000 Server de la red, antes de la promocin del sistema a controlador de dominio crea un Active Directory completamente nuevo con esa computadora alojando el primer dominio del primer rbol del primer bosque. Preparacin de la instalacin Para promover Windows 2000 Server a controlador de dominio, primero hay que completar todo el proceso de instalacin del sistema operativo. Despus del ultimo reinicio, hay que iniciar sesin en la maquina utilizando una cuenta de administrador. NTFS 5 Para alojar Active Directory, el servidor debe tener una particin NTFS 5. NTFS 5 es una versin actualizada del sistema de archives introducido en el primer lanzamiento de Windows NT. Cuando se crean nuevas particiones NTFS durante una instalacin de Windows 2000 o se actualizan las particiones NTFS existentes creadas con versiones anteriores de Windows NT, el sistema utiliza NTFS 5. Si se opta por instalar Windows 2000 en un sistema con solo particiones FAT, se debe convertir al menos una particin a NTFS antes de poder utilizar el Asistente para instalacin de Active Directory. Esto se puede hacer utilizando la utilidad Convert.exe desde el smbolo del sistema o la pantalla Administracin de discos del complemento Administracin de equipos de MMC. La conversin de la particin de inicio de Windows 2000 (la particin en la que se instal Windows 2000) requiere reiniciar el sistema. Como la conversin no se puede hacer en realidad mientras est cargado el GUI de Windows 2000, se utiliza un indicador del
Captulo 8
registro para programar la conversin y que tenga lugar la prxima vez que se reinicie la maquina. Despus se puede volver a cargar el Asistente para instalacin de Active Directory y comenzar la secuencia de instalacin de nuevo. Servidor DNS El ultimo requisito para instalar Active Directory es que el servidor tenga acceso a un servidor DNS. Active Directory utiliza el DNS para almacenar informacin sobre los controladores de dominio de la red. Los sistemas cliente localizan un controlador de dominio para la autenticacin mediante el envo de una peticin al servidor DNS identificado en sus configuraciones TCP/IP cliente. El servidor DNS que utiliza Active Directory ni necesita estar ejecutndose en el equipo que se va a convertir en un controlador de dominio, ni tiene que ejecutar el servicio DNS de Microsoft. Sin embargo, el servidor DNS que se utilice debe soportar el registro de recursos Localizacin de servicios definido en el documento RFC 2052 y el protocolo de Actualizacin dinmica definido en la RFC 2136. Las peticiones de comentarios (RFC, Request For Comments) son los documentos de especificacin del TCP/IP publicados por el Grupo de trabajo de ingeniera de Internet (IETF, Internet Engineering Task Force). Todos los documentos son de dominio publico y se pueden consultar en http://www.rfc-editor.org. Si no hay disponible en lo red un servidor DNS que soporte las nuevas caractersticas, el asistente se ofrecer a instalar y configurar Microsoft DNS Server en el sistema automticamente. Se puede rechazar la oferta a instalar un servidor DNS en otro sistema, pero el nuevo servidor debe ser capaz de acceder al servidor DNS para poder instalar Active Directory y promover el sistema a controlador de dominio. Si la red utiliza actualmente servidores DNS fuera del sitio para la resolucin de nombres. Como los proporcionados por el proveedor de servicios Internet (ISP, Internet Service Provider), se debera instalar por lo menos un nuevo servidor DNS en la red local para dar soporte a Active Directory. Aunque los servidores DNS del ISO podran soportar el registro de recursos Localizacin de servicios y el protocolo Actualizacin dinmica, es poco probable que los servidores Windows 2000 que se dispongan estn autorizados para actualizar dinmicamente los registros del servidor DNS del ISP E incluso si se permitiera, no resulta practico para los sistemas cliente atravesar un enlace WAN para solicitar informacin sobre recursos locales. Instalacin del Primer controlador de dominio Siguiendo el patrn de un asistente estndar, la instalacin de Active Directory en un servidor es una cuestin de responder a las solicitudes en una secuencia de pantallas. Windows 2000 incorpora vnculos al asistente en la pgina de Active Directory de la pgina principal de Configurar el servidor de Windows 2000. Esta pgina se muestra en el explorador Microsoft Internet Explorer automticamente despus de la instalacin del SO. Esta pgina Web local esta diseada para guiar al administrador a travs de los
Captulo 8
procesos necesarios para configurar un nuevo servidor mediante preguntas al estilo de los asistentes y vnculos a las herramientas apropiadas para cada tarea. Para instalar el Primer controlador deberemos seguir los siguientes pasos: 1. Iniciar la Herramienta Configuracin del Servidor desde el men de Herramientas Administrativas. Los usuarios que sean nuevos en Windows 2000, esta pgina Web funciona como una combinacin de minitutorial y una lista de comprobacin de los procedimientos de configuracin del servidor. Los usuarios mas avanzados pueden saltarse la Pgina Web de configuracin a iniciar el asistente directamente ejecutando el archivo ejecutable Dcpromo.exe desde el cuadro de dialogo Ejecutar. Los usuarios tambin pueden ejecutar el archivo desde el smbolo del sistema despus de iniciar sesin por medio de la cuenta de administrador local. Dcpromo.exe se encuentra en la carpeta %SystemRoot%\System32, lo que permite ejecutarlos desde cualquier carpeta sin especificar una ruta de acceso. Cuando se actualiza un controlador principal de dominio Windows NT 4 a Windows 2000 Server, el sistema ejecuta automticamente el Asistente para instalacin de Active Directory despus de que termine la instalacin del sistema operativo. 2. Tipo de Controlador de Dominios: Despus de una pantalla de bienvenida, el Asistente para
Captulo 8
instalacin pregunta sobre la accin que se va a realizar, basndose en el estado actual de Active Directory en el sistema. Si el servidor ya es un controlador de dominio, el asistente solo proporciona la opcin de degradar el sistema de nuevo a servidor independiente o miembro. En un equipo que no es un controlador de dominio, el asistente muestra la pantalla Tipo de controlador de dominios, la cual pide que se seleccione una de las siguientes opciones: G Controlador de dominio para un nuevo dominio: Instala Active Directory en el servidor y lo designa como el primer controlador de dominio de un nuevo dominio. G Controlador de dominio adicional para un dominio existente: Instala Active Directory en el servidor y replica la informacin del directorio desde un dominio existente. Para instalar el primer servidor Active Directory en la red, se selecciona la opcin Controlador de dominio para un nuevo dominio. Esto hace que el asistente instale los archivos de soporte de Active Directory, cree el nuevo dominio y lo registre en el DNS .
Captulo 8
3. Crear rbol o dominio secundario. Deberemos elegir el tipo de dominio que queremos configurar de las dos opciones que se presentan en el siguiente cuadro G Crear un nuevo rbol de dominios: Configura el nuevo controlador de dominio pare que aloje el primer dominio de un nuevo rbol. G Crear un nuevo dominio secundario en un rbol de dominios existente: Configura el nuevo controlador de dominio pare que aloje un hijo de un dominio de un rbol que ya existe. Como este va a ser el primer servidor Active Directory de la red, se debera escoger Crear un nuevo rbol de dominios. 4. Crear o unir bosque, que permite especificar una de las siguientes opciones: G Crear un nuevo bosque de rboles de dominios: Configure el controlador de dominio pare que sea la raz de un nuevo bosque de rboles. G Situar este nuevo rbol de dominios en un bosque existente: Configure el controlador de dominio pare que aloje el primer dominio de un nuevo rbol en un bosque que ya contiene uno o ms rboles.
Captulo 8
En este caso hay que seleccionar Crear un nuevo bosque de rboles de dominios, porque el primer controlador de dominio Windows 2000 de la red ser siempre un nuevo dominio, en un nuevo rbol, en un nuevo bosque. A medida que se instalen controladores de dominio adicionales, se pueden utilizar estas mismas opciones para crear otros bosques nuevos o para poblar el bosque existente con rboles y dominios adicionales. 5. Nombre de nuevo Dominio: Para identificar el controlador de dominio en la red se debe especificar un nombre DNS valido para el dominio que se esta creando. Este nombre no tiene por que ser el mismo que el del dominio que utiliza la empresa para su presencia en Internet (aunque puede serlo). El nombre tampoco tiene que estar registrado en el Centro de informacin de redes de Internet (InterNIC, Internet Network informacin), la organizacin responsable de mantener el registro de los nombres DNS en los dominios de nivel superior com, net, org y edu. Sin embargo, el use de un nombre de dominio registrado es una buena idea si los usuarios de la red van a acceder a los recursos de Internet al mismo tiempo que a los recursos de red locales, o si los usuarios externos a la organizacin accedern a los recursos de red locales va Internet.
Captulo 8
Cuando los usuarios acceden a los recursos de Internet al mismo tiempo que a los recursos de la red Windows 2000, existe la posibilidad de que un nombre de dominio no registrado entre en conflicto con un dominio de Internet registrado que utilice el mismo nombre. Cuando los usuarios de Internet tengan permiso para acceder a los recursos de la red utilizando protocolos estndar de la capa de aplicacin como HTTP y FTP, puede surgir alguna confusin si los usuarios internos y los externos deben utilizar diferentes nombres de dominio. 6. Nombre de dominio NetBIOS: Despus de introducir un nombre DNS para el dominio, el sistema solicita un equivalente NetBIOS para el nombre del dominio para que los utilicen los clientes que no soporten Active Directory. Los sistemas Windows 2000 todava utilizan el espacio de nombres NetBIOS para sus nombres de equipo, pero Active Directory utiliza la nomenclatura DNS para los dominios. Windows NT 4 y los sistemas Microsoft Windows 9x utilizan nombres NetBIOS para todos los recursos de la red, incluyendo los dominios. Si se dispone de clientes de nivel inferior en la red (esto es, Windows NT 4, Windows 9x, Microsoft Windows para Trabajo en grupo o Cliente de red Microsoft para sistemas MS-DOS), estos solo sern capaces de ver el nuevo dominio por medio del nombre NetBIOS. La pantalla Nombre de dominio NetBIOS contendr una sugerencia para el nombre, basndose en el nombre DNS especificado, qua se puede utilizar o bien se puede reemplazar con un nombre qua se elija qua tenga 15 caracteres o menos.
Captulo 8
7. Despus de especificar los nombres de dominio, el asistente solicita las ubicaciones de la base de datos, los archivos de registro y el volumen del sistema de Active Directory. La base de datos de Active Directory contendr los objetos Active Directory y sus propiedades, mientras qua los archivos de registro registran las actividades del servicio de directorio. Los directorios para estos archivos se especifican en la pantalla ubicacin de la base de datos. La ubicacin predeterminada tanto para la base de datos como para los registros es la carpeta %SystemRoot%\Ntds del volumen del sistema, pero se pueden modificar esas ubicaciones como sea necesario; de hecho, probablemente se debera, para no tener todos los directorios en la misma cesta. 8. La pantalla Volumen del sistema compartido permite especificar la ubicacin de lo qua se convertir en el recurso compartido Sysvol del controlador de dominio. El volumen del sistema es un recurso compartido que contiene informacin del dominio que se replica al resto de controladores de dominio de la red. De forma predeterminada, el sistema crea este recurso compartido en la carpeta %SystemRoot%\Sysvol en la unidad de disco del sistema.
Captulo 8
La base de datos, los registros y el volumen del sistema de Active Directory tiene que situarse en volmenes que utilicen el sistema de archivos NTFS 5. Si el asistente detecta que alguno de los volmenes escogidos no utiliza NTFS 5, habr que convertirlos o seleccionar otro volumen antes de poder completar el proceso de instalacin de Active Directory. Como Active Directory escribe a menudo en la base de datos y en los registros al mismo tiempo, Microsoft recomienda no almacenarlos en el mismo disco duro. Esto no es una cuestin demasiado importante en un nico controlador de dominio a otra red pequea, pero en una red empresarial con frecuentes actualizaciones del servicio de directorio y muchos controladores de dominio replicando sus bases de datos, la carga del almacenamiento de informacin puede ser significativa, por lo que se recomienda encarecidamente la utilizacin de discos independientes. La recomendacin de situar los archivos de la base de datos y de registro indica la utilizacin de discos duros independientes, no distintos volmenes de la misma unidad de disco. Esto se debe a que las restricciones fsicas del mecanismo de desplazamiento de las cabezas del disco pueden ser responsables de la reduccin del rendimiento del disco. Las cabezas de una nica unidad de
Captulo 8
disco no pueden estar en dos posiciones al mismo tiempo, por lo que el dispositivo debe realizar escrituras en la base de datos o en los registros de forma consecutiva. Cuando los archivos se almacenan en discos independientes, las escrituras puede realizarse simultneamente. tambin es preferible utilizar unidades SCSI para este propsito en lugar de las EIDE, porque SCSI es ms adecuado para ejecutar comandos simultneos en mltiples dispositivos. 9. Instalacin de DNS: En este punto, el Asistente para instalacin de Active Directory tiene toda la informacin de configuracin necesaria para instalar Active Directory y promover el servidor a controlador de dominio. El sistema comprueba que los nombres de dominio suministrados no los utiliza ya en servidor DNS a otros equipos de la red. Si, por ejemplo, el nombre NetBIOS seleccionado ya lo esta utilizando un dominio Windows NT 4 en la red, el asistente pide que se seleccione otro nombre. 10. El asistente tambin determina si el servidor DNS que alojara el dominio soporta el protocolo de Actualizacin dinmica. Si el sistema no puede contactar con el servidor DNS especificado en la configuracin TCP/IP cliente del equipo, o si el servidor DNS especificado no es capaz de dar soporte a un dominio Windows 2000, el asistente se ofrece a instalar Microsoft DNS Server y configurarlo para que funcione como servidor autorizado para el dominio. La pantalla Configurar DNS permite especificar si se desea instalar el servidor DNS o configurar uno personalmente. Si se opta por utilizar otra maquina para el servidor DNS, es preciso instalarlo y configurarlo antes de poder completar la instalacin de Active Directory. 11. Finalizacin de la instalacin de Active Directory: Despus de que el asistente contacte con el servidor DNS que proporcionara el servicio localizador para el nuevo
Captulo 8
dominio, se completa la instalacin y configuracin de Active Directory sin mas introduccin de datos por parte del usuario. El asistente registra todas las actividades que se producen durante el proceso de instalacin en dos archivos llamados Dcpromo.log y Dcpromoui.log, localizados en la carpeta %SystemRoot%\debug. La instalacin puede durar varios minutos, despus de lo cual hay que reiniciar el sistema para que tengan efecto los cambios. El asistente crea una cuenta de administrador para el nuevo dominio utilizando la misma contrasea que tiene la cuenta de administrador local con la que se ha iniciado sesin antes de iniciar la instalacin de Active Directory. Instalacin de un Controlador de dominio de Rplica Las replicas proporcionan tolerancia a fallos en un dominio Active Directory, y pueden reducir el trafico entre redes permitiendo a los clientes de la red autenticarse utilizando un controlador de dominio en el segmento local. Cuando un controlador de dominio no funciona correctamente o no esta disponible por algn motivo, sus replicas asumen automticamente sus funciones. Incluso un dominio pequeo necesita al menos dos controladores de dominio para mantener esta tolerancia a fallos. Para crear una rplica de un dominio existente, hay que ejecutar el Asistente para instalacin de Active Directory en un Windows 2000 Server recin instalado despus de unirse al dominio que se trata de replicar. En el equipo que se une al dominio, se puede realizar la unin por primera vez y suministrar las credenciales administrativas que permiten al sistema crear un objeto equipo en el dominio, o bien se puede crear el objeto equipo manualmente por medio de Usuarios y equipos de Active Directory. Despus de unirse al dominio, hay que iniciar sesin en el sistema utilizando la cuenta de administrador local y ejecutar el asistente desde la pgina Configurar el servidor o ejecutando Dcpromo.exe desde el cuadro de dialogo Ejecutar.
Captulo 8
Cuando aparece la pantalla Tipo de controlador de dominios en el asistente, hay que seleccionar Controlador de dominio adicional para un dominio existente y especificar el nombre DNS del dominio que se va a replicar. Despus hay que suministrar el nombre de usuario, la contrasea y el nombre de dominio de una cuenta con privilegios administrativos en el dominio. El asistente instala Active Directory en el servidor, crea la base de datos, los registros y el volumen del sistema en las ubicaciones especificadas, registra el controlador de dominio en el servidor DNS y replica la informacin de un controlador de dominio para ese dominio existente. Una vez que la replica del controlador de dominio esta en funcionamiento, no es distinguible del controlador de dominio existente, al menos en lo que concierne a la funcionalidad de los clientes. Las replicas funcionan como parejos, a diferencia de los servidores Windows NT, que estn designados como controladores de dominio principales o de reserva. Los administradores pueden modificar el contenido de Active Directory (tanto los objetos como el esquema) de cualquier controlador de dominio, y los cambios se replicaran al resto de controladores de dominio de ese dominio. Cuando se crea una replica, el Asistente para instalacin de Active Directory configura automticamente el proceso de replica entre los controladores de dominio. Se puede personalizar el proceso de replica utilizando Sitios y servicios de Active Directory, que se incluye en Windows 2000 Server. Creacin de un dominio secundario en un rbol existente Cuando se crea el primer dominio Windows 2000 de la red, tambin se esta creando el primer rbol del bosque. Se puede poblar el rbol a medida que se crean dominios adicionales hacindolos secundarios de dominios existentes. Un dominio secundario es uno que utiliza el mismo espacio de nombres que un dominio principal. Este espacio de nombres se establece por el nombre DNS del dominio principal, al cual el secundario aade un nombre precedente para el nuevo dominio. Por ejemplo, si se crea un
Captulo 8
dominio llamado Miempresa.com, un secundario de ese dominio podra llamarse algo as como Investigacion.miempresa.com. Por regla general, los dominios secundarios reflejan las divisiones geogrficas, departamentales o poltica de una organizacin, pero se puede utilizar cualquier principio para el diseo del rbol que se desee. Un dominio principal puede tener cualquier numero de secundarios, y la estructura del rbol puede extenderse a travs de cualquier numero de generaciones, lo que permite utilizar un nico espacio de nombres para crear un rbol de dominios que refleje la estructura de toda la organizacin. Para instalar Active Directory y crear un dominio secundario: 1. Unir el Windows 2000 Server en el que se desea crear el Dominio secundario al dominio principal suministrando las credenciales administrativas o creando manualmente un objeto equipo en el dominio por medio de Usuarios y equipos de Active Directory. 2. Iniciar sesin en el sistema utilizando la cuenta de administrador local 3. Ejecutar el Asistente para instalacin de Active Directory desde la pgina Configurar el servidor o ejecutando Dcpromo.exe desde el cuadro de dialogo Ejecutar. Un dominio secundario no es una replica; es un dominio completamente independiente situado en el mismo rbol. Por lo tanto, cuando el asistente muestra la pantalla Tipo de controlador de dominios, hay que seleccionar Controlador de dominio para un nuevo dominio. En el cuadro de dialogo Crear rbol o dominio secundario, hay que seleccionar Crear un nuevo dominio
Captulo 8
secundario en un rbol de dominios existente. El asistente solicita a continuacin el nombre DNS del dominio que ha de ser el principal del secundario. Despus de suministrar esto, hay que especificar el nombre corto para el dominio secundario. El nombre corto es el nombre que se aadir al nombre DNS del dominio principal para formar el nombre completo del dominio secundario. Por ejemplo, para crear un dominio secundario llamado Investigacion.miempresa.com, se especifica Miempresa.com como nombre del dominio principal a investigacin como nombre corto del secundario. 4. Al igual que durante la creacin del primer dominio del rbol, hay que proporcionar un nombre NetBIOS para el nuevo dominio de no mas de 15 caracteres. En el ejemplo anterior, el dominio podra llamarse Investigacin. tambin hay que suministrar las credenciales de una cuenta que tenga privilegios administrativos en el dominio principal. Despus, el asistente completa la instalacin de Active Directory y pide que se reinicie el sistema. Creacin de un nuevo rbol en un bosque existente Adems de crear dominios secundarios en un rbol Active Directory, tambin se pueden crear rboles completamente nuevos, formando de este modo un bosque. Cada rbol de un bosque tiene su propio espacio de nombres independiente, pero todos los rboles comparten el mismo esquema y configuracin. Si, por ejemplo, se modifica el esquema para aadir atributos personalizados a un objeto particular de un rbol, estos atributos estarn presentes en el mismo tipo de objeto del resto de los rboles del bosque.
Captulo 8
Antes de crear un nuevo rbol en un bosque existente, el nuevo Windows 2000 Server debe unirse al dominio raz de ese bosque. El dominio raz es el primer dominio creado en el bosque y el sistema se une a ese dominio iniciando sesin en el y especificando las credenciales de una cuenta administrativa en el dominio o creando manualmente un objeto equipo en el dominio por medio de Usuarios y equipos de Active Directory. Una vez que el equipo posee una cuenta en el dominio raz del bosque, se puede ejecutar el Asistente para instalacin de Active Directory desde la pantalla Configurar el servidor o ejecutar Dcpromo.exe desde el cuadro de dialogo Ejecutar. Cuando aparece el cuadro de dialogo Tipo de controlador de dominio hay que seleccionar Controlador de dominio para un nuevo dominio. Despus hay que seleccionar Crear un nuevo rbol de dominios en el cuadro de dialogo Crear rbol o dominio secundario y seleccionar Situar este nuevo rbol de dominios en un bosque existente en el cuadro de dialogo Crear o unir bosque. Para crear el nuevo rbol, primero hay que especificar el nombre DNS del dominio raz del bosque y despus el nombre DNS que se desea asignar al primer dominio del nuevo rbol. El segundo nombre DNS no debe ser parte de ningn espacio de nombres existente en el bosque. Es decir, si un rbol ya utiliza Miempresa.com como nombre DNS de su dominio raz, no se puede utilizar el nombre Investigacion.miempresa.com para el dominio raz del nuevo rbol, incluso si ese nombre de dominio exacto no existe en el rbol Miempresa.com. Despus de suministrar los nombres DNS se facilita un equivalente NetBIOS de la forma usual y se proporcionan las credenciales de una cuenta administrativa en el dominio raz del rbol. El asistente completa entonces el proceso de instalacin y pide que se reinicie el sistema. Creacin de un nuevo bosque La diferencia fundamental entre la creacin de un nuevo rbol y la creacin de un nuevo bosque es que los bosques tienen cada uno sus propios esquema y configuracin individuales. El escenario mas obvio en el que una red debera tener mltiples bosques es cuando dos empresas con instalaciones Active Directory existentes se fusionan, y las suficientes diferencias de esquema y configuracin existentes entre
Captulo 8
las dos hace que la unin de ambas en un solo bosque sea impracticable. El proceso de crear un nuevo bosque es el mismo que el de la creacin del primer dominio de la red. Actualizacin de los controladores de dominios de Windows NT 4 Windows 2000 simplifica el proceso de convertir los dominios de una red Windows NT 4 en dominios Active Directory de Windows 2000 permitiendo actualizar los servidores gradualmente. Los controladores de dominio Windows NT pueden coexistir en la misma red que los controladores de dominio Windows 2000 a incluso pueden funcionar en el mismo dominio. La nica regla especial del proceso de actualizacin es que hay que actualizar el PDC de una red Windows NT 4 antes que cualquiera de los BDCs. Cuando se instala el sistema operativo Windows 2000 en el PDC, el Asistente para instalacin de Active Directory se ejecuta automticamente despus del ultimo reinicio y comienza el proceso de promocin. Despus de que el servidor se haya promovido a controlador de dominio, el sistema puede alojar el dominio existente, utilizando los BDCs NT 4 como replicas. Despus se pueden actualizar los BDC al ritmo que se desee. Cuando todos los controladores de dominio estn ejecutando Windows 2000, se podr utilizar el complemento Dominios y confianzas de Active Directory para convertir el dominio del modo mixto al modo nativo, lo que permite aprovechar todas las ventajas de las capacidades de agrupamiento de Active Directory.
Degradacin de controladores de dominios
Una diferencia fundamental entre los controladores de dominio Windows 2000 y los controladores de dominio Windows NT es que se puede degradar un controlador de dominio Windows 2000 a servidor independiente o miembro. Cuando se ejecuta el Asistente para instalacin de Active Directory, el programa determina que el sistema ya esta funcionando como controlador de dominio y solo proporciona la opcin de degradar el servidor. La pantalla Configurar el servidor tambin detecta el estado del sistema y proporciona una nica opcin. La degradacin de un controlador de dominio elimina la base de datos de Active Directory de la mquina, borra todas las referencias a ella del servidor DNS y devuelve las cuentas de seguridad del sistema a un estado idntico al de un servidor Windows 2000 recin instalado. Si el dominio al que pertenece el sistema tiene controladores de dominio de replica en la red, el servidor permanece como, miembro de ese dominio despus de la degradacin. Si el servidor es el nico controlador de dominio de un dominio particular, la degradacin provoca que el dominio se elimine completamente de Active Directory, y que el sistema se convierta en un servidor
Captulo 8
independiente hasta que se una a otro dominio. Si el servidores el nico controlador del dominio raz de un bosque, hay que destruir el resto de dominios del bosque antes de que se pueda proceder con la degradacin del controlador de dominio raz. Para degradar el controlador hay que seguir estos pasos: 1. Abrir el Asistente para instalacin de Active Directory ejecutando Dcpromo.exe. Si se muestra un cuadro de mensaje, no se debe proceder con la degradacin del servidor hasta que se este seguro de que existe al menos otro servidor de Catalogo global en el dominio. 2. Pulsar Siguiente. 3. Proporcionar una contrasea para la cuenta administrador del servidor. Despus se mostrara un resumen que indica lo que se ha seleccionado y el resultado que se obtendr si se sigue adelante. Se abrir la pantalla Configurando Active Directory que proporcionara una descripcin sobre la marcha de los procesos que se estn realizando. Esto durara al menos unos minutos, y algunas veces realmente mucho mas, dependiendo de la maquina. Cuando la configuracin termine, el servidor ya no ser un controlador de dominio y se pedir que se pulse Finalizar y, despus, Reiniciar ahora.
Cambio de la identificacin de un controlador de dominio
Cambiar la identificacin de red de un controlador de dominio requiere degradar el servidor de su estado como controlador de dominio, cambiar la identidad y despus promover la maquina de nuevo. Cuando se cambie el nombre de un controlador de dominio, hay que obrar con cuidado, especialmente en un entorno mixto con clientes de nivel inferior. Pueden permanecer referencias al antiguo nombre de dominio del servidor en servidores WINS, causando problemas de exploracin, edemas de impedir que se vuelva a utilizar el nombre del equipo, y limpiar las base de datos WINS pare corregir el problema puede ser complicado. Primero, hay que abrir Ejecutar desde le men Inicio, escribir dcpromo y pulsar Aceptar. . Una vez que se haya degradado el controlador de dominio, hay que seguir estos pesos pare cambiar la identidad de red del equipo: ' 1. Abrir la herramienta Sistema del Panel de control y pulsar en la pestaa Identificacin de red. 2. Pulsar el botn Avanzada pare abrir el cuadro de dialogo Cambios de identificacin. 3. Introducir el nuevo nombre pare el equipo o hacer cambios en el dominio o grupo de trabajo al que pertenece el equipo. 4. Pulsar el botn Ms para especificar manualmente el nombre de dominio DNS para el equipo y para obtener una vista previa del nombre NetBIOS. Pulsar Aceptar cuando se haya terminado. Hay que tratar de utilizar un nombre de equipo que sea compatible tanto con DNS como con NetBIOS para que todos los tipos de clientes vean el mismo nombre para el equipo. Para hacer esto hay que mantener el nombre por debajo de los 15 caracteres y no utilizar asteriscos o puntos. tambin es preferible evitar el use de espacios, subrayados y guiones
Captulo 8
para una mejor compatibilidad con las aplicaciones. Una vez realizados los cambios en la identidad de red del equipo, es posible promoverlo una vez mas a controlador de dominio siguiendo estos pasos: 1. Abrir Ejecutar desde el men Inicio e introducir dcpromo para iniciar al Asistente para instalacin de Active Directory. 2. Seleccionar el tipo de controlador de dominio que se desea: un controlador de dominio adicional para un dominio existente o un controlador para un nuevo dominio. 3. Suministrar un nombre de usuario y contrasea, asegurndose de usar una cuenta con suficientes privilegios para realizar la operacin. 4. Suministrar el nombre DNS completo del dominio, las ubicaciones de la base de datos de Active Directory, el registro de Active Directory y la carpeta Sysvol. 5. La pgina resumen aparecer de nuevo mostrando las opciones seleccionadas. Pulsar el botn Atrs para hacer cualquier cambio; en otro caso, pulsar Siguiente. 6. Active Directory se configurara. El proceso dura varios minutos, incluso en un sistema relativamente rpido. Al final del proceso, el Asistente para instalacin de Active Directory informa de que Active Directory esta instalado y en que dominio y sitio. Es necesario reiniciar para que la instalacin de Active Directory este completa. Establecimiento de un servidor de Catalogo global El primer controlador de dominio Windows 2000 de un bosque es automticamente un servidor de Catalogo global. El Catalogo global (CG) contiene una replica completa de todos los objetos de directorio del dominio en que se aloja adems de una replica parcial de todos los objetos de directorio de cada dominio del bosque. El objetivo de un CG es proporcionar autenticacin a los inicios de sesin. Adems, como un CG contiene informacin sobre todos los objetos de todos los dominios del bosque, la bsqueda de informacin en el directorio no requiere consultas innecesarias a los dominios. Una nica consulta al CG produce la informacin sobre donde se puede encontrar el objeto. Mientras la empresa tenga controladores de dominio Windows NT, cada dominio debe tener al menos un servidor de Catalogo global. De forma predeterminada, habr un CG, pero cualquier controlador de dominio se puede configurar como servidor de Catalogo global. Si se necesitan servicios de inicio de sesin y bsqueda adicionales, se pueden tener mltiples servidores de Catalogo global en el dominio. Para convertir un controlador de dominio en un servidor de Catalogo global, hay que seguir estos pasos: 1. Escoger Sitios y servicios de Active Directory en el men Herramientas administrativas.
Captulo 8
2. Abrir Sites y seleccionar el sitio correspondiente. 3. Abrir Servers y seleccionar despus el controlador de dominio que se desea convertir en servidor de Catalogo global. 4. Seleccionar NTDS Settings en el panel derecho y escoger propiedades en el men Accin. 5. En la pestaa General, seleccionar la casilla de verificacin Catalogo global. Mientras la empresa opere en modo mixto (esto es, que haya otros controladores de dominio adems de los controladores de dominio Windows 2000), hay que tener al menos un servidor de Catalogo global por dominio. Una vez que se hayan actualizado todos los controladores de dominio a Windows 2000, se puede cambiar el dominio a modo nativo.
Captulo 9
Captulo 9
Dominios y confianzas de Active Directory
Dominios y confianzas de Active Directory de Windows 2000 es un complemento MMC que se puede utilizar para consultar un rbol que contiene todos los dominios del bosque. Con este complemento se pueden administrar las relaciones de confianza entre los dominios, cambiar el modo del dominio y configurar los sufijos del nombre principal de usuario (UPN, User Principal Name) para el bosque. Dominios y confianzas de Active Directory tambin proporciona acceso a Usuarios y equipos de Active Directory, que se puede utilizar para consultar y modificar las propiedades de los objetos individuales. Inicio de Dominios y confianzas de Active Directory Windows 2000 Server aade el complemento Administrador de Dominios y confianzas de Active Directory al men Inicio de forma predeterminada, por lo que despus de iniciar sesin utilizando una cuenta con privilegios administrativos se puede ejecutar la utilidad seleccionando Dominios y confianzas de Active Directory desde Herramientas administrativas en el grupo Programas del men Inicio. El archivo del complemento MMC se llama Domain.msc, por lo que tambin se puede ejecutar el administrador desde el cuadro de dialogo Ejecutar ejecutando ese nombre de archivo. Cuando se carga el Administrador de Dominios y confianzas de Active Directory, el rbol de la consola (a la izquierda) muestra todos los dominios del bosque como un rbol que se expande, partiendo de una raz etiquetada como Dominios y confianza de Active Directory. El panel de resultados (a la derecha) muestra los secundarios del dominio seleccionado actualmente o, si se selecciona la raz, los dominios raz de todos los rboles del bosque. Las funciones que proporciona Dominios y confianzas de Active Directory estn todas accesibles desde los mens Accin que se originan pulsando un nombre de dominio o el objeto raz, adems de dentro de la ventana Propiedades de un dominio.
Captulo 9
Cambio del modo del dominio Desde Dominios y confianzas de Active Directory, cuando se abre la ventana Propiedades de un dominio, la pestaa General muestra el nombre NetBIOS con el cual conocen los clientes de nivel inferior al dominio y permite especificar una descripcin para ese dominio. Esta pestaa tambin muestra el modo de operacin actual del dominio y permite cambiarlo. De forma predeterminada, los controladores de dominio recin instalados operan en modo mixto, lo que significa que se pueden utilizar BDC Windows NT como controladores de dominio en un dominio Windows 2000. De esta forma, se puede actualizar un dominio Windows NT existente a Windows 2000 de forma gradual actualizando primero el PDC Windows NT a Windows 2000. despus se puede utilizar Active Directory para almacenar informacin sobre el dominio y modificar el directorio utilizando los complementos de Active Directory incluidos en Windows 2000 Server. Cuando Windows 2000 Server opera en modo mixto, los BDCs Windows NT son controladores de dominio completamente funcionales en el dominio Active Directory, capaces de realizar replica con mltiples maestros al igual que los controladores de dominio Windows 2000. El nico inconveniente de utilizar el modo mixto es que no se pueden aprovechar las ventajas de las caractersticas avanzadas de agrupacin de Windows 2000, como la posibilidad de anidar grupos y crear grupos con miembros en dominios diferentes. Una vez que se ha completado la actualizacin a Windows 2000 de todos los BDC Windows NT del dominio, se puede cambiar el equipo a modo nativo, lo que activa estas capacidades de agrupacin. Sin embargo, una vez que se ha cambiado el modo de operacin del dominio de mixto a nativo, no se puede cambiar de nuevo sin reinstalar Active Directory. Hay que asegurarse de que no se necesitaran mas los controladores de dominio Windows NT de la red antes de hacer esta modificacin.
Captulo 9
El modo mixto se refiere nicamente a los controladores de dominio en un dominio particular. Despus de cambiar a modo nativo, todava se pueden utilizar controladores de dominio Windows NT en el mismo rbol, siempre y cuando estn ubicados en diferentes dominios. Gestin de las relaciones de confianza entre dominios La relacin de confianza entre dominios se gestiona desde la pestaa Confa de la ventana Propiedades de un dominio. Cuando se establece una relacin de confianza entre dos dominios, los usuarios de un dominio pueden acceder a recursos ubicados en otro dominio en que se confe. Un rbol de dominios Active Directory es una coleccin de dominios que no slo comparten el mismo esquema, la configuracin y el espacio de nombres, sino que tambin estn conectados por medio de relaciones de confianza. Windows 2000 soporta dos tipos de relaciones de confianza: las confianzas explicitas y de un sentido utilizadas por Windows NT, y las confianzas transitivas y jerrquicas proporcionadas por el protocolo de seguridad Kerberos en los dominios Active Directory. Las relaciones de confianza de Windows NT slo funcionan en un sentido. Por ejemplo, el hecho de que el dominio A confi en los usuarios del dominio B no implica que B confi en los usuarios de A automticamente. Un administrador debe crear explcitamente las confianzas en ambos sentidos para lograr una relacin mutua entre los dominios. Active Directory crea automticamente relaciones de confianza Kerberos en todos los dominios de un rbol; estas se aplican en ambos sentidos y son transitivas. Una relacin de confianza transitiva es aquella que se propaga a travs de la jerarqua del rbol. Por ejemplo, cuando un dominio A confa en un dominio B y un dominio B confa en un dominio C, entonces el dominio A confa en el dominio C. La creacin de cada nuevo dominio en un rbol incluye el establecimiento de las relaciones de confianza con el resto de dominios del rbol, lo que permite a los usuarios acceder a recursos en cualquiera de los dominios del rbol (asumiendo que tienen los permisos apropiados) sin que un administrador tenga que configurarlo manualmente.
Captulo 9
Para proporcionar acceso al dominio a usuarios de otro rbol o para conceder acceso a otro rbol a los usuarios del dominio, se pueden establecer relaciones de confianza manualmente pulsando uno de los botones Agregar de la pestaa Confa y especificando el nombre NetBIOS de un dominio. Estas relaciones son en un solo sentido; hay que establecer una confianza para cada dominio para crear una confianza bidireccional. Dependiendo de la naturaleza del dominio que confa o en el que se confa, la relacin podr o no ser transitiva. Se puede establecer una relacin de confianza transitiva con dominios Windows 2000 en otro rbol, pero las relaciones con dominios Windows NT no pueden ser transitivas. Para establecer una relacin de confianza con otro dominio, hay que especificar el nombre del dominio en el cuadro de dialogo Agregar un dominio de confianza y proporcionar una contrasea. Para completar el proceso, un administrador del otro dominio debe especificar el nombre de este dominio en el cuadro de dialogo Agregar un dominio que confa y proporcionar la misma contrasea. Ambos dominios deben dar su aprobacin antes de que los sistemas puedan establecer la relacin de confianza. Especificacin del administrador del dominio La tercera pestaa de la ventana Propiedades de un dominio, identifica al individuo que es el administrador designado para el dominio. Esta pestaa proporciona informacin de contacto sobre el administrador derivada de la cuenta de usuario asociada en Active Directory. Se puede cambiar el administrador pulsando el botn Cambiar y seleccionando otra cuenta de usuario desde la pantalla de Active Directory que se muestra. Configuracin de los sufijos de nombre principal de usuario en un bosque
Captulo 9
Un UPN es un nombre simplificado que los usuarios pueden proporcionar cuando inician sesin en Active Directory. El nombre utiliza el formato estndar de direcciones de correo electrnico que consiste en un nombre de usuario prefijo y un nombre de dominio sufijo, separados por un signo @, como se define en la RFC 822 (por ejemplo, usuario@dominio.com). Los UPNs proporcionan a los usuarios de la red un formato de nombre de inicio de sesin unificado que los asla de la jerarqua de dominios de Active Directory y de la necesidad de especificar el complejo nombre LDAP para sus objetos usuario cuando inician sesin. De forma predeterminada, el sufijo del UPN de los usuarios de un bosque en particular es el nombre del primer dominio creado en el primer rbol del bosque, tambin llamado el hombre DNS del bosque. Por medio del Administrador de Dominios y confianzas de Active Directory se pueden especificar sufijos UPN adicionales que los usuarios pueden emplear en lugar del hombre DNS del bosque cuando inicien sesin. Para hacer esto, hay que seleccionar el objeto raz en el rbol de la consola de la pantalla principal de Dominios y confianzas de Active Directory, y escoger Propiedades en el men Accin. En la pestaa Sufijos UPN, hay que pulsar el botn Agregar para especificar sufijos adicionales. Estos sufijos se aplican en todo el bosque y estn disponibles para cualquier usuario de cualquier dominio de cualquier rbol de ese bosque. Gestin de los dominios El complemento Dominios y confianzas de Active Directory tambin proporciona acceso al complemento Usuarios y equipos de Active Directory que se utiliza para consultar y modificar los objetos de un dominio y sus propiedades. Cuando se selecciona un dominio en el rbol de la consola de la pantalla principal y se escoge Administrar en el men Accin, la MMC abre el complemento Usuarios y equipos de Active Directory con el foco en el dominio seleccionado.
Usuarios y equipos de Active Directory
Captulo 9
El complemento Usuarios y equipos de Active Directory es la principal herramienta de los administradores de Active Directory, y es la herramienta que se utilizara mas a menudo para el mantenimiento diario del directorio. Usuarios y equipos de Active Directory muestra todos los objetos de un dominio por medio de una pantalla con un rbol expandible al estilo del Explorador de Windows. Los cuadros de dialogo de cada objeto proporcionan acceso a las propiedades del objeto, que se pueden modificar para actualizar la informacin del usuario y las restricciones de la cuenta. Tambin se utiliza Usuarios y equipos de Active Directory para crear nuevos objetos y modelar la jerarqua del rbol creando y poblando objetos contenedores Como unidades organizativas (OU). Inicio de Usuarios y equipos de Active Directory Usuarios y equipos de Active Directory, como la mayora de las herramientas de administracin de Active Directory, es un complemento de la MMC. El archivo del complemento se llama Dsa.msc, y se puede ejecutar el administrador de una de tres formas.
G
Seleccionar Usuarios y equipos de Active Directory desde el grupo Herramientas administrativas en el grupo Programas del men inicio. Resaltar un dominio en el rbol de la consola del complemento Dominios y confianzas de Active Directory y escoger Administrar en el men Accin. Esto abre un nuevo cuadro de dialogo de la MMC llamado Usuarios y equipos de Active Directory dejando la ventana Dominios y confianzas de Active Directory intacta. Abrir el cuadro de dialogo Ejecutar desde el men Inicio y ejecutar el archivo de complemento Dsa.msc.
Para realizar muchas de las funciones que proporciona el complemento Usuarios y equipos de Active Directory es necesario iniciar sesin en el dominio utilizando una cuenta que tenga privilegios administrativos. Se puede utilizar el Asistente para delegacin de control para delegar tareas administrativas sobre objetos especficos a otros usuarios sin concederles acceso administrativo completo
Captulo 9
al dominio. Examen de los objetos de Active Directory El cuadro de dialogo principal de Usuarios y equipos de Active Directory contiene muchos de los elementos estndar de las pantallas de la MMC. El rbol de la consola (a la izquierda) muestra un dominio Active Directory y los objetos contenedor dentro de una pantalla expandible. El panel de resultados (a la derecha) muestra los objetos del contenedor resaltado. El administrador incluye una barra de herramientas especializada que proporciona acceso instantneo a las funciones ms comnmente utilizadas y una barra de descripcin que proporciona informacin sobre el estado del administrador o sobre el objeto resaltado actualmente. El programa muestra las acciones que se pueden realizar sobre cada objeto en el men Accin una vez que se han pulsado los objetos.
Tipos de objetos de Active Directory
Los objetos de la pantalla Usuarios y equipos de Active Directory representan tanto entidades fsicas, como equipos y usuarios, como las entidades lgicas, como grupos y unidades organizativas. Modificando el esquema que controla la estructura del servicio de directorio, se pueden crear nuevos tipos de objetos en Active Directory y modificar los atributos de los tipos existentes.
Modo normal y modo avanzado
De forma predeterminada, la pantalla Usuarios y equipos de Active Directory opera en modo normal. El modo normal solo muestra los objetos a los que los administradores accedern con mayor probabilidad durante una sesin de mantenimiento de Active Directory tpica. Esto incluye las unidades organizativas que contienen los usuarios y grupos predefinidos creados durante la instalacin de Active Directory y todos los objetos creados por los administradores despus de la instalacin. El modo normal tambin oculta ciertas pestaas de la ventana Propiedades de un objeto, incluyendo la pestaa Objeto y la pestaa Seguridad que se pueden utilizar para establecer permisos para el objeto. Dominio: Objeto raz de la pantalla Usuarios y equipos de Active Directory; identifica el dominio que est administrando actualmente el administrador. Unidad organizativa: Objeto contenedor utilizado para crear agrupaciones lgicas de objetos equipo, usuario y grupo. Usuario: Representa un usuario de la red y funciona como un almacn de informacin de identificacin y autenticacin. Equipo: Representa un equipo de la red y proporciona la cuenta de maquina necesaria para que el sistema inicie sesin en el dominio. Contacto: Representa un usuario externo al dominio para propsitos especficos como envo de correo electrnico; no proporciona las credenciales necesarias para iniciar sesin en el dominio.
Captulo 9
Grupo: Objeto contenedor que representa una agrupacin lgica de usuarios, equipos a otros grupos (o los tres) que es independiente de la estructura del rbol de Active Directory. Los grupos pueden contener objetos de diferentes unidades organizativas y dominios. Carpeta compartida: Proporciona acceso de red, basado en Active Directory, a una carpeta compartida en un sistema Windows 2000. Impresora compartida: Proporciona acceso de red, basado en Active Directory, a una impresora compartida en un sistema Windows 2000. Sin embargo, cuando se escoge Caractersticas avanzadas en el men Ver del administrador, la pantalla cambia para incluir todos los objetos Active Directory del sistema que representan directivas, registros DNS y otros elementos del servicio de directorio, adems del contenedor LostAndFound. Desde esta interfaz se puede consultar informacin sobre los objetos del sistema y controlar el acceso a ellos modificando los permisos asociados. Como el acceso a estos objetos no se requiere con frecuencia, se puede impedir que aparezcan dejando el administrador en modo normal. Sin embargo, cuando haya que modificar los permisos de los objetos estndar como unidades organizativas, usuarios y grupos, habr que activar las Caractersticas avanzadas para acceder a la pestaa Seguridad de la ventana Propiedades de un objeto.
Cambio de dominio
Se puede utilizar el complemento Usuarios y equipos de Active Directory para administrar cualquier dominio de la red. Para cambiar el dominio que se muestra en el administrador, hay que resaltar la raz o el objeto dominio en el rbol de la consola y escoger Conectar con el dominio en el men Accin. Esto muestra el cuadro de dilogo Conectar con el dominio, donde se puede introducir el nombre del dominio o buscar otro dominio. En el men Accin tambin se puede escoger Conectar con el controlador de dominio para acceder al dominio seleccionado utilizando un controlador de dominio especifico de la red. A menos que los controladores de dominio no estn sincronizados, la informacin debera ser la misma en todas las replicas, pero algunas veces puede ser til seleccionar un controlador de dominio en una ubicacin diferente para evitar una lenta o cara conexin WAN.
Captulo 9
Filtros para simplificar la visualizacin
Cuando se empieza a poblar Active Directory con nuevos objetos, puede crecer rpidamente a un tamao difcil de manejar. El mero nmero de objetos en la pantalla puede dificultar la localizacin del objeto especifico que se necesita. Para evitar que se muestren temporalmente los objetos que no es necesario ver, se puede aplicar un filtro al complemento Usuarios y equipos de Active Directory basndose en los tipos de objetos o basndose en el contenido de atributos de objetos especficos. Cuando se escoge Opciones de filtro desde el men Ver, aparece el cuadro de dilogo Opciones de filtro. Aqu se puede optar por mostrar todos los tipos de objetos, seleccionar tipos de objetos especficos a mostrar o crear un filtro personalizado basndose en los atributos de los objetos. Cuando se selecciona la opcin Crear filtro personalizado y se pulsa el botn Personalizar, se muestra un cuadro de dilogo Buscar Bsqueda personalizada. En este cuadro de dilogo se puede seleccionar un tipo de objeto, escoger un atributo de ese objeto y especificar un valor completo o parcial para ese atributo. Por ejemplo, se pueden mostrar solo los objetos usuario que tengan el valor Ventas en el atributo Departamento (como se muestra en la figura), o se puede optar por mostrar slo los usuarios que tienen un cdigo de rea particular en el atributo Nmero de telfono. Esto permite ajustar la mira rpidamente en los objetos que se necesitan utilizar sin tener que desplazarse a lo largo de una pantalla innecesariamente abarrotada.
Bsqueda de objetos
Tambin se pueden buscar objetos especficos en todo Active Directory sin modificar lo que muestra el administrador. Si se selecciona el objeto dominio y se escoge Buscar en el men Accin, se muestra el. cuadro de dialogo Buscar Usuarios, contactos y grupos, en el cual se puede especificar el tipo de objeto que se desea localizar, un dominio especifico o todo el directorio y el nombre y descripcin del objeto.
Captulo 9
El programa busca entonces en el CG que se creo automticamente en el primer controlador del dominio para localizar el objeto deseado. El CG es un subconjunto de todo Active Directory que solo contiene los atributos mas comnmente utilizados, lo que facilita la bsqueda de un objeto especifico. Sin el CG, la tarea de buscar en una instalacin Active Directory que incluye controladores de dominio en ubicaciones remotas podra requerir un extenso trafico WAN que es tan lento como caro. A pesar de que Active Directory siempre crea el CG en el primer controlador de dominio de un dominio, se puede cambiar su ubicacin predeterminada modificando la configuracin NTDS en el complemento Sitios y servicios de Active Directory. Tambin se pueden especificar atributos adicionales que han de almacenarse en el CG utilizando el complemento Esquema de Active Directory. La pestaa Opciones avanzadas del cuadro de dialogo Buscar Usuarios, contactos y grupos utiliza la misma interfaz que la caracterstica Filtro personalizado. De la misma forma, se pueden buscar objetos basndose en sus atributos. Si un atributo que se selecciona no es parte del CG, la bsqueda proceder inspeccionando el contenido real de los controladores de dominio de la red. En algunos casos, esto puede ralentizar considerablemente el proceso de bsqueda. Mucha de la misma funcionalidad de bsqueda de objetos de Active Directory que se encuentra en el complemento Usuarios y equipos de Active Directory tambin esta disponible en la caracterstica Buscar del men Inicio. Objetos predeterminados de Active Directory Un dominio Active Directory recin creado contiene objetos unidades organizativas, equipos, usuarios y grupos que crea de forma predeterminada el Asistente para instalacin de Active Directory. Estos objetos proporcionan acceso al sistema a varios niveles e incluyen grupos que permiten a los administradores delegar tareas de mantenimiento de la red especificas a otros. Incluso si no se espera utilizar esos objetos en el futuro, hay que utilizarlos para crear otros objetos con los permisos apropiados para la red.
Captulo 9
Por ejemplo, aun si no se desea tener ningn usuario nico con el control completo concedido a la cuenta de administrador, hay que iniciar sesin como administrador para poder crear los nuevos objetos usuario con los derechos y permisos deseados. Con Active Directory se pueden dejar partes de la estructura del directorio hurfanas si se modifica, se borra o se desactiva la cuenta de administrador sin haber creado primero otros objetos usuario o haberles concedido permisos equivalentes para las distintas partes del directorio. Los objetos predeterminados creados en un dominio Active Directory, junto con sus funciones y sus ubicaciones en la jerarqua del dominio. Objetos creados de forma predeterminada en un dominio Active Directory Nombre del objeto Builtin Tipo de objeto ubicacin Funcin Contenedor predeterminado para los grupos que proporcionan acceso a las funciones de administracin del servidor. Contenedor predeterminado para cuentas de equipo actualizadas. Contenedor predeterminado para cuentas de usuario actualizadas. Contenedor predeterminado para los nuevos controladores de dominio Windows 2000. Sus miembros pueden administrar las cuentas de usuario y de grupo del dominio.
builtinDomain Dominio raz Contenedor Contenedor Unidad organizativa Dominio raz Dominio raz Dominio raz Builtin
Computers Users Domain controllers
Opers. de cuentas Grupo de seguridad. Integracin local Administradores Grupo de seguridad. Integracin local Operadores de copia Grupo de seguridad. Integracin local Grupo de seguridad. Integracin local
Builtin
Sus miembros pueden administrar completamente el equipo/dominio.
Builtin
Sus miembros pueden saltarse la seguridad de los archivos para hacer copia de seguridad de ellos. Usuarios que tienen concedido acceso de invitado al equipo/dominio.
Invitados
Builtin
Captulo 9
Opers. de impresin
Grupo de seguridad. Integracin local Grupo de seguridad. Integracin local Grupo de seguridad. Integracin local Grupo de seguridad. Integracin local
Builtin
Sus miembros pueden administrar las impresoras del dominio.
Duplicadores
Builtin
Soporta la replica de archivos en un dominio.
Opers. de servidores
Builtin
Sus miembros pueden administrar. servidores de dominio.
Usuarios
Builtin
Usuarios corrientes.
Usuarios DHCP
Grupo de Contenedor Sus miembros slo tienen acceso de lectura seguridad. Users al Servidor DHCP Dominio local Grupo de Contenedor Administradores del DNS. seguridad. Users Dominio local Grupo de Contenedor Servidores Ras e IAS. seguridad. Users Dominio local Grupo de Contenedor Sus miembros solo tienen acceso de lectura a seguridad. Users WINS. Dominio local Grupo de seguridad. Global Contenedor Agentes de certificacin de la empresa y de Users renovacin. Contenedor Clientes de DNS a los que se permite Users realizar actualizaciones dinmicas en nombre de algunos otros clientes (como servidores DHCP). Contenedor Administradores designados del dominio. Users
DnsAdmins
Servidores RAS e IAS Usuarios WINS
Publicadores de certificados
DnsUpdateProxy Grupo de seguridad. Global Admins. del dominio Grupo de seguridad. Global
Captulo 9
Equipos del dominio
Grupo de seguridad. Global
Contenedor Todas las estaciones de trabajo y servido res Users unidos al dominio. Contenedor Todos los controladores de dominio del Users dominio. Contenedor Todos los invitados del dominio. Users Contenedor Todos los usuarios del dominio. Users Contenedor Administradores designados de la empresa. Users Contenedor Administradores designados del esquema. Users Contenedor Cuenta predefinida para administrar el Users equipo/dominio. Contenedor Cuenta predefinida para el acceso en calidad Users de invitado al equipo/dominio. Contenedor Cuenta predefinida para el acceso annimo a Users los Servicios de Internet informacin Server (IIS). Contenedor Cuenta predefinida para el acceso annimo a Users aplicaciones IIS sin proceso. Contenedor Cuenta del servicio Centro de distribucin Users de claves.
Controladores de Grupo de dominio seguridad. Global Invitados del dominio Usuarios del dominio Administracin de empresas Grupo de seguridad. Global Grupo de seguridad. Global Grupo de seguridad. Global
Administradores Grupo de de esquema seguridad. Global Administrador Invitado IUSR_xxx Usuario Usuario Usuario
IWAM_xxx Krbtgt
Usuario Usuario
Creacin de unidades organizativas El esquema del servicio de directorio establece qu objetos se pueden crear en un dominio Active Directory, dnde se pueden ubicar y qu atributos se permite que tengan. Usuarios y equipos de Active Directory solo permite crear objetos en las ubicaciones apropiadas para el tipo de objeto. Por ejemplo, no se puede crear un objeto unidad organizativa (OU) subordinada a un objeto usuario, pero un objeto usuario puede subordinarse a un objeto OU. Sin embargo, las OU se pueden subordinar unas a otras y el nmero de capas de OU que se pueden crear
Captulo 9
en el dominio Active Directory es ilimitado. Para crear una OU hay que pulsar el objeto dominio u otra OU en el panel de mbito o en el de resultados de Usuarios y equipos de Active Directory y escoger Nuevo en el men Accin y seleccionar Unidad organizativa. tambin se puede pulsar el botn Crear un nuevo departamento en la barra de herramientas de Usuarios y equipos de Active Directory para conseguir el mismo efecto. despus de especificar un nombre para el nuevo objeto en el cuadro de dialogo Nuevo objeto, el administrador crea un icono con el nombre apropiado y lo inserta en la pantalla de Usuarios y equipos de Active Directory. Una vez que se ha creado una OU es posible poblarla con otros objetos, como usuarios, equipos, grupos y otras OU, o se pueden modificar sus atributos abriendo la ventana Propiedades desde el men Accin. Configuracin de los objetos OU La ventana Propiedades de una OU consta de tres pestaas. La pestaa General y la pestaa Administrado por permiten especificar informacin sobre la OU como una frase descriptiva y una direccin para la ubicacin del objeto, adems de la identidad de la persona responsable de administrar la OU. La informacin que se incluye en estas pestaas (si la hay) depende del criterio utilizado para disear el Active Directory. Una OU puede estar asociada a un departamento particular dentro de una organizacin, una ubicacin fsica como una habitacin, una planta o un edificio, o incluso una sucursal en una ciudad o pas particular. La pestaa Directiva de grupo es donde se crean y administran los vnculos a los objetos directiva de grupo de Active Directory. Los objetos directiva de grupo son colecciones de parmetros del sistema que controlan la apariencia y la funcionalidad de los clientes de la red. Cuando se aplican directivas de grupo a OU, dominios y sitios, todos los objetos contenidos en esas entidades heredan los parmetros del sistema. Las OU se pueden enlazar a mltiples objetos directiva de grupo en esta pestaa y, se pueden controlar las prioridades con que se aplican las directivas. Cuando se utilice el botn Modificar de la pestaa directiva de grupo para modificar un objeto directiva de grupo, Usuarios y equipos de Active Directory ejecuta el complemento MMC directiva de grupo. Cuando se activan las Caractersticas avanzadas en el men Ver de Usuarios y equipos de Active
Captulo 9
Directory, la ventana Propiedades de la OU tambin muestra la pestaa Objeto y la pestaa Seguridad. La pestaa Objeto muestra la ruta de acceso complete al objeto en la jerarqua del dominio, las fechas y horas de su creacin y ultima modificacin y los nmeros de secuencia de actualizacin de la creacin y la ultima modificacin. La pestaa Seguridad permite controlar el acceso al objeto asignando permisos a usuarios y grupos. Con la casilla de verificacin Hacer posible que los permisos heredables se propaguen, tambin se puede controlar si el objeto hereda los permisos que han sido asignados a su objeto primario. El botn Avanzada de la pestaa Seguridad proporciona acceso al cuadro de dialogo Configuracin de control de acceso desde el que se puede controlar el acceso al objeto con un detalle mucho mayor. En el cuadro de dialogo Seguridad, se puede especificar si usuarios y grupos especficos tienen permiso para crear y eliminar objetos secundarios en la OU, pero esta pantalla permite especificar que tipos de objetos se pueden crear y eliminar. Delegacin del control de los objetos Active Directory esta diseado para soportar redes empresariales mucho mas grandes que la que soportan los dominios Windows NT, y las redes mas grandes requieren, naturalmente, mas atencin y mantenimiento por parte de los Administradores. Active Directory permite a los administradores delegar
Captulo 9
el control sobre objetos contenedor especficos a otros usuarios sin otorgarles acceso completo al dominio. Para hacer esto, hay que ejecutar el Asistente para delegacin de control escogiendo Delegar control desde et men Accin de un dominio o unidad organizativa. El asistente pide primero que se especifique el objeto contenedor sobre el que se desea delegar el control y los usuarios o grupos (o ambos) a los que se desea delegar el control. Una vez que se haya hecho esto, el asistente muestra la pantalla Tipo de objeto de Active Directory, que se puede utilizar para especificar que tipos de objetos del contenedor podrn controlar los usuarios/grupos seleccionados. Se puede, por ejemplo, conceder a un usuario o grupo especifico control sobre los objetos usuario solo en el contenedor, permitindoles actualizar informacin de usuario pero impidindoles la modificacin de otros tipos de objetos. En el cuadro de dialogo Permisos, se especifica el grado de control que se desea que tengan los usuarios/grupos seleccionados sobre los objetos seleccionados. El cuadro Mostrar estos permisos permite seleccionar si se desea trabajar con los permisos generales que conciernen a todo el objeto o los permisos de la propiedad que controlan el acceso a los atributos individuales del objeto. Con este tipo de permisos se puede conceder a los usuarios la capacidad de modificar algunas de las propiedades del objeto al mismo tiempo que se protegen otras. De esta forma, cabe la posibilidad de permitir a los Administradores del departamento realizar modificaciones sencillas en los objetos usuario, como cambiar las direcciones y los nmeros de telfono, sin poner en peligro otras propiedades del objeto. Una vez que se le ha proporcionado al asistente la informacin apropiada, se configura el objeto seleccionado con los permisos adecuados. Si se comprueba la pestaa Seguridad de la ventana Propiedades del objeto (que solo es visible cuando estn activas las Caractersticas avanzadas en el men Ver de Usuarios y equipos de Active Directory), se podrn observar los permisos que ha asignado el asistente a los usuarios o grupos seleccionados. Creacin de los objetos usuario Una instalacin tpica de Active Directory consiste normalmente en mas objetos usuario que de cualquier otro tipo, y la creacin y gestin de los objetos usuario representa buena parte de la carga de administracin de Active Directory. La tarea de crear manualmente un objeto usuario es idntica a la de
Captulo 9
la creacin de una unidad organizativa o cualquier otro objeto. despus de seleccionar el contenedor en el que residir el objeto usuario (normalmente, una OU), hay que seleccionar el contenedor y escoger Nuevo en el men accin y seleccionar Usuario, o pulsar el botn Crear un nuevo usuario de la barra de herramientas de Usuarios y equipos de Active Directory, lo que produce el cuadro de dialogo. En el cuadro de dialogo Nuevo objeto, hay que especificar el nombre y apellidos del usuario y el nombre de inicio de sesin que proporcionara el usuario cuando se conecte a la red. El nombre de inicio de sesin de nivel inferior para el usuario (esto es, el nombre con el que iniciara sesin el usuario en las estaciones de trabajo Windows NT o Windows 9.x) aparece entonces automticamente. El siguiente cuadro de dialogo proporciona un campo para la contrasea del objeto usuario y permite establecer opciones bsicas para la contrasea y la cuenta para el usuario, como sigue:
G G G G
El usuario debe cambiar la contrasea en el siguiente inicio de sesin. El usuario no puede cambiar la contrasea. La contrasea nunca caduca. Cuenta deshabilitada.
Despus de que una pantalla de resumen confirme la informacin introducida, Usuarios y equipos de Active Directory crea el objeto usuario en el contenedor seleccionado. Configuracin de los objetos usuario Una vez que se ha creado un objeto usuario, se puede proceder con el proceso de configuracin, en el cual se aade informacin sobre el usuario a la base de datos de Active Directory y se define el acceso a la red del usuario. El men Accin que genera Usuarios y equipos de Active Directory cuando se pulsa sobre un objeto usuario contiene algunos de los comandos mas comnmente utilizados por los administradores, adems del acceso a la ventana Propiedades del usuario. Estos comandos son los siguientes:
G
Agregar miembros a un grupo Genera un cuadro de dialogo desde el que se pueden seleccionar los grupos a los que pertenecer el usuario.
Captulo 9
G
Asignaciones de nombres (Solo visible cuando estn activas las Caractersticas avanzadas.) Permite a los administradores asignar certificados X.509 y nombres Kerberos al objeto usuario. Deshabilitar cuenta Impide que el usuario inicie sesin en la red utilizando la cuenta hasta que sea activada manualmente por un administrador. Restablecer contrasea Genera un cuadro de dialogo con el que se puede modificar la contrasea de inicio de sesin de la cuenta del usuario. Mover Permite a los administradores trasladar el objeto usuario a otro objeto contenedor (esto es, un dominio o una unidad organizativa) de Active Directory. Abrir la pgina principal Abre el navegador predeterminado del sistema y muestra el URL que aparece en el campo Pgina Web de la pestaa General de la ventana Propiedades del objeto usuario. Enviar mensaje de correo Abre el cliente de correo electrnico predeterminado del sistema y escribe la direccin de un mensaje utilizando la direccin de correo electrnico que aparece en el campo Correo electrnico de la pestaa General de la ventana Propiedades del objeto usuario.
Aunque Usuarios y equipos de Active Directory proporciona estas funciones en el men Accin para que resulte mas cmodo, tambin se puede acceder a muchas de ellas a travs de la ventana Propiedades del objeto usuario, que proporciona una interfaz completa para los atributos del objeto usuario. Los atributos que aparecen en las pestaas de la ventana Propiedades son aquellos incluidos en el esquema predeterminado que utiliza Active Directory. Se puede modificar el esquema para crear atributos adicionales o cambiar los existentes utilizando el complemento Administrador del Esquema de Active Directory.
La pestaa General
La pestaa General contiene informacin bsica sobre el usuario, incluyendo el nombre y apellidos que se especificaron al crear el objeto. Esta pestaa tambin posee campos para una frase descriptiva sobre el usuario, la ubicacin de la oficina, el nmero de telfono, la direccin de correo electrnico y el URL de la pgina Web del usuario. Aparte de los campos nombre, la informacin de esta pestaa es opcional y nicamente se utiliza como referencia. Los usuarios pueden buscar en Active Directory utilizando los valores de los atributos de esta (y otras) pestaas y la direccin de correo electrnico y el URL de la pgina Web del usuario se insertan automticamente en las aplicaciones cliente apropiadas, pero estos campos no afectan al acceso a la red del usuario de ninguna forma palpable.
La pestaa direccin
Captulo 9
En la pestaa direccin se encuentran los campos donde se puede insertar la informacin de la direccin de correo del usuario. Como en la pestaa General, estos son campos de referencia que no juegan un papel importante en la configuracin del objeto.
La pestaa Cuenta
La pestaa Cuenta contiene el nombre de inicio de sesin de usuario que se especific durante la creacin del objeto adems de su nombre de usuario de nivel inferior. Los botones Horas de inicio de sesin a Iniciar sesin en proporcionan acceso a cuadros de dialogo que permiten restringir las horas y das de la semana a los que tiene permiso el usuario para iniciar sesin en la red y las estaciones de trabajo desde las que el usuario puede iniciar sesin en la red. La casilla de verificacin La cuenta esta bloqueada esta seleccionada si la cuenta del usuario ha sido desactivada, bien deliberadamente por un administrador o a causa de repetidos fallos al iniciar sesin. Desactivar esta casilla libera la cuenta y permite al usuario iniciar sesin de nuevo. El rea Opciones de cuenta contiene numerosas opciones para la contrasea y la cuenta (algunas de las cuales estn duplicadas en el cuadro de dialogo Nuevo objeto). Cuando se crean nuevas cuentas de usuario, las siguientes opciones deben ser seleccionadas o desactivadas:
G
G G
El usuario debe cambiar la contrasea en el siguiente inicio de sesin Presenta al usuario un cuadro de dialogo en el siguiente inicio de sesin requirindole una nueva contrasea. El usuario no puede cambiar la contrasea Impide que el usuario cambie su propia contrasea. La contrasea nunca caduca Impide que la cuenta de usuario sea objeto de las directivas s de caducidad definidas en el cuadro La cuenta caduca. Cuenta deshabilitada Impide que el usuario inicie sesin utilizando esta cuenta hasta que la casilla sea desactivada por un administrador.
La pestaa Perfil
Captulo 9
En la pestaa Perfil se puede especificar la ubicacin del perfil de usuario asociado con el objeto. De forma predeterminada, cada usuario que inicia sesin en un sistema Windows 2000 tiene un directorio de perfil creado en la carpeta Documents and Settings de la unidad de disco del sistema. Cuando se especifica una ruta de acceso al perfil en esta pestaa, el sistema almacena una copia del perfil en el directorio especificado. Si este directorio esta localizado en una unidad de red compartida, el usuario puede acceder al perfil desde cualquier sistema de la red. El campo Archivo de comandos de inicio de sesin especifica el nombre del archivo de comandos que la estacin de trabajo debera ejecutar cuando el usuario inicie sesin en la red. Desde el cuadro Directorio principal, se puede crear un directorio personal en una unidad de red sobre el que el usuario tendr control completo. Almacenar los archivos de datos en una unidad de red facilita su proteccin ante manipulaciones y los borrados accidentales. Se puede configurar la estacin de trabajo para que asigne una unidad a la unidad de disco compartida automticamente durante el proceso de inicio de sesin especificando una letra de unidad y el nombre UNC de un recurso compartido de la red en los campos Conectar. En el campo para indicar la carpeta de documentos compartidos, se puede especificar una ubicacin donde los usuarios que requieren acceso a los mismos documentos pueden almacenar archivos.
La pestaa Telfonos
La pestaa Telfonos contiene campos para los distintos nmeros de telfono asociados con un usuario, incluyendo los nmeros del localizador, del mvil, del fax y del telfono de IP Un campo Notas de mltiples lneas proporciona un rea de propsito general para notas.
La pestaa organizacin
La pestaa Organizacin proporciona campos en los que se puede especificar el titulo, el departamento y la organizacin del usuario. En el cuadro Administrador, se puede identificar el superior del usuario seleccionando otro objeto usuario de Active Directory. Un campo Supervisa a, de mltiples lneas permite almacenar las notas de un supervisor en el usuario.
La pestaa Miembro de
Captulo 9
La pestaa Miembro de es donde se especifican los grupos de los que el usuario debera ser miembro. Si se pulsa el botn Agregar, se muestra una lista de objetos desde la que se pueden seleccionar los grupos apropiados. El botn Establecer grupo solo esta activo para usuarios de Macintosh. Los Servicios para Macintosh de Windows reconocen una afiliacin de grupo nica, normalmente el grupo con el que los usuarios de Macintosh comparten documentos en un servidor. Tambin se puede aadir un usuario a un grupo desde la pestaa Miembros de la ventana Propiedades de un objeto grupo.
La pestaa Marcado
En la pestaa Marcado se controla si al usuario se le permite el acceso a la red a travs de una conexin telefnica del Servicio de acceso remoto (RAS, Remote Access Service). Con la opcin Permitir acceso se puede seleccionar si el objeto usuario necesita devolucin de llamada o el Id del que llama para la comprobacin de seguridad, y se pueden especificar una direccin IP esttica y rutas estticas para la conexin.
La pestaa Certificados publicados
La pestaa Certificados publicados, que solo es visible cuando se activa la opcin de presentacin Caractersticas avanzadas de Usuarios y equipos de Active Directory, permite administrar los certificados X.509 vinculados al objeto usuario. Desde esta pgina se pueden examinar los certificados publicados para la cuenta del usuario, agregar nuevos certificados, eliminar certificados y exportar certificados a archivos.
La pestaa Objeto
La pestaa Objeto muestra la ruta de acceso completa al objeto usuario, las fechas de su creacin y ultima modificacin y los nmeros de secuencia de actualizacin (USN, Update Sequence Number) de su creacin y ultima modificacin.
La pestaa Seguridad
La pestaa Seguridad (visible solo cuando estn activas las Caractersticas avanzadas) permite asignar permisos que controlan el acceso al objeto usuario. La pestaa es virtualmente idntica a la misma pestaa de las ventanas propiedades de otros tipos de objetos. Creacin de grupos Los objetos grupo hacen posible la asignacin de permisos y otros atributos de objeto a mltiples usuarios en una nica operacin, adems de la distribucin de correo electrnico a un gran nmero de direcciones (cuando esta instalado Microsoft Exchange Server). Cuando se asignan permisos a un objeto
Captulo 9
de Active Directory (o a un archivo o directorio de NTFS), se pueden aadir grupos a la lista de control de acceso (ACL, Access Control List) del objeto, lo que provoca que los permisos se propaguen a todos los miembros del grupo. Los objetos grupo se crean en Usuarios y equipos de Active Directory como se hara con cualquier otro tipo de objeto, y despus se seleccionan los objetos que se desea que sean miembros del grupo. Puede haber objetos grupos en las unidades organizativas, en otros grupos (cuando el dominio esta operando en modo nativo) o directamente bajo el dominio raz. Cuando se selecciona uno de estos objetos contenedor en Usuarios y equipos de Active Directory, se escoge Nuevo en el men Accin y se selecciona Grupo, se muestra el cuadro de dialogo Nuevo objeto. Como con otros objetos, primero hay que especificar un nombre (de hasta 64 caracteres) para el nuevo grupo y un nombre NetBIOS de nivel inferior equivalente (de hasta 15 caracteres). despus hay que seleccionar una de las siguientes opciones de mbito de grupo:
G
Dominio local: Un grupo Local de dominio puede contener objetos usuario, otros grupos Locales de dominio del mismo dominio, grupos Globales de cualquier dominio del bosque y grupos Universales. Se pueden insertar grupos Locales de dominio en la ACL de cualquier objeto de ese dominio, pero no en objetos de otros dominios. Los grupos Locales de dominio no aparecen en el CG. Global: Un grupo Global puede contener objetos usuario y otros grupos Globales del mismo dominio. A diferencia de los grupos Locales de dominio, los grupos Globales se pueden insertar en la ACL de cualquier objeto del bosque. Los grupos Globales se incluyen en el CG, pero sus miembros no; la pertenencia a un grupo Global solo se replica dentro de su dominio. Universal: Un grupo Universal, el mbito de grupo mas amplio, puede contener otros grupos Universales, grupos Globales y usuarios de cualquier dominio del bosque. Al igual que los grupos Globales, se pueden insertar grupos Universales en la ACL de cualquier objeto del bosque. Los grupos Universales aparecen en el CG junto con sus miembros; el use de grupos Globales como miembros de un grupo Universal disminuye el trafico de actualizacin al CG porque los cambios de pertenencia a grupos Globales (que no se incluyen en el catalogo) son mucho mas frecuentes que los cambios de pertenencia a grupos Universales. El anidamiento de grupos (esto es, el almacenamiento de grupos dentro de otros grupos)
Captulo 9
es una caracterstica de Active Directory que slo esta disponible cuando el dominio se ejecuta en modo nativo. Para operar el modo nativo, todos los controladores del dominio deben ejecutar Windows 2000 Server. Despus de seleccionar el mbito del grupo hay que seleccionar uno de los tipos de grupos de la pgina siguiente.
G
Seguridad: Los grupos de seguridad estn pensados para su inclusin en las ACL de recursos de red como archivos a impresoras. tambin pueden servir como listas de distribucin para correo electrnico. Distribucin: Los grupos de distribucin estn pensados nicamente para. utilizarlos como listas de distribucin de correo electrnico.
Cuando se pulsa Aceptar, el administrador crea el objeto grupo en el contenedor seleccionado Configuracin de los objetos grupo La ventana Propiedades de un objeto grupo contiene hasta seis pestaas (dependiendo de si las Caractersticas avanzadas estn activas).
La pestaa General
La pestaa General proporciona campos donde se puede insertar una descripcin del objeto grupo, especifica el tipo y mbito del grupo a incluye un campo de mltiples lneas para comentarios.
La pestaa Miembros
La pestaa Miembros es donde se especifican los objetos que van a ser los miembros del grupo. Pulsar el botn Agregar produce un cuadro de dialogo en el que se puede examinar Active Directory y seleccionar los objetos deseados.
La pestaa Miembro de
Cuando se opera en modo nativo, los objetos grupo de Active Directory pueden ser miembros de otros objetos. En la pestaa Miembro de se pueden seleccionar los grupos de los que el nuevo grupo va a ser miembro.
La pestaa Administrado por
La pestaa Administrado por permite especificar informacin sobre la persona responsable de administrar el objeto grupo.
Captulo 9
La pestaa Objeto
La pestaa Objeto (que slo aparece cuando estn activas las Caractersticas avanzadas de Usuarios y equipos de Active Directory) muestra la ruta de acceso completa del objeto grupo, las fechas de su creacin y ultima modificacin y sus USN de su creacin y ultima modificacin.
La pestaa Seguridad
La pestaa Seguridad (que solo aparece cuando estn activas las Caractersticas avanzadas de Usuarios y equipos de Active Directory) permite establecer los permisos que especifican a que objetos tendr acceso el objeto grupo y cuanto acceso tendr. Creacin de los objetos equipo Adems de objetos contenedor, objetos grupo y objetos usuario, Active Directory tambin tiene objetos que representan equipos. Para iniciar sesin en un dominio, un equipo Windows 2000 debe tener un objeto que lo represente en la jerarqua de Active Directory. Cuando se promueve un sistema a controlador de dominio o se inicia sesin en un dominio por primera vez, Windows 2000 crea automticamente un objeto equipo. (En el caso de un inicio de sesin por primera vez, el sistema solicita el nombre de usuario y la contrasea de una cuenta con suficientes privilegios para crear nuevos objetos. Sin embargo, tambin se pueden crear objetos equipo manualmente, de igual forma que se creara cualquier otro objeto). Si se selecciona un contenedor, se escoge Nuevo en el men Accin y se selecciona Equipo, se muestra un cuadro de dialogo Nuevo objeto en el que se puede suministrar el nombre del nuevo objeto equipo (que puede ser el nombre NetBIOS o el DNS del equipo). tambin se puede especificar el usuario o grupo particular que esta autorizado para unir el equipo al dominio. El complemento Usuarios y equipos de Active Directory crea un objeto cada vez, pero algunas veces los administradores tienen que crear muchsimos objetos, por lo que esta herramienta deja de ser prctica.
Captulo 9
Configuracin de los objetos equipo Una vez que Usuarios y equipos de Active Directory crea el objeto equipo, se pueden configurar sus atributos utilizando las siguientes siete propiedades: General, Sistema operativo, Miembro de, ubicacin, Administrado por, Objeto y Seguridad. Casi todas las pestaas tienen el mismo propsito que las de otros objetos. Las dos que son nicas para el objeto Equipo son Sistema operativo y ubicacin. La pestaa Sistema operativo identifica el sistema operativo que se esta ejecutando en el equipo, la versin y el service pack instalado actualmente. Estos campos no son modificables; estn en blanco cuando se crea manualmente un objeto equipo y se rellenan cuando el equipo se une a un dominio. La pestaa ubicacin permite especificar que ubicaciones sirve el sitio en la configuracin del directorio. Administracin remota de equipos Usuarios y equipos de Active Directory proporciona acceso administrativo a equipos remotos representados por objetos en Active Directory. Cuando se pulsa un objeto equipo y se escoge Administrar en el men Accin, el administrador abre el complemento MMC Administracin de equipos con el equipo come foco. Con esta caracterstica, se pueden leer los registros de sucesos del sistema remote, manipular sus servicios y realizar cualquiera del resto de las tareas que proporciona el complemento administracin de equipos. Publicacin de carpetas compartidas Los objetos carpeta compartida permiten publicar directorios de red compartidos en Active Directory, lo que permite a los usuarios acceder a ellos directamente explorando el Entorno de red del objeto. Esto elimina la necesidad de que los usuarios conozcan la ubicacin exacta de la carpeta compartida. La creacin de un objeto carpeta compartida no crea realmente el recurso compartido; hay que hacer esto manualmente en la pestaa Compartir de la ventana Propiedades de la unidad de disco o de la carpeta en la ventana del Explorador de Windows o en la ventana Mi PC. tambin se pueden crear objetos carpeta compartida para carpetas del Sistema de archivos distribuidos (DFS, Distributed File Sytem). Para crear un objeto carpeta compartida, hay que pulsar un objeto contenedor en Usuarios y equipos de Active Directory, escoger Nuevo en el men Accin y seleccionar Carpeta compartida. En el cuadro de dialogo Nuevo objeto, hay que especificar un nombre para el nuevo objeto a introducir la ruta de acceso UNC al recurso compartido. despus de que el administrador cree el objeto, es posible configurarlo utilizando las pestaas de la ventana Propiedades del objeto. Los permisos que se establecen en la pestaa Seguridad de la ventana Propiedades de la carpeta compartida no controlan el acceso a la propia carpeta compartida, solo al objeto carpeta compartida. Para acceder a la carpeta por medio de Active Directory, un usuario debe tener permiso para acceder tanto al recurso compartido como al objeto. Lo mismo es cierto para un objeto impresora.
Captulo 9
Publicacin de impresoras La creacin de objetos impresora permite a los usuarios acceder a las impresoras a travs de Active Directory prcticamente de la misma forma en que acceden a las carpetas compartidas. Un objeto impresora se crea como se hara con un objeto carpeta compartida, seleccionando un contenedor y escogiendo Nuevo\Impresora en el men Accin y especificando la ruta de acceso UNC a la impresora compartida. El administrador crea entonces el objeto, combinando el nombre del sistema anfitrin y el del recurso compartido para formar el nombre del objeto. Traslado, cambio de nombre y eliminacin de objetos Una vez que se han creado objetos en Active Directory, se puede utilizar Usuarios y equipos de Active Directory para remodelar el rbol en cualquier momento trasladando objetos a diferentes contenedores, cambindoles el nombre y eliminndolos. El men Accin de casi cualquier objeto Active Directory contiene un comando Mover, que abre un cuadro de dialogo en el que se puede buscar un contenedor donde situar el objeto. Tambin se pueden seleccionar varios objetos manteniendo presionada la tecla CTRL mientras se pulsa en ellos con el ratn y movindolos al mismo contenedor. Cuando se traslada un objeto contenedor a una nueva ubicacin, se trasladan automticamente todos los objetos incluidos en el contenedor al mismo tiempo y tambin se modifican las referencias a esos objetos en el resto de objetos de Active Directory. Si, por ejemplo, el Usuario X es un miembro del Grupo Y y se traslada la unidad organizativa que contiene el objeto usuario de X a una nueva ubicacin, X sigue siendo miembro de Y, y la lista de miembros del Grupo Y se actualiza automticamente para mostrar a X en su nueva ubicacin. De la misma forma, cuando se cambia el nombre de un objeto utilizando el comando Cambiar nombre del men Accin o pulsando sobre el objeto una vez, todas las referencias a ese objeto a lo largo de Active Directory Cambian para reflejar el nuevo nombre. Cuando se elimina un objeto contenedor, todos los objetos incluidos en el contenedor se eliminan tambin.
Captulo 10
Captulo 10
Sitios y servicios de Active Directory
Sitios y servicios de Active Directory es un complemento de Microsoft Management Console (MMC) que utilizan los administradores para crear y administrar los sitios que constituyen una red de Microsoft Windows 2000 y para establecer vnculos entre los sitios. Un sitio, en la terminologa de Active Directory, se define como un grupo de equipos de una o varias subredes de protocolo de Internet (Internet Protocol, IP) que estn bien conectadas. Una subred es una red que forma parte de otra red de mayor tamao. Bien conectadas significa que los sistemas comparten un transporte de red que proporciona comunicaciones de bajo coste y gran velocidad entre las mquinas y, generalmente, hace referencia a sistemas de una misma ubicacin que estn conectados mediante LAN. Los sistemas que no estn bien conectados son los que utilizan comunicaciones relativamente lentas y caras. Active Directory consta de uno o varios sitios, pero los sitios no forman parte de los espacios de nombres con los que se trabaja al crear la jerarqua de Active Directory. Al disear los rboles y los bosques para la instalacin de Active Directory, las fronteras entre bosques, rboles, dominios y unidades organizativas (OU) suelen estar motivadas por razones polticas. Por ejemplo, Active Directory en una gran empresa puede consistir en rboles diferentes correspondientes a divisiones de la empresa, dominios para los diferentes departamentos y OU para los grupos de trabajo. Los sitios, por otro lado, se basan siempre en ubicaciones geogrficas y en los tipos de conexiones existentes entre esas ubicaciones. A modo de ejemplo, supngase que una empresa imaginaria tiene dos divisiones, cada una de las cuales tiene su propia LAN de Fast Ethernet LAN a 100 Mbps. Si las dos divisiones se hallan en edificios diferentes de la misma instalacin, puede que tengan una conexin de fibra ptica de gran velocidad entre las dos LAN que tambin transmita a 100 Mbps. En este caso, dado que todos los equipos de las dos divisiones estn igual de bien conectados, se puede decir que forman un nico sitio. Si, por el contrario, las dos divisiones se hallaran en ciudades diferentes y estuvieran conectadas mediante un enlace T-1 a solo 1,544 Mbps, las divisiones formaran dos sitios diferentes ya que no todos los equipos de la red estaran igual de bien conectadas. Los sitios no aparecen como objetos en el espacio de nombres de Active Directory; se hallan apartados completamente de la jerarqua de bosques, rboles y dominios. Un sitio puede contener objetos de diferentes dominios, y los objetos de un dominio pueden estar repartidos entre sitios diferentes. La razn fundamental para dividir la red de una empresa en varios sitios es aprovechar las comunicaciones
Captulo 10
eficientes entre los sistemas bien conectados y regular el trfico por las conexiones mas lentas y caras. Ms concretamente, Active Directory utiliza los sitios durante la autenticacin y la rplica.
G
Autentificacin: Cuando un usuario inicia una sesin en la red desde una estacin de trabajo, el sistema lo autentifica siempre que sea posible con un controlador de dominio ubicado en el mismo sitio. Esto acelera el proceso de autentificacin y ayuda a reducir el trfico WAN. Rplica: Las actividades de rplica de los controladores de dominios que deben atravesar los limites de los sitios estn sometidas a condiciones especiales debido a la necesidad de utilizar las conexiones WAN.
Los sitios de Active Directory estn asociados a subredes IP concretas utilizadas por la red. Durante el proceso de autentificacin, la estacin de trabajo transmite informacin acerca de la subred en la que reside. Los controladores de dominios utilizan esta informacin para hallar los servidores de Active Directory de la misma subred que la estacin de trabajo. El uso de sitios durante la rplica es algo ms complejo. Cuando dos controladores de dominios se hallan en el mismo sitio, la rplica se realiza con toda la velocidad de la LAN, generalmente, de 10 a 100 Mbps. Por otro lado, es probable que dos controladores de dominios situados en edificios o en ciudades diferentes estn conectados mediante tecnologa WAN, que es mucho ms lenta y, tambin, mucho ms cara que la tecnologa LAN. Por tanto, maximizar la eficacia de las comunicaciones entre los sitios suele ser cuestin del momento y de la frecuencia de las rplicas que utilizan los vnculos WAN. Definicin de los objetos sitio Cuando se crea el primer controlador de dominio de Windows 2000 de la red, el Asistente para Active Directory crea el primer sitio, lo denomina Primer sitio predeterminado (se trata de su nombre verdadero) y lo asocia con el servidor que se acaba de promover. Se puede dejar este nombre o proporcionar a este sitio un nombre ms descriptivo si se desea. Si todos los servidores de Active Directory de la red van a estar ubicados lo bastante cerca unos de otros como para comunicarse mediante conexiones LAN no hace falta ningn sitio ms ni el complemento Sitios y servicios. A medida que se promueve cada servidor de la red a controlador de dominio, Active Directory lo aade al sitio y configura automticamente la topologa de rplica entre los servidores. Si se van a tener servidores en ubicaciones remotas, sin embargo, se pueden crear otros sitios utilizando Sitios y servicios de Active Directory. Al crear objetos subred y asociarlos con sitios concretos, se ofrece a Active Directory la informacin que necesita para aadir de manera automtica al sitio correspondiente a cada servidor que se promueve a controlador de dominio, de acuerdo con la subred en la que se halla la mquina. Si se desplaza un servidor a una ubicacin nueva en un sitio diferente, no obstante, hay que trasladar manualmente el objeto servidor al nuevo objeto sitio. Por tanto, si se piensa instalar y configurar un controlador` de dominio en la oficina principal y luego enviarlo a una ubicacin remota, hay que utilizar Sitios y servicios para desplazar el objeto al sitio correspondiente.
Captulo 10
Para desplazar un servidor a un sitio nuevo, hay que seguir el procedimiento siguiente: 1. 2. 3. 4. Hay que abrir Sitios y servicios de Active Directory. Hay que pulsar el signo ms (+) situado junto a Sitios para abrir la lista de los sitios disponibles. Para abrir la lista de servidores, hay que pulsar el sitio en que se halla actualmente el servidor. Hay que pulsar con el botn derecho del ratn el servidor que se desea desplazar y escoger Mover en el men de accesos directos. 5. En la ventana Mover Servidor, hay que seleccionar el nuevo sitio para el servidor y pulsar Aceptar. Objetos subred Active Directory utiliza los objetos subred para definir los limites de los sitios. Los objetos subred consisten en una direccin de red y en una mscara de subred utilizada por todos los equipos del sitio o por algunos de estos. Un sitio puede asociarse con varios objetos subred para que, si la red tiene varias subredes en una misma ubicacin, se puedan incluir todas en un solo sitio. En redes con dos o ms sitios, el Asistente para la instalacin de Active Directory necesita los objetos subred para ubicar los objetos servidor de los controladores de dominios recin promovidos en los sitios correctos. Sin los objetos subred, el Asistente puede crear el objeto servidor en el lugar equivocado. Si esto sucede, se puede desplazar de manera manual el objeto servidor hasta el sitio correspondiente. Objetos servidor Los objetos servidor son siempre secundarios de los objetos Sitio y los crea el Asistente para instalacin siempre que promueve un servidor de Windows 2000 a controlador de dominio. No hay que confundir los objetos servidor de Active Directory con los objetos equipo que tambin crea el asistente durante el proceso de promocin. Los dos, aunque relacionados, son objetos completamente diferentes con propsitos distintos. Se pueden crear objetos servidor de manera manual en el complemento Sitios y servicios, pero esto no debera ser necesario. Cuando la instalacin de Active Directory incluye dos o ms sitios, el Asistente para instalacin utiliza las subredes asociadas con los objetos sitio para determinar el sitio apropiado para el objeto servidor. Aunque no haya ningn sitio asociado con la subred utilizada por el nuevo controlador de dominio, el asistente crea el objeto servidor. Posteriormente hay que crear el sitio al que pertenece el servidor y desplazarlo hasta el o bien habr que crear un nuevo objeto subred y asociarlo con un sitio existente. Introduccin a la rplica de dominios La rplica es el proceso de copia de datos de Active Directory entre los controladores de dominio para asegurarse de que todos poseen la misma informacin. Las posibilidades de rplicacin con mltiples maestros de Windows 2000 hacen todo el proceso de rplica ms complejo que en Microsoft Windows NT. En las redes de Windows NT los servidores escriben en primer lugar todas las modificaciones de los
Captulo 10
directorios de dominio en el controlador de dominios principal, que luego propaga la informacin a los controladores de dominios de reserva. Este proceso es una rplicacin de un slo maestro. En Windows 2000 los administradores pueden modificar Active Directory escribiendo en cualquier controlador de dominio. Todos los controladores de dominios ejecutan eventos de rplica peridicos que copian las modificaciones en todos los dems controladores de dominios. El calendario y la topologa de estos eventos de rplica varia en funcin de si los controladores de dominios se hallan en el mismo sitio o en sitios diferentes.
Rplica intrasitios
La rplica entre controladores de dominios ubicados en el mismo sitio se denomina rplica intrasitios y es completamente automtica y autorregulada. Un mdulo denominado comprobador de la consistencia del conocimiento (Knowledge Consistency Checker, KCC) crea conexiones entre los controladores de dominios del sitio y activa los eventos de rplica siempre que se modifica la informacin de directorio de un controlador de dominio. Como se supone que todos los controladores de dominios del sitio estn bien conectados, el proceso de rplica esta diseado para conservar la latencia (es decir, el retraso entre la escritura en el directorio y su propagacin a los dems controladores de dominios) en un valor mnimo, incluso a costa de la anchura de banda de la red. El KCC crea de manera dinmica objetos conexin en Active Directory; cuando la comunicacin entre los controladores de dominios de un mismo sitio se interrumpe, el KCC crea de manera inmediata nuevas conexiones para asegurar el oportuno contacto entre los sistemas. Oportuno contacto en el interior de un sitio significa que ningn controlador de dominio se halla a ms de tres conexiones (o saltos) de cualquiera de los dems. Los administradores pueden crear objetos conexin adicionales, lo que puede mejorar la comunicacin entre los controladores y reducir aun ms la latencia mediante la reduccin del nmero mximo de saltos permitidos, pero este enfoque tambin aumenta los recursos del sistema utilizados por el proceso de rplica, incluidos los ciclos del procesador, los accesos al disco y la anchura de banda de la red. Como regla general, la topologa de rplicas en el interior de un sitio no necesita mantenimiento administrativo.
Rplica entre sitios
Cuando se crean varios sitios en Active Directory, los controladores de dominios dan por supuesto que las conexiones de red entre los sitios son ms lentas que las establecidas en su interior, ms caras o ambas cosas. En consecuencia, los controladores de dominios utilizan la rplica entre sitios para intentar minimizar el trfico de rplica entre los sitios y para proporcionar a los administradores una topologa de rplica mucho ms flexible. Cuando hay controladores de dominios en varios sitios, Active Directory sigue creando una topologa de rplica predeterminada de manera automtica durante el proceso de instalacin. Sin embargo, hay varias diferencias entre los modelos de rplica predeterminados de las topologas en el interior de un sitio y entre sitios. Entre esas diferencias estn las siguientes:
Captulo 10
G
Nmero de conexiones: El KCC sigue creando de manera automtica conexiones entre los controladores de dominios de los diferentes sitios, pero crea menos. Entre sitios no se tiene en cuenta la regla del mximo de tres saltos con objeto de minimizar el ancho de banda utilizado. Calendario de rplicas: Las actividades de rplica en el interior de un sitio se activan por cambios en la base de datos de Active Directory de los controladores de dominios. La rplica entre sitios tiene lugar a la hora y con el intervalo previstos. Los administradores pueden personalizar el calendario para aprovechar los momentos en que el trfico es bajo y el ancho de banda resulta menos caro. Compresin: Los controladores de dominios transmiten los datos de rplica en el interior de los sitios sin comprimirlos, con lo que le ahorran al procesador los ciclos necesarios para descomprimirlos en destino. El trfico entre sitios se transmite siempre comprimido para conservar el ancho de banda.
Una de las funciones principales del complemento Sitios y servicios es la configuracin del modelo de rplica entre los sitios. Para ello hay que crear objetos de vnculos a sitios y puentes de vnculos a sitios que especifiquen el modo y el momento de transmisin de los datos de rplica entre los sitios. Inicio de Sitios y servicios La herramienta Sitios y servicios es un complemento estndar de la aplicacin MMC que se inicia seleccionando Sitios y servicios de Active Directory en Herramientas Administrativas del grupo Programas del men Inicio. El modulo del complemento se denomina Dssite.msc; tambin se puede iniciar Sitios y servicios ejecutando ese nombre de archivo desde la lnea de comandos o desde el cuadro de dialogo Ejecutar.
Examen de los objetos de rplica
La interfaz de Sitios y servicios utiliza los mismos paneles del rbol de consola y de resultados que gran parte de las dems herramientas administrativas de Active Directory. El contenedor Sites del rbol de la consola contiene el objeto Nombre-Predeterminado-Primer-Sitio creado de manera automtica por la instalacin de Active Directory y otros dos contenedores denominados Inter-Site Transports y Subnets. Cuando se crean mas sitios, aparecen como objetos diferentes en el contenedor Sites. Los objetos creados
Captulo 10
por los administradores aparecen en el contenedor bajo el epgrafe Sites, los objetos subred en el contenedor Subnets y los objetos de vnculos a sitios y de puentes de vnculos a sitios en el contenedor Inter-Site Transports.
Creacin de los objetos sitio
La creacin de mas objetos sitio en Active Directory slo es cosa de pulsar el contenedor Sites con el botn derecho del ratn y escoger Nuevo Sitio en el men de contexto. Cuando aparezca el cuadro de dialogo Nuevo objeto - Sitio hay que darle un nombre al objeto sitio y seleccionar el vnculo a sitios que debe utilizar para definir el mecanismo de transporte del sitio. El Asistente para instalacin de Active Directory crea el objeto Defaultipsitelink durante el proceso de instalacin, por lo que este objeto siempre est disponible si no se ha creado todava ningn otro vnculo a sitios. Despus de crear el objeto sitio, se le pueden introducir los objetos servidor y asociarlos con las subredes en que se hallan. Examen de las propiedades de los objetos sitio: Cada objeto sitio de Active Directory tiene un contenedor Servers que guarda los objetos que representan los servidores del sitio, un objeto Licensing Site Settings y un objeto NTDS Settings. La ventana Propiedades del objeto sitio permite especificar una descripcin del sitio y de su ubicacin, as como contener las fichas estndar Objeto, Seguridad y Directiva de grupo que se hallan en la ventana equivalente de tantos otros objetos de Active Directory. El objeto Licensing Site Settings especifica el equipo y el dominio que conceden la licencia al sitio. En la ventana Propiedades del objeto NTDS Settings, se puede desactivar la generacin automtica por KCC de una topologa de rplicas en el mismo sitio, entre ese sitio y otros o de ambos modos. Si se desea configurar manualmente el comportamiento de rplica de un sitio, se pueden activar estas opciones, pero suele resultar innecesario. Se pueden crear mas conexiones para complementar las creadas por KCC y configurar el comportamiento de rplica del sitio de otra manera sin desactivar su funcionalidad primordial.
Captulo 10
Creacin de objetos servidor y conexin
Los objetos servidor se crean durante la instalacin de Active Directory en cada controlador de dominio, en el sitio asociado con la subred en que se halla el servidor. Cada objeto servidor contiene un objeto NTDS Settings que, a su vez, contiene los objetos que representan las conexiones de ese servidor con otros controladores de dominios de la red. Estas conexiones deben existir para que los controladores de dominios repliquen los datos de su Active Directory. Todas las conexiones, tanto las creadas automticamente por KCC como las creadas manualmente por un administrador, aparecen como objetos asociados con un servidor. Un objeto conexin es un camino unidireccional hasta otro controlador de dominio de la red, bien se halle en el mismo sitio o en uno distinto. Para que el trfico de rplica se realice en los dos sentidos debe haber objetos conexin para cada uno de los servidores. El KCC crea de manera automtica objetos conexin que aseguran la rplica continua de los datos de Active Directory a todos los controladores de dominios en funcionamiento de cada dominio. Cuando la situacin de la red se modifica como ocurre cuando cae un controlador de dominio y eso obliga a que el trfico de rplica entre otros dos controladores de dominios cualesquiera del sitio recorra ms de dos saltos-, el KCC crea nuevos objetos conexin para reducir ese recorrido del trfico a tres saltos o a menos. Cuando el controlador de dominio que no funcionaba vuelve a estar operativo, el KCC puede eliminar los objetos conexin para devolver el trfico de rplica a su topologa recomendada. Normalmente, la nica razn por la que hay que crear manualmente objetos conexin es la personalizacin de la topologa de rplica de la red. Si, por ejemplo, se desea que las actividades de rplica slo tengan lugar a unas horas dadas, se puede crear un objeto conexin y configurar su calendario. tambin se pueden crear objetos conexin para disminuir el nmero de saltos entre determinados controladores de dominios. La principal diferencia entre los objetos conexin creados manualmente y los creados por el KCC es que los objetos creados manualmente siguen en su sitio hasta que se eliminan manualmente; el KCC no los elimina independientemente de la manera en que cambie la topologa de rplica. Los objetos conexin creados por el KCC, sin embargo, se eliminan de manera automtica cuando se modifica la topologa de
Captulo 10
rplica. Para crear un objeto conexin: 1. Hay que pulsar con el botn derecho del ratn el objeto NTDS Settings de un servidor en el rbol Sitios y servicios de la consola y escoger Nueva conexin de Active Directory en el men de accesos directos. Esto hace que aparezca el cuadro de dialogo Buscar controladores de dominio. 2. Hay que seleccionar el controlador de dominio para el que se desea crear una conexin y pulsar Aceptar para abrir el cuadro de dilogo Nuevo objeto - conexin. 3. Hay que darle un nombre a la nueva conexin y pulsar Aceptar. El programa aade un objeto conexin al panel de detalles. La ventana Propiedades de los objetos conexin contiene la conocida ficha Objeto, la ficha Seguridad y una ficha conexin de Active Directory. En esta ficha se puede escribir una expresin descriptiva de la conexin, seleccionar el modo de transporte de los mensajes de rplica (IP, RPC o SMTP) y programar los eventos de rplica. El cuadro de dialogo que aparece cuando se pulse el botn Cambiar programacin permite especificar las horas del da en que debe tener lugar la rplica y el intervalo entre los eventos de rplica (una, dos o cuatro veces por hora). Hay que tener en cuenta que esta conexin solo controla los mensajes de rplica que viajan desde el servidor bajo el que aparece el objeto hasta el servidor seleccionado como destino al crear el objeto. El trfico en el otro sentido lo controla el objeto conexin del otro servidor (si es que existe).
Creacin de objetos subred
El contenedor Subnets es el lugar en que los administradores crean los objetos que representan las subredes IP de la red y las asocian con objetos sitio concretos. Cuando se promueve el primer servidor a controlador de dominio, el Asistente para instalacin de Active Directory crea un sitio y ubica el objeto servidor en ese sitio. Si se crean ms sitios, se utilizan los objetos subred para asegurar que cada controlador de dominio que se instale posteriormente se situ en el sitio adecuado. Durante el proceso de promocin, el asistente identifica la subred en la que reside el servidor y busca en Active Directory el objeto subred correspondiente. Cuando el asistente halla el objeto subred, lee sus propiedades para determinar el sitio con el que esta asociada esa subred y crea en el el nuevo objeto servidor. Los objetos subred no resultan esenciales para la topologa de rplicas de Active Directory. Se pueden crear sitios y desplazar a ellos manualmente los objetos servidor. Sin embargo, si se van a instalar muchos servidores, los objetos subred automatizan la construccin de la topologa de rplicas y hacen ms manejable todo el proceso de implantacin del sitio. Para crear un objeto subred, hay que seguir este procedimiento:
Captulo 10
1. Hay que pulsar el contenedor Subnets con el botn derecho del ratn en el rbol de la consola del complemento Sitios y servicios y escoger Nueva subred en el men de accesos directos. 2. En el cuadro de dialogo Nuevo objeto - Subred hay que escribir el nombre del objeto, que debe ser la direccin y la mscara de red de la subred. 3. Hay que seleccionar el sitio con el que la subred va a estar asociada y pulsar Aceptar. A este sitio se aadir de manera automtica cualquier servidor de la subred que se promueva a controlador de dominio. Se pueden asociar varias subredes con un solo sitio para soportar una red de prcticamente cualquier tamao.
Creacin de objetos vnculo a sitios
El contenedor Inter-Site Transports es el lugar donde se crean los objetos vnculo a sitios y puente de vnculos a sitios que determinan el modo en que se transmite entre los sitios el trfico de rplicas. Dos contenedores de Inter-Site Transports representan los dos protocolos de transporte soportados por Active Directory: IP y el protocolo sencillo de transporte de correo (Simple Mail Transport Protocol, SMTP). Los objetos vnculo a sitios representan el mecanismo WAN utilizado para transmitir los datos entre los dos sitios, como puede ser una conexin T1 alquilada o un soporte con modo de transferencia asncrono (Asynchronous Transfer Mode, ATM) en el caso IP, o cualquier medio por el que los sistemas enven correo electrnico utilizando SMTP Active Directory crea un objeto vnculo a sitios predeterminado, denominado Defaultipsitelink, cuando crea el primer sitio de la red durante la promocin del primer servidor a controlador de dominio. Si todos los sitios estn vinculados utilizando tecnologas con la misma velocidad, no hace falta crear mas vnculos a sitios. Cuando se tienen diferentes tecnologas en las conexiones entre los sitios, sin embargo, hay que crear varios objetos vnculo a sitios para tener diferentes programas de rplicas para cada una de ellas. Al crear un objeto vnculo a sitios, hay que seleccionar dos o mas sitios que estn conectados por el mecanismo de transporte y especificar un valor para el coste del enlace. El valor del coste permite asignar prioridades a las diferentes conexiones WAN en funcin de sus velocidades relativas. Un mayor valor del coste indica que la conexin es mas caro de utilizar y el KCC programa, en consecuencia, rplicas menos frecuentes en las conexiones entre esos dos sitios. Cada incremento en el valor del coste representa quince minutos en el programa de rplicas. Un valor de coste de tres, por ejemplo, hara que la rplica tuviera lugar cada cuarenta y cinco minutos. Para crear un objeto vnculo a sitios, hay que seguir este procedimiento: 1. Hay que pulsar con el botn derecho del ratn el transporte IP o SMTP en el rbol de la consola de Sitios y servicios y escoger Nuevo vnculo a sitios en el men de accesos directos. 2. En el cuadro de dialogo Nuevo objeto - Vnculo de sitio, hay que especificar el nombre del objeto y seleccionar los sitios que conecta el enlace. Si el enlace va a representar una conexin punto a punto como las de tipo T1, hay que seleccionar solo dos sitios. Para tecnologas como los soportes
Captulo 10
ATM, que pueden conectar varios sitios, hay que seleccionar ms de dos objetos sitio. Cuando el objeto vnculo a sitios conecta mas de dos objetos sitio, se puede suponer que cualquiera de los sitios escogidos puede transmitir a cualquier otro. 3. Hay que pulsar el botn Aceptar y el administrador crea el objeto de vnculo. Los objetos vnculo a sitios no pueden encaminar el trfico de rplicas. Esto significa que, si un vnculo a sitios conecta el sitio A con el sitio B y otro enlace conecta el sitio B con el C, el sitio A no puede transmitir al C. Para que esto suceda, hay que crear un puente de vnculos a sitios. Configuracin de los vnculos a Sitios: Hay que pulsar el nuevo objeto de vnculo con el botn derecho del ratn y seleccionar Propiedades pare configurar sus propiedades. La ventana Propiedades de los objetos de vnculos a sitios contiene las fichas estndar Objeto y Seguridad, as como una ficha General, en la que se puede aportar una descripcin del objeto y especificar los sitios conectados por el vnculo. Se pueden aadir nuevo sitios al enlace despus de crear el objeto si es necesario. La ficha General tambin contiene campos con los que especificar el coste del enlace (desde 1 hasta 32.767) y el intervalo entre los eventos de rplica (desde 15 hasta 10.080 minutos). Pulsar el botn Cambiar programacin permite especificar periodos de tiempo en los que las rplicas estn autorizadas o prohibidas. Si se desea limitar las actividades de rplicas a las horas de menor trfico, por ejemplo, se puede especificar que los eventos de rplica no tengan lugar entre las 9 A.M. y las 5 P.M. El KCC observa los limites de calendario del objeto vnculo a sitios cuando crea de manera dinmica conexiones entre los controladores de dominios. Aunque el valor del coste determina el intervalo entre los eventos de rplica, se puede ajustar la frecuencia de las rplicas utilizando el selector Rplicar cada de la ficha General de la ventana Propiedades de los vnculos a sitios. Si los clientes reciben de manera habitual informacin de directorio incorrecto de los controladores de dominios, hay que aumentar la frecuencia de las rplicas.
Creacin de objetos de puentes de vnculos a sitios
Los objetos de puentes de vnculos a sitios actan de manera similar a los vnculos a sitios, salvo que, en lugar de agrupar sitios, agrupan vnculos a sitios. Un objeto de puente de vnculos a sitios suele representar un enrutador de la infraestructura de la red. Se crean objetos de puentes de vnculos a sitios para permitir el encaminamiento del trfico de rplicas entre los sitios enlazados. Cuando se crea un puente de vnculos a sitios que contiene dos enlaces que conectan el sitio A con el sitio B y el sitio B con el C, el puente permite que el sitio A transmita los datos de rplica al sitio C a travs del sitio B. El procedimiento para crear un objeto de puente de vnculos a sitios es prcticamente idntico al de la creacin de objetos de vnculos a sitios, salvo que se seleccionan dos o ms vnculos a sitios en lugar de seleccionarse sitios. No hace falta especificar el coste de enrutamiento para los puentes de vnculos a
Captulo 10
sitios porque Active Directory lo calcula de manera automtica sumando los costes de enrutamiento de todos los sitios del puente. Por tanto, un objeto de puente de vnculos a sitios que contenga dos sitios con costes de enrutamiento de tres y de cuatro tendr un coste de enrutamiento de siete.
El esquema de Active Directory

El esquema es el sello de Active Directory, lo que indica el tipo de objetos que puede haber en la base de datos y sus atributos. Para personalizar Active Directory para su uso en la red, se puede modificar el esquema para crear nuevos tipos de objetos, aadir nuevos atributos a los tipos de objetos existentes y modificar el tipo de informacin includa en un atributo. Para ello hay que utilizar el complemento de MMC denominado Esquema de Active Directory. La modificacin del esquema es una tarea que, por lo general, los administradores no tienen que realizar nunca. Como mucho, se llega a modificar el esquema de manera ocasional o, quizs, solo una vez. Las modificaciones del esquema son objeto de las mismas advertencias que las modificaciones del registro del sistema de Windows 2000, salvo que a mayor escala. Igual que las modificaciones inadecuadas del registro pueden afectar negativamente a un solo sistema, las modificaciones inadecuadas del esquema pueden tener un efecto devastador en toda la red. Examen de la seguridad del esquema Como la modificacin del esquema de Active Directory no es algo que se deba hacer a tontas y a locas, Windows 2000 utiliza varios mecanismos de seguridad para evitar que se modifique el esquema de modo accidental o sin que existan buenas razones para ello. Solo se puede modificar el esquema cuando se hayan satisfecho los requisitos de los tres mecanismos de seguridad.
Permisos de administrador del esquema
Para modificar el esquema hay que haber iniciado la sesin en un servidor o estacin de trabajo de Windows 2000 utilizando una cuenta que pertenezca al grupo Administradores de esquema. Se trata de un grupo intrnseco que se crea durante la instalacin de Active Directory y concede a sus componentes el permiso para escribir en el objeto esquema. La cuenta del administrador pasa a formar parte de manera automtica del grupo Administradores de esquema. Los usuarios que no forman parte de este grupo tambin pueden modificar el esquema si algn administrador les ha concedido los permisos correspondientes para el objeto esquema.
Operaciones del esquema flexibles de un solo maestro
Active Directory utiliza un sistema de rplica de varios maestros para las modificaciones del contenido de la base de datos, pero para las modificaciones del esquema utiliza un sistema de un nico maestro. Esto significa que solo un controlador de dominio puede modificar el esquema en cada momento. A diferencia de la mayora de los modelos de rplica de maestro nico, que exigen que todas las
Captulo 10
modificaciones se escriban en un sistema determinado y que se copien con posterioridad a las dems rplicas, los administradores pueden modificar el esquema de Active Directory desde cualquier controlador de dominio. El mecanismo que hace posible esto se denomina operaciones del esquema flexibles de un solo maestro. Mientras un administrador modifica el esquema en un controlador de dominio, se deniegan las solicitudes de acceso para escritura al esquema en todos los otros controladores de dominios.
Acceso al esquema solo para lectura
Finalmente, todos los controladores de dominios se configuran de manera predeterminada durante la instalacin de Active Directory para que permitan el acceso al esquema slo para lectura. Para permitir el acceso para escritura, hay que crear una entrada nueva en el Registro. Hay que explorar esta clave utilizando uno de los editores del Registro de Windows 2000 (Regedit.exe o Regedt32.exe): HKEY_LOCAL_MACHINE \System \Current Control ser \Services \NTDS \Parameters Hay que crear una nueva entrada DWORD denominada Schema Update Allowed. Hay que asignar a la entrada un valor de 1 para permitir el acceso de escritura. Hay que cambiar el valor a 0 para volver a desactivar el acceso para escritura despus de haber completado las modificaciones. Inicio del Esquema de Active Directory Debido a su uso poco frecuente y al riesgo potencial que supone, el Administrador del esquema se halla separado dos pasos del men Herramientas administrativas Aunque al instalar Active Directory se instalan algunas Herramientas Administrativas, es posible que Esquema de Active Directory no se haya instalado). Para examinar o modificar el esquema, hay que instalar antes todas las Herramientas administrativas. Luego hay que ejecutar el complemento Esquema de Active Directory en una consola MMC. 1. Inicie la sesin como administrador.
Captulo 10
2. Inserte el disco compacto de Windows 2000 Server en la unidad de CD-ROM y, a continuacin, haga clic en Explorar este CD. 3. Haga doble clic en la carpeta I386, haga doble clic en Adminpak y, a continuacin, siga las instrucciones que aparecen en el Asistente para instalacin de herramientas de administracin de Windows 2000. 4. Haga clic en Inicio y en Ejecutar, escriba mmc /a (en modo autor) y, a continuacin, haga clic en Aceptar. 5. Hay que seleccionar Agregar o guitar complemento en el men Consola. 6. Hay que pulsar el botn Agregar y seleccionar Esquema de Active Directory en la lista de complementos que se proporciona. Una vez cargado el complemento, se puede guardar la pantalla de la consola en un archivo para proporcionar un acceso sencillo al complemento en un futuro. Cuando se abra el panel de vistas, se podrn ver dos contenedores en el rbol de la consola que guardan las clases y los atributos de los objetos que configuran esas clases. Al destacar cualquiera de esos dos contenedores, aparecen las clases o los atributos de Active Directory en el panel de resultados. No obstante, antes de modificar el esquema conviene asegurarse de que el complemento esquema tiene acceso a la base de datos de Active Directory en el controlador de dominio que acta como principal en ese momento (es decir, el controlador de dominio en el que se permite acceso para escritura). Para determinar el controlador de dominio al que se tiene acceso en un momento dado, hay que seguir el procedimiento siguiente: 1. Hay que seleccionar Esquema de Active Directory y escoger Cambiar el controlador de dominio en el men contextual. En el cuadro de dialogo Cambiar el controlador de dominio, se puede ver el controlador de dominio vigente y se puede cambiar el foco a cualquier otro controlador de dominio o especificar uno concreto. 2. Hay que pulsar con el botn derecho del ratn el objeto Esquema de Active Directory del rbol de la consola y escoger Maestro de operaciones en el men contextual. 3. En el cuadro de dialogo Cambiar el maestro de esquema, se puede ver el controlador de
Captulo 10
dominio que acta como maestro de operaciones y especificar si se puede modificar el esquema en ese sistema. Para cambiar el esquema, hay que cambiar la rplica principal al controlador de dominio que se esta utilizando o cambiar la rplica que se esta empleando al maestro.
Modificacin del esquema
El proceso de modificacin del esquema de Active Directory implica la creacin o modificacin de las clases y los tipos de atributos de los objetos que aparecen en el Administrador del esquema. Las clases son fundamentalmente conjuntos de atributos que forman un tipo de objeto de Active Directory por si mismos o contribuyen con determinados atributos a otros tipos de objetos. Este ultimo caso se conoce como clase auxiliar. Para aadir atributos a un tipo de objeto ya existente, el mejor mtodo es crear una clase nueva que contenga los nuevos atributos y aadirla al tipo de objeto como clase auxiliar. Este mtodo es mas manejable y menos arriesgado que la modificacin de las clases que representan al propio tipo de objeto. Puede que los productos de software de otros fabricantes proporcionen sus propias modificaciones del esquema que creen tipos de objetos completamente nuevos, pero la adicin de atributos a tipos de objetos ya existentes es la forma mas frecuente de modificacin del esquema llevada a cabo manualmente por los administradores -por ejemplo, la adicin de atributos al tipo de objeto de usuario que permite guardar informacin adicional relativa al usuario en Active Directory-. Este proceso, relativamente sencillo, consta de los pasos que se describen a continuacin, que se examinaran con ms detalle en apartados posteriores.
G
G G
Creacin de nuevos objetos atributo correspondientes a los campos de informacin que se desea aadir al objeto. Creacin de un nuevo objeto clase para utilizarlo como clase auxiliar del tipo de objeto ya existente. adicin de los atributos recin creados a la nueva clase auxiliar. adicin de la clase auxiliar a la clase objeto ya existente.
Creacin de atributos
La creacin de atributos es cuestin de proporcionar un nombre mediante el cual se identificara al atributo y de especificar el tipo de datos que se va a guardar en l. Los datos pueden ser numricos o de texto y se pueden aplicar restricciones que los limiten a una longitud o a un valor concretos. Por ejemplo, para aadir un atributo que guarde el nmero de la seguridad social del usuario, se especificara que los datos del atributo deben estar en forma de nmero entero y limitados a nueve cifras. Para crear un objeto atributo hay que seguir este procedimiento:
Captulo 10
1. Hay que pulsar con el botn derecho del ratn el contenedor Atributos del rbol de la consola del Administrador del esquema y escoger Crear atributo en el men contextual. Esto hace aparecer al cuadro de dialogo Crear atributo nuevo. 2. En el cuadro Identificacin, hay que especificar el nombre del nuevo objeto. G Nombre comn debe contener el nombre con el que aparecer el atributo en los cuadros de dialogo estndar. G Nombre LDAP para mostrar debe contener el nombre por el que se conocer en la jerarqua de directorios LDAP (LDAP es el acrnimo de Lightweight Directory Access Protocol, Protocolo de compacto de acceso a directorios.) A menudo, los dos nombres sern iguales. G Id. de objeto X500 nico debe contener una cadena de caracteres numrica que identifique de manera univoca al objeto atributo en el espacio de nombres X.500. Los organismos de normalizacin, como la Unin International de Comunicaciones, emiten Id. de objeto (OID, Object ID) para asegurar que tengan valores nicos. 3. En el cuadro Sintaxis a intervalo hay que definir la naturaleza de los datos que se vayan a guardar en el atributo. G Sintaxis ofrece mas de una docena de opciones que definen el tipo de informacin que puede guardarse en los atributos. G Mnimo y Mximo permiten definir el rango de valores posibles. Tambin se puede especificar si el atributo debe poder tomar varios valores. 4. Hay que pulsar el botn Aceptar y el administrador creara el nuevo objeto atributo. No hay que intentar inventar OID. Aunque se ejecute Active Directory en una red aislada es muy fcil asignar un OID a un atributo o a una clase nuevos que duplique alguno de los cientos de OID ya asignados a los objetos de Active Directory. Hay que configurar el nuevo objeto atributo (o cualquier otro) abriendo la ventana Propiedades desde el men de contexto. Desde esta ventana se puede especificar una descripcin del objeto, modificar el rango de valores posibles y activar cualquiera de las opciones siguientes:
Captulo 10
G G G G G G
Mostrar los objetos de la misma clase al explorar. Desactivar el atributo. Incluir el atributo en el ndice de Active Directory. La resolucin de nombres ambiguos (Ambiguous Name resolucin, ANR). Rplicar el atributo en el Catalogo Global (Global Catalog, GC). Copiar el atributo al duplicar un usuario.
Creacin de clases de objetos
Los objetos atributo en si mismos son intiles hasta que forman parte de una clase de objetos. Los objetos atributo creados se pueden aadir a una clase ya existente, pero suele resultar mas practico crear un nuevo objeto clase para ellos. Para crear un objeto clase, hay que pulsar con el botn derecho del ratn el contenedor Clases del complemento Esquema y escoger Crear clase en el men contextual. Al igual que ocurre con los objetos atributo, en primer lugar hay que especificar un nombre comn, un nombre LDAP para mostrar y un Id. de objeto X.500 nico. Luego, en el cuadro Herencia y tipo, hay que especificar la clase primaria del objeto nuevo (es decir, la clase de la que debe obtenerse el objeto nuevo) y escoger uno de los tipos de clase siguientes:
G
Clase estructural: Los objetos de directorio con los que se trabaja habitualmente en programas como el Administrador de Active Directory. Un objeto de clase estructural puede tener come, objeto primario una clase abstracta a otra clase estructural. Clase abstracta: Son los objetos de los que se obtienen los objetos de clase estructural. tambin se puede especificar una clase abstracta ya existente como primario de los objetos nuevos de clase abstracta. Clase auxiliar: Los conjuntos de atributos que se pueden aadir tanto a los objetos de clase abstracta como a los de clase estructural para aumentar sus capacidades. Los objetos de clase auxiliar nuevos solo pueden obtenerse de una clase abstracta.
Para guardar los atributos nuevos conviene crear un tipo de clase auxiliar
Adicin de atributos a las clases
Despus de crear los objetos atributo y el objeto clase que los vaya a contener, hay que aadir los atributos a la clase. Esto se lleva a cabo abriendo la ventana Propiedades del objeto clase recin creado. La ventana de los objetos clase tiene cuatro fichas, incluida la ficha Seguridad estndar. En la ficha General, hay que escribir una descripcin del objeto y especificar si la clase objeto debe ser visible al explorar. tambin se puede desactivar el objeto seleccionando la casilla de verificacin Desactivar esta clase. En la ficha Atributos, hay que aadir a la clase los objetos atributo recin creados pulsando el botn Agregar de la lista Obligatorio o el de la lista Opcional y seleccionando los objetos por su nombre.
Captulo 10
Cuando un atributo sea obligatorio, hay que asignarle un valor al crear un objeto nuevo de esa clase. Si, por ejemplo, se crea un atributo nmero de la seguridad social, hay que aadirlo a la clase auxiliar como atributo obligatorio y luego aadir la clase auxiliar a la clase usuario; la prxima vez que se cree un nuevo objeto usuario, se exigir un nmero de seguridad social para el usuario. No se exige ningn valor para los atributos opcionales.
Adicin de clases auxiliares a las clases estructurales
Los objetos de clases auxiliares no pueden guardar informacin de los atributos hasta haberse aadido a un objeto de clase estructural, como puede ser un usuario o un equipo. Para ello, hay que abrir la ventana Propiedades del objeto de clase estructural y seleccionar la ficha Relacin. En esta ficha, hay que pulsar el botn Agregar de la lista Clases auxiliares y seleccionar el objeto clase que se acaba de crear. Esto hace que Active Directory aada los atributos de la clase auxiliar a la clase estructural. En la lista Superior posible, hay que especificar las otras clases de objetos que pueden contener esa clase de objetos. Por ejemplo, la clase de objetos usuario tiene en su lista Superior posible la clase de objetos unidad organizativa, lo que permite la creacin de usuarios nuevos en las OU. Lo contrario no se cumple, sin embargo; no se puede crear una OU por debajo de un usuario, por lo que los objetos usuarios no son superiores posibles de los objetos OU. Introduccin a las funciones de maestros de operaciones Los controladores de dominios deben manejar cinco funciones de maestros de operaciones en cada bosque de Active Directory. Algunas de las funciones de maestros de operaciones resultan fundamentales para la red y, si la mquina que los facilita falla, se pondr de manifiesto inmediatamente. Otras pueden no estar disponibles durante mucho tiempo sin que ni el operador ni los usuarios se den cuenta. Las funciones son las siguientes:
G
G G G
Emulador del controlador principal de dominio (PDC, Primary Domain Controller): acta como el controlador principal de dominio de Windows NT en los dominios que tienen controladores de dominio secundarios de Windows NT o que tienen equipos sin el software cliente de Windows 2000. Maestro de esquema: Controla todas las actualizaciones y modificaciones del esquema. Maestro de nombres de dominio: Controla la adicin o eliminacin de dominios. Maestro de identificadores relativos (RID, Relative Identifier): Asigna ID relativos cada controlador de dominio. Maestro de infraestructuras: Actualiza los cambios en las referencias de grupo a usuario cuando se modifican las pertenencias a los grupos.
Generalmente no hay motivo para interferir en los maestros de operaciones. La transferencia de funciones resulta relativamente trivial. Se realiza una transferencia cuando el titular original de la funcin est disponible. En circunstancias graves, cuando el controlador que posee la funcin no esta disponible,
Captulo 10
se puede tomar una funcin, pero se trata de una medida drstica y no se debe adoptar a la ligera. En todos los casos, salvo con el emulador PDC, cuando se toma una funcin de maestro de operaciones (en lugar de transferirla), no se debe reactivar al titular original de la funcin tomada sin volver a dar formato completo al disco de inicio y reinstalar Windows 2000. Los siguientes apartados explican con mas detalle las funciones de maestros de operaciones.
El emulador del controlador principal de dominio
A1 actualizar un dominio de Windows NT, solo un controlador de dominio puede crear cuentas de usuario, de grupo y de equipo -el fundamento de la seguridad-. Este controlador de dominio de Windows 2000 se configura como maestro de operaciones PDC y emula a los controladores principales de dominios de Windows NT. El emulador PDC soporta los protocolos Kerberos y NTLM, lo que permite que los controladores de dominios de Windows NT se sincronicen con los entornos de Windows 2000 que se ejecutan en modo mixto. Cada dominio debe tener un controlador de dominio que acte como emulador de PDC mientras ese dominio contenga clientes sin software cliente de Windows 2000 o controladores secundarios de dominios de Windows NT. Que el controlador que acta como emulador PDC no este disponible afecta a los usuarios porque la propia red queda afectada. Por tanto, si se sabe que el controlador que acta como emulador PDC no va a estar disponible, hay que transferir esa funcin. Transferencia del emulador PDC: Para transferir la funcin de emulador PDC, hay que seguir el procedimiento siguiente: 1. Hay que elegir Usuarios y equipos de Active Directory en el men Herramientas administrativas. 2. Hay que pulsar con el botn derecho del ratn el nodo del dominio y escoger Conectar con el controlador de dominio en el men de accesos directos. 3. Hay que seleccionar el controlador de dominio al que se desea atribuir la funcin de emulador PDC y pulsar Aceptar. 4. Hay que pulsar el nodo del dominio con el botn derecho del ratn y escoger Maestro de operaciones en el men de accesos directos. Hay que pulsar la ficha PDC para ver el foco actual (el controlador que pasara a ser emulador PDC) y el controlador que es el maestro de operaciones actual. 5. Hay que pulsar Cambiar y Aceptar. Toma del emulador PDC: Si el emulador PDC deja de estar disponible de manera inesperada y no se puede volver a poner en servicio rpidamente, hay que forzar a otro controlador de dominio para que tome su funcin. Para tomar el emulador PDC, hay que seguir el procedimiento siguiente: Para asumir la funcin de maestro de nombres de dominio 1. Haga clic en Inicio y Ejecutar, y despus escriba cmd.
Captulo 10
2. 3. 4. 5. 6. 7. 8. 9.
En el smbolo del sistema, escriba ntdsutil. En el smbolo del sistema de ntdsutil, escriba roles. En el smbolo del sistema fsmo maintenance, escriba connections. En el smbolo del sistema server connections, escriba connect to server, seguido del nombre de dominio completo. En el smbolo del sistema server connections , escriba quit. En el smbolo del sistema fsmo maintenance, escriba seize domain naming master. En el smbolo del sistema fsmo maintenance , escriba quit. En el smbolo del sistema de ntdsutil, escriba quit. Asumir la funcin de maestro de nombres de dominio es un paso drstico que nicamente se debe considerar si el servidor de operaciones actual nunca va a volver a estar disponible. Antes de asumir esta funcin, quite el servidor principal de operaciones actual de la red y compruebe que el nuevo servidor principal de operaciones est actualizado. Para obtener ms informacin acerca de las operaciones con un slo servidor principal, consulte los temas relacionados.
Cuando el emulador PDC original vuelve a estar disponible, se puede utilizar el mismo procedimiento para devolverle la funcin de emulador PDC.
Maestro de esquema
No puede resultar una sorpresa que el maestro de esquema maneje todas las actualizaciones del esquema. Solo existe un maestro de esquema en todo el bosque. El maestro de esquema se asigna al primer controlador de dominio del dominio y permanece all a menos que se cambie. Como las modificaciones del esquema son poco frecuentes, el maestro de esquema puede no estar operativo durante un amplio periodo de tiempo sin que ello afecte a los usuarios. Transferencia del maestro de esquema: Para transferir la funcin de maestro de esquema, hay que seguir el procedimiento siguiente: 1. Hay que abrir el complemento Esquema de Active Directory. 2. Hay que pulsar con el botn derecho del ratn en Esquema de Active Directory en la ventana de la consola y escoger Cambiar el controlador de dominio. Hay que cambiar el foco al controlador que vaya a asumir la funcin de maestro de esquema. 3. Hay que pulsar con el botn derecho del ratn en Esquema de Active Directory en la ventana de la consola y escoger Maestro de operaciones en el men de accesos directos. Hay que pulsar el botn Cambiar y Aceptar. Toma del maestro de esquema: No hay que tomar el maestro de esquema a menos que no queden
Captulo 10
esperanzas de volver a poner en servicio el controlador original. Antes de tomar la funcin de maestro de esquema, el maestro de esquema original debe estar desconectado de la red. Para tomar la funcin de maestro de esquema, hay que seguir el procedimiento siguiente: 1. Hay que escoger Ejecutar en el men Inicio (o abrir una ventana de comandos), escribir ntdsutil y pulsar INTRO. 2. A cada peticin, hay que facilitar la siguiente informacin y pulsar INTRO: En ntdsutil, hay que escribir roles. En fsmo maintenance, hay que escribir connections. En server connections, hay que escribir connect to server seguido del nombre de dominio completo del controlador que vaya a ser el nuevo schema master. En server connections, hay que escribir quit. En fsmo maintenance, hay que escribir seize schema master. En ntdsutil, hay que escribir quit. La toma de la funcin de maestro de esquema es una medida radical. No debe hacerse a menos que el maestro de esquema original quede definitivamente fuera de servicio. Si se volviera a reactivar el maestro de esquema original, hay que volver a dar formato a su disco de arranque y volver a instalar Windows 2000 para evitar problemas graves con la actualizacin del esquema.
Maestro de nombres de dominio
Slo un servidor de la empresa adopta la funcin de maestro de nombres de dominio, por lo que el maestro de nombres de dominio se crea en el primer dominio y la funcin sigue all independientemente del tamao del bosque. El maestro de nombres de dominio puede no estar disponible durante algn tiempo y la red no se vera afectada hasta que se necesite establecer un dominio nuevo. Por tanto, a menos que el controlador que desempea esta funcin vaya a eliminarse de la red de manera permanente, normalmente no ser necesario transferir ni tomar esta funcin. Transferencia del maestro de nombres de dominio: Si hace falta transferir esta funcin a otro controlador hay que seguir el procedimiento siguiente. 1. Hay que escoger Dominios y confianzas de Active Directory en el men Herramientas administrativas. 2. Hay que pulsar con el botn derecho del ratn Dominios y confianzas de Active Directory y escoger Conectar con el controlador de dominio en el men de accesos directos. 3. Hay que seleccionar el controlador de dominio al que se desea atribuir la funcin de maestro de hombres de dominio y pulsar Aceptar. 4. Hay que pulsar otra vez con el botn derecho del ratn Dominios y confianzas de Active Directory y seleccionar Maestro de operaciones en el men de accesos directos. Se abrir un cuadro de dialogo que muestra el maestro de hombres de dominio actual y el equipo que va a
Captulo 10
pasar a ser maestro de hombres de dominio. 5. Hay que pulsar Cambiar y Aceptar. Toma del maestro de hombres de dominio: Si el maestro de hombres de dominio debe que dar apartado de la red de manera imprevista y permanente se puede tomar la funcin de maestro de nombres de dominio y reasignarlo a otro controlador de dominio. Para tomar la funcin, hay que seguir el procedimiento siguiente: 1. Hay que escoger Ejecutar en el men Inicio (o abrir una ventana de comandos), escribir ntdsutil y pulsar INTRO. 2. A cada peticin, hay que facilitar la siguiente informacin y pulsar INTRO: En ntdsutil, hay que escribir roles. En fsmo maintenance, hay que escribir connections. En server connections, hay que escribir connect to server seguido del hombre de dominio completo del controlador que vaya a ser el nuevo maestro. En server connections, hay que escribir quit. En fsmo maintenance, hay que escribir seize domain naming master. En ntdsutil, hay que escribir quit. Antes de tomar el maestro de hombres de dominio, el controlador titular de la funcin de maestro de hombres de dominio debe quedar completamente desconectado de la red. La Coma de la funcin de maestro de hombres de dominio es una medida radical y no debe hacerse a menos que el maestro de hombres de dominio original quede fuera de servicio de manera permanente. Si se vuelve a reactivar el maestro de hombres de dominio original previamente, hay que volver a dar formato a su disco de arranque y reinstalar Windows 2000.
Maestro de identificadores relativos
Cuando un controlador de dominio crea un objeto de seguridad -una cuenta de usuario, de grupo 0 de equipo-, asigna a ese objeto un identificador nico (SID). El SID se compone de dos partes: el ID de seguridad del dominio, que es comn para todos los objetos de seguridad del dominio, y el ID relativo, que es nico para cada objeto. El maestro RID es el controlador de cada dominio que asigna y controla las secuencias de ID relativos. Los usuarios no advierten la pdida temporal del maestro RID. Tampoco es probable que los administradores lo noten, a menos que estn creando objetos de seguridad y el dominio agote los nmeros ID relativos. Por tanto, la transferencia de la funcin de maestro RID no suele ser necesaria, a menos que el maestro RID se vaya a eliminar de la red de manera permanente. Transferencia del maestro RID :Si hay que transferir esta funcin a otro controlador, hay que seguir el procedimiento siguiente:
Captulo 10
1. Hay que escoger Usuarios y equipos de Active Directory en el men Herramientas administrativas. 2. Hay que pulsar con el botn derecho del ratn el nodo del dominio y escoger Conectar con el controlador de dominio en el men de accesos directos. 3. Hay que seleccionar el controlador de dominio al que se le desea asignar la funcin de maestro RID. Hay que pulsar Aceptar. 4. Hay que pulsar el nodo del dominio con el botn derecho del ratn y escoger Maestro de operaciones en el men de accesos directos. Se abrir un cuadro de dialogo. En la ficha RID aparecer el foco actual (el controlador que va a pasar a ser maestro RID) junto con el maestro de operaciones actual. 5. Hay que pulsar Cambiar y Aceptar. Toma del maestro RID: Si el maestro RID debe quedar eliminado de la red de manera imprevista y permanente, se puede tomar la funcin de maestro RID y reasignrselo a otro controlador de dominio. Para tomar la funcin hay que seguir este procedimiento: 1. Hay que escoger Ejecutar en el men Inicio (o abrir una ventana de comandos), escribir ntdsutil y pulsar INTRO. 2. A cada peticin hay que facilitar la siguiente informacin y pulsar INTRO: En ntdsutil hay que escribir roles. En fsmo maintenance hay que escribir connections. En server connections hay que escribir connect lo server seguido del nombre de dominio completo del controlador que vaya a ser el nuevo maestro. En server connections hay que escribir quit. En fsmo maintenance hay que escribir seize RID master. En ntdsutil hay que escribir quit. Antes de proceder a la toma, el controlador titular de la funcin de maestro RID debe estar completamente desconectado de la red. La toma de la funcin de maestro RID es una medida radical. No hay que hacerlo a menos que el maestro RID est definitivamente fuera de servicio. Si se vuelve a reactivar el maestro RID original antes, hay que volver a dar formato a su disco de arranque y reinstalar Windows 2000.
Maestro de infraestructuras
El maestro de infraestructuras es responsable de tener al da los cambios en la pertenencia a los grupos y de la distribucin de las actualizaciones a los otros dominios. Hay un maestro de infraestructuras en cede dominio. Si el controlador titular de la funcin de maestro de infraestructuras deja de estar disponible, los usuarios no se vern afectados. Ni siquiera los administradores se dan cuenta hasta que varias modificaciones en las cuentas de los usuarios no aparezcan en otros controladores de dominios. Por tanto, es mejor no transferir la funcin de maestro de infraestructuras a menos que el controlador no vaya a estar disponible durante un periodo de tiempo considerable.
Captulo 10
A menos que el dominio solo tenga un controlador de dominio, no hay que asignar el rol de maestro de infraestructuras al controlador que alberga el GC. Para averiguar si hay que distribuir los cambios a otros dominios, el maestro de infraestructuras examina un GC y se actualiza con su informacin. Si el GC y el maestro de infraestructuras estn en el mismo controlador, el maestro de infraestructuras no va a encontrar datos desactualizados, por lo que no se replicar nada a otros dominios. Transferencia del Maestro de infraestructuras: Para transferir la funcin de maestro de infraestructuras a otro controlador hay que seguir el procedimiento siguiente: 1. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuacin, haga clic en Usuarios y equipos de Active Directory. 2. En el rbol de la consola, haga clic con el botn secundario del ratn en el nodo del controlador de dominio que se convertir en el nuevo servidor principal de infraestructuras y, a continuacin, haga clic en Conectar con el dominio. 3. Escriba el nombre del dominio o haga clic en Examinar y seleccione el dominio de la lista. 4. En el rbol de la consola, haga clic con el botn secundario del ratn en Usuarios y equipos de Active Directory y, a continuacin, haga clic en Maestros de operaciones. 5. En la ficha Infraestructura haga clic en Cambiar. Toma del maestro de infraestructuras: Si el maestro de infraestructuras queda apartado de la red de manera inesperada y permanente, se puede tomar la funcin de maestro de infraestructuras y asignrsela a otro controlador de dominio. Para tomar la funcin hay que seguir este procedimiento: 1. Hay que escoger Ejecutar en el men Inicio (o abrir una ventana de comandos), escribir ntdsutil y pulsar INTRO. 2. A cada peticin hay que facilitar la siguiente informacin y pulsar INTRO: En ntdsutil, hay que escribir roles. En fsmo maintenance, hay que escribir connections. En server connections, hay que escribir connect to server seguido del nombre de dominio completo del controlador que vaya a ser el nuevo maestro. En server connections, hay que escribir quit. En fsmo maintenance, hay que escribir seize infrastructure master. En ntdsutil, hay que escribir quit. Antes de proceder a la toma, el controlador titular de la funcin de maestro de infraestructuras debe estar completamente desconectado de la red. La toma de la funcin de maestro de infraestructuras es una medida radical. No hay que hacerlo a menos que el maestro de infraestructuras este definitivamente fuera de servicio. Si se vuelve a reactivar el maestro de infraestructuras original antes, hay que volver a dar formato a su disco de arranque y reinstalar Windows 2000.
Captulo 10
Captulo 11
Captulo 11
Creacin de cuentas de Usuario
Cada persona que tenga acceso a la red requerir una cuenta de usuario. Una cuenta de usuario hace posible:
G G G
Autentificar la identidad de la persona que se conecta a la red. Controlar el acceso a los recursos del dominio. Auditar las acciones realizadas utilizando la cuenta.
Windows 2000 solo crea dos cuentas predefinidas: la cuenta Administrador, que otorga al usuario todos los derechos y permisos, y la cuenta Invitado, que tiene derechos limitados. El resto de las cuentas las crea un administrador y son cuentas de dominio (validas a lo largo de todo el dominio de forma predeterminada) o cuentas locales (utilizables slo en la mquina donde se crean). Denominacin de las cuentas de usuario En el Active Directory, cada cuenta de usuario tiene un nombre principal. El nombre consta de dos partes, el nombre principal de seguridad y el sufijo de nombre principal. Para las cuentas de usuario de Windows NT existentes, el nombre principal de seguridad es de forma predeterminada el mismo nombre utilizado para iniciar sesin en el dominio Windows NT. Para las nuevas cuentas de usuario de Windows 2000, un administrador asigna el nombre principal de seguridad. El sufijo de nombre principal predeterminado es el nombre DNS del dominio raz en el rbol de dominios. De esta forma un usuario identificado como EduardoP en un dominio Windows NT tendra un nombre principal tal como EduardoP@dominio.com. Opciones de las cuentas La planificacin de las opciones de las cuentas de los usuarios simplificar el proceso de creacin de cuentas. Las opciones de las cuentas a considerar incluyen las siguientes:
G
Horas de inicio de sesin: De forma predeterminada, un usuario puede iniciar sesin a cualquier hora del da o de la noche. Por razones de seguridad, se podra restringir el acceso a algunos o a todos los usuarios a ciertas horas del da o a ciertos das de la semana. Iniciar sesin en: De forma predeterminada, los usuarios pueden iniciar sesin en todas las estaciones de trabajo. Por razones de seguridad se puede limitar el acceso para iniciar sesin a una mquina o mquinas en particular si se dispone del protocolo NetBIOS instalado en el dominio.
Captulo 11
Sin NetBIOS, Windows 2000 es incapaz de determinar la ubicacin de un inicio de sesin especifico. Caducidad de la cuenta: Se puede decidir si se desea establecer que las cuentas caduquen. Por razones obvias, tiene sentido establecer una fecha de caducidad para empleados temporales de forma que coincida con el fin de sus contratos.
Las tres opciones que se han enumerado aqu son las que muy posiblemente se apliquen a un gran nmero de usuarios. El nombre principal de seguridad debera asignarse utilizando un convenio de denominacin consistente, de forma que el administrador y sus usuarios puedan recordar los nombres de los usuarios y encontrarlos en listas. Entre algunas alternativas para nombres de usuario se incluyen las siguientes:
G
Nombre de pila ms la inicial del apellido Por ejemplo, MiguelG y SusanaM. En el caso de nombres de pila duplicados se pueden aadir nmeros (MiguelG1 y MiguelG2) o letras suficientes para proporcionar identificacin (IsabelMat a IsabelMur). Nombre de pila ms un nmero: Por ejemplo, David 112 y David 113. Este enfoque puede ser un problema especialmente para personas cuyos nombres de pila aparecen frecuentemente entre la poblacin. Dificulta el recordar el propio nombre de usuario y es incluso ms difcil identificar los de los otros. Inicial del nombre de pila ms el apellido: Por ejemplo, podra ser MSanchez. Si hay tanto una Lidia Snchez como una Lucia Snchez, se debera utilizar LiSanchez y LuSanchez o LSanchez1 y LSanchez2. Apellido ms una inicial: Este convenio es til en una red grande. Cuando hay mltiples usuarios con el mismo apellido, hay que aadir algunas letras como en SanchezLi o SanchezLu.
Contraseas Todos los usuarios deberan tener contraseas bien escogidas y se les debera requerir que las cambiaran peridicamente. Las cuentas deberan establecerse de forma que se bloquearan cuando se introdujeran contraseas incorrectas. (Se pueden permitir tres intentos, para dejar margen a errores tipogrficos.) Una buena contrasea tiene las siguientes caractersticas:
G G G G
No es una rotacin de los caracteres de un nombre de inicio de sesin. Contiene al menos dos caracteres alfabticos y uno no alfabtico. Tiene una longitud de al menos seis caracteres. No es el nombre o las iniciales del usuario, las iniciales de sus hijos, otro dato significativo o cualquiera de esos elementos combinado con otra informacin
Captulo 11
personal comnmente disponible como la fecha de nacimiento, el nmero de telfono o el nmero de matricula. Entre las mejores contraseas se encuentran los acrnimos alfanumricos de frases que tienen un significado para el usuario pero que no es probable que conozcan otros. Esto hace que la contrasea sea fcil de recordar para el usuario, mientras que al mismo tiempo sea difcil de adivinar por una persona de fuera. Conviene educar a los usuarios sobre las contraseas y su privacidad, pero, sobre todo, merece la pena hacer caso de los propios consejos: hay que asegurarse de que la contrasea seleccionada para administracin es una buena contrasea y cambiarla frecuentemente. Hacer esto ayudara a evitar las consecuencias de que alguien se introduzca en el sistema y cause estragos. Si los usuarios se conectaran telefnicamente a la red desde casa a otros sitios remotos, debera incluirse ms seguridad que la autorizacin por contrasea de nivel de dominio. Los administradores deberan tener dos cuentas en el sistema: una cuenta administrativa y una cuenta de usuario normal. Se debera utilizar la cuenta de usuario normal a menos que se estn realizando tareas administrativas. A causa de los privilegios asociados a las cuentas administrativas, son un objetivo primario para los intrusos. Creacin de cuentas de usuario del dominio Las cuentas de usuario del dominio se pueden crear en la OU Users, o se puede crear otra OU para almacenar cuentas de usuario del dominio. Para aadir una cuenta de usuario del dominio hay que seguir estos pasos: 1. Abrir Usuarios y equipos de Active Directory desde el men Herramientas administrativas. 2. Resaltar el nombre del dominio y, en el men Accin, apuntar a Nuevo y escoger despus Usuario. G Nombre, Iniciales y Apellidos: Un nombre de usuario no puede coincidir con otro
Captulo 11
nombre de usuario o de grupo en el equipo que est administrando. Puede contener hasta 20 caracteres, en maysculas o minsculas, excepto los siguientes: "/[]:;|=,+*?<> G Nombre completo: se rellena automticamente. El nombre completo debe ser nico en la OU donde se crea el usuario. G Nombre de inicio de sesin de usuario: Hay que proporcionar el nombre de inicio de sesin de usuario basado en el convenio de denominacin. Este nombre debe ser nico en el Active Directory. El nombre de inicio de sesin anterior a Windows 2000 se rellena automticamente. Este es el nombre utilizado para iniciar sesin desde equipos que ejecutan sistemas operativos Windows como Windows NT. Pulsar Siguiente. 3. Contrasea y Confirmar contrasea: Se puede escribir una contrasea que contenga hasta 127 caracteres. Sin embargo, si utiliza Windows 2000 en una red que tambin contiene equipos con Windows 95 o Windows 98, considere el uso de contraseas con menos de 14 caracteres. Windows 95 y Windows 98 admiten contraseas de hasta 14 caracteres. Si la contrasea es ms larga, es posible que no se puedan iniciar sesiones en la red desde estos equipos. 4. Directivas de contraseas: G El usuario debe cambiar la contrasea en el siguiente inicio de sesin: Normalmente se selecciona para que el usuario controle la contrasea y no la conozca el Usuario que le ha dado de alta. G El usuario no puede cambiar la contrasea: Cuando por necesidades de seguridad la contrasea debe ser controlada por el administrador. G La contrasea nunca caduca: Si seleccionamos esta casilla, no se aplicaran las restricciones de caducidad de contrasea a esta cuenta. G Cuenta deshabilitada: Deshabilita cuentas que momentaneamente no se necesitan en la red. Tambin puede seleccionarse automticamente debido a las restricciones de seguridad impuestas por el Administrador. Pulsar Siguiente. 5. Se abre una pantalla de confirmacin, mostrando los detalles de la cuenta que se va a crear. Si los detalles son correctos, hay que pulsar Finalizar. En otro caso, se puede utilizar el botn Atrs para realizar correcciones.
Captulo 11
Creacin de cuentas de usuario locales Una cuenta local no puede acceder al dominio y, por lo tanto, solo tiene acceso a los recursos del equipo donde se crea y utiliza. Para crear una cuenta de usuario local hay que seguir estos pasos: 1. Pulsar con el botn derecho del ratn en Mi PC y escoger administrar en el men contextual. 2. En el rbol de la consola, hay que pulsar Usuarios locales y grupos. Pulsar con el botn derecho del ratn en Usuarios y escoger Usuario nuevo en el men contextual. 3. En el cuadro de dialogo Usuario nuevo hay que suministrar el nombre de usuario, el nombre completo y la descripcin. 4. Proporcionar una contrasea y definir las directivas de contraseas. Pulsar Crear. Las cuentas locales pueden pertenecer a grupos creados localmente (en el equipo nico).
Administracin de las cuentas de usuario

Especialmente en una red grande y ocupada, la gestin de las cuentas de usuario es un proceso continuo de adiciones, eliminaciones y cambios. Aunque estas tareas no son difciles, pueden consumir tiempo y es necesario gestionarlas con cuidado. Abrir Usuarios y equipos de Active Directory desde el men Herramientas administrativas. Abrir el contenedor que almacena la cuenta de usuario. Seleccionar el Usuario que queremos administrar y pulsar el men Accin. Aparecern las siguientes opciones:
Captulo 11
1. Copiar: H Escriba el nombre del usuario en Nombre. H En Apellidos, escriba los apellidos. H Modifique Nombre para agregar iniciales o invertir el orden del nombre y los apellidos. H En Nombre de inicio de sesin de usuario, escriba el nombre con el que el usuario iniciar una sesin y, en la lista, haga clic en el sufijo UPN que se debe anexar al nombre de inicio de sesin de usuario, seguido del smbolo arroba (@). Si el usuario va a utilizar un nombre diferente para iniciar una sesin en equipos donde se ejecuta Windows NT, Windows 98 o Windows 95, cambie el nombre de inicio de sesin de usuario que aparece en Nombre de inicio de sesin de usuario (anterior a Windows 2000) por el otro nombre. En Contrasea y Confirmar contrasea, escriba la contrasea del usuario. H Seleccione las opciones de contrasea que desee. H Si se ha deshabilitado la cuenta de usuario desde la que se copi la nueva cuenta de usuario, haga clic en Cuenta deshabilitada para habilitar la cuenta nueva. 2. Agregar miembros a un grupo: Si queremos hacer miembro de otro grupo ms al usuario deberemos pulsar esta opcin y seleccionar el grupo y despus Agregar. 3. Deshabilitar cuenta: Si es necesario desactivar una cuenta de usuario del dominio por algn periodo de tiempo, pero no eliminarla permanentemente, se puede deshabilitar. Si crea cuentas deshabilitadas de usuario que pertenezcan a grupos comunes, puede utilizarlas como plantillas para simplificar la creacin de cuentas de usuario. Para habilitar una cuenta previamente deshabilitada, hay que realizar los mismos pasos, escogiendo Habilitar cuenta en el men contextual. 4. Restablecer contrasea: Para que las contraseas sean efectivas, no deben ser obvias o fciles de adivinar. Sin embargo, cuando las contraseas no sean obvias o fciles de adivinar, se olvidaran inevitablemente. Cuando un usuario olvida su contrasea, se puede restablecer. La mejor poltica es restablecerla a una clave sencilla y obligar al usuario a que la cambie la prxima vez que inicie sesin en la red. H Hay que escribir y confirmar la contrasea.
Captulo 11
5.
6. 7. 8.
9.
Si desea que el usuario cambie esta contrasea en el siguiente proceso de inicio de sesin, active la casilla de verificacin El usuario debe cambiar la contrasea en el siguiente inicio de sesin. H Si se cambia la contrasea de la cuenta de usuario de un servicio, deben restablecerse todos los servicios cuya autenticacin se realice con esa cuenta de usuario. Mover: Si un usuario pasa a pertenecer a potro grupo o Unidad Organizativa podemos moverlo pulsando esta opcin: H Una vez seleccionado el usuario, abrimos el men Accin y pulsamos mover. H Pulsar con el botn derecho del ratn en la cuenta de usuario que se va a mover y escoger Mover en el men contextual. H En el cuadro de dialogo Mover, hay que resaltar el contenedor destino y pulsar Aceptar. Abrir la pgina principal: Accederemos a la pgina web del usuario si se le ha especificado en la ficha General de las propiedades de dicho usuario. Enviar mensaje de correo: Si se le ha especificado una direccin de correo, se abrir el cliente de correo predeterminado para enviarle un correo electrnico. Eliminar: Cada cuenta de usuario del dominio tiene un identificador de seguridad asociado que es nico y nunca se reutiliza, lo que significa que una cuenta eliminada se elimina completamente. Si se elimina la cuenta de Jaime y ms tarde se cambia de opcin, habr que volver a crear no solo la cuenta, sino los permisos, la configuracin, las pertenencias a grupos y el resto de propiedades que posea la cuenta de usuario original. Por esta razn, si existe alguna duda sobre si una cuenta podra necesitarse en el futuro, es mejor deshabilitarla y no realizar la eliminacin hasta que se este seguro de que no se necesitara de nuevo. Despus de pulsar en eliminar,aparece un cuadro de dialogo Active Directory, pidiendo confirmacin de la eliminacin. Hay que pulsar Si y se eliminara la cuenta. Cambiar el nombre: En ocasiones, es necesario cambiar el nombre de una cuenta de usuario. Por ejemplo, si se tiene una cuenta configurada con una coleccin de derechos, permisos y pertenencias a grupos para una posicin particular y una nueva persona se hace cargo de esa posicin se puede cambiar el nombre, los apellidos y el nombre de inicio de sesin de usuario para la nueva persona. Para cambiar el nombre de una cuenta de usuario existente, despus de pulsar el cambiar el nombre se pulsa Aceptar. Se cambia el nombre de la cuenta y todos los permisos y el resto de la configuracin permanecen intactos. Si queremos cambiar alguna informacin ms, habr que entrar en la ficha de Propiedades del usuario.
H
Captulo 11
10. Actualizar: Produce un refresco de la pantalla 11. Propiedades: La ventana Propiedades de un usuario del dominio puede tener hasta una docena de pestaas, dependiendo de la configuracin del dominio. Toda la informacin introducida en la ventana Propiedades se puede utilizar como la base de una bsqueda en el Active Directory. Por ejemplo, se puede buscar el nmero de telfono o el departamento de un usuario buscando por los apellidos del usuario. Desbloqueo de cuentas de usuario Si un usuario viola una directiva de grupo, como exceder el limite de intentos de inicio de sesin fallidos, directiva de grupo bloquear la cuenta. Cuando una cuenta esta bloqueada, no se puede utilizar para iniciar sesin en el sistema. Para desbloquear una cuenta de usuario hay que seguir estos pesos: 1. Abrir Usuarios y equipos de Active Directory desde el men Herramientas administrativas. 2. En el rbol de la consola hay que pulsar en la OU que contiene la cuenta bloqueada. 3. Pulsar con el botn derecho del ratn en la cuenta de usuario en el panel de detalles y escoger Propiedades en el men contextual. 4. En la ventana Propiedades, hay que pulsar en la pestaa Cuenta. 5. Desactivar la casilla de verificacin junto a La cuenta esta bloqueada. Pulsar Aceptar. De forma predeterminada, directiva de grupo no bloquea cuentas a causa de intentos de inicio de sesin fallidos. Se debera crear esta configuracin por razones de seguridad. Propiedades del Usuario Las pestaas de la ventana Propiedades de una cuenta de Usuario del dominio, son:
Pestaa General
Documenta el nombre, la descripcin la ubicacin de la oficina, el nmero de telfono, la direccin de correo electrnico y la direccin de la pagina Web del usuario.
Pestaa Direccin
Documenta la direccin fsica del usuario.

Captulo 11
Pestaa Cuenta
Documenta el nombre de inicio de sesin, las restricciones de inicio de sesin, las opciones de la contrasea y si la cuenta caduca.
Pestaa Perfil
Muestra la ruta de acceso al perfil del usuario, la ruta de acceso de cualquier archivo de comandos que se ejecuta en el inicio de sesin, la ruta de acceso al directorio principal y cualquier conexin automtica de unidades.
G
Perfil de Usuario: H Ruta de acceso al perfil: Se debe especificar la ruta completa de acceso al perfil del usuario. H Archivos de comandos de inicio de Sesin: Se especifica el nombre de la secuencia de comandos de inicio de sesin que va a utilizar esta cuenta de usuario. Las secuencias de comandos de inicio de sesin estn almacenadas en el recurso compartido NETLOGON, que se encuentra en %systemroot%\SYSVOL\[nombre de dominio DNS]\scripts. Directorio principal: H Ruta de acceso local: Se debe introducir la ruta hacia la carpeta particular a la que el usuario puede tener acceso y que contiene archivos y programas de dicho usuario. Se puede asignar una carpeta particular de red a un usuario individual o la pueden compartir muchos usuarios. Si no se asigna aqu ninguna carpeta particular de red o local, la carpeta particular predeterminada se encuentra en la unidad donde est instalado Windows 2000 en el equipo del usuario. H Conecta: Hay que especificar la letra de unidad que se le proporcionar a esa conexin. H A: En este espacio hay que escribir la ruta de acceso a la red. Para especificar una ruta de acceso de red para el directorio particular, deber crear primero un recurso compartido y establecer los permisos que concedan acceso al usuario. Puede hacerlo utilizando carpetas compartidas en otro equipo.
Los directorios o carpetas principales son almacenes que se pueden proporcionar en un servidor de red para los documentos de los usuarios. Situar los directorios principales en un servidor de archivos de la red tiene varias ventajas:
G G G
La copia de seguridad de los documentos de usuario esta centralizada. Los usuarios pueden acceder a sus directorios principales desde cualquier equipo cliente. Se puede acceder a los directorios principales desde clientes que ejecuten cualquier sistema operativo de Microsoft (incluyendo MS-DOS y todas las versiones de Windows).
Los contenidos de los directorios principales no son parte de los perfiles de usuario, por lo que no afectan al trafico de la red durante el inicio de sesin. (Un directorio principal tambin puede estar en un equipo
Captulo 11
cliente, pero esto esta bastante en contra de su propsito.) Para crear un directorio principal en un servidor de archivos de la red, hay que seguir estos pasos: 1. En el servidor hay que crear una nueva carpeta para los directorios compartidos. Hay que pulsar con el botn derecho del ratn en la nueva carpeta y escoger Propiedades en el men contextual. 2. Pulsar en la pestaa Compartir y en Compartir esta carpeta. 3. Pulsar en la pestaa Seguridad y eliminar el Control total predeterminado del grupo Todos y asignar Control total al grupo Usuarios. (Esta configuracin evitara que nadie excepto las cuentas de usuario del dominio puedan acceder a la carpeta.) Los directorios principales se deberan almacenar en una particin con formato NTFS. Los directorios principales en una particin FAT solo se pueden asegurar asignando permisos a la carpeta compartida usuario por usuario. Para proporcionar un directorio principal a un usuario, se debe aadir la ruta de acceso de la carpeta a las propiedades de la cuenta de usuario. Hay que seguir estos pasos para otorgar a un usuario acceso a un directorio principal: 1. Abrir Usuarios y equipos de Active Directory desde el men Herramientas administrativas. 2. Pulsar la OU que contiene la cuenta de usuario. Pulsar con el botn derecho del ratn en el nombre del usuario y escoger Propiedades en el men contextual. 3. Pulsar en la pestaa Perfil. 4. En el rea Directorio principal hay que pulsar la opcin Conectar y especificar una letra de unidad a utilizar para conectarse al servidor de archivos. En el cuadro A hay que especificar el nombre UNC de la conexin; por ejemplo, \\nombre_del_servidor\carpeta_compartida\nombre_de_inicio_de sesion_del_usuario. Si se utiliza la variable %username%, se le dar al directorio principal el nombre de inicio de sesin del usuario.
Pestaa Telfonos
Enumera nmeros de telfono adicionales como el telfono de un localizador, de un mvil o de Internet.
Captulo 11
Pestaa Organizacin
Documenta el ttulo, el departamento, la organizacin, el administrador y las supervisiones directas del usuario.
Pestaa Miembro de
Enumera las pertenencias a grupos del usuario.

Pestaa Marcado
Documenta el acceso telefnico del usuario.

Pestaas Entorno, Sesiones, Control remoto, Perfil de Servicios de Terminal Server
Documenta el perfil de Servicios de Terminal Server del usuario. Bsqueda de cuentas de usuario Para buscar un cuenta de usuario en particular hay que abrir Usuarios y equipos de Active Directory desde el men Herramientas administrativas y, en la barra de herramientas, pulsar el icono Encontrar. Esto abre el cuadro de dialogo Buscar Usuarios, contactos y grupos. Sin embargo, no hay que dejarse engaar. Si se abre la lista desplegable del cuadro Buscar se observara que se puede utilizar esta herramienta para buscar equipos, impresoras, carpetas compartidas, departamentos y mucho ms. Para buscar un usuario especifico, hay que seleccionar el mbito de la bsqueda en el cuadro En. Se puede escribir un nombre, parte de un nombre o algn otro elemento descriptivo que sea parte del perfil del usuario, y pulsar Buscar ahora. Una bsqueda con parte de un nombre devuelve todos los usuarios con ese elemento en sus nombres.
Captulo 11
Cuanto ms grande sea la red, ms especifica tendr que ser la bsqueda. En un entorno con una gran red, se puede limitar la bsqueda a una unidad organizativa especifica. Hay que abrir Usuarios y equipos de Active Directory desde el men Herramientas administrativas. Hay que pulsar con el botn derecho del ratn en la OU en la que se este interesado y seleccionar Buscar en el men contextual. Directorios principales
Mantenimiento de perfiles de usuario

Un perfil es un entorno personalizado especficamente para un usuario. El perfil contiene la configuracin del escritorio y de los programas del usuario. Cada usuario tiene un perfil, tanto si el administrador lo configura como si no, porque se crea un perfil automticamente para cada usuario cuando inicia sesin en un equipo. Los perfiles ofrecen numerosas ventajas:
G
G G
Mltiples usuarios pueden utilizar el mismo equipo, con la configuracin de cada uno recuperada al iniciar la sesin al mismo estado en que estaba cuando cerr la sesin. Los cambios hechos por un usuario en el escritorio no afectan a otro usuario. Si los perfiles de usuario se almacenan en un servidor pueden seguir a los usuarios a cualquier equipo de la red que ejecute Windows 2000 o Windows NT 4.
Desde el punto de vista de un administrador, la informacin del perfil puede ser una valiosa herramienta para configurar perfiles de usuario predeterminados para todos los usuarios de la red o para personalizar los perfiles predeterminados para diferentes departamentos o clasificaciones del trabajo. Tambin se pueden configurar perfiles obligatorios que permitan a un usuario hacer cambios en el escritorio mientras esta conectado, pero no guardar ninguno de los cambios. Un perfil obligatorio siempre se muestra exactamente igual cada vez que un usuario inicia sesin. Los tipos de perfiles son los siguientes:
G
Perfiles locales: Perfiles creados en un equipo cuando un usuario inicia sesin. El perfil es especifico de un usuario, local al equipo y se almacena en el disco duro del equipo local. Perfiles mviles: Perfiles creados por un administrador y almacenados en un servidor. Estos perfiles siguen al usuario a cualquier maquina Windows 2000 o Windows NT 4 de la red. Perfiles obligatorios: Perfiles mviles que solo pueden ser modificados por un administrador. Todos los perfiles comienzan como una copia del perfil Default User que esta instalado en cualquier equipo que ejecuta Windows 2000. La informacin del registro para Default User se encuentra en el archivo Ntuser.dat incluido en el perfil Default User. Dentro de cada perfil se encuentran las siguientes carpetas:
G G
Configuracin local: Datos de programa, Historial y Archivos temporales. Cookies: Mensajes enviados a un navegador Web por un servidor Web y almacenados localmente para registrar informacin y preferencias del usuario.
Captulo 11
G
G G G G G G
G G G
Datos de programa: Configuraciones especificas de programa determinadas por el fabricante del programa adems de configuracin de seguridad especifica del usuario. Entorno de red: Accesos directos a Mis sitios de red. Escritorio: Archivos, carpetas, accesos directos del escritorio y su apariencia. Favoritos: Accesos directos a ubicaciones favoritos, en particular sitios Web. Impresoras: Accesos directos a elementos de la carpeta Impresoras. Men Inicio: Elementos del men Inicio del usuario. Mis documentos: Documentos del usuario y Mis imgenes, que contiene los archivos grficos del usuario. Plantillas: Plantillas de programas. Reciente: Accesos directos a las carpetas y archivos ms recientemente utilizados. SendTo: Elementos del men Enviar a.
De forma predeterminada, solo Cookies, Escritorio, Favoritos, men Inicio y Mis documentos son visibles en el Explorador de Windows. Las otras carpetas estn ocultas; para verlas es necesario seleccionar Opciones de carpeta, pulsar en la pestaa Ver y seleccionar Mostrar todos los archivos y carpetas ocultos.
Perfiles locales
Los perfiles locales se crean en los equipos cuando los usuarios individuales inician sesin. En un equipo actualizado desde Windows NT 4, el perfil se almacena en la carpeta Perfiles de la particin raz del sistema. En un equipo con una nueva instalacin de Windows 2000, el perfil del usuario esta en la carpeta Documents and Settings. La primera vez que un usuario inicia sesin en un equipo, se genera una carpeta de perfil para el usuario, y los contenidos de la carpeta Default User se copian en ella. Cualquier cambio realizado por el usuario al escritorio se almacena en ese perfil de usuario cuando cierra la sesin. Si un usuario tiene una cuenta local en el equipo adems de una cuenta de dominio a inicia sesin varias veces utilizando ambas cuentas, el usuario tendr dos carpetas de perfil en el equipo local: una para cuando el usuario inicie sesin en el dominio utilizando la cuenta de usuario del dominio y otra para cuando el usuario inicie sesin localmente en el equipo. El perfil local se mostrar con el nombre de inicio de sesin. El perfil de dominio tambin se mostrara con el nombre de inicio de sesin, pero llevara aadido el nombre del dominio.
Perfiles mviles
Los perfiles mviles son una gran ventaja para los usuarios que utilizan frecuentemente ms de un equipo. Un perfil mvil se almacena en un servidor y, despus de que el inicio de sesin del usuario sea autentificado en el servicio de directorio, se copia al equipo local. Esto permite al usuario tener el mismo
Captulo 11
escritorio, la configuracin de las aplicaciones y la configuracin local en cualquier maquina que ejecute Windows 2000 o Windows NT 4. El funcionamiento es: se asigna una ubicacin de un servidor para perfiles de usuario y se crea una carpeta compartida con los usuarios que tengan perfiles mviles. Se introduce una ruta de acceso a esa carpeta en la ventana propiedades de los usuarios. La siguiente vez que el usuario inicie sesin en un equipo, el perfil del servidor se descarga al equipo local. Cuando el usuario cierra la sesin, el perfil se almacena tanto localmente como en la ubicacin de la ruta de acceso al perfil del usuario. La especificacin de la ruta de acceso al perfil del usuario es todo lo que hace falta para convertir un perfil local en un perfil mvil, disponible en cualquier parte del dominio. Cuando el usuario inicia sesin de nuevo, el perfil del servidor se compara con la copia en el equipo local y se carga para el usuario la ms reciente. Si el servidor no esta disponible, se utiliza la copia local. Si el servidor no esta disponible y es la primera vez que el usuario ha iniciado sesin en el equipo, se crea un perfil de usuario localmente utilizando el perfil Default User. Cuando un perfil no es descargado a un equipo local a causa de problemas con el servidor, el perfil mvil no se actualiza cuando el usuario cierra la sesin. Hay que colocar los perfiles de usuario en un servidor miembro en lugar de en un controlador de dominio para acelerar el proceso de autentificacin y para evitar utilizar la potencia de procesamiento y el ancho de banda de un controlador de dominio para la descarga de perfiles. Adems, conviene situar los perfiles en un servidor del que se hagan copias de seguridad regularmente para que las copias de los perfiles mviles sean lo ms recientes posible.
Configuracin de los perfiles mviles
Para configurar un perfil mvil simplemente hay que asignar una ubicacin en un servidor y completar los siguientes pasos: 1. Crear una carpeta compartida en el servidor para los perfiles. 2. En la pestaa Perfil de la ventana Propiedades de la cuenta de usuario hay que proporcionar una ruta de acceso a la carpeta compartida, como \\nombre_del_servidor\carpeta_de_perfiles_compartida\%username%. Una vez que se ha creado una carpeta de perfiles compartida en un servidor y se ha suministrado una ruta de acceso al perfil en la cuenta del usuario, se ha habilitado un perfil mvil. La configuracin del usuario de su escritorio se copia y almacena en el servidor y estar disponible para el usuario desde cualquier equipo. Sin embargo, la mayor parte del tiempo no se desear que los usuarios tengan que arreglrselas solos. La vida es ms fcil para ellos y para el administrador si se asigna un perfil personalizado a los usuarios que ya este configurado con los accesos directos, conexiones de red y elementos del men Inicio apropiados. Para esto, ser necesario configurar perfiles personalizados.
Captulo 11
Perfiles obligatorios
Si se va a realizar todo el trabajo de asignar perfiles personalizados, indudablemente se deseara hacer que esos perfiles sean obligatorios. Un perfil obligatorio se puede asignar a mltiples usuarios. Cuando se modifica un perfil obligatorio, el cambio se realiza en los entornos de todos los usuarios a los cuales se haya asignado el perfil obligatorio. Para convertir un perfil en un perfil obligatorio, se debe renombrar el archivo oculto Ntuser.dat a Ntuser.man. Asignacin de secuencias de comandos de inicio de sesin a perfiles de usuario Se pueden asignar secuencias de comandos de inicio de sesin por medio del perfil o a travs de Directiva de grupo. Para asignar una secuencia de comandos a un perfil, hay que seguir estos pasos: 1. Abrir Usuarios y equipos de Active Directory desde el men Herramientas administrativas. 2. En el rbol de la consola hay que pulsar Users. Pulsar con el botn derecho del ratn en la cuenta de usuario y escoger Propiedades. 3. Pulsar en la pestaa Perfil a introducir el nombre de la secuencia de comandos de inicio de sesin en el cuadro Archivo de comandos de inicio de sesin. 4. Pulsar Aceptar cuando se haya terminado. Windows 2000 siempre busca las secuencia de comandos de inicio de sesin en el mismo lugar: en el controlador de dominio de autentificacin en la ruta de acceso %SystemRoot%\SYSVOL\sysvol\nombre_del_ dominio. Las secuencias de comandos de esta carpeta se pueden introducir en la ruta de acceso Archivo de comandos de inicio de sesin solo con el nombre. Si se utilizan carpetas dentro de la carpeta Scripts, se debe mostrar la parte de la ruta de acceso en la ruta de acceso Archivo de comandos de inicio de sesin. Las secuencias de comandos de inicio de sesin tambin se pueden crear en VBScript y Jscript. La replica de las secuencias de comandos de inicio de sesin a todos los controladores de dominio es automtica en volmenes NTFS en servidores Windows 2000. Otros tipos de archivos, como los archivos FAT, se deben replicar manualmente. Las variables de secuencias de comando de inicio de sesin son:
G
G G G G G G
%homedrive%: Letra de la unidad de disco que contiene el directorio principal del usuario en la estacin de trabajo local del usuario. %homepath%: Ruta de acceso completa al directorio principal del usuario. %os%: Sistema operativo del usuario. %processor_architecture%: Tipo de procesador de la estacin de trabajo del usuario. %processor_level%: Nivel de procesador de la estacin de trabajo del usuario. %userdomain%: Dominio donde esta definida la cuenta del usuario. %username%: Nombre del usuario de la cuenta.
Configuracin de recursos compartidos y permisos

Captulo 11
Como se ha mencionado antes, el objetivo principal de una red es compartir recursos entre los usuarios. Sin embargo, compartir es tambin una extensin de las caractersticas de seguridad que comienzan con las cuentas de usuario y las contraseas. El objetivo como administrador del sistema es asegurarse de que todo el mundo pueda utilizar los recursos que necesita sin comprometer la seguridad de los archivos y el resto de los recursos. Se pueden otorgar a los usuarios tres tipos de capacidades:
G
G G
Derechos: estn asignados a los grupos predefinidos, pero el administrador puede extender los derechos a grupos o individuos. Recursos compartidos: Directorios o unidades de disco que estn compartidos en la red. Permisos: Capacidades del sistema de archivos que se pueden conceder tanto a individuos como a grupos.
En el curso de eventos normal, solo habr que ocuparse de los derechos en raras ocasiones. Sin embargo, los recursos compartidos y los permisos son el corazn de las responsabilidades de un administrador. En un volumen NTFS, Windows 2000, al igual que Windows NT Server, permite una seguridad tan granular que es prcticamente microscpica. Se pueden establecer permisos de varios tipos, incluyendo permisos en archivos individuales. Esto representa realmente una tentacin para el administrador para gestionar al detalle cada recurso. El mejor consejo que se puede dar es no caer en esta tentacin. Se debe comenzar con la menor restriccin posible y aadir restricciones solo cuando se requieran. Los recursos compartidos y los permisos, aunque pueden parecer muy similares, no son lo mismo y es importante comprender las diferencias. Los recursos compartidos se aplican a unidades de disco y directorios. Hasta que una unidad de disco o carpeta es compartida en la red, los usuarios no pueden verla u obtener acceso a ella. Una vez que se comparte la carpeta, todo el mundo en la red puede, de forma predeterminada, acceder a todos los archivos de la carpeta y a todas las subcarpetas de esa carpeta, etc. En un volumen FAT, se puede compartir una unidad de disco o carpeta y aadir despus restricciones adicionales en forma de permisos del recurso compartido. Estos permisos solo se aplican a nivel de unidad de disco o carpeta -no a nivel de archivo- y estn limitados a permitir o denegar Control total, Leer y Modificar. En volmenes NTFS, los directorios tienen los mismos permisos de recurso compartido que los de un volumen FAT, pero hay disponible otra capa de permisos sobre esos. Cada carpeta tiene una ventana Propiedades de Seguridad que permite restricciones ms precisas. Cada archivo tambin tiene una ventana Propiedades de Seguridad que permite que el acceso sea concedido o denegado para archivos individuales. Estos permisos de carpeta y permisos de archivo pueden restringir el acceso tanto a travs de la red como localmente. Por ejemplo, se puede dejar el permiso de recurso compartido de una carpeta con la configuracin predeterminada, permitiendo Control total a Todos, y utilizar la
Captulo 11
ventana Propiedades de Seguridad para establecer permisos ms restrictivos por grupos o individualmente, tanto a la carpeta como un todo como archivo por archivo dentro de la carpeta. Los permisos del recurso compartido determinan el acceso mximo en la red. Esto significa que si se establecen permisos de recurso compartido que permiten Leer pero deniegan Modificar, todos los usuarios se vern restringidos a Leer cuando accedan al recurso compartido desde la red. Sin embargo, se puede conceder a un usuario acceso ms amplio que estar disponible cuando el usuario inicie sesin localmente. O se puede bloquear la herencia de permisos en una subcarpeta y otorgar a un usuario Control total de la subcarpeta en la red, mientras que la carpeta primaria permanece con solo Leer. Los recursos compartidos no tienen efecto en usuarios que inicien sesin localmente. Para los usuarios que iniciaran sesin localmente en una particin NTFS, se puede restringir el acceso utilizando permisos. Recursos compartidos especiales Adems de los recursos compartidos creados por un usuario o un administrador, el sistema crea varios recursos compartidos especiales que se deberan modificar o eliminar. El recurso compartido especial que ms probablemente se ver es el recurso compartido ADMIN$ que aparece como C$, D$, E$, etc. Estos recursos compartidos permiten a los administradores conectarse a unidades que en otro caso no estaran compartidas. Los recursos compartidos especiales existen como parte de la instalacin del sistema operativo. Dependiendo de la configuracin del equipo, estarn presentes algunos o todos de los siguientes recursos compartidos especiales. Ninguno de ellos debera modificarse o eliminarse.
G
ADMIN$: Se utiliza durante la administracin remota de un equipo. La ruta de acceso es siempre la ubicacin de la carpeta en la que Windows se instal (esto es, la raz del sistema). Solo los Administradores, Operadores de copia y Operadores de servidores se pueden conectar a este recurso compartido. letraunidad$: La carpeta raz de la unidad especificada. Slo los Administradores, Operadores de copia y Operadores de servidores se pueden conectar a estos recursos compartidos en un servidor Windows 2000. En un equipo Windows 2000 Professional, slo los Administradores y Operadores de copia pueden conectarse a estos recursos compartidos. IPC$: Utilizado durante la administracin remota y cuando se revisan los recursos compartidos. Este recurso compartido es esencial en la comunicacin y no se debe cambiar, modificar o eliminar. NETLOGON: Lo utiliza el servicio Inicio de sesin de red de un servidor que ejecuta Windows NT Server cuando procesa los inicios de sesin en el dominio. Este recurso solo se proporciona en servidores, no en Windows NT Workstation.
Captulo 11
G G
PRINT$: Un recurso que soporta impresoras compartidas. REPL$: Se crea en un servidor cuando un cliente de fax esta enviando un fax.
Para conectarse a una unidad de disco no compartida en otro equipo, hay que utilizar la barra de direcciones de cualquier ventana a introducir la direccin, utilizando la sintaxis: \\nombre_equipo\[letraunidad]$ Para conectarse a la carpeta raz del sistema (la carpeta en la cual esta instalado Windows) en otro equipo hay que utilizar la sintaxis: \\nombre_equipo\admin$ El resto de recursos compartidos especiales como IPC$ y PRINT$ los crea y utiliza nicamente el sistema. NETLOGON es un recurso compartido especial en servidores Windows 2000 y Windows NT y se utiliza cuando se procesan peticiones de inicio de sesin en el dominio.
Unidades compartidas y permisos en NTFS frente a FAT
En particiones con formato FAT se pueden restringir los archivos solo a nivel de carpeta, slo desde la red y slo si la carpeta esta compartida. Para alguien que inicie sesin localmente, los recursos compartidos no tendrn efecto. En un volumen NTFS, los directorios pueden ser compartidos y tambin restringidos ms profundamente a causa del significado de los permisos. En un volumen NTFS, se deberan utilizar los permisos de carpetas y archivos para el control de la seguridad tanto localmente como desde la red y permitir acceso de Control total a Todos en el recurso compartido. Carpetas compartidas La forma ms sencilla de crear carpetas compartidas es utilizar la herramienta Configurar el servidor del men Herramientas administrativas. Para hacerlo, hay que seguir estos pasos: 1. Abrir Configurar el servidor y pulsar Servidor de archivos en la columna de la izquierda. 2. Pulsar el vinculo Iniciar el Asistente para carpetas compartidas para abrir el cuadro de dialogo Crear carpeta compartida. 3. Introducir el nombre y ruta de acceso de la carpeta y un nombre del recurso compartido. 4. Seleccionar los permisos de recurso compartido que se desean asignar a la carpeta teniendo en cuenta que casi siempre es mejor controlar el acceso por medio de permisos en lugar que con recursos compartidos. Pulsar Finalizar cuando se haya terminado. Se pueden definir recursos compartidos directamente pulsando con el botn derecho del ratn en una
Captulo 11
carpeta, escogiendo Propiedades en el men contextual y pulsando despus en la pestaa Compartir. Si hay maquinas basadas en MS-DOS en la red (lo que incluye versiones de Windows hasta la 3.11) que accedern a una carpeta compartida, hay que seguir el convenio de denominacin 8.3 en el nombre del recurso compartido. Un nombre de recurso compartido que no se ajuste al estndar de denominacin 8.3 de MS-DOS no lo podrn ver usuarios con maquinas MS-DOS o Windows 3.x. Los nombres de los archivos o directorios pueden tener hasta 255 caracteres. Los usuarios de MS-DOS que se conecten al archivo o carpeta desde la red vern el nombre en el formato 8.3. Windows NT truncara los nombres largos a un tamao que una maquina MSDOS pueda reconocer, pero no lo har con los nombres de recursos compartidos. Windows 2000 convierte los nombres largos en nombres cortos utilizando las siguientes reglas:
G G
Los espacios se eliminan. Los caracteres que no se permiten en los nombres MS-DOS son reemplazados por subrayados (_). El nombre se reduce a sus primeros seis caracteres restantes y despus se aade una tilde y un digito. Para el primer archivo, el digito ser 1. Para un segundo archivo que utilice los mismos seis caracteres, el digito ser 2. Por ejemplo, un archivo llamado Presupuestos para marzo se reducir a PRESUP~1. Un segundo archivo, llamado Presupuestos para el segundo trimestre, se reducir a PRESUP~2. Si el nombre largo tiene algn punto seguido de otros caracteres, el ultimo punto y los siguientes tres caracteres se utilizan como extensin del archivo en la versin corta del nombre del archivo. Por lo que un archivo llamado Diciembre.Ventas.Presentacion se reducir a DICIEM~1.PRE.
Como se puede observar, los nombres largos de archivo pueden ser bastante misteriosos cuando se truncan. Si la red incluye equipos MS-DOS, puede ser til continuar utilizando convenios de denominacin MS-DOS para los primeros seis caracteres. Los archivos de presupuestos utilizados arriba como ejemplos podran convertirse en MARPRE~Presupuestos para marzo.XLS y 2DOTR~Presupuestos para el segundo trimestre.XLS. Para el equipo MS-DOS, los archivos aparecern como MARPRE~1.XLS y 2DOTR~1.XLS.
Creacin de un nuevo recurso compartido para una carpeta compartida
Una nica carpeta puede ser compartida ms de una vez. Por ejemplo, un recurso compartido podra incluir Control total para Administradores y otro recurso compartido para usuarios podra ser ms restrictivo. Para aadir un nuevo recurso compartido, hay que seguir estos pasos:
Captulo 11
1. Buscar la carpeta compartida en el Explorador de Windows y pulsar con el botn derecho del ratn en ella. Hay que escoger Compartir en el men contextual. 2. En el cuadro de dialogo que se abre, hay que pulsar el botn Nuevo recurso compartido. 3. En el cuadro de dialogo Nuevo recurso compartido hay que introducir un nuevo Nombre de recurso compartido. (Cada recurso compartido debe tener un nombre nico.) Hay que establecer un limite de usuarios, si es necesario. 4. Pulsar Permisos para restringir el acceso. De nuevo, de forma predeterminada, la carpeta compartida otorga Control total a todos los usuarios.
Desconexin de carpetas compartidas
Para que una carpeta deje de estar compartida, hay que abrir Administracin de equipos desde el men Herramientas administrativas. Hay que expandir Herramientas del sistema, despus Carpetas compartidas y por ultimo Recursos compartidos. Hay que pulsar con el botn derecho del ratn en la carpeta compartida en el panel de detalles y escoger Dejar de compartir en el men contextual. En Windows NT, cuando los usuarios se conectan a un carpeta que va a dejar de estar compartida, se avisa con un cuadro de dialogo. Esto no ocurre en Windows 2000. Si se deja de compartir una carpeta a la que estn conectados usuarios, los usuarios son expulsados de la carpeta sin avisos y pueden perder Information. Permisos de recursos compartidos Los permisos de recursos compartidos establecen el mximo mbito de acceso disponible. Otras asignaciones de permisos (en un volumen NTFS) pueden ser ms restrictivas, pero no pueden expandirse ms all de los limites establecidos por los permisos de recurso compartido.
Definicin de los permisos de recursos compartidos
Para establecer permisos de recursos compartidos, hay que pulsar con el botn derecho del ratn en la carpeta y escoger Compartir en el men contextual. Hay que pulsar el botn Permisos para abrir el cuadro de dialogo. El tipo de acceso se establece por medio de la lista de la parte inferior. Se pueden utilizar los botones Agregar y Quitar para cambiar quien accede. Los permisos de recursos compartidos se pueden asignar a usuarios individuales, a grupos y a las entidades especiales Todos, SYSTEM, INTERACTIVE, NETWORK y Usuarios autentificados. Los tipos de permisos de recursos compartidos desde el menos al ms restrictivo son:
G
Leer: Permite ver los nombres de los archivos y subcarpetas, siempre se puede revisar y borrar el registro de seguridad. Modificar: Permite el acceso de Leer adems de permitir agregar archivos y subdirectorios a la carpeta compartida, modificar la informacin de los archivos y eliminar archivos y subdirectorios.
Captulo 11
G
Control total: Permite todo el acceso de Modificar adems de permitir cambiar permisos (solo en volmenes NTFS) y tomar posesin (solo en volmenes NTFS).
Asignacin de directorios y unidades compartidos Despus de ir de ac para all entre varias ventanas de Mis sitios de red para buscar una carpeta compartida, los usuarios pueden simplemente pulsar, dos veces con el ratn en la carpeta para abrirla y acceder a su contenido. Para facilitar el acceso, hay que pulsar con el botn derecho del ratn en la carpeta compartida y arrastrarla al escritorio. Hay que seleccionar Crear iconos de acceso directo aqu despus de soltar el botn. Si se utiliza frecuentemente, es sencillo conectarse a una carpeta o unidad de disco para que aparezca en el Explorador de Windows (o en Mi PC) como otra simple unidad de disco local. Una conexin a unidad es incluso mejor que un acceso directo a un recurso importante: si se utilizan programas antiguos, no van a reconocer los sitios de red y no sern capaces de abrir o guardar archivos en ninguna otra parte salvo en el propio equipo. Si se crea una conexin a la unidad, el programa coopera porque la unidad del otro equipo parece (para el programa al menos) ser local. Para configurar estas conexiones para los usuarios: 1. Abrir Mis sitios de red y buscar el recurso compartido al que se quiere conectar. 2. Pulsar con el botn derecho del ratn en el objeto y escoger Conectar a unidad de red en el men contextual. El cuadro de dialogo que aparece tiene tres entradas configurables: G Unidad: Esta es la letra que se asignara a la nueva carpeta o unidad en el equipo local. G Conectar utilizando un nombre de usuario diferente: Si la conexin es para alguien distinto del usuario actual, hay que pulsar este vnculo y suministrar el nombre y contrasea del usuario. G Conectar de nuevo al iniciar sesin: Se puede seleccionar este cuadro para que se realice automticamente la conexin al iniciar sesin en el equipo donde reside fsicamente este recurso. 3. Pulsar Finalizar cuando se haya terminado. Desconexin de recursos conectados Para deshacerse de una conexin a una unidad o carpeta se la puede resaltar y pulsar el botn derecho del ratn. Hay que escoger Desconectar en el men contextual Trabajo con carpetas compartidas Se puede ver una lista de recursos compartidos, sesiones actuales y archivos abiertos abriendo
Captulo 11
Administracin de equipos desde el men Herramientas administrativas y expandiendo despus Carpetas compartidas. Se puede expandir Recursos compartidos para ver una lista de las carpetas compartidas adems de la siguiente informacin sobre cada carpeta:
G G G G
La ruta de acceso al recurso compartido. El tipo de conexin (Windows, Macintosh, NetWare). El nmero de usuarios conectados al recurso compartido. Una descripcin del recurso compartido..
Se puede expandir Sesiones en el rbol de la consola para ver la siguiente informacin sobre los usuarios que estn actualmente conectados:
G G G G G G
El nombre del usuario y el nombre del equipo del usuario. El tipo de conexin (Windows, Macintosh, NetWare). El nmero de archivos abiertos por el usuario en este recurso compartido. El tiempo transcurrido desde que se estableci la conexin. El tiempo desde que el usuario inicio por ultima vez una accin. Si el usuario esta conectado como invitado.
Se puede expandir Archivos abiertos en el rbol de la consola para obtener una lista de los archivos abiertos actualmente. En el panel de detalles se puede ver el nombre del archivo, quien lo abri, el tipo de conexin, el nmero de bloqueos sobre el archivo (si los hay) y los permisos de recurso compartido que se concedieron cuando se abri el archivo. Si se comprueban habitualmente los recursos compartidos, puede ser ms eficiente crear una MMC que contenga el complemento Carpetas compartidas. Se puede aadir un complemento Carpetas compartidas para cada servidor y cambiar entre ellos fcilmente.
Mantenimiento de los permisos para carpetas y archivos

En un volumen NTFS se pueden establecer permisos a nivel de archivo. Esto significa que cualquier archivo puede otorgar a los usuarios diferentes tipos de acceso. Aunque se pueden establecer esos permisos tan detallados, esto sera una locura. Siempre hay que tratar de trabajar con los permisos ms simples posibles. Hay que definir las menos restricciones posibles. Se deben asignar permisos a grupos, no individualmente. No hay que establecer permisos archivo a archivo a menos que sea inevitable. Gestionar las nimiedades de los permisos puede absorber fcil y rpidamente todo el tiempo. Consideracin de la herencia
Captulo 11
Existen dos tipos de permisos, explcitos y heredados. Los permisos explcitos son los que se establecen en las carpetas que se crean. Los permisos heredados son aquellos que se derivan de un objeto primario a un objeto hijo. De forma predeterminada, cuando se crea una subcarpeta, hereda los permisos de la carpeta superior. Si no se desea que los objetos hijo hereden los permisos del primario, se puede bloquear la herencia a nivel primario o a nivel hijo. Donde se bloquea la herencia es importante. Si se bloquea a nivel primario, ninguna subcarpeta heredar permisos. Si se bloquea selectivamente a nivel hijo, algunas carpetas heredarn permisos y otras no. Para bloquear la herencia a nivel primario, hay que escoger Solo esta carpeta cuando se asignan permisos especiales. Para evitar que un cierto archivo o carpeta herede permisos, hay que pulsar con el botn derecho del ratn en la carpeta, seleccionar Propiedades y pulsar despus en la pestaa Seguridad. Hay que desactivar la casilla de verificacin hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto. Si las casillas de verificacin de los permisos aparecen sombreadas, significa que los permisos son heredados de un objeto primario. Hay tres formas de cambiar esta situacin:
G
G G
Desactivar la casilla de verificacin Hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto. Una vez que este desactivada la casilla de verificacin, se pueden hacer cambios en los permisos o cambiar los usuarios o grupos de la lista. Cambiar los permisos en la carpeta primaria. Seleccionar el permiso opuesto -Permitir o Denegar- para sustituir el permiso heredado. Si ni Permitir ni Denegar esta activo, los usuarios/grupos pueden haber adquirido el permiso por medio de la pertenencia a un grupo. En otro caso, un fallo al configurar explcitamente Permitir o Denegar deniega efectivamente el permiso.
Significado de los permisos Windows 2000 Server posee un conjunto de permisos estndar que son combinaciones de clases de acceso especificas. Los permisos individuales son Control Total, Modificar, Lectura y ejecucin, Listar el contenido de la carpeta, Leer y Escribir. Los permisos de archivo incluyen Control total, Modificar, Lectura y ejecucin, Leer y Escribir. Al igual que con las carpetas, cada uno de estos permisos controla un grupo de permisos especiales. Permisos especiales para las carpetas
Captulo 11
Permiso especial
Control total
Modificar Lectura y Listar el ejecucin contenido de la carpeta S S S
Leer Escribir
Recorrer carpeta/Ejecutar archivo Listar carpeta/Leer datos Atributos de lectura Atributos extendidos de lectura Crear archivos/Escribir datos Crear carpetas/Anexar datos Atributos de escritura Atributos extendidos de escritura Eliminar subcarpetas y archivos Eliminar Permisos de lectura Cambiar permisos Tomar posesin
No
S S S
S S S
S S S
S S S
S S S
No No No
No
No
No
No
No
No
No
No
No
No
No
No
S S S S S
No S S No No
No No S No No
No No S No No
No No S No No
No No S No No
Permisos especiales asociados con los permisos estndar
Captulo 11
Permiso Especial
Control Total
Modificar Lectura y Ejecucin
Listar el Leer Escribir contenido e la carpeta No No No
Recorrer carpeta/Ejecutar archivo Listar carpeta/Leer datos Atributos de lectura Atributos extendidos de lectura Crear archivos/Escribir datos Crear carpetas/Anexar datos Atributos de escritura Atributos extendidos de escritura Eliminar subcarpetas y archivos Eliminar Permisos de lectura Cambiar permisos Tomar posesin
S S S
S S S
S S S
S S S
No No No
No No No
No
No
No
No
No
No
S S
S S
No No
No No
No No
S S
S S S S S
No S S No No
No No S No No
No
No No
No No S No No
S No No
S No No
Cualquier usuario o grupo que tenga asignado Control total en una carpeta puede eliminar archivos y subcarpetas independientemente de los permisos que tengan los archivos o subcarpetas individuales. Funcionamiento de los permisos Si no se realiza ninguna accin en absoluto, los archivos y carpetas dentro de una carpeta compartida tendrn los mismos permisos que el recurso compartido. Se pueden asignar permisos tanto para directorios como para archivos a:
Captulo 11
G G
Grupos locales de dominio, grupos globales, grupos universales y usuarios individuales. Grupos globales, grupos universales y usuarios individuales de dominios en los que confa este dominio. Identidades especiales como Todos y Usuarios autentificados.
Las reglas importantes para los permisos se pueden resumir como sigue:
G
De forma predeterminada, una carpeta hereda permisos de su carpeta primaria. Los archivos heredan sus permisos de la carpeta en la que residen. Los usuarios pueden acceder a una carpeta o archivo si se les ha concedido permiso para hacerlo o si pertenecen a un grupo que tiene permiso concedido. Los permisos son acumulativos, pero el permiso Denegar gana al resto. El usuario que crea un archivo o carpeta es el propietario de ese objeto y puede establecer permisos para controlar el acceso. Un administrador puede tomar posesin de cualquier archivo o carpeta, pero no puede ceder la propiedad a nadie ms.
Configuracin de los permisos de las carpetas Antes de compartir una carpeta en un volumen NTFS, hay que establecer todos los permisos en la carpeta. Cuando se establecen permisos de carpeta se estn estableciendo tambin permisos en todos los archivos y subcarpetas de la carpeta. Para asignar permisos a una carpeta, hay que pulsar con el botn derecho del ratn en la carpeta en el Explorador de Windows y escoger Propiedades. Despus hay que pulsar en la pestaa Seguridad y seleccionar los Permisos. Para eliminar un individuo o grupo de la lista, basta con resaltar el nombre y pulsar Quitar. Para aadir a la lista de aquellos con permisos, hay que pulsar el botn Agregar. Esto abre el cuadro de dialogo Seleccionar Usuarios, Equipos y Grupos. Hay que pulsar Aceptar cuando se haya terminado y se abrir el cuadro Permisos de carpeta con los nuevos nombres. Asignacin de permisos a los archivos Los permisos para archivos individuales se asignan de la misma forma que para las carpetas. Sin embargo, existen algunas consideraciones especiales:
Captulo 11
G G
Hay que recordar el conceder permisos a grupos en lugar de a individuos. Hay que crear grupos y asignarles permisos de archivos en lugar de asignar permisos directamente a grupos locales.
Configuracin de permisos especiales En algunas circunstancias, puede ser necesario establecer, cambiar o eliminar permisos especiales bien en un archivo o bien en una carpeta. (Los permisos especiales de una carpeta slo afectan a la carpeta.) Para acceder a los permisos especiales, hay que seguir estos pasos: 1. En el Explorador, hay que pulsar con el botn derecho del ratn en el archivo o carpeta y escoger Propiedades en el men contextual. 2. Pulsar en la pestaa Seguridad y pulsar despus el botn Avanzada. G Para aadir un usuario o grupo, hay que pulsar el botn Agregar. Hay que pulsar dos veces con el ratn en el nombre del usuario o grupo para abrir el cuadro de dilogo Entrada de permiso. G Para ver o modificar los permisos especiales existentes, hay que resaltar el nombre del usuario o grupo y pulsar el botn Ver o modificar. G Para eliminar los permisos especiales, hay que resaltar el nombre del usuario o grupo y pulsar Quitar. Si el botn Quitar est atenuado, hay que desactivar la casilla de verificacin Hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto y saltar al paso 6. 3. En el cuadro de dilogo Entrada de permiso, hay que seleccionar dnde se desean aplicar los permisos en el cuadro Aplicar en. Aplicar en slo est disponible para, carpetas. 4. En Permisos hay que pulsar Permitir o Denegar para cada permiso. 5. Para evitar que las subcarpetas y archivos hereden estos permisos hay que seleccionar Aplicar estos permisos a objetos y/o contenedores slo dentro de este contenedor. 6. Pulsar Aceptar para cerrar los cuadros de dilogo. Aplicacin de los permisos especiales cuando est seleccionado Aplicar estos permisos a objetos y/o contenedores slo dentro de este contenedor Seleccin en Aplicar en slo esta carpeta Esta carpeta, subcarpeta y archivos Se aplica a Se aplica a Se aplica a subcarpetas archivos de la carpeta de la carpeta la carpeta actual? actual? actual? S No No Se aplica a Se aplica a archivos en las carpetas las carpetas posteriores? posteriores? No No
No
No
Captulo 11
Esta carpeta y subcarpeta Esta carpeta y archivos slo subcarpetas y archivos slo subcarpetas slo archivos
S S
S No
No S
No No
No No
No
No
No
No No
S No
No S
No No
No No
En el cuadro, de dilogo Entrada de permiso de las carpetas se puede escoger cmo y dnde aplicar los permisos especiales. Aplicacin de los permisos especiales cuando est seleccionado Aplicar estos permisos a objetos y/o contenedores slo dentro de este contenedor Seleccin en Aplicar en Slo esta carpeta Esta carpeta, subcarpeta y archivos Esta carpeta y subcarpeta Esta carpeta y archivos slo subcarpetas y archivos slo subcarpetas Slo archivos Se aplica a Se aplica a Se aplica a subcarpetas archivos de la carpeta de la carpeta la carpeta actual? actual? actual? S No No Se aplica a Se aplica a archivos en las carpetas las carpe tas posteriores? posteriores? No No
S S
S No
No S
S No
No S
No
No No
S No
No S
S No
No S
Captulo 11
La propiedad y su funcionamiento Como se ha podido observar, los Administradores y los miembros de otros pocos grupos selectos son los nicos que pueden conceder y cambiar permisos. La excepcin se produce cuando, un usuario es el propietario de la carpeta o archivo en cuestin. Todo objeto en una particin NTFS tiene un propietario y el propietario es la persona que cre el archivo o la carpeta. El propietario controla el acceso al archivo o carpeta y puede dejar fuera, a quien elija. Para ver quin tiene permiso para acceder a su nueva carpeta, Maximiliano, pulsa con el botn derecho del ratn en la carpeta y escoge Propiedades y despus pulsa en Seguridad. Para su sorpresa aparece que todo el mundo en la red tiene acceso a su material "privado". Pero dado que Maximiliano, es el propietario de la carpeta, puede cambiar los permisos para tener la carpeta toda para l. Para hacer eso, aade explcitamente su nombre a la lista, de permisos y desactiva la opcin Hacer posible que los permisos sean heredables. Despus de hacer esto, incluso el administrador ver un mensaje de Acceso denegado cuando, trate de abrir la carpeta. Por supuesto, nada en la red puede estar completamente ms all del alcance de los administradores, por lo que el administrador puede pulsar con el botn derecho del ratn en la carpeta, y escoger Propiedades en el men contextual. Cuando pulse en la pestaa Seguridad, se abre el cuadro informativo. En la ventana Propiedades de Seguridad no se pueden hacer cambios. Sin embargo, si el administrador pulsa el botn Avanzada y despus en la pestaa Propietario, puede cambiar el propietario de la carpeta a un administrador. No importa cual sea el estado de la carpeta, el administrador puede adquirir su propiedad. Cuando Maximiliano inicie sesin la prxima vez, an tendr acceso a Material privado de Max, pero si pulsa Avanzada y despus Propietario, ver que no es el propietario de la carpeta. De este modo, an cuando los administradores pueden entrar en todas las reas sin invitacin, no pueden hacerlo sin dejar evidencias de su presencia. El propietario de un archivo o carpeta tambin puede conceder el permiso especial Tomar posesin a otros, permitiendo a esos usuarios adquirir la propiedad en cualquier momento.
Captulo 11
Captulo 12
Captulo 12
La tarea central de una red es asegurar que los clientes (los usuarios) tengan todo lo que necesitan y nada que no necesitan. Lo que necesitan incluye acceso a los archivos, carpetas, aplicaciones, impresoras y conexiones de Internet que requieren para hacer su trabajo. Lo que no necesitan es problemas para acceder a lo que si necesitan. El administrador de la red tiene necesidades adicionales, como material que requiere conocimientos para protegerse de aquellos que no tienen por que tener conocimientos y proteger a los usuarios de ellos mismos. La clave de todas estas necesidades es la configuracin de grupos, usuarios y directivas de grupo.
Introduccin a los Grupos

Por definicin, los grupos en Microsoft Windows 2000 son objetos del servicio de directorio Active Directory o del equipo local que pueden contener usuarios, contactos, equipos a otros grupos. Sin embargo, en general, un grupo es normalmente una coleccin de cuentas de usuario. El objetivo de los grupos es simplificar la administracin permitiendo al administrador de la red asignar derechos y permisos por grupo en lugar de a usuarios individuales. Windows 2000 permite dos tipos de grupos: de seguridad y de distribucin. Los grupos de seguridad son esencialmente los nicos grupos utilizados en Windows 2000 porque son los nicos grupos por medio de los que se pueden asignar permisos. A cada grupo de seguridad se asigna tambin un mbito de grupo, el cual define cmo se asignan los permisos a los miembros del grupo y los grupos de distribucin que no tienen seguridad activada y a los que no se pueden asignar permisos. Asignacin de mbitos de grupo Cuando se crea un grupo, se le asigna un mbito de grupo que define cmo se asignaran los permisos. Las tres posibilidades de mbitos de grupo son: global, local de dominio y universal.
mbito global
A un grupo con mbito global los permisos se pueden conceder para recursos ubicados en cualquier dominio. Sin embargo, los miembros slo pueden proceder del dominio en el que se crea el grupo, y en ese sentido no es global. Los grupos globales son adecuados para objetos de directorio que requieren mantenimiento frecuente, como cuentas de usuario y grupo.
Pueden ser miembros de:
Captulo 12
Grupos universales o locales de dominio en cualquier dominio.
Pueden contener los siguientes miembros:
G G
Otros grupos globales en el mismo dominio. Cuentas individuales del mismo dominio.
mbito local de dominio
Un grupo local de dominio puede contener miembros de cualquier dominio, pero sus permisos solo pueden ser para recursos del dominio en el que se crea el grupo. Los miembros de un grupo local de dominio tienen una necesidad comn de acceder a ciertos recursos en un dominio particular.
Pueden tener uno o ms de los siguientes miembros:
G G G G
Otros grupos locales de dominio en el mismo dominio. Grupos globales de cualquier dominio. Grupos universales de cualquier dominio. Cuentas individuales de cualquier dominio. Las reglas de anidamiento se aplican completamente slo en modo nativo, es decir, cuando todos los controladores del dominio son servidores Windows 2000. En dominios en modo mixto, los grupos de seguridad con mbitos globales solo pueden contener cuentas individuales, no otros grupos. Los grupos de seguridad con mbito local de dominio pueden contener tantos grupos globales como cuentas.
mbito universal
Un grupo de seguridad universal puede tener miembros procedentes de cualquier dominio y se le pueden asignar permisos para recursos de cualquier dominio. El mbito universal slo esta disponible en dominios que se ejecuten en modo nativo. Los grupos universales pueden tener los siguientes miembros:
G G G
Otros grupos universales. Grupos globales. Cuentas individuales.
Incluso en modo nativo, los grupos universales se deben utilizar con prudencia a causa del impacto negativo que pueden tener en el rendimiento de la red. La importancia de planificar los grupos se hace ms aparente cuando se considera el efecto negativo que la organizacin de grupos puede tener en el rendimiento de la red. Cuando un usuario inicia sesin en la red, el controlador de dominio determina los
Captulo 12
miembros del grupo del usuario y asigna un testigo de seguridad al usuario. El testigo incluye los ID de seguridad de todos los grupos a los que pertenece el usuario, adems del ID de la cuenta del usuario. A cuantos ms grupos de seguridad pertenezca el usuario, ms se tardar en crear el testigo y ms tardar el usuario en iniciar sesin. Adems, el testigo de seguridad, una vez creado, se enva a cada equipo al que accede el usuario. El equipo destino compara todos los ID de seguridad del testigo con los permisos para todos los recursos compartidos disponibles en ese equipo. Un gran numero de usuarios aadidos a un gran numero de recursos compartidos (incluyendo carpetas individuales) puede consumir bastante ancho de banda y tiempo de proceso. Una solucin es limitar la pertenencia a los grupos de seguridad. Conviene utilizar los grupos de distribucin para categoras de usuarios que no requieren permisos o derechos especficos. Los grupos con mbito universal tendrn por si mismos un impacto en el rendimiento a causa de todos los grupos, junto con sus miembros, que se muestran en el Catlogo Global. Cuando hay un cambio en la pertenencia a un grupo con mbito universal, este hecho debe ser transmitido a todos los servidores de Catlogo Global del rbol de dominios, aadindose al trfico de rplica de la red. Los grupos con mbito global o local de dominio tambin se muestran en el Catalogo global, pero sus miembros individuales no, por lo que la solucin es limitar la pertenencia a los grupos universales antes que a los grupos globales. Planificacin de estrategias de grupo Como en muchos otros aspectos de la administracin de red, la planificacin es el paso esencial. El modo del dominio determina los tipos de grupos disponibles. Un dominio en modo mixto no puede soportar grupos con mbito universal. De este modo, mientras haya controladores de dominio de reserva con Microsoft Windows NT, se esta limitando a grupos con mbito global y local de dominio.
Determinacin de los nombres de grupo
A la hora de planificar los grupos, se debera determinar un esquema de denominacin que sea apropiado para la organizacin. Se deberan considerar dos factores:
G
Los nombres de los grupos deberan reconocerse instantneamente: Si es as, los administradores que busquen en el Active Directory no tendrn que adivinar su significado. Los grupos comparables deberan tener nombres similares: En otras palabras, si hay un grupo para ingenieros en cada dominio, hay que dar a todos los grupos nombres paralelos, como Ingenieros Amrica, Ingenieros Europa o Ingenieros Asia.
Grupos globales y locales de dominio
Ser necesario desarrollar una estrategia para utilizar los diferentes grupos y hacer que los usuarios con responsabilidades laborales similares pertenezcan a un grupo global. De este modo, se aadiran cuentas
Captulo 12
de usuario para todos los artistas grficos a un grupo global llamado Artistas grficos. Otros usuarios con necesidades comunes deberan asignarse a otros grupos globales. Despus, se deben identificar los recursos a los cuales necesitan acceder los usuarios y crear un grupo local de dominio para cada recurso. Si, por ejemplo, hay varias impresoras y trazadores de color que se utilizan en departamentos especficos, se podra crear un grupo local de dominio llamado ImpresorasDeColor. Lo siguiente que se debera decidir es qu grupos globales necesitan acceder a los recursos identificados. Continuando con el ejemplo, se debera aadir el grupo global Artistas grficos al grupo local de dominio ImpresorasDeColor, junto con el resto de grupos globales que necesiten acceder a las impresoras y los trazadores. El permiso para utilizar los recursos de ImpresorasDeColor debera asignarse al grupo local de dominio ImpresorasDeColor. No se debe olvidar que los grupos globales pueden complicar la administracin en situaciones de mltiples dominios. Los grupos globales de diferentes dominios han de tener sus permisos establecidos individualmente. Adems, la asignacin de usuarios a grupos locales de dominio y la concesin de permisos al grupo no dar a los miembros acceso a los recursos fuera del dominio. Hay que recordar que las reglas de anidamiento solo se aplican en modo nativo. En dominios en modo mixto, los grupos de seguridad con mbito global solo pueden contener cuentas individuales, no otros grupos. Los grupos de seguridad con mbito local de dominio pueden contener grupos globales y cuentas.
Grupos universales
Los Grupos Universales slo se pueden utilizar cuando el dominio se ejecuta en modo nativo y hay que tener en cuenta las siguientes directrices:
G
Evitar la adicin de cuentas individuales a los grupos universales, para mantener el trfico de rplica bajo. Aadir grupos globales de mltiples dominios a grupos universales para proporcionar acceso a recursos a los miembros en ms de un dominio. Los grupos universales pueden ser miembros de grupos locales de dominio y otros grupos universales, pero no pueden ser miembros de grupos globales.
Implementacin de la estrategia de grupo Una vez que se haya planificado la estrategia y comprobado utilizando variedad de escenarios, se estar preparado para comenzar a poner en prctica la estructura.
Creacin de grupos
Se puede utilizar Usuarios y equipos de Active Directory para crear y eliminar grupos. Los grupos
Captulo 12
deberan crearse en el contenedor Users o en una unidad organizativa (OU, Organizational Unit) que se haya creado con el propsito de contener grupos. Para crear un grupo: 1. Abrir Usuarios y equipos de Active Directory desde Herramientas Administrativas. 2. En el rbol de consola, pulsar una OU. 3. Pulsar el men Accin, ir a Nuevo , y entonces pulsar Grupo. Aparece el cuadro de dialogo Nuevo objeto grupo. 4. Nombre del grupo: introducir un nombre representativo de la funcin del grupo a crear. 5. Nombre de grupo (anterior a Windows 2000): De forma predeterminada, el nombre que escriba en el campo anterior se usar tambin para el grupo nuevo en versiones anteriores a Windows 2000. 6. mbito de Grupo: G Dominio Local: Un grupo local de dominio se utiliza para asignar permisos para acceder a los diferentes recursos de la red. Debido a que se utiliza el grupo para asignar permisos, se hace un grupo local de dominio. G Global: Se les pueden conceder permisos en cualquier dominio del bosque. G Universal: El mbito del grupo universal estar disponible cuando se estn ejecutando los servicios de Active Directory en modo Nativo. Se les pueden conceder permisos en cualquier dominio del rbol o el bosque de dominios 7. Tipo de Grupo: G Seguridad: Se utilizan para recopilar usuarios, equipos y otros grupos en unidades ms fciles de administrar. Los administradores deben asignar los permisos para recursos (archivos compartidos, impresoras, etc.) a un grupo de seguridad, no a usuarios individuales. As los permisos se asignan una vez al grupo en lugar de varias veces a cada usuario individual. Cada cuenta que se agrega al grupo recibe automticamente los permisos y derechos definidos para ese grupo. Al trabajar con grupos en lugar de usuarios individuales se simplifica el mantenimiento y la administracin de la red. Seleccionaremos el botn de radio Seguridad. G Distribucin: Los grupos de distribucin slo se pueden utilizar como listas de distribucin de correo electrnico. No pueden utilizarse para filtrar configuraciones de Directiva de grupo. Los grupos de distribucin no tienen ninguna funcin relacionada con
Captulo 12
la seguridad.
Eliminacin de grupos
Cuando ya no se necesita ms un grupo hay que asegurarse de eliminarlo del sistema cuanto antes. Los grupos innecesarios son un riesgo para la seguridad porque es muy fcil garantizar permisos de forma no intencionada. Cada grupo, como cada usuario, tiene un identificador de seguridad (SID) nico. El SID se utiliza para identificar al grupo y los permisos asignados al grupo. Cuando el grupo se elimina, el SID se borra y no se utiliza de nuevo. Si se elimina un grupo y ms tarde se decide volver a crearlo, habr que configurar los usuarios y los permisos al igual que para un nuevo grupo. Para eliminar un grupo, simplemente hay que pulsar con el botn derecho del ratn en su nombre en Usuarios y equipos de Active Directory y escoger Eliminar en el men contextual. La eliminacin de un grupo solo elimina el grupo y los permisos asociados al grupo. El nico efecto en las cuentas de los usuarios es que pierden los derechos inherentes al grupo eliminado.
Cambio del mbito de un grupo
Con el tiempo se puede descubrir que es necesario cambiar el mbito de un grupo particular. Por ejemplo, podra ser necesario cambiar un grupo global a universal de forma que los usuarios de otro dominio puedan ser parte del grupo. Sin embargo, los tipos de cambios que se pueden hacer al mbito de un grupo estn realmente limitados, y puede ser necesario eliminar el grupo y crear uno nuevo para obtener la configuracin que se necesita.
Captulo 12
Para cambiar el mbito de un grupo, hay que pulsar con el botn derecho del ratn en el nombre del grupo en Usuarios y equipos de Active Directory y escoger Propiedades en el men contextual. Hay que realizar los cambios necesarios en la pestaa General y pulsar Aceptar cuando se haya terminado. Las reglas para cambiar un mbito de un grupo son las siguientes:
G G G
En modo mixto, un grupo de seguridad no puede tener mbito universal. Un grupo global se puede cambiar a universal si no es aun miembro de otro grupo global. Un grupo local de dominio se puede cambiar a universal si no contiene aun otro grupo local de dominio. Un grupo universal no se puede cambiar.
Creacin de grupos locales
Un grupo local es una coleccin de cuentas de usuario en un nico equipo. Las cuentas de usuarios han de ser locales al equipo, y los miembros de grupos locales solo pueden tener asignados permisos para recursos del equipo donde se cre el grupo local. Los grupos locales se pueden crear en cualquier equipo Windows 2000 excepto en controladores de dominio. En general, no es conveniente utilizar grupos locales en un equipo que es parte de un dominio o, al menos, es mejor hacerlo con moderacin. Los grupos locales no aparecen en el Active Directory, por lo hay que administrarlos independientemente en cada equipo individual. Para crear un grupo local, hay que seguir estos pasos: 1. Pulsar con el botn derecho del ratn en el icono Mi PC del escritorio y escoger Administrar en el men contextual. 2. En el rbol de la consola hay que expandir Herramientas del sistema y despus Usuarios locales y grupos. 3. Pulsar con el botn derecho en la carpeta Grupos y seleccionar Grupo nuevo en el men contextual. 4. En el cuadro de dialogo Grupo nuevo hay que introducir el nombre del grupo. Se puede incluir una descripcin si se desea. 5. Pulsar el botn Agregar, si se desean aadir miembros al grupo se puede hacer ahora, sino, pulsar Crear y el nuevo grupo se aadir a la lista de grupos del panel de detalles.
Gestin de grupos predefinidos y de los derechos de los usuarios

Windows 2000 crea cuatro tipos de grupos predefinidos: locales, locales de dominio, globales y de sistema. Cada tipo de grupo predefinido tiene un conjunto predeterminado de derechos de usuario. Todo
Captulo 12
el que es asignado al grupo posee automticamente esos derechos. Grupos locales predefinidos Los servidores miembro, los servidores independientes y los equipos que ejecutan Windows 2000 Profesional tienen grupos locales predefinidos que otorgan derechos para realizar tareas en una nica maquina. Si se desea que los miembros del grupo Usuarios del dominio no tengan acceso a una estacin de trabajo o servidor miembro en particular, hay que eliminar Usuarios del dominio del grupo local Usuarios de ese equipo. De forma similar, si no se desea que los miembros de Admins. del dominio administren una estacin de trabajo o un servidor miembro en particular, hay que eliminar Admins. del dominio del grupo local Administradores.
Grupos locales predefinidos:
Administradores: Sus miembros pueden realizar todas las tareas administrativas en el equipo. La cuenta predefinida Administrador que se crea cuando se instala el sistema operativo es un miembro del grupo. Cuando un servidor independiente o un equipo que ejecuta Windows 2000 Profesional se une a un dominio, el grupo Admins. del dominio se hace parte de este grupo. Duplicadores: No se deben aadir cuentas de usuario de usuarios reales a este grupo. Si es necesario, se puede aadir una cuenta de usuario "ficticia" a este grupo para permitir iniciar sesin en los servicios Replicador de un controlador de dominio para administrar la rplica de archivos y directorios. Invitados: Sus miembros solo pueden realizar tareas para las cuales el administrador haya concedido permisos. Los miembros solo pueden utilizar aquellos recursos para los que un administrador haya concedido permisos especficamente. Operadores de copia: Sus miembros pueden iniciar sesin en el equipo, hacer copia de seguridad y recuperar la informacin del equipo y apagar el equipo. Los miembros no pueden cambiar la configuracin de seguridad. No hay miembros predeterminados en el grupo. Usuarios: Los miembros de este grupo pueden iniciar sesin en el equipo, acceder a la red, almacenar documentos y apagar el equipo. Los miembros no pueden instalar programas o hacer cambios en el sistema. Cuando un servidor miembro o una maquina Windows 2000 Profesional se une a un dominio, el grupo Usuarios del dominio se aade a este grupo. Usuarios avanzados: Sus miembros pueden crear y modificar cuentas de usuario e instalar programas en el equipo local pero no pueden ver los archivos de otros usuarios.
Grupos locales de dominio predefinidos
Los grupos locales de dominio predefinidos de Windows 2000 proporcionan a los usuarios derechos y permisos para realizar tareas en controladores de dominio y en el Active Directory. Los grupos locales de dominio tienen derechos y permisos predefinidos que estn concedidos a los usuarios y a los grupos
Captulo 12
globales que se aaden como miembros.

Grupos locales de dominio predefinidos usados ms frecuentemente
Administradores: Sus miembros tienen concedido automticamente cualquier derecho o permiso de todos los controladores de dominio y del propio dominio. La cuenta Administrador, el grupo Administracin de empresas y el grupo Admins. del dominio son miembros. Invitados: Sus miembros solo pueden realizar tareas para las cuales el administrador haya concedido permisos. Los miembros solo pueden utilizar aquellos recursos para los que un administrador haya concedido permisos especficamente. Los grupos Usuarios invitados a Invitados de dominio son miembros de forma predeterminada. Operadores de copia: Sus miembros pueden hacer copia de seguridad y recuperar informacin en todos los controladores de dominio utilizando Copia de seguridad de Windows 2000. Operadores de cuentas: Sus miembros pueden crear, eliminar y gestionar cuentas y grupo de usuarios. Los miembros no pueden modificar el grupo Administradores o cualquiera de los grupos Operadores. Operadores de impresin: Sus miembros pueden gestionar todos los aspectos de la operacin y configuracin de impresoras en el dominio. Operadores de servidores: Sus miembros pueden realizar la mayora de las tareas administrativas en los controladores de dominio, excepto la manipulacin de las opciones de seguridad. Usuarios: Sus miembros pueden iniciar sesin en el equipo, acceder a la red, almacenar documentos y apagar el equipo. Los miembros no pueden instalar programas o hacer cambios en el sistema. El grupo Usuarios del dominio es miembro de este grupo de forma predeterminada. En Windows NT todos los usuarios del dominio son miembros del grupo Todos. Este grupo esta controlado por el sistema operativo y aparece en cualquier red con servidores Windows NT. En Windows 2000, el grupo equivalente se llama Usuarios autentificados. A diferencia de Todos, Usuarios autentificados no contiene usuarios o invitados annimos. El grupo Todos sobrevive como una identidad especial. No se puede ver cuando se administran los grupos y no se puede situar en un grupo. Cuando un usuario inicia sesin en la red es aadido automticamente a Todos. No se puede ver o cambiar la pertenencia de las identidades especiales, que tambin incluyen el grupo Red y el Grupo interactivo.
Grupos globales predefinidos
Los grupos globales predefinidos se crean para englobar tipos de cuentas comunes. De forma predeterminada, estos grupos no tiene derechos heredados; un administrador debe asignar todos los derechos del grupo. Sin embargo, algunos miembros se aaden automticamente a estos grupos, y se pueden aadir como miembros basndose en los derechos y permisos asignados a los grupos. Los derechos se pueden asignar directamente a los grupos o aadiendo los grupos globales predefinidos a grupos locales de dominio.
Grupos globales predefinidos usados ms frecuentemente
Captulo 12
G G G
Administracin de empresas: Este grupo es para usuarios que tengan derechos administrativos en toda la red. Administracin de empresas es automticamente un miembro del grupo local de dominio Administradores en el dominio en el que se creo. Ser necesario aadirlo al grupo local de dominio Administradores de otros dominios. Admins. del dominio: Este grupo es automticamente un miembro del grupo local de dominio Administradores, por lo que los miembros de Admins. del dominio pueden realizar tareas administrativas en cualquier equipo del dominio. La cuenta Administrador es un miembro de este grupo de forma predeterminada. Controladores del dominio: Todos los controladores de dominio del dominio con miembros. Equipos del dominio: Son miembros todos los controladores y estaciones de trabajo del dominio. Invitados del dominio: La cuenta Invitado es un miembro de forma predeterminada. Este grupo es automticamente un miembro del grupo local de dominio Invitados. Propietarios del creador de directivas de grupo: Sus miembros pueden crear y modificar la directiva de grupo del dominio. Usuarios del dominio: Todos los usuarios del dominio y la cuenta Administrador son miembros. El grupo Usuarios del dominio es automticamente un miembro del grupo local de dominio usuarios. Si se tienen usuarios que deberan tener menos derechos y/o permisos que los de un usuario tpico, hay que aadir esos usuarios a Invitados de dominio y eliminarlos de Usuarios del dominio.
Derechos de usuario Derechos son aquellas acciones que los usuarios pueden o no realizar. Los derechos se aplican generalmente al sistema entero. La capacidad de hacer copia de seguridad de archivos o de iniciar sesin en un servidor, por ejemplo, es un derecho que el administrador concede o retira. Los derechos se pueden asignar de forma individual, pero la mayora de las veces son caractersticos de los grupos, y un usuario se asigna a un grupo particular en base a los derechos que necesita. Los permisos indican el acceso que un usuario (o un grupo) tiene a objetos especficos como archivos, directorios a impresoras. Los derechos, a su vez, estn divididos en dos tipos: privilegios y derechos de inicio de sesin. Los privilegios incluyen cosas como la capacidad de ejecutar auditorias de seguridad o forzar el apagado desde un sistema remoto; obviamente cosas que no hacen la mayora de los usuarios. Los derechos de inicio de sesin implican la capacidad de conectarse a un equipo de forma especifica. Los derechos se asignan automticamente a usuarios individuales adems de a grupos. Es preferible la asignacin a grupos, por lo que, en la medida de lo posible, se deberan asignar los derechos por pertenencia a un grupo para simplificar la administracin. Cuando la pertenencia de los grupos define derechos, se pueden eliminar los derechos de un usuario eliminando simplemente al usuario del grupo.
Captulo 12
Derechos de inicio de sesin asignados de forma predeterminada a los grupos Nombre Descripcin Grupos con el derecho asignado de forma predeterminada
Iniciar sesin como servicio
Permite iniciar sesin Ninguno como un servicio utilizando una cuenta de usuario y un contexto de seguridad especficos.
Iniciar sesin como Permite iniciar sesin Administradores trabajo de procesamiento utilizando una cola de por lotes procesamiento por lotes. Iniciar sesin local Permite iniciar sesin desde el teclado del equipo. Administradores, Operadores de copia; Operadores de cuentas, Operadores de impresin, Operadores de servidores
Tener acceso a este equipo desde la red
Permite la conexin al Administradores, Todos, equipo a travs de la red. Usuarios avanzados.
Privilegios asignados de forma predeterminada a los grupos Privilegio Descripcin Grupos con el privilegio asignado de forma predeterminada
Actuar como parte del sistema operativo
Permite a un proceso Ninguno autenticarse como cualquier usuario. Un proceso que requiere este privilegio debera utilizar la cuenta LocalSystem, que ya incluye este privilegio.
Captulo 12
Administrar registros de auditoria y de seguridad
Permite a un usuario Administradores especificar opciones de auditoria y ver y borrar el registro de seguridad del Visor de sucesos. Se debe activar Auditar el acceso del servicio de directorio para que se pueda realizar la auditoria de acceso a objetos. Los administradores siempre pueden ver y borrar el registro de seguridad. Permite a un usuario aadir Administradores nuevas estaciones de trabajo a un dominio existente. Apaga Windows 2000. Administradores, Operadores de copia, Todos, Usuarios, Usuarios avanzados
Agregar estaciones de trabajo a un dominio Apagar el sistema
Administradores, Usuarios Aumentar la prioridad de Permite el uso del programacin Administrador de tareas de avanzados programacin para cambiar la prioridad de un proceso. Aumentar las cuotas Permite a un proceso con Ninguno permiso de escritura acceder a otro proceso para aumentar la cuota de procesador asignada a ese proceso. Permite a un proceso Ninguno mantener informacin en la memoria fsica. Este es un privilegio obsoleto que puede tener un serio efecto negativo en el rendimiento del sistema. No se debe utilizar. Permite establecer la hora Administradores, Usuarios del reloj interno del equipo. avanzados.
Bloquear paginas en la memoria
Cambiar la hora del sistema
Captulo 12
Cargar y descargar controladores de dispositivo
Instalar y desinstalar Administradores controladores de dispositivo.
Crear objetos Permite a un proceso crear Ninguno compartidos permanentes un objeto de directorio. Lo utilizan componentes de modo de ncleo para ampliar el espacio de nombres de objetos de Windows 2000. Los componentes que se ejecutan en modo de ncleo ya tienen este privilegio. Crear un archivo de paginacin Crear un objeto identificador (token) Permite la creacin y Administradores modificacin de un archivo de paginacin Permite a un proceso crear Ninguno un identificador (token) que se puede utilizar para acceder a cualquier recurso local. Un proceso que requiere este privilegio debera utilizar la cuenta LocalSystem, que ya incluye este privilegio. Permite al usuario asignar un depurador a un proceso. Permite desacoplar un porttil de una estacin de acoplamiento utilizando la interfaz de Windows 2000. Administradores Administradores, Usuarios
Depurar programas Desacoplar un equipo porttil
Forzar el apagado desde un sistema remoto Generar auditorias de seguridad
Permite apagar un equipo Administradores desde una ubicacin remota de la red. Permite a un proceso crear entradas en el registro de seguridad. Ninguno
Captulo 12
Habilitar la opcin de confianza para la delegacin en las cuentas de usuario y de equipo Modificar valores del entorno del firmware
Permite a un usuario establecer la configuracin Confianza para la delegacin en un objeto.
Administradores
Permite la configuracin de Administradores la RAM no voltil en equipos que soportan tal funcin. Permite a un usuario Todos recorrer los rboles del directorio (estructuras de carpetas) incluso si el usuario no tiene permiso para acceder a los directorios por los que pasa. Permite observar el rendimiento del sistema. Administradores Administradores, Usuarios avanzados Administradores, Operadores de copia
Omitir la comprobacin de recorrido
Perfilar el rendimiento del sistema
Perfilar un nico proceso Permite observar el rendimiento de un proceso. Realizar copias de seguridad de archivos y directorios Permite hacer copias de seguridad del sistema, ignorando los permisos especficos de archivos y carpetas. Permite reemplazar el identificador (Token) predeterminado asociado con un subproceso.
Reemplazar un identificador (Token) de nivel de proceso Restaurar archivos y directorios
Ninguno
Permite restaurar archivos y Administradores, Operadores carpetas en un sistema; de copia invalida los permisos especficos de archivos y carpetas.
Sincronizar informacin Permite a un usuario iniciar Administradores del servicio de directorio una sincronizacin del Active Directory.
Captulo 12
Tomar posesin de archivos y otros objetos
Permite a un usuario tomar Administradores posesin de cualquier objeto de seguridad incluyendo archivos y carpetas, impresoras, claves de registro y procesos. Invalida los permisos especficos.
Captulo 13
Captulo 13
En muchas redes de pequeo o medio tamao, los grupos predefinidos de Windows 2000 Server pueden, con quizs algn pequeo ajuste, proporcionar perfectamente una seguridad adecuada. Sin embargo, en configuraciones grandes y configuraciones con necesidades especiales, las configuraciones de seguridad pueden ser demasiado estrictas para algunos grupos y demasiado relajadas para otros. En estas situaciones, las directivas de grupo pueden proporcionar a los administradores un grado de control que es tan granular como se podra desear. Adems, las directivas de grupo pueden reducir la cantidad de productividad perdida cuando los usuarios eliminan accidentalmente archivos de configuracin del sistema, "pierden" carpetas vitales o introducen un virus en la red. Directiva de grupo es el sucesor del Editor de directivas del sistema de Windows NT. Las directivas de grupo pueden controlar todos los aspectos del entorno, ya sea grande o pequeo, y se establecen normalmente a nivel de sitio y de dominio. Con el complemento directiva de grupo, se pueden especificar configuraciones para configuraciones de directiva basadas en el registro, configuraciones de seguridad, instalacin de software, secuencias de comandos y redireccin de carpetas. Terceras partes pueden ampliar directiva de grupo para alojar otras configuraciones de directiva. Toda la informacin generada por directiva de grupo se almacena en un objeto de directiva de grupo (GPO, Group Policy Object), que se replica en todos los controladores de dominio dentro de un nico dominio. Los directivas del sistema establecidas en Windows NT 4 no se migran a Windows 2000: Un cliente Windows NT actualizado a Windows 2000 solo tendr directivas de grupo basadas en Active Directory; ninguna directiva de Windows NT 4 sobrevivir a la actualizacin. La principal diferencia entre las directivas del sistema de Windows NT y las directivas de grupo de Windows 2000 reside en donde se escriben las directivas. Windows 2000 slo utiliza los siguientes cuatro rboles del registro: HKEY_LOCAL_MACHINE\Software\Policies HKEY_CURRENT_USER\Software\Policies HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies Cuando una directiva de grupo cambia, estos rboles son esencialmente eliminados y sus contenidos se vuelven a escribir. Aunque ninguna de las plantillas que vienen con Windows 2000 incluye valores que escriban en otros lugares del registro, es posible hacerlo. (Las directivas de Windows NT 4 pueden escribir en cualquier parte del registro.) Sin embargo, no es aconsejable emplear directivas al estilo Windows NT que escriban en otras partes del registro por las siguientes razones:
Captulo 13
Solo estos cuatro rboles son seguros. Las aplicaciones, el sistema operativo o los usuarios pueden modificar otras partes del registro. Una vez que una directiva se define en otra parte del registro, persistir hasta que el registro sea editado o la directiva sea revertida especficamente. Mantenerse fiel a directiva de grupo de Active Directory proporciona considerablemente ms control sobre cundo y cmo cambiarn las directivas.
Los clientes Windows NT 4 Workstation y Server no tienen Active Directory, por lo que habr que seguir utilizando el Editor de directivas del sistema (Poledit.exe) para definir directivas para esos clientes. Las directivas de grupo no se aplicaran a ellos. De forma similar, hay que ejecutar Poledit.exe en los clientes Windows 95 y Windows 98 y copiar el archivo resultante Config.pol a la carpeta SYSVOL del controlador de dominio Windows 2000. Componentes de directiva de grupo Directiva de grupo consta de varios componentes configurables. El primero son las plantillas administrativas, que establecen las directivas basadas en el registro. Se incluyen cinco plantillas administrativas en Windows 2000. Dos de ellas se instalan de forma predeterminada:
G G
System.adm: directivas del sistema para clientes Windows 2000. Inetres.adm: directivas de Internet Explorer para clientes Windows 2000.
Estas plantillas utilizan las cuatro reas del registro reservadas para la configuracin de directiva de grupo. Las tres plantillas administrativas adicionales (Winnt.ADM, Windows.ADM y Common.ADM) son para directivas de seguridad para clientes Windows NT, Windows 95 y Windows 98. Se utilizan con el Editor de directiva de seguridad (Poledit.exe) en los propios clientes y no deberan cargarse en directiva de grupo. Los otros componentes de directiva de grupo son los siguientes:
G G
Configuracin de seguridad: Configura la seguridad para usuarios, equipos y dominios. Archivos de comandos: Especifica secuencias de comandos para el inicio y el apagado del equipo adems del inicio y cierre de sesin del usuario. Redireccin de carpetas: Sita carpetas especiales como Mis documentos o carpetas de aplicaciones especificas en la red. Software: Asigna aplicaciones a usuarios.
Todos los componentes de directiva de grupo se pueden editar utilizando el Editor de directivas de grupo (GPE, Group Policy Editor).
Captulo 13
Objetos de directiva de grupo
La configuracin de directiva de grupo se almacena en un objeto de directiva de grupo (GPO, Group Policy Object). Se pueden aplicar uno o ms GPO a un sitio, dominio u OU (SDOU, Site, Domain or OU), al igual que mltiples SDOU se pueden asociar con un nico GPO. Los GPO almacenan informacin en dos ubicaciones: en una estructura de carpetas llamada plantilla de directiva de grupo (GPT, Group Policy Template) y en un contenedor de directiva de grupo (GPC, Group Policy Container) en el Active Directory. El GPT se encuentra en la carpeta SYSVOL de todos los controladores de dominio. Contiene informacin sobre la directiva de software, implantacion de archivos y aplicaciones, secuencias de comandos y configuraciones de seguridad. Un GPC contiene propiedades de GPO, incluyendo la informacin de clase de Active Directory relacionada con la implantacin de la aplicacin. La informacin almacenada en un GPC rara vez cambia. Un GPO que se aplica localmente se almacenar en la carpeta %SystemRoot%\system32\GroupPolicy del equipo local. Un equipo solo puede tener una directiva de grupo local. Plantillas de Directiva de grupo: Cuando se crea un GPO, la estructura de carpetas de la GPT se crea automticamente. El nombre de la carpeta para la GPT ser el identificador nico global (GUID, Globally Unique Identifier) del GPO. Sin embargo, para ver la carpeta de la directiva, hay que mirar en %SystemRoot%\SYSVOL\Sysvol\nombre_del_dominio\Policies. Contenedores de directiva de grupo: Los objetos de directiva de grupo tambin tendrn un componente del Active Directory llamado GPC que incluye subcontenedores con informacin de la versin, Information del estado y una lista de las extensiones de directiva de grupo empleadas en el GPO. Los GPC no tienen relevancia directa para la administracin.
Acceso a Directiva de grupo
Las directivas de grupo se crean y modifican de varias formas diferentes, dependiendo del tipo de directiva de grupo que se desea implementar y para que se apliquen hay que seguir, para cada grupo, unos pasos determinados:
G
El equipo local: Hay que seleccionar Directiva de Seguridad local en el men Herramientas administrativas. En una mquina Windows 2000 Professional hay que abrir el Panel de control, pulsar Herramientas administrativas y seleccionar directiva de seguridad local. Otro equipo: Abrir MMC y agregar el complemento directiva de grupo. En el cuadro de dialogo Seleccionar un objeto de directiva de grupo, hay que examinar en busca del objeto de directiva de grupo que se desee. Un dominio: Abrir Usuarios y equipos de Active Directory. En el rbol de la consola, hay que
Captulo 13
pulsar con el botn derecho del ratn en el dominio y escoger Propiedades en el men contextual. Pulsar en la pestaa directiva de grupo. Una unidad organizativa: Abrir Usuarios y equipos de Active Directory. En el rbol de la consola, hay que pulsar con el botn derecho del ratn en la OU y escoger Propiedades en el men contextual. Pulsar en la pestaa directiva de grupo. Un sitio: Abrir Usuarios y equipos de Active Directory. En el rbol de la consola, hay que pulsar con el botn derecho del ratn en el sitio y escoger Propiedades en el men contextual. Pulsar en la pestaa directiva de grupo
Gestin de las directivas de grupo Las directivas de grupo se heredan y se acumulan. Cuando se asocia un GPO con un contenedor de Active Directory, la directiva de grupo se aplica a todas las cuentas de equipo y usuario del contenedor. Las carpetas Users y Computers de Usuarios y equipos de Active Directory no son unidades organizativas y, por lo tanto, no pueden tener directivas de grupo aplicadas. Sin embargo, la carpeta Domain Controllers si es una OU y puede tener un GPO especifico.
Orden de herencia
Como regla, la configuracin de Directiva de grupo se transmite hacia abajo de contenedores primarios a contenedores secundarios. Esta prctica implica que una directiva que se aplica a un contenedor primario se aplicar a todos los contenedores -incluyendo usuarios y equipos- que se encuentren bajo ese contenedor primario en el rbol jerrquico de Active Directory. Sin embargo, si se asigna especficamente una directiva de grupo a un contenedor secundario que contradice la directiva del contenedor primario, la directiva del contenedor secundario sustituir a la directiva de grupo primaria. Si las directivas no son contradictorias, se pueden implementar ambas. Por ejemplo, si una directiva de
Captulo 13
contenedor primario provoca la existencia de un acceso directo a una aplicacin en el escritorio del usuario, mientras que la directiva de un contenedor secundario sita otro acceso directo a la misma aplicacin, aparecern ambos. Los parmetros de la directiva que se encuentren deshabilitados se heredaran como deshabilitados. Los parmetros de la directiva que no estn configurados en el contenedor primario no se heredaran.
Sustitucin de la herencia
En Windows 2000 hay disponibles dos opciones para cambiar el proceso de herencia: No reemplazar y Bloquear la herencia de directivas.
G
No reemplazar: Cuando se establece esta opcin, los contenedores secundarios no pueden sustituir ningn GPO de un nivel superior. Esta opcin no se establece de forma predeterminada y es necesario activarla en cada GPO si se desea. Para establecer la opcin No reemplazar, hay que seguir estos pasos: 1. Abrir el GPO que se desee administrar. 2. Pulsar con el botn derecho del ratn en el GPO y escoger No reemplazar en el men contextual. Aparece una marca de verificacin junto al GPO bajo No remplazar. 3. Pulsar Aceptar. Bloquear la herencia de directivas: Esta opcin esta disponible en una casilla de verificacin en la ventana Propiedades del GPO. Cuando se selecciona esta opcin, el contenedor secundario no hereda ninguna directiva de los contenedores primarios. Si hay un conflicto entre estas dos opciones, la opcin No reemplazar siempre tiene preferencia.
Orden de implementacin Las directivas de grupo se procesan en el siguiente orden:

G G G
Directiva del sistema de Windows NT 4 (si hay alguna). Directiva de grupo local. Sitio.
Captulo 13
G G G
Dominio. Unidad organizativa. OU secundaria.
La directiva local se procesa primero y la OU de la que es miembro el usuario o equipo se procesa al final. Hay dos excepciones a esto. La opcin Bloquear la herencia de directivas se puede establecer en un SDOU, lo que implica que la directiva superior no se aplicar. Sin embargo, una directiva de grupo de un SDOU con la opcin No reemplazar establecida siempre se aplica, teniendo preferencia la directiva ms alta del rbol.
Implementacin y directiva vigente
Como se pueden establecer directivas a varios niveles, cuando se pulsa con el ratn en un objeto de directiva, se observa tanto la directiva local como la directiva vigente en el sistema. Estas no tienen por que ser la misma si el equipo hereda la configuracin de las directivas a nivel de dominio. Si se crea una configuracin de directiva y no se refleja en la directiva vigente, es posible que una directiva del dominio est reemplazando la configuracin. Tambin es posible que la directiva no se haya actualizado desde que se hizo el cambio. Para forzar la actualizacin de una directiva para el equipo local, hay que abrir una ventana de comandos y escribir: secedit /refreshpolicy machine_policy
Definicin del mbito del GPO
Un objeto de Directiva de grupo se aplica a todos los usuarios y equipos del SDOU con el que esta asociado el GPO. Inevitablemente, habr usuarios y equipos en el SDOU que no deberan tener aplicado un GPO en particular. Adems, las directivas de un GPO particular solo se aplican a los usuarios que tengan el permiso Leer para ese GPO. Para filtrar la aplicacin de un GPO se pueden crear grupos de seguridad y asignar el permiso Leer slo a los grupos a los que se aplique el GPO.
Captulo 13
El filtrado del mbito de un GPO involucra la utilizacin del Editor de Listas de control de acceso (ACL, Access Control List) para permitir o denegar el acceso al GPO para grupos particulares. Para establecer el acceso, hay que seguir estos pasos: 1. Abrir el GPO que se desea administrar. 2. En la pestaa directiva de grupo, hay que resaltar el GPO y pulsar Propiedades. 3. Pulsar en la pestaa Seguridad. En la parte inferior de la pestaa Seguridad, hay que pulsar el botn Avanzada para abrir el Editor de ACL. 4. Agregar, quitar grupos o modificar la configuracin. Cuando se haya terminado, hay que pulsar Aceptar varias veces para cerrar todas las ventanas abiertas. La ubicacin del grupo de seguridad no importa a la hora de crear configuraciones. Lo que importa es la ubicacin de los usuarios o equipos que son miembros del grupo. Si un usuario o equipo no es miembro del SDOU con el que esta asociado el GPO (bien directamente, bien a travs de un vnculo o bien mediante herencia), ninguna combinacin de permisos o pertenencias en un grupo de seguridad puede forzar que se aplique el GPO a ese usuario o equipo. Definicin de las directivas para grupos de seguridad Resultado pretendido Permisos necesarios Consecuencias La directiva de grupo se aplicara a todos los miembros excepto los miembros que pertenezcan a otro grupo con Aplicar directiva de grupo o Leer establecidos como Denegar.
Esta directiva de Aplicar directiva de grupo se aplicar a grupos: Permitir los miembros de este Leer: Permitir grupo
Captulo 13
Esta directiva de Aplicar directiva de grupos: grupo no se aplicara Denegar a los miembros de Leer: Denegar este grupo La pertenencia a este Aplicar directiva de grupos: grupo no debera ser Sin establecer un factor relevante Leer: Sin establecer para la aplicacin de la directiva de grupo.
La directiva de grupo no se aplicara a ningn miembro de este grupo, no importa a que otros grupos pertenezcan. La aplicacin de esta directiva de grupo a los miembros de este grupo depender de si los miembros pertenecen a otros grupos de seguridad con configuracin Permitir o Denegar.
Creacin de objetos de directiva de grupo Cuando se crea un dominio Active Directory, tambin se crea una directiva de dominio predeterminada. Se puede comprobar pulsando con el botn derecho del ratn en el dominio en Usuarios y equipos de Active Directory, escogiendo Propiedades y pulsando en la pestaa directiva de seguridad. Para configurar un GPO hay que seguir estos pasos: 1. Abrir Usuarios y equipos de Active Directory (para GPO de dominio a OU) o Sitios y servicios de Active Directory (para GPO de sitio). 2. Pulsar con el botn derecho del ratn en el objeto para el que se desea crear un GPO y escoger Propiedades en el men contextual. 3. Pulsar en la pestaa Directiva de grupo y despus pulsar el botn Nueva. 4. Escribir el nombre del nuevo GPO y escoger uno de los siguientes botones: G Nueva: Para crear una directiva nueva
Captulo 13
Agregar: Para aadir un vinculo a la nueva directiva. G Modificar: Para abrir el nuevo GPO en el Editor de directivas de grupo. G Opciones: Para establecer No reemplazar o para deshabilitar el GPO. G Eliminar: Para eliminar el GPO de forma permanente o para eliminarlo de la lista. Si se escoge Quitar el vinculo de la lista, el GPO permanece en el Active Directory pero ya no se aplica a ese SDOU en particular. G Propiedades: Para filtrar el GPO a travs de los grupos de seguridad. 5. Pulsar Aceptar cuando se haya terminado.
G
Editor de directivas de grupo Si se pulsa Default Domain Policy en el rbol de la consola de Directiva de grupo se observar que el Editor de directivas de grupo (GPE, Group Policy Editor) muestra dos nodos: Configuracin del equipo y Configuracin de usuario. Cuando se pulsan estos nodos, se descubre que cada uno muestra extensiones para Configuracin de software, Configuracin de Windows y Plantillas administrativas.
G
Configuracin del equipo: se pueden utilizar para personalizar las directivas para equipos de la red. Estas directivas entran en vigor cuando el equipo se enciende y se inicia el sistema operativo. La configuracin de estas carpetas se aplica a cualquier usuario que inicie sesin en el equipo. Configuracin de usuario: contiene la configuracin para entornos personalizados o directivas de configuracin para usuarios de la red. Las directivas de Configuracin de usuario se aplican cuando un usuario especifico inicia sesin en la red.
Captulo 13
Desactivacin de una rama de un GPO: Si un GPO tiene un nodo completo no configurado bajo configuracin de usuario o configuracin del equipo, hay que deshabilitar el nodo para impedir que se procese esa configuracin. Esto acelera el inicio y el inicio de sesin de todos los usuarios sujetos a ese GPO. Para deshabilitar un nodo, hay que seguir estos pasos: 1. Pulsar con el botn derecho del ratn en el objeto de Directiva de grupo, bien en una consola o en la ventana Propiedades de Directiva de grupo. 2. Escoger Propiedades en el men contextual. 3. En la pestaa General, hay que seleccionar una de las siguientes opciones: H Deshabilitar los parmetros de configuracin del equipo. H Deshabilitar los parmetros de configuracin de usuario. 4. Pulsar Aceptar cuando se haya terminado. Los parmetros deshabilitados ya no afectarn a ningn SDOU vinculado a este GPO.
Bsqueda de vnculos a directivas de grupo
Cuando hay numerosos GPO en una red es importante estar al corriente de los vnculos entre GPO y SDOU. Para averiguar que SDOU utilice un GPO en particular, hay que pulsar con el botn derecho del ratn en el objeto de Directiva de grupo, bien en una consola o bien en la ventana Propiedades de Directiva de grupo. Hay que escoger propiedades y despus pulsar en la pestaa vnculos. Hay que pulsar el botn Buscar ahora para obtener una lista de los SDOUs que utilizan el objeto de Directiva de grupo.
Renovacin de la directiva de grupo
Los cambios en una directiva son inmediatos, pero no se propagan a los clientes automticamente. Los equipos cliente solicitan una directiva cuando:
G
El equipo se inicia.
Captulo 13
G G G G
Un usuario inicia sesin. Una aplicacin solicita una renovacin. Un usuario solicita una renovacin. Hay activo un intervalo de renovacin de la directiva de grupo y el tiempo ha transcurrido.
Para establecer un intervalo de renovacin de la directiva de grupo, hay que seguir estos pasos: 1. Abrir el GPO. 2. En el rbol de la consola, hay que seleccionar Configuracin del equipo y despus Plantillas administrativas, Sistema y, finalmente, Directiva de grupo. 3. En el panel de detalles, hay que pulsar dos veces en Intervalo de renovacin de la directiva de grupo para equipos. 4. Habilitar el intervalo de renovacin. Pulsar Aceptar. No conviene utilizar un intervalo muy corto a causa de la gran cantidad de trafico de red que se genera en cada renovacin. El intervalo de actualizacin para los controladores de dominio se establece por separado.
Directiva de grupo para el redireccionamiento de carpetas
Redireccionamiento de carpetas es una extensin de Directiva de grupo que permite situar las carpetas designadas en la red. En particular, se pueden redireccionar las carpetas Mis documentos de los usuarios a otras carpetas que podran volverse bastante grandes con el tiempo. Con las carpetas redirigidas se aplican las siguientes condiciones:
Captulo 13
G
Un usuario puede iniciar sesin en diferentes equipos y tener an las carpetas disponibles. Cuando se utilizan perfiles mviles, solo la ruta de acceso en la red a las carpetas redirigidas forma parte del perfil, no las propias carpetas. Esto hace que el inicio de sesin sea mucho ms rpido. Se pueden hacer copias de seguridad de las carpetas en un servidor de red como parte del mantenimiento de rutina sin ninguna accin por parte del usuario.
Las carpetas se pueden redireccionar a una ubicacin para todo el mundo en el SDOU afectado por el objeto de Directiva de grupo. Tambin se pueden redireccionar a diferentes ubicaciones de forma acorde con la pertenencia a los grupos de seguridad.
Redireccin a una nica ubicacin
La forma ms comn con diferencia de redireccin es enviar la carpeta Mis documentos de todo el mundo a una nica ubicacin en un servidor de la red. Los siguientes pasos muestran como hacerlo. Se puede sustituir por cualquier otra carpeta especial de Windows en los pasos para redireccionarlas de igual forma. 1. Crear una carpeta compartida en el servidor. 2. Abrir el objeto de Directiva de grupo vinculado al SDOU que contiene a los usuarios cuyas carpetas se van a redireccionar.
Captulo 13
3. En el rbol de la consola hay que pulsar configuracin de usuario, despus Configuracin de Windows, Redireccionamiento de carpetas. 4. Pulsar con el botn derecho del ratn en Mis documentos y escoger Propiedades en el men contextual. 5. En la lista desplegable hay que seleccionar Bsico: redirigir la carpeta de todos a la misma ubicacin. Hay que introducir la ruta de acceso de la carpeta compartida en el servidor. Se debe utilizar una ruta de acceso UNC con la variable %username%. 6. Pulsar en la pestaa Configuracion. Los siguientes parmetros estn habilitados de forma predeterminada: G Otorgar al usuario derechos exclusivos para Mis documentos El usuario y el sistema local tienen derechos exclusivos sobre la carpeta. No hay activo ningn derecho administrativo. Si este parmetro se deshabilita, los permisos que existan en la carpeta en su posicin actual permanecern. G Mover el contenido de Mis documentos a la nueva ubicacin G Eliminacin de la directiva El valor predeterminado es dejar la carpeta en la nueva ubicacin cuando se quite la directiva. G Preferencias de Mis imgenes Mis imgenes seguir a Mis documentos como subcarpeta. 7. Pulsar Aceptar cuando se haya terminado.
Redireccionamiento por pertenencia a un grupo
Las carpetas especiales tambin se pueden redireccionar a varias ubicaciones basndose en la pertenencia del usuario a los grupos de seguridad. Para hacer esto hay que seguir estos pasos: 1. Crear las carpetas compartidas en las ubicaciones a las que se redirigirn las carpetas. 2. Abrir el objeto de Directiva de grupo vinculado al SDOU que contiene los usuarios cuyas carpetas se van a redireccionar. 3. En el rbol de la consola hay que pulsar en configuracin de usuario, despus en configuracin de Windows y, finalmente, en Redireccionamiento de carpetas.
Captulo 13
4. Pulsar con el botn derecho del ratn en la carpeta especial (en este caso Mis documentos) y escoger Propiedades en el men contextual. 5. En la lista desplegable, hay que seleccionar Avanzado: especificar ubicaciones para diversos grupos de usuarios y despus pulsar el botn Agregar. 6. En el cuadro Especificar grupo y ubicacin, hay que introducir el grupo de seguridad y la ubicacin para las carpetas redirigidas. Hay que utilizar siempre una ruta de acceso UNC, incluso si las carpetas van a estar en el equipo local para que los usuarios mviles puedan ver sus carpetas. 7. Pulsar Aceptar. Agregar ms grupos y ubicaciones si es necesario. 8. Pulsar en la pestaa Configuracin. Los siguientes parmetros estn habilitados de forma predeterminada: G Otorgar al usuario derechos exclusivos para Mis documentos: El usuario y el sistema local tienen derechos exclusivos sobre la carpeta. No hay activo ningn derecho administrativo. Si este parmetro se deshabilita, los permisos que existan en la carpeta en su posicin actual permanecern. G Mover el contenido de Mis documentos a la nueva ubicacin.: G Eliminacin de la directiva: El valor predeterminado es dejar la carpeta en la nueva ubicacin cuando se quite la directiva. G Preferencias de Mis imgenes: Mis imgenes seguir a Mis documentos como subcarpeta. 9. Pulsar Aceptar cuando se haya terminado.
Eliminacin de las redirecciones
Si la directiva cambia despus de haber redireccionado las carpetas, el efecto en las carpetas especiales depende de la combinacin de elecciones realizada en la pestaa Configuracin de la ventana propiedades de la carpeta especial. Configuraciones y sus consecuencias cuando se elimina una redireccin Opcin de eliminacin Mover el contenido de la de la directiva carpeta a la nueva ubicacin Devolver la carpeta a la Habilitado ubicacin local de perfil de usuario cuando la directiva se haya quitado. Consecuencias cuando se elimina la directiva La carpeta vuelve a la ubicacin del perfil de su usuario; el contenido de la carpeta se copia de nuevo a la ubicacin original; los contenidos no se borran de la ubicacin redirigida.
Captulo 13
Devolver la carpeta a la Deshabilitado ubicacin local de perfil de usuario cuando la directiva se haya quitado
La carpeta vuelve a la ubicacin del perfil de su usuario; el contenido de la carpeta no se mueve ni se copia de nuevo a la ubicacin original. Advertencia: esto significa que el usuario no puede acceder al contenido de la carpeta. La carpeta y su contenido permanecen en ubicacin redirigida; el usuario tiene acceso al contenido en la ubicacin redirigida.
Cuando se quite la directiva, dejar la carpeta en la nueva la ubicacin
Habilitado o deshabilitado
Captulo 14
Captulo 14
El trabajo de un administrador de red consiste en una gran cantidad de detalles y, si hay que hacerles frente, es necesario buscar formas de gestionarlos y controlarlos. Microsoft Windows 2000 proporciona muchas herramientas para ello, incluyendo las que permiten delegar tareas a otros usuarios o grupos, utilizar archivos de comandos para automatizar tareas y tareas programadas para ejecutarse peridicamente. De todas formas, administrar una red es an as un enorme proceso de planificacin y organizacin, y en este rea no hay sustituto para el poder de la mente.
Inicio de sesin secundario

La prctica administrativa recomendada dicta que un administrador slo debe iniciar sesin con una cuenta privilegiada (una con derechos administrativos) cuando est realizando tareas que requieran privilegios. Para el trabajo ordinario, se supone que el administrador cierra la sesin de la cuenta privilegiada e inicia otra con una cuenta ordinaria. Por supuesto, no es inusual que diez minutos ms tarde surja una situacin que requiera el uso de la cuenta privilegiada. Entonces es necesario cerrar la sesin de la cuenta ordinaria e iniciar sesin de nuevo en la cuenta de administrador, repitindose el proceso a la inversa diez minutos ms tarde. Despus de que se repita esto durante varios das, incluso la persona ms preocupada por la seguridad empieza a darle vueltas a la idea de iniciar sesin con la cuenta de administrador y quedarse en ella. Y, con el tiempo, muchos administradores sucumben a la tentacin y permanecen en la cuenta privilegiada la mayor parte del tiempo. Esta prctica hace que los sistemas Microsoft Windows NT sean altamente susceptibles a ataques del tipo caballo de Troya. Simplemente ejecutar Microsoft Internet Explorer y acceder a un sitio Web sin confianza puede ser muy arriesgado si se hace desde una cuenta de administrador. Se puede descargar y ejecutar en el sistema una pgina Web con cdigo caballo de Troya. La ejecucin, realizada en el contexto de los privilegios administrativos, ser capaz de hacer un dao considerable, incluyendo cosas como volver a dar formato al disco duro, eliminar todos los archivos o crear un nuevo usuario con acceso administrativo. Si se piensa, es como darle las llaves de la red a un completo (y malicioso) desconocido. Este problema ya se trata en Windows 2000 por medio del servicio RunAs. Este servicio permite trabajar en una cuenta normal sin privilegios y an as acceder a funciones administrativas sin tener que cerrar la sesin e iniciarla de nuevo. Para configurar el servicio RunAs hay que seguir estos pasos: 1. Desde una sesin con derechos administrativos, hay que escoger Servicios en el men Herramientas administrativas. 2. En la lista de servicios, hay que pulsar dos veces en el Servicio RunAs. 3. Comprobar que el Tipo de inicio est establecido a Automtico y que el Estado del servicio es Iniciado. (Si no es as, hay que pulsar el botn Iniciar.) Pulsar Aceptar para cerrar el cuadro de dilogo. Despus de realizar estos pasos hay que crear una cuenta de usuario ordinaria para uso particular (si no se dispone ya de una). Conviene asegurarse de que la cuenta de usuario tiene el derecho de iniciar sesin localmente en la mquina que se vaya a utilizar. Windows 2000 ve todos los controladores de dominio como casos especiales. En un controlador de dominio, por ejemplo, toda la gestin de usuarios y grupos se debe hacer por medio del complemento Usuarios y equipos de Active Directory. Adems, de forma predeterminada, los usuarios no pueden iniciar sesin localmente en un controlador de dominio.
Captulo 14
Apertura de una ventana de lnea de comandos para administracin Cuando el servicio RunAs est iniciado, se puede iniciar sesin con la cuenta de usuario habitual y abrir despus una ventana del intrprete de comandos para realizar tareas administrativas, como sigue: 1. Despus de iniciar sesin como usuario normal, hay que abrir una ventana de comandos e introducir el comando runas /user: <dominio\nombreusuario> cmd. En este caso, nombreusuario es la cuenta con privilegios administrativos. Si se ha iniciado sesin como usuario local, el comando es runas /user: <nombremquina\nombreusuario> cmd. 2. Aparece una ventana con el smbolo del sistema y se solicita la contrasea de la cuenta administrativa. 3. Despus de introducir la contrasea, aparece una segunda ventana en la que la barra de ttulo indica claramente que se est ejecutando la cuenta seleccionada. Se puede realizar cualquier tarea de lnea de comandos que se desee desde esta ventana. Por supuesto, existen algunas tareas administrativas que no se pueden llevar a cabo desde la lnea de comandos o que slo se pueden hacer con grandes dificultades. Algunas aplicaciones, como el Panel de control y la carpeta Impresoras, las ejecuta el entorno operativo (shell) en el inicio de la sesin, por lo que, si se inicia sesin como usuario ordinario, las funciones del Panel de control permanecen en ese contexto. Para detener el entorno operativo e iniciarlo de nuevo como un administrador de forma que se puedan utilizar funciones como el Panel de control, hay que seguir estos pasos: 1. Pulsar con el botn derecho del ratn en la barra de tareas y escoger Administrador de tareas en el men. 2. Pulsar en la pestaa Procesos. Resaltar Explorer.exe y pulsar Terminar proceso. Aparecer un mensaje de advertencia. Hay que pulsar S. Todo el escritorio, excepto la ventana Administrador de tareas de Windows y cualquier aplicacin activa, desaparecer. 3. Seleccionar la pestaa Aplicaciones en el Administrador de tareas de Windows y, despus, pulsar Nueva tarea. 4. En el cuadro Crear una tarea nueva hay que introducir runas /user: <dominio\nombreusuario> explorer.exe. Como antes, nombreusuario es la cuenta con privilegios administrativos. Si se ha iniciado sesin localmente, hay que utilizar el comando runas /user: <nombremquina\nombreusuario> explorer.exe. 5. Introducir la contrasea para el nombre del usuario. El escritorio junto con la barra de tareas vuelve a aparecer. Este escritorio se encuentra en el contexto de seguridad del nombre usuario que se especific en el comando. Para volver al escritorio del usuario ordinario, hay primero que cerrar sesin del administrador con lo que se quedar en la sesin del usuario por lo que tendremos que volver a utilizar el Administrador de tareas de nuevo iniciar una nueva instancia escribiendo explorer.exe (sin runas, de forma que se vuelva a iniciar Internet Explorer en el contexto de seguridad original) en el cuadro de dilogo Crear una tarea nueva. No se debe cerrar el Administrador de tareas mientras se est trabajando en el contexto del escritorio administrativo, basta con minimizarlo en la barra de tareas. Cerrar el Administrador de tareas puede producir resultados impredecibles y puede costar ms tiempo que el que posiblemente se ahorrara utilizando RunAs.
Herramientas de Administracin
Captulo 14
Muchas de las herramientas que se necesitarn para gestionar una red Windows 2000 estn incluidas como parte de los paquetes Windows 2000 Server y Windows 2000 Advanced Server, pero slo unas pocas de ellas se instalan automticamente junto con el sistema operativo. Las Herramientas de las que dispone Windows 2000 Server son:
G G G G G G
G G
G G G
G G
G G G G
G G
G G
G G G G G
Administracin de equipos: Administra discos, recursos compartidos, usuarios, grupos y servicios en el equipo local. Administracin del servidor Telnet: Inicia, detiene y devuelve informacin sobre el servidor Telnet. Administrador de clsteres (slo Advanced Server): Gestiona la configuracin de clsteres y nodos. Administrador de Extensiones de servidor: Gestiona las extensiones de servidor de Front Page. Administrador de servicios Internet: Gestiona los Servicios de Internet Information Server (IIS). Administrador de Servicios de Terminal Server: Muestra los servidores de terminal de los dominios en que se confa. Almacenamiento remoto: Gestiona el almacenamiento de los archivos a los que no se accede con frecuencia. Configuracin de Servicios de Terminal Server: Configura las conexiones nuevas de los Servicios de Terminal Server; modifica y elimina las conexiones existentes. Configurar el servidor: Define y configura los servicios de Windows. Control de admisin QoS (Calidad de servicio): Asigna ancho de banda de red a cada subred. Creador de cliente de Servicios de Terminal Server: Crea disquetes para instalar el software cliente de los Servicios de Terminal Server. DHCP: Gestiona los servicios del Protocolo de configuracin dinmica de host (DHCP, Dynamic Host Configuration Protocol). Directiva de seguridad local: Muestra y configura los derechos de los usuarios, la directiva de auditoria y otros parmetros de seguridad del equipo local. DNS: Gestiona los servicios DNS. Dominios y confianzas de Active Directory: Administra las confianzas de los dominios, cambia el modo del dominio y agrega y cambia los sufijos del nombre principal de los usuarios. Enrutamiento y acceso remoto: Administra las conexiones telefnicas, las redes privadas virtuales y las conexiones a Internet. Entidad emisora de certificados: Administra los Servicios de Certificate Server, que expide certificados para la seguridad de clave pblica. Kit de administracin de Connection Manager: Gestiona y personaliza las conexiones locales y remotas. Licencia: Gestiona las licencias de los clientes. Monitor de red: Captura tramas de informacin de la red para detectar y analizar los problemas de la red. Orgenes de datos: Agrega, elimina y configura bases de datos y controladores de Conectividad abierta de bases de datos (ODBC, Open Database Connectivity). Rendimiento: Muestra grficos del rendimiento del sistema; configura los registros y alertas de rendimiento. Servicio de autenticacin de Internet: Configura la seguridad y la autenticacin para los usuarios que se conectan telefnicamente. Servicios: Inicia, detiene y configura los servicios. Servicios de componentes: Configura y administra los componentes y aplicaciones del Modelo de objetos componentes (COM, Component Object Model). Sistema de archivos distribuidos: Gestiona la instalacin, topologa y rplica del Sistema de archivos distribuido (DFS, Distributed File System). Sitios y servicios de Active Directory: Establece y administra sitios, la rplica y los servicios de seguridad. Telefona: Gestiona clientes y servidores telefnicos. Usuarios y equipos de Active Directory: Administra usuarios, equipos y grupos dentro de un dominio. Visor de sucesos: Muestra los registros de aplicacin, de seguridad y del sistema. WINS: Administra WINS.
Instalacin local de las herramientas de administracin

Captulo 14
Para instalar el conjunto completo de Herramientas de administracin localmente hay que abrir la carpeta 386 del CD-ROM de Windows 2000 Server o Windows 2000 Advanced Server y, despus, pulsar dos veces en el archivo Adminpak.msi. Esto inicia el Asistente para instalacin de Herramientas de administracin que instalar las herramientas (y ms tarde las eliminar y las volver a instalar, si se desea). Hay que pulsar Siguiente para que proceda con la instalacin. Puesta a disposicin de Herramientas de administracin de manera remota Para hacer que Herramientas de administracin est disponible para otros en la red, se pueden asignar las herramientas a otros equipos o publicarlas en Active Directory.
Herramientas de soporte
Las Herramientas de soporte de Windows 2000 son inmensamente valiosas porque proporcionan funcionalidad no disponible en otro caso en el sistema operativo. Se puede obtener una lista completa escogiendo Tools Help en el men Windows 2000 Support Tools. Si no se encuentran las Herramientas de soporte de el men Programas, ser necesario instalarlas. Para instalar las Herramientas de soporte de Windows 2000, hay que introducir el CD-ROM de Windows 2000. Hay que abrir la carpeta Support y despus la carpeta Tools. Hay que pulsar dos veces en Setup. Las herramientas proporcionadas en el CD-ROM de Windows 2000 son un subconjunto de las que se pueden obtener adquiriendo el Kit de recursos de Microsoft Windows 2000 Server completo. El Kit de recursos es un producto independiente con su propio CD adjunto. Network Connectivity Tester (Comprobador de la conectividad de red) Las conexiones de red pueden fallar en un espectacular nmero de formas: en cualquier nmero de servidores y en variedad de configuraciones de cliente. Determinar el origen de un problema puede ser un proceso desalentador. Netdiag.exe puede informar sobre un nmero igualmente espectacular de funciones, ejecutando comprobaciones en el servidor DNS, el servidor WINS, Kerberos, los vnculos, la WAN, las relaciones de confianza, la configuracin IP, la tabla de enrutamiento, IPX, NetWare, DHCP, la puerta de enlace predeterminada y ms. Netdiag.exe se puede ejecutar en Windows NT y Windows 95/98 adems de Windows 2000, por lo que se puede utilizar esta excelente herramienta de solucin de problemas del mismo modo en servidores que en clientes. Windows 2000 Domain Manager (Administrador de dominios de Windows 2000) Con Netdom.exe se pueden gestionar muchas formas de administracin de dominios desde la lnea de comandos. Se pueden aadir, eliminar, cambiar el nombre o trasladar a otro dominio las cuentas de la mquina. Netdom.exe tambin recupera informacin sobre las confianzas y permite establecer confianzas, sincronizar el tiempo y verificar las contraseas de los canales seguros. La sintaxis de Netdom.exe es sencilla, pero el rango de posibles parmetros es extenso. Active Directory Replication Monitor (Monitor de rplicas de Active Directory) Active Directory Replication Monitor (Replmon.exe) no slo monitoriza la rplica a bajo nivel entre servidores, sino que informa sobre un amplio rango de funciones de Active Directory. Muestra la topologa del sitio al tiempo que informa sobre las propiedades del servidor, indicando si es un servidor de Catlogo Global y mostrando sus asociados de rplica, su historial de rplica y los atributos replicados. Las unidades de rplica entre controladores de dominio son particiones de directorio que deben contener la informacin ms
Captulo 14
reciente sobre los objetos del dominio. Si un servidor cae o la red se interrumpe, la informacin podra no estar completamente actualizada. Replication Monitor puede sincronizar un servidor monitorizado con un asociado de rplica especfico para hacer que todo vuelva a estar en orden. Tambin genera informes de estado de servidores del bosque para poder solucionar los errores de rplica. Disk Probe Disk Probe (Dskprobe.exe) es indispensable cuando un disco duro crtico va mal. Es un editor de sectores que se puede utilizar para reparar tablas de particin daadas, reemplazar el registro de inicio principal y reparar o reemplazar los sectores de inicio de la particin. Incluso mejor, Disk Probe guardar los registros de inicio principal y los sectores de inicio de la particin como archivos que se podrn utilizar para recuperar los sectores si se daan en el futuro. Esto puede aportar un gran beneficio porque estas estructuras de datos no son parte del sistema de archivos y no se puede hacer copia de seguridad de ellas con ningn programa de copias de seguridad.
Fundamentos de Microsoft Managenent Console

Microsoft Management Console (MMC) es un poderoso aadido al arsenal del administrador del sistema. MMC trabaja como un empaquetador de herramientas del sistema, permitiendo al administrador del sistema crear herramientas especializadas que se pueden utilizar despus para delegar tareas administrativas especficas a usuarios o a grupos. Estas herramientas personalizadas, que se almacenan como archivos MMC (.MSC), se pueden enviar por correo electrnico, compartir en una carpeta de red o publicar en la Web. Mediante la configuracin de la directiva del sistema tambin se pueden asignar a usuarios, grupos o equipos. Las herramientas son lo suficientemente flexibles como para que se puedan modificar, ampliar o reducir y darles forma con normalidad para cualquier uso que se les desee dar. Para construir una herramienta personalizada se puede partir de una consola existente y modificarla o partir de cero. En una red desarrollada se utilizar posiblemente el primer mtodo, tomar consolas predefinidas y aadir o quitar complementos. Creacin de una consola basada en MMC con complementos La construccin de herramientas personales con la interfaz de usuario estndar de MMC es un proceso sencillo. 1. Pulsar el botn inicio y seleccionar Ejecutar. En el cuadro de texto Abrir, hay que escribir MMC y despus pulsar Aceptar. Se abre una ventana MMC vaca, lista para que se aadan complementos. 2. En el men Consola, hay que seleccionar Agregar o quitar complemento. (Los comandos de men de la barra de men de la parte superior de la ventana MMC se aplican a toda la consola.) Se abre el cuadro de dilogo Agregar o quitar complemento. Aqu se puede escoger qu complementos estarn en el archivo de la consola adems de activar las extensiones. En el cuadro Complementos agregados, a hay que aceptar el valor predeterminado Raz de la consola. 3. Pulsar el botn Agregar. Esto abre un cuadro de dilogo que muestra los complementos instalados en el equipo. 4. Resaltar un complemento para ver una descripcin de su funcin. Pulsar dos veces en un complemento para aadirlo a la consola. Para este ejemplo se aadir Administracin de equipos. El cuadro de dilogo Administracin de equipos pide que se seleccione el equipo a administrar. 5. Seleccionar la opcin Equipo local y seleccionar la casilla de verificacin Permitir cambiar el equipo seleccionado al iniciar desde la lnea de comandos. Estas opciones son comunes a muchos de los complementos. Hay que pulsar Finalizar. 6. En el cuadro de dilogo Agregar un complemento independiente, hay que seleccionar Visor de sucesos y pulsar Agregar. Como antes, hay que seleccionar la opcin Equipo local y seleccionar la casilla de verificacin. Pulsar Finalizar y cerrar despus la lista de complementos disponibles. El cuadro de dilogo Agregar o quitar complemento muestra dos complementos: Administracin del equipo (local) y Visor de sucesos (local). 7. Pulsar en la pestaa Extensiones. De forma predeterminada, el cuadro con etiqueta Agregar todas las extensiones est marcado, lo que significa que cuando se abra esta consola en una mquina particular, se utilizarn todas las
Captulo 14
extensiones que se instalen localmente. Si esta casilla no est marcada, slo se cargarn las extensiones seleccionadas en la lista de extensiones disponibles. 8. Pulsar Aceptar para cerrar el cuadro de dilogo Agregar o quitar complemento. La ventana Raz de la consola tiene ahora dos complementos que parten de la carpeta Raz de la consola. Hay que guardar la consola escogiendo Guardar en el men Consola. Se pedir un nombre: conviene ser tan descriptivo como sea posible. El archivo se almacena en la carpeta Herramientas administrativas de forma predeterminada. Esta carpeta forma parte del perfil, por lo que tiene el beneficio aadido de que, si se utilizan perfiles mviles, todas las herramientas creadas siguen al administrador.
Personalizacin del diseo de una consola
Una vez aadidos los complementos, se pueden proporcionar diferentes vistas administrativas a la consola aadiendo ventanas. Para crear una ventana para cada uno de los complementos, hay que seguir estos pasos: 1. En el panel izquierdo de la ventana de la consola, hay que pulsar con el botn derecho en la carpeta Administracin del equipo y seleccionar Nueva ventana desde aqu. Esto abre una nueva ventana Administracin del equipo con el complemento Administracin del equipo como raz. 2. En la ventana Raz de la consola, hay que pulsar con el botn derecho del ratn en la carpeta Visor de sucesos y seleccionar Nueva ventana desde aqu. Hay que pulsar el botn de la barra de herramientas Muestra u oculta rbol de consola en cada ventana para ocultar el rbol de la consola. 3. Cerrar la ventana Raz de consola original. Desde el men Ventana hay que escoger Mosaico horizontal. Obsrvese que los botones y mens de cada ventana slo se aplican a esa ventana. No se debe olvidar guardar el trabajo despus de completar los cambios. Cuando se crean consolas para administradores de grupos de trabajo u otros usuarios, se puede restringir el uso de la consola. Se pueden establecer opciones de la consola para que los usuarios slo puedan acceder a las herramientas que permita el administrador. Para establecer las opciones de la consola, hay que seguir estos pasos: 1. Con el archivo de consola abierto, hay que pulsar en el men Consola y escoger Opciones. Esto abre el cuadro de dilogo Opciones. 2. Pulsar en la pestaa Consola. Escoger el modo de consola: a. Modo autor: Sin restricciones. El usuario puede acceder a todas las partes del rbol de la consola adems de cambiar este archivo de consola a voluntad. b. Modo usuario: acceso completo El usuario puede acceder a todas las partes del rbol de la consola, pero no puede hacer cambios que afecten a la funcionalidad. Los cambios estticos, como la disposicin de las ventanas, se guardan automticamente. c. Modo usuario: acceso delegado, ventanas mltiples El usuario slo puede acceder a las partes de la consola que eran visibles cuando se guard el archivo de consola. d. Modo usuario: acceso delegado, ventana nica Igual que el modo anterior, excepto por que slo es visible una ventana. 3. En todos excepto en Modo autor, tambin se puede seleccionar la opcin No guardar los cambios de esta consola de forma que la consola se abra siempre en la misma vista. 4. Pulsar Aceptar y guardar el archivo de consol.
Modificacin de archivos de consola
Despus de haber guardado un archivo de consola en un modo distinto del modo autor, el men Consola ya no estar visible, ni siquiera para los Administradores. Esto impide al usuario cambiar las opciones. Para modificar un archivo de consola, hay que abrir una ventana con el smbolo del sistema y escribir mmc la. El modificador /a establece al Modo autor, sustituyendo
Captulo 14
cualquier configuracin de Modo usuario, y abre la ventana de la consola desde la cual se puede abrir cualquier archivo de consola y realizar los cambios. El administrador del sistema puede establecer perfiles de usuarios para anular el uso del modificador /a, y debera hacerlo para asegurarse de que no se realicen modificaciones inapropiadas.
Distribucin y uso de consolas
Como se mencion antes, la ubicacin predeterminada para los archivos de consola que se guardan es la carpeta Herramientas administrativas. Los archivos de consola se pueden distribuir de varias formas. Se puede copiar un archivo de consola a una carpeta compartida en la red, o se puede enviar por correo electrnico a otra persona pulsando con el botn derecho del ratn, sealando Enviar a y seleccionando Destinatario de correo. Cuando se asigna una consola para su uso a una persona en particular, hay que asegurarse de que el perfil de usuario de la persona incluya el permiso para acceder a las herramientas y servicios de la consola. El usuario tambin tendr que tener todos los permisos administrativos necesarios para utilizar los componentes del sistema administrados por la consola. Si se conoce la ubicacin de una consola es posible abrirla desde el Explorador de Windows pulsando sobre ella como se hara con cualquier otro archivo. Tambin se puede abrir desde la lnea de comandos. Por ejemplo, para abrir la consola Servicio de fax (que reside en una carpeta del sistema) desde la lnea de comandos, hay que escribir mmc %systemroot%\systema32\faxserv.msc.
MMC para administracin remota
Las herramientas basadas en MMC son admirablemente adecuadas para la administracin remota. Se puede construir fcilmente una consola para administrar varios equipos o una nica mquina. Esta seccin describe cmo crear una consola que se pueda utilizar para administrar remotamente un controlador de dominio. La consola incluir el complemento Servicios, que gestiona los servicios del sistema y el complemento Visor de sucesos, que permite acceder a los distintos registros de sucesos. Para crear esta consola de administracin remota, hay que seguir estos pasos: 1. Pulsar el botn Inicio y seleccionar Ejecutar. En el cuadro de texto Abrir, escribir MMC y despus, pulsar Aceptar. Se abre una ventana MMC vaca. 2. En el men Consola hay que seleccionar Agregar o quitar complemento. Se abre el cuadro de dilogo Agregar o quitar complemento. 3. Pulsar Agregar para abrir el cuadro de dilogo Agregar un complemento independiente. 4. Seleccionar Servicios y, despus, pulsar Agregar. 5. En el rea Este componente administrar siempre, hay que seleccionar Otro equipo y despus pulsar Examinar. Esto abre el cuadro de dilogo Seleccionar Equipo. 6. Resaltar el equipo que se desea que gestione este complemento y despus pulsar Aceptar. Pulsar Finalizar. 7. Repetir los pasos 4 a 6, escogiendo el complemento Visor de sucesos. Cerrar el cuadro de dilogo Agregar un complemento independiente. Pulsar Aceptar en Agregar o quitar complemento. 8. Hay que guardarla con un nombre descriptivo. Se puede utilizar esta consola para ver sucesos en la maquina remota y para iniciar o detener servicios. Como se puede observar, las consolas se pueden configurar de docenas o de cientos de formas diferentes y despus distribuir. Cada vez habr ms complementos disponibles para cada funcin imaginable tanto por parte de Microsoft como de terceros suministradores.
Automatizacin de tareas con las secuencias de comandos

Por necesidad, muchos administradores de red adquieren rpidamente habilidad con las secuencias de comandos. El da no
Captulo 14
tiene suficientes horas para hacer todo manualmente, incluso aunque fuera conveniente. Adems, las buenas secuencias de comandos son como cualquier programa: una vez que la informacin se ha introducido correctamente, no es necesario preocuparse hasta que algo externo cambie. Por medio de ActiveX, Windows 2000 permite escribir secuencias de comandos en Visual Basic, Scripting Edition (VBScript), JScript o Perl. Anteriormente, el nico lenguaje nativo para secuencias de comandos que soportaba Windows era el lenguaje de comandos MS-DOS e, indudablemente, muchos administradores continuarn utilizando secuencias de comandos MS-DOS porque son muy pequeas y muy rpidas. Por qu utilizar otra cosa si una secuencia de comando: MSDOS puede hacer el trabajo? La respuesta es que no se debera. Sin embargo, en una gran empresa o para secuencias de comandos ms complicadas, lo indicado es un lenguaje de secuencias de comandos ms sofisticado. Windows Scripting Host (WSH) est incorporado en Windows 2000 y Windows 98. Adems Windows 95 y Windows NT pueden ejecutar WSH, de forma que las secuencias de comandos son transportables a lo largo de todo el espectro Windows. Las secuencias de comandos se ejecutan bajo WSH utilizando Wscript.exe y Cscript.exe. Wscript.exe se ejecuta en segundo plano y Cscript.exe se ejecuta desde el smbolo del sistema. Para ejecutar una secuencia de comandos desde la lnea de comandos, la sintaxis es: Cscript <nombresecuencia.extensin> [opciones] [argumentos] Para ver la lista completa de opciones del host, hay que introducir Cscript /? en el smbolo del sistema. Las opciones ms importantes son:
G G G
//B Especifica el modo por lotes; los errores de secuencias de comandos y los mensajes de entrada no se muestran. //D Activa el depurador. //T:nn Indica el tiempo mximo en segundos que la secuencia de comandos puede ejecutarse. WSH es til para crear secuencias de comandos de inicio y cierre de sesin que se pueden asignar a usuarios individualmente o como grupo- o a equipos. El otro uso importante de WSH es la creacin de cuentas de usuario, un proceso tedioso en el mejor de los casos y, en una gran empresa, completamente imposible sin secuencias de comandos.
Auditora de sucesos
La auditoria de ciertos equipos, usuarios y sucesos del sistema operativo es una parte necesaria de la administracin de una red. Hay que escoger lo que se desea auditar y despus, revisando los registros de sucesos, controlar los patrones de uso, los problemas de seguridad y las tendencias de trfico en la red. No obstante, hay que tener cuidado con el impulso de auditarlo todo. Cuantos ms sucesos se auditen, ms grandes sern los registros. Revisar enormes registros de sucesos es una tarea desagradable y, al final, nadie los vuelve a mirar. Por lo tanto, resulta crtico decidir una directiva de seguridad que proteja la red sin crear una gran carga administrativa. Tampoco conviene olvidar que cada suceso auditado provoca un pequeo aumento de la sobrecarga del sistema. De forma predeterminada, todas las categoras de auditoria estn desactivadas cuando se instala Windows 2000. Las categoras de sucesos que se pueden auditar son.
G G G G
Acceso a objetos: Se activa cuando se accede a un objeto. Acceso a servicio de directorio: Se activa cuando se accede a un objeto Active Directory. Administracin de cuentas: Se activa cuando una cuenta de usuario o un grupo se crea o modifica. Cambio de directiva: Se activa cuando se modifica una directiva que afecta a la seguridad, a los derechos de usuario o a la auditoria. Seguimiento de proceso: Se activa cuando una aplicacin ejecuta una accin que se est registrando.
Captulo 14
G G
G G
Sucesos de inicio de sesin: Se activa cuando un usuario inicia o cierra una sesin. Sucesos de inicio de sesin de cuenta: Se activa cuando un controlador de dominio recibe una peticin de inicio de sesin. Sucesos del sistema: Se activa cuando un equipo se reinicia o se apaga u ocurre otro suceso que afecta a la seguridad. Uso de privilegios: Se activa cuando se utiliza un derecho de usuario para realizar una accin.
Cada suceso auditado dice algo, pero no siempre es algo que sea necesario saber. Por ejemplo, la auditoria de inicios y cierres de sesin con xito puede revelar el uso de una contrasea robada, pero tambin puede simplemente producir interminables pginas que muestran que los usuarios debidamente autorizados estn iniciando y cerrando sesiones como era de esperar. Sin embargo, la auditoria de los fallos al iniciar sesin recompensar definitivamente si alguien intenta un ataque con contraseas aleatorias. Antes de poder auditar el acceso a los objetos de Active Directory, se debe activar la configuracin Directiva de auditoria por medio de Directiva de grupo. Para hacerlo hay que seguir estos pasos: 1. Escoger Usuarios y equipos de Active Directory en el men Herramientas administrativas. 2. Pulsar con el botn derecho del ratn en el nombre del dominio en el rbol de la consola y escoger Propiedades en el men contextual. 3. Pulsar en la pestaa Directiva de grupo y despus en el botn Modificar. 4. En el panel izquierdo de la consola Directiva de grupo, hay que pulsar a lo largo de Configuracin del equipo, Configuracin de Windows, Configuracin de seguridad y directivas locales hasta alcanzar Directiva de auditoria. 5. Pulsar con el botn derecho del ratn en la categora de sucesos que se desea auditar y escoger Seguridad. 6. En el cuadro de dilogo que se abre, hay que seleccionar la casilla de verificacin que define la configuracin y seleccionar la opcin para auditar los intentos correctos y/o errneos. Parmetros de seguimiento de los objetos Asumiendo que se ha activado una configuracin de directiva para auditar un objeto de Active Directory, se puede crear una configuracin de auditoria siguiendo estos pasos: 1. Pulsar con el botn derecho del ratn en el objeto que se desea auditar y escoger propiedades en el men contextual. Pulsar en la pestaa Seguridad. 2. Pulsar el botn Avanzada y despus en la pestaa auditoria. 3. Pulsar Agregar para configurar la auditoria para un nuevo grupo o usuario. Hay que realizar la seleccin y pulsar Aceptar. 4. En el cuadro de dilogo Entrada de auditoria para Collwin, hay que seleccionar los objetos que se desean auditar en la lista desplegable Aplicar en. Despus, en la ventana Acceso, hay que seleccionar cada tipo de acceso que se desea auditar. Pulsar Aceptar cuando se haya terminado.
Captulo 14
De forma predeterminada, los objetos secundarios heredan la configuracin de auditoria. En la pestaa auditoria del cuadro Configuracin de control de acceso para Collwin hay una casilla de verificacin para permitir heredar los valores de auditoria. Hay que desactivar este cuadro para que la configuracin de auditoria de este objeto permanezca constante, incluso si se cambia la configuracin de auditoria del objeto primario. Adems, la desactivacin del cuadro eliminar cualquier configuracin de auditoria que ya se hubiera heredado. La segunda casilla de verificacin de esta pestaa reestablece la auditoria existente y permite que los valores de auditoria se hereden de nuevo desde el objeto principal. Los sucesos del sistema de archivos que se pueden auditar son:
G
G G G
G G
G G G G G
Recorrer carpeta/Ejecutar archivo: Se activa cuando se recorre una carpeta (es decir, alguien pasa por la carpeta camino de una carpeta superior o inferior) o una aplicacin se ejecuta. Listar carpeta/Leer datos: Se activa cuando se abre una carpeta o se examina la informacin de los archivos. Atributos de lectura: Se activa cuando se examinan los atributos de un archivo o carpeta. Atributos extendidos de lectura: Se activa cuando se examinan los atributos extendidos (definidos y creados por los programas) de un archivo o carpeta. Crear archivos/Escribir datos: Se activa cuando se crea un archivo dentro de una carpeta o se modifica un archivo, sobrescribiendo la informacin que contiene. Crear carpetas/Anexar datos: Se activa cuando se crea una carpeta dentro de la carpeta auditada o se aade informacin a un archivo existente. Atributos de escritura: Se activa cuando se cambia un atributo de un archivo o carpeta. Atributos extendidos de escritura: Se activa cuando se cambian los atributos extendidos (definidos y creados por los programas) de un archivo o carpeta. Eliminar subcarpetas y archivos: Se activa cuando se elimina un archivo o una subcarpeta. Eliminar: Se activa cuando se elimina un archivo especfico. Permisos de lectura: Se activa cuando se examinan los permisos de un archivo o carpeta. Cambiar permisos: Se activa cuando se modifican los permisos de un archivo o carpeta. Tomar posesin: Se activa cuando se cambia la propiedad de un archivo o carpeta.
Examen de los registros de sucesos
Se deben examinar los registros de sucesos regularmente para que la auditoria tenga algn efecto. Para examinar el registro de seguridad, hay que abrir el Visor de sucesos desde el men Herramientas administrativas y despus pulsar Registro de seguridad. Se puede pulsar dos veces en cualquier entrada para obtener ms informacin sobre ella. Se configur la carpeta para auditar los sucesos de Listar carpeta/Leer datos correctos. Un usuario que abri la carpeta una nica vez gener todas las entradas que aparecen. Por supuesto, normalmente se aprender ms de la auditoria de eventos incorrectos que de la auditoria de los correctos, pero esto demuestra la necesidad de escoger las batallas de auditoria con cuidado.
Bsquedas de los registros de sucesos
No importa lo selectivo que se sea, los registros de sucesos mezclarn todo tipo de informacin, dificultando la bsqueda de informacin especfica. Para buscar un tipo especfico de suceso, hay que resaltar el registro en el Visor de sucesos y escoger Buscar en el men Ver. En el cuadro de dilogo Buscar, hay que seleccionar el tipo o tipos de sucesos que se desea obtener.
Archivo de los registros de sucesos
Si se van a utilizar los registros de sucesos para hacer un seguimiento de las pautas de uso del sistema, hay que guardarlos. Para almacenar un registro de sucesos, hay que abrir el Visor de sucesos desde el men Herramientas administrativas y pulsar en el registro que se desea almacenar. Despus, en el men Accin, hay que escoger Guardar archivo de registro como. Si se guarda el archivo en el formato de los registros de sucesos (.EVT), se puede abrir de nuevo en el Visor de sucesos y toda la
Captulo 14
informacin binaria de cada suceso se mantendr. Tambin se pueden guardar los registros como archivos .TXT o en el formato delimitado por comas (.CSV), pero en estos casos la informacin binaria no se guarda. Para aprender ms sobre la red y ajustar su rendimiento.
Delegacin del control

Obviamente, una de las formas ms simples de minimizar las tareas administrativas es delegarlas. En una red Windows NT, la forma usual de conceder amplios derechos administrativos es hacer a los usuarios miembros del grupo Administradores del dominio. O se pueden repartir los derechos administrativos por medio de alguna combinacin de otros grupos como Operadores de impresin y Operadores de servidores. Estos grupos todava estn disponibles, pero Windows 2000 hace que la delegacin sea incluso ms simple: permite asignar la responsabilidad para administrar alguna porcin del espacio de nombres a otro usuario o grupo. El destinatario de la autoridad delegada puede tener un control administrativo completo dentro del rea escogida, pero no los amplios derechos administrativos inherentes al hecho de ser miembro del grupo Administradores del dominio. Hay que asignar el control por unidades organizativas (OU) siempre que sea posible, porque la asignacin de permisos a nivel de objetos se vuelve rpidamente demasiado complicada para merecer la pena. Los registros de las asignaciones de seguridad tienen una importancia fundamental, por lo que hay que estar al corriente de todas las delegaciones. Para delegar el control, hay que utilizar el Asistente para delegacin de control, que siempre asigna los permisos a nivel de OU. Para utilizar el asistente, hay que seguir estos pasos: 1. Abrir Usuarios y equipos de Active Directory desde el men Herramientas administrativas. 2. Pulsar dos veces en el nodo del dominio y, despus, pulsar con el botn derecho del ratn en el contenedor que se desea delegar y escoger Delegar control en el men contextual. Esto inicia el Asistente para delegacin de control. Pulsar Siguiente. 3. Pulsar el botn Agregar para seleccionar el usuario o grupo al que se conceder el control. Hay que realizar la seleccin en la pantalla Seleccionar Usuarios, Equipos o Grupos. 4. En la pantalla Tareas para delegar, hay que seleccionar las tareas que se desean delegar. Se pueden seleccionar las tareas predefinidas o pulsar Crear una tarea personalizada. Pulsar Siguiente. 5. Si se seleccion una tarea predefinida, esencialmente se ha terminado. Hay que revisar el resumen y pulsar Finalizar. Si se seleccion Crear una tarea personalizada, se permite elegir de forma ms especfica de qu objetos se est delegando el control y qu permisos especficos se van a conceder. Cuando se hayan hecho las elecciones se mostrar un resumen de la delegacin. Pulsar Finalizar.
El programador de tareas
Aunque es cierto que se podran -y an se pueden- programar tareas utilizando el comando AT, el Programador de tareas proporciona una interfaz grfica y es mucho ms fcil de utilizar. Las tareas se pueden programar durante horas fuera de oficina y para que se ejecuten peridicamente. El servicio Programador de tareas se inicia en el inicio del sistema y se ejecuta
Captulo 14
en segundo plano. Para utilizar el Programador de tareas, hay que abrir el Panel de control, pulsar dos veces en la carpeta Tareas programadas y seguir despus estos pasos: 1. En la ventana Tareas programadas, hay que pulsar dos veces en la entrada Agregar tarea programada. Esto inicia el Asistente para tarea programada nueva. Pulsar Siguiente. 2. Seleccionar un programa en la pantalla o pulsar el botn Examinar para localizar otro programa. Pulsar Siguiente. 3. Suministrar un nombre para la tarea e indicar despus con qu frecuencia se desea que se realice. Pulsar Siguiente. 4. Seleccionar la hora del da a la que ha de realizarse la tarea. Dependiendo de la frecuencia seleccionada, ser necesario especificar una de las siguientes opciones: G Tarea diaria: Cada da, cada n das o slo en das laborables. G Tarea semanal: Cada n semanas; hay que indicar el da de la semana. G Tarea mensual: Hay que seleccionar el da del mes y los meses. 5. Suministrar el nombre y la contrasea del usuario que realizar las tareas programadas. Pulsar Siguiente. Obsrvese que la cuenta especificada ha de tener los privilegios necesarios para realizar la tarea. Por ejemplo, si se programa una copia de seguridad, el usuario debe tener derechos de copia de seguridad. 6. Si es necesario especificar parmetros para la tarea programada, hay que seleccionar el cuadro junto a Abrir propiedades avanzadas y, despus, pulsar Finalizar. 7. Hacer los cambios necesarios y pulsar Aceptar. Para que las tareas se ejecuten como se espera, es importante que la fecha y hora del equipo sean correctas. Muchos programas comenzarn su ejecucin en el Programador de tareas y despus se pararn, esperando una introduccin de datos que nunca llega, o que llega mucho ms tarde, cuando alguien mira la mquina para ver que est haciendo. Para asegurarse de que se dispone de todos los parmetros para que la tarea se puede ejecutar correctamente, hay que abrir una ventana con el smbolo del sistema y escribir nombre-programa /?. Despus hay que pulsar en la tarea con el botn derecho del ratn en la ventana tareas programadas y escoger Propiedades. Hay que introducir los parmetros necesarios en el cuadro de texto Ejecutar y pulsar Aceptar. Se puede programar una tarea para que se ejecute inmediatamente de forma que se pueda comprobar su rendimiento. Si una tarea est programa por un usuario que no ha iniciado sesin en el momento programado, la tarea todava se ejecuta, pero en segundo plano y de forma no visible. Cambio de un programa Incluso la mejor programacin puede tropezar con la realidad de vez en cuando, por lo que se necesita la posibilidad de ajustar los sucesos planificados.
G
Para ejecutar una tarea inmediatamente, hay que pulsar con el botn derecho del ratn en el icono de la tarea en la ventana Tareas programadas y escoger Ejecutar en el men contextual. Para detener una tarea que se est ejecutando, hay que pulsar con el botn derecho del ratn en el icono de la tarea en la ventana Tareas programadas y escoger Finalizar tarea. Si la tarea programada se haba configurado para iniciar otra tarea, el comando Finalizar tarea slo detendr la tarea programada original. Para detener temporalmente todas las acciones del Programador de tareas, hay que abrir el men Avanzado de la ventana Tareas programadas y escoger Pausar Programador de tareas. Cualquier tarea que no se inicie porque el Programador de tareas est pausado, slo se ejecutar de nuevo en su siguiente hora programada. Para iniciar el Programador de tareas de nuevo, hay que pulsar en el mismo men y escoger Continuar con Programador de tareas. Para dejar de utilizar el Programador de tareas, hay que abrir el men Avanzado de la ventana Tareas programadas y escoger No seguir usando Programador de tareas. No se. ejecutar ninguna tarea programada y el servicio Programador de tareas ya no se iniciar automticamente cuando se reinicie el sistema.
Seguimiento del Programador de tareas
Captulo 14
El sistema mantiene un registro detallado de las actividades del Programador de tareas. Para examinar el registro, hay que pulsar dos veces en Tareas programadas en el Panel de control. En el men Avanzado hay que escoger Ver registro. Si una tarea programada no se ejecuta como se espera, hay que pulsar con el botn derecho del ratn en la tarea en la ventana del Programador de tareas y escoger propiedades en el men contextual. Hay que comprobar que la tarea est de hecho habilitada. (La casilla de verificacin Habilitada de la ventana Propiedades de la tarea debera estar seleccionada). Examen de las tareas de equipos remotos Un administrador de un equipo remoto que ejecuta Windows NT o Windows 2000 puede examinar y modificar la configuracin del Programador de tareas de ese equipo. Hay que buscar el equipo en la ventana Mis sitios de red (en Windows 2000) o en la ventana Entorno de red (en Windows NT) y, despus, pulsar dos veces en la carpeta Tareas programadas. Para examinar y modificar las tareas programadas en equipos que ejecutan Windows 95 o posterior, el equipo remoto debe:
G G G
Tener habilitada la administracin remota. Especificar que la cuenta del usuario tiene acceso administrativo remoto. Compartir el disco duro en el que reside la carpeta Tareas programadas. Windows 2000 incluye mejoras en las funciones de la lnea de comandos, como la escritura automtica de los nombres de archivos y carpetas. Para activar esta caracterstica, hay que abrir una ventana de lnea de comandos y escribir cmd /f:on. Ahora se puede evitar el escribir los nombres de archivos o carpetas largos en la lnea de comandos. Por ejemplo, para navegar dentro de la carpeta Archivos de programa desde la raz de la unidad de disco del sistema (generalmente C:\) se puede escribir c:\cd a y pulsar entonces CTRL+D. El comando se expandir inmediatamente a c:\cd Archivos de programa. Se puede pulsar INTRO para elegir esta ruta de acceso. Esta caracterstica tambin funciona con archivos. Digamos que estamos en C:\Archivos de programa\Windows Media Player y se desea ejecutar Mplayer.exe. En la lnea de comandos hay que escribir mp y pulsar entonces CRTL.+F. La ruta de acceso se ampliar para incluir Mplayer.exe. Se puede pulsar INTRO para ejecutar realmente el archivo. Para obtener la documentacin completa, hay que abrir una ventana de comandos y escribir help cmd.
El comando AT
Tambin se puede utilizar el comando AT para programar tareas. De forma predeterminada, el comando AT se ejecuta utilizando la cuenta LocalSystem, que requiere privilegios administrativos. Para especificar otra cuenta como usuario del comando AT, hay que seguir estos pasos: 1. Abrir el Panel de control y pulsar dos veces en Tareas programadas. 2. En la ventana Tareas programadas, hay que abrir el men Avanzado y despus escoger Cuenta de servicios AT. 3. Pulsar Esta cuenta y especificar un usuario particular y su contrasea. Pulsar Aceptar. Sintaxis del comando AT La estructura de comando para el comando AT es como sigue:
Captulo 14
AT [\\nombreequipo] [id] [[/delete]I/delete [/yes]] AT [\\nombreequipo] hora [/interactive] [/every:fecha[,...] I /next :fecha [ , . . . ] | comando Se pueden utilizar los siguientes parmetros con el comando AT. Utilizado sin parmetros, el comando AT devuelve una lista de comandos programados.
G G G
G G G
\\nombreequipo: Especifica un equipo remoto. Sin este parmetro, se asume el equipo local. id: Indica el nmero de identificacin, si se ha asignado uno. /delete: Cancela un comando programado. Si no se especifica un nmero de identificacin, se cancelan todos los comandos programados del equipo. /yes: Fuerza una respuesta afirmativa a todas las consultas del sistema cuando se cancelan todos los comandos. hora: Especifica cundo se ejecuta el comando, expresado como horas:minutos en el formato de 24 horas. /interactive: Permite que la tarea interacte con el escritorio del usuario que haya iniciado sesin en el momento de ejecutarse el trabajo. /every:fecha[,...]: Ejecuta el comando en la fecha especificada. La fecha se puede especificar como uno o ms das de la semana (L, M, Mi, J, V, S, D) o como uno o ms das del mes (mediante los nmeros del 1 al 31). Hay que separar las diferentes fechas con comas. Si se omite este parmetro, se asume el da actual del mes. /next:fecha[,...] Ejecuta el comando la siguiente vez que se presente el da especificado. Si se omite este parmetro, se asume el da actual del mes. comando: Indica el programa, archivo de proceso por lotes o comando que debe ejecutarse. Si se requiere una ruta de acceso, hay que utilizar una ruta de acceso en el formato del Convenio de denominacin universal (UNC, Uniform Naming Convention).
Algunas particularidades a la hora de usar el comando AT:

G
El comando AT no carga Cmd, el intrprete de comandos, automticamente, por lo que si el parmetro comando no apunta a un archivo ejecutable, se debe especificar explcitamente Cmd, seguido del modificador /c, al comienzo del comando. Los comandos programados utilizando AT se ejecutan como procesos en segundo plano, de forma que no muestra ninguna salida. Para redirigir la salida a un archivo, hay que utilizar el smbolo de redireccin (>). El smbolo de redireccin debe estar precedido por el smbolo de escape (^), as que un comando de ejemplo podra ser at recuperar:bat ^>c:\registro.txt. Si es necesario utilizar una letra de unidad para conectarse a un directorio compartido, hay que incluir un comando AT para desconectar la unidad cuando se haya completado la tarea. En otro caso, la letra de unidad asignada no estar disponible ni se mostrar en el smbolo del sistema. Se puede cambiar una y otra vez entre el comando AT y el Programador de tareas, aunque existen algunas limitaciones. Por ejemplo, si se programa una tarea utilizando AT y ms adelante se modifica esa misma tarea utilizando el Programador de tareas, la tarea pertenece entonces al Programador de tareas y ya no se puede acceder a ella utilizando AT
Captulo 15
Captulo 15
Ya desde los primeros y emocionantes das de las computadoras personales, se hablaba bastante de la "oficina sin papeles" que estaba por llegar. Lamentablemente, ese da no solo no ha llegado, sino que en muchas oficinas, la caja de papel reciclado es el receptculo mas grande de todo el edificio! El coste de las impresoras bsicas ha disminuido a lo largo de los aos, pero cada vez mas, las empresas han invertido en sofisticadas impresoras de color de alta velocidad que permiten a los usuarios realizar trabajos que antes requeran una imprenta exterior. Estas resultan costosas tanto de comprar como de usar. Por lo tanto, compartir las impresoras permanece como una importante funcin del trabajo en red de la empresa. La configuracin de mltiples usuarios para que compartan impresoras reduce el coste y puede incrementar la salida de impresin. El trabajo rutinario se puede dirigir a impresoras mas baratas, los trabajos de impresin largos se pueden planificar para que se realicen fuera de las horas de oficina y se puede limitar el acceso a las impresoras de gama alta. La terminologa de la impresin es mucho mas confusa de lo que debera a causa del uso histrico de diferentes nombres para el mismo objeto. En Microsoft Windows NT 4, dispositivo de impresin es el nombre de la impresora real e impresora designa la interfaz software. En otras palabras, impresora se utiliza para referirse a la entidad lgica. En un entorno de red NetWare u OS/2, el trmino cola de impresin se utiliza en lugar de impresora (refirindose a la impresora lgica), pero el significado neto es el mismo. En Windows 2000, la documentacin utiliza ahora impresora para referirse al dispositivo que realiza la impresin real a impresora lgica para referirse a la interfaz software. Se puede tener una impresora lgica asociada a una nica impresora, o se pueden tener varias impresoras lgicas asociadas a una nica impresora. En esta segunda disposicin las impresoras lgicas se pueden configurar con distintos niveles de prioridad de forma que una impresora lgica maneje la impresin normal y otra los trabajos que se han de imprimir mas tarde. Para que una impresora pueda utilizar tanto PostScript como el lenguaje de control de impresoras (PCL, Printer Control Languaje), dos impresoras permitirn a los usuarios escoger el tipo de impresin a realizar. Una nica impresora lgica se puede asociar tambin con mltiples impresoras fsicas. Si todos los dispositivos de impresin utilizan el mismo controlador de impresora, una nica impresora lgica permitir enviar trabajos a la primera impresora fsica disponible. Esta disposicin se denomina grupo de impresoras. La ventaja de un grupo de impresoras es que un administrador puede aadir o eliminar impresoras fsicas sin afectar a las configuraciones de los usuarios porque las impresoras fsicas son intercambiables. Las impresoras de red son impresoras normales con hardware de red adicional como una tarjeta de interfaz de red y memoria adicional y, algunas veces, un disco duro para almacenar documentos grandes en la cola de
Captulo 15
impresin. Estas impresoras trabajan con el protocolo apropiado para la red (generalmente TCP/IP o el Protocolo de intercambio de paquetes entre redes [IPX, Internetwork Packet Exchange]) y tienen su propia direccin de red nica. Las impresoras de red son el tipo mas comnmente utilizado con los servidores de impresin pero estas impresoras tambin pueden funcionar por si mismas en una red sin un servidor de impresin. Las impresoras de red son populares en muchas empresas a causa de su facilidad de configuracin, velocidad de impresin y flexibilidad en emplazamientos relativos al servidor de impresin y los clientes. No se necesita hardware especializado en el servidor de impresin, lo que no siempre es el caso con servidores de impresin que imprimen en mltiples impresoras de puerto serie o paralelo. La conexin directa a la red (a 10 Mb/seg. o 100 Mb/seg.) proporciona tambin una interfaz mucho ms rpida que el relativamente lento puerto paralelo usado a menudo por servidores de impresin autnomos. Las impresoras de red se pueden configurar tambin sin un servidor de impresin, eliminando el coste de un equipo adicional. Sin embargo, dado que no hay un servidor que ponga en cola los trabajos de impresin de los clientes, cada usuario slo ve sus propios documentos en la cola de impresin y no puede ver dnde se encuentra un documento en relacin con otros documentos en espera de imprimirse. De forma similar, dado que no existe una nica cola de impresin, los trabajos de impresin destinados a esta impresora no se pueden administrar de forma centralizada, y slo el usuario con el documento que se esta imprimiendo en ese momento obtiene cualquier mensaje de error (como mensajes de atasco de papel). Finalmente, todo el procesamiento previo a la impresin se realiza en el equipo del usuario, incrementando la cantidad de tiempo que esta el equipo parcialmente o completamente no disponible para otras tareas. Por estos motivos es conveniente utilizar un servidor de impresin con impresoras de red. Un ltimo punto sobre las impresoras de red: muchas de las ms nuevas soportan Impresin Internet por medio del Protocolo de impresin Internet (IPP, Internet Printing Protocol). La impresin Internet es una caracterstica que permite a un usuario con permisos suficientes y Microsoft Internet Explorer 4 superior imprimir en una Impresin Internet, impresora activada desde cualquier parte del mundo (o desde la intranet del usuario), no desde simplemente la red local. Introduccin a los servidores de impresin Los servidores de impresin son equipos (o algunas veces aparatos de red) que administran las comunicaciones entre las impresoras y los equipos cliente que quieren imprimir en las impresoras. Microsoft Windows 2000 Profesional, adems de las distintas versiones de Windows 2000 Server, funcionar como servidor de impresin; sin embargo, Windows 2000 Profesional puede soportar un mximo de solo 10 usuarios simultneos y no es capaz de soportar clientes Macintosh o NetWare. Windows 2000 Server no tiene estas limitaciones. Generalmente, existen dos enfoques a los servidores de impresin. El enfoque de Microsoft en Windows 2000 y Windows NT es tener un servidor de impresin que sea bastante "inteligente" , proporcionando a los clientes
Captulo 15
los controladores de impresora apropiados y manteniendo la cola de impresin, adems de gestionar la comunicacin entre las impresoras y los equipos clientes. En cambio, UNIX (y algunas empresas como Intel) utilizan un servidor de impresin mucho ms simple. La forma mas popular de servidor de impresin no inteligente es el Demonio de impresora de lneas (LPD, Line Printer Daemon). Un servidor de impresin no inteligente acta generalmente como una interfaz entre la red y la impresora, con cada cliente manteniendo su propia cola de impresin. El servicio LPD se ejecuta tanto en un servidor UNIX, como en un aparato de red que proporciona funcionalidad LPD y de acceso a red, o en una impresora conectada directamente a la red. Los clientes utilizan el servicio Acceso remoto a impresora de lneas (LPR, Line Printer Remote) -una parte integral de UNIX y opcional en Windows 2000 y Windows NTpara comunicarse con el servicio LPD, el cual se comunica despus con la impresora. Windows 2000 Server tambin puede ser un servidor LPD para mantener la compatibilidad con los clientes UNIX y otros clientes que utilicen el servicio LPR. A causa de las limitaciones del servicio LPD, se utilizan casi siempre los servidores de impresin de Windows 2000 y Windows NT en lugar de los servidores LPD cuando la red consiste principalmente en clientes Windows. En un entorno mixto UNIX y Windows, el servicio LPD se puede instalar en un servidor de impresin Windows 2000 para proporcionar servicios de impresin a clientes UNIX. Una alternativa comn para los servidores de impresin Windows es conectarlos a impresoras utilizando el servicio LPD (bien en la impresora, bien conectndose a un dispositivo que ejecute el servicio LPD) como si fueran impresoras de red normales. En este escenario, los clientes Windows tienen los beneficios de un servidor de impresin Windows estndar al mismo tiempo que se mantiene la compatibilidad con clientes UNIX, que se comunican directamente con el servicio LPD asociado a la impresora. Las impresoras se conectan a menudo a un pequeo dispositivo de red o a un servidor UNIX que ejecuta el servicio Demonio de impresora de lneas (LPD, Line Printer Daemon). Los dispositivos o equipos que ejecutan LPD se llaman servidores de impresin, aunque no funcionan del mismo modo que los servidores de impresin de Windows 2000 o Windows NT. El servicio LPD acta como una puerta de enlace de red para que las impresoras se comuniquen con clientes UNIX a otros clientes que utilicen el servicio Acceso remoto a impresora de lneas (LPR, Line Printer Remote), y muchas impresoras de red vienen con un servicio LPD incorporado. Las impresoras que carecen de una interfaz de red se pueden conectar a un dispositivo o equipo que ejecute LPD, el cual acta despus como tarjeta de interfaz de red para la impresora, adems de proporcionar la funcin usual del LPD de permitir que los clientes UNIX impriman en la impresora conectada. Solo los clientes que ejecutan el servicio LPR -una parte integral de UNIX y parte opcional de Windows y algunos otros sistemas operativos- pueden acceder a las impresoras que utilizan un servidor de impresin que ejecuta LPD. Generalmente, si los clientes Windows necesitan acceder a una impresora que utiliza el servicio LPD, un servidor de impresin Windows 2000 o Windows NT se conecta al LPD y comparte la impresora como si estuviera conectada directamente al servidor de impresin Windows en
Captulo 15
lugar de a travs del LPD. El servidor de impresin Windows reserva la cola de impresin y enva despus cada trabajo de impresin al LPD, el cual pasa el trabajo a la impresora. Alternativamente (o, en algunos casos, adicionalmente), el servidor Windows 2000 puede conectarse directamente a la impresora, utilizando tanto un puerto de impresin TCP/IP estndar como el servicio LPR, y ejecutar despus el servicio LPD para proporcionar funcionalidad de impresin a clientes tanto Windows como UNIX. Mtodos de conexin de impresoras a servidores de impresin Las impresoras se pueden conectar directamente al servidor de impresin mediante una conexin de red a una impresora de red o con una conexin a travs de un puerto paralelo o serie, aunque esta ultima ha perdido aceptacin a causa de la cantidad de proceso consumida en la administracin de los puertos. Las impresoras USB a IEEE 1394 (Firewire o iLink) eliminan algunas de las desventajas de la conexin directa de las impresoras al servidor de impresin, pero la forma mas popular con diferencia de conectar impresoras a un servidor de impresin es por medio de una conexin de red. Las impresoras de red incorporan tarjetas de red y normalmente memoria adicional (y algunas veces incluso discos duros). Estas impresoras ejecutan el protocolo apropiado que utiliza la red (generalmente TCP/IP o IPX) y tienen su propia direccin de red nica. Una conexin de red proporciona un ancho de banda incrementado a la impresora. Sin embargo, ms importante que el incremento de ancho de banda es la potencia de procesamiento que se conserva utilizando una conexin de red en comparacin con una conexin por medio de un puerto paralelo. El elevado uso de CPU de las impresoras de puerto paralelo y serie provoca bastante tensin en el servidor de impresin y es una de las principales razones de que las impresoras de red se hayan vuelto tan populares. La flexibilidad a la hora de localizar impresoras de red es otro factor que ha contribuido al xito de las impresoras de red. Aunque un servidor de impresin puede administrar impresoras en ubicaciones ampliamente separadas, el aumento del numero de impresoras conectadas a un nico equipo producir inevitablemente inconveniencias de cableado. A menudo es mas fcil conectar impresoras a concentradores cercanos que llevar cables (que tienen limitaciones de longitud) a todas las impresoras a las que sirve el servidor de impresin. Introduccin al proceso de impresin Cuando una aplicacin Windows imprime un documento, la aplicacin llama a la Interfaz de dispositivo grafico (GDI, Graphical Device Interface) de Windows, la cual llama despus al controlador de impresora de la impresora apropiada. (Otros sistemas operativos utilizan componentes diferentes para esta etapa de la impresin.) La GDI y el controlador de impresora cooperan para representar el documento en el lenguaje de impresora de la impresora y suministrar despus el documento a la cola de impresin del cliente. La cola de impresin del cliente enva el trabajo al proveedor de impresin remota (RPP, Remote Print Provider), el RPP lo enva al servidor de impresin de Windows, que aloja la impresora destino, y el host servidor de impresin almacena el trabajo de impresin al final de la cola de impresin de la impresora. Cuando se utiliza el servicio LPR para imprimir por medio del servicio LPD, cada cliente
Captulo 15
mantiene una cola de impresin individual. LPR y LPD son los servicios predeterminados en equipos UNIX, los sistemas operativos Windows pueden utilizar tambin estos servicios para mantener la compatibilidad con UNIX, aunque los servicios no se instalan de forma predeterminada. El proveedor de impresin local del servidor de impresin sondea al procesador de impresin para determinar si es necesario convertir el trabajo de impresin a un tipo de datos diferente antes de imprimirlo. Cuando el trabajo de impresin alcanza la cabeza de la cola, se mueve al Procesador de paginas de separacin (SPP, Separator Page Processor) para la insercin de una pagina de separacin, si es requerido. despus, el trabajo es extrado de la cola de impresin y enviado al monitor de impresin, y desde aqu a la propia impresora a travs del Puerto de impresin apropiado. La impresora recibe el trabajo de impresin en su totalidad, o gradualmente a medida que el monitor de impresin alimenta la impresora a la velocidad apropiada para mantener los bferes de la impresora llenos. La impresora convierte cada pgina al formato de mapa de bits y despus imprime el documento.
Tipos de datos de la impresora
Cuando un trabajo de impresin alcanza el comienzo de la cola de impresin, el proveedor de impresin local sondea al procesador de impresin para determinar si el trabajo de impresin est en el tipo de datos adecuado para la impresora. Si el trabajo de impresin no tiene el formato adecuado, el procesador de impresin necesita convertirlo. El tipo de datos que se utiliza para representar un trabajo de impresin es importante no solo por la necesidad de correspondencia con el tipo de datos soportado por la impresora, sino tambin a causa de consideraciones de rendimiento. Por lo tanto, es necesario comprender las diferencias entre los dos tipos de datos principales soportados por el procesador de impresin predeterminado de Windows. (Los procesadores de impresin de terceros suministran ocasionalmente -pero no a menudo- tipos de datos adicionales.) El tipo de dato de impresora utilizado ms comnmente soportado por Windows es el metarchivo mejorado (EMF, Enhanced Metafile). Este es el tipo de datos predeterminado para los clientes Windows 2000 o Windows NT que utilizan el popular lenguaje de descripcin de paginas PCL. El tipo de datos EMF es un formato de metarchivo que permite una mejor portabilidad, trabajos de impresin mas pequeos y menos tiempo consumido en la estacin de trabajo cliente para preparar un documento para su impresin. Los archivos EMF tambin consumen generalmente algo menos de ancho de banda de red, pero requieren mas procesamiento en el servidor de impresin que los trabajos de impresin RAW. El segundo tipo de datos mas comnmente utilizado es el tipo de datos RAW, que es el tipo de datos predeterminado para las impresoras PostScript y todos los clientes que no ejecutan Windows 2000 o Windows NT. Los trabajos de impresin RAW se procesan completamente en el equipo cliente y no son modificados en absoluto por el servidor de impresin. El procesador de impresin de Windows 2000 (Winprint) soporta otros tres tipos de datos, aunque no se utilizan tan a menudo. Los tipos de datos son RAW (FF anexado), RAW (FF auto) y text.
G
RAW (FF anexado) aade un carcter de avance de pagina al trabajo de impresin, el cual requieren algunas aplicaciones que de otra forma no imprimiran la ltima pgina cuando utilizan el tipo de datos
Captulo 15
RAW con impresoras PCL. RAW (FF auto) comprueba automticamente la presencia de un carcter de avance, de pgina y aade uno si es necesario. text interpreta todo el trabajo de impresin como texto ASCII plano, despus aade cualquier especificacin de impresin adicional mediante la configuracin predeterminada de fbrica de la impresora. Este tipo de datos es til para impresoras que no trabajan adecuadamente con otros tipos de datos.
Planificacin de la implantacin de las impresoras

Es posible que la compaa ya tenga impresoras implantadas, y es de esperar que tambin haya convenios de denominacin y directrices para situar las nuevas impresoras. Esta caracterstica permite a los usuarios localizar ms fcilmente impresoras cercanas que tengan las caractersticas que necesitan. Establecimiento de convenios de denominacin de las impresoras Los mtodos de denominacin de las impresoras efectivos llevan tanta informacin relevante sobre las impresoras como es posible manteniendo al mismo tiempo el nombre intuitivo y compatible con todos los clientes relevantes. Al igual que la planificacin del espacio de nombres de la red, la planificacin del convenio de denominacin a utilizar para las impresoras es importante para mantener un entorno de computacin lgico y fcil de usar Una empresa debe asegurarse de obtener soporte administrativo para el convenio. Es deseable establecer un esquema de denominacin que se pueda cumplir realmente en la empresa. En las maquinas basadas en Windows, se trabaja con dos nombres: el nombre de la impresora y el nombre compartido. Un nombre de impresora es el nombre otorgado a una impresora en el momento de su instalacin y puede tener una longitud de hasta 220 caracteres. Un nombre compartido es el nombre proporcionado a la impresora para utilizarla en la red y puede tener una longitud de hasta 80 caracteres, aunque se mantiene normalmente en 8 caracteres o menos para mantener la compatibilidad con clientes basados en MS-DOS o Windows 3.x. Los nombres de impresora se muestran en el servidor de impresin y en el campo comentarios cuando los clientes Windows examinan una impresora. El nombre compartido es el nombre que todos los clientes ven cuando examinan una impresora, utilizan el Asistente para agregar impresoras o utilizan el comando Net Use. Algunas aplicaciones heredadas experimentan problemas con impresoras cuyo nombre de impresora completo (el nombre del equipo y el nombre compartido de la impresora combinados) excede de 31 caracteres. Este problema tambin puede producirse con impresoras cuyos nombres tengan menos de 31 caracteres, si el nombre predeterminado de la impresora tiene mas de 31 caracteres, adems, los clientes MS-DOS no pueden acceder a impresoras con nombres compartidos mas largos de 8 caracteres seguidos de una extensin de 3 caracteres. Normalmente el nombre de la impresora que se utiliza es el nombre real de la impresora seguido de un
Captulo 15
numero, si existen mltiples impresoras idnticas en la misma ubicacin. Algunas empresas podran desear incluir tambin la ubicacin de la impresora en el nombre de la impresora, por lo que una impresora lser HP LaserJet 8100 podra llamarse HP LaserJet 8100-1 o HP LaserJet 8100 Planta 10-1. El nombre compartido necesita ser mas escueto y a menudo es una referencia genrica a las capacidades de la impresora. Por ejemplo, la impresora HP LaserJet 8100 que se acaba de mencionar podra utilizar el nombre compartido de HPLaser1. O, si se dispone de una impresora lser color, se podra utilizar ClrLaser como nombre compartido. Opcionalmente se puede usar una extensin de tres letras en el nombre compartido y mantener aun la compatibilidad con clientes MS-DOS; algunas empresas utilizan la extensin para denotar el numero de la impresora o para referirse a sus capacidades. Se debe evitar el uso de espacios a otros caracteres especiales en los nombres compartidos a menos que se mantenga una red donde todos son Windows 2000. En otro caso, algunos clientes, como UNIX o MS-DOS, no sern capaces de reconocer los nombres. Creacin de convenios de denominacin de las ubicaciones Cuando se utiliza Active Directory de Windows 2000 para almacenar la informacin de la impresora, los usuarios pueden examinar o buscar impresoras basndose en los criterios que quieran, incluyendo caractersticas y ubicacin de la impresora. En organizaciones pequeas, los usuarios pueden buscar impresoras sin utilizar el seguimiento de la ubicacin de impresoras. Sin embargo, si se va a activar el seguimiento de la ubicacin de impresoras, el nombre de ubicacin de la impresora se vuelve mas importante que el nombre de la impresora. Los nombres de ubicacin son similares en forma a los nombres de dominio y se escriben de la forma nombre/nombre/nombre/nombre. Comienzan con el nombre de ubicacin mas general y se van volviendo progresivamente mas especficos. Cada parte del nombre puede tener un mximo de 32 caracteres y puede contener cualquier carcter excepto la barra diagonal (/), que esta reservada para utilizarla como delimitador. El nombre de ubicacin completo no debe ser mayor de 260 caracteres, con un mximo de 256 niveles. Si no se utiliza Active Directory para almacenar la informacin de la impresora, aun se puede incluir informacin de la ubicacin con las impresoras, aunque este enfoque tiene algunas limitaciones. Para introducir la informacin de la ubicacin, hay que escribir el nombre de ubicacin en la pestaa General de la ventana Propiedades de la impresora.
Instalacin de impresoras
Para aadir una impresora al sistema en Windows 2000, al igual que en Windows NT 4 y en Windows 95/98, se utiliza el Asistente para agregar impresoras. Si se ha configurado una impresora en alguno de estos sistemas operativos, se encontrara que el proceso es similar en Windows 2000. Para cambiar el comportamiento predeterminado del Asistente para agregar impresoras para
Captulo 15
clientes, servidores o ambos, hay que utilizar el complemento Directiva de grupo. Despus de aadir una impresora por medio del Asistente para agregar impresoras, ser necesario configurar los permisos apropiados para la impresora, configurar cualquier opcin de instalacin con la que este equipada la impresora y establecer los parmetros de impresin predeterminados. Instalacin de impresoras locales Para utilizar el Asistente para agregar impresoras hay que seguir los siguientes pasos: 1. Pulsar el botn Inicio, escoger configuracin y pulsar en Impresoras para abrir la carpeta Impresoras. 2. Pulsar dos veces en el icono Agregar impresora para iniciar el Asistente para agregar impresoras. 3. Pulsar Siguiente en la primera pantalla para comenzar a utilizar el Asistente para agregar impresoras y aparece el cuadro de seleccin del tipo de instalacin que vamos a realizar. H Impresora local, seleccionaremos esta opcin si los drivers van a estar instalados en nuestro equipo. I Detectar e instalar mi impresora Plug and Play automticamente: por defecto est seleccionada y deberemos dejarla seleccionada si nuestra impresora es Plug and Play, lo que nos permite detectar automticamente e instalar de forma rpida muchos dispositivos de hardware, incluidas las impresoras. En la actualidad, casi todas las impresoras del mercado son Plug and Play. Sin embargo, el modo en que se detectan y el grado de intervencin del usuario requerido en el proceso de la instalacin difieren de una impresora a otra y dependen de cmo se conecten al equipo. Si no selecciona esta opcin con una impresora Plug and Play, Windows 2000 detectara la impresora la prxima vez que se reinicie el sistema y tratara de instalar la impresora una segunda vez. Si se utiliza una conexin USB o IEEE 1394 para la impresora, Windows 2000 detectara la impresora automticamente y la instalara en el servidor tan pronto como se conecte la impresora al servidor (aunque podran pedirse controladores). En Windows 2000 Server, el Asistente para agregar impresoras compartir la impresora y la publicara en Active Directory a menos que se seleccione No compartir esta impresora en la pantalla Compartir impresora. En Windows 2000 Profesional, la opcin predeterminada es no compartir la impresora a menos que se
Captulo 15
seleccione Compartir como en la pantalla Compartir impresora, en cuyo caso la impresora ser compartida y publicada. H Impresora de Red: deberemos seleccionar esta opcin si la impresora se encuentra en un servidor de Impresin con los drivers apropiados a nuestro sistema operativo. Pulsar Siguiente. Si hemos seleccionado la opcin Detectar e instalar mi impresora Plug and Play automticamente, se iniciar la bsqueda y Windows 2000 nos mostrar el cuadro de dilogo Nuevo hardware encontrado cuando localiza la impresora. Si Windows 2000 posee los controladores apropiados para el dispositivo, instala esos controladores automticamente. Si la impresora no fue detectada, hay que ejecutar el Asistente para agregar impresoras de nuevo, pero esta vez se debe desactivar la casilla de verificacin Detectar a instalar mi impresora Plug and Play automticamente en la pantalla Impresora local o de red y despus pulsar Siguiente. 4. Seleccionar el puerto de impresora: H Usar el puerto siguiente: si el puerto ya existe, lo seleccionamos y despus pulsamos Siguiente. H Crear nuevo puerto: si el puerto no existe deberemos seleccionar esta opcin, y se habilitar la casilla Tipo, donde podemos seleccionar el tipo de puerto que debemos instalar. H Seleccionar el botn de opcin Crear nuevo puerto, y seleccionar despus Standard TCP/IP Port en la lista desplegable con dos opciones por defecto: Local Port y Standar TCP/IP Port. I Local Port: Si seleccionamos esta opcin deberemos proporcionar el nombre del nuevo puerto local. Seguramente esto no ser necesarios ya que Windows 2000 es capaz de encontrar la mayora de los tipod de puertos que estn instalados en el ordenador.
Captulo 15
5.
6.
7.
8. 9.
Standard TCP/IP Port: Si la impresora est conectada directamente a la red, mediante un interfaz de REd con TCP/IP instalado deberemos seleccionar esta opcin y pulsar siguiente. Windows 2000 ejecutar el Asistente para agregar puerto de impresora estndar TCP/IP. Hay que asegurarse de que la impresora esta conectada a la red y encendida para que Windows 2000 pueda establecer una conexin. Aparecer el asistente de instalacin del nuevo puerto. I En Nombre de impresora o direccin IP, escriba el nombre DNS (Sistema de nombres de dominio) o la direccin IP (Protocolo Internet) del host para la impresora que va a agregar. I El nombre de puerto TCP/IP Windows 2000 lo rellena automticamente. Despus, Windows 2000 trata de conectar con la impresora. Si Windows no puede detectar la impresora, se solicitara informacin adicional. Como es el tipo de tarjeta que tiene instalada la impresora. Si pulsamos siguiente aparecer el cuadro de confirmacin de configuracin del puerto. I Pulsamos Siguiente Seleccionar el fabricante y modelo de la impresora en los cuadros de dialogo Fabricantes e Impresoras, y pulsar Siguiente. O pulsar el botn Windows Update para ver una lista de controladores actualizados y pulsar el botn Utilizar disco para proporcionar un disco con controladores. Introducir un nombre para la impresora en el cuadro de texto Nombre de la impresora. Introducir el nombre compartido de la impresora en la red. Escoger si se desea o no compartir la impresora seleccionando la opcin No compartir esta impresora o bien la opcin Compartir como. Si se seleccionar la opcin Compartir como, hay que proporcionar un nombre compartido para la impresora. Introducir la ubicacin de la impresin en el cuadro Ubicacin. Se pueden describir las capacidades de la impresora en el cuadro Comentario. Imprimir una pagina de prueba pulsando Si en la pantalla Imprimir pagina de prueba, y despus pulsar Siguiente para mostrar un resumen de la instalacin de la impresora. Para modificar las opciones de instalacin, hay que pulsar Atrs; en otro caso, hay que pulsar Finalizar para completar la instalacin.
I
Instalacin de nuevos puertos para impresoras en la Red

Para compartir impresoras en una red, hay varias opciones. Se puede aadir una impresora compartida por otro equipo, aadir impresoras TCP/IP en un puerto TCP/IP, aadir impresoras en un puerto LPR o aadir un
Captulo 15
dispositivo de impresin AppleTalk. Adicin de impresoras compartidas por otro equipo La forma ms sencilla de conectarse a una impresora, despus de utilizar una conexin fsica directa, es utilizar una impresora compartida en la red. El equipo que comparte la impresora podra ser un servidor de impresin o simplemente una estacin de trabajo con una impresora conectada. Para configurar una impresora que es compartida por un servidor o estacin de trabajo en la red, hay que seguir los siguientes pasos para utilizar el Asistente para agregar impresoras para conectarse a la impresora: 1. Configurar el equipo que comparte la impresora con el protocolo apropiado; hay que asegurarse de que la impresora esta compartida en la red y de que se tienen los permisos adecuados para acceder a ella. 2. Para una impresora conectada a un servidor NetWare, hay que asegurarse de que se tienen instalados el Protocolo de transporte compatible con NWLink IPX/SPX/NetBIOS y los Servicios puerta de enlace para NetWare, activados y funcionando en el servidor de impresin Windows 2000. Pulsar el botn Inicio, escoger Configuracin y pulsar despus en Impresoras para abrir la carpeta Impresoras. 3. Pulsar dos veces en el icono Agregar impresora para iniciar el Asistente para agregar impresoras. 4. Seleccionar la opcin Impresora de red. Introducir el nombre de la impresora en el cuadro de texto Nombre, o pulsar Siguiente para buscar la impresora. Si se escoge buscar la impresora, Windows 2000 muestra la pantalla Buscar impresora. Si las impresoras estn publicadas en Active Directory, se puede seleccionar el botn de opcin Buscar una impresora en el directorio y pulsar Siguiente para buscar en el Active Directory por medio de la ubicacin o caractersticas de la impresora. 5. Escoger la impresora de la lista de impresoras compartidas y despus pulsar Siguiente. 6. Si ya se ha instalado una o ms impresoras en el servidor, hay que escoger si esta impresora ha de ser la impresora predeterminada pulsando el botn Si o el botn No y pulsando despus Siguiente. despus, el Asistente para agregar impresoras muestra un resumen de la instalacin de la impresora. 7. Pulsar Finalizar para finalizar la instalacin. Adicin de impresoras TCP/IP en un puerto de impresora TCP/IP mas a menudo se va a configurar un servidor de impresin para que se conecte a una o ms impresoras ya conectadas directamente a la red. Una de las formas mas comunes de conectarse a estas impresoras de red es configurar un puerto de impresin TCP/IP estndar que administre las comunicaciones con las impresoras basadas en TCP/IP. Para configurar una impresora basada en red a travs de un puerto de impresora TCP/IP estndar -que Windows 2000 trata como puerto local- hay que seguir los siguientes pasos: 1. Pulsar el botn Inicio, escoger Configuracin y despus pulsar en Impresoras para abrir la carpeta Impresoras. 2. Pulsar dos veces en el icono Agregar impresora para iniciar el Asistente para agregar impresoras. 3. Pulsar Siguiente en la primera pantalla para comenzar a utilizar el Asistente para agregar impresoras.
Captulo 15
4. Seleccionar la opcin Impresora local y desactivar la casilla de verificacin Detectar e instalar mi impresora Plug and play automticamente. 5. Introducir un nombre para la impresora en el cuadro de texto Nombre de la impresora. Pulsar Siguiente. 6. Aparecer el asistente para la creacin de un puerto estndar de impresin. 7. En la pantalla Compartir impresora, seleccionar No compartir esta impresora si no se desea que esta impresora este accesible a usuarios en la red. Seleccionar Compartir como y suministrar un nombre compartido para la impresora, si se desea que los usuarios de la red sean capaces de utilizar esta impresora. Pulsar Siguiente. 8. Introducir el nombre de ubicacin para la impresora en el cuadro Ubicacin. Se pueden describir las capacidades de la impresora en el cuadro Comentario. 9. Imprimir una pagina de prueba pulsando Si en la pantalla Imprimir pagina de prueba. Pulsar Siguiente para mostrar un resumen de la instalacin de la impresora. Adicin de impresoras en un puerto de impresora LPR Otra forma comn de conectarse a una impresora de red es utilizar un puerto LPR, lo que permite al servidor de impresin comunicarse con impresoras por medio del servicio LPD, usado normalmente para soportar clientes UNIX. Para configurar una impresora basada en red a travs de un puerto LPR primero hay que asegurarse de que estn instalado el Componente de Windows Servicios de impresin para UNIX dentro de Otros servicios de archivo e impresin de red: 1. Instalar los servicios de impresin para UNIX utilizando el Asistente para componentes de Windows. 2. Pulsar el botn Inicio, escoger Configuracin y pulsar despus en Impresoras para abrir la carpeta Impresoras. Pulsar dos veces en el icono Agregar impresora para iniciar el Asistente para agregar impresoras. 3. Seleccionar la opcin Impresora local y desactivar la casilla de verificacin Detectar e instalar mi impresora Plug and play automticamente. 4. Escoger la opcin Crear nuevo puerto, seleccionar LPR Port en la lista desplegable y pulsar Siguiente.
Captulo 15
5. Introducir el nombre o la direccin de la impresora o el servidor de impresin que ejecuta LPD en el primer cuadro de texto del cuadro de dialogo Agregar impresora compatible LPR. 6. En el segundo cuadro de texto hay que introducir el nombre de la impresora o cola de impresin del servidor LPD y despus pulsar Aceptar. Windows aade el puerto a la lista de puertos. 7. Si Windows no detecta la impresora, escoger el modelo de impresora en la Siguiente pantalla y despus pulsar Siguiente. 8. Proporcionar un nombre para la impresora en el cuadro de texto Nombre de la impresora. Introducir despu6s el nombre compartido de la impresora en la red. 9. Introducir el nombre de ubicacin de la impresora en el cuadro Ubicacin. Se pueden describir las caractersticas de la impresora en el cuadro Comentario. 10. Para imprimir una pagina de prueba hay que pulsar Si en la pantalla Imprimir pagina de prueba. Pulsar Siguiente para mostrar un resumen de la instalacin de la impresora. Adicin de dispositivos de impresin AppleTalk En un entorno informtico mixto con clientes Macintosh, podra ser necesario utilizar uno o mas dispositivos de impresin AppleTalk. Para instalar una impresora AppleTalk, primero hay que asegurarse de que estn instalado el Componente de Windows Servicios de impresin para Apple Talk dentro de Otros servicios de archivo e impresin de red: AppleTalk no soporta nombres de usuario o contraseas en los clientes, lo que elimina la capacidad de establecer permisos para usuarios Macintosh en el servidor de impresin. Sin embargo, se pueden establecer permisos para los usuarios Macintosh como un grupo, otorgando de este modo los mismos permisos de impresin a todos los clientes Macintosh. 1. Instalar los servicios de impresin para Macintosh utilizando el Asistente para componentes de Windows. 2. Abrir la carpeta Impresoras. Pulsar dos veces en el icono Agregar impresora para iniciar el Asistente para agregar impresoras.
Captulo 15
3. Seleccionar la opcin Impresora local y desactivar la casilla de verificacin Detectar e instalar mi impresora Plug and play automticamente. 4. Seleccionar Crear nuevo puerto y despus seleccionar Dispositivos de impresin de AppleTalk en la lista desplegable y pulsar Siguiente. Windows 2000 busca impresoras AppleTalk en la red. 5. Escoger una impresora en el cuadro de dialogo Dispositivos de impresin de AppleTalk disponibles, y pulsar Aceptar para instalar la impresora. Cuando se pregunte si se desea capturar el puerto hay que pulsar Si, Windows aade el puerto a la lista de puertos. Cuando se captura un puerto de impresin AppleTalk, la impresora es administrada exclusivamente por el servidor de impresin de Windows 2000 y no se la puede conectar simultneamente a un servidor de impresin Macintosh. Esta limitacin otorga al administrador del servidor de impresin un control completo sobre la impresora. 6. Escoger el modelo de la impresora en la siguiente pantalla, si Windows no detecta la impresora. Introducir un nombre para la impresora en el cuadro de texto Nombre de la impresora. Introducir el nombre compartido a utilizar para la impresora. 7. Introducir el nombre de ubicacin de la impresora en el cuadro Ubicacin. Se pueden describir las caractersticas de la impresora en el cuadro Comentario y despus pulsar Siguiente. 8. Imprimir una pagina de prueba pulsando Si en la pantalla Imprimir pagina de prueba. Pulsar Siguiente para mostrar un resumen de la instalacin de la impresora.
Modificacin de las propiedades de las impresoras

Despus de instalar impresoras en el servidor de impresin, ser necesario establecer la seguridad, configurar varias opciones de las impresoras, seleccionar la impresora predeterminada y seleccionar el servidor de impresin y sus opciones. Definicin de las opciones de seguridad Aunque algunas personas no piensan en la seguridad cuando configuran impresoras, este puede ser un importante factor a considerar. Por ejemplo, no es deseable que todo el mundo imprima a 800 pesetas la pagina en la impresora de sublimacin de tinta adquirida para el departamento de publicidad. A un nivel mas bsico, probablemente no se deseara que muchos usuarios modifiquen las propiedades de una impresora o
Captulo 15
cambien las propiedades de los documentos de la cola de impresin. La seguridad de las impresoras se gestiona estableciendo permisos para grupos (y ocasionalmente para usuarios individuales) y auditando las acciones que realizan los usuarios y los grupos, de forma parecida al acceso al equipo en general. Hay que configurar los usuarios para que pertenezcan a grupos y otorgar despus a los grupos el nivel de permisos apropiados para esos usuarios. Se debe activar la auditoria para usuarios individuales o grupos de forma que el administrador o la persona responsable de la administracin de los registros de auditoria puedan hacer un seguimiento de las acciones del usuario en relacin con la impresora. Se debe utilizar una cuenta con permiso Administrar impresoras para ver y cambiar la configuracin de seguridad de la impresora.
Niveles de permisos de la impresora
Las impresoras son recursos de Windows 2000 y, por lo tanto, pueden ser protegidos como cualquier otro recurso mediante las caractersticas de seguridad de Windows 2000. En Windows 2000 las impresoras tienen propietarios y listas de control de accesos (ACL, Access Control Lists), que especifican los permisos que tiene cada usuario o grupo. El creador de la impresora se convierte automticamente en su propietario, y slo los usuarios con permisos suficientes (Administrar impresoras) pueden obtener la propiedad de la impresora del creador. Un usuario o grupo tiene tres niveles de permisos de control para una impresora: Imprimir, Administracin de documentos y Administrar impresoras. Los clientes Macintosh asumen que si un cliente puede enviar fsicamente un documento a una impresora, eso implica que tiene permiso para hacerlo de esa forma. Por lo tanto, un cliente Macintosh no posee seguridad de impresin.
G
Los miembros del grupo Todos tienen concedido el permiso Imprimir de forma predeterminada. Sin embargo, se debera eliminar el permiso Imprimir del grupo Todos y asignarlo en cambio al grupo incorporado Usuarios. Esto permite imprimir slo a usuarios con cuentas de dominio. Los usuarios o grupos con permisos Imprimir pueden hacer lo siguiente: conectarse a la impresora, imprimir documentos y detener, reiniciar y borrar sus propios documentos de la cola de impresin. El grupo Creator/Owner tiene concedido el permiso Administracin de documentos de forma predeterminada. Este nivel otorga los permisos de Imprimir adems de la capacidad de cambiar la configuracin de todos los documentos de la cola de impresin y detener, reiniciar y borrar cualquier documento de la cola de impresin. Los usuarios avanzados, operadores de impresin y operadores de servidor en un controlador de dominio y a administradores en un servidor tienen concedido el nivel de permiso Administrar impresoras que es el equivalente en Windows 2000 al Control total de Windows NT. Adems de los permisos de Imprimir y Administracin de documentos, el nivel de permiso Administrar impresoras aade la capacidad de configurar impresoras compartidas, modificar las propiedades de las impresoras, eliminar impresoras, cambiar los permisos de las impresoras y tomar posesin de las impresoras.
Se debera configurar una impresora teniendo en cuenta las mismas directrices que se seguiran con cualquier recurso compartido. Se debe crear un grupo local con permisos Imprimir, darle un nombre que se corresponda
Captulo 15
con el nombre de la impresora y aadir despus grupos globales al grupo local. Si la seguridad no es un problema, se puede otorgar el permiso Administracin de documentos o Administrar impresoras al grupo local.
Cambio de los permisos de la impresora
Para cambiar los permisos de una impresora, hay que seguir los siguientes pasos: 1. Abrir la carpeta Impresoras localizada en el men Inicio. 2. Pulsar con el botn derecho del ratn en la impresora a modificar y despus escoger Propiedades en el men contextual. 3. Pulsar en la pestaa Seguridad en la ventana Propiedades de la impresora. 4. Para modificar los permisos de un grupo, hay que seleccionar el grupo en la lista y seleccionar despus las casillas de verificacin en la seccin Permisos de la ventana para escoger que permisos otorgar a cada grupo. 5. Para aadir un usuario o grupo a la lista, hay que pulsar el botn Agregar, seleccionar un usuario o grupo de la lista para aadirlo y despus pulsar Agregar. Cuando se haya terminado de aadir usuarios o grupos, hay que pulsar Aceptar. 6. Para eliminar un usuario o grupo de la lista de usuarios y grupos con permiso para utilizar la impresora, hay que seleccionar el usuario o grupo y despus pulsar Quitar. 7. Para ver o cambiar la configuracin de forma mas detallada, hay que pulsar el botn Avanzada.
Captulo 15
8. Se puede utilizar la pestaa Permisos del cuadro de dialogo configuracin de control de acceso para ver o cambiar todos los permisos de cada usuario o grupo. (Las configuraciones adicionales son Permisos de lectura, Cambiar permisos o Tomar posesin.) 9. Para especificar si los permisos de un usuario o grupo en particular se aplican solo a la impresora, solo a los documentos o tanto a la impresora como a los documentos, hay que seleccionar el usuario o el grupo, pulsar el botn Ver o modificar y despus escoger una configuracin de la lista desplegable Aplicar en. Pulsar Aceptar.
Configuracin de la auditoria de la impresora
Para auditar acciones sobre la impresora (registrar las ocurrencias de acciones relacionadas con la impresora con xito o sin el realizadas por usuarios o grupos), hay que seguir los siguientes pasos:
Captulo 15
1. En la carpeta Impresoras (localizada en el men Inicio), pulsar con el botn derecho del ratn en la impresora a modificar y despus escoger Propiedades en el men contextual. 2. Pulsar en la pestaa Seguridad en la ventana Propiedades de la impresora y despus pulsar Avanzada. 3. Pulsar en la pestaa Auditoria. Para aadir una entrada de auditoria, hay que pulsar el botn Agregar. 4. Seleccionar un grupo para auditarlo y despus pulsar Aceptar. 5. En el cuadro de dialogo Entrada de auditoria, hay que seleccionar las acciones que se desearan registrar y despus pulsar Aceptar. 6. Para modificar las auditorias creadas, hay que seleccionar la entrada de auditoria y pulsar el botn Ver o modificar. Se pueden ver los resultados de la configuracin de la auditoria en el registro de seguridad. Despus de revisar el registro varias veces, se puede concluir que se estn auditando demasiados o muy pocos eventos. Si se registran demasiadas acciones, el registro se llenara rpidamente y los eventos que son mas serios se pueden perder en la larga lista de los relativamente triviales. Si se registran muy pocos eventos, se podra perder un patrn de accesos impropios a las impresoras. Cambio de la propiedad de la impresora El propietario de una impresora es la persona que tiene el control sobre que niveles de permiso tienen los usuarios y grupos sobre la impresora. Para cambiar la propiedad de la impresora, hay que seguir los siguientes pasos:
Captulo 15
1. En la carpeta Impresoras, pulsar con el botn derecho del ratn en la impresora a modificar y despus escoger Propiedades en el men contextual. 2. Pulsar en la pestaa Seguridad en la ventana Propiedades de la impresora y despus pulsar Avanzada. 3. Pulsar en la pestaa Propietario para ver la propiedad actual de la impresora. 4. Seleccionar el usuario o grupo que ha de ser el nuevo propietario de la impresora y despus pulsar Aceptar. Solo los usuarios o grupos con el nivel de permiso Administrar impresoras aparecern en la listo de usuarios o grupos disponibles para tomar posesin de la impresora. Cambio de las opciones de las impresoras Windows 2000 instala las nuevas impresoras con las opciones de impresin diseadas para que sirvan a la mayora de los usuarios, pero con frecuencia ser necesario cambiarlas para que la impresora funcione de forma ptima. Entre las modificaciones de las opciones de la impresora que podran ser necesarias se incluyen cambiar la impresora predeterminada, cambiar los controladores de la impresora del servidor de impresin, especificar perfiles de color, cambiar la disponibilidad de la impresora, determinar las prioridades de impresin del grupo y configurar las colas de impresin. Estas caractersticas podran no estar disponibles hasta que se activen explcitamente. Dependiendo del controlador de impresora que se utilice, los cuadros de dialogo y las opciones de la impresora que se tendrn sern probablemente distintos de los que aparecen aqu. Si se utiliza un controlador de impresora proporcionado por el fabricante de la impresora, las pestaas y opciones adicionales no estarn disponibles en los controladores de impresora estndar de Windows 2000.
Cambio de la impresora predeterminada
Las aplicaciones del equipo que comparte la impresora imprimen automticamente en la impresora predeterminada a menos que se especifique una impresora diferente. En un servidor de impresin es mucho mas difcil determinar que impresora es la impresora predeterminada, pero es importante para los clientes. Para cambiar la impresora predeterminada hay que seguir estos pasos:
Captulo 15
1. En la carpeta Impresoras, pulsar con el botn derecho del ratn en la impresora que se desea modificar. 2. Escoger Establecer como impresora predeterminada en el men contextual.
Cambio de las opciones generales a impresin de paginas de prueba
Para cambiar las opciones generales de la impresora, como el nombre de la impresora, o para imprimir una pagina de prueba, hay que seguir estos pasos: 1. En la carpeta Impresoras, pulsar con el botn derecho del ratn en la impresora a modificar y despus escoger Propiedades en el men contextual. 2. Utilizar la pestaa General de la ventana Propiedades para ver o modificar el nombre de la impresora, el nombre de ubicacin o el comentario, adems de ver las caractersticas de la impresora. 3. Para imprimir una pagina de prueba, hay que pulsar el botn Imprimir pagina de prueba en la pestaa General. Tambin se puede imprimir una pagina de prueba abriendo el Bloc de notas de Windows y creando un documento sencillo. De hecho, la impresin desde el Bloc de notas es una tcnica de solucin de problemas sencilla utilizada para ver si la impresin bsica funciona.
Impresoras compartidas y suministro de controladores a los clientes
Para cambiar el nombre compartido que utiliza la impresora en la red, para dejar de compartir la impresora o para instalar controladores que las maquinas cliente pueden utilizar para la impresora, hay que seguir estos pasos:
Captulo 15
1. En la carpeta Impresoras, pulsar con el botn derecho del ratn en la impresora a modificar y despus escoger Propiedades en el men contextual. 2. Pulsar en la pestaa Compartir. Pulsar la opcin Compartida como a introducir el nombre compartido de la impresora en el cuadro de texto proporcionado. 3. Para publicar la impresora en el Active Directory, hay que seleccionar la casilla de verificacin Mostrada en Directorio, si esta disponible. 4. Para aadir controladores para clientes que se descarguen a instalen automticamente cuando un cliente Windows 2000 o Windows NT se conecta a la impresora, hay que pulsar el botn Controladores adicionales. 5. En el cuadro de dialogo Controladores adicionales, hay que seleccionar la casilla de verificacin junto a cualquier controlador para cliente que ha de instalarse y despus pulsar Aceptar. Para instalar controladores adicionales para clientes es necesario acceder a los archivos de instalacin de Windows 2000, bien en el CD-ROM, bien a lo largo de la red. Cuando estn instalados los controladores para clientes en un servidor de impresin, muchos clientes Windows descargan automticamente los controladores cuando se conectan inicialmente a la impresora. Los clientes Windows 2000 y Windows NT 4 comprueban automticamente la existencia de versiones actualizadas de los controladores de la impresora en el inicio y descargan las versiones mas recientes si es necesario. Los clientes Windows NT 3.x comprueban y actualizan automticamente sus controladores cuando imprimen en el servidor. Los clientes Windows 95 y 98 no comprueban automticamente la existencia de controladores actualizados y deben ser actualizados manualmente.
Cambio de los controladores de impresora del servidor de impresin
Captulo 15
Para cambiar el controlador que utiliza el servidor de impresin para una impresora, hay que seguir estos pasos: 1. En la carpeta Impresoras, pulsar con el botn derecho del ratn en la impresora a modificar y despus escoger Propiedades en el men contextual. 2. Pulsar en la pestaa Avanzadas. 3. Escoger un controlador de la lista desplegable Controlador, o pulsar la opcin Controlador nuevo para iniciar el Asistente para actualizar un controlador.
Definicin de las opciones de las colas de impresin y cambio del puerto
Una cola de impresin es til para gestionar un gran volumen de impresin en una ubicacin, particularmente cuando existe una mezcla de documentos grandes y pequeos. Por ejemplo, alguien con un memorando de una sola pagina no tiene por que quedarse estancado en la cola detrs de un trabajo de impresin que es la versin empresarial de la Enciclopedia de la Real Academia de la Lengua Espaola. Si las impresoras comparten un nico controlador, pueden aparecer ante los clientes como una sola impresora. La ventaja de utilizar una cola de impresin es que los clientes no necesitan encontrar que impresora se encuentra disponible; simplemente imprimen en la impresora lgica nica (controlador de impresora) del servidor de impresin, el cual enva el trabajo de impresin a la primera impresora disponible. La administracin de las impresoras se simplifica tambin dado que todas las impresoras se consolidan bajo un controlador. Si se modifican las propiedades de la impresora lgica nica, todas las impresoras fsicas de la cola de impresin utilizan la misma configuracin. Las impresoras de una cola de impresin deberan situarse unas cerca de otras para facilitar la bsqueda de un trabajo de impresin terminado. Para configurar una cola de impresin o simplemente cambiar la configuracin del puerto de una impresora, hay que seguir los siguientes pasos: 1. En la carpeta Impresoras, pulsar con el botn derecho del ratn en la impresora a modificar y despus escoger Propiedades en el men contextual. 2. Pulsar en la pestaa Puertos. 3. Seleccionar la casilla de verificacin Habilitar la cola de la impresora. 4. Para cambiar la configuracin de reintento de la transmisin de un puerto, hay que seleccionar el puerto y pulsar Configurar puerto. 5. Para aadir impresoras adicionales a la cola de impresin, hay que seleccionar los puertos a los que estn conectadas las impresoras. Todas las impresoras de una cola de impresin han de ser idnticas o al menos han de poder
Captulo 15
utilizar el mismo controlador de impresora, dado que todas ellas estn configuradas con un nico controlador de impresin.
Especificacin de un perfil de color
Windows 2000 incluye la API Administracin de color de imagen 2 (ICM, Integrated Color Management) que permite mantener la consistencia de los colores en monitores, impresoras a color y escneres. Cuando es necesario conseguir una reproduccin del color precisa, es til configurar la impresora, adems de los monitores y escneres de los usuarios, con un perfil de color apropiado. Para hacer eso, hay que seguir estos pasos: 1. En la carpeta Impresoras, pulsar con el botn derecho del ratn en la impresora a modificar y despus escoger Propiedades en el men contextual. 2. Pulsar en la pestaa Administracin del color. Seleccionar la opcin Automtico para que Windows 2000 escoja el mejor perfil de color. 3. Para seleccionar manualmente un perfil de color, hay que escoger la opcin Manual y seleccionar despus un perfil de la lista o pulsar el botn Agregar para instalar un perfil de color adicional proporcionado por el fabricante del dispositivo. Pulsar Aceptar. La administracin del color en Windows ha avanzado bastante, pero muchos profesionales de los grficos an utilizan soluciones de concordancia de color de terceros basadas en hardware cuando la precisin del color es importante. Sin embargo, ICM proporciona una buena forma de conseguir una medida de precisin razonable para el trabajo no crtico.
Cambio de la disponibilidad de la impresora
Para configurar la impresora de forma que slo este disponible en determinados momentos -quizs para evitar las impresiones fuera del horario de trabajo-, hay que realizar los siguientes pasos: 1. En la carpeta Impresoras, pulsar con el botn derecho del ratn en la impresora a modificar y despus escoger Propiedades en el men contextual. 2. Pulsar en la pestaa Avanzadas y despus pulsar la opcin Disponible desde.
Captulo 15
3. Seleccionar la hora mas temprana y mas tarda entre las que estar disponible la impresora para los usuarios y despus pulsar Aceptar. Para dedicar una impresora a grandes trabajos de impresin de alta prioridad despus de las horas habituales de trabajo, hay que instalar una impresora lgica duplicada (controlador de impresora) para la impresora. Hay que hacer que una de las impresoras lgicas este disponible para todos los usuarios a las horas de trabajo. La otra ha de estar disponible despus del horario de trabajo solo para unos usuarios o grupos particulares.
Determinacin de las prioridades de las impresoras para grupos
Algunas veces es deseable que la impresora este disponible preferentemente para ciertos grupos de usuarios de forma que puedan saltar directamente a la cabeza de la cola de impresin. Esta caracterstica puede ser extremadamente til para los usuarios que se ven presionados por el tiempo y necesitan tener preferencia sobre otros usuarios a la hora de imprimir. Para configurar grupos que tengan distintas prioridades sobre una impresora, es necesario configurar dos o mas impresoras lgicas para la impresora fsica. De este modo, se tendran dos o mas controladores de impresora configurados para una nica impresora, poseyendo cada controlador un nivel de prioridad diferente y un conjunto de usuarios o grupos distinto. Para hacer esto hay que seguir estos pasos: 1. En la carpeta Impresoras hay que pulsar el icono Agregar impresora para aadir una o mas impresoras lgicas duplicadas para una impresora fsica que ya esta instalada en el servidor de impresin. 2. Pulsar con el botn derecho en la impresora lgica cuya prioridad se desea cambiar y seleccionar despus Propiedades en el men contextual. Pulsar en la pestaa Avanzadas. 3. Cambiar la prioridad asignada a la impresora lgica y a los usuarios y grupos que utilizan este controlador de impresora introduciendo un nmero en el cuadro de texto Prioridad. El intervalo de prioridades varia desde 1, que es la prioridad mas baja, hasta 99, que es la prioridad mas alta. 4. Pulsar en la pestaa Seguridad y aadir los usuarios y grupos a los que se va a permitir imprimir con este nivel de prioridad. Hay que eliminar o denegar los permisos de impresin a los usuarios cuyas impresiones deberan producirse con un nivel de prioridad diferente. Esos usuarios utilizaran otra impresora con su propio nivel de prioridad. 5. Pulsar Aceptar y repetir el proceso para el resto de impresoras lgicas creadas para la impresora.
Cambio de la configuracin de la cola de impresin
Utilizar una cola de impresin o, lo que es lo mismo, almacenar un trabajo de impresin en disco antes de imprimirlo, afecta a cmo perciben los clientes el rendimiento de la impresin adems de a la velocidad real de la impresin. Se puede cambiar la forma en que funciona la cola de impresin para corregir problemas de impresin o para mantener los documentos impresos en la cola de impresin en caso de que un usuario necesite imprimir el documento de nuevo. Hay que seguir estos pasos para cambiar la configuracin de la cola
Captulo 15
de impresin de un impresora: 1. En la carpeta Impresoras, pulsar con el botn derecho del ratn en la impresora a modificar y despus escoger Propiedades en el men contextual. 2. Pulsar en la pestaa Avanzadas para mostrar la configuracin de la cola de impresin. 3. Para disminuir el tiempo que tarda en imprimirse un documento, hay que seleccionar la opcin Imprimir utilizando la cola y seleccionar la opcin Empezar a imprimir de inmediato para comenzar la impresin tan pronto como haya informacin suficiente en la cola de impresin. 4. Para asegurarse de que la impresora dispone de todo el documento antes de comenzar la impresin, hay que seleccionar la opcin Iniciar la impresin cuando la ultima pagina haya entrado en la cola. Este paso podra corregir algunos problemas de impresin. 5. Si sigue habiendo problemas, se puede escoger la opcin Imprimir directamente en la impresora para desactivar la cola de impresin. Activar esta opcin causara una alerta de rendimiento en el servidor. 6. Seleccionar la casilla de verificacin Dejar pendientes documentos no coincidentes para mantener en la cola los documentos que no coincidan con la configuracin actual de la impresora. El resto de documentos de la cola de impresin no se ven afectados por los documentos pendientes. 7. Seleccionar la casilla de verificacin Imprimir primero los documentos de la cola de impresin para imprimir primero el documento con mayor prioridad que ya este en la cola de impresin, por delante de los documentos con prioridad superior que todava estn entrando en la cola de impresin. Este paso acelera el rendimiento global de la impresora evitando que sta espere a los documentos. 8. Seleccionar la casilla de verificacin Conservar los documentos despus de su impresin para mantener una copia de los trabajos de impresin en la cola de impresin en caso de que los usuarios necesiten imprimir el documento de nuevo. En esta circunstancia, el usuario puede reenviar el documento directamente de la cola en lugar de imprimirlo desde su aplicacin una segunda vez. 9. Desactivar la casilla de verificacin Habilitar caractersticas de impresin avanzadas si se experimentan problemas con la impresora. Al hacer esto se desactiva la introduccin en la cola de impresin de metarchivos, lo que desactiva algunas opciones de la impresora como el orden de paginas, impresin de folletos y varias paginas por hoja (si estn disponibles para la impresora).
Cambio de la configuracin del procesador de impresin y especificacin de una pagina de separacin
El procesador de impresin determina el formato de datos utilizado para los documentos que se envan a la impresora; generalmente RAW o EMF. Para modificar el tipo de procesador de impresin que utiliza el servidor de impresin para una impresora o para especificar una pagina de separacin que se inserte entre los trabajos de impresin, hay que seguir estos pasos:
Captulo 15
1. En la carpeta Impresoras, pulsar con el botn derecho del ratn en la impresora a modificar y despus escoger Propiedades en el men contextual. 2. Pulsar en la pestaa Avanzadas. Pulsar el botn Procesador de impresin para cambiar el procesador de impresin o para especificar el tipo, de datos a utilizar. Cuando se hayan terminado de configurar las opciones en el cuadro de dialogo Procesador de impresin hay que pulsar Aceptar. 3. Pulsar el botn Pgina de separacin para seleccionar una pagina que se inserte entre los documentos impresos para facilitar la separacin de los trabajos de impresin. Pulsar Aceptar.
Configuracin de una impresora para que utilice tanto PostScript como PCL
Si se dispone de una impresora que soporta la impresin en dos lenguajes de impresin (normalmente PostScript y PCL), se puede configurar la impresora para que soporte simultneamente ambos lenguajes. Para hacer esto, hay que configurar las impresoras lgicas (controladores de impresora) para la impresora: una para cada tipo de datos. Los clientes con documentos PostScript utilizaran entonces la impresora lgica con PostScript activado, mientras que los usuarios con documentos PCL utilizaran la impresora lgica PCL. Hay que abrir la carpeta Impresoras y pulsar Agregar impresora para crear una impresora lgica que soporte el primer tipo de datos (bien PostScript o bien PCL). despus hay que utilizar Agregar impresora una segunda vez para crear una impresora lgica que soporte el segundo tipo de datos.
Definicin de las opciones instalables y configuracin del dispositivo de impresin
Cada impresora viene con varias opciones de dispositivo configurables, como desde que bandeja de papel imprimir, si se ha instalado un duplex y cmo gestionar las fuentes descargables. Aunque las opciones que se pueden configurar varan segn el modelo de la impresora, se puede utilizar el siguiente procedimiento para cambiar la configuracin de dispositivo de cualquier impresora:
Captulo 15
1. En la carpeta Impresoras, pulsar con el botn derecho del ratn en la impresora a modificar y despus escoger Propiedades en el men contextual. 2. Pulsar en la pestaa configuracin de dispositivo y pulsar despus las palabras subrayadas para mostrar una lista desplegable que se puede utilizar para configurar cada opcin. Si la impresora posee mltiples bandejas con diferentes formatos, hay que hacer coincidir el formato con la bandeja de forma que los documentos que utilicen ese formato se impriman siempre correctamente. Bajo el titulo Formato a asignacin de bandeja hay que seleccionar cada bandeja y escoger el formato que permite la bandeja. Si la impresora soporta Proteccin de pagina y dispone de 1 Mb o mas de memoria opcional, se puede ir a la pestaa configuracin de dispositivo y activar esta opcin para asegurarse de que las paginas complejas se impriman adecuadamente. Cuando se activa esta opcin, la impresora crea cada pgina en memoria antes de empezar a imprimir.
Cambio de los valores de impresin predeterminados
Despus de configurar las opciones de la impresora para la impresora instalada, se deberan establecer los valores de impresin predeterminados que utilizan los clientes. Cuando se configuran los valores de impresin predeterminados que utiliza la impresora lgica en el servidor de impresin, se establece un conjunto de valores predeterminados que utilizaran todos los clientes que se conecten a la impresora.
Definicin de los valores de presentacin predeterminados
La presentacin involucra opciones tales como la orientacin de los documentos y el papel, el orden en que se imprimen las paginas y el numero de paginas por hoja de papel que se imprimen. Para cambiar esos parmetros, hay que seguir los siguientes pasos:
Captulo 15
1. En la carpeta Impresoras, pulsar con el botn derecho del ratn en la impresora a modificar y despus escoger Propiedades en el men contextual. 2. Pulsar en la pestaa General y despus pulsar el botn Preferencias de impresin. 3. Para cambiar la orientacin del papel, hay que pulsar el botn Vertical, el botn Horizontal o el botn Girado. Hay que observar que la vista previa cambia dependiendo de la seleccin escogida. 4. Para especificar si la impresora debera comenzar por la ultima pagina de un documento o por la primera, hay que seleccionar bien la opcin Ascendente, que es buena para una impresin cara abajo, o bien la opcin Descendente, que es mejor para impresoras con las paginas hacia arriba. 5. Para imprimir mltiples paginas por hoja de papel, hay que seleccionar el numero de paginas a imprimir en una hoja en la lista desplegable Paginas por hoja. La orientacin Girado, si esta disponible, imprime una pagina en forma horizontal, pero rotada 90 grados en sentido contrario a las agujas del reloj.
Definicin del papel y calidad predeterminados
Las opciones de papel y calidad son importantes valores predeterminados porque generalmente muchos usuarios imprimen en un cierto tamao de papel de una bandeja de papel particular y con cierta configuracin de calidad. Muchos usuarios cambian las opciones predeterminadas solo si sus documentos no se imprimen como quieren, causando potencialmente bastantes desechos si los valores predeterminados no son apropiados y los usuarios no los corrigen hasta que han impreso una copia (o mas). Configurar estos valores predeterminados con un tamao de papel estndar (muy probablemente tamao A4) y con la calidad mas apropiada para los usuarios ahorrara a la empresa mucho dinero a lo largo del tiempo. Para especificar configuracin de las opciones de papel y calidad, hay que seguir estos pasos:
Captulo 15
1. En la carpeta Impresoras, pulsar con el botn derecho del ratn en la impresora a modificar y despus escoger Propiedades en el men contextual. 2. Pulsar el botn Preferencias de impresin en la pestaa General. Pulsar la pestaa Papel/Calidad. 3. Utilizar la lista desplegable Origen del papel para que bandeja (u otro origen de papel) han de utilizar los usuarios para imprimir de forma predeterminada. 4. Seleccionar el tipo de papel con el que se suele abastecer a la impresora en la lista desplegable Medio. 5. Si el controlador de la impresora tiene una seccin configuracin de calidad, se puede utilizar esta parte del cuadro de dialogo para escoger la resolucin o tipo de calidad a utilizar con los documentos de forma predeterminada. En general, conviene utilizar la configuracin de calidad mas baja que sea aceptable para los usuarios para incrementar la velocidad de impresin, reducir desechos y disminuir costes. 6. Si se dispone de una impresora de color, se puede escoger si los usuarios deberan imprimir en blanco y negro de forma predeterminada. 7. Si el controlador de impresora no dispone de opciones de Calidad en la pestaa Papel/Calidad, se puede pulsar el botn Avanzadas y utilizar el cuadro de dialogo Opciones avanzadas para configurar las opciones de presentacin, calidad o papel que estn disponibles para la impresora. Para configurar la impresin a doble cara, el uso de grapas y otras opciones avanzadas de la impresora, hay que utilizar el botn Avanzadas -esos parmetros no estarn disponibles en ninguna otra parte- dependiendo del controlador de la impresora y de si se han activado esas opciones instalables. Definicin de las opciones de los servidores de impresin Aunque la mayor parte de la configuracin de la impresora se realiza en el controlador de impresora de una impresora particular, se pueden configurar algunas de las opciones propias del servidor de impresin. Esta configuracin afecta a todas las impresoras alojadas en el servidor de impresin; incluye determinar que formatos se encuentran disponibles para imprimir y que puertos y controladores de impresora estn disponibles para su uso, adems de algunos parmetros de la cola de impresin.
Modificacin de los formularios disponibles en el servidor de impresin
Los formularios son el material al que una impresora puede transferir tinta o tner lser en la forma de letras,
Captulo 15
caracteres o grficos. Los formularios pueden ser papel de varios tamaos, cualquier clase de sobre a otros tipos de medios como pelcula. Los servidores de impresin estn configurados de forma predeterminada para gestionar una gran variedad de formularios estndar, pero ocasionalmente puede ser til configurar formularios adicionales que puedan utilizar las impresoras, quizs porque se utilicen formularios empresariales especiales. O quizs se desee modificar o eliminar un formulario existente. Para hacer eso hay que seguir estos pasos: 1. En la carpeta Impresoras hay que escoger el comando Propiedades del servidor en el men Archivo para abrir la ventana Propiedades de Servidor de impresin. 2. Para modificar un formulario hay que seleccionarlo y utilizar despus los cuadros Medidas para alterarlo. 3. Para crear un nuevo formulario hay que seleccionar la casilla de verificacin Crear un nuevo formulario, introducir un nombre para el formulario en el cuadro Descripcin de formulario, utilizar los cuadros Medidas para definir el formulario y pulsar despus Guardar formulario.
Configuracin de puertos y controladores
Se pueden utilizar las pestaas Puertos y Controladores de la ventana Propiedades de Servidor de impresin para configurar el puerto y los controladores de impresora que estn disponibles en el servidor de impresin. Se pueden aadir nuevos puertos para las impresoras o configurar los controladores de impresora que se deseen que estn disponibles para que los descarguen los clientes cuando se conecten al servidor de impresin. Para hacerlo hay que seguir estos pasos: 1. En la carpeta Impresoras, hay que escoger Propiedades del servidor en el men Archivo. 2. Para ver los puertos disponibles en el servidor de impresin, hay que pulsar la pestaa Puertos. 3. Seleccionar un puerto y pulsar Configurar puerto para modificar la configuracin del puerto, o pulsar Agregar puerto o Eliminar puerto para aadir o eliminar un puerto del sistema. 4. Pulsar la pestaa Controladores para ver una lista de los controladores instalados actualmente en el servidor de impresin. 5. Para ver los detalles del controlador de un controlador de impresora hay que seleccionarlo y pulsar despus el botn Propiedades para mostrar la ventana Propiedades del controlador. Se puede utilizar este cuadro de dialogo para ver las propiedades de cada archivo que compone el controlador de impresin.
Captulo 15
6. Para actualizar un controlador de impresora, hay que seleccionarlo y pulsar Actualizar. 7. Para aadir un controlador de impresora que se quiera dejar disponible para que lo descarguen los clientes, hay que pulsar el botn Agregar para ejecutar el Asistente para agregar controladores de impresora, que har de gua durante el proceso de instalacin del controlador. 8. Para eliminar un controlador de impresora, hay que seleccionarlo y pulsar el botn Quitar.
Configuracin de las opciones avanzadas del servidor de impresin
La pestaa Avanzado del cuadro de dialogo Propiedades de Servidor de impresin es extremadamente til para configurar el servidor de impresin para un ptimo rendimiento y facilidad de uso. Se puede y se debera especificar dnde se almacena la cola de impresin, y tambin se puede controlar como gestiona el servidor de impresin los eventos de impresin. Para configurar estas opciones, hay que seguir estos pasos: 1. En la carpeta Impresoras hay que escoger Propiedades del servidor en el men Archivo. 2. Pulsar en la pestaa Avanzado. En el cuadro de texto Carpeta de la cola de impresin hay que introducir la ubicacin donde se desea almacenar la carpeta de la cola de impresin. Para un optimo rendimiento, conviene situar la carpeta de la cola de impresin en una unidad de disco independiente de Windows 2000, sus aplicaciones y especialmente su archivo de intercambio. Tambin conviene asegurarse de que la unidad es lo suficientemente grande para contener todos los documentos de la cola de impresin. Si se escoge la opcin de conservar los documentos impresos, la unidad necesitara ser incluso mas grande.
Captulo 15
3. Seleccionar las casillas de verificacin situadas junto a los elementos que han de ser registrados. Para que se notifiquen los errores producidos mientras se imprimen documentos remotos, hay que seleccionar Emitir sonido al ocurrir errores en documentos remotos. Para enviar un mensaje al usuario cuando el documento termine de imprimirse, hay que seleccionar Enviar notificacin al terminar de imprimirse los documentos remotos. Para mostrar un mensaje informativo en la computadora desde donde se imprimid el documento (incluso si el usuario que lo imprimi esta conectado actualmente en otra parte), hay que seleccionar Notificar al equipo, no al usuario, cuando se impriman documentos remotos. La caracterstica Enviar notificacin al terminar de imprimirse los documentos remotos puede ser til con servidores de impresin ocupados cuando podra producirse un retraso significativo desde el momento en que un cliente enva un documento a el momento en que el documento alcanza la cabeza de la cola y se imprime realmente. Sin embargo, en servidores de impresin poco ocupados o para usuarios que necesiten imprimir con frecuencia, esta caracterstica puede resultar molesta. Si se produce esta situacin con los usuarios, se puede desactivar la opcin para eliminar el problema.
Bsqueda de Impresoras
Encontrar una impresora en una empresa grande puede ser peliagudo. Windows 2000 y Active Directory proporcionan una til alternativa a dar vueltas por los pasillos: el seguimiento de la ubicacin de impresoras. El seguimiento de la ubicacin de impresoras utiliza Active Directory para almacenar la ubicacin de la impresora, permitiendo a los usuarios buscar impresoras basndose en sus nombres, ubicaciones y una larga lista de caractersticas. Sin embargo, incluso sin el seguimiento de la ubicacin de impresoras, con Windows 2000 se puede buscar y localizar una impresora fcilmente. Active Directory Para encontrar una impresora por medio de Active Directory, hay que dirigirse a Buscar en el men Inicio y escoger Impresoras. Con el seguimiento de la ubicacin de impresoras activo, cuando se abre el formulario de consulta, el sistema determina la ubicacin del equipo desde el que se esta ejecutando la consulta y rellena el cuadro ubicacin. Se puede pulsar el botn Examinar para cambiar la ubicacin. despus, se puede utilizar la pestaa caractersticas para especificar las caractersticas particulares que se necesitan, o pulsar la pestaa Opciones avanzadas para afinar la bsqueda con variedad de valores.
Captulo 15
Cuando el seguimiento de la ubicacin de impresoras esta activo, se puede utilizar el complemento Directiva de grupo para definir ubicaciones que no dependan de las ubicaciones geogrficas reales. Seguimiento de la ubicacin de impresoras Para utilizar el seguimiento de la ubicacin de impresoras, es necesario publicar las impresoras en Active Directory con el campo ubicacin y otros campos relevantes rellenos. Entonces los usuarios pueden buscar impresoras en Active Directory basndose en la ubicacin, las caractersticas de color y la impresin a doble cara.
Reunin de los requisitos para el seguimiento de la ubicacin de impresoras
El seguimiento de la ubicacin de impresoras requiere unas pocas condiciones para funcionar correctamente. Para utilizar el seguimiento de la ubicacin de impresoras, se deben dar las siguientes condiciones:
G G
G G
Se debe instalar Active Directory en la red y debe contener mas de un sitio con mas de una subred IP La red debe tener un esquema de direcciones IP que se corresponda con el diseo fsico de la red razonablemente bien. Los equipos cliente deben ser capaces de consultar Active Directory. (Deben soportar LDAP 2 o superior.) Cada sitio debera estar en una subred separada. Cada subred a la que necesiten acceder los clientes debera tener su propio objeto subred en Active Directory. El seguimiento de la ubicacin de impresoras no resulta particularmente til a menos que una empresa sea bastante grande. Sin embargo, se debera utilizar un convenio de denominacin compatible para que se pueda activar el seguimiento de la ubicacin de impresoras en el futuro.
Activacin del seguimiento de la ubicacin de impresoras
Una vez que se haya preparado la red, hay que seguir estos pasos para configurar el seguimiento de la ubicacin de impresoras:
Captulo 15
1. Abrir Sitios y servicios de Active Directory desde el men Herramientas administrativas. 2. En la carpeta Sitios, pulsar con el botn derecho del ratn en el primer sitio y escoger Propiedades en el men contextual. 3. Pulsar en la pestaa Ubicacin a introducir el nombre de ubicacin del sitio, o pulsar el botn Examinar para seleccionar la ubicacin en el rbol de ubicaciones de la empresa. 4. Pulsar Aceptar y repetir los pasos 2 y 3 para cada sitio de la subred de la empresa. 5. Abrir el complemento Usuarios y equipos de Active Directory, pulsar con el botn derecho del ratn en el dominio para el que se desea activar el seguimiento de la ubicacin de impresoras, escoger Propiedades en el men contextual y pulsar en la pestaa Directiva de grupo. 6. Seleccionar la directiva a modificar y despus pulsar el botn Modificar para abrir el complemento Directiva de grupo. 7. Abrir la carpeta configuracin del equipo, abrir la carpeta Plantillas administrativas y, finalmente, abrir la carpeta Impresoras. 8. Pulsar dos veces en la directiva Preparar el texto de ubicacin de bsqueda de la impresora, seleccionar Habilitada y pulsar Aceptar. Cerrar la ventana Directiva de grupo y cerrar despus la ventana Propiedades del dominio. 9. Pulsar con el botn derecho del ratn en la primera impresora de la carpeta del impresoras del servidor de impresin y escoger Propiedades en el men contextual. 10. Rellenar el cuadro de texto para la ubicacin o pulsar Examinar para seleccionar la ubicacin en el rbol de ubicaciones de la empresa. 11. Repetir los pasos 9 y 10 para todas las impresoras del servidor de impresin. 12. Probar el seguimiento de la ubicacin de impresoras buscando maquinas clientes para asegurarse de que todo est configurado adecuadamente. Muchas empresas no tienen todas sus impresoras alojadas en servidores de impresin Windows 2000, pero, de forma ideal, todas las impresoras que estn disponibles para los clientes deberan mostrarse en Active Directory. Para que esto ocurra, ser necesario publicar especficamente las impresoras que no hayan sido alojadas en Active Directory por medio de un servidor de impresin Windows 2000. Hay que abrir Usuarios y equipos de Active Directory (desde el men Herramientas administrativas), pulsar con el botn derecho del ratn en el dominio, la subred o la unidad organizativa donde se quiera publicar la impresora y escoger Nuevo-Impresora en el men contextual. Hay que introducir la ruta de la impresora que ha de
Captulo 15
ser publicada en el cuadro Ruta de acceso de red del recurso compartido de impresin anterior a Windows 2000 y despus pulsar Aceptar.
Gestin de impresoras y de servidores de impresin

Una vez que estn configuradas las impresoras y el servidor de impresin, resulta tentador considerar que el trabajo esta acabado, pero, en realidad, la gestin de impresoras y de servidores de impresin es un proceso continuo. Afortunadamente, Windows 2000 hace que el trabajo de gestionar impresoras y servidores de impresin sea bastante fcil y flexible. Un servidor de impresin de Windows 2000 o una impresora alojada puede ser gestionado por cualquier maquina Windows 2000 0, incluso, por cualquier sistema que utilice un navegador Web siempre que estn instalados los Servicios de Internet Information Server (IIS) o los Servicios Web Personales y la impresin basada en el Web no haya sido deshabilitada por medio del complemento Directiva de grupo. Esta seccin se centra en algunas tareas de administracin comunes, como conectarse a una impresora y ver los trabajos de impresin, gestionar los trabajos de impresin en la cola y transferir trabajos de impresin de una impresora a otra, todo tanto desde una maquina Windows 2000 como desde un navegador Web. Gestin de impresoras desde Windows 2000 Se puede utilizar cualquier maquina que ejecute Windows 2000 para gestionar impresoras compartidas por un servidor de impresin Windows 2000 o Windows NT. De hecho, probablemente se administraran las impresoras desde una maquina remota en lugar de desde el servidor de impresin. La gestin de impresoras en Windows 2000 es similar al proceso en Windows NT 4, por lo que, si se esta familiarizado con la administracin de impresoras en NT, se podr saltar esta informacin bsica.
Comprobacin del estado de una impresora
Para comprobar el estado de una impresora y los trabajos en la cola de la impresora, hay que seguir estos pasos: 1. Abrir la carpeta Impresoras en el servidor de impresin o realizar una bsqueda para localizar la impresora a administrar. 2. Pulsar dos veces en la impresora para abrir una ventana de seguimiento que se puede utilizar para ver y gestionar la cola de la impresora. Se podra desear crear una carpeta con accesos directos a todos los servidores de impresin que se administran. Para hacer esto, hay que crear una carpeta donde sea conveniente y arrastrar despus las carpetas Impresoras de cada servidor de impresin a la recin creada carpeta.
Pausa, cancelacin y reinicio de trabajos de impresin
Se puede utilizar la ventana Monitor de impresin para detener, cancelar o reiniciar cualquier documento que
Captulo 15
espera a imprimirse, si se tienen los permisos Administrar impresoras. Para hacer esto, hay que seguir estos pasos: 1. Seleccionar el documento o documentos con los que se desea trabajar en la cola de impresin. 2. Pulsar con el botn derecho del ratn en el documento y seleccionar Pausa en el men contextual para detener temporalmente la impresin del documento. Pulsar con el botn derecho del ratn en el documento y seleccionar Reanudar para continuar imprimiendo. 3. Para cancelar un trabajo de impresin, hay que pulsar con el botn derecho del ratn en el documento y escoger Cancelar en el men contextual. Tambin se pueden cancelar trabajos de impresin seleccionndolos y presionando la tecla SUPR. 4. Para reiniciar un trabajo de impresin (forzar a que se imprima el documento desde el principio de nuevo), hay que pulsar con el botn derecho del ratn en el documento y escoger Reiniciar en el men contextual. 5. Para detener la impresora, provocando que todos los documentos se conserven, hay que escoger Pausar la impresin en el men Impresora. Hay que seleccionar de nuevo el comando para reanudar la impresin. 6. Para cancelar todos los trabajos de impresin de la cola de impresin, hay que ir al men Impresora y escoger Cancelar todos los documentos. Algunas veces un trabajo de impresin aparecer estancado en la cola y rechazara el ser borrado. En este caso, se puede intentar apagar la impresora y encenderla de nuevo. O se puede detener y reiniciar el servicio Cola de impresin en el servidor de impresin.
Modificacin de las propiedades de un trabajo de impresin
Adems de iniciar o detener trabajos de impresin en la cola de la impresora, tambin se puede cambiar la prioridad y programacin de trabajos de impresin individuales, adems de la persona a la que hay que notificar cuando el documento termina de imprimirse. Para cambiar la prioridad y la programacin de los trabajos de impresin, hay que seguir estos pasos:
Captulo 15
1. Pulsar con el botn derecho del ratn en el trabajo de impresin que se va a modificar y escoger Propiedades en el men contextual. 2. Para cambiar la persona que es notificada cuando el documento termina de imprimirse, hay que introducir el nombre del usuario en el cuadro Notificar. 3. Se puede utilizar el control deslizante Prioridad para ajustar la prioridad del documento, siendo 1 la menor prioridad y 99 la mayor. 4. Para especificar que el documento debera imprimirse slo durante un cierto perodo, hay que seleccionar la opcin Slo de y escoger el intervalo de tiempo durante el que se permite imprimir el documento. Pulsar Aceptar. Se puede utilizar la caracterstica Programacin para establecer que un documento grande se imprima solo en momentos en los que se espera que este libre la impresora.
Traslado de documentos de una impresora a otra
Cuando un impresora emite crujidos y se queja a cualquiera que la toca, es el momento de llamar al tcnico y de trasladar todos los trabajos de impresin a otra impresora que pueda utilizar el mismo controlador. Para trasladar todos los documentos de una impresora (normalmente porque esta presenta problemas) a otra impresora, hay que seguir estos pasos: 1. Pulsar dos veces en la impresora desde la que se desea trasladar documentos en la carpeta Impresoras del servidor de impresin. 2. Escoger Propiedades en el men Impresora y pulsar despus la pestaa Puertos. 3. Si la impresora a la que se desean trasladar documentos se encuentra en el mismo servidor de impresin, hay que seleccionar el puerto al que esta conectada la segunda impresora y pulsar Aceptar. 4. Si la impresora esta en cualquier otra parte de la red, hay que pulsar el botn Agregar Puerto y aadir despus el Puerto apropiado para la segunda impresora. Gestin de impresoras desde navegadores Web Windows 2000 permite gestionar las impresoras desde cualquier navegador, siempre y cuando se tenga instalado IIS en el servidor de impresin y se posean privilegios suficientes, o funcionen los Servicios Web personales si se utiliza Windows 2000 Profesional como servidor de impresin. (En cualquier caso, se solicitara el nombre de usuario y la contrasea.) Esta caracterstica puede ser extremadamente til,
Captulo 15
proporcionando la posibilidad de administrar impresoras desde ubicaciones remotas. Tambin se puede imprimir a travs de la red o Internet desde un navegador Web, pero para utilizar esta caracterstica es necesario utilizar Microsoft Internet Explorer 4 o superior. Se puede imprimir en una impresora con la "Impresin desde Internet" activada abriendo la impresora en el navegador Web y pulsando el hipervnculo Conectar para descargar a instalar los controladores apropiados para la impresora en el equipo. Entonces se pueden utilizar los controladores de impresora recin descargados para imprimir documentos.
Comprobacin del estado de una impresora
Para comprobar el estado de una impresora y los trabajos en la cola de la impresora, hay que seguir estos pasos: 1. Introducir el URL del servidor de impresin seguido de /printers en la ventana Direccin del navegador. 2. Para mostrar la cola de la impresora hay que pulsar en el hipervnculo de la impresora que se desea gestionar. Se pueden aadir servidores de impresin o impresoras a la carpeta Favoritos o aadir un marcador tal y como se puede hacer con una pagina Web.
Pausa, cancelacin y reinicio de trabajos de impresin
Se puede utilizar la pagina Lista de documentos para detener, cancelar o reiniciar alguno o todos los documentos que esperan a imprimirse. Para hacerlo hay que seguir estos pasos: 1. Pulsar un hipervnculo bajo el titulo Acciones de la impresora para pausar, reanudar o cancelar la impresin de todos los documentos de la cola de impresin. 2. Para detener o cancelar un trabajo de impresin especifico, hay que seleccionar el botn de opcin situado a la izquierda del documento y despus pulsar el hipervnculo Pausar o el hipervnculo
Captulo 15
Cancelar bajo el titulo Acciones de documento. 3. Para ver las propiedades de la impresora, hay que pulsar el hipervnculo Propiedades bajo el titulo Ver. Se observara que slo se pueden ver las propiedades en el navegador; para cambiarlas, hay que utilizar una maquina Windows 2000.
Resolucin de problemas de impresin

El objetivo a la hora de resolver problemas de impresin, como en la resolucin de cualquier tipo de problema es, primero, aislar a identificar el problema y despus determinar el curso de accin para arreglarlo. Esta seccin ayudara a diagnosticar los problemas de la impresora, localizar el subsistema de impresin donde se encuentra el error y proporcionar algunas sugerencias especificas para resolver los problemas. El problema mas probable que se encontrara es que un usuario no pueda imprimir, por lo que se presentan los procedimientos para solucionar problemas centrados en esa tarea. En realidad, a menudo se realizara la resolucin de problemas bsica en el cliente antes de pasar a comprobar si el servidor de impresin esta funcionando, y slo se utilizaran las tareas de solucin de problemas mas avanzadas despus de establecer con seguridad donde se encuentra el problema. Como no existe una tcnica establecida para identificar donde se encuentra un problema, la dificultad real a la hora de resolver problemas es determinar la causa del problema. Para ser capaz de hacer esto, se deben comprender los distintos componentes involucrados en la impresin. Una pequea intuicin tampoco hace dao. Los problemas de impresin se suelen englobar en las siguientes categoras:
G G
Problemas fsicos: Que incluyen problemas con la impresora y los medios de transmisin. Problemas del servidor de impresin: Que incluyen problemas con los controladores de impresora, los niveles de permiso y el estado del software. Problemas de conectividad de la red: Que incluyen la ausencia de comunicacin entre el servidor y los clientes a causa de protocolos incorrectos, la configuracin de la red o fallo del hardware. (Estos problemas se pueden gestionar tanto en el cliente como en el servidor, dependiendo de que experimenta el problema de conectividad.) Problemas del cliente: Que incluyen problemas con los controladores de impresin, los permisos y las aplicaciones.
Hay que tratar de determinar en que categora se encuentra el problema antes de obtener los detalles. Un proceso de eliminacin funciona normalmente. Se puede intentar imprimir desde un par de maquinas cliente. Si slo una no funciona, se habr reducido el problema a esa maquina cliente. Si todos los clientes fallan, se puede intentar imprimir desde el servidor de impresin. Si esto funciona, se sabr que el problema se encuentra en la configuracin del servidor de impresin o en la conectividad de la red. Hay que seguir probando alternativas hasta que se haya aislado el problema de forma tan precisa como se pueda, y empezar despus a aplicar las reparaciones mas comunes hasta que se resuelva el problema. Si ya se ha aislado parcialmente el problema, se puede saltar hasta el ttulo de esta seccin que se aplique y
Captulo 15
continuar. Si no se puede solucionar el problema siguiendo las directrices proporcionadas aqu, se debera al menos ser capaz de aislar el problema en mayor grado. Impresin desde la maquina cliente que sufre el problema Tratar de imprimir desde la maquina cliente permitir ver cualquier mensaje de error generado durante la impresin. Estos mensajes dicen a menudo la causa del problema o indican al menos algunas posibilidades. Si el documento se imprime correctamente probablemente ser un error de usuario, en cuyo caso podra ser necesario ensear a los usuarios el procedimiento de impresin apropiado. En otro caso, se podra tratar de un problema con un programa en particular o el controlador de impresora podra no estar configurado de forma apropiada para los usuarios. Muchos administradores realizan este paso mas adelante en el proceso de solucin de problemas para minimizar el numero de veces que necesitan visitar los sistemas del cliente. Para comprender si el problema afecta solo al cliente o clientes que comunican el problema o si es mas generalizado, comienzan por verificar el servidor de impresin o la impresin desde otro equipo cliente como el que estn utilizando ellos actualmente.
Documentos que se imprimen incorrectamente
Cuando un documento se imprime pero resulta incomprensible o tiene algn otro defecto, existe un problema de compatibilidad entre el cliente, el controlador de impresora y la impresora. Hay que asegurarse de que el cliente esta utilizando el controlador de impresora cliente apropiado y de que el servidor tambin utiliza el controlador de impresora apropiado. Se podra tratar de instalar una impresora lgica duplicada para comprobar si el controlador de impresora se ha corrompido. Si este no es el problema, se puede intentar cambiar la configuracin de la cola de impresin del controlador del cliente (o, si mltiples clientes experimentan el mismo problema, el controlador de impresora del servidor). Se puede probar a modificar especficamente las siguientes opciones de la pestaa Avanzadas de la ventana Propiedades de la impresora.
G
Para asegurarse de que todo el documento esta disponible para la impresora cuando comienza la impresin, hay que seleccionar la opcin Iniciar la impresin cuando la ltima pagina haya entrado en la cola. Si se siguen teniendo problemas de impresin, hay que escoger la opcin Imprimir directamente en la impresora para desactivar la cola de impresin. Esta accin causara una alerta de rendimiento en el servidor. Desactivar la casilla de verificacin Habilitar caractersticas de impresin avanzadas en el servidor de impresin para desactivar la cola de impresin de metarchivos, lo que desactiva algunas opciones como el orden de paginas, la impresin de folletos y la impresin de varias paginas por hoja (si estn disponibles en la impresora).
Documentos que no se imprimen
Captulo 15
Si el documento no se imprime adecuadamente, aparecern con frecuencia mensajes de error que podran ayudar a identificar el problema. A continuacin hay algunas soluciones que se pueden probar:
G
Si se recibe un error afirmando que no esta disponible el controlador de impresora apropiado para su descarga, es necesario instalar los controladores cliente apropiados en el servidor de impresin. Si se recibe un error afirmando que no esta disponible el dispositivo de impresin, podra haber un problema de conectividad de la red o el cliente podra carecer de permisos suficientes. Si se escucha mucho acceso a disco y el documento no se imprime, hay que comprobar que la unidad que almacena la carpeta de la cola de impresin del cliente contiene suficiente espacio libre de disco para contener el documento. Determinar si se puede ver y es posible conectarse al servidor de impresin a travs de la red. Se puede intentar copiar un archivo al servidor de impresin para ver si se puede acceder a e1. (Normalmente, si no se puede acceder al servidor de impresin, no se puede acceder a ninguna de las impresoras que tiene conectadas.) Intentar la creacin de una nueva impresora local con el hombre compartido \\nombreservidor\nombreimpresora de la impresora como nombre de puerto. Esto permitir comprobar si se pueden copiar archivos al servidor de impresin. Imprimir un documento de prueba desde el Bloc de notas. Si se puede imprimir con el Bloc de notas pero no con la aplicacin del usuario, los controladores de impresora estn perfectamente y la aplicacin es probablemente el problema. Si no se puede imprimir con el Bloc de notas, se puede intentar imprimir desde la lnea de comandos escribiendo el siguiente comando: dir: [el hombre del puerto de la impresora], sustituyendo el hombre del puerto de la impresora con el hombre compartido de la impresora de red.
La impresin no funciona desde algunas aplicaciones
Algunas aplicaciones experimentan problemas cuando imprimen en Windows 2000. Algunos de los aspectos que se pueden encontrar se muestran a continuacin:
G
La impresin desde Microsoft Outlook en un sistema con mltiples idiomas es lenta: Se produce si hay instalados idiomas en el cliente que no estn disponibles en el servidor. Para remediar esto, hay que copiar las fuentes a la carpeta %SystemRoot%\Fonts del servidor de impresin y abrir la carpeta Fuentes (o reiniciar el servidor). Se produce un mensaje de error Acceso denegado cuando se configura una impresora dentro de una aplicacin: Se produce cuando no se poseen los suficientes privilegios para cambiar la configuracin de la impresora. Para configurar una impresora es necesario tener los permisos Administrar impresoras. Se produce un mensaje de error Sin memoria en una aplicacin cargada en un cliente Windows 3.x: Se puede producir si no se ha seleccionado una impresora predeterminada. Hay que instalar una impresora y configurarla como la impresora predeterminada. Un programa MS-DOS no imprime en Windows 2000 o Windows NT: Se puede producir si se esta utilizando un programa basado en MS-DOS que no imprime hasta que no finaliza. Se puede intentar salir del programa. adems, cuando se configura un controlador de impresora por medio del Asistente para agregar impresoras, hay que escoger Si cuando se pregunte si se desea imprimir desde programas
Captulo 15
MS-DOS. Comprobacin de la situacin del servidor de impresin Los administradores comprueban a menudo la situacin del servidor de impresin antes de ir realmente a la maquina cliente porque pueden hacerlo de forma remota. Aqu hay algunas cuestiones a comprobar:
G
G G
El monitor de impresin podra mostrar los documentos bloqueados o mensajes de error. Si la impresora no tiene papel o toner o si hay un atasco de papel, con frecuencia aparecer un mensaje de error aqu. Comprobar que hay suficiente espacio de disco libre en la unidad que almacena la cola de impresin. Si los documentos se imprimen de forma ilegible, la impresora podra estar utilizando el tipo de datos equivocado (EMF o RAW). Se puede intentar utilizar el tipo de datos RAW para ver si esto corrige el problema. Tambin se podra desactivar la casilla de verificacin Habilitar caractersticas de impresin avanzada en la pestaa Avanzadas de la ventana Propiedades de la impresora. Comprobar si los documentos se estn imprimiendo. Si no hay documentos que observar en la cola de impresin, se puede imprimir una pagina de prueba o un documento desde el servidor de impresin para verificar que el servidor de impresin imprime correctamente. Si algunos documentos de la cola de impresin no se imprimen y no se pueden borrar, la cola de impresin podra estar bloqueada. Hay que reiniciar el servicio Cola de impresin para ver si esto corrige el problema. Tambin se podra aadir otra impresora lgica (controlador de impresin) para la impresora para tratar de descartar la posibilidad de un controlador de impresora corrompido. Comprobar que estn instalados a iniciados los servicios apropiados para cualquier cliente no Microsoft de la red. Por ejemplo, si un cliente Macintosh esta teniendo problemas de impresin, hay que asegurarse de que los servicios de impresin para Macintosh estn instalados y en ejecucin. Para impedir que documentos con determinados idiomas se impriman lentamente, hay que instalar en los servidores de impresin las fuentes de todos los idiomas que utilizaran los clientes para imprimir. Para hacer esto, hay que copiar las fuentes a la carpeta %SystemRoot% (Fonts del servidor de impresin y abrir la carpeta Fuentes (o reiniciar el servidor).
Impresin desde otra mquina cliente Tratar de imprimir desde otra maquina cliente ayuda a determinar si el problema se encuentra en el servidor o en la maquina cliente original. Se puede imprimir un documento de prueba desde el sistema cliente y utilizar despus estas directrices para tratar los resultados del intento de impresin.
G
El segundo cliente imprime: Si el segundo cliente desde el que se intenta imprimir imprime correctamente, es necesario volver al cliente original y realizar una resolucin de problemas con mas profundidad como reinstalar los controladores de impresora y comprobar el subsistema de impresin. El segundo cliente no imprime: Si el segundo cliente no puede imprimir en la impresora especificada, probablemente se tendr un problema en el servidor de impresin o en la impresora. Si el servidor de impresin no muestra problemas, hay que comprobar la impresora.
Captulo 15
Comprobacin de la impresora Si se han descartado los clientes y el servidor como fuente del problema, pero todava no se puede imprimir ningn documento en la impresora, es necesario echar un vistazo mas de cerca a la impresora. Hay que detener la cola de impresin y comprobar la impresora real. La impresora informa de algn error? Si hay algn atasco de papel o si la impresora esta baja de toner o necesita una revisin, la impresora mostrara normalmente un mensaje de error. Hay que asegurarse de que la luz preparada (ready) o en lnea (online) este iluminada y de que el cable de la impresora este firmemente conectado o de que el cable de red este enchufado adecuadamente y la luz cercana al puerto de red este iluminada (si hay una). Si todava no se puede imprimir en la impresora, hay que tratar de imprimir una pagina de prueba directamente desde la impresora. La mayora de las impresoras soportan esta caracterstica. Si esto funciona, hay que tratar de configurar un servidor de impresin diferente con la impresora. Si se puede imprimir desde un servidor de impresin diferente, se tendr un problema con el servidor de impresin original. Si esto no funciona, hay que tratar de contactar con la impresora para ver si es posible comunicarse con ella.
El servicio Cola de impresin esta bloqueado
Si no se pueden borrar los documentos de la cola de impresin o si un documento no se imprime, la cola de impresin podra estar bloqueada. Esto afectara tambin a cualquier servicio de fax que se este ejecutando en el servidor. Para reiniciar el servicio Cola de impresin hay que seguir estos pasos: 1. Abrir el complemento Administracin de equipos desde la carpeta Herramientas administrativas, expandir Servicios y aplicaciones y despus seleccionar Servicios. 2. Pulsar dos veces en el servicio Cola de impresin en el panel de la derecha para abrir la ventana Cola de impresin Propiedades. 3. Pulsar el botn Detener para detener el servicio y despus pulsar el botn Iniciar para reiniciar el servicio. 4. Para ver los servicios (como Llamada a procedimiento remoto) de los que depende la cola de impresin, hay que pulsar la pestaa Dependencias. Tambin se puede utilizar esta pestaa para ver los servicios que dependen de la cola de impresin para funcionar correctamente. 5. Para configurar un proceso de recuperacin que debera tener lugar si el servicio Cola de impresin falla, hay que pulsar la pestaa Recuperacin y especificar despus si se desea reiniciar el servicio, reiniciar la computadora o ejecutar un programa despus de cada fallo de la cola de impresin. Reiniciar el servicio es normalmente una buena opcin: ahorrara tiempo. Reiniciar el equipo automticamente es la ultima opcin porque el resto de procesos podran ser interrumpidos o detenidos si se reinicia. Resolucin de problemas del seguimiento de la ubicacin de impresoras El seguimiento de la ubicacin de impresoras puede tener su propio conjunto de problemas, aunque suelen estar relacionados normalmente con la forma en que estn configuradas las impresoras y la red. El resto de esta seccin trata algunos problemas que se podran encontrar cuando se utilice el seguimiento de la ubicacin de impresoras y se sugieren algunos cursos de accin.
Captulo 15
Los clientes no pueden localizar algunas impresoras en el Active Directory
Este problema se produce normalmente cuando el nombre de una impresora no se corresponde con el convenio de denominacin de la ubicacin de las impresoras que decidi implementar la empresa. Cuando esta activo el seguimiento de la ubicacin de impresoras, los clientes solo pueden localizar impresoras con atributos ubicacin que se correspondan con el convenio de denominacin de forma predeterminada. Para corregir el problema, hay que introducir el nombre de ubicacin correcto en el campo Ubicacin que falta en la impresora.
Es necesario modificar el esquema de denominacin
Si a empresa cambia su estructura organizativa o si se descubre que hay que cambiar el esquema de denominacin de ubicaciones actual, hay que utilizar el siguiente procedimiento. (Windows 2000 no incluye ninguna herramienta para editar objetos de Active Directory en grandes cantidades.) Hay que utilizar Sitios y servicios de Active Directory para actualizar los nombres de los sitios y las subredes. Hay que introducir los nuevos nombres de ubicacin en el campo ubicacin de cada impresora que se vea afectada por la reestructuracin del nombre de ubicacin. Tambin se puede hacer esto con el guin Interfaces del servicio Active Directory (ADSI, Active Directory Services Interface).
Captulo 16
Captulo 16
Con Microsoft Windows 2000 el tema del almacenamiento local y de red se ha simplificado para el usuario. Windows 2000 Server proporciona soporte tanto para almacenamiento remoto como para almacenamiento local y en medios extrables -todo de forma completamente transparente al usuario-. A la larga, el usuario no tiene que preocuparse de si un programa o archivo se almacena en disco, en cinta o en cualquier parte de Internet, slo de que est disponible cuando sea necesario.
Terminologa
Antes de adentrarnos en los detalles de la administracin de discos y el almacenamiento, revisemos algunas definiciones.
G
G G
G G
Unidad fsica: El propio disco duro, incluyendo carcasa, electrnica, fuente y todos los accesorios. Particin: Parte del disco duro. En muchos casos puede ser el espacio completo del disco duro. Unidad de asignacin: La parte ms pequea de espacio de disco administrado en un disco duro o unidad lgica. Tambin llamada agrupacin. Particin primaria: Parte del disco duro que est marcada como unidad lgica potencialmente de inicio para un sistema operativo. MS-DOS puede admitir slo una nica particin primaria, pero Microsoft Windows NT y Windows 2000 pueden admitir cuatro particiones primarias por disco duro. Particin extendida: Particin no de inicio del disco duro que se puede dividir en unidades lgicas. Slo puede haber una nica particin extendida por disco duro, pero se puede dividir en mltiples unidades lgicas. Volumen extendido: Parecido a, y algunas veces sinnimo de, un volumen distribuido, que es cualquier volumen dinmico que se puede ampliar para que ocupe todo su tamao inicial. Cuando usa partes de ms de un disco fsico, es ms correcto denominarlo volumen distribuido. Unidad lgica: Seccin o particin de un disco duro que acta como una nica unidad. Las particiones extendidas se pueden dividir, por ejemplo, en mltiples unidades lgicas. Volumen lgico: Otro nombre para las unidades lgicas. Disco bsico: Un disco duro tradicional se divide en una o ms particiones, con una unidad lgica en la particin primaria, si la hay, y una o ms unidades lgicas en las particiones extendidas. Los discos bsicos no admiten las funciones ms avanzadas del Administrador de discos, pero en la mayora de los casos se pueden convertir en discos dinmicos. Discos dinmicos: Disco duro administrado con el Administrador de discos que se puede utilizar para crear diversos volmenes. Volumen: Unidad de espacio de disco compuesta por una o ms secciones de uno o ms discos dinmicos.
Captulo 16
G
Volumen simple: El equivalente del Administrador de discos a las particiones. A una parte de un nico disco dinmico se le puede asignar bien una nica letra de unidad o no asignar letra, y se puede adjuntar (montar) en cero o ms puntos de montaje. RAID (array redundante de discos independientes -antiguamente de bajo coste-): Uso de varios discos duros en un array para formar un volumen de mayor tamao, tolerante a fallos y mejor rendimiento. Los RAID vienen en distintos niveles, como RAID-0, RAID-1, RAID-5 y dems. Volumen distribuido: Coleccin de partes de discos duros combinadas en una nica unidad direccionable. A un volumen distribuido se le da formato como una unidad simple y puede tener asignada una letra de unidad, pero se expande a travs de mltiples unidades fsicas. Un volumen distribuido -a veces llamado volumen extendido- no proporciona tolerancia a fallos e incrementa la exposicin a problemas, aunque permite realizar un uso ms eficiente del espacio disponible en el disco duro. Volumen seccionado: Al igual que un volumen distribuido, un volumen seccionado combina partes de mltiples discos duros en una nica entidad. Sin embargo, un volumen seccionado utiliza un formato especial para escribir de igual forma en cada una de las partes de la seccin, incrementando el rendimiento. Los volmenes seccionados no proporcionan tolerancia a fallos y, de hecho, aumenta la posibilidad de fallos, pero es ms rpido que los volmenes distribuidos o las unidades simples. Los conjuntos de secciones suelen denominarse RAID-0, aunque es un trmino inapropiado, ya que las secciones bsicas no incluyen informacin redundante. Volumen espejo: Un par de volmenes dinmicos que contienen datos idnticos y que aparecen en el mundo como una nica entidad. Al hacer espejos de discos se pueden usar dos unidades del mismo controlador de disco duro o usar dos controladores por separado, en cuyo caso a veces se denomina duplexado. En caso de errores en la parte de una unidad, el otro disco duro se puede desdoblar para que se contine proporcionando acceso completo a los datos almacenados en la unidad, dando un alto nivel de tolerancia a fallos. Esta tcnica se denomina RAID-1. Volumen RAID-5: Al igual que el volumen seccionado, combina partes de mltiples discos duros en una nica entidad con datos escritos por igual a travs de las mltiples partes. Sin embargo, tambin se escribe informacin de paridad para cada seccin dentro de las distintas partes, proporcionando la posibilidad de recuperacin en caso de fallo en una unidad simple. Un volumen RAID-5 proporciona un excelente rendimiento en las operaciones de lectura, pero es sustancialmente ms lento que las restantes opciones disponibles para las operaciones de escritura. SLED (disco nico extenso y de alto coste): Apenas usado en la actualidad, esta estrategia es la contraria a la estrategia RAID. En lugar de utilizar diversos discos duros de bajo coste y proporcionar la tolerancia a fallos mediante informacin redundante, se compra el mejor disco duro que se pueda y se apuesta por completo en l.
Administracin de Discos
El almacenamiento en un disco duro ha sido desde hace mucho tiempo el mtodo normal de almacenamiento para las computadoras modernas, desde las computadoras centrales a los equipos de escritorio, y es poco probable que cambie, considerando incluso las opciones de almacenamiento ms ricas que se han aadido en Windows 2000.
Captulo 16
RAID (Array redundante de discos independientes) es un trmino usado para describir una tcnica que ha aparecido como una solucin final exotrica para una suposicin normal en la mayora de los servidores. Hace siete u ocho aos, RAID no era un trmino demasiado conocido, aunque el artculo original en el que se defina RAID se escribi en 1988. Hasta hace poco, la mayora de los sistemas de servidor dependan de discos duros caros y de gran calidad, con una frecuente copia de seguridad. Las copias de seguridad todava son crticas, pero ahora se puede utilizar uno u otro formato de RAID para proporcionar una proteccin sustancial frente a fallos de disco duro. An ms, esta proteccin cuesta mucho menos de lo que costaban aquellos enormes discos de servidor. RAID se puede implementar a nivel de software o de hardware. Cuando se implementa a nivel de hardware, el vendedor del hardware proporciona una interfaz de administracin para los arrays y las unidades para admitir que pueda trabajar con los diversos sistemas operativos. Windows 2000 implementa los niveles 0, 1 y 5 de RAID en software. Mejoras de la administracin de discos La tarea de la administracin de discos en Windows 2000 no slo brinda un nuevo formato de interfaz, basada en la Consola de administracin de Microsoft (MMC), sino tambin un conjunto completamente nuevo de posibilidades. El complemento Administracin de discos de la MMC para administrar los discos fsicos est dividido en dos paneles. Por defecto, el panel superior muestra las letras de unidad (volmenes) asociadas con los discos locales y sus propiedades y estado, mientras que el panel inferior muestra una representacin grfica organizada por unidades fsicas. Se puede usar como una pantalla independiente o como parte de la consola Administracin de equipos.
G
Administracin remota: La nueva pantalla Administracin de discos de Windows 2000 Server
Captulo 16
permite administrar no slo los discos duros locales, sino tambin unidades en otras computadoras que ejecuten Windows 2000, permitiendo que el administrador realice tareas de administracin de discos y de ubicacin de espacio desde una estacin de trabajo sin tener que sentarse en la mquina que est siendo administrada. Esta caracterstica es un beneficio para la administracin remota de sitios y -utilizando MMC- facilita la delegacin de autoridad y de responsabilidades administrativas de un grupo de computadoras a otras sin tener que darles privilegios administrativos totales. Discos dinmicos: La otra caracterstica fundamental que Administracin de discos aade a Windows 2000 es el concepto de discos dinmicos. Convirtiendo un disco a disco dinmico, se da a Administracin de discos la posibilidad de administrarlo de una nueva forma, sin la necesidad de reiniciar en la mayora de las ocasiones. Se puede ampliar un volumen de disco, extender un volumen entre mltiples discos duros, realizar secciones de un volumen para mejorar su rendimiento, hacer un espejo o aadirlo a un array RAID-5 -todo desde MMC y sin tener que reiniciar, una vez que el disco se ha convertido en disco dinmico-.La creacin o conversin inicial de un disco bsico a disco dinmico necesitar que se reinicie. Cuando se combina con la nueva funcionalidad de administracin remota, los discos dinmicos dan potentes herramientas al administrador de sistema para administrar el tipo y la configuracin del almacenamiento en discos duros entre diversas empresas.
Tareas de Administracin de Discos

Al igual que todas las pantallas de MMC, el complemento Administracin- de discos se puede abrir de muy diversas formas. Una de las formas ms directas es pulsar el botn derecho sobre el icono Mi PC en la esquina superior izquierda del escritorio y escoger Administrar en el men. Esto abre la versin local de la pantalla Administracin de equipos, que contiene las pantallas Herramientas del sistema, Almacenamiento y Servicios y aplicaciones. Hay que pulsar Almacenamiento para acceder a Medios de almacenamiento extrables (si hay instaladas unidades extrables), Desfragmentador de disco, Unidades lgicas y Administracin de discos, y despus pulsar Administracin de discos para acceder a la ventana de Administracin de discos. Para abrir slo la pantalla de Administracin de discos, hay que pulsar dos veces sobre el archivo Diskmgmt.msc de la carpeta %RazDeWindows%\System32. Cuando se abre la pantalla de Administracin de equipos, se tiene la posibilidad de administrar slo los recursos de la computadora local, pero tambin aqullos de computadoras remotas. Esto facilita la administracin de discos en computadoras remotas. Si se ejecuta slo Administracin de discos, se est limitado a administrar los discos de la computadora local, a menos que se cree una MMC personalizada. Aadir una particin o volumen Aadir una nueva unidad o particin a un servidor Windows 2000 es inmediato. Primero, obviamente, es necesario instalar y conectar fsicamente la unidad. Si se posee un panel o array de intercambio en caliente de unidades, ni siquiera es necesario apagar el sistema para realizar esta tarea. Si se utilizan unidades convencionales, sin embargo, habr que apagar y desenchufar el sistema.
Captulo 16
Una vez instalada la unidad y encendido de nuevo el sistema, Windows 2000 reconocer automticamente el nuevo hardware y lo pondr disponible. Si el disco ya est particionado y dado formato, se podr utilizar de inmediato. Si el nuevo disco no est marcado, ser necesario prepararlo primero. Incluso si es un disco que se ha utilizado y dado formato pero no contiene datos crticos, se recomienda que se actualice a disco dinmico.
Cmo aadir un nuevo disco usando el Asistente para actualizacin y firma de discos
Para usar el Asistente para actualizacin y firma de discos para aadir un nuevo disco una vez iniciada la sesin, hay que seguir estos pasos: 1. Se abre la consola Administracin de equipos pulsando el botn derecho sobre el icono Mi PC del escritorio y se selecciona Administrar en el men de contexto. 2. En el men Almacenamiento, se elige Administracin de discos. Si el disco es nuevo, se ver la primera pantalla del Asistente para actualizacin y firma de discos. Este asistente permite actualizar el nuevo disco a disco dinmico. Se pulsa Siguiente. . 3. Aparecer una confirmacin del disco (o discos, si se ha aadido ms de uno) que se puede seleccionar para la actualizacin. 4. Hay que asegurarse de que existe una marca a la izquierda del disco o discos a actualizar y despus se pulsa Siguiente. Aparecer un mensaje de confirmacin. Si todas las opciones son correctas, hay que pulsar Finalizar y el disco se actualizar a disco dinmico. 5. Una vez finalizado el asistente, nos encontraremos ante la consola de Administracin de discos. Ntese que el disco todava no tendr formato asignado y estar resaltado en negro (si no se han cambiado las opciones de colores por defecto de Administracin de discos).
Creacin de un volumen
Para crear un volumen nuevo (el equivalente en discos dinmicos a una particin), hay que completar estos pasos: 1. En la consola Administracin de discos, se pulsa el botn derecho sobre el disco no asignado y se escoge Crear volumen del men de contexto. Esto abrir el Asistente para crear volmenes, que guiar a travs del proceso de crear un nuevo volumen en el disco dinmico. Se pulsa Siguiente. 2. Se selecciona el tipo de volumen que se va a crear. Dependiendo del nmero de volmenes no asignados disponibles, se vern unas u otras opciones para el tipo de volumen. Estas opciones incluyen Simple, Distribuido (la opcin de Windows NT 4), Seccionado (RAID-0), Reflejado (RAID-1) y RAID-5. Se pulsa Siguiente. 3. Se seleccionan los discos dinmicos a usar para el nuevo volumen. Las opciones disponibles y las selecciones que hay que hacer dependen del nmero de discos no asignados disponible. 4. En la misma pantalla, hay que ajustar el tamao del nuevo volumen. Por defecto, el nuevo volumen utilizar el mximo espacio disponible de cada uno de los discos seleccionados. Para volmenes distribuidos, ste ser la suma de los espacios libres de los discos seleccionados; para
Captulo 16
el resto de los volmenes, ser el nmero de veces que aparezca en los discos el espacio disponible de la parte ms pequea de los discos seleccionados. 5. Se selecciona una letra de unidad o un punto de montaje para el nuevo volumen, o bien se opta por no asignar una letra de unidad o camino en este momento. Con Windows 2000, se puede "montar" un volumen sobre un subdirectorio vaco, minimizando el nmero de letras de unidad y reduciendo la complejidad del almacenamiento que se muestra al usuario. Si se desea sacar partido de esta caracterstica, hay que utilizar el botn Explorar para localizar el directorio en el que se desea montar el nuevo volumen. Se pulsa Siguiente. 6. Se seleccionan las opciones de formato que se desean. Incluso cuando se monta un volumen en lugar de crear una nueva unidad, hay que escoger el tipo de formato sin preocuparse del formato subyacente al punto de montaje. Se pulsa Siguiente. 7. Aparecer una pantalla de confirmacin. Si todas las opciones son correctas, se pulsa Finalizar para crear y dar formato al volumen. De nuevo se mostrar la consola de Administracin de discos, en la que se ver el nuevo volumen. Windows 2000 ha tomado prestado un concepto del mundo UNIX aadiendo la posibilidad de montar un volumen o particin en una subcarpeta de una letra de unidad existente. Un volumen montado tambin puede ser una letra de unidad asociada con la misma, aunque no necesariamente, y se puede montar en ms de un punto, dando la posibilidad de mltiples puntos de entrada para el mismo medio de almacenamiento. Los volmenes hay que montarlos en una subcarpeta vaca de un volumen o unidad NTFS existente. Las unidades FAT o FAT32 no admiten volmenes montados. Sin embargo, se puede montar un volumen FAT o FAT32 en cualquier punto de montaje. Se puede montar slo un nico volumen en un determinado punto de montaje, pero despus se pueden montar ms volmenes en la parte superior del volumen montado, con las mismas reglas y restricciones que cualquier otro montaje. Las propiedades de una unidad no mostrarn todo el espacio disponible de esa unidad, ya que no reflejarn ningn volumen montado en la unidad. Los volmenes montados se pueden utilizar para proporcionar una mezcla de almacenamiento redundante y no redundante en una estructura lgica que cumpla con las necesidades del negocio de la empresa, a la vez que oculta a los usuarios las complejidades de la estructura fsica.
Creacin de una particin
Slo se pueden crear particiones para los discos bsicos, no para discos dinmicos. Para crear una nueva particin, hay que seguir estos pasos: 1. En la consola de Administracin de discos, hay que pulsar el botn derecho sobre un disco bsico no asignado y seleccionar Crear particin. El Asistente para crear particin, se abrir para guiar en el proceso de creacin de una nueva particin en el disco bsico. Se pulsa Siguiente. 2. Se selecciona el tipo de particin que se va a crear. Si es un medio extrable, se ver slo una
Captulo 16
3. 4.
5. 6.
opcin para la particin primaria, pero si es un disco no extraible se podr escoger entre particin primaria o particin extendida. Los discos bsicos pueden alojar hasta cuatro particiones primarias o tres particiones primarias y una extendida. Se pulsa Siguiente. Se especifica qu parte del espacio disponible del disco se desea utilizar para esta particin. Se pulsa Siguiente. Si se est creando una particin extendida, hay que ir al paso 6. Si se est creando una particin primaria, hay que seleccionar una letra de unidad, o un punto de montaje para la nueva particin. Tambin se puede escoger aplazar la eleccin de dar a la nueva particin un punto de montaje o una letra de unidad. Sin embargo, no estar disponible a los usuarios hasta que se haga. Se pulsa Siguiente. Se seleccionan las opciones de formato deseadas o se opta por aplazar el formato para ms tarde. Se pulsa siguiente. Aparecer una pantalla de confirmacin. Si todas las opciones son correctas, hay que pulsar Finalizar para crear la particin. Si es una particin primaria, estar formateada y tendr asignada una letra de unidad o un punto de montaje.
Windows 2000 admite tres formatos distintos de sistema de archivo: FAT, FAT32 y NTFS. Antes de que se pueda usar cualquier disco o volumen, debe drsele formato. Para discos mayores de 510 Mb, FAT32 o NTFS usan el espacio de forma ms eficiente. Sin embargo, slo NTFS admite las caractersticas ms avanzadas de Windows 2000. Se puede escoger entre dar formato rpido a una unidad para ponerla disponible de la forma ms rpida posible, pero esta opcin slo elimina las entradas de archivos del disco y no comprueba si hay sectores defectuosos. Esta opcin se debe escoger cuando se recicla un disco que ya tiene formato y cuando se est seguro de que no est daado. En un volumen o particin NTFS, se puede especificar el tamao de la unidad de asignacin. Esta opcin permite que se ajuste el disco a los propsitos particulares, dependiendo del tamao del disco y de la funcin pretendida. Un volumen de almacenamiento de base de datos contendr extensos archivos de la base de datos que administrar mejor el programa de base de datos si se le permiten unidades grandes de asignacin (tambin llamadas agrupaciones), mientras que un disco que tenga que mantener pequeos archivos es candidato a agrupaciones menores. Los tamaos por defecto son un compromiso aceptable para la mayora de las situaciones. Tambin se puede elegir la activacin de la compresin de discos y de carpetas en volmenes y particiones NTFS. Esto ocasiona que se compriman todos los archivos y carpetas del volumen, en contraposicin a los archivos y carpetas individuales que se seleccionen. La compresin puede minimizar la cantidad de espacio del disco duro que utilizan los archivos, pero tiene un impacto negativo en el rendimiento.
Creacin de unidades lgicas en una particin extendida
Captulo 16
Si se ha creado una nueva particin extendida, el siguiente paso es crear unidades lgicas en la particin. Se pueden asignar una o ms unidades lgicas en una particin extendida, y a cada una de estas unidades lgicas se puede asignar una letra de unidad y/o uno o ms puntos de montaje. A cada una de las unidades lgicas se puede dar formato con cualquiera de los sistemas de archivos admitidos, independientemente del formato de las otras unidades lgicas. Para crear una unidad lgica, hay que seguir estos pasos: 1. En la consola de Administracin de discos, se pulsa el botn derecho en la parte Espacio libre de la particin extendida y se selecciona Crear unidad lgica en el men, para abrir el Asistente para crear particin. Se pulsa Siguiente. 2. Aparecer la pantalla Seleccionar tipo de particin, con la opcin Unidad lgica seleccionada y como nica opcin posible. Se pulsa Siguiente y se especifica el tamao de la unidad lgica que se va a crear. Se puede especificar la particin completa a una nica unidad o se puede dividir la particin en mltiples unidades lgicas. Se pulsa Siguiente. 3. Se selecciona la letra de unidad o punto de montaje para la nueva unidad lgica. Tambin puede no asignarse una letra o punto de montaje por el momento. Se pulsa Siguiente. 4. Se seleccionan las opciones de formato deseadas. Se pulsa de nuevo Siguiente y se ver la pantalla final de confirmacin. Si todas las opciones son correctas, se pulsa Finalizar para crear y dar formato a la nueva unidad lgica. Si es necesario crear unidades lgicas adicionales en la particin, se pueden repetir estos pasos tantas veces como sea necesario para crear el nmero de unidades lgicas deseado.
Cmo eliminar una particin, volumen o unidad lgica
Eliminar una particin, eliminar una unidad lgica y eliminar un volumen son bsicamente la misma tarea, con una excepcin importante. Cuando se elimina una unidad lgica, se termina con espacio libre en la particin, pero el resto de las unidades lgicas de la particin permanecen intactas. Cuando se elimina una particin o volumen, se elimina por completo el volumen o la particin. Sin embargo, no se puede eliminar una particin extendida hasta que se hayan eliminado primero todas las unidades lgicas. Se puede eliminar directamente una particin o un volumen. En todos los casos, cuando se elimina un volumen, unidad lgica o particin, se termina con espacio libre y no asignado y sin datos en el volumen, unidad o particin una vez hecho, por lo que hay que asegurarse de tener una buena copia de seguridad si existe la posibilidad de que se necesiten despus cualesquiera de esos datos. Para eliminar una particin, unidad lgica o volumen, hay que seguir estos pasos: 1. Se pulsar el botn derecho sobre la particin, unidad lgica o volumen y se escoge Eliminar particin, Eliminar unidad lgica o Eliminar volumen. 2. Si se est eliminando un volumen o particin, aparecer un mensaje de aviso. La eliminacin de particiones extendidas conlleva pasos extra, ya que primero hay que eliminar las unidades lgicas de la particin antes de poder eliminar la propia particin.
Captulo 16
Una vez que el volumen o particin se ha eliminado completamente, el espacio que ocupa no estar asignado. El espacio que no est asignado en los discos dinmicos se puede utilizar para crear espejos, ampliar volmenes existentes, crear un array RAID o cualquier otra administracin de almacenamiento del servidor. El espacio que no est asignado en un disco bsico se puede particionar. Cmo convertir un disco a disco dinmico Las ventajas de los discos dinmicos son sustanciales. Incluso utilizando controladores hardware de RAID y discos de intercambio en caliente para administrar los discos duros, probablemente sea una buena idea el uso de discos dinmicos. No obstante, existe un inconveniente. Debido a que no se puede arrancar desde o incluso ver un disco dinmico desde otro sistema operativo, habr que considerar dejar al menos el disco de inicio como unidad bsica, ya que haciendo esto facilitaremos el trabajo con el mismo. Si es necesario proporcionar redundancia en esa unidad y si el RAID hardware es una posibilidad, hay que usar el nivel 1 de RAID para poder recuperar a partir de un disco fallido u otro desastre, de manera que sea lo menos perjudicial posible. Para convertir un disco bsico en disco dinmico, hay que seguir estos pasos: 1. Se pulsa el botn derecho del ratn sobre el icono del disco de la parte izquierda de la consola Administracin de discos y se elige Actualizar a disco dinmico en el men de contexto. 2. Aparecer un cuadro de dilogo listando los discos bsicos disponibles en la mquina. El disco sobre el que se ha pulsado aparecer marcado y se podrn seleccionar otros discos a actualizar al mismo tiempo. Se pulsa Aceptar para continuar con la actualizacin. 3. Aparecer un mensaje de aviso planteando que no se podr utilizar otra versin de Windows en estos discos. Se pulsa Siguiente. 4. Si no hay sistemas de archivos en el disco seleccionado para actualizar, esto es todo. Sin embargo, si existen sistemas de archivos en cualquiera de los discos, aparecer un mensaje de aviso diciendo que el sistema de archivos ser forzado a desmontarse. Hay que pulsar S y la actualizacin proceder. Ahora se pueden administrar los discos de forma dinmica y pueden formar parte de espejos, arrays RAID-5 u otras configuraciones mejoradas de disco que no admiten los discos bsicos. Si hay archivos abiertos en el disco a actualizar, se pueden experimentar prdidas de datos. Slo se deben realizar actualizaciones de discos durante tiempos de inactividad en los que no haya usuarios con sesiones iniciadas o usando el servidor.
Cmo extender un volumen
Se puede aadir espacio a un volumen sin tener que hacer una copia de seguridad, reiniciar y restaurar los archivos en el volumen, si el volumen est en un disco dinmico y si es un volumen simple o un volumen distribuido. Esto se hace convirtiendo el volumen a volumen distribuido o extendido que incorpore espacio no asignado en cualquier disco dinmico. Desafortunadamente, no se puede incrementar el tamao de un volumen RAID-5 o RAID-0 (seccionado) aadiendo solamente discos al
Captulo 16
array, a menos que se utilice una versin del RAID hardware que admita esta funcionalidad. Para extender un volumen, hay que seguir estos pasos: 1. En la consola de Administracin de discos, hay que pulsar el botn derecho sobre el volumen que se desea extender. Hay que elegir Extender volumen en el men para abrir el Asistente para extender volumen. Se pulsa Siguiente. 2. Se resalta uno o ms discos de la lista de discos dinmicos que estn disponibles y tienen espacio no asignado. Se pulsa Agregar para aadir el disco o discos seleccionados y se indica la cantidad de espacio que se desea aadir. Se pulsa Siguiente. 3. El Asistente para extender volmenes muestra una pantalla final de confirmacin antes de extender el volumen. Hay que pulsar Finalizar para extender el volumen, o pulsar Cancelar si se cambia de opinin. Es importante recordar que un volumen distribuido (extendido) en realidades menos fiable que un disco simple. A diferencia de un volumen espejo o RAID-5, en los cuales est integrada'la redundancia, un volumen distribuido o seccionado se perder si falla cualquier disco del volumen. La mayora de los administradores ha deseado en algn momento que se pudiese incrementar de forma sencilla el espacio del directorio raz de usuario sobre la marcha sin tener que dejar fuera de lnea el sistema varias horas, mientras se hace la copia de seguridad del volumen completo y se vuelve a dar formato para aadir los discos duros adicionales, se restaura la copia de seguridad y se vuelven a crear los puntos compartidos. Divertido? Duro? Arriesgado? Por supuesto. Y definitivamente un trabajo que debe llevarse a cabo un fin de semana o quedarse hasta tarde; en otras palabras, algo que hay que evitar por todos los medios. Todo esto hace que la posibilidad de Windows 2000 de crear espacio adicional en un volumen sin la necesidad de hacer una copia de seguridad del volumen, volver a dar formato al disco y volver a crear el volumen, sea una caracterstica seductora. Sin embargo, si se usan discos duros convencionales sin RAID hardware, puede que haya que pensrselo dos veces antes de decidir aprovecharse de esta caracterstica. Para permitir que un volumen se extienda sobre la marcha, es necesario utilizar slo volmenes simples o distribuidos. Ninguno es redundante, exponiendo a los usuarios al riesgo de que la unidad falle. S, hay una copia de seguridad, pero an en el mejor de los casos, se perdern algunos datos si es necesario restaurar la copia de seguridad. Ms an, en realidad, el uso de volmenes distribuidos aumenta las posibilidades de fallo en el disco duro. Si cualquier disco usado como parte del volumen distribuido falla, el volumen completo se quema y ser necesario restaurarlo desde una copia de seguridad. Por qu, entonces, usara nadie la expansin? Porque tienen RAID hardware para proporcionar la redundancia. Esta combinacin ofrece lo mejor de ambos mundos: la informacin redundante proporcionada por el controlador hardware de RAID y la flexibilidad para ampliar volmenes segn las necesidades, usando la administracin de discos de Windows 2000. Windows 2000 utiliza los trminos extendido y distribuido de forma bastante indistinta cuando describe volmenes. Tcnicamente, sin embargo, un volumen distribuido tiene que incluir ms de un disco fsico, mientras que un volumen extendido tambin puede hacer referencia a un volumen que tiene espacio adicional aadido en el volumen simple original del mismo disco.
Captulo 16
Cmo aadir un espejo Cuando los datos son cruciales y se desea tener la seguridad de que ocurra lo que le ocurra a uno de los discos duros los datos estn protegidos y siempre disponibles, hay que considerar hacer un espejo de los datos en una segunda unidad. Windows 2000 puede hacer espejo de un disco dinmico en un segundo disco dinmico para que el fallo de cualquier disco no ocasione una prdida de datos. Para hacer un espejo de un volumen, se puede seleccionar el volumen a hacer el espejo cuando se crea el volumen o se puede aadir un espejo a un volumen existente. Para aadir un espejo a un volumen existente, hay que seguir estos pasos: 1. En la consola de Administracin de discos, se pulsa el botn derecho sobre el volumen al que se desea hacer un espejo. Si existe la posibilidad de hacer espejo, el men de contexto mostrar la orden Agregar espejo. 2. Se escoge Agregar espejo para mostrar el cuadro de dilogo Agregar espejo, en el que se puede seleccionar el disco a utilizar como espejo. 3. Se resalta el disco que ser el espejo y se pulsa Agregar espejo. El espejo se crear de inmediato y empezar a duplicar los datos del disco original a la segunda mitad del espejo. Este proceso se llama regeneracin. (El proceso de regeneracin tambin se utiliza para distribuir datos a travs de discos cuando se crea un volumen RAID-5.) La regeneracin es intensiva en CPU y disco. Cuando sea posible, hay que crear los espejos durante periodos de inactividad o durante el tiempo de poca carga planificado normalmente. Este objetivo debe sopesarse, no obstante, con el objetivo de igual importancia que es proporcionar redundancia y proteccin a fallos de la forma ms expeditiva posible. Para mejorarla seguridad y fiabilidad total de los datos, se debe hacer un espejo de los volmenes en discos que usen controladores distintos, siempre que sea posible. Este proceso se conoce como duplexacin y elimina el controlador de disco como nico punto de fallo para el espejo a la vez que aumenta la velocidad tanto para lectura como para escritura del espejo, ya que el controlador y el bus ya no sern potenciales cuellos de botella.
Fallo de disco en un volumen espejo
Si falla uno de los discos de un volumen espejo, se continuar teniendo acceso pleno a los datos sin prdida alguna. Windows 2000 enviar una alerta a la consola, marcar el disco fallido como perdido y lo dejar fuera de lnea, pero continuar leyendo y escribiendo desde la otra mitad del volumen espejo como si nada hubiese ocurrido. Sin embargo, avisar. Ya no se dispondr de tolerancia a fallos en ese volumen y cualquier fallo adicional se convertir en una catastrfica prdida de datos.
Captulo 16
Una vez reemplazado el disco fallido o corregido el problema y activado de nuevo, el espejo comenzar automticamente la regeneracin. Si el problema se puede solucionar sin apagar el sistema, se puede regenerar el espejo sobre la marcha. Para activar de nuevo el disco fallido, hay que seguir estos pasos: 1. Se pulsa el botn derecho sobre el icono del disco fallido en la parte derecha de la consola de Administracin de discos. 2. Se elige Reactivar disco y Windows 2000 muestra el disco en segundo plano e inicia la regeneracin del espejo fallido. Una vez regenerado el espejo, el estado del disco cambia de Regenerando a Correcto.
Cmo quitar un espejo
Si es necesario habilitar espacio adicional en disco en el sistema y no se tienen discos adicionales disponibles, se puede eliminar el espejo de un volumen espejo. Cuando se elimina un espejo, los datos de uno de los discos permanecen intactos, pero el otro disco se convierte en espacio no asignado. Por supuesto, se pierde toda la redundancia y proteccin de los datos, por lo que ser necesario seguir los pasos para restaurar el espejo tan pronto como sea posible, y hasta entonces ser necesario modificar la agenda de las copias de seguridad para el disco restante. Para eliminar un espejo, hay que seguir estos pasos: a 1. En la consola Administracin de discos, se pulsa el botn derecho sobre cualquier mitad del espejo. Se elige Quitar espejo en el men y se abrir el cuadro de dilogo Quitar espejo. 2. Se resalta el disco que se desea eliminar del espejo. Se pulsa Eliminar espejo. Se tendr una ltima oportunidad para cambiar de opinin. Se pulsa Aceptar y el disco que est resaltado se, convertir en espacio no asignado.
Cmo romper un espejo
Si un disco falla y se reemplaza con uno idntico, se debe dividir el espejo antes de que el reemplazo est disponible. La divisin de un espejo sirve para la conexin entre los dos discos, permitiendo al disco presente continuar funcionando con normalidad hasta que est disponible el reemplazo de disco. Tambin puede resultar de utilidad la divisin del espejo aun cuando ambos discos todava estn funcionando, ya que despus se termina teniendo dos copias idnticas de los mismos datos. Una de las mitades del espejo dividido contina teniendo la misma letra de unidad y/o el mismo punto de montaje, mientras que a la segunda mitad del espejo dividido se le asigna la siguiente letra de unidad disponible. Para dividir un espejo, hay que seguir estos pasos: 1. En la consola Administracin de discos, se pulsa el botn derecho sobre cualquiera de los discos del volumen espejo. 2. Se elige Romper espejo en el men de contexto. Se pedir que se confirme que realmente se desea dividir el espejo. 3. Se pulsa S y el espejo se dividir. Habr dos discos: uno que mantendr la letra de unidad o punto
Captulo 16
de montaje del espejo original y otro al que se asignar la siguiente letra de unidad disponible. Ambos contendrn duplicados exactos de los datos en el instante de la divisin, pero comenzarn de inmediato a diverger segn se modifiquen. Una de las tareas ms complicadas a la que se enfrentan los administradores de sistemas es obtener una copia de seguridad fiable y segura de un archivo que est constantemente en uso activo, como puede ser un archivo de datos para una base de datos, como SQL Server y Oracle. La orden Dividir espejo se puede usar para evitar este problema. Se puede detener momentneamente la base de datos, dividir el espejo y reiniciar la base de datos. Ahora hay una copia del archivo de datos que no volver a estar en uso activo y al que se puede realizar una copia de seguridad segura y efectiva. Una vez terminada la copia de seguridad, se puede eliminar el volumen dividido y volver a crear el espejo. Cmo convertir un volumen o particin de FAT a NTFS Se puede convertir un volumen o particin del sistema de archivos FAT o FAT32 al sistema de archivos NTFS sin perder datos o interrumpir la disponibilidad del resto del servidor. Sin embargo, Windows 2000 no ofrece una forma grfica de hacerlo: hay que ejecutar una utilidad de la lnea de rdenes. Para convertir un volumen o particin, hay que abrir la ventana de rdenes y escribir convert <nombrevolumen | puntomontaje | letraunidad:> /fs:ntfs [/v] Esta orden convierte el volumen o unidad de FAT o FAT32 a NTFS. Si se usa el modificador de lnea de rdenes /v, la conversin mostrar el nombre de cada archivo y directorio que se convierte. Si alguien tiene un archivo abierto en el volumen y el programa no puede obtener acceso exclusivo a l, se ofrecer la oportunidad de planificar la conversin para la prxima vez que se reinicie el sistema. Si se planifica una conversin a NTFS para la prxima vez que se reinicie el servidor y el servidor se reinicia de forma inesperada, slo habr que esperar mientras se realiza la conversin. No existe ninguna forma de evitar la conversin una vez que nos hemos comprometido a ella.
Cmo dar formato a una particin o volumen
Antes de que se pueda usar una particin, unidad lgica o volumen, ha de estar formateada. El formato impone la estructura necesaria para admitir el sistema de archivos que se elija para el volumen. Hay que dar formato a un volumen o unidad cuando se crea por primera vez, y despus siempre que se desee limpiarlo. Tambin se puede usar el formato para cambiar el tipo de sistema de archivos de una unidad, particin o volumen, pero todos los datos del destino se destruirn durante el formato. (La lnea de rdenes convert preserva cualquier dato del destino.) Los sistemas de archivos admitidos en Windows 2000 son FAT, FAT32 y NTFS.
Captulo 16
En general, se recomienda utilizar NTFS, a menos que haya una razn de peso para no hacerlo. Un caso en el que no se usara NTFS es cuando los archivos de registro residen en ese volumen o particin. Un volumen FAT o FAT32 tiende a ser ms rpido y ms apropiado para archivos grandes que crecen constantemente a pequeos intervalos, como hacen los archivos de registro. Sin embargo, aun con los archivos de registro, se deben usar los sistemas de archivo FAT y FAT32 slo cuando la seguridad o las cuotas no son un problema, ya que estos sistemas de archivos no admiten cuotas o las caractersticas de seguridad de NTFS. Otra razn para utilizar FAT o FAT32 es permitir que la computadora admita arranque dual con otros sistemas operativos. NTFS no es visible o accesible para otros sistemas operativos, mientras que FAT lo pueden utilizar diversos sistemas operativos, y FAT32 lo puede utilizar Microsoft Windows 95 y Microsoft Windows 98. Para dar formato a una unidad lgica, particin o volumen, hay que seguir estos pasos: 1. En la consola Administracin de discos, se pulsa el botn derecho sobre la unidad lgica, particin o volumen que se desea dar formato y se escoge Formato en el men. Aparecer el cuadro de dilogo donde podemos seleccionar el sistema de archivos que se desea utilizar: FAT, FAT32 o NTFS. 2. Se selecciona el tamao de la unidad de asignacin (tambin llamado tamao de agrupacin). Normalmente, slo hay que aceptar el valor por defecto. 3. Se escribe un nombre para el volumen, unidad lgica o particin. El valor por defecto es Nuevo volumen. Se marca el cuadro Formato rpido si se desea dar formato a la unidad de forma rpida. Sin embargo, se recomienda que no se haga esto a menos que sea estrictamente necesario para poner el volumen disponible de inmediato. La versin larga y completa del formato busca defectos en toda la unidad. Esto puede llevar un rato en una unidad grande, y la sobrecarga del rendimiento del sistema sufrir mientras se realiza el formato, pero el mayor sentido de confianza en el volumen bien merece la espera. 4. Si se va a comprimir la unidad completa, hay que marcar Permitir compresin de archivos y carpetas. Ntese, no obstante, que se puede elegir la compresin de carpetas individuales e incluso de archivos individuales independientemente de si se ha marcado ahora esta opcin. Y con el tamao y el coste de las unidades en estos das, creo que esta opcin es mucho menos til de lo que nunca fue. 5. Se pulsa Aceptar y comienza el formato. Windows 2000 slo puede tratar un formato al mismo tiempo, por lo que no se puede dar formato a otra particin o volumen hasta que ste termine. Cmo cambiar la letra de unidad Se puede cambiar la letra de unidad de un volumen o particin en cualquier momento y se puede incluso tener mltiples rutas de acceso para una letra dada. Adems, a diferencia de Windows NT, Windows 2000 permite cambiar la letra de unidad de un medio extraible, como una unidad Jazz o Zip. Para cambiar una letra de unidad, hay que seguir estos pasos:
Captulo 16
1. Se pulsa el botn derecho sobre la unidad en la consola Administracin de discos y se escoge Modificar la ruta de acceso o la letra de unidad. 2. Aparece un cuadro de dilogo mostrando la letra de unidad actual y cualquier ruta de acceso a un punto de montaje para el disco. Se resalta la letra de unidad mostrada y se pulsa Modificar. Hay que seleccionar la nueva letra de unidad de la lista desplegable. Se pulsa Aceptar. 3. Se ver un mensaje de confirmacin avisando de que el cambio podra afectar a la posibilidad de que se presenten algunos programas. Se pulsa S y la letra de unidad se cambiar de inmediato, a menos que existan archivos abiertos en la unidad. Si existen archivos abiertos en la unidad, la unidad tendr dos letras de unidad temporalmente, la antigua y la nueva. Se pulsa S para confirmar el cambio.
Cmo montar un volumen
Windows 2000 aade una nueva caracterstica al proceso de administracin de disco y almacenamiento. Se puede montar un volumen dinmico -o cualquier particin o unidad lgica de una particin extendidaen cualquier directorio vaco que resida en una unidad que tenga formato NTFS y no sea extrable. El volumen montado se puede dar formato como FAT, FAT32 o NTFS y aparece a los usuarios como un directorio normal. Esta caracterstica hace posible crear grandes sistemas de archivos que usen mltiples discos duros sin heredar los riesgos de los volmenes distribuidos, ya que el fallo de cualquiera de los volmenes montados afecta slo a los directorios que formaban parte de ese volumen. Tambin se pueden admitir de forma sencilla mltiples formatos en una nica letra de unidad. Para montar un volumen, hay que seguir estos pasos: 1. En la consola Administracin de discos, se pulsa el botn derecho sobre el volumen o particin. Se elige Modificar la ruta de acceso o la letra de unidad en el men. Se abrir el cuadro de dilogo Modificar la ruta de acceso o la letra de unidad. 2. Se pulsa el botn Agregar; se abre el cuadro de dilogo Agregar nueva letra o ruta de acceso de unidad. 3. Se puede escribir el punto de montaje o usar el botn Examinar para seleccionar o crear un punto de montaje. Cualquier directorio vaco que resida en un volumen o unidad NTFS no extrable puede ser un punto de montaje. 4. Una vez seleccionado o escrito el punto de montaje, se pulsa Aceptar y el volumen o particin se monta. En realidades sencillo buscarse problemas con esta nueva caracterstica. Administracin de discos permitir realizar mltiples niveles de volmenes montados, incluyendo los recursivos. Creemos que es bueno aconsejarle que slo monte volmenes al nivel raz de las unidades. Intentar montar por debajo de este punto puede ocasionar confusin y complicar la administracin y documentacin.
NTFS versin 5
Captulo 16
El formato de sistema de archivos NTFS se ha mantenido, en principio sin cambios, desde la versin original de Windows NT. Con Windows 2000, Microsoft ha realizado cambios sustanciales en NTFS para admitir nuevas caractersticas que los administradores y los usuarios pedan. Estas nuevas caractersticas incluyen cuotas de disco -finalmente- y la posibilidad de cifrar archivos y sistemas de archivos completos a nivel de disco fsico. La nueva versin de NTFS, conocida como NTFS versin 5, es una extensin lgica de NTFS original, pero no es totalmente compatible con l. Si se va a utilizar NTFS en una configuracin dual con Windows NT 4 en la misma mquina que Windows 2000, ser necesario instalar Service Pack 4 de Windows NT 4 o posterior, para permitir que las particiones NTFS de Windows 2000 sean vistas cuando se arranque en Windows NT 4. Tambin hay que recordar que las cuotas y el cifrado disponible en la versin 5 de NTFS no estn admitidas en Windows NT 4 y no se le puede forzar o poner accesibles a l. Cuotas de disco Probablemente la incgnita perdida ms molesta de la ecuacin de administracin de disco para la mayora de los administradores de Windows NT haya sido la imposibilidad de administrar y limitar los recursos de disco de sus usuarios sin comprar productos complementarios. Windows 2000 por fin plantea esto en lugar de manifestar su omisin y proporciona cuotas por consulta o absolutas en los discos usados por usuarios o grupos. Sin embargo, cada volumen o particin se trata como una entidad por separado, es decir, no hay forma de limitar a un usuario o grupo de usuarios la cantidad total de uso del disco a travs del servidor completo o de la empresa. (Suena como una oportunidad para soluciones de terceros, no?)
Cmo activar las cuotas de disco
Por defecto, las cuotas de disco estn desactivadas para todas las particiones o volmenes. Es necesario
Captulo 16
activarlas para cada volumen en el que se desee utilizar cuotas. Las cuotas estn disponibles slo para volmenes con letra de unidad asignada. Se pueden asignar distintas cuotas para usuarios individuales o para grupos de usuario o se puede asignar la misma a todos los usuarios. Hay que seguir estos pasos para activar las cuotas para cada volumen que se desee: 1. Se pulsa el botn derecho sobre la letra de unidad en el Explorador de Windows y se escoge Propiedades. 2. Se pulsa sobre la ficha Cuota. 3. Se selecciona la opcin Habilitar la administracin de cuota. 4. Se definen los lmites de uso de disco para esta letra de unidad. Las opciones disponibles son: G Denegar espacio de disco a usuarios que excedan el lmite de cuota Cuando se selecciona esta opcin, se hacen cumplir las cuotas en todo uso del disco. Cuando se desactiva, los lmites son slo consejos. G Limitar espacio de disco a Aqu se pueden especificar los lmites de uso de espacio de disco para los nuevos usuarios del volumen. G Establecer el nivel de advertencia en Esta opcin indica el lmite en el cual los usuarios recibirn un mensaje de aviso. G Opciones de registro Se puede elegir registrar cuando los usuarios excedan su lmite de aviso o su lmite de uso, o se puede dejar sta opcin en blanco para indicar que no se desea registro. 5. Se ver un mensaje de confirmacin. Si todo es correcto, se pulsa Aceptar para escanear la unidad y activar las cuotas.
Cmo asignar entradas de cuota a usuarios
Captulo 16
Hay un aspecto interesante con las cuotas activadas como se describa en el procedimiento anterior: se aplican slo a los usuarios. Los administradores no tendrn que seguir las cuotas a menos que se especifique explcitamente en una entrada de cuota por separado. Para fijar cuotas sobre los administradores o modificar las cuotas de usuarios individuales, es necesario realizar estos pasos adicionales: 1. En el Explorador de Windows, se pulsa el botn derecho sobre la unidad a la que se desea asignar entradas de cuota y se pulsa Propiedades. Se pulsa la ficha Cuota. 2. Se pulsa el botn Valores de cuota para mostrar las entradas de cuota del volumen. Aparecer una ventana que contiene entradas para todo aquel que haya tenido archivos en el volumen, a menos que se haya eliminado explcitamente la entrada para los usuarios que no vayan a tener archivos all., 3. Se pueden cambiar las propiedades de cualquier entrada pulsando dos veces sobre la entrada. La ventana Entrada de cuota permite ordenar por cualquiera de las columnas para facilitar una identificacin rpida de zonas de problemas o localizar una determinada entrada. Tambin se puede usar la funcin Buscar para localizar una determinada entrada. Hay que resistirse a la tentacin de aforar en las cuotas de disco para cada individuo. Hacerlo se puede convertir en una pesadilla administrativa, especialmente debido a que no se pueden administrar cuotas para toda la audiencia de usuario, slo para usuarios individuales. Hay que realizar cambios en la cuota de un individuo slo cuando existe una razn convincente para hacerlo, y despus mantener cuidadosos registros para que todos los administradores tengan un claro acceso a la informacin.
Cmo exportar e importar cuotas
Si se ha configurado un complicado sistema de cuotas para que algunos usuarios tengan ms espacio que otros, implementar el sistema en un nuevo volumen puede ser tedioso. Pero Windows 2000 permite exportar cuotas de un volumen a otro. Si todava no existe una entrada para un usuario en el nuevo volumen, sta se crear. Si un usuario ya tiene entrada de cuota, se preguntar si se desea sobrescribirla con la entrada de cuota importada para ese usuario. Se debe evitar importar configuraciones de cuotas en una unidad existente a menos que se estn cambiando las cuotas generales a travs de todo el servidor. Cualquier personalizacin realizada en la unidad actual se perder y tener el conocimiento de cada cambio que afecta a un usuario existente se presta a errores.
Captulo 16
Adems, cualquier lmite especial asignado para un determinado usuario en el volumen origen se aplicar al volumen destino. Existen dos formas de importar cuotas de un volumen a otro. Se puede abrir la ventana Entradas de cuota para el volumen origen, pulsar Cuota y escoger Exportar, para guardar las entradas en un archivo, y despus abrir la ventana Entrada de cuota para el volumen destino y escoger Importar en el men Cuota. O simplemente se pueden abrir ambas ventanas Entradas de cuota y arrastrar las entradas que se desean importar desde la ventana origen a la de destino.
Creacin de informes de cuotas
Su puede usar la ventana Entrada de cuota para crear informes sobre el uso del disco. Se seleccionan las cuentas que se desean incluir en el informe y se arrastran dentro de la herramienta de informes que se est utilizando. Los formatos admitidos comprenden Formato de texto enriquecido, Valores separados por comas, CF_UNICODETEXT y CF_TEXT. Si se arrastran las entradas a Microsoft Excel, por ejemplo, no slo se obtendrn las entradas, sino que tambin se obtendrn las cabeceras. Esto convierte los informes de utilizacin de disco en algo bastante trivial. Cifrado a nivel de sistema de archivos La versin 5 de NTFS aade la posibilidad de cifrado de archivos individuales o de subdirectorios completos de forma totalmente transparente. Para su creador, los archivos cifrados parecen exactamente iguales que los archivos regulares -sin cambios en las aplicaciones para usarlos-. Sin embargo, para cualquiera, excepto el creador/cifrador, los archivos no estn disponibles, e incluso si alguien consigue acceso a ellos no podrn leer la informacin ya que se almacenan de forma cifrada. El cifrado slo es un atributo avanzado del archivo, al igual que la compresin. Sin embargo, un archivo no puede estar comprimido y cifrado al mismo tiempo -los atributos son mutuamente excluyentes-. Los archivos cifrados estn disponibles slo para el cifrador, pero los puede recuperar el agente de recuperacin del dominio o de la mquina, si es necesario. A los archivos cifrados se les puede realizar una copia de seguridad mediante procedimientos normales de copia de seguridad si el programa de copia de seguridad es compatible con Windows 2000. Los archivos permanecen cifrados cuando se realiza la copia de seguridad, y los archivos restaurados mantienen su cifrado. Bajo circunstancias normales, ningn usuario excepto el verdadero creador de un archivo cifrado tiene acceso al archivo. Incluso si se cambia el propietario no se eliminar el cifrado. Esto impide que usuarios no vlidos consigan acceder a datos sensibles, como las nminas, los informes anuales y dems, incluso teniendo derechos administrativos. El cifrado slo est disponible en el sistema de archivos NTFS versin 5. Si se copia el archivo a un disquete o a un sistema de archivos distinto de NTFS versin 5, el archivo ya no estar cifrado. Esto es cierto incluso para el sistema de archivos NTFS de versiones anteriores de Windows NT
Captulo 16
Cuando se cifra una carpeta, todos los archivos creados en esa carpeta se cifran a partir de ese momento. Tambin se puede optar por cifrar los contenidos actuales cuando se realiza el cifrado. No obstante, hay que avisarlo: si se elige cifrar los contenidos de una carpeta cuando sta ya contiene archivos y subcarpetas, esos archivos y subcarpetas se cifrarn slo para el usuario que realiza el cifrado. Esto significa que se cifraran an cuando los archivos sean propiedad de otros usuarios y slo estarn disponibles para su uso. Cuando se crean nuevos archivos en la carpeta cifrada, los archivos se cifran para su uso por el creador del archivo, no para el usuario que activ el cifrado de la carpeta. Los archivos no cifrados en una carpeta cifrada pueden usarlos todos los usuarios que tengan derechos de seguridad para usar los archivos de esa carpeta; el estado de cifrado del archivo no cambiar a menos que se cambie el nombre del propio archivo. Los usuarios pueden leer, modificar y guardar el archivo sin convertirlo en archivo cifrado, pero cualquier cambio en el nombre del archivo disparar el cifrado, y el cifrado har que el archivo slo est disponible para la persona que dispar el cifrado. Para cifrar un archivo o carpeta, hay que seguir estos pasos: 1. En el Explorador de Windows, se pulsa el botn derecho sobre la carpeta o archivos que se desea cifrar y se elige Propiedades en el men emergente. 2. Se pulsa el botn Avanzadas de la ficha General para abrir el cuadro de dilogo Atributos avanzados. 3. Se selecciona la opcin Cifrar contenidos para proteger datos y se pulsa Aceptar para volver a la ventana principal Propiedades del archivo o carpeta. Se pulsa Aceptar o Aplicar para activar el cifrado. Si ya existe cualquier archivo o subcarpeta en la carpeta, se presentar un cuadro de dilogo. 4. Si se elige Aplicar cambios slo a esta carpeta, todos los archivos y subcarpetas de la carpeta permanecern no cifrados, pero cualquier nuevo archivo o carpeta se cifrar por el creador en el momento de crearlo. Si se elige Aplicar cambios a esta carpeta y a todas las subcarpetas y archivos, todos los archivos y carpetas por debajo de esta carpeta se cifrarn paraque slo los pueda usar el cifrador, independientemente del creador o propietario del archivo. 5. Se pulsa Aceptar para aplicar el cifrado.
Captulo 17
Captulo 17
En la esfera de la seguridad de computadoras, uno de los errores cruciales ms frecuentes que cometen los administradores es confundir la presencia de caractersticas de seguridad con un sistema seguro. No es suficiente mezclar protocolos, mtodos y algoritmos en un collage de seguridad. En tales entornos, el vnculo ms dbil no suele verse hasta que es demasiado tarde. Para ser efectiva, la seguridad del sistema tiene que aplicarse como un conjunto y necesita que est bien diseada, ser completa y fcil de mantener. Los sistemas bien diseados van acompaados de directivas que indican cmo, cundo y a qu nivel se aplica la seguridad. Los sistemas completos proporcionan seguridad multinivel que suena y es trasparente al usuario en la medida de lo posible. Los sistemas de fcil mantenimiento permiten a los administradores administrar de forma centralizada la seguridad y mantener un seguimiento de los sucesos crticos. Con caractersticas como las plantillas de seguridad, el cifrado de clave pblica, el Protocolo de Intemet Seguro (IPSec) y un amplio rango de procedimientos de auditora, Microsoft Windows 2000 facilita la aplicacin de las directivas de seguridad a equipos individuales o escalarlas a dominios o empresas completas.
Plantillas para implantar directivas de seguridad

Windows 2000, como ya sabemos o pronto aprenderemos, posee una rica y diversa gama de caractersticas de seguridad. Con estas caractersticas, no obstante, vienen mltiples opciones de directivas y atributos de seguridad que hay que configurar. Configurar el sistema con directivas consistentes a las necesidades de seguridad de la compaa, en s misma, no es una tarea pequea. Multiplquese eso por todos los equipos del sitio o de la organizacin y se obtendr bastante faena. Y esto no incluye el tiempo de mantenimiento necesario si las directivas de la compaa se van a volver a evaluar. Hay que introducir plantillas de seguridad. Una plantilla de seguridad, de forma sencilla, es un archivo de configuracin para todos los atributos de seguridad del sistema. Las plantillas de seguridad son potentes y ayudan a rebajar el esfuerzo de administracin. Usando una interfaz nica, un administrador puede generar una plantilla de seguridad que refleje las necesidades de seguridad de la compaa y aplicarla despus a un equipo local o importarla a un objeto Directiva de grupo de Active Directory. Cuando se incorpora la plantilla al objeto Directiva de grupo, todos los equipos afectados por el objeto recibirn las opciones de la plantilla. Ejecucin del complemento Plantillas de seguridad
Captulo 17
Las plantillas de seguridad se pueden crear o modificar con el complemento Plantillas de seguridad de la Consola de administracin de Microsoft (MMC). Para aadir el complemento a la MMC, hay que ejecutar mmc.exe desde el cuadro de dilogo Ejecutar, al cual se accede desde el men Inicio. Desde el men Consola, se elige Agregar o eliminar complemento. Se pulsa el botn Agregar de la ficha Independiente y se selecciona Plantillas de seguridad en la lista de complementos proporcionada. Se pulsa Agregar en el cuadro de dilogo Agregar un complemento independiente, para agregar la entrada Plantillas de seguridad al cuadro de dilogo Agregar o eliminar complementos y despus se pulsa Cerrar. Hay que pulsar Aceptar en el cuadro de dilogo Agregar o quitar complementos y el complemento Plantillas de seguridad se habr aadido a la Raz de la consola, en el rbol de la consola. En el rbol de consola, hay que expandir Plantillas de seguridad y la carpeta Security\Templates para mostrar una lista inicial de las plantillas. Existen plantillas predefinidas que se pueden ajustar a las necesidades especficas de la compaa. Cuando se crea una nueva plantilla o se copia una existente, sta se aade a la lista. Si se selecciona cualquiera de las directivas ya cargadas, el panel derecho de la consola muestra todas las reas de seguridad disponibles para su configuracin. Esencialmente, cada plantilla de la lista representa un nico archivo legible .INF. El complemento slo es una interfaz para modificar estos archivos de plantilla de seguridad. Los archivos se pueden encontrar en la raz del sistema en %RazDeSistema%\Security\Templates. El siguiente es un pequeo extracto de la plantilla securews /(Securews.inf), mostrando el rea de Directivas de cuenta: [System Access] ;------------------------------------------;Account Policies - Password Policy ;------------------------------------------MinimumPasswordAge = 2 MaximumPasswordAge = 42 MinimumPasswordLength = 8 PasswordComplexity = 1 PasswordHistorySize = 24 RequireLogonToChangePassword = 0 ClearTextPassword = 0 Cmo examinar las directivas de plantilla Cada plantilla contiene opciones de atributo para siete reas de seguridad configurables en Windows 2000. Hay que pulsar dos veces sobre el rea de seguridad en el panel derecho de la consola o expandir el rbol de consola en el panel izquierdo, para mostrar las secciones especficas.
Directivas de cuenta
Captulo 17
El rea Directivas de cuenta incluye directivas pertenecientes a las cuentas de usuario. Contiene Directiva de contraseas, Directiva de bloqueo de cuentas y Directiva Kerberos.
G
Directivas locales: El rea Directivas locales incluye directivas pertenecientes a quin tiene acceso local o de red al equipo y cmo se hace la auditora de los sucesos. Esta rea contiene Directiva de auditora, Asignacin de derechos de usuario y Opciones de seguridad. Registro de sucesos: El rea Registro de sucesos contiene atributos que determinan cmo se comportan los registros de aplicacin, seguridad y sistema. Los atributos de registro incluyen tamao mximo y restricciones de acceso. Los registros de sucesos se pueden ver en el Visor de sucesos. Grupos restringidos: La opcin de seguridad Grupos restringidos es para agregar miembros a los grupos de usuarios predefinidos, los cuales tienen caractersticas predefinidas o a otros grupos definidos por el administrador que pueden tener privilegios. Los grupos de usuarios predefinidos comprenden Administradores, Superusuarios y Operadores de copia de seguridad. Servicios de sistema: El rea Servicios de sistema incluye atributos de seguridad para todos los servicios de sistema del equipo local. Los servicios de sistema comprenden servicios de archivos, servicios de impresin, servicios de red y servicios de telefona. Registro: El rea Registro contiene atributos de seguridad para las claves del registro existente, incluyendo la informacin de auditora y los permisos de acceso. Sistema de archivos: El rea Sistema de archivos permite la configuracin de los permisos de acceso y de auditora de directorios y archivos especficos del sistema local.
Plantillas predefinidas
Las plantillas predefinidas proporcionadas por Windows 2000 se pueden usar tal cual o se pueden personalizar para que cumplan requisitos de seguridad ms rigurosos. Estas plantillan cubren una serie de niveles y representan escenarios tpicos de seguridad para distintos tipos de equipos encontrados en un sistema -lase estaciones de trabajo, servidores o controladores de dominio-. La Tabla 18.1 muestra algunas de las plantillas de seguridad predefinidas organizadas por nivel de seguridad. Algunas plantillas de seguridad predefinidas Nivel de seguridad Nombre de plantilla Predeterminado basicwk basicsv basicdc Descripcin Plantilla para estacin de trabajo predeterminada. Plantilla para servidor predeterminado. Plantilla para controlador de dominio predeterminado.
Captulo 17
Seguro
securews securedc
Plantilla para estacin de trabajo o servidor seguro. Plantilla para controlador de dominio seguro. Plantilla para estacin de trabajo o servidor muy seguro. Plantilla para controlador de dominio muy seguro. Plantilla para estacin de trabajo o servidor compatible.
Muy seguro
hisecws hisecdc
Compatible Tras instalacin
compatws
Instalacin de seguridad Plantilla para las opciones por defecto tras la instalacin. Seguridad DC Plantilla para las opciones de un controlador de dominio tras la instalacin.
Plantillas de seguridad predeterminada
Las plantillas de seguridad bsicas para estaciones de trabajo, servidores y controladores de dominio contienen opciones por defecto de Windows 2000 para directivas de cuentas y locales, as como valores tpicos para el mantenimiento del registro de sucesos y de los permisos bsicos para los servicios del sistema. Adems, estas plantillas bsicas incluyen permisos de acceso por defecto al sistema de archivos, directorios y claves del registro que, una vez aplicados, sobrescriben las opciones de seguridad existentes para esos objetos y para sus hijos. Estas plantillas bsicas, no obstante, omiten de forma intencionada la asignacin de derechos de usuario para que no se sobrescriba ninguna asignacin hecha por los programas de instalacin de aplicaciones. Esta omisin significa que las plantillas de seguridad bsica se pueden aplicar a una mquina para poner a cero la configuracin de seguridad de ese sistema. . Una mirada ms de cerca de las tres plantillas bsicas revela diferencias menores entre ellas. Mientras que la plantilla bsica para estaciones de trabajo incluye las configuraciones por defecto necesarias para los servicios del sistema, la plantilla bsica de servidor aade configuraciones por defecto para el inicio automtico de los servicios slo de servidor, como el Servicio SMTP de Microsoft y Registro de licencias. La plantilla bsica para controlador principal de dominio omite toda la configuracin de servicios de sistema. La plantilla bsica de controlador principal de dominio est ms ajustada para un controlador de dominio que da servicios a usuarios.
Plantillas de seguridad seguras
Se proporcionan dos plantillas seguras: una para controlador de dominio y una plantilla combinacin para estacin de trabajo y servidor. Con contraseas y directivas de bloqueo ms estrictas y con registros
Captulo 17
de auditora que restringen el acceso de invitado y manteniendo hasta cinco veces la informacin de auditora de las plantillas bsicas (diez veces para el controlador de dominio), las plantillas seguras proporcionan un nivel medio de seguridad. Las plantillas seguras tambin activan ms caractersticas de auditora que las plantillas bsicas. Los sucesos de inicio de sesin sin xito y de uso de privilegios, as como la administracin de cuentas con o sin xito y de cambios de directivas, se configuran para hacer auditora. Adems, la plantilla de controlador de dominio seguro proporciona auditora de acceso a objetos y al servicio de directorios. Las directivas de cuentas y locales tambin aparecen en la plantilla de controlador de dominio seguro, pero estn ausentes para la plantilla de controlador de dominio bsico. Debido a que los permisos de archivos, directorios y claves de registro se configuran de forma segura por defecto, estas reas de seguridad se omiten en este tipo de plantilla.
Plantillas de seguridad muy seguras
Las plantillas muy seguras en realidad son bastante flojas y se concentran en la seguridad de las comunicaciones de entornos en modo nativo (Windows 2000). En breve, los atributos de seguridad se asignarn para comunicaciones del lado del cliente y del lado del servidor firmadas digitalmente y para firmar y cifrar datos de canales seguros. Debido a que se fija el protocolo de mxima proteccin, no obstante, los sistemas a los que se apliquen estas plantillas no podrn comunicarse con mquinas que ejecuten Microsoft Windows 95, Microsoft Windows 98 o Microsoft Windows NT. Aparte de que no existen los grupos restringidos Usuarios autenticados y Supersusuarios en la plantilla muy segura de estacin de trabajo/servidor (hisecws), las plantillas muy seguras de estacin de trabajo/servidor y de controlador de dominio son prcticamente la misma.
Plantilla de seguridad compatible
En la plantilla bsica de estacin de trabajo, los Usuarios autenticados con, por defecto, Superusuarios. Las plantillas seguras y muy seguras de estaciones de trabajo eliminan a los Usuarios autenticados del grupo Superusuarios. Debido a que el objetivo de la plantilla de seguridad compatible es permitir que se ejecuten de forma satisfactoria la mayora de las aplicaciones, pero sin el coste de comprometer los niveles de seguridad de los Superusuarios, esta plantilla tambin elimina a los Usuarios autenticados del grupo Superusuarios. Con el grupo Usuarios autenticados degradado, la plantilla facilita la compatibilidad disminuyendo la seguridad en carpetas, archivos y claves de registro a las que suelen acceder las aplicaciones.
Plantillas de seguridad tras instalacin
La plantilla de seguridad segura contiene opciones de seguridad tras instalacin para estaciones de trabajo y servidores. La plantilla de seguridad para controladores de dominio se basa en la plantilla de seguridad de la instalacin, aadiendo las opciones por defecto para controladores de dominio.
Cmo modificar una plantilla predefinida
Captulo 17
Se puede usar una plantilla predefinida como punto de partida para el esquema propio de seguridad. Primero hay que hacer una copia de la plantilla pulsando el botn derecho sobre el nombre de la plantilla y eligiendo Guardar como. Despus se especifica el nombre del archivo, asegurndose de que mantiene la extensin .INF. Se pueden modificar los atributos de cualquiera de las reas de seguridad en la nueva plantilla expandiendo completamente el rbol de plantilla sobre esa rea. Para los atributos, se pulsa el botn derecho sobre el nombre de atributo y se elige Seguridad en el men de contexto, para abrir el cuadro de dilogo Configuracin de la directiva de seguridad de la plantilla. Para las carpetas Grupos restringidos, Registro y Sistema de archivos, hay que pulsar el botn derecho sobre la carpeta y elegir Agregar grupo, Agregar clave o Agregar archivo, respectivamente.
Cmo definir nuevas plantillas
Tambin se puede optar por generar una plantilla de seguridad completa a partir de cero. En el rbol de consola del complemento Plantillas de seguridad, hay que pulsar el botn derecho sobre la carpeta por defecto de la plantilla padre (%RazDeSistema%\Seguridad\Plantilla) y elegir Nueva plantilla. En el cuadro de dilogo que aparece, se escribe el nombre de plantilla y la descripcin del propsito de la plantilla. La nueva plantilla se guarda como archivo .INF en la carpeta Plantillas y se aade a la lista de plantillas disponibles. En este punto, el nuevo archivo de plantilla est vaco, excepto por algo de informacin sobre la versin y la descripcin. Visualizar cualquier atributo de la nueva plantilla listar los atributos como No definido. Las carpetas Grupos restringidos, Registro y Sistema de archivos simplemente no contendrn entradas. Para cada rea de seguridad, se puede configurar parte o todos los atributos de seguridad o se puede optar por dejar el rea no configurada. Para modificar la configuracin de un atributo, hay que pulsar el botn derecho sobre el atributo en el panel derecho y elegir Seguridad. Aparece el cuadro de dilogo Configuracin de la directiva de seguridad de la plantilla. Para activar la configuracin y asignar el atributo hay que seleccionar el cuadro de verificacin Definir esta configuracin de directiva. Las configuraciones guardadas en los diversos atributos representan una serie de tipos de datos, incluyendo Booleano (activado, desactivado), enteros (tamao mximo de archivo) y fechas y horas. Es tan sencillo como configurar aquellas reas de seguridad que contengan una lista de elementos en lugar de atributos individuales. Se pulsa el botn derecho sobre Grupos restringidos, Registro o Sistema de archivos y se selecciona Agregar grupo, Agregar clave o Agregar archivo, respectivamente. Despus se pueden explorar los objetos para agregar y escoger permisos de acceso, propietario e informacin de auditora, en el cuadro de dilogo Control de acceso. Una vez completada la plantilla de seguridad, se guarda pulsando el botn derecho sobre el nombre de la plantilla y eligiendo Guardar. Entonces est preparada para aplicarse a la computadora local o al objeto Directiva de grupo. Cuando se crean nuevas plantillas de seguridad para la arquitectura del sistema, hay que
Captulo 17
recordar que la seguridad se aplica mediante capas de plantillas. La base de datos de configuracin permite que se importen plantillas una tras otra, por lo que las directivas de seguridad de las distintas plantillas tienen un efecto de mscara. Los conflictos sobre atributos especficos se resuelven dando mayor prioridad ala plantilla cargada de forma ms reciente. Esto significa que las plantillas con grados variados de seguridad no necesitan contener datos redundantes. En cambio, los atributos bsicos de seguridad se pueden aplicar con una plantilla de seguridad estndar que se cargue primero. Las plantillas de seguridad con mayor nivel necesitan, por tanto, contener slo las diferencias de seguridad entre los dos niveles.
Cmo aplicar plantillas
Una plantilla de seguridad que contiene las configuraciones de seguridad del sistema se puede aplicar a la computadora local o bien se puede poner a un grupo de equipos importndola al objeto Directiva de grupo. Aplicar la plantilla al equipo local se realiza mediante el complemento Configuracin y anlisis de seguridad. Para importar la plantilla de seguridad al objeto Directiva de grupo, hay que escoger el objeto destino Directiva de grupo en la MMC. Se expande el objeto y despus se expande Configuracin del equipo y Configuracin de Windows para mostrar Configuracin de seguridad. Se pulsa el botn derecho sobre Configuracin de seguridad y se elige Importar directiva. Aparece una lista de plantillas de seguridad, siendo cada plantilla un archivo .INF. Se elige la plantilla deseada. Hay que reducir las molestias administrativas de configurar grandes vectores de atributos de seguridad, modificando las plantillas predefinidas siempre que sea posible.
Configuracin y anlisis de seguridad

Configuracin y anlisis de seguridad es un complemento de MMC que permite a los administradores comprobar el estado de la seguridad del sistema frente a una o ms plantillas de seguridad y realizar las modificaciones correspondientes. til como herramienta de configuracin y como herramienta de mantenimiento, el complemento permite importar plantillas de seguridad predefinidas o modificadas, analizar todas las reas de seguridad frente a esas plantillas con sencillas rdenes y visualizar resultados concretos. Despus se puede sincronizar la seguridad del sistema con la plantilla de una vez o resolver las discrepancias en base atributo a atributo. Esta herramienta, junto con la plantilla de seguridad apropiada, es inestimable para la instalacin de la configuracin inicial de seguridad de una mquina en la que se han definido muchos atributos de seguridad y permisos de archivo, directorio y clave de registro. Las directivas de seguridad de computadoras de una empresa o una divisin completa se pueden traducir a una nica plantilla e importarla para configurar con rapidez una o ms mquinas. Adems, el complemento es muy til para mantener el nivel de seguridad de un sistema. Sin excepciones, en caso de resolver problemas temporales
Captulo 17
de red o administracin, los atributos de seguridad se vuelven no disponibles y los permisos de los objetos se fijan a control total. Analizar de forma peridica la seguridad del sistema frente a las plantillas que lo definen permite localizar y solucionar de forma sencilla defectos de seguridad. Finalmente, la herramienta permite exportar plantillas de seguridad que se hayan modificado durante la configuracin de una mquina para volver a evaluar tales plantillas en el complemento Plantillas de seguridad. Si se han importado una o ms plantillas, se puede guardar una nica plantilla compuesta que es la suma de todas las opciones de plantilla. Cmo abrir la base de datos de seguridad Al igual que los otros complementos de la MMC, Configuracin y anlisis de seguridad se aade a la MMC eligiendo Agregar o quitar complemento en el men Consola. Se pulsa el botn Agregar y se selecciona Configuracin y anlisis de seguridad en la lista proporcionada de complementos. Las plantillas de seguridad se importan a la base de datos, la cual se usa para realizar el anlisis y la configuracin. El archivo de base de datos de seguridad usa una extensin .SDB. Para crear una nueva base de datos o abrir una existente, hay que pulsar el botn derecho sobre Configuracin y anlisis de seguridad y elegir Abrir base de datos. En el cuadro de dilogo Abrir base de datos, se selecciona el archivo .SDB a abrir o se escribe un nuevo nombre de archivo para crear una base de datos. Cuando se escribe un nuevo nombre de base de datos, aparece un segundo cuadro de dilogo permitiendo importar una plantilla de seguridad base. Se elige una plantilla predefinida o una plantilla modificada con el complemento Plantillas de seguridad. La lista de plantillas predefinidas est en la carpeta %RazDeSistema%\Security\Templates. Cmo importar y exportar plantillas Una vez abierta la base de datos de seguridad, se pueden importar plantillas adicionales de seguridad en ella. Para hacerlo, hay que pulsar el botn derecho sobre Configuracin y anlisis de seguridad y elegir importar plantilla. Hay que seleccionar el archivo de plantilla .INF que se desea importar. Esta plantilla complementa la plantilla o plantillas de la base de datos actual; no las reemplaza. En el proceso de anlisis y configuracin de la seguridad de un sistema con una plantilla de base de datos, puede que sea necesario definir una directiva ms precisa y por lo tanto modificar la plantilla. La modificacin no se guarda en la plantilla original importada; en su lugar, se guarda como copia de la base de datos. Para usar la plantilla modificada en otra mquina, ser necesario exportarla. Tambin se pueden combinar varias plantillas exportadas en una nica plantilla combinada que se puede exportar despus. Para exportar una plantilla, hay que pulsar el botn derecho sobre Configuracin y anlisis de seguridad y elegir Exportar plantilla. En el cuadro de dilogo resultante, se escoge un nombre de archivo para la plantilla usando la extensin .INF. Anlisis de la seguridad y visualizacin de resultados
Captulo 17
Una vez importadas las plantillas necesarias a la base de datos, se puede analizar el sistema. Para analizar la seguridad del sistema, se pulsa el botn derecho sobre Configuracin y anlisis de seguridad y se elige Analizar el equipo ahora. En el cuadro de dilogo Realizar anlisis, se selecciona el camino y el nombre de archivo destino para los resultados del anlisis. Se pulsa Aceptar y aparece la ventana de progreso Analizando la seguridad del sistema. El anlisis genera dos tipos de resultados. Primero, el xito o fallo de cada componente analizado se escribe en un registro de errores. Segundo, las reas de seguridad se listan bajo Configuracin y anlisis de seguridad en el rbol de consola. Cada rea da los resultados del anlisis en una comparacin atributo a atributo. Cuando se completa el anlisis, se puede ver el registro de errores pulsando el botn derecho sobre Configuracin y anlisis de seguridad y eligiendo Ver el archivo de registro. El registro aparece en el panel derecho con un sello de fecha y hora; ste informa sobre la completitud de cada rea analizada. El siguiente cdigo pertenece a un pequeo extracto de un tpico archivo de registro: Ver el archivo de registro - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 04/23/2000 09:27:23 - - - - Se ha inicializado correctamente el motor de anlisis. - - - - - - Leyendo informacin de configuracin... - - - - Analizar la directiva de seguridad... Analizar la informacin sobre contraseas. Analizar la informacin sobre bloqueo de cuentas. Analizar otra configuracin de directiva. Se ha completado correctamente el anlisis de acceso al sistema. Analizar la configuracin del registro. Analizar la configuracin de la auditora de sucesos. Se ha completado correctamente el anlisis de auditora y el registro. Se ha completado correctamente el anlisis de los valores del Registro. Este archivo de registro no muestra discrepancias entre atributos individuales sino errores de integridad en el anlisis. Para visualizar los verdaderos resultados del anlisis, hay que expandir Configuracin y anlisis de seguridad en el rbol de la consola. Aparecen las siete reas familiares de la seguridad del sistema: Directivas de cuentas, Directivas locales, Registro de sucesos, Grupos restringidos, Servicios de sistema, Registro y Sistema de archivos. Para visualizar los resultados de anlisis de cualquiera de estas reas, hay que expandir el rea y
Captulo 17
seleccionar una subcategora. Grupos restringidos y Servicios de sistema no son jerrquicas y slo hace falta seleccionarlas. En el panel derecho de la consola, cada atributo va seguido por dos opciones: la plantilla guardada (base de datos) y la configuracin de sistema (equipo) analizada. El icono para el atributo en el que la opcin est acorde contiene una marca verde. Si la base de datos y la configuracin del equipo difieren, una X roja punta el icono del atributo. Los atributos no configurados en la plantilla no se analizan y no aparecen con marca en el icono. Configuracin de la seguridad Despus de haber analizado satisfactoriamente el sistema y encontrado discrepancias entre la base de datos y la configuracin del equipo, hay unas pocas alternativas. Dependiendo de la evaluacin de los resultados, se puede decidir que la plantilla actual de seguridad no es la apropiada para este equipo. Pudiera hacer falta una plantilla ms estricta o relajada o puede que aparezcan como no configurados atributos vitales y reas de seguridad adicionales que es necesario plantear. La solucin es importar una plantilla que se ajuste mejor a los requisitos especficos del sistema. Las plantillas se pueden aadir en orden ascendente de importancia. Las nuevas plantillas que se mezclan en la base de datos sobrescriben todos los conflictos de atributos o permisos. Por otra parte, puede decidirse que la plantilla correcta era la que se us, pero que la configuracin del equipo en realidad no es la apropiada. En este caso, habr que cambiar la plantilla de la base de datos para que los posteriores anlisis no muestren estas discrepancias. Para hacerlo, se pulsa el botn derecho sobre el atributo en cuestin y se elige Seguridad para abrir un cuadro de dilogo en el que se puede cambiar la plantilla de la base de datos. Se puede cambiar la configuracin de la plantilla para que se ajuste a la configuracin del equipo o se puede quitar el cuadro de verificacin Definir esta directiva en la base de datos para especificar que la configuracin no debera volver a considerarse durante el anlisis. Finalmente, puede determinarse que la plantilla de seguridad es la correcta y que el sistema est violando las directivas y necesidades de seguridad a seguir. Una vez liberados todos los errores de la plantilla y manteniendo slo las discrepancias vlidas, habr que configurar el sistema. Para hacerlo, hay que pulsar el botn derecho sobre Configuracin y anlisis de seguridad y elegir Configurar el equipo ahora.
Cmo activar la autentificacin

Junto con muchas otras tareas, el controlador de dominio autentica a los usuarios de la red usando las directivas de seguridad y la informacin de autenticacin de usuario almacenada en el servicio de directorio Active Directory. Durante un inicio de sesin interactivo, un usuario inicia una sesin en una cuenta de dominio con una contrasea o una tarjeta inteligente. El controlador de dominio confirma la identidad del usuario con la informacin almacenada en Active Directory. Una vez que ha tenido lugar el inicio de sesin interactivo en el controlador de dominio, se realiza una autenticacin de red del usuario sin ningn esfuerzo por parte del usuario. El usuario puede acceder a los recursos de la red sin tener que
Captulo 17
volver a introducir una contrasea o el nmero de identificacin personal (PIN) de la tarjeta inteligente. Un inicio de sesin interactivo tambin puede autenticar al usuario en un equipo local en lugar de en un controlador de dominio. Con un inicio de sesin interactivo local, la autenticacin de red requiere que se vuelva a introducir una contrasea cada vez que el usuario necesite acceder a un recurso. El protocolo de autenticacin Kerberos versin 5 se usa para inicios de sesin interactivos y tambin es el protocolo predeterminado para la autenticacin de red. Cada controlador de dominio incluye Kerberos versin 5. Tanto el centro de distribucin de claves como el servicio de concesin de tickets son componentes de Kerberos y se convierten en partes fundamentales del controlador de dominio. El centro de distribucin de claves se ejecuta como parte de Active Directory, el cual guarda las contraseas y la informacin de cuentas de usuario para la autenticacin. Un cliente Kerberos est instalado en todas las estaciones de trabajo y servidores Windows 2000. Los clientes de acceso remoto, adems de iniciar sesiones en la red, tienen que autenticarse ante el servidor de acceso remoto antes de que puedan acceder a la red. Las tarjetas inteligentes y los certificados, as como los protocolos basados en contraseas, se usan para el acceso telefnico a redes. Cmo obtener tarjetas inteligentes y certificados Las tarjetas inteligentes combinan la seguridad del cifrado de clave pblica con la portabilidad de las contraseas. Antes de poder usar una tarjeta inteligente para la autenticacin, es necesario programar un certificado de inicio de sesin en la tarjeta. Esto lo hace el administrador, quien solicita un certificado de tarjeta inteligente a la Autoridad de certificados (CA) mediante una estacin de inscripcin de comportamiento.
Instalacin de un agente de inscripcin
Para solicitar certificados a tarjeta inteligente a una CA, el administrador necesita un certificado especial para firmar la solicitud. Este certificado, conocido como certificado de agente de inscripcin, tiene que solicitarse con una sesin iniciada como administrador del dominio desde la mquina dedicada que se utilizar para programar las tarjetas inteligentes. El certificado de agente de inscripcin es un certificado software y una clave privada que se pueden solicitar mediante el complemento Certificados de la MMC. Hay que asegurarse de usar la plantilla de certificado de agente de inscripcin, ya que es lo que autoriza al administrador a realizar solicitudes de certificado de tarjeta inteligente. Es posible, aunque muy poco recomendable, permitir que los usuarios programen sus propias tarjetas inteligentes, dndoles derechos de acceso a la plantilla de certificado de agente de inscripcin. La programacin y distribucin de forma administrativa de las tarjetas inteligentes proporciona una mayor responsabilidad. Programacin de tarjetas inteligentes
Captulo 17
Una vez que el administrador ha instalado el lector de tarjetas inteligentes en el sistema y que ha obtenido el certificado de agente de inscripcin, el sistema est preparado para programar tarjetas inteligentes. La instalacin de tarjetas inteligentes aade un proveedor de servicio de cifrado (CSP) al sistema que se selecciona durante el proceso de programacin de la tarjeta inteligente. El proceso de solicitud basado en Web primero genera un par de claves pblica/privada en la tarjeta inteligente. Usando la clave pblica y el nombre de usuario, la autoridad de certificado expide y firma un certificado. Finalmente, el certificado se aade a la tarjeta inteligente. Para programar una tarjeta inteligente, hay que seguir estos pasos: 1. Con el administrador de dominio como usuario actual, se abre Microsoft Internet Explorer y se especifica el URL del servidor de certificado. El URL ser el nombre del servidor seguido por \Certsrv. 2. Se selecciona Solicitar un certificado y despus Siguiente. 3. Se selecciona Solicitud avanzada y despus Siguiente. 4. Se elige la opcin Solicitar un certificado para una tarjeta inteligente sobre el comportamiento de otro usuario que usa la estacin de inscripcin de tarjetas inteligentes. Se pulsa Siguiente. 5. Aparece la pgina Web Estacin de inscripcin de tarjetas inteligentes. Se fijan los campos con los valores siguientes G Plantilla de certificado: Inicio de sesin de la tarjeta inteligente. G Autoridad de certificado: CA para expedir el certificado. G Proveedor de servicio de cifrado: CSP del fabricante de la tarjeta inteligente. G Certificado de firma de administrador: Certificado del agente de inscripcin. G Usuario a inscribir: Nombre del usuario final de la tarjeta inteligente. 6. Se pulsa Enviar solicitud de certificado. 7. Una vez rellenada la solicitud por la autoridad de certificado, se pide que se inserte la tarjeta y que se introduzca el PIN de la tarjeta inteligente. Esto carga el certificado en la tarjeta. Los certificados de tarjeta inteligente para los usuarios que requieren distintas funcionalidades (como el cifrado) se pueden programar de forma similar especificando una plantilla de certificado distinta.
Cmo obtener certificados basados en software
La autenticacin tambin se puede llevar a cabo con las claves privadas y los certificados que residen en el equipo local. Inicio de sesin con tarjetas inteligentes Una vez instalado el lector de tarjetas inteligentes en el sistema destino y que el usuario haya obtenido una tarjeta inteligente correctamente programada por el administrador, el usuario puede usar la tarjeta inteligente para iniciar sesiones en el equipo. Para hacerlo, el usuario slo tiene que insertar la tarjeta
Captulo 17
inteligente en el lector e introducir un PIN cuando se le pida. Este proceso tiene lugar pulsando CTRL+ALT+SUPR e introduciendo un nombre de usuario y contrasea. Para impedir que ladrones accedan al sistema usando una tarjeta robada, el sistema cuenta los intentos incorrectos de inicio de sesin. Despus de tres fallos consecutivos, la tarjeta se bloquea para el sistema. Cmo activar certificados remotos o autenticacin de tarjeta inteligente Como ya mencionamos anteriormente, el certificado de clave pblica del usuario usado para la autenticacin se puede programar en una tarjeta inteligente o se puede guardar localmente en el equipo. Para activar la autenticacin de acceso telefnico en cada escenario, hay que seguir los pasos de las dos secciones siguientes.
Autenticacin con certificado de tarjeta inteligente
1. En el men Inicio de la mquina remota, se abre el Panel de control y se pulsa dos veces sobre Conexiones de red y de acceso telefnico. 2. Se pulsa dos veces sobre la conexin de red o de acceso telefnico para la que se desea activar la autenticacin y se elige Propiedades. En la ventana Propiedades de la conexin de acceso telefnico, se pulsa sobre la ficha Seguridad. 3. Hay que asegurarse de que est seleccionado Tpica y de que el cuadro de lista Validar mi identidad como sigue tiene asignada Usar tarjeta inteligente. Se puede seleccionar el cuadro de verificacin Requerir cifrado de datos para seguridad adicional.
Autenticacin con certificado guardados en la computadora local
1. En el men Inicio de la mquina remota, se abre el Panel de control y se pulsa dos veces en Conexiones de red y de acceso telefnico. 2. Se pulsa el botn derecho sobre la conexin de red o de acceso telefnico para la que se desea activar la autenticacin y se pulsa Propiedades. En la ventana Propiedades de la conexin de acceso telefnico a redes, se pulsa sobre la ficha Seguridad. 3. Se selecciona la opcin Avanzada en la ventana Propiedades de la conexin de acceso telefnico y se pulsa el botn Configuracin. En el cuadro de dilogo Propiedades de seguridad avanzada hay que seleccionar Usar el protocolo de autenticacin extensible (EAP) y hay que asegurarse de que el cuadro de lista muestra Tarjeta inteligente u otro certificado (cifrado habilitado). 4. Se pulsa el botn Propiedades para mostrar la ventana Propiedades de tarjeta inteligente u otros certificados. Para configurar la autenticacin de certificados residentes en el almacn local de certificados, hay que seleccionar Usar un certificado en este equipo. El cuadro de dilogo Configuracin de seguridad avanzada tambin se utiliza para fijar proto colos de autenticacin alternativos para la conexin. Estos protocolos, listados bajo Permitir estos pro tocolos, cubren desde el Contrasea no cifrada (PAP) a la versin 2 del Protocolo de
Captulo 17
autenticacin por desafo mutuo (MS-CHAP v2). Se pueden seleccionar uno o ms de estos protocolos permitidos. 5. En esta ventana aparecen dos opciones especficas a los certificados. Primero se pueden restringir las conexiones a determinados servidores. Para hacer esto, se selecciona la opcin Validar un certificado de servidor y se activa uno de los mtodos de validacin: G Conectar siempre que el nombre del equipo termine con: Esta opcin requiere que el servidor est en un determinado dominio. Por ejemplo, se introduce netsolvers.corn en este cuadro para conectar slo con los servidores del dominio de Netsolvers. G Entidad emisora raz de confianza: Esta opcin permite elegir la jerarqua de certificados a la que pertenece el servidor. La segunda opcin, Use un nombre de usuario distinto para la conexin, impide que el proceso de autenticacin use el sujeto del certificado como nombre de usuario. Esto permite especificar un nombre alternativo. 6. Se pulsa Aceptar para cerrar la ventana. Tanto si se usa autenticacin basada en tarjetas inteligentes, como autenticacin basada en contraseas o una mezcla de las dos, hay que asegurarse de que los clientes de acceso remoto y los servidores de acceso remoto admiten al menos un mtodo comn de autenticacin. Cmo configurar la autenticacin para un servidor de acceso remoto Adems de configurar el cliente de acceso remoto, tambin ser necesario configurar el servidor de acceso remoto para que permita inicio de sesin basado en tarjeta inteligente o basado en certificados. Para hacerlo hay que seguir estos pasos: 1. Se elige Enrutamiento y acceso remoto en la carpeta Herramientas administrativas del men Programas. 2. Se pulsa el botn derecho sobre el nombre del servidor de acceso remoto y se elige Propiedades. En la ficha Seguridad, se pulsa Mtodos de autenticacin, asegurndose de que est seleccionado el cuadro de verificacin Protocolo de autenticacin extensible (EAP) y despus, se pulsa dos veces Aceptar. 3. De nuevo en el cuadro de dilogo Enrutamiento y acceso remoto, se expande el servidor de acceso remoto y se pulsa sobre Directivas de acceso remoto. Se pulsa con el botn derecho sobre la directiva que se usar cuando los clientes de tarjeta inteligente inicien la sesin y se elige Propiedades. Se pulsa el botn Modificar perfil y en el cuadro de dilogo Modificar perfil de marcado, se pulsa sobre la ficha Autenticacin. Se selecciona el cuadro de verificacin Protocolo de autenticacin extensible. Esto tambin activar el tipo EAP; hay que asegurarse de que est seleccionado Tarjeta inteligente u otro certificado. Se pulsa el botn Configurar y se selecciona el certificado de mquina para usar en la autenticacin.
Captulo 17
Si al pulsar el botn Configurar aparece un error diciendo que no se puede encontrar el certificado, es necesario instalar una mquina de certificados. Esto se puede hacer asegurando que la CA de la empresa est configurada para inscripcin automtica, lo que localiza automticamente los certificados de equipo para los miembros del dominio. Una vez configurado, se ejecuta secedit /refreshpolicy mquina de_directivas desde la lnea de rdenes de Windows 2000 en el servidor de acceso remoto, para crear un certificado de equipo.
Implantacin del control de acceso

En el mundo real, la autorizacin est dictada por las directivas. Cuando viene del uso de recursos, lectura de documentos o habitaciones de acceso, personas distintas tienen distintos derechos. La implantacin de estas directivas pueden ser cajas fuertes o placas de acceso. En el entorno de Windows 2000, la autorizacin tambin se basa en directivas. Distintas personas o grupos de personas tienen distintos derechos. Las directivas aqu se implantan mediante control de acceso. Bastante sencillo, el control de acceso determina qu usuarios pueden acceder a qu recursos. Los recursos en Windows 2000 son:
G G
G G G
Archivos y carpetas, a los que se puede acceder mediante el Explorador de Windows. Volmenes, carpetas y archivos compartidos, a los que se permiten permisos en los sistemas de archivos NTFS y FAT. Objetos de Active Directory, que son administrador con el complemento Usuarios y equipos de Active Directory. Claves del registro, que se administran con el Editor del Registro. Servicios, que se administran con el Conjunto de herramientas de configuracin de seguridad. Impresoras, que se configuran mediante Configuracin en el men Inicio.
Cada recurso posee un descriptor de seguridad asociado a l que define el propietario del objeto, los permisos de acceso del objeto y la informacin de auditora del objeto. Para los objetos de Active Directory, la responsabilidad administrativa se puede delegar en el grupo Administradores. La delegacin permite que los permisos de objeto se administren como una unidad organizativa del dominio, sin tener que necesitar varios administradores para el dominio completo. Cmo establecer la propiedad El propietario de un objeto controla quin puede acceder al objeto asignando los permisos de objeto. Por defecto, el propietario del objeto es el administrador. Normalmente, los administradores crean la mayora de los objetos de red y son los responsables de la asignacin de los permisos de objeto. Uno de los permisos estndar asociado a todos los objetos es el permiso Toma de posesin. Concediendo
Captulo 17
este permiso, el propietario permite que un usuario (o un miembro de un grupo) asuma la propiedad del objeto. La toma de posesin se puede realizar mediante la herramienta que administra el tipo especfico de objeto. Por ejemplo, las impresoras se administran mediante la interfaz encontrada en Configuracin en el men Inicio. La ficha Seguridad de la ventana Propiedades de la impresora muestra los grupos y los usuarios que tienen permisos asignados. Pulsando el botn Avanzada se abre el cuadro de dilogo Configuracin de control de acceso. Con los permisos correctos, el propietario puede modificar la ficha Propietario. Los administradores pueden asumir el control de todo objeto que est bajo jurisdiccin administrativa, independientemente de que tengan asignado el permiso Tomar posesin para ese objeto. Asignacin de permisos Los permisos de objeto se dividen en acciones especficas que se pueden realizar sobre el objeto en particular. Para las claves del registro, incluyen la posibilidad de crear subclaves y valores. Para objetos de Active Directory, los permisos incluyen la posibilidad de crear y eliminar hijos. Los permisos se fijan para los usuarios o grupos especficos que realizan las acciones sobre los objetos particulares. Para una determinada carpeta, un grupo puede tener permisos para crear y eliminar archivos dentro de la carpeta. Otro grupo puede tener permitido slo listar los contenidos de la carpeta. Para mostrar los permisos de un usuario o grupo, hay que elegir la entrada en el cuadro de dilogo Configuracin de control de acceso y pulsar el botn Ver o modificar. El propietario del objeto o el usuario o grupo con permiso Cambiar permisos, puede usar este cuadro de dilogo para modificar los permisos de usuario o grupo. Para agregar usuarios o grupos a la lista de control de acceso, hay que pulsar el botn Agregar y seleccionar el usuario o grupo a agregar. Recuerde que hay que asignar los permisos apropiados. La carga de administracin de un dominio de derechos y permisos de usuario puede rebajarse usando una pocas lneas gua. Primero, delegar administracin en las autoridades locales siempre que tenga sentido la administracin ms cercana de usuarios y servicios. Segundo, asignar permisos en base a grupos, mejor que en base a usuarios. Tercero, asignar permisos a puntos de nodo comn de Active Directory y permitir que se propague hacia abajo en el rbol a los nodos inferiores.
Administracin de certificados
Los certificados de clave pblica sirven como medio de seguridad para muchos de los protocolos y mecanismos de Windows 2000. Autenticacin de red, IPSec, Sistema de archivos cifrado (EFS), Capa de conectores seguros (SSL) y Extensin multipropsito de correo de Internet seguro (S/MIME), todos usan certificados. MMC proporciona el complemento Certificados con el nico propsito de administrar certificados de usuario, equipo y servicio. Para agregar el complemento Certificados a la MMC, hay que ejecutar mmc.exe desde el men Inicio.
Captulo 17
Desde el men Consola, se selecciona Agregar o quitar complemento. Se pulsa el botn Agregar y se selecciona Certificados en la lista de complementos proporcionada. Se dar la opcin de elegir sobre qu cuenta administrar los certificados: Mi cuenta de usuario, Cuenta de servicio o Cuenta de equipo. Para las cuentas de servicio y equipo, se puede seleccionar a qu equipo administrar el complemento. Para la cuenta de servicio, tambin ser necesario especificar qu servicio administrar. Los usuarios slo pueden administrar sus certificados personales. Los certificados para equipos y servicios los administran los administradores. El almacn de certificados est formado por cinco categoras: Personal, Entidad emisora raz de confianza, Confianza de empresa, Entidades emisoras de certificados intermedias y Objeto de usuario de Active Directory. Los certificados de las CA Raz de confianza e Intermedias estn cargados previamente. Para visualizar los detalles de cualquier certificado, hay que pulsar dos veces sobre el certificado. Cmo exportar certificados y claves pblicas La orden Exportar del complemento Certificados en realidad proporciona dos funciones distintas. Primero, permite que se exporte un certificado o cadena de certificados con el propsito de compartirlo con usuarios o equipos que no tienen conciencia del directorio de certificados. Segundo, permite exportar un certificado o cadena de certificados junto con la clave pblica asociada para su uso de cifrado en otra mquina. Nota: De forma predeterminada, slo las claves privadas para agentes de recuperacin EFS bsicos y EFS se marcan como disponibles para exportar. Esto permite que todas las dems claves privadas sean expuestas innecesariamente. Los certificados y claves que se mencionan a propsito para ser exportadas pueden marcarse durante la solicitud de certificado. Se puede exportar cualquier tipo de certificado, incluyendo aquellos de las CA. Naturalmente, slo los certificados con clave pblica disponible (es decir, los certificados personales) que estn marcados para exportarse, podrn ser exportados. Para exportar un certificado, hay que seguir estos pasos: 1. Se busca el certificado en el complemento Certificados y se pulsa el botn derecho sobre la entrada. 2. Se seala Todas las tareas y se elige Exportar. Aparecer la bienvenida al Asistente para exportacin de certificados. 3. Se realiza el camino del asistente, eligiendo si se exporta la clave privada (si est disponible). 4. Se elige la forma para guardar el certificado. Codificado binario DER y Codificado base-64 son los formatos de certificado nico. Con el formato PKCS #7, se puede incluir una cadena completa de certificados. Las combinaciones de clave privada se guardan en un archivo PKCS #12 y estn protegidos con contrasea; ser necesario especificar una contrasea para el archivo. 5. Se introduce el camino y nombre de archivo destino para el certificado exportado.
Captulo 17
Cmo importar certificados Los usuarios pueden importar certificados a cualquiera de las categoras de certificados que se encuentran en el almacn de certificados. En el complemento Certificados, hay que pulsar el botn derecho sobre la categora de certificados en la que se desea importar el certificado, sealar Todas las tareas y elegir Importar. Se introduce el nombre de archivo del certificado, el cual debe tener una extensin estndar de formato de certificado (.PFX, .P12, CER, CRT, P713, STL, SPC, CRL o .SST). Para los archivos PKCS #12, los cuales contienen claves privadas y certificados, ser necesario introducir la contrasea usada para proteger el archivo. Los certificados raz son la base de la confianza para la verificacin de certificados. Hay que ser extremadamente cuidadoso cuando se importe un certificado raz. Hay que asegurarse de que el certificado se recibi de una fuente de confianza y que el sello del certificado coincide con la publicacin de confianza. Cmo solicitar certificados Antes de usar cualquier aplicacin que dependa de la infraestructura de clave pblica, har falta un certificado. Los servidores de certificados que se configuren usando CA pueden solicitar certificado usando el complemento Certificados. Usando la versin 3 o posterior de Internet Explorer, se pueden solicitar certificados de Servicios de certificado de Microsoft, ejecutndose bien en modo Independiente o bien en modo Enterprise, mediante una interfaz Web. El proceso de solicitud de certificados implica generar un par de claves que est formado por una clave pblica y una clave privada. La clave privada se almacena y protege en el equipo local. La clave pblica, junto con la informacin de identificacin del usuario, se enva a la CA como solicitud de certificado. Si la CA determina que el usuario, dispositivo o servicio est autorizado para el certificado que solicita, la CA genera y firma el certificado. El certificado se puede recuperar despus con el complemento Certificados y situarlo en el almacn local de certificados. Para solicitar un certificado, hay que pulsar el botn derecho sobre la carpeta Certificados del almacn de certificados Personal. Se apunta Todas las tareas y se elige Solicitar un nuevo certificado y se siguen las instrucciones del Asistente para solicitar certificado. Ser necesario escoger un tipo de certificado (propsito para el que se usar el certificado), un nombre amigable para el certificado y la CA que se usar para el certificado, si hay ms de una disponibles. Para permitir la descarga del certificado una vez lo emita la CA, el Asistente para solicitar certificado proporciona la opcin Instalar certificado. Las opciones avanzadas del Asistente para solicitar certificado permitirn que se exporten claves privadas. Hay que ser extremadamente juicioso cuando se seleccione esta opcin.
Captulo 17
Las claves privadas exportadas pueden permitir a otros usuarios leer datos cifrados. Cmo habilitar certificados para propsitos especficos Los certificados se pueden emitir para determinados tipos de uso. Estos usos se programan directamente en el certificado, usando un campo de extensin del certificado. Por ejemplo, la extensin de certificado Uso clave dice que el certificado se puede usar para la firma de datos, firma de certificados, no incumplimiento u otros usos. La extensin Uso de clave ampliada extiende esta propiedad a otros usos, como el sello temporal o la recuperacin de archivos. Los certificados tambin se pueden habilitar para propsitos especficos en funcin de la cuenta. Es decir, un usuario o un administrador puede decidir qu certificados permitir o no permitir para determinados usos. Mientras que el verdadero certificado no se modifica, los atributos en el almacn se pueden configurar. Por ejemplo, un cierto certificado puede no tener restricciones en su uso interno de clave. Sin embargo, un usuario puede que desee habilitar ese certificado slo para la firma de cdigo y para el correo electrnico. Para asignar propsitos a certificados, hay que pulsar el botn derecho sobre el certificado y elegir Propiedades. Las tres opciones para los propsitos de certificado son Habilitar todos los propsitos para este certificado, Deshabilitar todos los propsitos para este certificado y Slo habilitar los siguientes propsitos. Se elige la tercera opcin y se seleccionan los propsitos para los que se desea usar el certificado. Recurdese que slo aparecern en la lista los propsitos permitidos por el verdadero certificado o por el camino del certificado.
Directivas de seguridad del protocolo de Internet

IPSec proporciona seguridad extremo a extremo en las comunicaciones de red -en forma de confidencialidad, integridad y autenticacin- usando la tecnologa de clave pblica para proteger los paquetes IP uno a uno. Para agregar el complemento Administracin de las directivas de seguridad de IP a la MMC, hay que seleccionar Agregar o quitar complementos en el men Consola. Se pulsa Agregar y se selecciona Administracin de las directivas de seguridad de IP en la lista de complementos disponibles. El cuadro de dilogo que aparece permite seleccionar el rango de administracin: equipo local, dominio del equipo local u otro equipo. Definicin de directivas de IPSec Las directivas de IP se pasan del agente de directivas al conductor de IPSec y definen los procedimientos correctos para todas las facetas del protocolo, desde cundo y cmo asegurar los datos a qu mtodos usar. Las directivas pueden llegar a ser un poco complicadas. Antes de saltar a la configuracin real, veamos algo de terminologa mediante la definicin de los componentes de una directiva de IPSec.
Captulo 17
G G G
Filtro IP Un subconjunto del trfico de red basado en direcciones IP, puertos y protocolos de transporte. Dice al conductor de IPSec qu trfico entrante o saliente debe ser seguro. Lista de filtros IP Concatenacin de uno o ms filtros IP, definiendo un rango del trfico de red. Accin de filtrado Cmo debe asegurar el trfico de red el conductor de IPSec. Mtodo de seguridad Algoritmos y tipos de seguridad usados para la autenticacin y el intercambio de claves. Configuracin del tnel Direcciones IP o nombre de DNS del final del tnel (si se usa IPSec con tnel para proteger el destino del paquete). Tipo de conexin El tipo de conexin afectada por la directiva de IPSec: acceso remoto, LAN o todas las conexiones de red. Regla Una composicin de componentes: un filtro IP, una accin de filtrado, los mtodos de seguridad, una configuracin de tnel y un tipo de conexin. Una directiva IPSec puede tener varias reglas para proteger de forma distinta cada subconjunto de trfico de red.
Directivas predefinidas de IPSec
Hay disponibles tres directivas bsicas predefinidas para su uso inmediato o como punto de partida para directivas de IPSec ms complicadas. La directiva Cliente (slo responder) debe usarse en equipos que no suelen enviar datos seguros. Esta directiva no iniciar las comunicaciones seguras. Si el servidor solicita la seguridad, el cliente responder, asegurando slo el protocolo de respuesta y el trfico de puerto con ese servidor. La directiva Servidor (pedir seguridad) puede usarse en cualquier equipo -cliente o servidorque necesite iniciar las comunicaciones seguras. A diferencia de la directiva Cliente, la directiva Servidor intenta proteger todas las transmisiones salientes. Las transmisiones no seguras entrantes se aceptarn, pero no se resolvern hasta que IPSec solicite la seguridad del emisor para todas las transmisiones posteriores. Siendo la directiva ms estricta de las predefinidas, la directiva Servidor seguro (requiere seguridad) ni enviar ni aceptar transmisiones no seguras. Los clientes que intenten comunicarse con un servidor seguro tienen que usar al menos la directiva Servidor predefinida o equivalente. Esta directiva tiene tres reglas, todas activadas, segn indican las marcas de verificacin. La primera regla tiene un filtro IP de Todo el trfico IP, una accin de filtrado Requiere seguridad, un mtodo de autenticacin Kerberos, una configuracin de tnel con Ninguna y un tipo de conexin Todas. Se pueden agregar o eliminar reglas a la lista con los botones correspondientes. Pulsando el botn Modificar se abre el cuadro de dilogo Propiedades de Modificar regla, con cinco fichas, una para la configuracin de cada campo de la regla. De nuevo en la ventana Propiedades de Servidor seguro (requiere seguridad), se pueden visualizar las propiedades generales de la directiva -incluyendo una descripcin de la directiva y los intervalos en minutos en los que se comprobarn cambios en la misma- pulsando sobre la ficha General.
Captulo 17
Pulsando sobre el botn Avanzadas de la ficha General aparece el cuadro de dilogo Configuracin del intercambio de claves. Este cuadro de dilogo permite especificar la vida de las claves en minutos o sesiones. Usar un tiempo de vida de clave corto hace las transmisiones ms seguras incrementando el nmero de claves que los piratas informticos tienen que romper, pero aade sobrecarga al tiempo de transmisin. Seleccionar el cuadro de verificacin Clave maestra Confidencialidad directa perfecta, asegura que las claves existentes no se pueden reutilizar para generar claves adicionales. Esta opcin debe usarse con cuidado, ya que aade una sobrecarga significativa. Pulsar el botn Mtodos permite seleccionar los mtodos de seguridad y el orden de preferencia. Un mtodo de seguridad incluye cifrado y una algoritmo de integridad, junto con un grupo de Diffie-Hellman, el cual afecta a la generacin de claves.
Cmo crear una directiva de IPSec
Adems de usar las directivas predefinidas de IPSec como plantillas, los administradores pueden generar directivas partiendo de cero con el elemento Directivas de seguridad IP en la MMC. Una directiva personal puede ser restrictiva o permisiva, simple o potente, dependiendo de la funcin de la mquina, el entorno en el que opera y los tipos de sistemas con los que se comunica. Para agregar una directiva de IPSec, hay que pulsar el botn derecho sobre el elemento Directivas de seguridad IP en la MMC y seleccionar Crear directiva de seguridad IR Se presentar el Asistente para directivas de seguridad IR Los siguientes pasos guan a travs de este asistente: 1. Se pulsa Siguiente en la pantalla de bienvenida. 2. En la pantalla siguiente, se introduce un nombre de directiva significativo, una descripcin y se pulsa Siguiente. 3. Se selecciona o se quita la seleccin del cuadro de verificacin Activar la regla de respuesta predeterminada, basndose en si se permite la negociacin con equipos que soliciten IPSec. Desmarcar este cuadro de verificacin aadir una regla de respuesta desactivada a la directiva. Se pulsa Siguiente. 4. Si se seleccion el cuadro de verificacin Activar la regla de respuesta predeterminada en el paso anterior. Kerberos versin 5 es el protocolo por defecto de Windows 2000 pero slo est permitido en mquinas que sean miembros de un dominio. La segunda opcin, Use un certificado de esta autoridad de certificados (CA), asciende la autenticacin de clave pblica. Ser necesario elegir una autoridad de certificado que sea apropiada para el certificado a usar. La tercera y ltima opcin permite escribir una clave predefinida para usarla en el intercambio. Esta cadena tiene que conocerla tambin el equipo demandante para que el intercambio tenga xito. Se pulsa Siguiente cuando se haya realizado la eleccin. 5. Se selecciona el cuadro de verificacin Modificar propiedades si se desea que aparezca la ventana Propiedades de directiva. Tambin se puede hacer que aparezca esta ventana pulsando el botn derecho sobre una directiva que est en la lista y eligiendo Propiedades.
Cmo modificar una directiva de IPSec
Captulo 17
Una directiva recin creada contendr slo una regla de respuesta por defecto, la cual estar activada --o no- dependiendo de las elecciones realizadas durante el asistente de creacin de la directiva. La funcionalidad se aade a una directiva de IPSec creando reglas que gobiernen cundo y cmo se debe proporcionar la seguridad. Cada combinacin de una lista de filtros, accin de filtrado, mtodo de autenticacin, configuracin de tnel y tipo de conexin es una regla por separado. Las reglas se pueden aadir manualmente o con el Asistente para agregar; ambas consiguen la misma cosa, pero el asistente es un poco ms amigable. El Asistente para agregar se desactiva desmarcando el cuadro de verificacin Usar Asistente para agregar en la esquina inferior derecha de la ventana Propiedades de la directiva. Haciendo esto se permitir la exploracin de cada faceta de la regla en su cuadro de dilogo nativo. La edicin de reglas una vez creadas se realiza tambin mediante esta interfaz. Con el Asistente para agregar desactivado, se pulsa el botn Agregar. Se presenta el cuadro de dilogo Propiedades de nueva regla, el cual, exceptuando el ttulo, es el mismo que el cuadro de dilogo Propiedades de Modificar regla. El cuadro de dilogo tiene cinco fichas, una para cada elemento de la regla. Veremos cada una de estas fichas por turnos. Lista de filtros IP: La lista de filtros IP est formada por uno o ms filtros que especifican sobre qu trfico de red actuar. Las listas Todo el trfico IP y Todo el trfico ICMP se aaden por defecto, pero no se activan. En la figura se ha aadido una tercera lista de filtros y se ha activado pulsando el botn de opcin. Pulsando el botn Agregar se abre el cuadro de dilogo Lista de filtros IP, el cual permite especificar filtros a incluir en la lista personalizada de filtros. Aqu, si se pulsa el botn Agregar con la opcin activada Usar Asistente para agregar, se iniciar el Asistente para filtros IP, el cual permite construir un nuevo filtro basndose en las siguientes categoras:
G
Direcciones: Filtra las direcciones origen y destino especificadas por direcciones IP (Mi direccin IP, Cualquier direccin IP, Direccin IP especfica, Subred IP especfica) o un nombre especfico de DNS. Protocolo: Filtra por tipo de protocolo, como TCP y puertos de origen y destino.
Accin de filtrado: La accin de filtrado determina cmo responde el conductor de IPSec a los equipos representados en las entradas de la lista de filtros y qu mtodos de seguridad usar. Se puede elegir una de las acciones proporcionadas seleccionndola o se pueden aadir acciones propias. La accin Requiere seguridad ocasiona que el conductor intente establecer comunicaciones seguras con los clientes, pero si no se logra, se comunicar sin seguridad. La accin Requiere seguridad necesita que los clientes establezcan mtodos de confianza y de seguridad. La accin Permitir habilita que se pasen paquetes IP no seguros.
Captulo 17
Agregar una accin implica elegir un nombre de filtro, una descripcin y un comportamiento general que permite las comunicaciones, las comunicaciones de bloques o la seguridad de negociacin. Si se elige la seguridad de negociacin, ser necesario configurar otras dos reas. Bajo Comunicacin con equipos que no son compatibles con IPSec, hay que elegir entre no comunicarse con los equipos que no admitan IPSec o permitir las comunicaciones no seguras. Tambin se puede seleccionar un Mtodo de seguridad: alta (cifrada, autenticada y no modificada), media (autenticada y no modificada) o personalizada. Para el mtodo de seguridad personalizada, hay que elegir los algoritmos de cifrado e integridad y especificar configuraciones de clave de sesin, como la frecuencia de generacin de nuevas claves. Mtodos de autenticacin: El mtodo de autenticacin especifica cmo se establecer la relacin de confianza con el equipo remoto. Se pueden especificar uno o ms mtodos a usar cuando se soliciten comunicaciones seguras o cuando sea solicitada una comunicacin segura. Hay tres mtodos permitidos de autenticacin, listados en orden de preferencia. La prioridad de un mtodo se cambia con los botones Subir y Bajar. El botn Agregar proporciona tres opciones para el nuevo mtodo. Estas opciones son:
G G
Valor predeterminado de Windows 2000 (protocolo Kerberos V5). Use un certificado: Esta opcin usa certificados de clave pblica para la autenticacin. Ser necesario especificar la autoridad de certificados de los usuarios o las entidades a autenticar. Para permitir la autenticacin de usuario bajo CA distintos, hay que aadir un mtodo de autenticacin por separado para cada uno. Usar esta cadena para proteger el intercambio de claves: Esta opcin usa una clave compartida que se especifica en el cuadro proporcionado. Se pueden usar varias claves compartidas aadiendo mtodos adicionales de autenticacin.
Configuracin del tnel: La ficha Configuracin del tnel permite especificar un punto final para el tnel si se elige llamar a IPSec con tnel. El punto final se puede especificar como nombre de DNS si se est ejecutando el servicio de DNS en la red o se puede introducir en forma de direccin IP. Tipo de conexin: Finalmente, la ficha Tipo de conexin permite refinar an ms la regla basndose en el tipo de conexin. La opcin Todas las conexiones de red est asignada como valor por defecto; en su lugar se puede seleccionar bien Red de rea local, bien Acceso remoto, para crear una regla ms estricta.
Cmo asignar directivas de IPSec
Una vez establecida la directiva de IPSec en el elemento Directivas de seguridad IP de MMC, se puede aplicar a un nico equipo o a un conjunto de equipos gobemados por un objeto Directiva de grupo. Para asignar una directiva de IPSec a una mquina local, hay que pulsar el botn derecho sobre el nombre de la directiva y elegir Asignar. El icono de la directiva activa incluir un punto verde. Si ya se ha asignado otra directiva, esta accin devolver a cero esa directiva para este equipo. Las directivas de IPSec se asignan a grupos seleccionando el objeto destino Directiva de grupo en la MMC. Bajo este objeto, hay
Captulo 17
que expandir Configuracin del equipo, Configuracin de Windows y despus Configuracin de seguridad. Se selecciona Directivas de seguridad IP, se pulsa el botn derecho sobre la directiva deseada y se elige Asignar.
Seguridad de los datos locales

El cifrado de los archivos almacenados en Windows 2000 se lleva a cabo mediante el uso del Sistema de archivos de cifrado (EFS). Usando el cifrado de clave pblica, EFS permite que los archivos y directorios almacenados en particiones NTFS se cifren y descifren de forma transparente. EFS accede a las claves pblica y privada del usuario para realizar el propio cifrado. Por lo tanto, los archivos cifrados con EFS no se pueden compartir con (es decir, cifrar a) otros usuarios. Hay que usar otro mtodo de cifrado, como S/MIME, para asegurar los archivos compartidos con otros usuarios. Adems, si se guardan los archivos cifrados con EFS en otra mquina, hay que importar la informacin de clave del usuario a esa mquina para que se pueda dar el descifrado. Los archivos se cifran automticamente para un tercero, llamado agente de recuperacin. En el caso de prdida de la clave, el agente de recuperacin puede descifrar los archivos. EFS cifra el grueso del archivo con una nica clave simtrica. La clave simtrica se cifra despus dos veces: una con la clave pblica EFS del usuario para permitir el descifrado y otra con la clave pblica del agente de recuperacin para permitir la recuperacin de los datos.
Cifrado de archivos y carpetas
Cifrar archivos con EFS es tan sencillo como asignar cualquier otro atributo de archivo, como Oculto o Slo lectura. Para cifrar un archivo en el Explorador de Windows, hay que seguir estos pasos: 1. Se pulsa el botn derecho sobre el archivo y se elige Propiedades. 2. En la ficha General, se pulsa Avanzadas. 3. Se selecciona el cuadro de verificacin Cifrar el contenido para asegurar los datos y despus se pulsa dos veces Aceptar. 4. En el cuadro de dilogo que aparece, hay que decidir si se desea cifrar la carpeta padre. Si se cifra esta carpeta, los archivos que se aadan posteriormente a esta carpeta y sus subcarpetas se cifrarn. Recuerde que los archivos de sistema, los archivos comprimidos y los archivos de otras particiones de NTFS no pueden ser cifrados usando EFS. Adems, una carpeta de raz de unidad tampoco puede ser cifrada con EFS. Al igual que los archivos normales, los archivos cifrados se pueden eliminar y copiar por medio de las rdenes Cortar, Copiar y Pegar del men Edicin. Los archivos movidos o copiados usando arrastrar y soltar no necesariamente mantendrn su cifrado. Tambin se pueden renombrar los archivos cifrados como con cualquier otro archivo.
Captulo 17
Los archivos y directorios cifrados no son inmunes a la eliminacin. Cualquier usuario con los permisos adecuados puede eliminar un archivo cifrado. Para cifrar una carpeta, hay que pulsar el botn derecho sobre la carpeta y elegir Propiedades. En la ficha general de la ventana Propiedades, se pulsa Avanzadas y se selecciona Cifrar contenidos para asegurar los datos. Se pulsa Aceptar dos veces y se preguntar si se desea que todos los archivos y subcarpetas de la carpeta destino se cifren tambin. Es importante mencionar que la propia carpeta no se cifra, slo los archivos dentro de la carpeta. La carpeta slo se marca como que tiene archivos cifrados en ella. Para asegurar la seguridad de los archivos temporales que hayan creado las aplicaciones, hay que marcar la carpeta de sistema Temp. para cifrado.
Descifrado de archivos y carpetas
EFS permite que el usuario invierta el proceso de cifrado. Sin embargo, describirlo como una mera operacin de descifrado es un poco engaoso. En realidad, eliminar el cifrado de datos de un archivo ocasiona que se descifre el archivo, pero cualquier archivo cifrado tambin se descifra cada vez que un usuario o aplicacin accede a l. De lo que estamos hablando es de un descifrado permanente para que se puedan compartir fcilmente los archivos con otros usuarios. Para indicar que el archivo no se tiene que volver a cifrar o que no se deben volver a cifrar los archivos de una carpeta, hay que seguir estos pasos: 1. Se pulsa el botn derecho sobre el archivo o carpeta en el Explorador d Windows y se elige Propiedades. 2. Se selecciona la ficha General y se pulsa Avanzadas. 3. Se quita la marca del cuadro de verificacin Cifrar los contenidos para asegurar los datos.
Recuperacin de archivos
Naturalmente, cuando se cifran archivos para protegerlos de ojos fisgones, se corre el riesgo de la proteccin de los nuestros y, por consiguiente, de la prdida de datos. EFS requiere la clave privada del usuario (asociada con el certificado de clave pblica EFS del usuario) para descifrar archivos. Mientras esta clave est accesible, se puede acceder a los archivos protegidos por EFS. En caso de prdida de la clave, hace falta un medio secundario para recuperar los datos. Considrese tambin que pudiera perderse una clave debido a la partida voluntaria o involuntaria del usuario; por ejemplo, un usuario que cifra archivos de la compaa puede dejar la compaa. La posibilidad de recuperar archivos empieza cuando un usuario individual hace una copia de seguridad de su certificado de clave pblica de EFS y de la clave privada asociada. Para hacer la copia de seguridad de esta informacin, el usuario tienen que exportar el certificado y la clave mediante el complemento
Captulo 17
Certificados de la MMC. Si la clave privada an est perdida, el usuario puede importar la clave privada de EFS y el certificado guardados y salvar los datos. Nota: Las claves y los certificados exportados se almacenan en formato PKCS #12 (tambin conocido como Intercambio de informacin personal o PFX). Este formato comprende una serie de aplicaciones de seguridad ampliada, permitiendo el intercambio de claves entre equipos o aplicaciones independientes. Si un usuario no puede descifrar los datos perdidos, un administrador puede recuperar los datos usando un certificado de agente de recuperacin. Adems de obtener un certificado de agente de recuperacin, el administrador necesitar aadir ese certificado a una directiva de recuperacin en Active Directory, usando el Asistente para agregar agente de recuperacin del complemento Directivas de grupo. Los certificados de agente de recuperacin se deben guardar en una caracterstica de almacenamiento segura para impedir posibles compromisos de los datos. Tras recibir el certificado de agente de recuperacin, el agente de recuperacin podra exportarse a un disquete u otro dispositivo que se puede proteger y eliminarlo de la mquina. Cuando sea necesaria la recuperacin, el certificado y la clave privada asociada se pueden importar. Una vez que se hayan recuperado los datos, el certificado debe eliminarse de nuevo.
Auditora
Siendo una herramienta de seguridad tanto proactiva como reactiva, las auditoras informan a los administradores de los sucesos que pueden ser potencialmente peligrosos y dejan un rastro de seguimiento si ocurre una infraccin de seguridad. Auditar los intentos de inicio de sesin sin xito, por ejemplo, puede avisar de usuarios pcaros intentando lograr acceso no autorizado al sistema. Adems de auditar los sucesos normales de sistema, se puede auditar la modificacin de directivas para mantener un seguimiento de cundo se desactiv la auditora de un determinado suceso y por quin. Por defecto, est desactivada la auditora de todas las categoras de seguridad. El administrador establece una directiva de auditora determinando qu tipos de sucesos de seguridad auditar. Basndose en las necesidades de seguridad de la organizacin, el administrador puede elegir tambin auditar el acceso a objetos individuales. Cmo establecer una directiva de auditora El primer paso para establecer una directiva de auditora es determinar qu categoras de sucesos deben auditarse. Las siguientes categoras de sucesos estn disponibles para auditarse.
G G G G
Sucesos de inicio de sesin de cuentas. Administracin de cuentas. Acceso al servicio de directorio. Sucesos de inicio de sesin.
Captulo 17
G G G G G
Acceso a objetos. Cambio de directivas. Uso de privilegios. Seguimiento de procesos. Sucesos de sistema.
Para seleccionar una categora de sucesos a auditar, primero hay que determinar si el equipo es un controlador de dominio. Si no lo es, hay que elegir Administracin de equipos en la carpeta Herramientas administrativas. En el rbol de consola de Administracin de equipos, se expande Herramientas de sistema, Directiva de grupo, Configuracin del equipo, Configuracin de Windows, Configuracin de seguridad y Directivas locales, para llegar a Directiva de auditora. Si el equipo es un controlador de dominio, hay que abrir el complemento Usuarios y equipos de Active Directory, expandir la entrada del dominio y pulsar Accin y despus pulsar Propiedades. En la ficha Directiva de grupo, se selecciona la directiva y se pulsa Modificar. Despus se expande Configuracin de equipo, Configuracin de Windows, Configuracin de seguridad y Directivas locales y despus se selecciona Directiva de auditora. Usando cualquier tcnica, seleccionar Directiva de auditora muestra las categoras de sucesos en el panel derecho. Para modificar la directiva de una categora de suceso, hay que pulsar el botn derecho sobre el suceso y elegir Seguridad. Hay que seleccionar el cuadro de verificacin para auditar los sucesos con xito y/o auditar sucesos fallidos.
Auditora de acceso a objetos
Una vez habilitada la categora Auditar el acceso a objetos en el elemento Directiva de auditora, los miembros del grupo Administradores pueden especificar criterios de auditora para archivos, carpetas, impresoras de red y otros objetos. El criterio de auditora para un objeto incluye
G G G
Quin se audita para este objeto. Si tiene xito o no el acceso al objeto. Qu tipo de acceso a objeto se audita.
Ejemplos de tipos de acceso incluyen la visualizacin de permisos de carpeta, la ejecucin de un archivo y la eliminacin de un objeto. Para seleccionar un objeto a auditar, hay que seguir estos pasos: 1. 2. 3. 4. Se pulsa el botn derecho sobre el objeto en el Explorador de Windows y se elige Propiedades. En la ficha Seguridad, se pulsa Avanzadas. En la ficha Auditora, se pulsa Agregar. En el cuadro Nombre, se introduce el nombre de usuario o grupo a auditar o se selecciona de la lista Nombre. 5. Se pulsa Aceptar para mostrar el cuadro de dilogo Entrada de auditora. Hay que usar la lista
Captulo 17
Acceso para seleccin si se audita el acceso con xito, sin xito o ambos. 6. Para carpetas, hay que usar la lista desplegable Aplicar en, para indicar dnde debe tener lugar la auditoria. 7. Hay que seleccionar o quitar la marca del cuadro de verificacin Aplicar estas entradas de auditora slo a objeto y/o contenedores dentro de este contenedor para llamar o impedir la herencia, respectivamente.
Visualizacin del registro de seguridad
El registro de seguridad detalla la informacin de auditora de los sucesos especificados en la directiva de auditoria. Cada vez que ocurre un suceso auditable, ste se aade al archivo de registro en el que se puede filtrar, guardar, buscar y exportar. El registro de seguridad, junto con el registro de aplicacin y el de sistema, se ubica en el Visor de sucesos y se puede encontrar en el rbol de consola Administracin de equipos expandiendo Herramientas administrativas, Visor de sucesos y Seguridad. Cada entrada del registro contiene informacin crucial sobre el evento auditado, incluyendo si el intento fue fallido o fue con xito, la fecha y la hora del suceso, la categora del suceso y el ID, y el usuario y equipo auditado. Se puede obtener informacin adicional para cada entrada pulsando el botn derecho sobre la entrada y eligiendo Propiedades.
Cmo manipular el registro de seguridad
El registro de seguridad se puede ordenar por cualquiera de los campos listados en la pantalla, tales como el usuario o la fecha del suceso. Slo pulsar la cabecera del campo en la parte superior ocasionar que los sucesos del registro se ordenen de forma ascendente por ese campo. Pulsar de nuevo la cabecera del campo los ordenar de forma descendente. Para an ms eficiencia, se pueden filtrar los registros para mostrar slo aquellos sucesos que interesen -por ejemplo, slo las auditoras de fallo-. En el men Ver, hay que pulsar Filtro. En la ficha Filtro de la ventana Propiedades de Seguridad que aparece, hay que seleccionar con qu criterio de sucesos visualizar y pulsar Aceptar. Consejo: Hay que escoger Buscar en el men Ver para buscar en las listas mostradas determinados sucesos, como todos los sucesos con un determinado ID de suceso.
Mantenimiento del registro de seguridad
El registro de seguridad posee un tamao mximo definido. Para fijar este tamao, hay que pulsar el botn derecho sobre Seguridad en el Visor de sucesos y elegir Propiedades. Se edita el campo Mximo tamao de registro especificando un tamao en kilobytes. Las opciones por debajo de este campo especifican cmo sobrescribir los sucesos:
G G
Sobrescribir cuando sea necesario. Sobrescribir sucesos de hace ms de X das.
Captulo 17
G
No sobrescribir sucesos. Es de suponer que todas las categoras de sucesos especificadas en la directiva de sucesos son relevantes. Hay que tener cuidado que el envoltorio automtico de los sucesos no sobrescriba sucesos con mayor frecuencia que el archivado de registros o la lectura de registros manual.
Para archivar el registro de sucesos, hay que pulsar el botn derecho sobre Seguridad en el Visor de sucesos y elegir Guardar archivo de registro como. Se elige el camino y el nombre de archivo para el archivo. Si se guarda como archivo de registro de sucesos (con la extensin .EVT), el archivo se puede abrir posteriormente con el Visor de sucesos.
Captulo 18
Captulo 18
Interoperatividad con Novel NetWare
Muchas redes de empresa son una mezcolanza de varios sistemas operativos, de hardware nuevo y antiguo y de gran diversidad de software. Microsoft Windows 2000 Server proporciona varios servicios que permiten a los servidores y clientes de Novell NetWare interactuar con computadoras Windows de todo tipo. Entre estos servicios se hallan los siguientes:
G
El protocolo de transporte compatible NWLinkIPX/SPX/NetBIOS (NWLink): La implementacin por Windows 2000 del protocolo IPX/SPX: el protocolo de comunicaciones heredado de NetWare. NWLink permite la conexin entre computadoras que ejecutan Windows 2000, computadoras que ejecutan NetWare y sistemas compatibles con NetWare. El servicio de puerta de enlace para NetWare (GSNW): Permite que una computadora que ejecute Windows 2000 se conecte con los servidores de NetWare, incluidos los servidores de NetWare 4.x o posterior, tanto si ejecutan los Servicios de Directorio Novell (Novell Directory Services, NDS) como si ejecutan la emulacin de vinculacin (bindery). Tambin se incluye el soporte de las secuencias de comandos para el inicio de la sesin. Se puede utilizar GSNW para crear puertas de enlace con los recursos de NetWare. La creacin de puertas de enlace permite a las computadoras que slo ejecutan software cliente de Microsoft tener acceso a los recursos NetWare. Servicios de archivo a impresin para NetWare (File and Print Services for NetWare, FPNW): Permite a las computadoras que ejecutan Windows 2000 Server proporcionar directamente servicios de impresin y de archivos a las computadoras clientes NetWare y compatibles con NetWare. El servidor tiene el mismo aspecto para los clientes NetWare que en cualquier servidor de NetWare y los clientes pueden tener acceso a los volmenes, a los archivos y a las impresoras del servidor.
Instalacin de los Servicios de NetWare de Windows 2000

Tanto Novell como Microsoft proporcionan varios modos de que los clientes tengan acceso a los recursos de NetWare y de Windows 2000 Server. Novell proporciona software cliente para MS-DOS, Microsoft Windows 3.x, Microsoft Windows 95/98, Microsoft Windows NT 4 Workstation y Microsoft Windows 2000 Professional. Microsoft tiene software cliente para NetWare para Windows 95/98, Windows NT 4 Workstation y Windows 2000 Professional. Con la instalacin de cualquiera de estos clientes, una computadora puede ser simultneamente cliente de Windows 2000 Server y de NetWare. Windows 2000 tambin proporciona la posibilidad de tener acceso a los recursos de NetWare sin tener que instalar software cliente mediante el uso de GSNW. Clientes de Novell
Captulo 18
El software cliente de Novell para Windows 3.x, Windows 95/98, Windows NT 4 Workstation y Windows 2000 Professional proporciona compatibilidad plena con NetWare, con sus utilidades y con aplicaciones de otros fabricantes escritas utilizando la interfaz de programacin de aplicaciones de NetWare (API). A diferencia de versiones anteriores de los clientes de NetWare para entornos basados en Windows, Novell proporciona actualmente soporte completo al cliente de 32 bits. Clientes de Microsoft Microsoft proporciona sus propios clientes para el acceso a NetWare. Windows 95 y Windows NT 4 Workstation proporcionan un cliente de NetWare que puede utilizarse para tener acceso a servidores NetWare 3.x heredados basados en vinculacin. Microsoft Windows 2000 Professional, Windows NT 4 Workstation, Windows 95 y Windows 98 proporcionan software para permitir a los clientes que inicien una sesin en servidores basados en NDS (como NetWare 4.x y 5.x). Estos clientes proporcionan mejor integracin con las redes basadas en Windows, necesitan menos sobrecarga de memoria (debido a las bibliotecas compartidas) y son aplicaciones totalmente de 32 bits. Los clientes NetWare de Microsoft prcticamente proporcionan soporte completo de las APIs de NetWare, aunque no todas las aplicaciones de otros fabricantes funcionan si utilizan llamadas a la API de NetWare ms antiguas o infrecuentes.
Servicio de puerta de enlace para NetWare

Instalar y configurar cada computadora con un cliente de NetWare puede llevar mucho tiempo en empresas grandes. Afortunadamente, hay un modo de proporcionar conectividad con los servidores de NetWare sin necesidad de instalar software nuevo en cada cliente. Con GSNW se pueden crear pasarelas a travs de las cuales las computadoras clientes de Microsoft -sin software cliente de Novell NetWare- pueden utilizar los recursos de impresin y de archivos de NetWare. Se pueden crear pasarelas para los recursos ubicados en rboles NDS y para recursos de servidores que ejecuten NetWare 2.x o posterior con seguridad de vinculacin. Estos recursos incluyen los volmenes, directorios, objetos de los mapas de directorio, impresoras y colas de impresin. GSNW depende de otra caracterstica de compatibilidad con NetWare de Windows Server: el protocolo de transporte compatible IPX/SPX/NetBIOS (abreviado como NWLink). NWLink es una implementacin de los protocolos de transporte de Intercambio de paquetes entre redes (Internetwork Packet Exchange, IPX), de Intercambio secuencial de paquetes (Sequenced Packet Exchange, SPX) y NetBIOS utilizados por las redes de NetWare. Las implementaciones de estos protocolos por Microsoft pueden coexistir sin problemas con otros protocolos en el mismo adaptador de red. El principal inconveniente de utilizar GSNW es que resulta ms difcil personalizar la seguridad para cada usuario en los recursos de NetWare. Cada perfil de usuario debe utilizar una unidad compartida diferente de la puerta de enlace y, en consecuencia, una letra de unidad diferente, lo que limita el nmero de unidades compartidas que pueden crearse. Adems, dado que Windows 2000 Server debe traducir cada bloque de mensajes del servidor (Server Message Bloclr, SMB) al Protocolo del ncleo de NetWare (NetWare Core Protocol, NCP), y viceversa, el uso de GSNW puede resultar realmente ms lento que hacer que se instale
Captulo 18
el software en cada uno de los clientes. La sobrecarga por la traduccin se reduce enormemente al comunicarse mediante TCP/IP con los servidores basados en NetWare 5. Instalacin y configuracin del protocolo NWLink Para instalar el protocolo NWLink, hay que seguir el procedimiento siguiente: 1. Pulsar con el botn derecho del ratn Mis sitios de red y escoger Propiedades. Se abrir la ventana Conexiones de red y de acceso telefnico. 2. Hay que pulsar con el botn derecho del ratn el icono Conexin de rea local y escoger Propiedades en el men de accesos directos para que aparezca la ventana Propiedades de Conexin de rea local. 3. Hay que pulsar Instalar para que aparezca el cuadro de dilogo Seleccionar tipo de componente de red. 4. Hay que seleccionar Protocolo en el cuadro de lista de componentes de la red y pulsar Agregar para abrir el cuadro de dilogo Seleccione el protocolo de red. 5. Hay que seleccionar Protocolo de transporte compatible con NWLink IPX/SPX/NetBIOS y pulsar Aceptar para agregar el protocolo al sistema. Puede que sea necesario introducir el CD-ROM de Windows 2000 Server para completar el proceso de instalacin. 6. Hay que pulsar Aceptar para guardar la nueva configuracin de la red. Una vez instalado el protocolo NWLink el servidor de Windows 2000 podr comunicarse con los servidores de NetWare. Se puede pasar a la siguiente fase, que es la instalacin y configuracin de GSNW Aunque las primeras versiones de Novell NetWare soportaban TCP/IP, las implementaciones de Microsoft y de Novell de este protocolo no fueron compatibles hasta NetWare 5. En consecuencia, Windows 2000 Server necesita NWLink para comunicarse con los servidores de NetWare 4.x y de versiones anteriores. Si se establece comunicacin con servidores de NetWare 5, no hace falta instalar el protocolo NWLink antes de instalar GSNW Instalacin de GSNW Para instalar y configurar GSNW hay que seguir el siguiente procedimiento: 1. Hay que pulsar con el botn derecho del ratn Mis sitios de red y escoger Propiedades. 2. Hay que pulsar con el botn derecho del ratn el icono Conexin de rea local y escoger Propiedades en el men de accesos directos. Se abrir la ventana Propiedades de Conexin de rea local. 3. Hay que pulsar Instalar para mostrar el cuadro de dilogo Seleccionar tipo de componente de red. Hay que seleccionar Cliente en el cuadro de lista de componentes de la red y pulsar Agregar. Se abrir el cuadro de dilogo Seleccione el cliente de red.
Captulo 18
4. Hay que seleccionar Servicios puerta de enlace (y cliente) para NetWare y pulsar Aceptar. Puede que haga falta introducir el CD-ROM de Windows 2000 Server para completar el proceso de instalacin. 5. Aparecer el cuadro de dilogo Seleccionar el inicio de sesin de NetWare. Hay que especificar el nombre de usuario, el rbol y el contexto que utilizar la pasarela al iniciar una sesin en el servidor de NetWare. G Si la pasarela va a iniciar la sesin en un servidor de NetWare basado en vinculacin, hay que seleccionar la opcin Servidor preferido y luego el servidor adecuado en el cuadro de lista Servidor preferido. G Si la pasarela va a iniciar la sesin en un rbol de directorios basado en NDS, hay que seleccionar la opcin rbol y contexto predeterminados y luego proporcionar los nombres del rbol y del contexto que haya que utilizar al iniciar la sesin. G Para ejecutar la secuencia de comandos de inicio de sesin cuando la pasarela se conecte por primera vez con el servidor de NetWare, hay que pulsar la casilla de verificacin Ejecutar archivo de comandos de inicio de sesin. 6. Hay que pulsar Aceptar para guardar la informacin del inicio de sesin. Configuracin de GSNW Una vez instalado GSNW, se puede modificar su configuracin pulsando el icono GSNW en el Panel de Control para que aparezca el cuadro de dilogo Servicio de puerta de enlace para NetWare donde podemos definir las siguientes opciones:
G
Al iniciar la sesin en un servidor de NetWare basado en vinculacin, hay que seleccionar la opcin Servidor preferido y escoger el servidor correspondiente en el cuadro de lista Servidor preferido. Para iniciar la sesin en un rbol de directorios basado en NDS, hay que seleccionar la opcin rbol y contexto predeterminados y proporcionar los nombres del rbol y del contexto necesarios para iniciar la sesin en el servidor de NetWare. En el grupo Opciones de impresin, hay que seleccionar las opciones de impresin que se deseen utilizar al imprimir en impresoras basadas en NetWare. Para ejecutar la secuencia de comandos de inicio de sesin de NetWare cuando la pasarela se conecte por primera vez al servidor de NetWare, hay que seleccionar la casilla de verificacin Ejecutar archivo de comandos de inicio de sesin.
Activacin de la puerta de enlace
Para activar la pasarela, hay que pulsar Puerta de enlace en el cuadro de dilogo Servicio de puerta de enlace para NetWare para que aparezca el cuadro de dilogo Configuracin de puerta de enlace. Hay que seleccionar la casilla de verificacin Habilitar puerta de enlace y especificar el nombre de usuario y la contrasea exigidos por GSNW para conectar con el servidor de NetWare. Tambin se pueden establecer en el servidor de NetWare una o varias unidades compartidas para que las utilicen los clientes de Windows 2000. Hay que pulsar Agregar en el cuadro de dilogo Configurar puerta de enlace para que aparezca el cuadro de dilogo Nuevo recurso compartido.
Captulo 18
Una vez creada la nueva unidad compartida, hay que pulsar el botn Permisos para especificar los usuarios y grupos de Windows 2000 que tienen acceso al recurso y sus derechos en el mismo. Hay que establecer estos mismos derechos en cualquier unidad compartida de Windows 2000 Server.
Configuracin del servidor de NetWare
Para acabar de configurar GSNW el administrador del sistema NetWare debe ubicar la cuenta de usuario especificada en la configuracin de GSNW en un grupo denominado Ntgateway y concederle acceso a los recursos de NetWare que se deseen compartir en el servidor de Windows 2000. En primer lugar, hay que crear en el servidor de NetWare un grupo denominado Ntgateway. Hay que asegurarse de que el usuario especificado por GSNW se cree en el servidor de NetWare y forme parte del grupo Ntgateway. Luego hay que crear una unidad compartida para el recurso de NetWare y concederle al usuario de Windows 2000 acceso al recurso compartido.
Ejecucin de las utilidades de NetWare
Con Windows 2000 Server y GSNW se pueden ejecutar muchas de las utilidades estndar de NetWare, as como muchas aplicaciones que funcionen con NetWare, desde la lnea de comandos. GSNW no soporta utilidades para NetWare 4.x y anteriores. Adems, para algunas funciones administrativas, hay que utilizar herramientas de gestin basadas en Windows 2000 Server. Para ejecutar utilidades administrativas NDS en Windows 2000 Professional, hay que utilizar el software cliente de NetWare.
Windows 2000 Server soporta muchas utilidades de NetWare que se pueden utilizar para gestionar la red de NetWare desde una computadora que ejecute Windows 2000 Workstation o Windows 2000 Server. (Puede que algunas de las utilidades necesiten archivos adicionales que se proporcionan con Windows 2000 Server o con NetWare, como se estudia en el apartado siguiente). Las siguientes utilidades basadas en MS-DOS trabajan con Windows 2000: Chkvol Colorpal Dspace Fconsole Filer Flag Flagdir Grant Help Listdir Map Ncopy Ndir Pconsole Psc Pstat Rconsole Remove Revoke Rights Security Send Session Setpass Settts slist syscon Tlist Userlist Volinfo Whoami
Captulo 18
La orden Net Use de Windows 2000 Server o el Explorador de Microsoft Windows realizan las mismas funciones que las rdenes de NetWare Attach, Login y Logout. La orden Net Use tambin es parecida a la orden Capture para impresin cuando las aplicaciones basadas en MSDOS y en Windows deben imprimir en un puerto concreto. Adems, se puede utilizar el Asistente para agregar impresoras para conectarse a las colas de impresin de NetWare. La orden Net Use tambin se puede utilizar para conectarse a volmenes a impresoras de rboles NDS o de servidores de NetWare basados en vinculacin. La orden Net View de Windows 2000 Server realiza las mismas funciones que la utilidad Slist de NetWare.
Aplicaciones que funcionan con NetWare
Muchas aplicaciones que funcionan con NetWare se ejecutarn en Windows 2000 Server mediante GSNW igual que si se estuvieran ejecutando en una computadora cliente de NetWare. No obstante, no estn soportadas todas las aplicaciones que funcionan con NetWare. Muchas aplicaciones necesitan archivos especiales que se proporcionan con NetWare o con Windows 2000 Server.
Nwipxspx.dll
Muchas aplicaciones antiguas de 16 bits que funcionan con NetWare necesitan el archivo Nwipxspx.dll proporcionado por Novell. El archivo forma parte de la instalacin cliente estndar de Novell. Hay que buscarlo y copiarlo en la carpeta \SystemRoot\System32 de la mquina en la que se vayan a utilizar las aplicaciones de NetWare.
Netware.drv, Nwnetapi.dll y Nwcalls.dll
Puede que las aplicaciones que funcionan con NetWare que utilizan la API de NetWare para enviar y recibir paquetes del Protocolo del ncleo de NetWare (NetWare Core Protocol, NCP) necesiten Netware.drv y Nwnetapi.dll o, para versiones de NetWare ms recientes, Nwcalls.dll. Netware.drv debera instalarse en la carpeta\SystemRoot\System32 al instalar GSNW Si se copia alguno de estos archivos en la computadora que ejecuta Windows 2000 Server o se modifica el camino de bsqueda durante la sesin de trabajo de Windows 2000 Server abierta, hay que cerrar la sesin y volver a abrirla para que las modificaciones tengan efecto. Para obtener los archivos de NetWare necesarios, hay que comprobar con el administrador de la red de NetWare o con el representante local de Novell si se hallan disponibles de modo local los ltimos archivos clientes. O bien se pueden obtener en Internet en ftp.novell.com. Novell tambin enva revisiones de su software cliente de NetWare y de los controladores en CompuServe en http://www.compuserve.com/computing/subs/Novelldown.asp.
Recursos compartidos de Windows 2000 con clientes NetWare

Una vez que se conoce todo lo necesario sobre el acceso a los recursos de Novell NetWare desde un entorno y una red basados en Windows 2000, hay que averiguar la otra parte de la historia: el modo de tener acceso a los recursos de Windows 2000 Server desde los clientes y servidores de NetWare. Microsoft
Captulo 18
proporciona un paquete de complementos independiente denominado Microsoft Services for NetWare (servicios de Microsoft para NetWare), que consiste en Servicios de archivo a impresin para NetWare (File and Print Services for NetWare, FPNW) y Gestor de servicios de directorio para NetWare (Directory Service Manager for NetWare, DSMN). FPNW permite a los administradores de NetWare 4.x y anteriores (exclusivamente en modo de emulacin de vinculacin) integrar Windows 2000 Server en su red de NetWare. Emula un servidor de NetWare, lo que permite al servidor de Windows 2000 que ejecute este servicio integrarse en la red basada en NetWare existente sin modificaciones en los clientes de NetWare. Los clientes de NetWare no saben que estn teniendo acceso a un servidor de Windows 2000 habilitado para FPNW Los administradores que trabajen con redes mediante la vinculacin de NetWare (versin 4.x y anteriores) pueden tener problemas, ya que tienen que gestionar cada servidor y sus usuarios independientemente del resto de los servidores. Pero, mediante el uso de Windows 2000 y de DSMN, pueden gestionar varios entornos mientras slo mantienen una nica cuenta de usuario y su contrasea asociada por cada usuario final de la red. Los administradores simplifican la labor del control de los entornos mixtos de Windows 2000 y de NetWare utilizando el Active Directory de Windows 2000. DSMN copia las cuentas de usuario de NetWare en el Active Directory y propaga cualquier cambio hacia el servidor de NetWare, todo ello sin necesidad de instalar ningn tipo de software en los servidores de NetWare.
Seleccin del servicio de clientes adecuado

Una vez configurados Windows 2000 Server y la red para tener acceso a los recursos basados en NetWare, la decisin ms importante que hay que tomar es la eleccin de los servicios clientes. Se puede escoger instalar servicios clientes para cada cliente de la red o simplificar las cosas instalando GSNW. Las tablas muestran algunas condiciones que puede tener la red y la mejor opcin de servicio o de cliente en cada caso. La realidad es que indudablemente habr que escoger una opcin menos que perfecta, pero estas tablas pueden proporcionar un punto de partida. Eleccin entre servicios clientes y servicios de pasarela Situacin Los directorios raz de los usuarios se hallan en el servidor de NetWare. Los directorios raz de los usuarios se hallan en el servidor de Windows 2000. Las aplicaciones se hallan en el servidor de Windows 2000. Las aplicaciones se hallan en un servidor de NetWare y las utilizan todos los usuarios. Servicio de pasarela Servicio cliente X X X X
Captulo 18
Las aplicaciones se hallan en un servidor de NetWare, pero su acceso est restringido a determinados grupos. Los usuarios slo necesitan acceso a las impresoras basadas en NetWare. Los usuarios necesitan acceso a archivos del servidor NetWare compartidos entre gran nmero de usuarios. Los usuarios necesitan acceso a archivos del servidor de NetWare restringidos a un usuario o grupo. Los usuarios se hallan ms cmodos utilizando utilidades y comandos de NetWare que de Windows 2000 Server. Los usuarios estn ms acostumbrados con las utilidades y los comandos de Windows 2000 Server que con los de NetWare.
Eleccin entre clientes Novell y Microsoft Situacin El cliente se ejecuta en una plataforma que no es Intel (por ejemplo, Alpha). Se necesitan las aplicaciones basadas en NetWare heredadas. En la red se utilizan los servicios de Windows 95/98 igualitarios para compartir en la red. En la red se utiliza Microsoft FPNW El cliente tiene recursos limitados (por ejemplo, espacio de disco duro y memoria). X Cliente de Novell Cliente de Microsoft X
X X X
Comparacin entre los atributos de archivo de Windows y de NetWare Atributos de los archivos de Windows Atributos de los archivos de NetWare A (Archivo) S (Sistema) H (Oculto) R (Slo lectura) A Sy H Ro, Di (Inhibir borrado), Ri (Inhibir cambio de nombre)
Captulo 18
Introduccin a los permisos y a los conceptos de seguridad

Al utilizar GSNW los atributos de los archivos de NetWare no son exactamente iguales que los de Windows 2000 Server. GSNW no soporta los siguientes atributos de archivo de NetWare:
G G G G G G G
Rw (Lectura/escritura) S (Compartible) T (Transaccional) P (Eliminacin) Ra (Auditoria de lectura) Wa (Auditoria de escritura) Ci (Inhibir copia)
Cuando se copia un archivo desde un cliente de red de Microsoft al servidor de archivos de NetWare mediante GSNW, se conservan los atributos de archivo Ro, A, Sy y H. Cuando se utiliza un servidor de Windows 2000 que ejecuta GSNW para obtener acceso directo a los servidores de NetWare, se pueden utilizar las utilidades de NetWare, como Filer y Rights, para definir los atributos no soportados por GSNW.
Interoperatividad con UNIX

La informtica empresarial implica inevitablemente trabajar a interconectarse con gran variedad de entornos y de sistemas operativos. Uno de los sistemas operativos alternativos ms extendidos con el trabajan los usuarios de Microsoft Windows 2000 es UNIX -en todas sus diversas formas-. Por s mismo Windows 2000 tienen herramientas bsicas de conectividad que le permiten funcionar en la misma red con los servidores de UNIX. Otros complementos de Microsoft y de otros fabricantes ayudan a UNIX y a Windows 2000 a trabajar juntos prcticamente sin problemas, de modo que los administradores de sistemas de ambos entornos puedan proporcionar a sus usuarios un acceso completo a los recursos del otro entorno de manera casi transparente.
Permisos y conceptos de seguridad

Una de las diferencias ms importantes y generalizadas entre Windows 2000 y UNIX es el modo en que tratan los permisos y la seguridad. Estas diferencias son sutiles y suelen llevar al usuario incauto a realizar suposiciones falsas. Listado de archivos UNIX
Captulo 18
Un listado de archivos UNIX puede tener el siguiente aspecto: -rwxr-x-x 2 charlie dba 2579 Aug 30 15:49 resize
Este listado indica prcticamente todo lo que hace falta saber acerca de la seguridad y de los permisos del archivo examinado. Se empezar por el extremo izquierdo de la lnea y se avanzar para ver lo que hay, lo que significa y su comparacin con Windows 2000. El primer guin (-) indica que este listado no es un directorio. Si lo fuera, aparecera una d en su lugar. UNIX trata los directorios meramente como otros archivos, aunque especiales, y los permisos tienen un significado ligeramente diferente cuando hacen referencia a un directorio y a un archivo. En breve se tratarn los permisos para los directorios, pero de momento se seguir con los archivos normales. Los tres caracteres siguientes corresponden a los permisos del propietario del archivo, que puede ser distinto de su creador original, ya que UNIX permite a los usuarios dar archivos a otros usuarios. La r indica que el propietario tiene derecho a leer el archivo; la w significa que puede escribir en l, borrarlo o modificarlo de cualquier otra manera; y la x permite al propietario del archivo ejecutar el programa. En Windows 2000 el sistema operativo decide si un programa es ejecutable basndose en el nombre del archivo. Si el nombre del archivo tiene una extensin .COM, .EXE, .BAT o .CMD, puede ejecutarse siempre que el usuario tenga los permisos correspondientes. En UNIX no hay ninguna asociacin entre la extensin y la ejecutabilidad del archivo (de hecho, la mayor parte de los archivos UNIX no tiene ninguna extensin). Lo nico que determina si un archivo es ejecutable es su permiso. Por tanto, aunque la convencin en un sistema dado pueda ser denominar siempre a las secuencias de comandos de la interfaz de comandos (el equivalente UNIX de los archivos por lotes) con un nombre que acabe en .sh o .ksh, esto no tiene significado real. El archivo debe recibir el permiso de ejecucin para poder ejecutarlo. Los caracteres quinto, sexto y sptimo corresponden a los permisos de los miembros del mismo grupo del propietario del archivo. La < r> significa que los miembros del grupo pueden leer el archivo (o llevar a cabo acciones que lo dejen intacto, como copiarlo); el guin indica que no tienen permiso para escribir en l, borrarlo ni modificarlo de ninguna otra manera; la < x> les concede la capacidad de ejecutar el programa. Finalmente, los ltimos tres caracteres del primer grupo corresponden a los permisos del resto de usuarios. El guin inicial indica que esos usuarios no tienen derecho a leer el archivo ni a examinar su contenido de ninguna manera, ni tampoco tienen permiso para copiar el archivo. El segundo guin indica que no tienen permiso para cambiar, modificar, ni borrar el archivo y, finalmente, la ltima <x> indica que pueden ejecutar el archivo, si ello no exige leerlo. UNIX slo tiene tres permisos bsicos: lectura, escritura y ejecucin.
Captulo 18
G
Lectura El derecho a leer un archivo o mostrar su contenido. El derecho a hacer una copia del archivo. Para los directorios, el derecho a mostrar el contenido del directorio. Escritura El derecho a alterar el contenido de un archivo. Para los directorios, el derecho a crear archivos y subdirectorios. Si se tiene permiso de escritura para un directorio, se tiene el derecho a borrar archivos del directorio aunque se carezca del permiso de escritura para el archivo, si tambin se tiene permiso de lectura o de ejecucin para el directorio. Ejecucin El derecho a ejecutar el archivo. Incluso el propietario del archivo necesita este permiso para ejecutarlo. Para los directorios, el derecho a modificarlos o a ejecutar archivos del directorio. La posesin de este permiso para un directorio, sin embargo, no concede permiso para mostrar su contenido, por lo que puede que se sea capaz de ejecutar un archivo sin poder ver que se halla ah.
El siguiente carcter, el nmero < 2> , indica que hay dos vnculos duros con el archivo. Un vnculo duro concede otro nombre al mismo archivo. Sigue habiendo un nico archivo real guardado en el disco duro, pero hay dos entradas de directorio que apuntan a ese archivo. No hay lmites prcticos al nmero de vnculos duros que puede haber con un mismo archivo, pero todos los vnculos con el archivo deben estar en el mismo sistema de archivos. Los dos grupos siguientes del listado son el propietario, charlie , y el grupo del archivo, dba. Aunque suelen ser los nombres del usuario y del grupo, tambin podran ser un nmero si el usuario o el grupo del archivo no tuvieran una cuenta en el sistema. A continuacin aparece el tamao del archivo (2579 bytes, en este caso), la fecha y la hora en que se cre el archivo o se modific por ltima vez y el nombre del archivo: realmente, la entrada de directorio del archivo que se corresponde con este vnculo duro con el archivo. Obsrvese que ningn vnculo tiene preferencia sobre los dems. No hay nada significativo en cuanto al nombre que aparezca primero; todos se tratan por igual. Y el borrado de un vnculo no borra el archivo, slo esa referencia al mismo. El resto de las versiones del archivo siguen existiendo. Vnculos simblicos UNIX soporta tanto vnculos duros como vnculos simblicos. Los vnculos simblicos son similares a los accesos directos de Windows 2000, pero con algunas diferencias. La diferencia ms importante es que en UNIX, cuando se tiene acceso al vnculo simblico, en realidad se tiene acceso al archivo al que apunta, no al propio vnculo. Por ejemplo, si se edita un vnculo simblico con un archivo de texto, en realidad se est editando el archivo de texto original. Con los accesos directos de Windows 2000 slo se puede utilizar un vnculo para iniciar un archivo ejecutable o para abrir una carpeta. Los vnculos simblicos se diferencian de los vnculos duros en que el archivo real tiene preferencia sobre sus vnculos simblicos. De hecho, el listado de un vnculo con el archivo resize deja claro que se trata de un vnculo simblico, no de un vnculo duro:
Captulo 18
lrwxrwxrwx 1 charlie dba 2579 Aug 30 15:49 resize -> /u/cpr/resize Como puede verse, el listado no slo comienza con la letra l en primer lugar, sino que muestra realmente el lugar al que apunta el vnculo. Se puede observar que los dos nombres de archivo son idnticos. Aunque esto no es imprescindible, se trata del uso ms frecuente de los vnculos simblicos: hacer que parezca que un archivo est en un lugar cuando realmente se halla en otro. Otra caracterstica de los vnculos simblicos que los distingue de los vnculos duros es que pueden apuntar a otros sistemas de archivos a incluso mquinas. Se puede tener un vnculo simblico que apunte a un archivo que resida en una computadora completamente diferente. Si se copia un archivo sobre un vnculo simblico, se romper el vnculo. El nuevo archivo sustituir al vnculo con el archivo. No obstante, el archivo original seguir existiendo, lo que, como mnimo, hace que la duplicacin de archivos resulte confusa. Niveles de privilegios Tradicionalmente UNIX divide el mundo nicamente en tres tipos de usuarios: el propietario del archivo, los miembros del grupo del propietario y el resto del mundo. Estos tres niveles de privilegios se conocen como propietario, grupo y otros. La mayor diferencia con Windows 2000 estriba en el segundo nivel de privilegios: el grupo. En los sistemas UNIX con seguridad tradicional, cada usuario slo est activo simultneamente en un grupo. Cuando ese usuario crea un archivo, ste se crea con permisos para grupo basados estrictamente en el grupo actual del creador del archivo. Esta situacin puede suponer complicaciones interesantes y sutiles al compararla con la metodologa de Windows 2000. Si el inicio de sesin principal de un usuario es con uno de los grupos estndar, las cosas suelen transcurrir como se espera. Sin embargo, cuando un usuario pertenece a un grupo especializado con pertenencia restringida y crea archivos mientras ese grupo es el grupo activo, la capacidad de los usuarios ajenos al grupo para tener acceso al archivo puede quedar restringida. Los usuarios que no son miembros activos del grupo que posee el archivo y que no son su propietario se hallan en el otro nivel de privilegios. Esta disposicin es esencialmente igual que el grupo de Windows 2000 denominado Todos. Un usuario de la otra categora no tiene ms permiso para el acceso al archivo que el que tienen el resto de los usuarios. En los estudios sobre seguridad de UNIX, hay que recordar un principio supremo: el usuario root (a veces denominado superusuario) tienen acceso a todo. En el mundo de Windows 2000 se puede definir fcilmente un archivo o un directorio de modo que ni siquiera los usuarios con privilegios administrativos tengan acceso a l sin cambiar su propiedad, pero en el mundo de UNIX esa restriccin no existe. No slo eso, sino que el superusuario puede incluso cambiar su identidad para tener la misma que un usuario dado.
Captulo 18
Conectividad bsica
Ahora que se comprenden las diferencias entre los modelos de seguridad de Windows 2000 y de UNIX, se examinar la manera en que son compatibles. Por un motivo, sin complementos adicionales, Windows 2000 coexiste razonablemente bien con los servidores de UNIX. El protocolo de red predeterminado para ambos sistemas operativos es ahora el mismo -TCP/IP-. Pueden compartir fcilmente DNS, DHCP y otros servicios. Y la mera conectividad entre Windows 2000 y UNIX puede tratarse mediante los clientes de FTP y de Telnet en las mquinas de Windows 2000. Protocolo para transferencia de archivos Todas las versiones de Windows 2000 incluyen un cliente FTP sencillo de lnea de comandos y pueden tratar FTP desde el Explorador de Microsoft Windows hasta cierto lmite. El cliente de modo texto no proporciona ningn extra, pero debe resultar bastante cmodo para los usuarios de UNIX y funciona sin complicaciones. Quienes deseen un cliente FTP ms grfico y amistoso tienen una amplia variedad en la que elegir, incluidos algunos que son puro software gratuito o software de libre distribucin. El preferido de los autores es WS FTP Pro de Ipswitch (http://www.ipswitch.com). Windows 2000 tambin incluye un servidor FTP completo como parte de la familia Internet Information Services (IIS). Con un cliente y un servidor FTP disponibles de origen resulta sencillo copiar archivos entre las mquinas UNIX y de Windows 2000 de la red. Telnet Todas las versiones de Windows 2000 vienen con el nuevo cliente de Telnet de modo texto que se estren en SFU. El cliente de telnet semigrfico francamente horrible que se ha proporcionado desde Microsoft Windows 3 desaparece por fin. El nuevo cliente es ms rpido, tiene mejores emulaciones de terminales y es realmente bastante bueno para la mayor parte de sus fines. Soporta ANSI (American National Standards Institute), incluido el color, VT52, VT100 y VTNT, una emulacin especial que puede resultar til al ejecutar aplicaciones de Windows 2000 de modo texto como Edit. Si ninguno de estos modos satisface las necesidades de emulacin de terminales, hay disponibles excelentes clientes de telnet comerciales de otros fabricantes.
Sistemas de Archivos
El modo de compartir archivos de red de Windows 2000 se basa en el mecanismo tradicional de Microsoft de los bloques de mensajes del servidor (Server Message Blocks, SMB). Los sistemas UNIX, por su parte, utilizan el Sistema de archivos de red (Network File System, NFS) -desarrollado originalmente por Sun Microsystems- para compartir los sistemas de archivos por la red. Hasta la publicacin de SFU solo se dispona de soluciones NFS de otros fabricantes para los sistemas Windows que necesitaban compartir recursos de archivos con los sistemas UNIX. La mayor parte de estas soluciones de otros fabricantes resultaban caras y problemticas. El principal problema era su incapacidad
Captulo 18
para mantenerse al nivel de los service packs de Windows NT, que casi siempre parecan descomponer estas soluciones NFS. Adems, estas soluciones tenan frecuentemente problemas significativos de rendimiento. No obstante, varias soluciones UNIX potentes basadas en SMB abordan el problema del modo de compartir recursos de archivos entre Windows NT y UNIX. Estas soluciones SMB varan en coste desde la gratuidad hasta las ms caras y soportan las redes nativas de Windows al nivel de grupo de trabajo o de dominio. Con la publicacin de Windows 2000 slo el tiempo podr decir el modo en que estas soluciones logran mantenerse al nivel de los cambios en el modelo de seguridad de Windows 2000 respecto del modelo de Windows NT. Sistema de archivos de red NFS se dise para ejecutarse como protocolo de difusin mediante el protocolo de datagramas de usuario (User Datagram Protocol, UDP). Este protocolo creaba problemas importantes de rendimiento y de trfico de red para quienes pretendan implementar grandes cantidades de red NFS y haca difcil compartir sistemas de archivos ms all de los lmites de los enrutadores. Finalmente, el estndar del NFS se modific para que soportara TCP para la red NFS y muchos clientes y servidores modernos soportan este mecanismo. No obstante, muchas implementaciones antiguas de NFS todava en funcionamiento no soportan TCP, por lo que el mecanismo predeterminado para SFU y otras implementaciones de NFS en Windows 2000 es UDP En conjunto, el rendimiento de las transferencias de archivos NFS hacia y desde el servidor de Windows 2000 es sustancialmente ms baja que la de la mayor parte de las implementaciones SMB. Para entonos en los que se deben copiar habitualmente archivos grandes entre sistemas Windows 2000 y UNIX, es probable que NFS no sea una solucin satisfactoria. No obstante, si las necesidades son principalmente de acceso transparente a los recursos UNIX residentes en servidores UNIX, NFS es la mejor opcin. Proporciona un entorno completamente integrado para los usuarios de Windows 2000. Bloque de mensajes del servidor El principal problema que tienen los usuarios de SMB sobre UNIX es el modelo cambiante de seguridad de Windows 2000. Se utilizan dos mecanismos para tratar la seguridad con las soluciones de SMB sobre UNIX: la seguridad de nivel de grupo de trabajo y la seguridad de nivel de dominio de Windows NT 4. La seguridad de grupo de trabajo sufre los mismos problemas que los grupos de trabajo en el entorno empresarial: resulta ms difcil gestionar a medida que aumenta el nmero de usuarios y de mquinas, y tiene opciones limitadas para una verdadera gestin de la seguridad. No obstante, la seguridad de grupo de trabajo tiene realmente sentido en entonos ms reducidos, donde resulta fcil de comprender y sencilla de configurar. Adems, hay una buena ventaja de costes: en casi todas las plataformas de UNIX se dispone de un servidor SMB de software gratuito fcil de encontrar y bien implementado, denominado Samba. Tambin se dispone de otros servidores SMB para grupos de trabajo que se pueden ejecutar en gran variedad de plataformas. Tienden a ser ms parecidos a Windows y ms sencillos de configurar y de
Captulo 18
administrar que Samba, que muestra su procedencia de cdigo abierto. Tambin se pueden obtener servidores SMB de dominios Windows NT 4 de varios fabricantes de UNIX. Todos ellos se basan en el puerto inicial de AT&T para UNIX de la tecnologa de servidores avanzados de Microsoft. Cada uno de ellos est limitado a ejecutarse en la plataforma para la que fue diseado, y todos tienen pequeas diferencias debido a que el puerto de AT&T necesitaba configurarse en la mayor parte de los casos. Todos los servidores SMB pueden ser tanto controladores del dominio principal como controladores del dominio de reserva en los dominios de Windows NT, pero todos ellos tienen problemas al trabajar con el nuevo modelo de seguridad de Windows 2000. Estos servidores, basados en el modelo de seguridad de Windows NT 4, por desgracia, obligan a permanecer en el modo mixto. Los servidores de dominio SMB presentan una ventaja importante respecto de los servidores SMB de grupos de trabajo: para los usuarios y para los administradores de la red de Windows, todos tienen el mismo aspecto y comportamiento que los servidores autnticos de Windows NT 4. Para gestionarlos se utilizan las herramientas de administracin usuales de Windows NT Server, y los servidores y las unidades compartidas tienen el mismo aspecto para los usuarios que los servidores de Windows NT, lo que elimina problemas de formacin y de interfaces de usuario. Adems, todos los servidores SMB tienen una ventaja respecto de las soluciones NFS: suelen ser significativamente ms rpidos en las transferencias de archivos, especialmente al tratar archivos grandes.
Visin general de los servicios para UNIX

Para simplificar la conexin y el trabajo con los sistemas UNIX, Microsoft public el paquete SFU que contiene todas las herramientas bsicas para la interoperatividad entre Windows 2000 y UNIX. Estos productos incluyen NFS, telnet, la interfaz de comandos Korn de UNIX y utilidades, as como un demonio para sincronizacin de contraseas. Antes de instalar SFU hace falta algo de formacin respecto a la sincronizacin de las contraseas. Luego se examinarn con mayor detalle los dems productos SFU. Introduccin a la sincronizacin de contraseas La sincronizacin de contraseas es una utilidad de sincronizacin de un solo sentido que permite administrar las contraseas de los usuarios para Windows 2000 y para UNIX desde el servidor de Windows 2000. SFU incluye demonios precompilados para la sincronizacin de contraseas (denominados en UNIX como demonios de contrato (sign-on) o SSOD) para tres de las principales versiones de UNIX: HP-UX, Sun OS y Digital UNIX. Tambin incluye cdigo fuente que, en teora, permite compilarlo en cualquier otro sistema UNIX que pudiera hacer falta soportar. En realidad, sin embargo, si no se tiene alguno de los tres puertos proporcionados del demonio seguro, es probable que se descubra que la nica opcin viable es el mtodo inseguro de la sincronizacin de contraseas mediante rlogin. Obviamente, el uso de rlogin tiene problemas de seguridad inherentes, ya que implica la transferencia por la red de contraseas en texto claro, pero resulta relativamente sencillo de configurar y puede resultar suficiente en redes pequeas adecuadamente protegidas de las influencias externas. Tampoco necesita software ni configuracin adicionales y es bsicamente independiente de las plataformas.
Captulo 18
Administracin de vainas de UNIX
Los hosts de UNIX se organizan en vainas, con el mtodo de sincronizacin de contraseas gestionado vaina a vaina. Se pueden crear vainas nuevas, aadir hosts a las existentes o modificar el mtodo de sincronizacin de una vaina mediante el Administrador del servicio de sincronizacin de contraseas (Password Synchronization Service Administrator, psadmin.exe). Cuando se crea una nueva vaina, se piden los hosts miembros de la vaina y la metodologa de sincronizacin de las contraseas que se utilizar en la vaina. Esto se puede cambiar ms adelante. Tambin se dispone de la opcin de activar el inicio de sesin en modo informativo. De manera predeterminada slo se registran los fallos, pero cuando se activa el activar el inicio de sesin en modo informativo, todas las acciones de sincronizacin se registran en el Visor de sucesos.
Rlogin para sincronizar las contraseas
Aunque algunos entornos de UNIX no permiten el uso de rlogin, all donde es una opcin viable proporciona un mecanismo sencillo y fcil de configurar. Cuando la red se halla completamente aislada del mundo exterior por un cortafuego muy seguro (o cuando no hay conexin con el mundo exterior), se puede utilizar rlogin para gestionar la sincronizacin entre las mquinas de Windows 2000 y las de UNIX. Esta opcin tiene la ventaja de no necesitar software adicional en los hosts de UNIX, ya que la mayor parte de las versiones de UNIX soportan rlogin. Para configurar la sincronizacin de contraseas mediante rlogin, hay que configurar antes los hosts remotos de UNIX para que soporten correctamente rlogin para la cuenta raz: Esto exige la creacin en el servidor de un archivo .rhosts. Este archivo .rhosts debe tener los permisos de modo que slo root (o la cuenta autorizada a cambiar las contraseas) pueda escribir en l, debe poseerlo root (o la cuenta alternativa mencionada) y residir en el directorio raz de la cuenta root o de la cuenta alternativa. Debe contener un listado de la mquina en que se llevar a cabo el cambio de contraseas -generalmente, un controlador del dominio-. El listado slo debe tener el nombre abreviado de la mquina, no el nombre de dominio completo. La configuracin predeterminada para la sincronizacin mediante rlogin utiliza la cuenta root, espera un indicativo # y supone que la orden para cambiar las contraseas es passwd. Si el entorno es diferente de ste se pueden modificar estos valores predeterminados mediante el Administrador del servicio de sincronizacin de contraseas (Password Synchronization Service Administrator). A diferencia de las cuentas de Windows 2000 y de Windows NT, que no diferencian entre maysculas y minsculas, las cuentas de usuario de los sistemas UNIX s lo hacen. Si ya se tienen cuentas de Windows 2000 que mezclan maysculas y minsculas, es probable que se descubra que se emplea ms tiempo y esfuerzo en alinear las cuentas que el que se ahorra a la larga. Pero si slo se trata de aadir Windows 2000 a un entorno UNIX existente, se puede hacer que la sincronizacin de las cuentas y de las contraseas sea sencilla y directa
Captulo 18
creando las cuentas de Windows 2000 correspondientes slo en minsculas desde el primer momento. Los nombres de visualizacin asociados con las cuentas pueden seguir mezclando maysculas y minsculas; slo tiene que estar completamente en minsculas el nombre de la cuenta subyacente.
Sincronizacin segura de contraseas
SFU facilita la sincronizacin segura de contraseas mediante archivos binarios precompilados que se ejecutan como demonios en el servidor de UNIX, lo que le permite recibir las contraseas cifradas enviadas por Windows 2000 y luego modificar la contrasea UNIX de la misma cuenta. No obstante, las advertencias sobre la distincin entre maysculas y minsculas relativas a la sincronizacin mediante rlogin son igualmente aplicables a la sincronizacin segura.
Instalacin en UNIX del demonio de sincronizacin de contraseas
Para instalar el demonio de sincronizacin de contraseas, hay que copiar los archivos SSOD y ssod.config de la versin correspondiente del demonio seguro en la mquina UNIX que ser objeto de la sincronizacin de contraseas. Una ubicacin de destino tpica para estos archivos es /usr/local/etc, pero esto vara de sistema a sistema y no resulta fundamental. Si se utiliza FTP para copiar los archivos, hay que asegurarse de que se utiliza una transferencia binaria para evitar la corrupcin de los archivos. Una vez copiados los archivos en la mquina UNIX, hay que utilizar el mecanismo adecuado para instalarlos. Esto vara segn la plataforma, pero puede incluir pkgadd a otros mecanismos de instalacin. Hay que editar el archivo ssod.config facilitado para que refleje las ubicaciones de los archivos en el sistema y el tipo de sincronizacin correspondiente. Se soportan tanto NIS (Network Information Service, servicio de informacin de red) como /etc/passwd, al igual que la sombra de contraseas. El archivo ssod.config debe residir en el mismo directorio que el demonio. Una vez configurado, el demonio se puede iniciar manualmente o aadirlo al archivo de inicio correspondiente. Los mecanismos de inicio varan de plataforma a plataforma, pero pueden incluir /etc/rc.local y envoltura de la interfaz de comandos en un directorio /etc/rc2.d. Cuando se crea la vaina UNIX y se selecciona Usar cifrado (Use Encryption), se abre el cuadro de dilogo Configuracin de propagacin segura (Secure Propagation Settings). Hay que abrir el nmero del puerto que se ha configurado en la parte UNIX y la clave secreta de cifrado seleccionada en el archivo ssod.config. Esta clave se utilizar para cifrar la contrasea antes de pasarla por la red. Instalacin de servicios para UNIX Ahora ya se est preparado para instalar SFU. Para ello hay que seguir este procedimiento: 1. Introducir el CD-ROM de SFU en su unidad; aparecer la primera pantalla del Services for UNIX Add-On Pack Setup Wizard (Asistente para la configuracin del paquete de complementos para
Captulo 18
2. 3.
4. 5. 6.
7.
servicios para UNIX de Windows NT). Hay que pulsar Siguiente, aceptar el acuerdo de licencia y pulsar otra vez Siguiente. Hay que escribir los veinticinco caracteres del nuevo mecanismo de licencia. La buena nueva es que en estos caracteres no se distingue entre maysculas y minsculas. La mala es que resulta tremendamente fcil escribir mal la cadena de caracteres, y no se puede cortar y pegar desde otro lugar. Hay que pulsar Siguiente. Hay que seleccionar el tipo de instalacin. Como siempre, se recomienda seleccionar una instalacin personalizada -si es que slo as se sabe lo que se est haciendo.. Slo hay que seleccionar la opcin Server for NFS (Servidor para NFS) si se va a compartir el sistema de archivos de Windows 2000 con UNIX. De manera predeterminada no se selecciona la opcin Windows NT lo UNIX Password Synchronization (sincronizacin de las contraseas de Windows NT con UNIX). Generalmente slo hay que seleccionar esta caracterstica en entornos de gran tamao bajo estas condiciones: G Gran nmero de usuarios trabaja regularmente tanto con Windows 2000 como con UNIX. G Se ejecuta NIS en todos los sistemas UNIX. G El servidor NIS es una de las plataformas soportadas y proporcionadas SSOD (Sun OS, HPUX y Digital UNIX). De manera alternativa, si slo se dispone de unos cuantos sistemas UNIX y no hay preocupaciones por la seguridad, se puede utilizar el mtodo de sincronizacin de contraseas no seguro estudiado anteriormente -rlogin-. Tiene la ventaja de ser sencillo y fcil de gestionar, pero permite a las personas sin escrpulos pero con acceso fsico a la red leer en eila las contraseas en texto claro. Una vez hechas las elecciones correspondientes hay que pulsar Siguiente y Finalizar, con lo que la instalacin comenzar. En la mayor parte de los casos habr que reiniciar el sistema al final de la instalacin, dependiendo de las opciones seleccionadas.
Configuracin de servicios para UNIX

Una vez instalado SFU se puede examinar su configuracin. SFU eran inicialmente varios productos diferentes de procedencias distintas unidos en un nico paquete. Cada producto tiene una interfaz y un mecanismo de configuracin diferentes y, en consecuencia, no tiene un aspecto coherente. Aun as, la funcionalidad se halla en cada componente y, generalmente, no depende de los otros integrantes del paquete. Los componentes bsicos del producto (la mayor parte de los cuales ya se ha examinado brevemente) pueden clasificarse en alguna de las tres categoras siguientes:
G
G G
Servicios de conectividad: Incluye un servidor y un cliente mejorado basado en texto (modo texto), adems de un demonio para la sincronizacin de contraseas. El cliente telnet supona tal avance que Microsoft lo ha incluido como parte del producto Windows 2000 estndar. Servicios de archivos: Incluye el soporte para el cliente y el servidor NFS. Servicios de uso: Proporciona un conjunto de utilidades UNIX y una interfaz de comandos Korn.
Servicios de conectividad
Captulo 18
El cliente y el servidor telnet proporcionan un excelente mtodo para comunicarse entre las mquinas de Windows 2000 y las de UNIX. Pero los servicios de telnet tambin pueden ofrecer importantes ventajas en la administracin diaria de las propias mquinas de Windows 2000. Al aadir un servicio telnet a los servidores de Windows 2000 se proporciona a los servidores una interfaz de lnea de comandos sencilla y que sobrecarga poco el sistema que permite gestionar gran variedad de tareas administrativas desde un nico sistema de escritorio e, incluso, mediante una lnea telefnica lenta.
El servidor de telnet
Tal y como se instala, el servidor de telnet funciona de manera ptima en la mayor parte de las instalaciones. Proporciona acceso desde cualquier servidor o estacin de trabajo que tenga instalado un cliente de telnet y ofrece una interoperatividad mejorada en el mbito de la empresa y una mejora en las posibilidades de gestin, incluso en entornos Windows 2000 puros. Acepta inicios de sesin de una gran variedad de clientes, incluidos el cliente telnet grfico incluido con Windows NT y con Microsoft Windows 95/98 y gran variedad de clientes de terminal en modo texto de prcticamente todos los sistemas operativos. Adems, puede cumplir los requisitos especficos del sitio para mejorar la seguridad, simplificar los inicios de sesin, etc. NT LAN Manager: El servidor telnet de SFU soporta NT LAN Manager (NTLM) para la autenticacin de los inicios de sesin de los clientes. NTLM autentica automticamente al usuario con base en su inicio de sesin de Windows 2000, lo que proporciona una conexin transparente con el host mientras asegura que no se transfieran por la red contraseas en texto claro. NTLM debe estar soportado tanto en el cliente como en el servidor, sin embargo, lo que hace que esta opcin slo sea viable entre mquinas de Windows, y no directamente con mquinas UNIX. Al utilizar el inicio de sesin NTLM los usuarios quedan restringidos a las unidades locales de la mquina en la que han iniciado la sesin. Si necesitan asignar recursos de la red pueden hacerlo asignndolos directamente con su denominacin completa. Por ejemplo: net use g:\\servidor\unidad compartida\usuario:dominio\nombre de usuario Administracin: El servidor de telnet se administra mediante el programa tlntdmn.exe, que se instala de manera predeterminada en <SFU Root>\telnet y proporciona un men de texto sencillo que se puede ejecutar prcticamente desde cualquier ventana de texto, incluido un inicio de sesin telnet remoto. Con el programa tlntadmn.exe se pueden mostrar los usuarios actuales, terminar un grupo de usuarios, mostrar (y modificar) los valores del registro para el servidor a iniciar y concluir el servicio. Entre los valores del registro que se pueden modificar estn los siguientes:
G
G G
Permiso para el inicio de sesin desde dominios de confianza: El valor predeterminado es activado (on). Asignacin predeterminada que simula la tecla ALT en las sesiones telnet Dominio de inicio de sesin predeterminado, definido inicialmente como <.>: Al modificar este valor se puede facilitar el inicio de sesin de los usuarios. Si se define como el nombre del dominio
Captulo 18
habitual de Windows 2000, el sistema no exigir un inicio de sesin con el formato DOMINIO\nombredeusuario, sino que aceptar un mero nombre de usuario. La interfaz de comandos predeterminada: El usuario recibe esta interfaz de comandos al iniciar la sesin. El valor predeterminado es %SystemRoot%\system32\cmd.exe/q/k. No hay que modificarlo. Los usuarios pueden modificar fcilmente su interfaz de comandos una vez iniciada la sesin, y dejar el predeterminado reducir la confusin y los problemas. Secuencia de comandos de inicio de sesin que se ejecuta cuando el usuario inicia la sesin: El valor predeterminado es <SFU Root>\Telnet\login.cmd. Hay que utilizar esta secuencia de comandos para personalizar los valores para los usuarios y hacer de manera automtica las asignaciones de unidades que sean necesarias. La secuencia de comandos de inicio de sesin predeterminada de Windows 2000 no se ejecuta en las sesiones de telnet. Nmero mximo de conexiones permitidas al servidor: El valor predeterminado (y mximo) es 63. No obstante, el nmero real puede ser mucho menor si se dispone de menos conexiones con licencia para la mquina de Windows 2000. Nmero mximo permitido de inicios de sesin fallidos antes de que la sesin devuelva un mensaje de error: El valor predeterminado es 3, lo cual parece razonable. Opcin de uso de NTLM para autenticacin: Los valores permitidos son los siguientes: H 0: No se utiliza NTLM. H 1: NTLM se utiliza si est disponible; en caso contrario se presenta un indicativo de inicio de sesin. H 2: Slo se permite NTLM. No se presenta ningn indicativo de inicio de sesin. H Nmero del Puerto TCP/IP predeterminado utilizado para telnet: El valor predeterminado es 23.
Valores del registro: Se puede utilizar el programa de administracin de telnet facilitado para editar los valores del registro para el servidor de telnet, o tambin se pueden editar manualmente utilizando regedit o regedt32. La subclave para el servidor de telnet es HKEY_ LOCAL MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0. Valores del registro para el servidor de telnet Clave del registro AltKeyMapping DefaultDomain DefaultShell LoginScript MaxConnections MaxFailedLogins Tipo REG_EXPAND_SZ REG_EXPAND_SZ REG_ EXPAND_ SZ REG_ EXPAND_ SZ REG_ DWORD REG_ DWORD %SystemRoot%\system32\,cmd.exe/q/k %SystemRoot%\system32Vogin.cmd 0x0000003f (63) 0x00000003 Valor predeterminado 0x00000001 AllowTrustedDomain REG_DWORD
Captulo 18
NTLM TelnetPort Termcap
REG_ DWORD REG_ DWORD REG_ DWORD
0x00000002 (slo NTLM) 0x00000017 (23) %SystemRoot%\system32\termcap
Adems, hay una subclave especfica para el ajuste del rendimiento: HKEY_LOCAL_MACHINE \SOFTWARE \MICROSOFT \TelnetServer \1.0 \Performance \NumThreadsPerProcessor El valor mnimo de este parmetro es 2 y el valor predeterminado es 10 (Ox0000000a). En la mayor parte de los entornos el valor predeterminado optimiza el rendimiento.
El cliente de telnet
Aunque Windows 2000 viene con un tpico cliente de telnet de modo grfico, tambin incluye el nuevo cliente de telnet SFU de modo texto que proporciona barras de desplazamiento muy mejoradas y la posibilidad de autentificar el uso de contraseas cifradas al conectarse a los servidores de telnet que soportan autenticacin NTLM. Resulta a la vez ms rpido y de mejor funcionamiento que el cliente de modo grfico al que sustituye. Adems, el cliente de telnet proporciona emulaciones de terminales, incluyendo una emulacin ANSI que soporta correctamente los colores al conectarse con servidores que tambin los soporten, como los que ejecutan la variante de UNIX de Santa Cruz Operation (SCO). Tambin hay una nueva emulacin VTNT que soporta caractersticas mejoradas en la conexin entre mquinas de Windows NT y de Windows 2000, incluida la posibilidad de ejecutar aplicaciones complejas de modo texto como edit.exe que no funcionan en emulaciones estndar de terminales. La configuracin de telnet se realiza desde el interior de una sesin de telnet "escapando" al indicativo de telnet. Hay que pulsar CTRL + el corchete derecho (]) para obtener el indicativo de telnet una vez iniciada una sesin. A partir de ese momento se pueden utilizar las opciones siguientes:
G G G G
? Para obtener ayuda. close Para cerrar la conexin vigente. display Para mostrar los parmetros operativos vigentes. open <nombredelamquina> Para abrir una conexin con una mquina. (Tambin se puede utilizar una direccin IP )
Captulo 18
G G
G G
quit Para salir completamente del cliente de telnet. set Para definir un parmetro operativo. Las opciones son: H set ? Muestra ayuda sobre otras opciones de set. H set NTLM Activa la autenticacin NTLM. H set LOCAL_ECHO H set TERM <valor> Define la emulacin de terminal solicitada. (Las opciones son ANSI, VT52, VT100 y VTNT.) status Para imprimir el estado actual. unset Para borrar las opciones seleccionadas con el comando Set. Si se conecta principalmente con sistemas UNIX, hay que definir TERM como ANSI y definir NTLM como desactivado (off), pero, si se conecta frecuentemente tanto con sistemas Windows NT como con sistemas UNIX, o si lo hace principalmente con sistemas Windows NT, se descubrir que la emulacin VTNT es una opcin ms adecuada y se seguir utilizando ANSI al conectar con sistemas que no soporten VTNT.
Servicios de archivos
SFU proporciona conectividad adicional de servicios de archivos adems del cliente y del servidor FTP nativos de Windows 2000. La adicin del cliente y del servidor NFS permite la conectividad nativa de modo que parezca natural tanto a los usuarios de UNIX como a los de Windows 2000. Al utilizar el cliente de NFS integrado naturalmente se pueden asignar sistemas de archivos exportados de los servidores UNIX como si fueran unidades compartidas nativas de Windows 2000, usando el formato UNIX servidorIrecursoexportado o el formato Windows. Y el servidor NFS permite compartir los recursos de archivos con los sistemas UNIX o con otros clientes NFS, incluidos los clientes de Windows 2000. En primer lugar se examinar el cliente NFS. El cliente NFS Al instalar el cliente NFS, se aade un applet al Panel de Control para administrar los parmetros del cliente NFS. Hay que abrir el Panel de Control y pulsar dos veces Client for NFS (Cliente para NFS) para abrir la ventana Propiedades de Client for NFS. Los apartados siguientes detallan las opciones que se pueden seleccionar al administrar los parmetros del cliente NFS. Authentication (Autentificacin) Define las opciones de autenticacin en funcin del tipo de sistema y de entorno UNIX con el que se est conectado. A continuacin figuran varias opciones de la ficha Authentication (Autentificacin):
G G
NIS: Adecuado en empresas grandes en que ya est instalado NIS. PCNFSD: Adecuado para el resto de entonos. El servidor del demonio PC NFS puede hallarse en uno de los servidores UNIX o en un servidor NFS de Windows 2000.
Captulo 18
Tambin se dispone de estos otros parmetros:

G
Authenticate At System Logon (autenticar en el inicio de sesin en el sistema): Comprueba automticamente la contrasea y el nombre de usuario para las conexiones NFS en el primer inicio de sesin. De manera predeterminada se halla desactivada; esta opcin puede ralentizar el inicio de sesin si se producen problemas de conexin, pero ofrece a los usuarios un entorno ms transparente. Display This Dialog On Connect (mostrar este cuadro de dilogo al conectar): Cuando se selecciona, se solicitan a los usuarios las credenciales de inicio de sesin para la conexin con el servidor NFS. Esta solicitud se repite en cada conexin, lo que les da la opcin de seleccionar autenticaciones alternativas. Aunque normalmente suponga una molestia, es un parmetro til si se ha cado el autenticador predeterminado. Display Confirmation (mostrar confirmacin): Cada conexin muestra un cuadro de dilogo de confirmacin antes de establecerse realmente. Suele resultar una molestia, salvo cuando se est depurando un problema.
Mount Options (opciones de montaje): La ventana Propiedades de Client for NFS permite especificar el tamao de los bferes de lectura y de escritura (el valor predeterminado es 64 K), el intervalo de espera inicial, el nmero de intentos y si se deben utilizar montajes duros (hard) o en caliente (soft). A menos que se disponga de una buena razn para modificar estos valores, se deben dejar tal y como estn. Resultan ptimos para las conexiones que los soportarn y, en caso necesario, retrocedern automticamente. En la ventana Propiedades de Client For NFS hay otros tres parmetros de montaje:
G
Enable Version 3 Remote Write Caching (habilitar escritura remota en la cach de versin 3): Al seleccionarlo, las solicitudes de escritura se escriben en la cach del servidor remoto en vez de obligar al sistema de archivos a escribirla inmediatamente. Esto puede acelerar enormemente el rendimiento, pero supone las habituales advertencias y slo debe activarse cuando lo soporte el servidor y ste se halle adecuadamente protegido por un sistema de alimentacin ininterrumpida (SAI). Enable Locking (habilitar bloqueos): Al seleccionarlo, y cuando se halla soportado por el servidor remoto, los archivos abiertos por el cliente se bloquean hasta que se cierren. Enable Caching (habilitar escritura en la cach): Al seleccionarlo, las solicitudes de lectura se albergan en la cach local, lo que reduce el nmero de llamadas al disco duro remoto.
Permisos de acceso a archivo: Los permisos de acceso a los archivos para el cliente NFS in para el usuario (propietario) del archivo, pero slo Lectura y Ejecucin para el grupo propietario y para los dems usuarios (lo que equivale a una umask de 022). Filename Mapping (asignacin de nombres de archivo): Se puede asignar la manera en que se crean los nombres de archivo y el modo en que se asignan los nombres de archivo existentes entre el servidor NFS remoto y el cliente NFS. Las opciones de nombres de archivo que se crean desde el cliente son las siguientes:
Captulo 18
Preserve Case (No Conversin) [conservar maysculas y minsculas (sin conversin)]: Slo resulta adecuado si se usa NFS principalmente como recurso de almacenamiento de red pero no se van a utilizar los archivos creados en el entorno UNIX, donde los hombres de archivos que combinan maysculas y minsculas pueden resultar una molestia. Convert lo Lower Case (cambiar a minsculas): La opcin preferida si se van a utilizar tanto los archivos de los clientes de Windows 2000 como los de los clientes de UNIX. Convert lo Upper Case (cambiar a maysculas): La opcin preferida si el servidor NFS remoto se halla en un sistema operativo que prefiere o exige nombres de archivo en maysculas.
Las opciones para la asignacin de los nombres de archivo existentes son las siguientes:
G
Generate Unique Names For Existing Files With Mixed Case Filenames (generar nombres nicos para los archivos existentes con nombres que contienen maysculas y minsculas): Resulta adecuada si puede haber guardados en el servidor nombres de archivo que combinen maysculas y minsculas. UNIX distingue completamente las maysculas de las minsculas. Match Filenames Exactly (los nombres de archivo deben coincidir exactamente): Busca los nombres de archivo distinguiendo entre maysculas y minsculas. Resulta adecuada si puede haber nombres de archivo que combinen ambos tipos de letra y si puede haber archivos con nombres idnticos salvo por las maysculas y minsculas. Match Filenames Ignoring Case (no hace falta que coincidan las maysculas y las minsculas de los nombres de archivo): Busca los nombres de archivo ignorando la caja de la letra. Resulta adecuada y til si se puede haber creado el archivo combinando maysculas y minsculas o si el programa que lo busca puede esperar una caja de letra concreta. Provide Unique 8.3 Format Names (proporcionar nombres nicos con formato 8.3): Resulta til si puede hacer falta tener acceso a los archivos desde una aplicacin antigua de 16 bits que no comprenda los nombres de archivo largos. Se aplica tanto a los archivos nuevos como a los ya existentes. En entonos mixtos en que los usuarios tengan acceso tanto a archivos de Windows como a archivos de UNIX, se descubrir que definir la asignacin de nombres de archivo de modo que los convierta automticamente a minsculas, pero que los compare ignorando el tipo de letra, causa el mnimo de molestias a ambas comunidades de usuarios.
Configuracin de las LAN de NFS: Antes de que el cliente NFS pueda explorar la red de manera efectiva en bsqueda de sistemas de archivos exportados (compartidos), hay que configurar la LAN de NFS. Hay dos opciones para la configuracin de la LAN de NFS: FavoriteLAN y LAN de difusin identificada. Se debe utilizar LAN de difusin para dividir la red en segmentos lgicos, limitar las difusiones nicamente a una parte concreta de la red y reducir el trfico de red. Se puede crear una nica FavoriteLAN que incluya a los servidores NFS con los que se establezca conexin con mayor frecuencia. Estos servidores se identifican por su nombre o por su direccin IP, independientemente del segmento en que se encuentren. Utilizando una FavoriteLAN se limita la cantidad de trfico de red de difusin y se acelera la conexin a los recursos preferidos. Para crear una FavoriteLAN
Captulo 18
y aadirle un servidor, hay que seguir el procedimiento siguiente: 1. Abrir la ventana Client for NFS y pulsar la ficha Configured NFS LANs (LANs configuradas con NFS) para mostrarla. 2. Pulsar el botn Agregar para abrir el cuadro de dilogo Add LAN (Agregar LAN). 3. Pulsar el botn de opcin Add Server lo Favorite LAN (Agregar servidor a la LAN favorita) y luego pulsar Aceptar para abrir el cuadro de dilogo NFS Hosts (Hosts NFS). 4. Pulsar el botn Agregar para abrir el cuadro de dilogo Add Host (Agregar host). Esto permite identificar un host NFS por su nombre o por su direccin IP. 5. Hay que escribir el nombre o la direccin IP del servidor. El otro valor se rellenar de manera automtica. 6. Hay que pulsar Aceptar para volver al cuadro de dilogo NFS Hosts (Hosts NFS). Se pueden aadir otros hosts en este mismo momento o pulsar Aceptar varias veces para aadir el hosts NFS a iniciar la sesin en l. La creacin y uso de una LAN de difusin identificada es un proceso muy parecido al uso de FavoriteLAN, salvo en que hay que tener cierta informacin sobre el segmento de red en que reside la LAN de difusin. Para crear una LAN de difusin hay que seguir el siguiente procedimiento: 1. Abrir la ventana Client for NFS y pulsar la ficha Configured NFS LANs para que aparezca. Hay que pulsar el botn Agregar para abrir el cuadro de dilogo Add LAN. 2. Escribir el nombre del segmento de LAN que se vaya a aadir y seleccionar el botn de opcin Specify LAN lo Browse (Especificar la red de rea local que hay que examinar) para abrir el cuadro de dilogo Broadcasting (Difusin). 3. Especificar la direccin y la mscara de subred de la LAN, o escribir directamente la direccin de difusin. Los cuadros LAN Address y LAN Subnet Mask se quedarn en blanco en cuanto se rellene el cuadro Broadcast Address. Esto es normal. 4. Seleccionar los parmetros de difusin, intervalos de espera, etc. Los valores predeterminados constituyen un buen punto de partida, y slo se deben modificar si se conoce el motivo de hacerlo y sus consecuencias. 5. Una vez definidas las opciones, hay que pulsar Aceptar y el segmento de LAN se aadir a las LAN NFS. 6. Hay que definir el intervalo de refresco con un valor adecuado para el entorno. El valor predeterminado es de cinco minutos, lo que resulta razonable en redes de gran tamao en que los hosts disponibles pueden variar con frecuencia. En redes de menor tamao, o estticas, puede resultar conveniente incrementar el intervalo de manera sustancial para reducir el trfico de difusin por la red. 7. Una vez aadidos todos los segmentos LAN deseados, hay que pulsar Aceptar. Se puede recibir un mensaje de inicio de sesin con xito o uno de inicio de sesin fallido y se solicitar que se reinicie la computadora. Hay que guardar los cambios para realizarlos todos al tiempo, ya que hay que reiniciar la computadora antes de que tengan efecto. Vnculos simblicos: Los vnculos simblicos son un modo de que un archivo o directorio exista en una direccin fsica pero se pueda ver como existente en una o varias direcciones diferentes. Cuando un vnculo
Captulo 18
simblico hace referencia a un archivo o a un directorio que es local en la mquina en que se ubica el vnculo, el cliente para NFS no necesita realizar ninguna actividad especial para seguirlo. Pero tambin se pueden crear vnculos simblicos en servidores NFS que apunten a archivos o directorios que se hallen realmente en mquinas remotas. Para resolver estos vnculos, el cliente para NFS debe tener un archivo de asignaciones que identifique la mquina real a la que apunta el vnculo. El archivo de asignaciones debe residir en la mquina cliente local, o estar ubicado de manera central en la red para su mejor administracin. El archivo de asignaciones es un archivo de texto ASCII y tiene el formato siguiente: # Las lneas que comienzan por un signo # son comentarios y se ignoran mnt \mquina\export Hay que utilizar la ficha Symbolic Links (vnculos simblicos) para definir las opciones. De manera predeterminada, el cliente para NFS no resuelve ni muestra vnculos no resueltos. Tampoco permite la redenominacin ni la eliminacin de vnculos simblicos. Slo se deben activar las opciones Rename o Delete de los vnculos simblicos si se comprenden plenamente las consecuencias de su redenominacin y de su eliminacin y se conoce el mecanismo o programa que las vaya a realizar. Si se elimina un vnculo simblico y se sustituye por un archivo con el mismo nombre, dejar de ser un vnculo simblico. Habr dos archivos en el servidor NFS: el archivo original en su ubicacin primitiva y el archivo sustituto en la ubicacin del vnculo. Conexin con una exportacin NFS La conexin con una exportacin NFS es igual que la conexin con cualquier recurso de sistemas de archivos compartidos de la red. Mediante el Explorador de Microsoft Windows se pueden hallar redes NFS adems de las redes de Microsoft Windows y de cualesquiera otras redes que se hayan configurado en Mis sitios de red. Si se desea conectar con un sistema de archivos NFS exportado, se puede utilizar la sintaxis estndar de Windows (\\servidor\recursocompartido) o la sintaxis estndar de UNIX (servidor:/recursocompartido). El uso de la sintaxis UNIX estndar resulta algo ms rpido, ya que resuelve inmediatamente la sintaxis NFS nativa y evita la necesidad de buscar una unidad compartida convencional de Windows que tenga el mismo nombre. Tambin se pueden utilizar las rdenes Net Use de la lnea de comandos pare conectar directamente con un recurso concreto si se conoce su ubicacin. Por ejemplo, pare asignar la siguiente letra de unidad disponible al sistema de archivos exportado /home en served del servidor NFS, se puede utilizar cualquiera de las rdenes siguientes: net use * server1:/home net use * \\server1\home
Captulo 18
El servidor NFS
Se puede utilizar el servidor SFU NFS robusto pare proporcionar recursos de las mquinas de Windows 2000 a cualquier mquina de la red que soporte NFS. Incluso se podra utilizar pare exportar sistemas de archivos a otras mquinas de Windows 2000 que ejecuten el cliente SFU NFS, aunque se recomienda, en general, utilizar pare ello la red nativa de Windows 2000. Los apartados siguientes describen las opciones disponibles pare la configuracin de NFS. Unidades compartidas: Las unidades compartidas se crean mediante Server for NFS Configuration (Configuracin del servidor pare NFS) del Panel de control. Se pueden compartir directorios individuales o toda una unidad. No se pueden compartir subdirectorios de recursos ya compartidos, dado que NFS no lo soporta, por lo que se debern planificar las unidades compartidas pare asegurarse de que se comparte desde la altura del rbol que resulte necesaria. Cada letra de unidad se comparte como la parte superior de un sistema de archivos. En el entorno UNIX todos los sistemas de archivos se ven como subdirectorios del sistema raz. Como Windows 2000 carece de este concepto de sistema de archivos de raz nica, cada letra de unidad de disco se comparte como un sistema de archivos diferente. Las Letras de unidad de la forma "D:" se convierten a la sintaxis < /D/. Por tanto, la unidad compartida de la carpeta F:\UserHome es vista por los clientes NFS de la red como: /F/UserHome. Pare crear una unidad compartida NFS, hay que seguir el siguiente procedimiento: 1. Hay que abrir Server for NFS Configuration del Panel de control. 2. Hay que escribir la unidad y la carpeta que se desean compartir (exportacin, en lenguaje NFS) en la que se aade una unidad compartida de la unidad D:. No se pueden aadir alias hasta que la unidad compartida se haya creado. 3. Hay que seleccionar la opcin Allow Anonymous UID (permitir Id usuario annimo) si se desea soportar los montajes annimos de esta unidad compartida. No hay que seleccionar Symbolic Links Supported (vnculos simblicos soportados) a menos que se necesite realmente este soporte, ya que impone una disminucin significativa del rendimiento. 4. Hay que pulsar Share (unidad compartida) y se solicitarn los permisos de esta unidad compartida. 5. Hay que aceptar los permisos predeterminados a menos que se conozca la necesidad de limitar el acceso a este punto compartido. Por lo general, se recomienda utilizar los permisos del sistema de archivos subyacente para gestionar la seguridad, dejando abiertos de par en par los permisos de las unidades compartidas. 6. Hay que pulsar Aceptar para volver a la ficha Share Options (opciones de la unidad compartida). Aqu hay que hacer todos los dems cambios en los parmetros que se necesiten. 7. Hay que pulsar Advanced Options (opciones avanzadas) para ver las opciones avanzadas disponibles. Los valores predeterminados resultan adecuados para casi todas las situaciones. Si se Babe que se necesita definir explcitamente determinados parmetros para el entorno utilizado y se conoce el significado de todos los parmetros, se pueden modificar; en caso contrario, es mejor dejarlos como estn. Hay que pulsar Aceptar para cerrar el cuadro de dilogo Advanced Export Options (opciones avanzadas de exportacin). 8. Hay que pulsar Aceptar para crear la unidad compartida y ponerla a la disposicin de los dems
Captulo 18
sistemas. Alias de las unidades NFS compartidas: Se pueden crear alias para las unidades NFS compartidas para hacer que las unidades NFS compartidas de Windows 2000 tengan un aspecto ms parecido al que pueden esperar los usuarios de UNIX. Hay que tener en cuenta que los alias NFS necesitan un reinicio de la computadora para tener efecto, por lo que hay que crear primero todos los puntos compartidos y luego aadir todos los alias para reducir el nmero de reinicios necesarios. Para crear un alias, hay que seguir el procedimiento siguiente: 1. Hay que abrir Server for NFS Configuration (configuracin del servidor para NFS) en el Panel de control. 2. Hay que seleccionar la unidad compartida para la que se desea crear el alias en la lista desplegable Share Name (nombres de unidades compartidas). 3. Hay que escribir un alias en el cuadro de texto Alias (alias). No hace falta que comience por una barra (n, ya que sta se aade de manera automtica cuando el alias est disponible. 4. Hay que pulsar la ficha Server Options (opciones del servidor) y asegurarse de que se selecciona la casilla Return Alias Name (devolver alias). Esto asegura que las consultas de difusin de exportaciones disponibles al servidor NFS devuelven el alias, no el nombre completo de la unidad compartida. 5. Hay que pulsar Aplicar y se crear el alias. Se recibir un mensaje de advertencia que recuerda que es necesario reiniciar la mquina antes de que el alias tenga efecto. Si se tienen que crear otros alias, hay que pulsar Aceptar en el cuadro de mensajes y continuar. Si se ha terminado de crear alias, hay que pulsar Aceptar en el cuadro del mensaje y en el cuadro de i dilogo para abandonar Server for NFS Configuration (configuracin del servidor para NFS). Grupos de Clientes: El servidor para NFS proporciona un mecanismo para la gestin de los permisos y las unidades compartidas por grupos de computadoras, conocido como grupos de clientes. Al crear grupos de clientes se pueden exportar (compartir) recursos de sistemas de archivos a grupos concretos de computadoras sin necesidad de especificar cada vez cada computadora por se parado. Esta capacidad tambin mejora la gestin y la administracin al permitir la gestin de los miembros de cada grupo desde una misma ubicacin. Los cambios en la pertenencia a los grupos (y, por tanto, los permisos) se modifican de manera automtica en cada recurso NFS que hace referencia a ese grupo de clientes. Para crear grupos de clientes, hay que seguir el procedimiento siguiente: 1. Hay que abrir Server for NFS Configuration (configuracin del servidor para NFS). Hay que pulsar la ficha NFS Client Groups (grupos de clientes NFS) para poder verla. 2. Hay que pulsar el botn Add Group (agregar grupo) para aadir grupos nuevos. Esto abre el cuadro de dilogo New Group (grupo nuevo). Hay que escribir el nombre de grupo que describa al grupo de computadoras y pulsar Aceptar. 3. Hay que aadir los miembros del grupo pulsando el botn Add Member (agregar miembro) para abrir el cuadro de dilogo New Member (miembro nuevo). Hay que escribir la direccin IP o el
Captulo 18
nombre de la computadora cliente que se vaya a aadir al grupo y pulsar Aceptar. 4. Hay que continuar aadiendo miembros al grupo hasta que se hayan aadido todos. Luego hay que pulsar Aplicar para hacer que el grupo quede inmediatamente disponible y continuar trabajando en Server for NFS Configuration o pulsar Aceptar para hacer que el grupo quede disponible. Bloqueo de archivos: Se puede activar el bloqueo de archivos para los clientes de NFS y para todo el sistema, con propagacin local y por la red. De manera predeterminada, el bloqueo est desactivado, pero si se espera utilizar aplicaciones en montajes NFS que necesiten el bloqueo de archivos, puede que se desee activarlo. Todos los cambios en el bloqueo de archivos necesitan un reinicio de la mquina, por lo que hay que tenerlo en cuenta a la hora de la planificacin. Seguridad: Server for NFS Configuration utiliza entradas de control de acceso para simular los permisos tpicos de los mundos UNIX y NFS. Sin embargo, se pueden inhibir ciertos comportamientos que suelen ser posibles en el conjunto de permisos de UNIX pero que no se aplican normalmente en Windows 2000 o Windows NT. Concretamente, se puede inhibir la posibilidad de los clientes NFS de denegar el acceso al propietario y al grupo poseedor de un archivo. Tambin se pueden definir permisos para objetos para que coincidan ms estrechamente con la manera en que Windows 2000 los gestiona seleccionando la opcin Implicit Permissions (permisos implcitos) y escogiendo FULL Control (Group) [control completo (grupo)] y FULL Control (World) [control completo (todos)]. Los modelos de seguridad de UNIX y de Windows 2000 tienen conjuntos de permisos intrnsecamente diferentes. Cualquier intento de correlacionarlos constituye una mera aproximacin. Servicios de uso Los usuarios de UNIX esperan una gran cantidad de utilidades de la lnea de comandos que no existen en el mundo de Windows 2000. No obstante, SFU incluye un conjunto reducido de las utilidades UNIX ms comunes basado en el Kit de herramientas de Mortice Kern Systems (MKS), incluida la interfaz de comandos Korn MKS para facilitar la posibilidad de compartir las secuencias de comandos. Si se necesita un conjunto completo de utilidades UNIX, un complemento de MKS (MKS Toolkit Services for UNIX Update Edition) proporciona el resto. del kit de herramientas de MKS y ms de 200 utilidades UNIX. Las utilidades SFU se agrupan en cuatro categoras principales: utilidades para archivos y directorios, utilidades de texto, utilidades de programacin y utilidades relacionadas con la seguridad. En cada caso estn disponibles las ms importantes, pero, si se espera poder utilizar las secuencias de comandos del mundo UNIX en Windows 2000, puede que se considere que esta lista resulta insuficiente para cubrir las necesidades, a menos que se sea cuidadoso al elaborar la secuencia de comandos o que se aproveche la utilidad de programacin Perl incluida para superar los lmites de la interfaz de comandos Korn. Utilidades para archivos y directorios Las utilidades del sistema de archivos incluidas en SFU son las siguientes:
Captulo 18
G
G G G G G G G G G
mkdir: Crea directorios. Con la opcin p crea los directorios que faltan si resultan necesarios para crear el directorio de destino. mv: Mueve archivos y directorios. cp: Copia archivos y directorios. rm: Elimina (borra) archivos y directorios. rmdir: Elimina directorios si estn vacos. is: Muestra una lista los archivos y directorios. touch: Modifica varias fechas y horas asociadas con uno o varios archivos. in: Crea vnculos con uno o varios archivos. find: La orden de bsqueda de UNIX completa. tee: Enva una copia de la salida estndar de un programa a uno o varios archivos.
Utilidades de texto: Las utilidades de texto incluidas en SFU son las siguientes:
G G
G G
G G G
vi: Proporciona una emulacin completa de la utilidad UNIX de edicin de archivos. wc (word count, recuento de palabras): Cuenta el nmero de palabras, bytes, caracteres o lneas de un archivo o de una entrada de datos estndar. sort: Ordena y fusiona archivos o entradas de datos estndar de acuerdo con un variado conjunto de criterios. tail: Muestra las n ltimas lneas de un archivo (10 lneas como valor predeterminado). head: Muestra las n primeras lneas de un archivo (10 lneas como valor predeterminado). Es la inversa de tail. more: Muestra un archivo pgina a pgina. (En realidad, se parece ms a la utilidad UNIX less, que soporta el movimiento en ambos sentidos). sed: El editor de corrientes. cat: Concatena. grep: Obtiene expresiones regulares. La implementacin de SFU tambin soporta egrep (extended grep, grep extendido) y fgrep (fast grep, grep rpido).
Utilidades de programacin Las utilidades de programacin incluidas en SFU son las siguientes:
G G
sh: La interfaz de comandos Korn. Perl: Lenguaje de extraccin prctica a informes (Practical Extraction and Reporting Language). Versin 5.004 04 de Perl.
Utilidades relacionadas con la Segurid8d Las utilidades de seguridad incluidas en SFU son las siguientes:
G
chmod: Cambia los permisos de acceso de los archivos o directorios especificados. Cambia el modo (change mode). chown: Cambia el propietario (y, opcionalmente, el grupo) de los archivos o directorios especificados. Cambia el propietario (change owner).
Captulo 18
Tanto el kit de herramientas completo de MKS como el subsistema Interix incluyen un grupo de utilidades mucho ms numeroso que las que se proporcionan con SFU. Interix tambin incluye su propia implementacin de telnet (que, por desgracia, tiene licencias por usuario, lo que incrementa notablemente su coste). El kit de herramientas de MKS incluye varias utilidades grficas, incluida una versin grfica bastante buena de vi y otras varias utilidades que se prestan bastante bien a la implementacin grfica. Tanto MKS como Interix incluyen versiones que escriben en cinta o en disquete, como podra esperar cualquier administrador de UNIX.
Interfaces de comandos y Posix

Ningn estudio sobre la interoperatividad entre Windows y UNIX estara completo sin abordar las diferencias entre sus interfaces de comandos. Resulta interesante que todava nadie haya aportado una emulacin de la interfaz de comandos cmd.exe de Windows NT/2000 a UNIX. Pero hay gran variedad de emulaciones y puertos de las interfaces de comandos de UNIX a Windows 2000, lo que est bien, ya que el usuario tpico de UNIX no desea abandonar la interfaz de comandos completa Korn o POSIX para trabajar con las limitaciones de la interfaz de comandos de comandos de Windows. La interfaz de comandos Korn Como ya se conoce, SFU proporciona una implementacin excelente de la interfaz de comandos Korn de UNIX en Windows 2000. Se basa en la implementacin de la interfaz de comandos Korn de MKS con las peculiaridades propias de esa implementacin. La interfaz de comandos Korn de MKS, tanto en SFU como directamente en MKS, obtiene la mxima acomodacin al mundo de Windows 2000. No distingue entre maysculas y minsculas e ignora totalmente la caja de la letra al comparar nombres de archivo, aunque al igual que NTFS lo conserva. Tampoco transforma la sintaxis de las letras de unidad de Windows 2000 en sistemas de archivos con raz nica, ms propios de UNIX. Esto hace que resulte bastante cmodo para los usuarios de Windows 2000 que tambin, a veces, pasen algn tiempo en el entorno UNIX, pero lo hace algo menos cmodo para los usuarios de UNIX que tengan que pasar algn tiempo de manera ocasional en el indicativo de comandos de Windows 2000. Las secuencias de comandos escritas para UNIX pueden pasarse con bastante facilidad a la interfaz de comandos Kom de MKS. Las funciones estn soportadas, a incluso la comparacin mediante corchetes dobles ([[]]) funciona como es de esperar. El mayor problema es el tratamiento de las letras de unidad y la confusin sintctica resultante. Las entradas PATH se separan mediante punto y coma, en lugar de por dos puntos, para atenerse al requisito del uso de dos puntos detrs de las letras de unidad; en consecuencia, hay que reescribir las secuencias de comandos que pretenden dividir la instruccin PATH utilizando los dos puntos como separador de campos. Y las secuencias de comandos que deban trabajar tanto en sistemas UNIX como en sistemas de Windows 2000 deben escribirse con esta consideracin presente (no resulta difcil, slo es algo con lo que el usuario tpico de UNIX no espera tener que trabajar).
Captulo 18
Otro problema que tienen que abordar las secuencias de comandos es la carencia de un sistema de archivos con raz comn. Esto se enmascara mejor utilizando nombres de archivos y caminos completos en las variables y haciendo referencia a los caminos en funcin de las variables, en vez de hacerlo de modo explcito. Esto no supone un gran problema y tiende, en todo caso, a promover buenas prcticas de programacin.
Interfaces de comandos POSIX y subsistemas

Aunque la interfaz de comandos Korn SFU (y el de MKS) no es ms que otra interfaz de comandos que se ejecuta sobre el ncleo nativo de Windows 2000, algunos subsistemas POSIX completos tambin soportan UNIX en el nivel del ncleo. El mejor de ellos es, sin duda alguna, la implementacin POSIX de Interix de Softway Systems, un subsistema que cumple completamente POSIX y se integra directamente en el ncleo de Windows 2000. La interfaz de comandos POSIX de Interix utiliza el enfoque opuesto al utilizado por la interfaz de comandos Korn de MKS/SFU -no hace prcticamente ninguna concesin al mundo de Windows 2000 y, por el contrario, implementa en Windows 2000 un sistema de archivos con raz que diferencia completamente entre maysculas y minsculas-. En consecuencia, las secuencias de comandos escritas para UNIX se ejecutan exactamente de la manera esperada sin necesidad de cambios adicionales, al menos en teora. No obstante, la distincin total entre maysculas y minsculas causa un sinnmero de problemas, y la ausencia de concesiones a la sintaxis de Windows 2000 implica que hay que recordar que los programas nativos de Windows 2000 tienen nombres como notepad.exe, no notepad. Se pueden hallar soluciones a estos problemas, incluido el uso de un conjunto de utilidades cuya nica misin es convertir los caminos y los tipos de letra de Windows 2000 a POSIX, y viceversa. No obstante, los problemas con el uso de secuencias de comandos de UNIX en ambos entornos son similares a los de la implementacin MKS/SFU: hay que recordar las diferencias entre ambos entornos y escribir las secuencias de comandos de manera que puedan superarlas.
Captulo 19
Captulo 19
Previendo que Windows NT y Windows 2000 se adoptaran de manera generalizada como servidores para departamentos y grupos de trabajo, Microsoft incluy en ellos dos servicios que permiten a los usuarios de Macintosh compartir archivos a impresoras con los usuarios de Windows, de OS/2 e, incluso, de MS-DOS. El servicio Servidor de archivos para Macintosh (FSM) aborda la publicacin de los archivos compartidos, y el servicio Servidor de impresin para Macintosh (PSM) permite a los usuarios de Macintosh y de Windows compartir recprocamente las impresoras. Adems, Windows 2000 incluye una implementacin del protocolo de red AppleTalk. El mecanismo que utilizan estos servicios es sencillo: se comparten las carpetas y los archivos y luego se activa el compartimiento de archivos Macintosh en la unidad compartida. Los clientes de Windows pueden utilizar normalmente la unidad compartida, mientras que los usuarios de Macintosh utilizan el software para compartir archivos de Apple para conectarse con el servidor de Windows 2000 y obtener los archivos.
Introduccin a los servicios para Macintosh

Cada uno de los tres componentes que proporcionan conjuntamente el soporte para Macintosh en Windows 2000 time sus propias responsabilidades.
G
La pila AppleTalk controla las comunicaciones de red con los clientes Macintosh y el encaminamiento AppleTalk. Se puede instalar y utilizar el protocolo AppleTalk sin los servicios para archivos o para impresin; ello permite encaminar el trfico de AppleTalk o aceptar llamadas mediante los Servicios de acceso remoto (Remote Access Service, RAS) de los usuarios remotos de Macintosh. FSM controla la publicacin de archivos de un MAV en los clientes Macintosh. Como parte de esa labor, convierte sobre la marcha las bifurcaciones de archivos de Macintosh a corrientes NTFS, y viceversa; tambin gestiona los datos de creador, tipo a icono necesarios para Finder de Mac OS. Cuando los clientes de Windows utilizan archivos de la unidad compartida subyacente a un MAV, tienen acceso a archivos mediante el servicio estndar de servidor, encima del cual se halla situado FSM. PSM permite ofrecer a los clientes Macintosh el mismo conjunto de impresoras compartidas que se ofrecen a los clientes de Windows. Convierte las salidas PostScript de los clientes Macintosh en archivos de mapas de bits independientes de los dispositivos (device-independent bit-map, DIB) que pueden manejar las impresoras de Windows 2000. Adems, PSM permite crear grupos de impresoras y asignar prioridades a los trabajos de impresin, dos caractersticas ausentes en Mac OS. Sin embargo, esto exige que se capturen las impresoras que se deseen utilizar. Las impresoras capturadas no pueden utilizarlas directamente los clientes AppleTalk; en vez de eso, deben enviar las solicitudes de impresin al servidor de Windows 2000, que, a su vez, las entrega a las impresoras. Si se deja sin capturar la impresora, los clientes AppleTalk pueden imprimir en
Captulo 19
ellas, pero no se puede seguir ni controlar la impresin ni establecer prioridades entre los trabajos desde el servidor de Windows 2000, lo que constituye el compromiso inherente. Como mejora adicional, PSM permite a los usuarios de Windows imprimir en las impresoras de la red AppleTalk.
Instalacin y configuracin de AppleTalk

El primer paso para poner el servidor de Windows 2000 a disposicin de los usuarios de Macintosh es instalar la pila de red AppleTalk. La instalacin de FSM o de PSM antes que AppleTalk hace que AppleTalk se instale, pero resulta ms sencillo resolver los problemas relacionados con Macintosh si se est seguro de que funciona el protocolo subyacente antes de instalar los componentes de servicios. Instalacin de AppleTalk Dado que AppleTalk es un protocolo de red, se instala desde el cuadro de dilogo Conexiones de red y de acceso telefnico. Antes de intentar instalar AppleTalk, hay que asegurarse de que se tiene acceso al CDROM de Windows 2000 o a un punto de instalacin de red. Para instalar AppleTalk, hay que seguir el siguiente procedimiento: 1. En el men Inicio, hay que apuntar a Configuracin y escoger Conexiones de red y de acceso telefnico. 2. Hay que pulsar con el botn derecho del ratn Conexin de rea local. Aparecer la ventana Propiedades de Conexin de rea local. 3. Hay que pulsar el botn Instalar. Cuando aparezca el cuadro de dilogo Seleccionar tipo de componente de red, hay que seleccionar el icono Protocolo y pulsar Agregar. 4. En el cuadro de dilogo Seleccione el protocolo de red, hay que seleccionar Protocolo AppleTalk en la lista y pulsar Aceptar. Si se solicita, hay que facilitar la ubicacin de la distribucin de Windows 2000. Este procedimiento instalar AppleTalk y lo enlazar con todas las tarjetas de interfaz de red (Network Interface Cards, NIC) de la computadora. Si se desea eliminar AppleTalk de alguna NIC concreta, hay que abrir su ventana Propiedades y desactivar la casilla de verificacin de AppleTalk. Configuracin del encaminamiento para AppleTalk Antes de configurar el propio protocolo AppleTalk, hay que configurar el encaminamiento para AppleTalk si se piensa utilizar. Esto asegura que la mquina de Windows 2000 tenga una lista de zona actual y la informacin de red antes de que el proceso de configuracin de AppleTalk lo necesite. El encaminamiento para AppleTalk se maneja desde la consola Enrutamiento y acceso remoto. Para activar y configurar el encaminamiento, hay que seguir el procedimiento siguiente:
Captulo 19
1. En el men Inicio, hay que apuntar a Programas, Herramientas administrativas y escoger Enrutamiento y acceso remoto. 2. Hay que pulsar dos veces el servidor que se desea configurar. El icono se ampla para mostrar una lista de los protocolos de encaminamiento instalados en ese servidor. Como mnimo se ver AppleTalk; en funcin de la configuracin de Enrutamiento y acceso remoto puede que tambin se vean otros elementos. 3. Hay que pulsar con el botn derecho del ratn Enrutamiento AppleTalk y escoger Habilitar enrutamiento AppleTalk. 4. En el panel derecho de la consola cambiarn los adaptadores a los que est enlazado AppleTalk para mostrar el estado de Enrutamiento (predeterminado), que indica que el encaminador se ha iniciado y est disponible para el trfico de encaminamiento en esas interfaces, pero que no est alimentando a la red.
Establecimiento de un encaminador raz
Es mucho ms eficiente utilizar un encaminador raz AppleTalk hardware que una computadora Windows 2000, pero si no se dispone de encaminadores hardware, no obstante, se puede utilizar Windows 2000 como encaminador raz para la red AppleTalk. Una vez instalada la pila AppleTalk, hay que seguir este procedimiento adicional: 1. En la consola Enrutamiento y acceso remoto, hay que expandir el servidor que se est configurando y seleccionar Enrutamiento AppleTalk. 2. Hay que pulsar en la ventana de la consola Conexin de rea local con el botn derecho del ratn y escoger Propiedades. Aparecer una ventana Propiedades de Conexin de rea local. 3. Hay que seleccionar la casilla de verificacin Habilitar el enrutamiento raz en esta red. Esto activa los controles de las reas Intervalo de red y Zonas. 4. Hay que escoger el rango de nmeros de red que se desea que tenga este encaminador raz rellenando las casillas Desde y Hasta del rea Intervalo de red. Se pueden escoger nmeros de red de manera arbitraria, pero no pueden solaparse y deben ser nicos. Cada red puede soportar 253 nodos, por lo que se debe asignar un rango que sea suficientemente grande para el nmero de nodos de la red. Las redes AppleTalk suelen agrupar las redes en zonas, lo que es el motivo de que se pueda especificar un rango de redes para servir en lugar de slo una. 5. Hay que crear la lista de zonas que se deseen conectar a la red de la manera siguiente: G Hay que comenzar pulsando el botn Obtener zonas; esto hace que Windows 2000 busque en la red zonas disponibles igual que hara un cliente. El resultado aparece en la lista de zonas. G Hay que utilizar el botn Nueva zona para aadir las zonas nuevas que se desee dejar disponibles. Los nombres de las zonas pueden contener cualquier carcter ASCII imprimible, salvo * : = y @, y deben tener menos de 32 caracteres. (Obsrvese que no hay modo de cambiar el nombre de una zona una vez creada; hay que eliminarla y volver a crearla.) Las zonas no deseadas se pueden eliminar con el botn Eliminar. G En el cuadro Zona predeterminada, hay que especificar una zona predeterminada para los nodos de la red. La zona predeterminada contiene a todos los nodos cuyo propietario no los
Captulo 19
haya asignado a ninguna otra zona; el encaminador asigna de manera automtica los dispositivos sin zona predeterminada, por lo que es ah donde los vern los usuarios de Macintosh. Hay que asegurarse de configurar los encaminadores raz antes de configurar (o de iniciar) otros encaminadores de la red. Configuracin del protocolo AppleTalk AppleTalk se dise para ser un protocolo con poca sobrecarga y de bajo mantenimiento, por lo que su configuracin resulta bastante sencilla. De hecho, prcticamente no necesita configuracin; basta con indicar si el adaptador acepta conexiones AppleTalk entrantes y la zona en que aparecer el servidor. A continuacin se indica la manera de configurar estos parmetros: 1. En el men Inicio, hay que apuntar a Configuracin y escoger Conexiones de red y de acceso telefnico. Hay que pulsar con el botn derecho del ratn el adaptador que se desee configurar. (Hay que utilizar el elemento Conexin de rea local si slo se dispone de una tarjeta de red.) Aparecer la ventana Propiedades correspondiente. 2. Hay que seleccionar el elemento Protocolo AppleTalk y pulsar Propiedades. 3. Aparecer la ventana Propiedades de Protocolo AppleTalk. Si se est configurando el nico adaptador de red del sistema, estar seleccionada y atenuada la casilla de verificacin Aceptar conexiones entrantes en este adaptador, dado que, como mnimo, hay que aceptar las conexiones entrantes en un adaptador. El cuadro El sistema aparecer en la zona, permite controlar la zona en que aparece el servidor; se puede utilizar la zona predeterminada o asignarlo a una zona concreta de manera explcita. 4. Hay que pulsar Aceptar y volver a pulsar Aceptar en la ventana Propiedades del adaptador El objeto rendimiento de AppleTalk encapsula alrededor de dos docenas de parmetros especficos del protocolo (incluidos los contadores que registran todo el trfico AppleTalk entrante y saliente y el nmero de paquetes encaminados).
Configuracin de los servicios de archivo e impresin

Una vez instalado y configurado el protocolo AppleTalk, se est preparado para instalar y configurar los propios servicios Macintosh. FSM y PSM son dos paquetes independientes con procesos de instalacin similares. No importa el orden en que se instalen estos componentes. Requisitos para la instalacin de los servicios para Macintosh Antes de instalar los componentes de los servicios para Macintosh hay que cumplir varios requisitos. En primer lugar, si se va a instalar FSM, hay que tener en el servidor, al menos, una particin NTFS. Esto se debe a que slo se pueden crear volmenes con acceso a Macintosh en particiones NTFS o del sistema de
Captulo 19
archivos de CD-ROM (CD-ROM File System, CDFS); a incluso, si slo se desea crear volmenes con acceso a Macintosh en particiones CDFS, hace falta una particin NTFS o no se podr instalar FSM. En segundo lugar, conviene tener ya instalados y configurados los adaptadores de red que se piense conectar a las redes AppleTalk y haber comprobado que funcionan. Finalmente, hay que tener instalado y configurado AppleTalk y haber probado la instalacin para asegurarse de que los clientes de red existentes pueden ver el nuevo servidor como nodo AppleTalk. Puede que para ello se necesite una herramienta como EtherPeek o InterNetMapper de Dartmouth. Si se desea que los usuarios de Macintosh tengan acceso a los archivos que se hallan en unidades compartidas normales (no en volmenes con acceso a Macintosh), se puede utilizar una utilidad de otro fabricante como DAVE de Thursby Software (http://www.thursby.com), que permite a las computadoras Macintosh iniciar una sesin en dominios de Windows NT o de Windows 2000 y utilizar archivos a impresoras compartidas utilizando los protocolos de red nativos de Microsoft. Aunque la instalacin y la gestin de FSM es bastante sencilla, hay algunos nmeros de los que se debe tener conocimiento. Estos nmeros (o ms exactamente lmites) limitan algunas de las cosas que pueden hacerse con FSM:
G
Los volmenes de Macintosh slo pueden soportar nombres de archivo con una longitud mxima de 31 caracteres, mientras que los de NTFS soportan nombres de archivo con longitudes de hasta 256 caracteres. Los archivos de Macintosh aparecen con sus nombres correctos en los sistemas de Windows que soportan nombres de archivo largos, pero tienen nombres truncados con formato 8.3 en los sistemas que no los soportan. FSM trunca los nombres de archivos de NTFS que superen el lmite de 31 caracteres, por lo que los clientes de Macintosh slo ven los primeros 31 caracteres. NTFS permite una longitud de camino mxima de 255 caracteres, igual que hace Mac OS. Sin embargo, en ciertas circunstancias puede que FSM no enve la informacin de archivo o de carpeta de Macintosh de elementos cuyas longitudes de camino combinadas superen los 260 caracteres. Al igual que NTFS, los sistemas de archivos de Macintosh no distinguen entre maysculas y minsculas. Si se tiene activado el subsistema POSIX, no se deben utilizar nombres de archivo POSIX, o los clientes de Macintosh se confundirn. Los nombres de volumen con acceso a Macintosh pueden tener hasta 27 caracteres de longitud, pero las herramientas de FSM slo pueden crear nombres de 12 caracteres (aunque se utilice la utilidad Macfile para superarlo). AppleTalk necesita que los nombres de todas las unidades compartidas servidas por una misma mquina quepan en un nico paquete de anuncio. El tamao de este paquete no puede superar los 4760 bytes, lo que significa que hay un lmite superior de alrededor de 175 nombres de volmenes con acceso a Macintosh (de 27 caracteres cada uno) por servidor.
Captulo 19
Creacin de cuentas para usuarios de Macintosh FSM y PSM obtienen informacin de las cuentas del servicio de directorio de Active Directory de Microsoft Windows 2000. Esto significa que los clientes de Macintosh no pueden iniciar una sesin en los servidores FSM o PSM a menos que tengan una cuenta vlida en el directorio o se les permite acceso como invitados a los servidores. Resulta conveniente configurar las cuentas que se vayan a necesitar para los usuarios de Macintosh como parte de la instalacin y configuracin en el servidor del soporte para Macintosh; as, en cuanto se obtengan los volmenes con acceso a Macintosh y las impresoras compartidas estn creadas, los usuarios podrn comenzar a conectarse con el servidor. PSM debe dotarse de un conjunto de credenciales de cuentas de usuario para que pueda imprimir los trabajos en el Administrador de impresin estndar de Windows 2000. Utiliza de manera predeterminada la cuenta del sistema, pero, por motivos de seguridad, resulta ms conveniente crear una cuenta diferente para utilizarla slo con PSM. Instalacin de los componentes Para instalar tanto PSM como FSM se utiliza el Asistente para componentes de Windows. El proceso real es muy sencillo: 1. En el men Inicio, hay que apuntar a Configuracin, a Panel de control y escoger Agregar o quitar programas. Cuando aparece la ventana de Agregar o guitar programas, hay que pulsar el icono Agregar o guitar componentes de Windows para iniciar el Asistente. 2. En la primera pantalla del Asistente, hay que pulsar Siguiente. Aparece la pantalla de Componentes de Windows; hay que desplazarse por la lista de componentes hasta hallar Otros servicios de archivo y de impresin de red. Hay que seleccionarlo y pulsar Detalles. 3. Aparecer el cuadro de dilogo Otros servicios de archivo y de impresin de red. Hay que seleccionar los servicios para Macintosh que se desee instalar y pulsar Aceptar. Cuando se vuelve al Asistente, hay que pulsar Siguiente. 4. Hay que pulsar Finalizar para concluir la instalacin. Una vez instalados los componentes de FSM y de PSM hay que configurarlos para que resulten de utilidad. El nico volumen con acceso a Macintosh que ofrece a sus clientes un servidor FSM recin instalado es el que contiene el mdulo de autenticacin de conexiones de Microsoft. Instalacin del mdulo de autenticacin de Microsoft en el Macintosh Cuando un cliente Mac OS se conecta con un servidor Windows 2000 FSM, el cliente tieneque enviar sus credenciales de nombre de usuario y contrasea como texto claro no cifrado. Esto no resulta seguro, ya que un atacante con un analizador de la red puede obtener fcilmente de la red las credenciales y utilizarlas para abrir una sesin directamente en el servidor de Windows 2000.
Captulo 19
Mac OS soporta la autenticacin cifrada al comunicarse con los servidores de AppleShare, pero para aadir el mismo nivel de seguridad a las conexiones entre Mac OS y FSM hay que elegir entre dos opciones. Una es configurar el servidor para que acepte autenticacin cifrada de Apple y la otra es instalar un mdulo adicional para autenticacin de usuarios (User Authentication Module, UAM) en la parte Macintosh. El UAM de Microsoft permite al cliente Mac OS cifrar sus credenciales utilizando el mismo esquema que utilizan los clientes Windows al comunicarse con servidores de Windows 2000. Tambin ofrece otras dos ventajas tiles: permite utilizar contraseas de mayor longitud (14 caracteres en lugar del lmite de 7 caracteres impuesto por AppleShare) y permite a los clientes saber si ha caducado su contrasea para Windows 2000. El UAM de Microsoft se guarda en un volumen con acceso a Macintosh especial denominado volumen UAM de Microsoft (Microsoft UAM Volume). Este volumen con acceso a Macintosh siempre se halla disponible para los clientes Macintosh en un servidor FSM; no cabe la posibilidad de eliminarlo o cambiarlo de nombre y se halla disponible en cuanto se inicia el servicio FSM. El volumen UAM contiene cuatro elementos: un archivo de texto (Readme.uam) que explica lo que hace el UAM y la manera de instalarlo; una aplicacin que instala de manera automtica el UAM adecuado para una configuracin Mac OS dada; y las versiones del UAM para las versiones 3.8 (presente en Mac OS 7.5 y posteriores) y 3.6 (para versiones anteriores de Mac OS) de AppleShare. Para instalar el UAM de Microsoft en un cliente Mac OS hay, que seguir el procedimiento siguiente: 1. En la computadora Macintosh, hay que abrir el Selector en el men Apple. 2. Hay que seleccionar el icono AppleShare en el Selector. Si se tienen varias zonas AppleTalk en la red, hay que seleccionar la zona en que se halle el servidor FSM en la lista de Zonas AppleTalk. 3. Hay que seleccionar el servidor FSM al que se desee conectar. Hay que pulsar OK para intentar la conexin. 4. Aparecer el cuadro de dilogo de inicio de sesin de AppleShare. Hay que iniciar la sesin en el servidor FSM, bien como invitado (hay que pulsar el botn Invitado), bien como usuario con credenciales en el servidor (hay que pulsar el botn Usuario registrado y escribir el nombre de usuario y la contrasea). Hay que pulsar OK cuando se haya terminado. 5. El icono Volumen UAM de Microsoft aparecer en el escritorio del Macintosh. Hay que abrirlo a iniciar la aplicacin Instalador de MS UAM; instalar la versin del UAM adecuada para el cliente en cuestin. Si se desea instalar el UAM en varias mquinas, puede resultar ms sencillo copiar el UAM adecuado en las mquinas de destino en lugar de iniciar una sesin desde cada estacin de trabajo. Este proceso es un poco distinto del que se acaba de describir: 1. Hay que averiguar la versin del cliente AppleShare que tiene la mquina de destino. Hay que abrir la carpeta del Sistema, ir a la subcarpeta Extensiones, seleccionar la extensin AppleShare y escoger Obtener informacin del men Archivo en el Finder para obtener su versin. 2. Hay que hallar la carpeta correspondiente en el Volumen UAM de Microsoft: bien MS UAM para AppleShare 3.8, bien MS UAM para AppleShare 3.6. Al abrirla se hallar una subcarpeta
Captulo 19
denominada Carpeta AppleShare. 3. Hay que examinar la carpeta del Sistema de la mquina de destino. Si no hay all ningn AppleShare, hay que arrastrar la carpeta AppleShare hallada en el Volumen UAM de Microsoft en el paso 2 hasta la carpeta del Sistema. Si la carpeta se halla a11, hay que abrir la carpeta AppleShare del Volumen UAM de Microsoft y arrastrar la extensin MS UAM 5.0 a la carpeta AppleShare del sistema de destino. Una vez instalado el UAM de Microsoft, el proceso de inicio de sesin para los clientes Mac OS ser ligeramente diferente del habitual. El proceso normal es el siguiente: el usuario escoge una zona y un servidor en el Selector, pulsa Aceptar y rellena el cuadro de dilogo de inicio de sesin de AppleShare. Cuando hay instalados varios UAM -como ocurre una vez completado el procedimiento anterior-, la pulsacin de OK en el Selector genera un cuadro de dilogo que muestra los UAMs disponibles. Hay que ensear a los usuarios a utilizar el UAM Microsoft Authentication 5.0. Configuracin de las opciones FSM Aparte de sus usos evidentes, el complemento Carpetas compartidas tambin permite configurar algunos parmetros FSM tiles, incluidos el mensaje que ven los usuarios cuando inician una sesin, los tipos de autenticacin que acepta el servidor y el nmero de usuarios que pueden conectarse de manera simultnea. Para llegar a estas opciones, hay que abrir el complemento Carpetas Compartidas, pulsar Carpetas compartidas con el botn derecho del ratn y escoger Configurar servidor de archivos para Macintosh. Se podr ver la ficha Configuracin de la ventana Propiedades de Servidor de archivos para Macintosh. Con esta ficha se pueden llevar a cabo cuatro tareas tiles:
G
Cambiar el nombre que presenta el servidor FSM a los clientes AppleTalk proporcionando un nombre para el campo Nombre del servidor para estaciones de trabajo con AppleTalk. Esto no tiene ningn efecto sobre el modo en que la computadora aparece en Active Directory, pero puede presentar un nombre agradable a los usuarios de Macintosh si se utilizan nombres generados por las mquinas. Proporcionar un mensaje de inicio de sesin que se les aparezca a los usuarios de Macintosh cuando inicien una sesin. Puede tratarse de un mensaje de advertencia, de un anuncio sobre tareas de mantenimiento futuras o lo que quiera que se desee presentar a los usuarios. Controlar algunos aspectos de seguridad del modo en que los clientes se comunican con el servidor: H La casilla de verificacin Permitir guardar contraseas a estaciones de trabajo determina si los usuarios pueden indicarles a sus computadoras que guarden las credenciales de las cuentas. Permitirlo hace que las cosas resulten ms sencillas para los usuarios finales, pero menos seguras: H El cuadro de lista Habilitar autenticacin permite escoger los tipos de autenticacin que se desea que acepte el servidor. El valor predeterminado es permitir autenticacin de texto claro de Apple o cifrada de Microsoft; tambin se puede escoger aceptar nicamente autenticacin de Microsoft, slo texto claro de Apple o autenticacin cifrada de Apple, o nicamente autenticacin cifrada de Apple y de Microsoft. Se recomienda esta ltima
Captulo 19
opcin, ya que permite a los clientes Mac OS modernos iniciar una sesin de manera segura tanto si utilizan Microsoft UAM como si no. Definir el nmero de usuarios que pueden conectarse al servidor FSM de manera concurrente. Normalmente, FSM permite un nmero ilimitado de conexiones AppleTalk a los volmenes con acceso a Macintosh, pero se puede reducir esa cifra seleccionando Limitado a y escribiendo en el cuadro un lmite de conexiones.
Archivos compartidos con FSM

Una vez instalado y configurado FSM, no se puede hacer nada con l hasta que se haya creado algn volumen con acceso a Macintosh. El proceso general que hay que seguir viene a ser el siguiente:
G G
Crear el volumen con acceso a Macintosh al que se desea que los usuarios tengan acceso. Dar al volumen con acceso a Macintosh y a los elementos que contiene los permisos correspondientes (teniendo en cuenta que los permisos para Macintosh y para Windows 2000 son muy distintos entre s).
Creacin de volmenes con acceso a Macintosh Windows 2000 ofrece dos maneras diferentes de crear volmenes con acceso a Macintosh nuevos. La primera: se puede utilizar el Asistente para crear carpetas compartidas para crear una nueva unidad compartida de Windows, lo que la hace visible a los clientes de Macintosh (o de NetWare) al crearla. De manera alternativa, se puede crear un volumen con acceso a Macintosh para una unidad compartida de Windows ya existente utilizando el asistente para crear una nueva unidad compartida exclusiva de Macintosh que apunte al mismo elemento. Para iniciar el Asistente para crear carpeta compartida, hay que abrir el complemento Carpetas compartidas, pulsar Recursos compartidos con el botn derecho del ratn en el rbol Carpetas compartidas y escoger Nuevo recurso compartido de archivo. Obsrvese que la casilla de verificacin Apple Macintosh ya no se halla atenuada; para crear un nuevo volumen con acceso a Macintosh sobre la nueva unidad compartida, basta con seleccionar esa casilla. De manera opcional, se puede editar el nombre de la unidad compartida visible para Macintosh del campo Nombre del recurso de Macintosh, pero el Asistente proporcionar un nombre predeterminado razonable. Existe un problema con este proceso. No se puede crear un volumen con acceso a Macintosh dentro de otro. Por ejemplo, supngase que se crean una unidad compartida y un volumen con acceso a Macintosh en la raz de un volumen NTFS de la unidad F. Se puede crear una unidad compartida de Windows en F:\Descargas, pero no se puede crear a11 ningn volumen con acceso a Macintosh, ya que no pueden anidarse. Por este motivo, Microsoft recomienda no crear volmenes con acceso a Macintosh en el nivel raz de las unidades; en lugar de eso, hay que crearlos en la carpeta situada a un nivel ms profundo de las que engloban todos los elementos a los que se desea tener acceso.
Captulo 19
A1 pulsar Siguiente en el Asistente se puede ver la ventana estndar para la seleccin de los permisos de las unidades compartidas. Los permisos predeterminados de las unidades compartidas nuevas resultan algo intranquilizadores: si se crea una unidad compartida combinada de volumen con acceso a Macintosh y de Windows, el grupo Todos obtiene un control completo sobre ella, y, si se crea una unidad compartida exclusiva para volumen con acceso a Macintosh, todos los usuarios de Mac OS obtienen el equivalente para Macintosh. Lo normal es desear restringir un poco ms las cosas. Asignacin de seguridad y de permisos Lo primero que hay que comprender del tratamiento de los permisos por FSM es esto: Mac OS slo soporta controles de acceso en las carpetas, no en los archivos. FSM realiza una buena labor general de traduccin entre los permisos de Windows 2000 y los de Mac OS, pero no puede hacer nada para superar esta limitacin. En su lugar, FSM aplica de manera automtica los permisos de la carpeta padre a sus archivos hijo y subcarpetas. Los usuarios pueden asignar permisos a cada uno de los archivos de una carpeta, pero Mac OS no los respetar. Esto echa por tierra todos los objetivos de la seguridad en el nivel de archivos, por lo que FSM la sustituye mediante un truco sutil y poco elegante pero til. Los permisos en el nivel de los archivos slo se aplican si resultan ms restrictivos que los de la carpeta que los alberga. Por ejemplo, supngase que se asignan derechos de control total al grupo Todos para un volumen con acceso a Macintosh denominado Contratos. Posteriormente se cambian los permisos para un archivo, Trato-grande.doc, de modo que Todos tenga los permisos Denegar: escribir y Permitir: leer sobre ese archivo. Un usuarios de Macintosh que monte ese volumen con acceso a Macintosh podr abrir la carpeta y el archivo. En lo relativo a Mac OS, el usuario tendr acceso pleno al archivo, pero el servidor no atender ninguna solicitud de escritura: si se abre el archivo, se edita en Microsoft Word y se intenta guardar, se recibir un mensaje de error (el servidor no permite tener acceso de escritura al archivo). Lo siguiente que hay que comprender es quin tiene acceso de manera predeterminada. Como ya se ha mencionado, al crear un nuevo volumen con acceso a Macintosh el valor predeterminado es dar al grupo Todos permiso de control total para todo el volumen. Los miembros de los grupos Administradores y Operadores del servidor pueden administrar el propio servicio FSM, y los usuarios con privilegios de administrador para el servidor siempre tienen control total de todos los archivos de los volmenes con acceso a Macintosh de ese servidor.
Permisos de Macintosh y de NTFS
El esquema de permisos de Apple agrupa los datos de los usuarios en tres categoras: datos privados (slo puede utilizarlos su propietario), datos del grupo (slo pueden utilizarlos los miembros del mismo grupo) y datos pblicos (pueden utilizarlos todo el mundo). Aunque esto resulte conceptualmente ms sencillo de comprender que el esquema de permisos de Windows 2000, tambin es mucho menos flexible. En Mac OS slo se pueden asignar permisos para los objetos utilizando estas tres categoras; no cabe la posibilidad de hacer cosas como asignar acceso a un solo archivo de una carpeta a varios grupos
Captulo 19
de trabajo. Una caracterstica positiva de este enfoque es que no hace falta que el propietario sea miembro del grupo que tiene los permisos para la carpeta. Otra diferencia es que Windows 2000 asigna de manera automtica los permisos por herencia (al menos cuando se ha seleccionado la casilla de verificacin Hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto, lo que es el valor predeterminado); Mac OS permite a las carpetas heredar los permisos en funcin de la voluntad del propietario. Cada carpeta de una jerarqua puede tener permisos diferentes. Por ejemplo, resulta frecuente conceder a los usuarios acceso slo de lectura a la raz de un disco compartido y concederles permiso de lectura y escritura para las carpetas a las que necesitan tener acceso. La tercera diferencia principal entre los dos sistemas, y quiz la ms importante, es el modo en que se comparta el grupo Todos. En Windows 2000 los permisos concedidos al grupo Todos no anulan los permisos asignados a individuos o a grupos concretos, pero en Mac OS s lo hacen. Esto significa que hay que ser muy cuidadoso con la asignacin de permisos al grupo Todos en la parte de Mac OS, ya que puede que no se comporten como se espera. Los propios permisos Macintosh son tambin ligeramente diferentes de los de Windows 2000. Los usuarios de Mac OS pueden asignar un total de cinco permisos a las carpetas que poseen:
G
G G
El permiso No cambiar de nombre, mover o eliminar este elemento se aplica a una carpeta; cuando este permiso es efectivo, los usuarios no pueden emprender esas acciones con la carpeta, aunque puedan modificar los archivos o las subcarpetas que contenga. El permiso Ninguno impide que los usuarios hagan algo con una carpeta. El permiso Leer y escribir concede a los usuarios el equivalente del permiso Control total de Windows 2000; pueden mover, eliminar, crear, abrir o cambiar el nombre de los archivos de la carpeta. El permiso Slo leer permite a los usuarios ver y abrir las carpetas y los archivos de la carpeta, pero no pueden realizar ningn cambio. El permiso Slo escribir permite a los usuarios crear elementos nuevos en una carpeta, pero no abrir la carpeta o elementos de su interior. Apple tambin denomina a este permiso permiso papelera> .
Hay que establecer la relacin entre estos permisos y los de Windows 2000. El permiso Leer de Windows 2000 equivale a los permisos Ver archivos y Ver carpetas de la parte Macintosh. Los permisos Escribir y Eliminar de Windows 2000 son equivalentes al permiso Hacer cambios de Macintosh. Estas equivalencias son bidireccionales; si un usuario de Macintosh concede al grupo Todos los permisos Ver archivos y Ver carpetas para un volumen con acceso a Macintosh, equivale a conceder al grupo Todos de Windows 2000 el permiso Leer.
Grupos primarios
Captulo 19
En Windows 2000 se pueden conceder permisos a un nmero arbitrario de grupos; cualquier objeto puede tener asignado un nmero virtualmente ilimitado de permisos diferentes. En la parte Macintosh, sin embargo, cada objeto slo puede tener asignado un conjunto de grupos. FSM salva este foso conceptual designando un grupo de Windows 2000 como grupo primario del objeto. Aunque puede que otros grupos tengan permisos que puedan utilizar desde los clientes Windows, slo el grupo primario tiene derechos de acceso en la parte Macintosh, utilizando el permiso Usuario/Grupo que utiliza Mac OS. El grupo primario se establece definiendo el grupo que tiene permisos para la carpeta en el servidor de Windows 2000.
Autorizacin de acceso al servidor como invitado
Aunque el acceso annimo constituye la norma en los servidores web, no siempre resulta deseable en los servidores de archivos, de impresin o de aplicaciones. Hablando con rigor, la cuenta Invitado no es annima, pero a efectos prcticos no ofrece los mismos lazos entre un nombre de cuenta conocido y una persona que suelen ofrecer las cuentas normales. Si se desea permitir a los invitados el acceso a los volmenes FSM, se puede hacer de dos maneras: obligando a los clientes Mac OS a utilizar la cuenta Invitado de Windows 2000 a obligndolos a utilizar la cuenta Invitado de Mac OS, que utiliza la cuenta Invitado de Windows 2000 del servidor. Qu enfoque es mejor? La caracterstica Invitado de Mac OS permite a los usuarios pulsar el botn Invitado del Selector a iniciar una sesin sin proporcionar un nombre de cuenta ni una contrasea, mientras que la cuenta de Windows 2000 exige que se difunda la contrasea de la cuenta Invitado. Dado que no es probable que se desee que nadie ms que los usuarios de Mac OS utilice la cuenta Invitado de Windows 2000, la cuenta Invitado de Mac OS es la mejor solucin para la mayor parte de las aplicaciones. Independientemente del enfoque adoptado, hay que asegurarse de definir los permisos adecuados para los volmenes con acceso a Macintosh, de modo que los invitados slo puedan ver y modificar lo que as se desee. Independientemente de si se escoge la cuenta Invitado de Macintosh o la de Windows 2000, hay que llevar a cabo algunas labores previas para hacer que funcione el acceso para invitados: 1. Hay que definir los permisos adecuados para los archivos y carpetas del volumen con acceso a Macintosh. En concreto, hay que asegurarse de que se le deniega a la cuenta Invitado de Windows 2000 el acceso a cualquier archivo o carpeta al que no se desee que los invitados tengan acceso. Se recomienda hacer esto en primer lugar para poder comprobar que los permisos son correctos antes de abrir el servidor a los usuarios. 2. Hay que activar la cuenta Invitado de Windows 2000. La cuenta activada depender de los invitados a los que se les desee conceder el acceso; se puede activar una cuenta de invitados para el dominio o utilizar la cuenta intrnseca del propio servidor FSM si no es un controlador de dominio. Se recomienda activar la cuenta de invitados intrnseca del servidor y limitar su acceso a otros recursos del sistema mediante un complemento.
Captulo 19
Si se utiliza la cuenta Invitado de Mac OS, hay que abrir la ventana Propiedades del volumen con acceso a Macintosh al que se desee que tengan acceso los invitados y asegurarse de que se ha seleccionado la casilla de verificacin Los invitados pueden usar este volumen. Este valor no tiene ningn efecto si se obliga a los usuarios a iniciar la sesin con la cuenta Invitado de Windows 2000. Se pueden crear volmenes que no pueda ver nadie salvo su propietario. Se trata de una buena manera de permitir a los usuarios que configuren unidades compartidas, de modo que puedan tener acceso a sus archivos desde las mquinas Macintosh o Windows sin permitir el acceso de nadie ms. Resulta especialmente prctico para los administradores, dado que pueden utilizar esta caracterstica para configurar una unidad compartida de herramientas tiles o material de referencia que sea accesible -para ellos- desde cualquier punto de la red. Para crear un volumen privado, hay que definir los permisos para Macintosh de modo que slo tenga acceso el propietario; hay que definir los permisos Usuario/Grupo y Todos como Ninguno. Los usuarios vern el volumen con acceso a Macintosh en la lista de unidades compartidas disponibles, pero el volumen privado estar atenuado y los usuarios no podrn montarlo a menos que tengan el nombre y la contrasea del usuario.
Control de las caractersticas de seguridad exclusivas de Mac OS
El protocolo AppleShare proporciona algunas caractersticas de seguridad adicionales que pueden definirse por unidad compartida. Se tiene acceso a todas estas caractersticas mediante la ventana Propiedades de cualquier volumen con acceso a Macintosh. Para mostrar esta ventana hay que pulsar el volumen en cuestin con el botn derecho del ratn en el complemento Carpetas compartidas y escoger Propiedades. La zona interesante es el rea Seguridad de volumen SFM (Services for Macintosh, Servicios para Macintosh), que no se halla presente en la ventana Propiedades de las unidades compartidas con formato Windows. Contraseas de los volmenes: El campo Contrasea del rea Seguridad de volumen SFM permite asignar una contrasea que distinga entre maysculas y minsculas a un volumen dado. Los usuarios de Mac OS tienen que proporcionar esa contrasea y tener permisos de acceso para los elementos que deseen utilizar; los usuarios de Windows no necesitan la contrasea del volumen. La contrasea del volumen proporciona un nivel extra de seguridad, porque los usuarios que no tengan la contrasea no podrn conectarse con el volumen. Si no est definida la contrasea de volumen, los usuarios pueden conectarse con el servidor y ver los elementos para los que disponen de los permisos Ver carpetas y Ver archivos, aunque no puedan abrirlos ni modificarlos. Algunas versiones anteriores de Mac OS no permiten a los usuarios guardar las contraseas de volumen para que los volmenes puedan montarse de manera automtica; no obstante, todas las versiones de Mac OS desde la versin 8 (hacia 1996) lo permiten, por lo que se puede confiar en las contraseas de volumen para aadir mucha seguridad a
Captulo 19
los usuarios que las graben. Volmenes de slo lectura: Al montar un CD-ROM estndar en el sistema sigue siendo de slo lectura, independientemente de los permisos que se asignen a los archivos y carpetas que contenga. FSM ofrece una opcin parecida: al seleccionar la casilla de verificacin Este volumen es de slo lectura en el rea Seguridad de volumen SFM se puede marcar un volumen como de slo lectura. Este valor anula todos los permisos que pueda tener un usuario de Mac OS. Cuando este valor tiene efecto, Mac OS trata todo el volumen bsicamente como si estuviera bloqueado. Autorizacin de los invitados en Macintosh OS: Como ya se ha mencionado, la cuenta Invitado de Mac OS y la cuenta Invitado intrnseca de Windows 2000 son dos entidades muy diferentes. Independientemente de los permisos concedidos (si es que hay alguno) a la cuenta Invitado de Windows 2000, se puede seguir decidiendo poner los MAV a disposicin de los invitados de Mac OS seleccionando la casilla de verificacin Los invitados pueden usar este volumen, en el rea Seguridad de volumen SFM de la ventana Propiedades del volumen con acceso a Macintosh. No obstante, si se desactiva la cuenta Invitado de Windows 2000, la seleccin de esta casilla de verificacin no tiene ningn efecto, ya que, cuando un usuario de Mac OS decide iniciar una sesin como invitado de Mac OS, FSM asigna esa solicitud a la cuenta Invitado de Windows 2000. Dado que la cuenta Invitado est desactivada de manera predeterminada en Windows 2000 Server, Advanced Server y Datacenter Server, los invitados de Mac OS no pueden montar los volmenes con acceso a Macintosh a menos que se emprenda alguna accin para reactivar la cuenta Invitado. Gestin de los cdigos tipo y creador FSM se encarga de la traduccin de las extensiones tipo Windows 2000 y los cdigos tipo y creador de Mac OS. Esto lo hace utilizando un conjunto de valores del registro (que se guardan en HKLM\System\CurrentControlSet\Services\MacFile\ parameters\Type Creators) que contiene los cdigos tipo y creador que se hayan definido, y una lista distinta (en HKLM\System\CurrentControlSet\Services\MacFile\Parameters\Extensions) que vincula las extensiones con las entradas de la lista tipo y creador. FSM utiliza estas asignaciones para establecer los cdigos tipo y creador de los archivos, de modo que los clientes Mac OS puedan ver los iconos adecuados y obtener el comportamiento esperado cuando trabajan con los archivos de los volmenes con acceso a Macintosh. Los archivos con extensiones que no estn asignadas en estas bases de datos a pares tipo-creador reciben un icono y un creador genricos que indican a Mac OS que son archivos de texto sencillo. Puede que no sea esto lo que se desea para la mayor parte de los archivos. FSM incluye un amplio conjunto de asignaciones, pero hay tres circunstancias en las que puede que haga falta modificarlas. La primera es que alguna de las asignaciones sea antigua -Microsoft incluye asignaciones para programas como MORE de Symantec y Lotus 1-2-3 que no se han vendido para Macintosh desde hace unos cinco aos- y puede que haga falta actualizarlas. Puede que se halle tambin que no se est de acuerdo con la asignacin predeterminada para un tipo de archivo en concreto. Por ejemplo, Stufflt (el equivalente para Mac OS de WinZip) tiene dos versiones: una completa y una versin
Captulo 19
que slo descomprime denominada Stufflt Expander. La asignacin predeterminada de FSM vincula los archivos de StuffIt con la versin completa, de la que no dispone la mayor parte de los usuarios, por lo que parece ms lgico vincular esa extensin con Stufflt Expander. La ltima situacin en la que puede que haga falta editar estas asignaciones es que haga falta aadir un tipo de archivo del que FSM no tenga noticia. Dado que la versin que se distribuye no conoce varias extensiones de use muy frecuente (entre ellas .BMP, .GIF, .JPG, .PNG, .HTM y .JS), puede que ste sea el problema que surja con mayor frecuencia. Para editar estas asociaciones hay que utilizar la ficha Asociacin de archivos de la ventana Propiedades de Servidor de archivos para Macintosh. La disposicin de esta ficha resulta ligeramente confusa hasta que se comprende el modo en que trabaja. La parte superior de la ficha (incluidos el cuadro Archivos con extensin de MS-DOS y el botn Asociar) es donde se escoge la extensin para la que se desea crear la asociacin. El rea Con el creador y tipo de documentos de Macintosh, permite ver y editar los tipos y creadores de Mac OS disponibles para la creacin de asociaciones. El proceso completo resulta sencillo, pero hay algunas variaciones en el mismo en funcin del motivo de la edicin de las asociaciones. El primer paso es aadir un nuevo par tipo-creador; hay que hacerlo al aadir una extensin nueva o al asignar o revisar una existente (dado que no hay manera de editar los pares tipo-creador una vez introducidos en la base de datos). Para aadir un par nuevo, hay que pulsar el botn Agregar y proporcionar el creador, el tipo de archivo y la descripcin que se desee utilizar. Se puede seleccionar un creador o tipo de archivo o introducir uno nuevo. Si hay que buscar el tipo o el creador de un archivo, hay que hacerlo en la parte Macintosh, utilizando una utilidad como ResEdit o para obtener ms informacin del archivo. Una vez introducida la informacin, el nuevo par tipo-creador aparecer en la lista. Una vez aadido el nuevo par tipo-creador se puede vincular a una extensin existente o aadir una nueva extensin y vincularle la informacin de Mac OS. Para vincular una extensin existente con un par tipo-creador, hay que seleccionar el par de la lista y luego seleccionar la extensin correspondiente en la lista Archivos con extensin de MS-DOS y pulsar el botn Asociar. Para aadir una extensin nueva, hay que escribirla en el cuadro Archivos con extensin de MS-DOS y pulsar Asociar para crearla y vincularla con la combinacin tipo-creador seleccionada. Los usuarios de Mac OS conectados a un volumen con acceso a Macintosh no vern la informacin de asociacin actualizada hasta que cierren la sesin y vuelvan a montar el volumen. Para eliminar una asociacin, hay que seleccionar el elemento tipo-creador de la lista y pulsar el botn Eliminar. FSM pedir la confirmacin de la orden, dado que la eliminacin de un par tipo-creador elimina del registro el par y todas las extensiones asociadas. Envo de mensajes a los usuarios
Captulo 19
A veces hay que enviar un mensaje a los usuarios para comunicarles algo importante, tanto que no se desea esperar a que salga por correo electrnico. Puede que se les comunique que algo est cerrado (o se va a cerrar) para mantenimiento, que el edificio se halla en llamas o que Michael Jordan vuelve de su retiro. En Windows 2000 se utiliza el Administrador de servicios de Terminal Server para enviar mensajes a los usuarios conectados a un servidor; para los clientes Mac OS, se utiliza la ficha Sesiones de la ventana Propiedades de Servidor de archivos para Macintosh. Enviar un mensaje es algo sencillsimo: se escribe en el cuadro Mensaje y se pulsa el botn Enviar. Todos los usuarios de Mac OS que tienen abierta una sesin en el servidor cuando se enva un mensaje ven una ventana desplegable con el mensaje en su interior.
La utilidad MacFile
Si se prefiere utilizar una utilidad de lnea de comandos para gestionar los servidores, Windows 2000 dispone de una versin actualizada de la utilidad Macfile incluida con Windows NT 4. Macfile proporciona una interfaz de lnea de comandos que permite gestionar los servidores FSM, los volmenes con acceso a Macintosh, los usuarios y los archivos desde una interfaz de comandos de Windows 2000. Al igual que el venerable comando Net User, Macfile se hace querer una vez que uno se acostumbra a l, ya que aligera el trabajo de muchas tareas administrativas frecuentes. Macfile tienerealmente cuatro funciones diferentes:
G
Macfile Server permite gestionar parmetros relacionados con los servidores, incluido el nmero de sesiones que soportar el servidor, si se permite a los invitados iniciar una sesin y el mensaje que se les aparece a los usuarios al iniciar una sesin. Macfile Volume permite crear y eliminar volmenes con acceso a Macintosh y definir las propiedades de los ya existentes en el servidor. MacFile Directory permite definir los permisos en el volumen con acceso a Macintosh para los propietarios, los usuarios y los grupos utilizando especificadores de tipo Macintosh. MacFile Forkize es lo diferente: se utiliza para manipular las bifurcaciones de datos y de recursos de los archivos Macintosh de los volmenes con acceso a Macintosh. Tambin tienealgunos otros modificadores que permiten cambiar el tipo y el creador de un archivo o de un grupo de archivos.
Macfile Server La orden Macfile Server permite trabajar con los mismos parmetros que la ficha Configuracin de la ventana Propiedades de Servidor de archivos para Macintosh. A continuacin se muestra la versin completa de este comando: MACFILE SERVER [/SERVER:\\nombre de la computadora] [/MAXSESSIONS:nmero | UNLIMITED] [/LOGINMESSAGE:mensaje] [/GUESTSALLOWED: TRUE | FALSE)
Captulo 19
El indicador /SERVER permite especificar el servidor al que se aplican los cambios. Si se deja desactivado, FSM da por supuesto que se modifican las opciones del servidor local. El modificador /MAXSESSIONS permite especificar un lmite para el nmero de sesiones simultneas que se desea que soporte el servidor. El modificador /LOGINMESSAGE permite modificar el mensaje de inicio de sesin que se muestra a los usuarios. Hay que escribir el mensaje entre comillas dobles y limitarlo a menos de 255 caracteres. El modificador /GUESTSALLOWED permite especificar si el servidor acepta conexiones de invitados.
Macfile Volume Si se desea aadir, eliminar o reconfigurar volmenes con acceso a Macintosh, el comando Macfile Volume es la herramienta que hay que utilizar. Este comando tiene, en realidad, tres modos diferentes, cada uno de los cuales se activa por su propio modificador del comando.
El comando Macfile Volume /Remove
La variante menos compleja de Macfile Volume es la que permite eliminar los volmenes con acceso a Macintosh existentes. Esto no resulta sorprendente, ya que la eliminacin de un volumen slo necesita que se especifique el volumen con acceso a Macintosh que se desea eliminar (y de manera opcional el servidor que lo alberga). A continuacin se muestra el aspecto del comando: MACFILE VOLUME /REMOVE [/SERVER:\\nombre de la computadora] /NAME : nombre del volumen
G
El modificador /SERVER permite proporcionar el nombre del servidor FSM que alberga el volumen que se desea eliminar. Si no se especifica ningn nombre, el comando da por supuesto que se eliminar un volumen con acceso a Macintosh del servidor local. El modificador /NAME es la manera de especificar el volumen con acceso a Macintosh que se desea eliminar. Para eliminar un volumen cuyo nombre contenga signos de puntuacin o espacios, hay que encerrarlo entre comillas dobles.
El comando Macfile Volume /Add
Aadir un nuevo volumen resulta bastante sencillo. Cuando se crea un volumen con acceso a Macintosh nuevo utilizando el Asistente para carpeta compartida los nicos parmetros exigidos son el nombre que se desea que tenga el volumen y el camino a la carpeta en la que se ubica (y pasa lo mismo con Macfile Volume /Add). La versin completa de la orden se muestra a continuacin. (Obsrvese que los modificadores /SERVER y /NAME trabajan igual que con Macfile Volume /Remove.)
Captulo 19
MACFILE VOLUME /ADD [/SERVER:\\nombre de la computadora] /NAME:nombre del volumen /PATH:camino hasta el archivo [/READONLY:TRUE|FALSE] [/GUESTSALLOWED:TRUE|FALSE] [/ PASSWORD: contrasea] [/MAXUSERS:nmero|UNLIMITED]
G
/PATH especifica todo el camino, incluida la letra de la unidad, hasta la carpeta que se desea compartir como volumen con acceso a Macintosh. Esta carpeta no puede hallarse en el interior de una carpeta o de un volumen que ya se comparta como volumen con acceso a Macintosh. /READONLY controla si FSM trata este volumen como de slo lectura. Esto tiene el mismo efecto que la casilla de verificacin Este volumen es de slo lectura de la ventana Propiedades del volumen con acceso a Macintosh; al igual que ocurre con esa casilla de verificacin, el valor predeterminado de este modificador es FALSE. /GUESTSALLOWED controla si los invitados pueden iniciar una sesin en el volumen con acceso a Macintosh. Es idntico a la casilla de verificacin Los invitados pueden usar este volumen; su valor predeterminado es TRUE. /PASSWORD especifica una contrasea para el volumen. De manera predeterminada no se asigna ninguna contrasea al crear un volumen. /MAXUSERS determina el nmero mximo de usuarios a los que se les permite utilizar el volumen con acceso a Macintosh simultneamente. El valor predeterminado no impone ningn lmite (al igual que ocurre con la opcin Mximo permitido de la ventana Propiedades del volumen con acceso a Macintosh), pero aqu se puede especificar un lmite numrico.
El comando Macfile Volume/Set
El comando /Set de Macfile Volume permite modificar los valores proporcionados al crear el volumen con acceso a Macintosh; se puede cambiar su condicin de slo lectura, especificar si los invitados pueden utilizarlo, definir una contrasea para el volumen a indicar el nmero de usuarios que lo pueden utilizar. Su sintaxis es muy parecida a la utilizada por el modificador /Add: MACFILE VOLUME /SET [/SERVER:\\nombre de la computadora] /NAME:nombre del volumen [/READONLY:TRUE|FALSE] [/GUESTSALLOWED:TRUEIFALSE] [/ PASSWORD: contrasea] [/MAXUSERS:nmero|UNLIMITED] Macfile Directory
Captulo 19
El nombre Macfile Directory puede inducir a error; puede que hubiera sido ms acertado denominarlo Macfile Permissions (Permisos Macfile), dado que este comando se utiliza para asignar permisos a los directorios de los volmenes con acceso a Macintosh (o a los directorios que los contienen). Se puede asignar de manera individualizada un propietario o un grupo o definir los permisos para el propietario o para el grupo. El comando se muestra a continuacin. (Los modificadores /SERVER y /PATH se comportan como ya se ha estudiado.) MACFILE DIRECTORY [/SERVER:\\nombre de la computadora] /PATH:camino hasta el directorio [/OWNER:nombre del propietario] [/GROUP:nombre del grupo] [/PERMISSIONS:mscara de permisos]
G
El modificador /OWNER especifica la cuenta de Windows 2000 que posee el volumen con acceso a Macintosh. Este cambio se aplica al directorio actual del volumen y se refleja tambin en el apartado para compartir de la ventana de informacin del sistema operativo Mac OS del volumen (tanto el cliente Mac OS como el servidor FSM ven el cambio de propiedad). El modificador /GROUP cambia el grupo principal que tiene los permisos de Mac OS para el volumen con acceso a Macintosh. Dado que los clientes de Mac OS slo pueden resolver los permisos para una entrada de grupo, hay que escoger el permiso de grupo de Windows 2000 que vaya a ser el principal. Nombre del grupo puede ser el nombre de cualquier grupo vlido de Windows 2000, tanto local como guardado en el directorio de dominio. El modificador /PERMISSIONS acepta como argumento una mscara de bits de once cifras que especifica, bit a bit, los permisos que se desea aplicar al volumen con acceso a Macintosh en cuestin.
Con una sola excepcin (la activacin del bit 11 de la mscara del modificador /PERMISSIONS), ninguno de estos cambios se aplica de manera recursiva. Macfile Forkize El comando restante, Macfile Forkize, se asemeja a una navaja suiza: tiene varias funciones tiles que no suelen hacer falta, pero que a veces resultan realmente prcticas. Macfile Forkize se utiliza para dos cosas: cambiar el cdigo tipo o creador de un archivo o combinar las bifurcaciones de recursos y de datos de un archivo. A continuacin se muestra la sintaxis del comando: MACFILE FORKIZE /TARGETFILE:camino hasta el archivo [/SERVER:\\nombre de la computadora] [/TYPE: cdigo tipo] [/CREATOR:cdigo creador]
Captulo 19
[/DATAFORK:camino hasta el archivo] [/RESOURCEFORK:camino hasta el archivo]

G
El modificador /TARGETFILE designa el camino completo hasta el archivo al que se desea aplicar forkize. Si se combinan una bifurcacin de datos y una de recursos, /TARGETFILE especifica el lugar al que va el archivo resultante. Si se cambia el tipo o el creador, especifica el lugar en que se halla el archivo que se va a modificar. Como siempre, los caminos que contienen caracteres especiales o espacios deben escribirse entre comillas dobles. Los modificadores /TYPE y /CREATOR permiten especificar los cdigos tipo y creador de cuatro caracteres de un archivo concreto. Por ejemplo, para modificar un solo archivo de modo que su tipo sea TEXT y su cdigo creador coincida con el de Macromedia Dreamweaver, hay que utilizar este comando: macfile forkize /targetfile:f:\compartida\html\bienvenida.htm / type:TEXT /creator:DmWr Se trata de una manera rpida de componer los tipos y creadores de los archivos existentes despus de haber cambiado las asociaciones. Los modificadores /DATAFORK y /RESOURCEFORK especifican las ubicaciones de los archivos cuyas bifurcaciones se desea unir. FSM no realiza ninguna comprobacin relativa a la racionalidad de la solicitud, por lo que no hay nada que impida unir la bifurcacin de recursos de Microsoft Word 98 para Macintosh con la de datos de un documento (por ejemplo).
Impresoras compartidas con PSM

PSM funciona de dos modos diferentes pero relacionados. En primer lugar, permite a los usuarios de Mac OS imprimir en cualquier impresora compartida por el servidor de Windows 2000 PSM. En lo relativo a los usuarios de Macintosh, cualquier impresora (independientemente de sus posibilidades intrnsecas) compartida por el servidor PSM aparece como una impresora PostScript nivel 1 de 300 puntos por pulgada. Afortunadamente, el servicio PSM tambin funciona al revs: permite capturar impresoras de red AppleTalk para que los usuarios de Windows puedan imprimir en colas de Windows 2000 Server y hacer que sus trabajos vayan a las impresoras AppleTalk, sin instalar AppleTalk en los propios clientes. Antes de instalar PSM Como ya se ha mencionado en el apartado Configuracin de los servicios de archivos y de impresin, el mejor modo de instalar PSM es instalar, configurar y probar en primer lugar el protocolo AppleTalk. Una vez seguros de que funciona correctamente, el paso siguiente es crear una cuenta de usuario para el servicio PSM. FSM no necesita una cuenta propia, dado que los permisos ya estn definidos en los archivos y en las carpetas que pone a disposicin de los usuarios de Macintosh. Sin embargo, para controlar la impresin hace falta tener una cuenta diferente a la que se le puedan asignar permisos. Hay que crear un nuevo usuario que se emplear exclusivamente con PSM, y luego hay que seguir el procedimiento siguiente para configurar el servicio con PSM para utilizar esta cuenta en lugar de las
Captulo 19
credenciales LocalSystem predeterminadas. 1. Hay que abrir el complemento Administracin de equipos desde una consola MMC. 2. Hay que pasar a la vista Servicios. 3. Hay que hallar el servicio Servidor de impresin para Macintosh, pulsarlo con el botn derecho del ratn y escoger Propiedades. 4. En la ventana Propiedades del Servidor de impresin para Macintosh, hay que pulsar la ficha Iniciar sesin y la opcin Esta cuenta. Se activan los controles de la cuenta y de la contrasea. Hay que seleccionar la cuenta PSM creada, escribir su contrasea en el campo correspondiente y pulsar Aceptar. Impresoras compartidas con usuarios de Macintosh El primer paso para crear una impresora en la que puedan imprimir los usuarios de Mac OS es crear una impresora compartida, bien creando desde el principio una impresora nueva utilizando el Asistente para agregar impresoras, bien compartiendo una impresora ya existente. Si se desea compartir una impresora existente que ya est conectada al servidor de Windows 2000, basta con ir a la ficha Compartir de su ventana Propiedades, seleccionar la opcin Compartido como y asignarle un nombre a la impresora compartida. Si se crea una impresora nueva, el proceso resulta ligeramente ms complicado. 1. Hay que iniciar el Asistente para agregar impresoras pulsando dos veces en el icono Agregar impresora de la carpeta Impresoras. Cuando aparece el asistente, hay que pulsar Siguiente para pasar a la pgina siguiente. 2. En la siguiente pantalla del asistente, hay que seleccionar la opcin Impresora local y, si resulta adecuado, la casilla de verificacin Detectar a instalar mi impresora Plug And Play automticamente. Hay que pulsar Siguiente. 3. En la pantalla Seleccionar el puerto de impresora del Asistente, hay que seleccionar la opcin Crear nuevo puerto y, en la lista tipo, Dispositivos de impresin de AppleTalk. Hay que pulsar Siguiente. 4. El asistente despliega un explorador de AppleTalk que funciona de manera muy parecida al explorador estndar Mi Pc al que estn habituados todos los usuarios de Windows. Hay que buscar en las zonas de AppleTalk de la red hasta hallar la impresora que se desea utilizar, seleccionarla y pulsar Aceptar en el explorador. 5. Hay que completar el Asistente para agregar impresoras ponindole nombre a la impresora nueva (utilizando un nombre de menos de 32 caracteres de longitud) y asegurndose de compartir la impresora cuando se pregunte si se desea hacerlo. Como parte del proceso de configuracin, se pueden imponer restricciones en cuanto a las personas autorizadas a utilizar la impresora (con la ficha Seguridad de la ventana Propiedades de la impresora) o en cuanto al momento y el modo de emplearla (con la
Captulo 19
ficha Avanzadas). Una vez concluido este proceso, la impresora compartida recin creada queda a disposicin de los usuarios de Macintosh en cuanto se interrumpe y reinicia el servicio PSM. Captura de las impresoras AppleTalk existentes La captura de una impresora AppleTalk tienedos efectos secundarios. El primero es que los usuarios de Mac OS ya no pueden imprimir directamente en el dispositivo capturado, lo cual es el resultado de la captura. El segundo es que cualquier usuario, de Mac OS o de Windows, del servidor PSM puede imprimir en el dispositivo capturado, siempre que se haya compartido. Para capturar una impresora AppleTalk ya existente, hay que crear antes una impresora compartida para representarla en el servidor de Windows 2000 mediante el procedimiento siguiente: 1. Hay que crear una nueva impresora compartida mediante el Asistente para agregar impresoras. Hay que indicar al asistente que la impresora est conectada localmente. 2. Hay que ir a la ficha Puertos de la ventana Propiedades de la impresora y pulsar el botn Agregar puerto. 3. Cuando aparece el cuadro de dilogo Puertos de impresora, hay que escoger Dispositivos de impresin AppleTalk en la lista Tipos de puerto disponibles y pulsar el botn Puerto nuevo. 4. Aparece el explorador de dispositivos de impresin AppleTalk. Hay que escoger la zona AppleTalk que contiene la impresora que se desea capturar y pulsar Aceptar. Si se desea liberar una impresora capturada o volver a capturar una que se haya liberado, se puede utilizar la ficha Puertos de la ventana Propiedades de la impresora. Para ello hay que seguir el procedimiento siguiente: 1. Hay que seleccionar la impresora deseada, abrir su ventana Propiedades a ir a la ficha Puertos. 2. En la ficha Puertos hay que pulsar el botn Configurar puerto. 3. Hay que seleccionar o deseleccionar la casilla de verificacin Reservar este dispositivo de impresin AppleTalk. 4. Hay que interrumpir y reanudar el servicio PSM. Hay que recordar que los dispositivos capturados slo estn disponibles para los usuarios de Windows y de Mac OS que imprimen en la cola correspondiente de Windows 2000 PSM Server; las impresoras AppleTalk no capturadas o liberadas slo estn disponibles para los clientes que utilizan AppleTalk.
Captulo 19
Captulo 20
Captulo 20
Servicios de Terminal Server de Windows se introdujo para Microsoft Windows NT 4 Server con la edicin independiente Terminal Server Edition, pero en Microsoft Windows 2000 es un componente integrado en todos los servidores de Windows 2000: tan slo otro servicio instalable. Servicios de Terminal Server de Windows se puede utilizar como mecanismo para la gestin y el control de los servidores desde cualquier parte de la empresa o aprovechar su capacidad como servidor de aplicaciones para simplificar enormemente la implantacin y el mantenimiento de un amplio rango de aplicaciones para una poblacin de usuarios heterognea.
Conceptos
Servicios de Terminal Server de Windows es un concepto nuevo para muchos administradores de sistemas que esperan que los sistemas sean, bsicamente, de un solo usuario. Aporta a Windows capacidad multiusuario verdadera. Los sistemas UNIX han sido, de manera tradicional, principalmente sistemas multiusuario, con un nico servidor de gran tamao que atiende a muchas terminales. Cada usuario que se conecta a un servidor de Windows 2000 mediante Servicios de Terminal Server de Windows utiliza en realidad los recursos del propio servidor, no los de la estacin de trabajo concreta en la que se halla sentado. El usuario no depende de la velocidad de la estacin de trabajo, sino que, en realidad, comparte el procesador, la RAM y los discos duros del propio servidor. Cada usuario obtiene su propia sesin de Servicios de Terminal Server de Windows, y cada sesin est completamente aislada de las dems sesiones del mismo servidor. Un programa que falle en una sesin puede hacer que el usuario de esa sesin tenga un problema, pero ello no afecta a los dems usuarios. Cada usuario que se conecta a un servidor de Windows 2000 mediante Servicios de Terminal Server de Windows acta realmente como un terminal de ese servidor. Servicios de Terminal Server de Windows soporta como terminales una amplia variedad de mquinas: desde estaciones con pantalla pero sin disco que ejecutan Microsoft Windows CE completamente en la memoria hasta estaciones de trabajo de Microsoft Windows 95/98 o servidores de Windows 2000. El terminal slo es responsable de las funciones de la consola: es decir, el teclado, el ratn y la pantalla real. Todo lo dems reside en el servidor y es parte del mismo. Acceso remoto Servicios de Terminal Server ofrece la solucin ideal para el usuario mvil que necesita poder ejecutar aplicaciones que hacen un uso intensivo de la red o del procesador incluso a travs de conexiones de acceso telefnico. Como la mquina local slo es responsable de la consola real, los requisitos de
Captulo 20
respuesta y de ancho de banda son sustancialmente menores que a la hora de intentar ejecutar las aplicaciones a travs de la lnea telefnica. Gestin centralizada Como todas las aplicaciones de una sesin de Servicios de Terminal Server de Windows se ejecutan en el servidor, la gestin de las sesiones y de las aplicaciones se simplifica enormemente. Slo hay que llevar a cabo una vez los cambios en las aplicaciones o en las configuraciones, y todas las sesiones de Servicios de Terminal Server de Windows los ven. Adems, Servicios de Terminal Server de Windows permite a los administradores ver lo que sucede en las sesiones de los usuarios o, incluso, controlarlas directamente. El personal de los servicios de atencin al usuario puede ver realmente lo que ve el usuario sin necesidad de desplazarse. Si el usuario est configurado consecuentemente, el personal del servicio de atencin al usuario puede compartir el control de la sesin y guiar al usuario en la resolucin de problemas complejos. Al configurarse en el modo de administracin remota, Servicios de Terminal Server de Windows puede utilizarse tambin como herramienta de gestin. Al activarse en este modo los administradores pueden iniciar directamente una sesin en la mquina desde sus computadoras de sobremesa para llevar a cabo el mantenimiento normal del sistema sin tener que desplazarse hasta la consola del servidor. Esto supone un potente aadido al repertorio de los administradores, la activacin del control directo de todos los servidores sin necesidad de abandonar la computadora de sobremesa. Puede que cada administrador de sistema active el modo de administracin remota de todos sus servidores. La sobrecarga del servidor es mnima en comparacin con las ventajas.
Requisitos
Servicios de Terminal Server de Windows puede instalarse en cualquier mquina que soporte Windows 2000 Server. Necesita aproximadamente 14 Mb de espacio adicional de disco duro para albergar los archivos de instalacin del cliente, pero no necesita ningn espacio adicional para el sistema operativo. No obstante, los requisitos reales son sustancialmente ms elevados para las mquinas que se vayan a utilizar con Servicios de Terminal Server de Windows en modo servidor de aplicaciones. Dado que cada usuario ejecutar sus programas en el propio servidor, hay que determinar exactamente el modo en que trabajarn los usuarios y sus necesidades reales. Cada instalacin ser diferente, pero se pueden facilitar algunas directrices para ayudar a dimensionar adecuadamente el servidor. RAM Cada sesin del servidor de Servicios de Terminal Server de Windows utiliza un mnimo de unos 20 Mb de RAM slo para el inicio de sesin. A esto hay que aadirle la RAM necesaria para ejecutar los programas que cada sesin inicie. Un usuario normal que utilice Microsoft Outlook, Microsoft Word y Microsoft Excel mientras se conecta a Internet utilizar aproximadamente 40 Mb de RAM, es decir, unos
Captulo 20
20 Mb ms de lo que necesita la propia sesin. Sin embargo, los usuarios avanzados pueden llegar a utilizar fcilmente el doble de memoria, mientras que los desarrolladores y otros usuarios extremos pueden necesitar todava ms. CPU La prediccin exacta de la potencia de CPU que se necesitar por usuario es difcil, dado que cada usuario tiene un conjunto de aplicaciones diferente. Pero un procesador Pentium II a 400 MHz debera poder soportar entre quince y treinta usuarios, en funcin del tipo de usuario y suponiendo que se dispone de suficiente RAM como para evitar un exceso de paginacin. La red El use tpico de la red depende del tipo de cliente y de la cantidad de grficos que se transmitan (hace falta mucha menos anchura de banda para soportar una conexin de 800x600 que para soportar una conexin de 1280x1024), pero la anchura de banda promedio por usuario debe hallarse entre los 2 y los 6 Kbps. Planificacin de la capacidad Las cifras recin mencionadas deberan ofrecer un punto de partida para la planificacin de la implementacin de Servicios de Terminal Server, pero la capacidad final que requiere la implementacin depende de la situacin concreta. Estas cifras slo deben utilizarse como punto de partida para la planificacin. Se debe crear un entorno de prueba que simule la implementacin definitiva a menor escala con usuarios y aplicaciones reales para obtener los datos necesarios. Algunos de los factores que desempean un papel ms importante en los requisitos de la implementacin de Servicios de Terminal Server son los siguientes:
G
Las aplicaciones que vayan a ejecutar los usuarios, es decir, si utilizan una nica aplicacin dedicada o una amplia variedad de aplicaciones bsicamente estndar. Si los usuarios realizan principalmente una nica tarea rutinaria o son trabajadores que utilizan las computadoras como herramienta principal. Si los usuarios estn conectados mediante LAN o constituyen una mezcla de usuarios de WAN, LAN y computadoras porttiles.
Instalacin
Para instalar Servicios de Terminal Server de Windows hay que seleccionar la opcin Servicios de Terminal Server en el cuadro de dilogo Instalacin de Windows 2000 Server durante la instalacin inicial de Windows 2000 Server, o de aadir el servicio despus de que la instalacin de Windows 2000 Server est completa, utilizando el Asistente para componentes de Windows. Si se decide aadir Servicios de Terminal Server despus de la instalacin inicial, no obstante, debe hacerse antes de instalar
Captulo 20
ninguna aplicacin en el servidor si se piensa utilizar el servidor como servidor de aplicaciones. Si slo se instala Servicios de Terminal Server en modo administrativo, el momento de la instalacin es menos importante, pero sigue siendo ms conveniente aadir Servicios de Terminal Server cuanto antes despus de la instalacin inicial. Instalacin de Servicios de Terminal Server Para instalar Servicios de Terminal Server de Windows durante la instalacin inicial de Windows 2000 Server, hay que realizar una instalacin que no suponga una actualizacin, a menos que se actualice una instalacin de Windows NT 4 Terminal Server Edition. Si se realiza una instalacin nueva se tiene la posibilidad de cambiar los componentes de Windows que se instalarn nada ms asignarle a la mquina su nombre y su contrasea inicial de Administrador. Hay que seleccionar Servicios de Terminal Server en la lista de componentes. Si la mquina en la que se va a instalar Servicios de Terminal Server va a ser tambin controladora del dominio tambin se puede instalar Licencias de Servicios de Terminal Server. El componente Servicios de Terminal Server de Windows 2000 Server necesita aproximadamente 14 Mb de espacio en el disco duro, pero esto es slo para los archivos creadores de la instalacin cliente. Servicios de Terminal Server en s no necesita espacio adicional para el sistema operativo. Sin embargo, cada usuario que se conecte mediante Servicios de Terminal Server necesitar un mnimo de 400 Kb de espacio en el disco para su perfil (y muchos de los usuarios necesitarn mucho ms espacio) y el espacio de almacenamiento que utilice en el servidor. Servicios de Terminal Server de Windows puede agregarse despus de la instalacin inicial de Windows 2000 Server. Se puede utilizar el Asistente para configurar el servidor si se desea o, sencillamente, abrir Agregar o quitar programas en el Panel de control. En cualquier caso, se debe instalar Servicios de Terminal Server de Windows en cuanto resulte prctico tras la instalacin de Windows 2000. Para instalar Servicios de Terminal Server utilizando el Panel de control:
Captulo 20
1. Abrir Agregar o quitar programas en el Panel de control. 2. Pulsar Agregar o quitar componentes de Windows en el panel izquierdo del cuadro de dilogo para abrir el Asistente para componentes de Windows. 3. Seleccionar Servicios de Terminal Server en la lista de componentes de Windows disponibles. No hay que realizar ningn cambio en los dems parmetros de este asistente a menos que se vayan a agregar o quitar otros componentes. 4. Tambin se puede seleccionar Licencias de servicios de Terminal Server, si esta mquina est destinada a ser controladora de dominio. Una vez realizadas las selecciones correspondientes, hay que pulsar Siguiente para seleccionar el modo apropiado de Servicios de Terminal Server: bien Modo de administracin remota, bien Modo de servidor de aplicaciones. (Si se opt por instalar Licencias de Servicios de Terminal Server, hay que pulsar Siguiente para mostrar la pantalla Configuracin de Licencias de Servicios de Terminal Server; hay que hacer aqu los cambios que se consideren necesarios.) Hay que pulsar Siguiente y Windows 2000 comenzar el proceso de configuracin. 5. Se solicitar la insercin del CD-ROM original de Windows 2000 Server. Si los archivos necesarios se hallan en una ubicacin diferente, hay que seguir adelante y pulsar Aceptar de todos modos. Se tendr oportunidad de escoger una ubicacin diferente de la predeterminada ms adelante. 6. Hay que pulsar el botn Finalizar una vez cargados los archivos adicionales. Luego se solicitar un reinicio de la mquina. Las modificaciones realizadas no se harn efectivas hasta despus de ese reinicio. Instalacin de los programas La instalacin de programas en los servidores de Windows 2000 con Servicios de Terminal Server instalado en modo de administracin remota no se diferencia de la instalacin en servidores sin Servicios de Terminal Server. No se necesitan procedimientos especiales, modificaciones en el proceso de instalacin ni secuencias de comandos especiales para compatibilidad . Si la aplicacin se va a instalar y a ejecutar en Windows 2000 Server, se debe instalar y ejecutar con Servicios de Terminal Server
Captulo 20
instalado en modo de administracin remota. Por otra parte, la instalacin de programas en servidores de Windows 2000 con Servicios de Terminal Server instalado en modo de servidor de aplicaciones es un asunto distinto. Cuando se activa el modo servidor de aplicaciones, Windows 2000 sabe que debe prepararse para tratar con varios usuarios que tendrn acceso a la misma aplicacin que se ejecutar simultneamente en espacios de memoria diferentes sin interferencias ni cruces. Hay que seguir con precaucin el procedimiento necesario para asegurar que la aplicacin se instale correctamente y que funcione adecuadamente como aplicacin multiusuario. No todas las aplicaciones se instalan con xito y, de entre las aplicaciones soportadas y que se instalan con xito, algunas necesitan procedimientos especiales o la ejecucin de secuencias de comandos de compatibilidad. Hay que consultar la documentacin de cada aplicacin. Puede que se desee examinar el sitio que VeriTest mantiene en http://www.veritest.com, que muestra las aplicaciones que se han probado para su uso en el entorno de Servicios de Terminal Server.
Los modos Install y Execute
Windows 2000 Server, cuando se configura como Servidor de aplicaciones de Servicios de Terminal Server, tiene dos modos de operacin distintos, el modo de instalacin y el modo de ejecucin. Para instalar una aplicacin en un servidor hay que estar en modo instalacin o la aplicacin no se instalar correctamente. Windows 2000 suele ser lo suficientemente inteligente como para reconocer si se est ejecutando un programa de instalacin y se negar a permitir su instalacin mientras el servidor est en modo de ejecucin. Por desgracia, este mecanismo de proteccin no funciona siempre cuando se introduce un CD en la unidad de CD-ROM; a menudo, el programa de instalacin se inicia de manera automtica. Permitir la ejecucin automtica de un CD elude a veces el algoritmo de reconocimiento y se intenta la instalacin del programa, generalmente en aquellos CD que tienen mens de entrada con un nombre diferente de Setup.exe. Se puede pasar al modo de instalacin de dos maneras: utilizando el comando Change de la lnea de comandos o Agregar o quitar programas del Panel de control. En general es mejor utilizar Agregar o quitar programas, pero cuando hay que secuenciar una instalacin se debe utilizar la versin de la lnea de comandos. Agregar o quitar programas para instalar aplicaciones: Generalmente, la instalacin de aplicaciones nuevas desde la consola del servidor resulta ms conveniente, aunque no sea imprescindible en la mayor parte de los casos. Cuando se ejecuta la instalacin desde all, sin embargo, hay que asegurarse de que todos los usuarios han cerrado sus sesiones en el servidor del terminal antes de comenzar la instalacin.
Captulo 20
Para instalar un programa utilizando Agregar o quitar programas, hay que seguir el procedimiento siguiente: 1. Abrir Agregar o quitar programas en el Panel de control. 2. Pulsar Agregar nuevos programas y CD o disco de 3"1/2 para que aparezca el cuadro de dilogo Instalar programa desde disco o CD-ROM. Pulsar Siguiente. 3. Se abrir el cuadro de dilogo Ejecutar programa de instalacin. Si Windows 2000 puede hallar el programa de instalacin, ste aparecer destacado en el cuadro Abrir. Pero si se realiza la instalacin desde una unidad de red o Windows 2000 no puede hallarlo por algn otro motivo, hay que utilizar el botn Examinar para encontrar el programa de instalacin de la aplicacin que se vaya a instalar. 4. Cuando se ha destacado en el cuadro el programa de instalacin correspondiente, hay que pulsar Siguiente para comenzar la instalacin. Mientras transcurre la instalacin permanecer abierto en segundo plano el cuadro de dilogo Despus de la instalacin. 5. Una vez completada la instalacin, con xito o sin l, no hay que aceptar el reinicio automtico de la mquina si hay varias alternativas y la mquina pide una. Hay que concluir la instalacin y volver al cuadro de dilogo Despus de la instalacin. Hay que pulsar Siguiente para pasar al ltimo cuadro de dilogo y pulsar Finalizar. Si la aplicacin necesita un reinicio, se puede realizar ahora. El comando Change El comando Change se introdujo en Windows NT 4 Terminal Server Edition y slo est disponible en Windows 2000 Server si se ha instalado Servicios de Terminal Server. El comando Change permite pasar de un modo de usuario a otro (instalacin y ejecucin), cambiar las asignaciones de los puertos para las sesiones de Servicios de Terminal Server y activar o desactivar los inicios de sesin en Servicios de Terminal Server. Los tres comandos bsicos, y sus opciones para el comando Change, son las siguientes: 1. Change User: Inicia el cambio entre los modos de instalacin o de ejecucin cuando se ejecuta como servidor de aplicaciones. Sus opciones son: G /Install: Instala las aplicaciones nuevas en el servidor para el acceso multiusuario. G /Execute: Permite que los programas se ejecuten en modo multiusuario (el valor predeterminado al inicio). G /Query: Muestra el modo de usuario actual. 2. Change Port: Cambia las asignaciones de puertos de las asignaciones de los puertos COM para compatibilidad con MS-DOS. Sus opciones son: G portx=porty: Asigna el puerto X al puerto Y G /D portx: Elimina la asignacin actual para el puerto X. G /Query: Muestra las asignaciones de puertos actuales. 3. Change Logon: Activa o desactiva los inicios de sesin. Sus opciones son: G /Enable: Permite a los usuarios iniciar una sesin desde las sesiones de Servicios de Terminal Server. G /Disable: Impide a los usuarios el inicio de sesin. (No se desconectan ni concluyen las
Captulo 20
sesiones abiertas.) /Query: Muestra el estado actual de los inicios de sesin.
Comando Change para instalar aplicaciones: Tambin se pueden instalar aplicaciones nuevas en Servicios de Terminal Server de Windows utilizando el comando Change. Esto resulta especialmente til para secuenciar instalaciones que se instalarn en varios servidores de terminales con una configuracin idntica. Para instalar una aplicacin nueva utilizando el comando Change, hay que seguir el procedimiento siguiente: 1. Desactivar los nuevos inicios de sesin en el servidor escribiendo change logon /disable. 2. Averiguar los usuarios que se tienen una sesin abierta en el servidor y los IDs de sus sesiones escribiendo query session. 3. Advertir a los usuarios de que deben cerrar sus sesiones escribiendo net send * mensaje. 4. Restablecer las sesiones de los usuarios con una sesin abierta en el servidor con el comando reset session <Iddesesin>. 5. Pasar al modo de instalacin con el comando change user /install. 6. Ejecutar el programa de configuracin o de instalacin de la aplicacin. 7. Volver al modo de ejecucin escribiendo change user /execute. 8. Reactivar los inicios de sesin en el servidor con change logon /enable. El uso del comando Change junto con otras utilidades de la lnea de comandos incluidas con Windows 2000 permite secuenciar fcilmente la instalacin de programas en Servicios de Terminal Server de Windows. En organizaciones grandes en que se utilizan varios servidores para dar soporte a grandes poblaciones de usuarios, el uso de utilidades de la lnea de comandos asegura que las aplicaciones se instalen de manera uniforme en toda la empresa, lo que simplifica el soporte y la formacin. Instalacin de Office 2000 La instalacin de Microsoft Office 2000 en servidores de Windows 2000 que trabajen en modo servidor de aplicaciones necesita consideraciones especiales. Al igual que muchas aplicaciones que estn diseadas principalmente como aplicaciones monousuario, hay que ajustar los valores de configuracin para evitar el deterioro de datos especficos de cada usuario cuando la aplicacin se ejecuta en entornos multiusuario. Hace falta una parte del Kit de recursos de Office 2000 para instalar Office 2000 para su uso en un servidor de Servicios de Terminal Server de Windows 2000. Hay que instalar la parte de herramientas bsicas del kit, que se puede descargar de http://www.microsoft.com/office/ork/2000/appndx/toolhox.htm. Una vez instalada, hay que ejecutar Agregar o quitar programas para instalar Office 2000 de la manera siguiente: 1. Iniciar una sesin en la consola del servidor con una cuenta que tenga privilegios administrativos. La instalacin no se ejecutar desde el interior de una sesin de Servicios de Terminal Server.
Captulo 20
2. Abrir Agregar o quitar programas en el Panel de control. Hay que pulsar Agregar programas nuevos y pulsar el botn CD o disco de 3 1/2. 3. Si el programa de instalacin para Office 2000 no se halla de manera automtica, hay que utilizar el botn Examinar para hallarlo. Una vez aparezca el programa de instalacin. 4. Modificar la lnea de comandos que aparece para aadir TRANSFORMS=<RUTA>\ termsrvnmst al final. Hay que sustituir la parte <RUTA> por el camino hasta la instalacin de Herramientas de Servicios de Terminal Server desde el Kit de recursos de Office 2000. La ubicacin predeterminada de este archivo es C:\Archivos de programa\ORKTools\ ToolBox\Tools\Terminal Server Tools\termsrvr.mst, pero no hay ningn inconveniente en cambiarla por una ubicacin ms sencilla de escribir. Hay que pulsar Siguiente para comenzar la instalacin. 5. Cuando haya concluido la instalacin, hay que cerrar el cuadro de dilogo Despus de la instalacin pulsando Siguiente y despus Finalizar. La instalacin especial de Office 2000 es un ejemplo de las secuencias de comandos para compatibilidad que necesitan muchas aplicaciones para ejecutarse de manera correcta en Servicios de Terminal Server.
Administracin
Servicios de Terminal Server de Windows puede administrarse de manera centralizada y configurarse en el dominio desde una sola consola. Se utilizan cuatro aplicaciones principales para administrar los servidores y los clientes de Servicios de Terminal Server:
G
G G
Administrador de Servicios de Terminal Server: Muestra y controla las conexiones de todos los servidores de Servicios de Terminal Server de la red Configuracin de Servicios de Terminal Server: Slo se ejecuta de manera local en cada servidor de terminales; es un complemento de Microsoft Management Console (MMC) que permite modificar la configuracin del servidor local de Servicios de Terminal Server. Creador de clientes de Terminal Server: Crea discos de Cliente de Terminal Server Licencias de Servicios de Terminal Server: Gestiona las licencias de acceso cliente para Servicios de Terminal Server en el dominio o en el grupo de trabajo.
Administrador de Servicios de Terminal Server Administrador de Servicios de Terminal Server (Tsadmin.exe) es el principal mecanismo para la gestin de las diferentes conexiones con los servidores. Desde el Administrador no slo pueden verse los servidores de terminales disponibles en la red, sino tambin los usuarios conectados a ellos, las sesiones que estn activas, los protocolos que se estn utilizando, etc.
Visin general
Administrador de Servicios de Terminal Server muestra todos los servidores del dominio. De manera
Captulo 20
predeterminada slo se conecta a un servidor a la vez, aunque se puede optar por conectarse con todos los servidores disponibles de manera simultnea. Los iconos para la conexin activa actual, el servidor y el dominio se muestran en un color diferente (de manera predeterminada, verde). Con Administrador de Servicios de Terminal Server se pueden ver y gestionar los usuarios, las sesiones y los procesos agrupados por red, dominio, servidor o conexin, lo que ofrece una visin global de la informacin crtica para la implantacin de Servicios de Terminal Server.
Bsqueda de servidores
Se puede utilizar Administrador de Servicios de Terminal Server para identificar todos los servidores de la red que se hallan activos o todos los servidores de un dominio concreto. Para hallar todos los servidores de un dominio, hay que pulsar con el botn derecho del ratn el nombre del dominio en el panel izquierdo de Administrador de Servicios de Terminal Server y seleccionar Buscar servidores en el dominio. Para hallar todos los servidores de la red, hay que pulsar con el botn derecho del ratn Todos los servidores listados y escoger Buscar servidores en todos los dominios. El uso de cualquiera de los comandos Buscar servidores genera una serie de mensajes de difusin de mbito de dominio o de red, por lo que debe utilizarse con precaucin.
Establecimiento de conexiones
Para gestionar los procesos, las sesiones y los usuarios conectados a un servidor dado hay que conectar en primer lugar con ese servidor mediante Administrador de Servicios de Terminal Server. Para conectar con un servidor, hay que pulsar su icono con el botn derecho del ratn en el panel izquierdo de Administrador de Servicios de Terminal Server y escoger Conectar. Para conectar con todos los servidores de un dominio, hay que pulsar el nombre del dominio con el botn derecho del ratn en el panel izquierdo de Administrador de Servicios de Terminal Server y escoger Conectar a todos los servidores del dominio. Para conectar con todos los servidores de la red, hay que pulsar el icono Todos los servidores listados con el botn derecho del ratn y escoger Conectar a todos los servidores. Conectar con todos los servidores de un dominio o de la red es un proceso de red intensivo y puede deteriorar gravemente el rendimiento de la red. En circunstancias
Captulo 20
normales slo hay que conectar con un nico servidor

Gestin de las conexiones
Administrador de Servicios de Terminal Server permite examinar y gestionar cada una de las conexiones con los servidores de terminales, incluidas las conexiones con inicio de sesin local que aparecen como sesiones de consola. Desde cualquier sesin, que no sea de consola, que tenga los permisos suficientes se puede obligar a desconectar una sesin, restablecer completamente una sesin, cerrar una sesin, ver el estado de la conexin, gestionar las sesiones de los usuarios, enviar mensajes a la pantalla de la conexin, utilizar el control remoto para asumir el control de una sesin en la conexin y conectar con cualquier otra sesin. Tambin se puede utilizar Administrador de Servicios de Terminal Server para ver diversa informacin sobre los procesos y sobre el estado de las conexiones con un servidor e, incluso, finalizar un proceso bloqueado. Desde el interior de las sesiones de las consolas, la nica caracterstica disponible es Enviar mensaje. Esto hace difcil la gestin de los servidores desde una de las consolas. Si la estacin de trabajo habitual es, en realidad, la consola de uno de los servidores, hay que abrir una sesin de terminal con el servidor y trabajar desde ella; se tendr plena capacidad para gestionar y controlar desde all el entorno de Servicios de Terminal Server. Desconexin de las sesiones: Cuando se desconecta una sesin continan ejecutndose todos los programas de esa sesin, pero se dejan de transmitir a la terminal remota las entradas y salidas de datos de la sesin. La desconexin de una sesin deja en su estado normal los programas y los datos del usuario, lo que los protege de la prdida de datos. La desconexin de una sesin no libera memoria ni otros recursos del servidor, y la sesin sigue contabilizndose como sesin con licencia. Cualquier usuario puede desconectar su propia sesin, y los administradores con el privilegio de control total pueden desconectar cualquier sesin. Para desconectar una sesin utilizando Administrador de Servicios de Terminal Server, hay que pulsar la sesin con el botn derecho del ratn en cualquiera de los paneles de Administrador de Servicios de Terminal Server y escoger Desconectar en el men de accesos directos. Se solicitar confirmacin. Hay que pulsar Aceptar y se desconectar la sesin. Se pueden desconectar tambin varias sesiones de diversos servidores. Basta con destacar las sesiones en el panel derecho de Administrador de Servicios de Terminal Server y pulsarlas con el botn derecho del ratn. Hay que escoger Desconectar en el men, pulsar Aceptar y la sesin se desconecta. La consola en que aparecan las sesiones recibir un mensaje. Cuando se pulsa Cerrar en el mensaje, desaparece el cuadro de mensaje. La desconexin de una sesin de Servicios de Terminal Server tiene muchas ventajas para los usuarios de computadoras porttiles que puede que necesiten conectarse desde ubicaciones diferentes o que deseen trabajar en intervalos relativamente cortos cuando
Captulo 20
disponen de tiempo. Cuando uno se desconecta de una sesin, todo sigue ejecutndose, igual que si se estuviera conectado. Por tanto, cuando se vuelve a establecer la conexin con el mismo servidor, la sesin se restaura exactamente igual que se dej. Se puede volver fcilmente a un proyecto o a un documento exactamente en el punto en que se abandon. Restablecimiento de sesiones: Se puede restablecer una sesin si es la propia o se dispone del privilegio de control total para las sesiones. Cuando se restablece una sesin, se pierde todo el trabajo de esa sesin, los programas dejan de ejecutarse y se libera la memoria. Para restablecer una sesin, hay que pulsarla con el botn derecho del ratn y escoger Restablecer en el men. Se recibir un mensaje de advertencia. Hay que pulsar Aceptar y la sesin se restablecer. Se pueden restablecer varias sesiones destacndolas en el panel derecho de Administrador de Servicios de Terminal Server, pulsndolas con el botn derecho del ratn y seleccionando Restablecer. Hay que tener el privilegio de control total para cada una de las sesiones, o deben ser sesiones propias. El restablecimiento de una sesin puede dar lugar a prdida de datos para el usuario de esa sesin. Slo se debe restablecer una sesin cuando haya dejado de responder o haya dado problemas de otro tipo. Cierre de sesiones: Se puede cerrar la sesin propia o la de otro usuario si se dispone del privilegio de control total. Hay que pulsar la sesin con el botn derecho del ratn en el panel derecho de Administrador de Servicios de Terminal Server y seleccionar Desconectar en el men de accesos directos. Se recibir un mensaje de advertencia sobre el cierre de la sesin del usuario. Si se pulsa Aceptar, la sesin se cerrar. El cierre de una sesin libera los recursos que utilizaba y los devuelve para su use por otras conexiones. El cierre de una sesin puede dar lugar a prdida de datos para los usuarios de esa sesin. Siempre se debe advertir a los usuarios envindoles un mensaje antes de cerrar la sesin. Examen de los procesos y de otra informacin relativa a las sesiones: Se pueden examinar los procesos activos de una sesin y mucha otra informacin relativa a la sesin, incluido el cliente del que
Captulo 20
procede la sesin, el nivel de seguridad, la resolucin de la sesin, etc. Para ver los procesos activos de una sesin, hay que destacar la sesin en el panel izquierdo de Administrador de Servicios de Terminal Server y pulsar la ficha Procesos del panel derecho. Para ver la informacin relativa a la misma sesin, hay que pulsar la ficha Informacin del panel derecho. Tambin se puede utilizar Administrador de Servicios de Terminal Server para mostrar todos los procesos, los usuarios y las sesiones de un servidor determinado, de todo el dominio o de toda la red. Los procesos pueden clasificarse por usuario, por sesin o por servidor. Si se dispone del privilegio de control total se puede, incluso, matar desde all un proceso, aunque hay que tener en cuenta las precauciones generales relativas a matar procesos. Gestin de las sesiones de usuario: Se puede utilizar Administrador de Servicios de Terminal Server para examinar y gestionar las sesiones de usuario de un servidor determinado, de todo el dominio o de toda la red. Para ver todos los usuarios del dominio, hay que destacar el nombre del dominio en el panel izquierdo de Administrador de Servicios de Terminal Server y pulsar la ficha Usuarios del panel derecho. En el panel izquierdo se ver una lista de los servidores del dominio y los usuarios conectados aparecern en el panel derecho. Se puede seleccionar cualquier entrada del panel derecho y enviar un mensaje a la sesin de usuario, desconectarla o tomar el control de la sesin de usuario para resolver problemas o con fines formativos. Envo de mensajes a las sesiones: Se puede utilizar Administrador de Servicios de Terminal Server pare enviar mensajes a sesiones determinadas. Para enviar un mensaje a todas las sesiones de un servidor concreto, sin embargo, hay que utilizar el programa Msg de la lnea de comandos. Para enviar un mensaje a una sesin o usuario dados, hay que seguir el procedimiento siguiente:
Captulo 20
1. Pulsar la sesin o el usuario con el botn derecho del ratn en el panel derecho de Administrador de Servicios de Terminal Server. 2. Escoger Enviar mensaje pare abrir el cuadro de dilogo . 3. Escribir el mensaje que se desee enviar. Hay que pulsar CTRL+INTRO para iniciar una nueva lnea. 4. Pulsar Aceptar para enviar el mensaje. Tambin se puede utilizar el comando Msg de la lnea de comandos para enviar mensajes a una sesin concreta o a todos los usuarios de un servidor dado. El comando Msg tiene ms opciones y funcionalidad que la mensajera grfica de Administrador de Servicios de Terminal Server. La sintaxis del comando Msg es la siguiente: msg {nombreUsuario | nombreSesin | Id.Sesin | @nombreArchivo | *} [/server:nombreServidor] [/time:segundos] [/v] [/w] [mensaje] Las opciones del comando Msg son las siguientes:
G G G G
G G
nombreUsuario Enva el mensaje a un usuario concreto del servidor. nombreSesin Enva el mensaje a una sesin determinada, identificada por su nombre de sesin. Id.Sesin Enva un mensaje a una sesin dada identificada por su identificador de sesin. @nombreArchivo Enva un mensaje a una lista de nombres de usuario, de sesin o de identificadores de sesin contenida en el archivo. * Enva un mensaje a todos los usuarios conectados al servidor. /SERVER:nombreServidor Especifica el servidor al que estn conectados la sesin o el usuario. El valor predeterminado es el servidor actual. /TIME:segundos Especifica el nmero de segundos que hay que esperar para que los destinatarios acusen recibo del mensaje. Si no se acusa recibo del mensaje en el tiempo especificado, caduca. El tiempo predeterminado son 60 segundos si ninguna opcin /TIME lo anula. /V Devuelve informacin a la lnea de comandos sobre las acciones que se llevan a cabo en el servidor. /W Espera respuesta del usuario antes de devolver el control a la lnea de comandos. Si no se recibe ninguna respuesta antes de que caduque el mensaje, el control se devuelve a la lnea de comandos mensaje Especifica el mensaje que hay que enviar. Si no se especifica ninguno, se acepta el texto desde la entrada estndar (STDIN) o se solicita uno.
Captulo 20
Control de las sesiones: Si se dispone de los permisos apropiados (de control total), se puede conectar con la sesin de otro usuario y controlarla de manera remota. El teclado, el ratn y la pantalla sern iguales para la sesin propia y la del usuario. Esto ofrece la posibilidad de resolver fcilmente los problemas de la sesin de un usuario o de formar al usuario acompandolo en la realizacin de una tarea concreta. Los datos de entrada de la sesin provienen tanto de la sesin propia como de la del usuario. Si los valores de configuracin del usuario o del protocolo estn definidos slo para ver la sesin, no para controlarla directamente, slo se ver lo que haga el usuario en su pantalla, pero no se podr interactuar con l utilizando el ratn ni el teclado. De manera predeterminada, cuando se conecta con la sesin de un usuario utilizando el control remoto, se comunica al usuario que se establece la conexin y se le solicita que confirme su autorizacin. Esta notificacin puede desactivarse usuario a usuario modificando las cuentas en Active Directory. Tambin se puede configurar esta notificacin protocolo a protocolo para un servidor dado utilizando Configuracin de Servicios de Terminal Server (explicada brevemente). Para tomar el control de la sesin de un usuario, hay que seguir el procedimiento siguiente: 1. Pulsar con el botn derecho del ratn la sesin o el usuario en el panel derecho de Administrador de Servicios de Terminal Server. 2. Escoger Control Remoto para abrir el cuadro de dilogo. Hay que seleccionar una combinacin de teclas adecuada para concluir la sesin remota. El valor predeterminado es CTRL+*, donde el asterisco (*) es el del teclado numrico. 3. Un cuadro de dilogo se le aparecer al usuario para solicitarle permiso para autorizar la conexin, mientras que en la sesin propia se abrir un cuadro de dilogo para comunicar que la sesin espera asumir el control. Si no se necesita permiso para un protocolo o usuario concretos, el usuario no recibir ningn mensaje. Hasta que el usuario confirme el permiso para conectar con su sesin, la sesin propia aparentar estar congelada. Tambin se puede utilizar el comando Shadow para asumir el control de la sesin de un usuario. El comando Shadow tiene la sintaxis siguiente: shadow {nombreSesin | Id.Sesin} [/server:nombreServidor] [/v] donde nombredesesin e Id.sesin identifican la sesin concreta de la que se desea tomar el control, y el servidor toma como valor predeterminado el servidor actual, si no se especifica /SERVER. La opcin /V (verbose, informativa) ofrece informacin adicional sobre las acciones que se llevan a cabo. Conexin con una sesin: Se puede conectar con otra sesin del servidor en el que se est si se dispone de los permisos adecuados y la otra sesin est en un estado activo o desconectado. Siempre se puede conectar con una sesin abierta con la misma cuenta de usuario que el inicio de sesin actual, o con la sesin de otro usuario si se dispone de acceso de control total o de acceso de usuario. Se solicitar la
Captulo 20
contrasea de usuario. Esta capacidad de conectar con otra sesin puede ser una herramienta til tanto para los administradores como para los usuarios. Si al volver a casa uno se da cuenta de que ha olvidado concluir un informe importante, se puede abrir una sesin de manera remota, conectar con la sesin de trabajo de la oficina y continuar donde se haba dejado. Para conectar con una sesin, hay que seguir el procedimiento siguiente: 1. Pulsar la sesin o el usuario con el botn derecho del ratn en el panel derecho de Administrador de Servicios de Terminal Server. 2. Escoger Conectar para conectarse con la sesin. Si la sesin es de un usuario diferente que el actual, se solicitar la contrasea de la sesin de usuario de destino. Si la sesin es propia, se cambiar de sesin y la actual se desconectar. Slo se puede conectar con otra sesin desde una sesin de Servicios de Terminal Server. No se puede conectar con una sesin de consola ni desde ella. Configuracin de Servicios de Terminal Server Se puede utilizar MMC Configuracin de Servicios de Terminal Server para cambiar los valores de configuracin de todas las conexiones de un servidor concreto. Desde aqu se puede cambiar cualquiera de los valores siguientes:
G
Modo de Terminal Server: Muestra si Servicios de Terminal Server se ejecuta en modo de servidor de aplicaciones o en modo de administracin remota. Los cambios de modo de Servicios de Terminal Server no se realizan desde aqu, sino desde Agregar y quitar programas del Panel de control. (Esto puede resultar desconcertante al principio. Para hacer que aparezca la ventana Configuracin de Servicios de Terminal Server, hay que pulsar Agregar o quitar componentes de Windows. Luego, en el cuadro de dilogo Componentes de Windows, no hay que hacer ninguna seleccin, pero s pulsar Siguiente. Luego se puede seleccionar el modo de Servicios de Terminal Server que se desee.)
Captulo 20
G
Eliminar las carpetas temporales al salir: Cuando est Habilitado, elimina de manera automtica las carpetas temporales creadas en el servidor cuando el usuario cierra la sesin. El valor predeterminado es Habilitado (S). Usar carpetas temporales por sesin: Cuando est Habilitado, cada sesin time su propio conjunto de carpetas temporales. El valor predeterminado es Habilitado (S). Licencia de conector de Internet: Cuando est Habilitado, el conector de Internet permite hasta doscientas conexiones annimas simultneas a Internet. Ninguno de los usuarios que se conectan mediante el conector de Internet puede ser empleado. Este valor slo est disponible cuando se trabaja en modo de servidor de aplicaciones. El valor predeterminado es falso (Deshabilitado). Tngase en cuenta que hay que instalar una licencia de conector de Internet comprada de manera independiente antes de poder activar esta opcin. Active Desktop: Cuando se activa, se permite a las conexiones de los usuarios que utilicen el Active Desktop. Hay que definir esta opcin como desactivada para reducir los recursos y el ancho de banda necesarios para las sesiones de Servicios de Terminal Server.
Propiedades de las conexiones
Se pueden cambiar las propiedades de las conexiones desde Configuracin de Servicios de Terminal Server. De manera predeterminada, el nico protocolo de conexin instalado es el protocolo de Microsoft para datos remotos 5 (Microsoft Remote Data Protocol, RDP). Hay disponibles protocolos de otros fabricantes, incluido el protocolo para arquitectura de computacin independiente (Independent Computing Architecture, ICA) utilizado por Citrix MetaFrame. Todos los protocolos pueden configurarse desde aqu. RDP permite configurar una amplia variedad de parmetros para cada servidor. La mayor parte de estos parmetros los controla normalmente el cliente, o bien se puede definir e1 servidor para que anule los valores del cliente. Para definir las propiedades de las conexiones RDP, hay que pulsar dos veces la entrada RDP-Tcp de Conexin para abrir el cuadro de dilogo Propiedades de RDP-Tcp.
Captulo 20
Ficha General
Nivel de cifrado: H Bajo: Los datos que van del cliente al servidor se cifran con la clave de cifrado estndar. H Medio: Los datos se cifran en ambas direcciones con la clave de cifrado estndar. H Alto: Los datos se cifran en ambas direcciones con la longitud de clave mxima soportada Usar autenticacin estndar de Windows: Utiliza el paquete alternativo de autenticacin si est instalado.
Ficha Configuracin del inicio de sesin
Usar la informacin de inicio de sesin proporcionada por el usuario: El cliente determina el usuario de seguridad del inicio de sesin. Usar siempre la siguiente informacin de inicio de sesin: La informacin de inicio de sesin
Captulo 20
de todos los clientes es la misma. Siempre solicitar contrasea: Los clientes pueden utilizar contraseas incrustadas.
Ficha Sesiones
Suplantar la configuracin del usuario (sesiones desconectadas, activas a inactivas): H Deshabilitado: Los parmetros del usuario controlan la terminacin de las sesiones desconectadas, el lmite de las sesiones activas y el de las sesiones inactivas. H Habilitado: Los lmites de sesiones las controla el servidor. Suplantar la configuracin del usuario (accin para lmites de Sesin):
Captulo 20
Deshabilitado: Los valores del usuario controlan el comportamiento del lmite de sesiones. H Habilitado: Los valores del servidor controlan el comportamiento del lmite de sesiones: desconexin o finalizacin de la sesin. Suplantar la configuracin del usuario (reconexin): H Deshabilitado: Los valores del usuario controlan la reconexin. H Habilitado: Los valores del servidor controlan la reconexin.
H
Ficha Entorno
Programa inicial: Suplantar la configuracin del perfil de usuario y el Asistente para Coneccion Manager de cliente
Captulo 20
Deshabilitado: El cliente especifica el programa inicial. H Habilitado: Se obliga a todos los clientes a ejecutar el programa indicado. Papel tapiz del cliente: H Deshabilitado: Prohbe el papel tapiz en el escritorio del usuario. H Habilitado: El usuario puede mostrar el papel tapiz en su escritorio.
H
Ficha Control remoto
Usar control remoto con la configuracin de usuario predeterminada: Los valores de control remoto se definen como parte de los datos de cuenta del usuario. No permitir el control remoto: Se desactiva totalmente el control remoto de las sesiones en el servidor. Usar control remoto con la siguiente configuracin: Cuando toma el valor Habilitado se anulan
Captulo 20
los valores de control remoto de todos los usuarios conectados al servidor.
Ficha Configuracin de cliente
Conexin: H Usar configuracin de conexin de la configuracin del usuario: Las conexiones con impresoras y con unidades se especifican como parte de los valores de la cuenta del usuario. I Conectar las unidades del cliente al iniciar la sesin I Conectar las impresoras del cliente al iniciar la sesin I Establecer impresora principal de cliente como predeterminada Asignacin de unidades: No se permite a los usuarios que asignen unidades (Necesita el
Captulo 20
protocolo ICA). Asignacin de impresoras de Windows: Los clientes pueden asignar impreso ras de Windows y se conservan las asignaciones. Asignacin de puertos LPT: Se desactiva la asignacin automtica de los puertos clientes LPT. Asignacin de puertos COM: Los clientes no pueden asignar impresoras a los puertos COM. Asignacin del portapapeles: Los clientes pueden asignar el portapapeles. Asignacin de audio: Los clientes no pueden asignar sonido (Necesita el protocolo ICA).
Ficha Adaptador de red
Adaptador de red: H Todos: Se configuran todos los adaptadores de red disponibles para utilizarlos con este protocolo. H Conexiones:
Captulo 20
I
Conexiones sin lmite: No se establece ningn lmite al nmero de conexiones permitidas. N mximo de conexiones: Establece el nmero mximo de conexiones permitidas por este adaptador.
Ficha Permisos
Control total: Los administradores y SYSTEM tienen privilegio de control total. Acceso de usuario: Se establecen para los usuarios privilegios de bsqueda, inicio de sesin, mensajes y conexin. Acceso de invitado: Se establecen para el invitado slo privilegios de inicio de sesin.
Creador de clientes de Servicios de Terminal Server Se pueden crear discos clientes para Windows 2000, Windows NT (x86 y Alpha), Windows 95/98 o Microsoft Windows para trabajo en grupo 3.11. Los dems clientes necesitan el protocolo ICA y hace falta tener Citrix MetaFrame para crear discos clientes para ellos. Los clientes de 32 bits necesitan dos disquetes de 3" 1/2 y 1,44 Mb, mientras que los clientes de Windows para trabajo en grupo necesitan cuatro. Se pueden utilizar disquetes que ya tengan formato o dejar que el programa creador de clientes les d formato. Para crear disquetes de Cliente de Servicios de Terminal Server, hay que seguir el procedimiento siguiente:
Captulo 20
1. Escoger el programa Creador de Clientes de Servicios de Terminal Server en la carpeta Herramientas administrativas del men Programas. Esto abre el cuadro de dilogo Crear discos de instalacin. 2. Seleccionar el tipo de disco que se va a crear y la unidad de destino. Si se desea que los discos reciban formato como parte del proceso de creacin hay que seleccionar el cuadro Formatear discos. Hay que pulsar Aceptar y se solicitar la insercin de los discos en la unidad designada. 3. Si se decide aplicar formato a los disquetes se recibir el mensaje de confirmacin habitual que advierte de que se eliminar todo lo que haya en el disquete. Si se decide no aplicarles formato y el disco insertado no est vaco, se recibir un mensaje de error y se solicitar la insercin de un disquete vaco con formato. El Cliente de Servicios de Terminal Server Se puede instalar y ejecutar el Cliente de Servicios de Terminal Server en cualquier computadora que ejecute Windows 2000, Windows NT 4, Windows 95/98 o Windows para trabajo en grupo 3.11. Tambin se dispone de clientes especiales para otros sistemas operativos, incluidos Windows CE y MSDOS, as como para cualquier cliente que pueda ejecutar Java. Algunos de estos clientes, no obstante, necesitan el uso del protocolo ICA de Citrix MetaFrame. Hay disponibles clientes reducidos especiales basados en Windows CE de varios fabricantes que permiten conectarse con servidores de Servicios de Terminal Server de Windows 2000 sin necesidad de disco duro: el sistema operativo base y el Cliente de Servicios de Terminal Server se cargan en ROM.
Instalacin del Cliente de Servicios de Terminal Server
Para poder instalar el Cliente de Servicios de Terminal Server en una estacin de trabajo, hay que tener disponible una unidad de disquetes o una conexin de red para ejecutar la instalacin a travs de la red. En cualquier caso, el procedimiento es bsicamente el mismo. Para instalar el Cliente de Servicios de Terminal Server mediante disquetes, hay que seguir el procedimiento siguiente: 1. Introducir el disco de instalacin cliente 1 en la unidad de disquetes y ejecutar Instalar desde el disquete. Se solicitar la lectura del acuerdo de licencia y se recordar la necesidad de cerrar los programas que estn abiertos. Hay que pulsar Continuar. 2. Rellenar la informacin de registro, pulsar Aceptar y volver a pulsar Aceptar para confirmarla. La informacin quedar escrita en el disquete. Se solicitar el asentimiento al acuerdo de licencia. 3. Pulsar el botn Aceptar para continuar con el programa de instalacin. 4. Se puede cambiar la ubicacin de instalacin pulsando el botn Cambiar carpeta. Cuando la
Captulo 20
ubicacin sea la deseada, hay que pulsar el botn grande para comenzar la instalacin. 5. Escoger el grupo de programas en el que se desea incluir los programas del Cliente de Servicios de Terminal Server y pulsar Continuar. El grupo de programas predeterminado es Cliente de Terminal Server. Se solicitarn los dems discos a medida que sea necesario. 6. Una vez completada la instalacin se mostrar un ltimo mensaje. Hay que pulsar Aceptar. No hace falta reiniciar la mquina.
Connection Manager de cliente
El Connection Manager de cliente permite crear conexiones con los servidores de Servicios de Terminal Server y guardar las propiedades de las mismas. Creacin de conexiones Para crear una conexin con el Connection Manager de cliente, hay que seguir el procedimiento siguiente: 1. En la mquina cliente hay que abrir el submen Programas del men Inicio. Hay que apuntar a Cliente de Terminal Server y seleccionar Connection Manager de cliente para abrir la ventana del Connection Manager de cliente. 2. Escoger Conexin nueva en el men Archivo para abrir el Asistente para Connection Manager de cliente. 3. Pulsar Siguiente para abrir la pantalla Crear una conexin. 4. Escribir el nombre de la conexin. Luego hay que escribir el nombre o la direccin IP del servidor o utilizar el botn Examinar para hallar uno. Hay que pulsar Siguiente para mostrar la pantalla Inicio de sesin automtico. 5. Si se desea que la conexin inicie de forma automtica una sesin en el servidor remoto como un usuario determinado, hay que seleccionar la casilla de verificacin Iniciar la sesin automticamente con esta informacin y escribir el nombre de usuario, la contrasea y el nombre del dominio. Hay que pulsar Siguiente. Los inicios de sesin automticos pueden parecer una buena idea, pero, si se tiene activada en la red la caducidad de las contraseas, pueden convertirse en un problema grave. Se recomienda dejar esta opcin desactivada a menos que no se exija a los usuarios el cambio de las contraseas de manera peridica. 6. Seleccionar la resolucin de pantalla que vaya a utilizar la conexin. Las opciones disponibles en este caso dependen de la tarjeta de vdeo. De manera predeterminada la conexin utilizar una ventana del escritorio. Si se desea que la conexin aparezca a pantalla completa, hay que seleccionar la casilla de verificacin Pantalla completa. Hay que pulsar Siguiente. 7. Definir las propiedades de la conexin. Las opciones son: G Habilitar compresin de datos Cuando se selecciona, los datos se comprimen antes de transferirlos al cliente y ste debe expandirlos antes de mostrarlos. Cuando se utiliza una velocidad de conexin baja, como con los mdems o con WAN lentas, esto puede mejorar el rendimiento. G Almacenar mapas de bits Cuando se selecciona, los mapas de bits utilizados frecuentemente se guardan en un archivo del disco local, lo que acelera su exhibicin. Hay
Captulo 20
que pulsar Siguiente. 8. Especificar el programa que se desea ejecutar en esta conexin. El valor predeterminado es iniciar slo el Escritorio de Windows. Si se desea ejecutar un programa determinado, hay que seleccionar la casilla de verificacin Iniciar el programa siguiente y escribir los detalles del programa. Hay que pulsar Siguiente. 9. Escoger un icono para la conexin. Las opciones estn bastante limitadas, pero se puede utilizar cualquier otra fuente de iconos. Tambin se puede escoger el grupo de programas para la conexin. El valor predeterminado es el mismo grupo de programas del Connection Manager de cliente. Hay que pulsar Siguiente. 10. Si todo est correcto, hay que pulsar Finalizar en la pantalla final de confirmacin para crear la conexin. O pulsar Atrs para realizar los cambios necesarios. Si se pulsa Cancelar, se cancela el proceso. Configuracin de las Conexiones: El nico modo de modificar una conexin existente es utilizar el Connection Manager de cliente. Para modificar una conexin, hay que seguir el procedimiento siguiente: 1. Abrir el Connection Manager de cliente y pulsar la conexin que se desee modificar con el botn derecho del ratn. 2. Seleccionar Propiedades para abrir el cuadro de dilogo. En la ficha General se pueden modificar los parmetros siguientes:
G G G
Nombre de conexin: Cambia el nombre utilizado para hacer referencia a la conexin. Nombre de servidor o direccin IP: Cambia el servidor con el que se conecta el cliente. Informacin de inicio de sesin: Cambia la contrasea incrustada si ha cambiado la contrasea o si se desea cambiar de inicio de sesin automtico a manual.
En la ficha Opciones de conexin se pueden modificar estos parmetros:

G G
G G
rea de pantalla: Cambia la resolucin utilizada para la conexin. Inicio de la conexin: Cambia la opcin de utilizar toda la pantalla para la conexin o ejecutarla en una ventana. Red: Activa o desactiva la compresin de los datos. Almacenando mapas de bits en cach: Activa o desactiva el almacenamiento local de los mapas de bits ms frecuentes.
En la ficha Programa se pueden modificar estos parmetros:

G
Iniciar el programa siguiente: Si se activa, se puede especificar el programa que se ejecutar al iniciar la sesin; se puede especificar el directorio de inicio. Si se desactiva, se iniciar el Escritorio de Windows. Icono de programa: Cambia el icono del programa.
Captulo 20
G
Grupo de programas: Cambia el grupo del men Inicio desde el que se puede iniciar el programa.
Exportacin a importacin de conexiones: Las conexiones que se crean en el Connection Manager de cliente no estn disponibles, de manera predeterminada, como archivos de texto, sino que se guardan en el registro de cada mquina en HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\<nombre de la conexin>. Los valores creados para una conexin dada o para todas las conexiones pueden exportarse a un archivo de texto que permita pasarlas a otro usuario o, incluso, a otra mquina. Esto puede simplificar enormemente la implantacin de Servicios de Terminal Server en organizaciones de gran tamao. Por desgracia, no hay una manera de hacerlo desde la lnea de comandos, por lo que habr que trabajar en cada mquina. Pero, al menos, se puede estar seguro de utilizar una configuracin consistente en todos los clientes. Para exportar una sola conexin, hay que seguir el procedimiento siguiente: 1. Destacar en el Connection Manager de cliente la conexin que se desea exportar y escoger Exportar en el men Archivo. 2. Seleccionar la ubicacin y el nombre de archivo adonde se va a exportar el archivo utilizando el cuadro de dilogo Exportar como. Los archivos reciben la extensin .CNS. Si la conexin incluye informacin completa sobre el inicio de sesin, se solicitar la confirmacin de que se desea guardar la contrasea al exportarla. Cuando se exporta la contrasea como parte de una conexin, se cifra en el archivo .CNS, pero cualquiera que tenga acceso al archivo puede crear una conexin con esa cuenta. Si se exporta la contrasea hay que adoptar las precauciones adecuadas contra el acceso fsico al archivo. Para exportar todas las conexiones del Connection Manager de cliente, hay que seguir este procedimiento: 1. Escoger Exportar todo en el men Archivo del Connection Manager de cliente. 2. Seleccionar la ubicacin y el nombre de archivo adonde se van a exportar las conexiones utilizando el cuadro de dilogo Exportar como. Todas las conexiones se guardarn en un nico archivo .CNS. Si alguna de las conexiones incluye informacin completa sobre el inicio de sesin, se solicitar la confirmacin de que se desea guardar la contrasea al exportarla. Para importar una o varias conexiones al Connection Manager de cliente, hay que utilizar este procedimiento: 1. Escoger Importar en el men Archivo del Connection Manager de cliente. 2. Seleccionar el archivo que se desea importar mediante el cuadro de dilogo Importar desde. Si ya se ha creado alguna conexin utilizando el Connection Manager de cliente, se solicitar la
Captulo 20
autorizacin para sobrescribir la conexin predeterminada. Si se pulsa S, se solicitar la autorizacin para la sustitucin automtica de todas las conexiones que estn duplicadas. Si se pulsa No, se solicitar la conservacin de las conexiones existentes que estn duplicadas. Si no se permite la sustitucin automtica, se solicitar la autorizacin para cada una de las conexiones.
Conexiones con el Cliente de Terminal Server
El Connection Manager de cliente es una herramienta til para la creacin de conexiones permanentes con uno o varios servidores, pero si slo se desea conectarse de manera rpida con un servidor pero no hace falta conservar la informacin en una conexin permanente, se puede utilizar el Cliente de Terminal Server (Mstsc.exe). Para utilizar el Cliente de Terminal Server, hay que seguir el procedimiento siguiente: 1. Seleccionar Cliente de Terminal Server en el grupo de programas de Cliente de Terminal Server para abrir el cuadro de dilogo Cliente de Terminal Server. 2. Definir las propiedades de la conexin y pulsar Conectar. Las propiedades que se pueden definir aqu son las siguientes: G Servidor Contiene una lista de las conexiones ms recientes. Se puede escribir el nombre o la direccin IP de un servidor de Servicios de Terminal Server que no aparezca. G rea de pantalla Muestra las resoluciones soportadas por la pantalla actual. G Servidores disponibles Muestra todos los servidores disponibles en la red. G Expandir de forma predeterminada. Expande los dominios para mostrar todos los servidores disponibles en cada uno de ellos. G Habilitar compresin de datos Comprime la informacin de vdeo antes de pasrsela al cliente. G Almacenar mapas de bits en cach de disco Guarda localmente los mapas de bits utilizados frecuentemente para mejorar el rendimiento. Cuando se utiliza el Cliente de Servicios de Terminal Server siempre se solicita el inicio de sesionen el servidor con el que se realiza la conexin. Tambin se inicia siempre la conexin en el Escritorio de Windows. Si se desea crear una conexin permanente, o bien una que slo ejecute un programa concreto, hay que utilizar el Connection Manager de cliente para crearla.
Captulo 21
Captulo 21
El proceso por el cual se identifican los cuellos de botella que pueden ralentizar la ejecucin de Windows 2000 Server o la red en la que ste se ejecuta se denomina ajuste de rendimiento. Para maximizar el rendimiento de un sistema que se ejecute bajo Windows 2000, se debe reconocer cualquier cuello de botella que pueda existir y tomar acciones para eliminarlo. Las herramientas de red y sistema que ofrece Windows 2000 para detectar cuellos de botella y ajustar el sistema a su nivel de rendimiento ptimo son: el Visor de sucesos, el monitor de sistema y el monitor de red.
Cuellos de botella
Un cuello de botella es simplemente una condicin por la que un proceso impide a otro funcionar a su mximo rendimiento. Por ejemplo, cuando una aplicacin monopoliza el procesador del sistema excluyendo todas las operaciones ajenas a l, entonces se produce un cuello de botella en el procesador. Los cuellos de botella pueden ocurrir en prcticamente cualquier subsistema de Windows 2000, as como en cualquier elemento de la red. Los cuellos de botella pueden ocurrir por cualquiera de las siguientes razones:
G G G G G
Cargas de trabajo que no se reparten equitativamente entre los recursos. Un sistema con insuficientes recursos. Parmetros configurados incorrectamente. Recursos que funcionan incorrectamente. Programas que monopolizan recursos concretos.
El Visor de Sucesos
Captulo 21
El Visor de sucesos es una utilidad diseada para hacer un seguimiento de los sucesos grabados en la aplicacin, la seguridad y los registros histricos. Permite recopilar informacin sobre software, hardware y problemas del sistema, as como hacer un seguimiento de los sucesos de seguridad de Windows 2000. Cuando se inicia Windows 2000, el servicio de registros histricos de sucesos se inicia automticamente. El Visor de sucesos toma la forma de una consola de administracin Microsoft (Microsoft Management Console, MMC). Se denomina Eventvwr.msc y se puede encontrar en la carpeta %SystemRoot%\System32. Cuando se inicia el Visor de sucesos desde la carpeta de Herramientas administrativas del men de programas, se ve la consola del Visor de sucesos. Archivos de registros de sucesos Windows 2000 graba los sucesos en tres tipos de registros:
G
Registro de aplicacin: Contiene sucesos registrados por programas o aplicaciones. Por ejemplo, un programa de base de datos podra registrar un error de archivo en el registro de programa. Los desarrolladores de aplicaciones y programas determinan los sucesos que se registran. Todos los usuarios pueden visualizar este registro. Registro de seguridad: Registra sucesos de seguridad, como por ejemplo, inicios de sesin vlidos o no vlidos, as como sucesos relacionados con el consumo de recursos, como por ejemplo, crear, abrir o eliminar archivos. El registro de seguridad est inactivo de manera predeterminada. El administrador puede activarlo para hacer registros de sucesos a travs de la configuracin de las Directivas de auditoria o sucesos a travs de la funcin de Windows 2000 de Directiva de grupo. Por ejemplo, si se han habilitado las Directivas de auditoria para iniciar la sesin, todos los intentos para iniciar una sesin se graban en el registro de seguimiento de seguridad. El Registro de directivas de auditoria tambin se puede activar para hacer que el sistema se interrumpa cuando el registro de seguridad se llene. Slo los administradores pueden visualizar este registro de seguimiento. Registro del sistema: Contiene los registros de seguimiento de los componentes del sistema de Windows 2000. Por ejemplo, el registro almacenar el fallo en la carga de un componente de sistema que se produzca durante el inicio. Los tipos de registros de suceso estn predeterminados por Windows 2000. Todos los usuarios pueden visualizar este registro.
Configuracin del tamao de los registros de sucesos
Captulo 21
Cuando un registro de sucesos est lleno se muestra un cuadro de dilogo que lo notifica. Si esto pasa a menudo, se puede reducir el nmero de elementos sobre los que se informa o incrementar el tamao del registro. Para definir las opciones del registro de sucesos, hay que seguir estos pasos: 1. Escoger Visor de sucesos en el men Herramientas administrativas. 2. Pulsar con el botn derecho del ratn en el registro que se desea configurar y escoger Propiedades. 3. En la pestaa General hay que establecer las opciones deseadas. En Cuando se alcance el tamao mximo del registro existen tres opciones: G Si no se almacena el registro, hay que escoger Sobrescribir sucesos cuando sea necesario. G Si se almacena el registro a intervalos regulares, se puede seleccionar la opcin Sobrescribir sucesos de hace ms de. Hay que rellenar con el nmero apropiado de das. G No sobrescribir sucesos, la ltima opcin, implica que el registro ha de ser borrado manualmente. Cuando se alcanza el tamao mximo del registro, simplemente no se registrarn los nuevos sucesos. 4. Pulsar Aceptar cuando se haya terminado. Es posible que alguien se preocupe tanto por la seguridad que ninguna de las opciones del registro de eventos le parezca aceptable. Si absoluta y definitivamente no se debe perder ni un solo suceso de seguridad, se puede configurar el equipo para que se detenga cuando el registro de seguridad est lleno. Es necesario hacer un cambio en el registro para que esto ocurra. Primero hay que establecer Cuando se alcance el tamao mximo del registro como No sobrescribir sucesos o bien cmo Sobrescribir sucesos de hace ms de n das. Despus hay que iniciar Regedit.exe y buscar HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control
Captulo 21
\Lsa \CrashOnAuditFail y cambiar el valor a 1. Este parmetro tendr efecto despus de reiniciar y entonces; cuando el registro est lleno, el sistema simplemente se parar. Despus de reiniciar, slo los administradores podrn iniciar sesin hasta que se vace el registro de seguridad. sta es una medida drstica, pero es necesaria en algunos casos. Los componentes de un suceso Los dos componentes clave en la interpretacin de un suceso son la cabecera de suceso y la descripcin de suceso. La descripcin de suceso es la pieza de informacin ms til, dado que indica la importancia del suceso.
Cabeceras de suceso
Las cabeceras de suceso se visualizan en columnas en la consola Visor de sucesos y se divide en los siguientes componentes:
G
Tipo: Muestra la severidad del suceso. Los sucesos en la aplicacin y los registros de sistema se clasifican como Informacin, Aviso o Error. Los sucesos en el registro de seguridad se clasifican como Acceso correcto auditado o Acceso errneo auditado. El Visor de sucesos representa estas clasificaciones como smbolos en su lista normal de visualizacin. Estos smbolos son: H Informacin: Suceso que describe el funcionamiento correcto de un servicio, controlador o aplicacin. Por ejemplo, cuando el servicio de registro de sucesos se inicia con xito, se graba como un suceso de tipo informacin. H Advertencia: Indica sucesos que, aunque no sean necesariamente significativos, conlleven a futuros problemas. Por ejemplo, cuando el disco duro se encuentre cerca de su capacidad mxima, se recomendar borrar algunos archivos. H Error: Indica que algn problema significativo ha ocurrido, como una prdida de funcionalidad o de datos. Por ejemplo, si no se puede cargar un servicio durante el inicio, se registrar en el Visor de sucesos como un error. H Acceso errneo auditado: Un intento de acceso de seguridad auditado errneo. Por ejemplo, si un usuario intenta tener acceso a una unidad de red y no lo consigue, el intento se registrar como un Acceso errneo auditado. H Acceso correcto auditado: Informa de un intento desarrollado con xito para realizar un suceso de seguridad. Por ejemplo, un intento satisfactorio de inicio de sesin en el sistema
Captulo 21
G G G
de un usuario se registrar como un suceso de tipo Acceso correcto auditado. Fecha: Indica el da en que ocurri el suceso. Hora: Indica la hora (local) en que ocurri el suceso. Origen: Indica qu software registr el suceso. Este software puede ser el nombre del programa, un componente del sistema o un componente de algn programa grande, como por ejemplo, el nombre del controlador. Categora: Muestra la forma en que la fuente del suceso clasifica el suceso. Principalmente utilizada en el registro de seguridad. Las intervenciones en seguridad son uno de los tipos de sucesos que se clasifican aqu. Suceso: Muestra el nmero de suceso que identifica algn tipo de suceso en particular. El nombre del tipo de suceso aparece normalmente en la primera lnea de su descripcin asociada. Usuario: Indica el nombre del usuario para el que ocurri el suceso. Si el suceso se produjo por un proceso del servidor, el nombre de usuario es el ID del cliente. Equipo: Especifica el nombre de la computadora donde se produjo el suceso.
La descripcin de sucesos
Al pulsar dos veces sobre un suceso especfico en el Visor de sucesos, se muestra un texto descriptivo en la ficha de Detalles de suceso de la ventana Propiedades que a menudo es muy til en el anlisis de un suceso. Para algunos sucesos, tambin se generan datos en binario muy tiles, dado que son generados por el programa que origin el registro de suceso. Si se desea mantener las descripciones de suceso, hay que guardarlas como un archivo de datos binario. No se deben guardar las descripciones de suceso en formato de texto o formato de texto delimitado por comas, dado que estos formatos descartan los datos binarios.
Filtrado de los registros de sucesos
Si no se dispone de suficiente informacin especfica para localizar lo que se necesita, se puede filtrar un registro de sucesos para ciertos tipos de informacin. Para utilizar el filtrado del registro de sucesos, hay que seguir estos pasos:
Captulo 21
1. Escoger Visor de sucesos en el men Herramientas administrativas. 2. Pulsar con el botn derecho del ratn en el registro en el que se desea buscar y escoger Propiedades en el men contextual. 3. Pulsar en la pestaa Filtro. Pulsar Aceptar cuando se est preparado para iniciar el filtrado. 4. Aparece el registro, filtrado segn las peticiones. Para ver de nuevo el registro completo, sin filtrar, hay que volver a la pestaa Filtro y pulsar Restaurar predeterminados. Las opciones para filtrar registros de sucesos son:
G
G G G
G G G
Informacin: Si queremos buscar o filtrar por notificacin de que se ha realizado correctamente alguna operacin muy importante. Advertencia: Si queremos buscar o filtrar por notificacin sobre algn problema o problema potencial. Las advertencias pueden ser o no significativas. Por ejemplo, una rplica realizada tras repetidos intentos generar una advertencia. Error: Si queremos buscar o filtrar por notificacin de un suceso importante. Los errores significan una prdida de informacin o de funcionalidad. Por ejemplo, un fallo al iniciar un servicio durante el inicio generar un error. auditoria de aciertos: Si queremos buscar o filtrar por sucesos correctos auditados. auditoria de errores: Si queremos buscar o filtrar por sucesos errneos auditados. Origen del suceso: Si queremos buscar o filtrar por origen de un evento, como un componente del sistema o un programa. Categora: Si queremos buscar o filtrar por sucesos por categora, como inicio/cierre de sesin, cambio en la directiva o seguimiento de un proceso. Id. del suceso: Si queremos buscar o filtrar por el nmero de identificacin especfico asignado a cada suceso registrado. Usuario: Si queremos buscar o filtrar por un usuario especfico. Equipo: Si queremos buscar o filtrar por un equipo especfico. De: Si queremos buscar o filtrar por sucesos posteriores a una fecha especfica. El valor predeterminado es la primera fecha del registro. Se puede pulsar el cuadro desplegable para seleccionar sucesos de una fecha especfica. A: Si queremos buscar o filtrar por sucesos posteriores a una fecha especfica. El valor predeterminado es la ltima fecha del archivo.
Almacenamiento de un registro de suceso
Pulsando con el botn derecho del ratn sobre el nombre de registro en el Visor de sucesos se puede guardar un registro de suceso a un archivo. Se pueden archivar los registros de suceso en alguno de los tres siguientes formatos:
G
Formato de registro: Permite visualizar el registro en el Visor de sucesos. Su extensin es .EVT.
Captulo 21
G
Formato de texto: Permite utilizar los detalles contenidos en este archivo en algn programa como Microsoft Word. Su extensin es .TXT. Formato delimitado por comas: Permite utilizar los datos en una hoja de clculo o un archivo plano de base de datos. Su extensin es .CSV
Los registros archivados graban la descripcin del suceso en el siguiente orden: fecha, hora, fuente, tipo, categora, suceso, usuario, computadora y descripcin. El registro de suceso se graba completamente, a pesar de las opciones de filtro que se hayan podido activar. La informacin se graba de forma secuencial, incluso si se ha establecido un orden para los sucesos. Se puede abrir un archivo de registro en el men Accin apuntando a Nuevo y despus eligiendo Nueva vista de registro. En el cuadro de dilogo Aadir nueva vista de registro, hay que seleccionar Almacenados (Abre un registro grabado previamente), pulsar en el botn Examinar para buscar el nombre del registro en el cuadro de dilogo Abrir. Solo puede abrir archivos con la extensin .EVT en el Visor de sucesos. (Los archivos de registro grabados con las extensiones .TXT y .CSV se pueden abrir en cualquier procesador de textos). La informacin visualizada en un registro archivado no se puede actualizar por refresco.
Visualizacin de un registro de suceso en otra computadora
Es posible la conexin con otra computadora para visualizar sus registros de sucesos pulsando con el botn derecho del ratn en el Visor de sucesos (local) al situarse en la parte superior del rbol y elegir Conectar con otro equipo. En el cuadro de dilogo Seleccionar equipo, se puede explorar o entrar el nombre de la computadora cuyo registro de sucesos se pretende visualizar. El Visor de sucesos permite visualizar mquinas que ejecuten Microsoft Windows NT Workstation o Windows 2000 Professional, un servidor o un controlador de dominios que ejecuten Windows NT Server o Windows 2000 Server, as como un servidor que ejecute LAN Manager 2.x. Se puede configurar una conexin de baja velocidad para la mquina remota que se quiere visualizar. Para hacer esto, hay que seleccionar el registro que se desea visualizar desde el rbol de la consola, elegir Propiedades en el Men accin y a continuacin seleccionar la opcin Utilizar conexin a baja velocidad
Captulo 21
Monitor de Sistema
El Monitor de sistema es una utilidad diseada para rastrear varios procesos en tiempo real usando una visualizacin grfica en un sistema Windows 2000. Se puede utilizar la informacin del Monitor de sistema para seleccionar procesos y componentes que necesitan optimizarse, observar los resultados de ajuste de rendimiento y esfuerzos de configuracin, comprender y observar tendencias en las cantidades de trabajo y sus efectos en el uso de los recursos, as como realizar una asistencia con tareas, como por ejemplo, planificaciones para actualizaciones. El Monitor de sistema toma la forma de una consola de administracin Microsoft MMC. Se denomina Perfmon.msc y puede encontrarse en la carpeta %SystemRoot%\system32\.. Ejecucin del Monitor de sistema Para iniciar el Monitor de sistema hay que pulsar en Rendimiento desde la carpeta de herramientas administrativas en el men Programas. El rbol de consola en el panel izquierdo muestra las MMC complementos asociadas al Monitor de sistema, y el panel de detalles se reserva para la visualizacin grfica de los contadores que se desee visualizar. El Monitor de sistema utiliza tres tipos de elementos para hacer un seguimiento del sistema: objetos, contadores e instancias.
G
Objetos: Son una coleccin de contadores asociados con un recurso o servicio que genera informacin susceptible de evaluacin. Cada vez que un objeto realiza una funcin, sus contadores correspondientes se actualizan. En el sistema operativo se encuentran incorporados un rango de objetos normalmente asociados a la mayora de los componentes hardware. Otros componentes y sus correspondientes objetos son aadidos por los programas que se instalan en la mquina. Los objetos que se utilizarn ms frecuentemente son:
Captulo 21
Explorador: Rastrea el servicio de exploracin para un dominio o grupo de trabajo. H Cach: Rastrea el uso de la memoria cach de disco. H Memoria: Rastrea el rendimiento de la memoria fsica y virtual. H Objetos: Rastrea el nmero de sucesos, exclusiones mutuas, procesos, secciones, semforos y hebras en la computadora en el momento de la coleccin de datos. H Archivo de pgina: Rastrea el uso de archivos de pgina. H Disco fsico: Rastrea discos con una o ms particiones. H Proceso: Rastrea todos los procesos que se ejecutan en la mquina. H Procesador: Rastrea cada procesador existente en el sistema. H Servidor: Rastrea bytes, sesiones, ciertos errores de sistema, y uso no paginado y paginado de fondo. H Sistema: Rastrea todos los contadores que afectan a todo el hardware y software instalado en el sistema. H Hebras: Rastrea todas las hebras que se ejecutan en el sistema. Contador: Es un componente dentro de un objeto que representa informacin para algn aspecto especfico del sistema o servicio. Instancia: Se trata de una nica ocurrencia de varios objetos de rendimiento del mismo tipo en la mquina. Si un objeto en particular tiene mltiples instancias, se puede hacer un seguimiento de las estadsticas para cada instancia aadiendo un nuevo contador para cada una. Tambin se puede aadir un contador para hacer un seguimiento de todas las instancias a la vez. ste visualiza la cuenta ms reciente del nmero de hebras para un proceso en particular. Una instancia puede ser tambin una media de los dos ltimos valores para un proceso durante un intervalo entre las muestras.
H
Adicin de contadores
El Monitor de sistema muestra por defecto la utilizacin actual del procesador del sistema como una lnea grfica. Se pueden aadir ms contadores pulsando sobre el botn Aadir contadores para visualizar el cuadro de dilogo Agregar contadores o pulsando en la pestaa Datos en la ventana Propiedades. El Monitor de sistema comprimir los datos para que se ajusten al panel de detalle segn sea necesario, pudindose visualizar docenas de contadores al mismo tiempo, ms incluso de los que se pueden visualizar confortablemente en una nica ventana.
Captulo 21
Seleccin de contadores
En el cuadro de dilogo Agregar contadores, se puede seleccionar la opcin Usar contadores del equipo local o la opcin Seleccionar contadores del equipo. Si se est haciendo un seguimiento de la computadora en la que Monitor de sistema se est ejecutando, se desear seleccionar Usar contadores del equipo local. Si se desea hacer un seguimiento de un computadora diferente, hay que seleccionar la opcin Seleccionar contadores del equipo y despus elegir el nombre en el cuadro de lista de la computadora de la que se desee hacer un seguimiento. En el cuadro de lista de Objeto de rendimiento, hay que especificar el objeto a observar. El objeto Procesador est seleccionado de manera predeterminada. Para cada objeto se puede elegir observar todos los contadores disponibles o slo los que se especifiquen. Para hacer un seguimiento de todos los contadores disponibles para un objeto en particular, hay que seleccionar la opcin Todos los contadores. Para observar slo los contadores que se especifiquen, hay que seleccionar la opcin Seleccionar contadores de la lista. Cuando se elija seleccionar contadores especficos, se puede obtener una descripcin de cualquier contador pulsando sobre el nombre del contador y despus sobre el botn Explicar. Si se selecciona un contador que tenga varias instancias, hay que elegir Todas las instancias para observar todas las instancias del contador seleccionado, o seleccionar Seleccionar instancias de la lista para especificar las instancias que quiera observar. Si se hace un seguimiento de varias instancias de la misma computadora, hay que observar que el nmero de ndice de instancia para una instancia en particular podra cambiar a lo largo del tiempo. Este posible cambio es consecuencia del inicio y parada de la instancia, as como de su asignacin dentro de un proceso a un ndice diferente.
Ajuste de contadores a grficos de lneas
Se puede determinar el contador que se asigne a una lnea en el grfico de dos formas. La primera es asignando un color y un grosor de grfica a cada contador a travs de la leyenda. Si no se est haciendo un seguimiento de muchos contadores, se puede asignar fcilmente un color al contador. La segunda es pulsar dos veces sobre una lnea en el grfico; selecciona el correspondiente contador, y su leyenda se localiza bajo la grfica. Si las lneas del diagrama se encuentran cerca una de la otra, hay que intentar localizar una posicin en la grfica donde diverjan; si no, el Monitor de sistema tendr dificultades para indicar con precisin la lnea de inters. Tambin se puede resaltar una lnea del diagrama pulsando sobre el contador que se desee resaltar y despus presionando CTRL+H.
Borrado de contadores
Cuando se quiera dejar de hacer un seguimiento de uno o ms contadores, hay dos opciones: borrar slo algunos contadores especficos o borrar todos los contadores. Para parar de observar unos contadores especficos, hay que abrir el Monitor de sistema, pulsar sobre el nombre de algn contador en la leyenda
Captulo 21
del panel de Detalles del Monitor de sistema, y pulsar sobre el botn Eliminar en la barra de herramientas. Para borrar todos los contadores que se muestran actualmente, hay que seleccionar el botn Nuevo conjunto de contadores en la barra de herramientas. Esto se hara en caso de querer hacer un seguimiento de un conjunto de contadores nuevos. Modificacin de la presentacin en pantalla Se puede modificar la forma en que el Monitor de sistema visualiza la informacin usando la ventana Propiedades del Monitor de sistema. Para acceder a esta ventana, se puede pulsar sobre el botn Propiedades en la barra de herramientas o pulsar sobre el botn derecho del ratn en el panel de Detalle y seleccionar Propiedades del men de contexto. En la ficha General se puede elegir visualizar la informacin como una grfica, un histograma o un informe. Dependiendo de cmo se elija visualizar la informacin, pueden estar disponibles las siguientes opciones en el rea de Mostrar elementos:
G
Leyenda: Muestra una leyenda en la parte inferior del panel de detalles que muestra la escala de datos utilizada por cada contador, el nombre del contador, la instancia, el objeto padre (si es posible), el objeto al que pertenece el contador, la computadora de la cual se est haciendo el seguimiento, as como el color utilizado para dibujar la lnea para el contador. La leyenda est disponible para las visualizaciones de grficos a histogramas. Se necesita mostrar la leyenda para ver el nombre del contador asociado con cada lnea de datos. Barra de valores: Muestra una barra de valores en la parte inferior del panel de Detalles, permitiendo resaltar los valores de un contador concreto. Cuando se pulsa sobre un valor en particular en la leyenda, o si se pulsa directamente en la lnea de datos, se visualizarn unas estadsticas para los valores ltimo, promedio, mnimos y mximos grabados. El tiempo de duracin tambin se muestra aqu. Los valores se calculan a partir del nmero de muestras y el periodo de tiempo mostrado en la grfica. El valor del tiempo se refleja por el valor de la duracin, en vez del tiempo transcurrido desde que se lanz el seguimiento. El valor de la duracin se basa en la actualizacin del intervalo de tiempo y se calcula para mostrar el tiempo total transcurrido en la grfica. Este elemento de visualizacin est disponible para grficas e histogramas y resulta til para hacer el seguimiento de un valor especfico al que se quiere seguir muy de cerca. Barra de Herramientas: Muestra las funciones de la barra de herramientas situadas en la parte superior del panel de Detalles. Se recomienda tener esta opcin habilitada, porque es la nica forma de realizar ciertas operaciones.
Vista grfica
Captulo 21
La vista grfica presenta la informacin en un formato grfico tradicional de lnea. Cada uno de los contadores a instancias se muestran con un color y un grosor diferente. sta es la vista predeterminada y ofrece la mayor variedad de opciones. Por ejemplo, permite resaltar un contador particular pulsando sobre el nombre del contador en la leyenda, o pulsando dos veces en la lnea de datos en la grfica y entonces pulsando el botn Resaltar en la barra de herramientas. La lnea de datos a color se sustituye por una lnea negra si el color de fondo de la grfica es blanco o de un color suave; para el resto de colores de fondo, la lnea es Blanca. Si quisiese resaltar otra lnea en su lugar, simplemente pulse dos veces sobre la lnea. Tan pronto como se deje de pulsar el botn Resaltar, cualquier lnea que seleccione se resaltar en la pantalla.
Vista de histograma
Captulo 21
Aunque la vista grfica es la ms verstil, resulta ms til usar la vista de Histograma o la de Presentacin de informes para hacer un seguimiento de un gran nmero de contadores, dado que las lneas grficas se van visualizando peor conforme se aumenta el nmero de contadores que se estn monitorizando. La vista de histograma presenta la informacin en un formato de barras grficas. Al igual que en la vista grfica, cada contador a instancia se presenta en un color diferente. Se puede hacer un seguimiento fcil de hasta cien contadores utilizando esta vista, dado que el Monitor de sistema ajusta automticamente las barras para que se ajusten a la pantalla.
Vista de presentacin de informes
La vista de presentacin de informes presenta la informacin de los contadores con un formato de lista de informes. Los objetos se muestran en orden alfabtico al igual que los contadores seleccionados para cada objeto. Los datos se muestran con formato numrico. cada objeto muestra el porcentaje total de consumo de tiempo del procesador en uso para los contadores seleccionados. sta es la mejor vista para hacer un seguimiento de un gran nmero de contadores.
Eleccin del Intervalo de tiempo de monitorizacin
Para las tres vistas, se puede hacer un muestreo de los datos con un intervalo peridico regular. Para seleccionar esta opcin, abrir la ventana Propiedades del Monitor de sistema (pulsando el botn Propiedades) y, en la ficha General, seleccionar Actualizar automticamente cada n segundos. El intervalo predeterminado es 1 segundo, pero este valor podra cambiarse para evitar una sobrecarga de la mquina. Hay que elegir el intervalo ms apropiado para capturar el tipo de actividad que se quiera visualizar.
Seleccin de propiedades adicionales
Captulo 21
Se pueden aadir lneas de rejilla verticales y horizontales a la vista grfica y de histograma pulsando sobre sus respectivos cuadros de Rejilla Vertical y Horizontal en la pestaa Grfico de la ventana Propiedades del Monitor de sistema. Estos elementos son muy tiles para determinar rpidamente el valor asociado a un contador. Tambin se puede cambiar el valor mximo y mnimo de la escala vertical en la pestaa de Grfico; los valores predeterminados son 100 para el Mximo y 0 para el Mnimo. El mximo valor que se puede especificar es 999999999, y el menor es 0. Ambos valores deben ser enteros positivos. Es necesario determinar el rango de la escala vertical en funcin de los contadores que se estn visualizando. Es posible ajustar los parmetros de configuracin de escala de un contador especfico para mejorar la visibilidad de sus datos dentro de la grfica. Los parmetros de configuracin de escala para contadores se ajustan en la ficha Datos de la ventana Propiedades del Monitor de sistema. Los valores de escala del contador oscilan exponencialmente entre 0.0000001 y 1000000.0. El ajuste de la escala no afecta a las estadsticas mostradas en la barra de valores. Seguimiento de una computadora diferente El Monitor de sistema muestra de manera predeterminada informacin del sistema local, pero tambin se puede configurar para hacer un seguimiento de otra computadora de la red. Tambin es posible hacer un seguimiento de ms de una computadora a la vez en el Monitor de sistema. Para esto, pulsar sobre el botn Agregar contadores, seleccionar la opcin Seleccionar contadores del equipo, y a continuacin teclear el nombre de la computadora que se quiera monitorizar en el cuadro de texto. Pueden seleccionarse y eliminarse contadores, as como modificar su visualizacin, de la misma forma descrita en las secciones anteriores. Para poder hacer un seguimiento de un equipo remoto a travs del Monitor de sistema, es necesario disponer de permisos de administracin en dicho equipo. Si no se dispone de permisos de administracin, se generar un mensaje de error. El contador aparecer en la visualizacin, pero ningn dato o grfico se asociarn a l. Si se pretende monitorizar un contador concreto y ste no aparece en la lista de
Captulo 21
contadores, es probable que el servicio o la funcin que proporciona el contador no haya sido instalada o habilitada en la computadora.
Registros y Alertas de rendimiento

Los Registros y alertas de rendimiento aumentan las capacidades de seguimiento del Monitor de sistema incluyendo funciones para almacenar informacin de registro y traza, as como generar alertas. El uso de las capacidades de los Registros y alertas de rendimiento tiene ciertas ventajas. La informacin de registros histricos puede exportarse a hojas de clculo y bases de datos para analizar s y generar informes. La informacin puede almacenarse en tres formatos: formato separado por comas, formato separado por tabuladores o formato de archivo de registro binario para las conexiones circulares o para las instancias de conexin que puedan iniciarse. En la conexin circular, los datos se introducen en un nico archivo, sustituyndose los datos antiguos por los nuevos. El archivo de registros de rendimiento se ejecuta como un servicio. Como resultado, un usuario no tiene que estar conectado a la computadora a la que se est haciendo un seguimiento para que se produzca la coleccin de los datos. Se pueden administrar varias sesiones de seguimiento desde la misma ventana de consola y visualizar los datos segn son recogidos, as como una vez que la coleccin de los datos haya acabado. La generacin automtica de archivos permite definir parmetros como nombre de archivo, tamao de archivo, y tiempo de comienzo y tiempo de fin. Se puede asociar una alerta a un contador para forzar el inicio de una accin especfica, como por ejemplo, iniciar un programa concreto, enviar un mensaje de notificacin o comenzar un registro histrico cuando el valor de un contador concreto caiga por debajo o supere un valor especificado. Registros de contadores Un registro de contador recoge informacin en un intervalo predefinido. Los registros de contadores son tiles para el almacenamiento de informacin sobre actividades de servicios del sistema y uso de los recursos hardware procedentes de una mquina local o remota. Se pueden almacenar datos manualmente segn se necesiten o planificar el comienzo y la recogida de la informacin automticamente. El sistema puede tambin realizar un registro histrico continuo, segn el tamao de archivo y los lmites de duracin que se definan. La informacin de registros histricos almacenada puede visualizarse con el Monitor de sistema o puede exportarse a hojas de clculo y bases de datos. Tambin es posible visualizar dinmicamente los contadores configurados en el registro histrico de contadores a travs del Monitor de sistema guardando la configuracin de los registros histricos como una pgina HTML. La pgina resultante soporta el control del Monitor de sistema a travs de un control ActiveX que aporta la interfaz para el usuario que se encuentre haciendo un seguimiento. Registros de seguimiento En lugar de hacer un muestreo en un intervalo predefinido, como hacen los registros de contadores, un
Captulo 21
registro de seguimiento monitoriza los datos de forma continua y espera a que se produzcan determinados sucesos, como por ejemplo, un fallo de pgina. Esta informacin se graba en un archivo de registros histricos. Para interpretar la salida de registros de seguimiento, se necesita una herramienta de anlisis.
Creacin de registros de contador y de seguimiento
Para crear un registro de contador o un registro de seguimiento, hay que realizar los siguientes pasos: 1. Abrir el Monitor de sistema y pulsar dos veces sobre Registros y alertas de rendimiento. 2. Elegir Registros de contador para crear un nuevo registro de contador, o Registros de seguimiento para crear un registro de seguimiento. 3. Pulsar el botn derecho del ratn en un rea en blanco del panel de detalles y elegir Nueva configuracin de registro. En Nombre, hay que escribir el nombre del registro de contador o registro de seguimiento y a continuacin presionar sobre Aceptar. Esto hace que se muestre una ventana Propiedades para configurar el contador de registro o el contador de seguimiento que est creando. 4. Configurar el registro de seguimiento o el registro de contador para hacer un seguimiento de la mquina local o remota seleccionando los contadores apropiados para los recursos que se desea monitorizar, seleccionando las propiedades del archivo de registro y las opciones de planificacin deseadas. Todos los registros que ya existan se muestran en el panel de detalles. Un icono rojo indica un registro que no se est ejecutando o que ha sido parado; un icono verde indica un registro que se est ejecutando. El intervalo de toma de datos para los registros se selecciona en la ficha General de la ventana Propiedades para el registro.
Adicin de contadores a los registros de contador
Captulo 21
Los contadores se aaden en la ficha General de la ventana Propiedades del registro. Cuando se crea un archivo de registro de contador, la ventana Propiedades se muestra automticamente. Si se necesita aadir contadores ms tarde, se puede visualizar la ventana Propiedades pulsando el botn derecho del ratn sobre el nombre del archivo del registro, eligiendo Propiedades en el men de acceso directo, presionando el botn Aadir en la pestaa General y a continuacin eligiendo los contadores deseados. El procedimiento para seleccionar contadores es idntico al descrito anteriormente en la seccin Seleccin de contadores.
Guardar la configuracin de un archivo de registro o alerta
Para guardar la configuracin de un archivo de registro o alerta, hay que pulsar con el botn derecho del ratn en el nombre de registro o alerta en el panel de detalles y, a continuacin, elegir Guardar configuracin como en el men rpido. Hay que escribir el nombre del archivo de registro o alerta y grabarlo como un archivo .HTM. La configuracin guardada puede utilizarse para un nuevo registro o alerta pulsando sobre el botn derecho del ratn en el panel de detalles, seleccionando Nueva configuracin de registro de, y a continuacin seleccionando el archivo .HTM que contenga la configuracin que se quiera reutilizar.
Seleccin de proveedores de sistema y no sistema para registros de seguimiento
Los sucesos en los registros de seguimiento no se monitorizan a travs de registros, sino de proveedores. El proveedor de sistema predeterminado, el Proveedor de seguimiento del ncleo de Windows, monitoriza hebras, procesos, entrada/salida de disco, redes TCP/IP, fallos de pgina y detalles de archivo. El proveedor de sistema utiliza la mayor sobrecarga posible para monitorizar los sucesos. Slo se puede ejecutar un nico registro de seguimiento al mismo tiempo. Si se intenta ejecutar ms de uno a la vez, se muestra un mensaje de error. Los proveedores de sistema y no sistema se eligen en la ficha General de la ventana Propiedades del registro de seguimiento. Para ver esta ventana, hay que pulsar con el botn derecho del ratn el archivo de registro de seguimiento y elegir Propiedades en el men rpido. A continuacin, en la ficha General, debe escogerse bien la opcin Sucesos registrados por el proveedor del sistema y a continuacin elegir
Captulo 21
los sucesos que se quieren monitorizar, o bien seleccionar la opcin Proveedores que no son de sistema y a continuacin aadir los proveedores que se quiera seleccionar pulsando sobre el botn Agregar. Es importante recordar que el registro de seguimiento de los fallos de pgina y los detalles de archivo genera una cantidad de datos enorme. Microsoft recomienda limitar el registro de seguimiento de estas opciones a un mximo de dos horas; de otro modo, puede quedarse sin espacio de disco en su mquina. La eleccin de proveedores que no son de sistema produce una sobrecarga menor. Con proveedores que no son de sistema, pueden seleccionarse los proveedores de informacin que se desee. No pueden ejecutarse de forma concurrente mltiples registros de seguimiento utilizando el mismo proveedor de no sistema, pero s usando diferentes proveedores de no sistema. Los proveedores que no son de sistema disponibles en Windows 2000 son Active Directory: Kerberos, Active Directory: Net Logon, Active Directory: SAM, Local System Authority (LSA), y Windows NT Active Directory Service. Configuracin de los parmetros de archivo para registros de seguimiento y contador Para configurar los parmetros de archivo de los registros de seguimiento y contador, hay que proceder de la siguiente forma: 1. Pulsar dos veces sobre Registros y alertas de rendimiento en el Monitor de sistema. 2. Pulsar en Registros de contador para configurar los parmetros de archivo de los registros de contadores, o pulsar en Registros de seguimiento para configurar los parmetros de archivo de los registros de seguimiento. 3. Pulsar dos veces sobre el nombre del registro que quiere configurar sus parmetros de archivo. Aparecer una ventana mostrando las propiedades del registro. 4. Pulsar en la pestaa Archivos de registro y configurar los parmetros deseados para el archivo del registro.
Parmetros de Archivo de registro
La ficha Archivo de registro de la ventana Propiedades de un registro de contador o seguimiento permite configurar un nmero de parmetros de archivo. Se puede especificar una carpeta distinta de la carpeta predeterminada de Windows 2000 en el cuadro Ubicacin. La ubicacin predeterminada es la carpeta PerfLogs del directorio raz. Tambin se ofrece la posibilidad de terminar el nombre del archivo con un conjunto de nmeros secuenciales o una fecha para hacer un seguimiento de varios archivos de registro. Esto resulta muy til para archivos de registro que se generan automticamente con el mismo nombre de archivo.
Captulo 21
Se dispone de una opcin de Tamao de archivo con la que se puede permitir que el archivo de registro pueda ser tan grande como las cuotas de disco o como el sistema operativo lo permita, o limitar el tamao a un tamao especfico de kilobytes. Es necesario limitar el tamao del archivo de registro si se quiere utilizar alguna de las opciones de conexin circular. De forma conjunta con el tamao de un archivo de registro se puede utilizar la opcin Cuando el archivo de registro est lleno en la ficha Programacin para ejecutar un comando si se desea que una accin particular ocurra cuando el archivo de registro se llene. Se puede elegir entre cuatro tipos de archivos para un registro de contador:
G
Archivo de texto (CSV): Este formato se usa para exportar datos a un programa de hoja de clculo. Los datos se almacenan como un archivo de registro delimitado por comas que usa la extensin de archivo .CSV. Archivo de texto (TSV): Este formato tambin se puede utilizar para exportar datos a un programa de hoja de clculo. Los datos se guardan como un archivo de registro delimitado por tabuladores que usa la extensin de archivo .TSV Archivo binario: Este formato se usa para instancias intermitentes (instancias que se paran y se arrancan despus de que el registro se haya arrancado). Los datos se almacenan como un archivo de registro secuencial con formato binario que usa la extensin de archivo .BLG. Archivo cclico binario: Este formato se utiliza para guardar datos continuamente al mismo archivo de registro, donde las nuevas grabaciones se sobrescriben sobre las anteriores. Los datos se guardan como un archivo cclico con formato binario que usa la extensin de archivo .BLG.
Los registros de seguimiento pueden ser de alguno de los dos tipos de archivo siguientes:
G
Archivo de seguimiento cclico: Este formato se utiliza para guardar datos de forma continua al mismo archivo de registro, donde los nuevos datos se sobrescriben sobre los anteriores. Los datos se almacenan en un archivo cclico que usa la extensin .ETL. Archivo de seguimiento secuencial: Este formato se usa para recopilar datos hasta que se alcance un lmite establecido por el usuario. Cuando se alcanza el lmite, el archivo actual se cierra y se inicia uno nuevo. Los datos se almacenan como un archivo secuencial que usa la
Captulo 21
extensin de archivo .ETL. El tipo de archivo predeterminado para los registros de contador es el Archivo binario (con la extensin .BLG), y el tipo de archivo predeterminado para los registros de seguimiento es el Archivo de seguimiento secuencial (con la extensin .ETL). Alertas Cuando el valor de un contador predefinido alcanza, cae por debajo o supera un valor umbral concreto, se enva al usuario una notificacin de alerta a travs del servicio Mensajera. El servicio Mensajera debe estar ejecutndose para que una notificacin de alerta pueda enviarse al usuario.
Creacin de una alerta
Para crear una alerta, hay que seguir los pasos siguientes: 1. Abrir el Monitor de sistema y pulsar dos veces en Registros y alertas de rendimiento. 2. Pulsar en Alertas. 3. Pulsar el botn derecho en el rea blanca del panel de Detalles y elegir Nueva alerta. Introducir en la etiqueta Nombre el nombre de la alerta que se est creando y presionar el botn Aceptar. Aparecer entonces una ventana Propiedades para configurar la alerta que se est creando. 4. A continuacin se debe configurar la alerta especificando si se quiere hacer un seguimiento de una mquina local o remota, eligiendo uno o ms contadores, estableciendo los valores umbrales para los contadores, seleccionando qu accin se quiere realizar cuando la alerta se dispare, as como eligiendo las opciones de programacin deseadas.
Configuracin de una alerta
Captulo 21
Deben seleccionarse valores umbrales para cada contador sobre el que se pretende poner una alerta. Esto se realiza en la ficha General de la ventana Propiedades de la alerta. Cuando se crea una alerta, la ventana Propiedades se muestra automticamente. Si se necesita aadir contadores en una fecha posterior, es posible acceder a la ventana Propiedades pulsando el botn derecho del ratn sobre el nombre del archivo de la alerta, eligiendo Propiedades en el men rpido y pulsando sobre el botn Agregar de la pestaa General. As mismo es necesario configurar los valores umbrales para que disparen una alerta cuando caigan por encima o por debajo de ciertos valores base establecidos por la corporacin. Para establecer estos valores base, se deber determinar qu nivel de rendimiento del sistema se considera aceptable cuando el sistema experimenta una carga de trabajo tpica y se encuentra ejecutando todos los servicios requeridos. Esto se realiza revisando los datos mostrados en las grficas de los registros en el Monitor de sistema o exportando los datos para generar informes susceptibles de anlisis. Es posible especificar acciones que deban producirse cuando se supere algn valor umbral en la ficha Accin de la ventana Propiedades. Se dispone de cuatro opciones:
G
G G
Registrar una entrada en el registro de sucesos de aplicacin: Hace que la alerta registre una entrada visible al usuario en el Visor de sucesos. Enviar un mensaje de red a: Dispara el servicio de Mensajera para enviar un mensaje de alerta a una computadora concreta. Iniciar registro de datos de rendimiento: Ejecuta un registro de contadores existente. Ejecutar este programa: Especifica un archivo de comando y unos argumentos de lnea de comando que se ejecutan cuando se dispara una alerta.
Permisos para registros de contador, registros de seguimiento y alertas

Para crear o modificar un registro o una alerta, es necesario disponer de permisos de Control total (Full
Captulo 21
control) para la entrada del registro HKEY_LOCAL_MACHINE\,SYSTEM\CurrentControlSet\Services\SysmonLog\LogQueries. A los administradores se les concede este permiso de manera predeterminada, y pueden otorgar este permiso a los usuarios en Regedt32.exe a travs del men Seguridad. Para ejecutar el servicio de Registros y alertas de rendimiento, se debe tener permiso para configurar o iniciar servicios en el sistema. A los administradores se les asigna normalmente este permiso de manera predeterminada, y pueden conceder este permiso a usuarios a travs de la consola de las polticas de grupo. Ms an, para registrar datos en una computadora remota, se requiere que el servicio de Registros y alertas de rendimiento se ejecute bajo una cuenta que tiene acceso al sistema remoto. El servicio se ejecuta en segundo plano una vez que el servicio o alerta se ha configurado y se encuentra ejecutndose. Antes de iniciar el Monitor de sistema o Registros y alertas de rendimiento en la computadora que pretende observarse, hay que realizar lo siguiente:
G G G
Aumentar el archivo de paginacin del tamao de la memoria fsica hasta 100 Mb. Deshabilitar cualquier programa protector de pantalla. Cerrar los servicios que no son relevantes o esenciales para la observacin del sistema.
Conviene tener en mente las prcticas siguientes cuando hay que prepararse para ajustar el sistema:
G
Configurar los Registros y alertas de rendimiento para que observen a informen sobre datos de los contadores dentro de un intervalo regular, como por ejemplo, cada 10 15 minutos. Es una buena prctica conservar los registros por un periodo de tiempo extenso. Es posible almacenar la informacin en una base de datos y utilizarla para el anlisis de tendencias, valoracin de rendimiento y capacidad de planificacin. Realizar slo un cambio cada vez. Los cuellos de botella pueden ser el problema de varios componentes. No se debe confundir el asunto haciendo demasiados cambios al mismo tiempo, ya que entonces ser imposible valorar el impacto que cada cambio tiene sobre el sistema. Guardar un registro de cada cambio que se realice y repetir el proceso de observacin despus de cada cambio. Esta prctica es importante, ya que los cambios en los ajustes pueden afectar a otros recursos, y los registros mencionados ayudarn a determinar los efectos de cada cambio y valorar si son necesarios cambios adicionales. Realizar una comparacin entre los programas que se ejecutan en la red y aquellos que se ejecutan localmente. Esto permitir discernir si los componentes de la red pueden estar asociados en parte a los problemas de rendimiento. Prestar atencin a los registros de sucesos; algunos problemas de rendimiento generan una salida que puede visualizarse en el Visor de sucesos. Bajo ciertas condiciones, las herramientas de rendimiento aumentarn la carga del sistema. Si se observa que ste es el problema, puede reducirse de la siguiente forma: H Siendo selectivo con los objetos y contadores que se pretenda observar. Cuantos ms se
Captulo 21
usen, mayor ser la sobrecarga. H No ejecutando el Monitor de sistema con la vista grfica. Esta vista produce la mayor sobrecarga. H Especificando intervalos de muestreo de 3 o ms segundos; cualquier intervalo menor que 3 segundos es demasiado frecuente. H Ejecutando Registros y alertas de rendimiento en lugar de la grfica del Monitor de sistema. - Reduciendo la cantidad de espacio de disco usada por los archivos de registro, ampliando el intervalo de actualizacin y guardando el registro histrico en un disco distinto del que se est observando. Cuando se encuentre haciendo un registro histrico a travs de Registros y alertas de rendimiento, deben excluirse los tiempos de arranque de los sucesos. Los tiempos de arranque de los sucesos tienden a sesgar los resultados de rendimiento generales, dado que producen de forma temporal valores elevados. Cuando se guarde la configuracin de las herramientas de rendimiento en un archivo justo despus de completar la configuracin, hay que guardar el archivo con un nombre distinto de Perfmon.msc. Si no, se estar cambiando permanentemente la configuracin de las herramientas de rendimiento de la computadora.
Seleccin de un mtodo de observacin
Si se necesita observar un suceso del sistema cuando ste se est produciendo, se puede utilizar la grfica del Monitor de sistema. Las grficas son muy tiles para observaciones en tiempo real a corto plazo de una computadora remota o local. Hay que elegir el intervalo de actualizacin que mejor capture la informacin del tipo de actividad que se est observando. Los registros de rendimiento estn orientados al almacenamiento de informacin y la observacin a largo plazo. Puede exportarse informacin de registros histricos y usarse para generar informes, y tambin puede visualizarse la informacin como grficas o histogramas en el Monitor de sistema. Hacer un registro histrico de esta forma resulta ms prctico cuando se necesita observar varias computadoras a la vez.
Determinacin del tiempo de observacin
Para registros histricos rutinarios de registros de datos, puede comenzarse poniendo a 15 minutos el valor en Tomar datos de muestra cada. Para visualizar esta opcin, hay que visualizar la ventana Propiedades del registro de contador especfico. Este intervalo puede ajustarse al tipo de informacin al que quiere hacer un seguimiento. Si la memoria queda mermada, por ejemplo, puede utilizarse un intervalo de tiempo superior. Otra consideracin es la duracin media de tiempo que se observa un sistema. Si se realizan observaciones durante menos de 4 horas, un intervalo de 15 minutos es aceptable. Si se realizan observaciones durante 8 horas o ms, no debe introducirse un intervalo de tiempo menor de 5 minutos (300 segundos). La observacin a una velocidad frecuente har que el sistema genere una gran cantidad de informacin, lo que producir archivos de registro muy grandes. Esto tambin aumentar la sobrecarga tremendamente. Observacin del uso de la memoria
Captulo 21
Si se sufren problemas de rendimiento, el primer paso para estudiar el problema es observar el uso que se hace de la memoria, ya que ste es el factor ms importante en el rendimiento del sistema. Si el sistema se encuentra paginando frecuentemente, puede disponer de poca memoria en la mquina. Algo de paginacin es bueno, puesto que ayuda a expandir la memoria de algn modo, pero un exceso de paginacin es una carga para el rendimiento del sistema. La paginacin se utiliza para liberar memoria para otros usos moviendo bloques de datos y cdigo de un tamao fijo desde la RAM hasta el disco en unidades denominadas pginas. Antes de empezar a observar el uso que se hace de la memoria, deben comprobarse algunas cosas. Por ejemplo, que el sistema tiene la cantidad de memoria recomendada para poder ejecutar el sistema operativo, as como otras aplicaciones y servicios. Si no se conoce cules son los requisitos de memoria para un proceso, podra averiguarse su conjunto de trabajo dentro del Monitor de sistema, cerrar el proceso y observar el efecto en la actividad de paginacin. La cantidad de memoria que se libera cuando se cierra un proceso coincide con la cantidad de memoria que el proceso estaba usando. El conjunto de trabajo es la porcin de memoria fsica asignada a cada programa que se ejecuta en la computadora. Se puede producir un exceso de paginacin cuando la instalacin de Windows 2000 configura el sistema con los parmetros que optimizan el compartimiento de archivos. En algunos casos, esto puede incrementar significativamente la paginacin, porque hace que el sistema mantenga un conjunto de trabajo cach del sistema. Si no se utiliza el servidor para el compartimiento de archivos, puede reducirse la cantidad de paginacin en el servidor deshabilitando los parmetros de compartimiento de archivos. Para ello, hay que seguir los pasos siguientes: 1. En el men de Inicio, marcar Configuracin y a continuacin elegir Conexiones de red y Acceso telefnico. 2. Pulsar con el botn derecho del ratn sobre el rea de conexin local y seleccionar Propiedades del men rpido. 3. En los componentes de red marcados para esta conexin, resaltar Compartir impresoras y archivos para redes Microsoft y presionar sobre el botn Propiedades. 4. En el rea de Optimizacin del servidor, la opcin Maximizar el rendimiento para compartir archivos se encuentra seleccionada de manera predeterminada. Seleccionar en su lugar Maximizar el rendimiento para aplicaciones de red. Esta accin reducir la actividad de paginacin del sistema.
Contadores recomendados
Para condiciones en las que haya poca memoria, conviene realizar el seguimiento con los contadores de
Captulo 21
memoria. Para buscar posibles cadas de memoria o cuellos de botella, debe hacerse uso de estos contadores:
G
Memoria\Pginas/s: Muestra el nmero de pginas ledas o escritas en disco para resolver fallos de paginacin graves. Un fallo de paginacin grave ocurre cuando un proceso requiere cdigo o datos que deben ser recuperados desde el disco en vez de desde su conjunto de trabajo o desde algn sitio de memoria. Si el valor es superior a 20, debern investigarse las actividades de paginacin y hacer ajustes si fuera necesario. Un valor alto para este contador podra indicar ms un problema de paginacin que un problema de memoria. Memoria\Bytes comprometidos: Muestra la cantidad de bytes comprometidos de la memoria virtual del sistema y es una cuenta instantnea. Si se sospecha que existe una merma en la memoria, conviene observar durante un periodo de tiempo este contador, conjuntamente con el de Memoria\Bytes disponibles. Memoria\Bytes de memoria no paginables: Muestra el nmero de bytes asignados a la memoria no paginable para objetos que no pueden ser escritos en disco, pero que deben permanecer siempre en la memoria principal desde su asignacin Si este valor es alto, el sistema necesitar memoria adicional. Si se sospecha que un proceso que se ejecuta en modo Kernel es la causa de la merma de memoria, debe utilizarse este contador conjuntamente con Memoria\ Asignaciones de memoria no paginable. Memoria\Asignaciones de memoria no paginable: Muestra el nmero de llamadas para asignar espacio en la memoria no paginable del sistema. Este contador se utiliza conjuntamente con Memoria\Bytes de memoria no paginables para determinar si se tiene una merma de memoria. Servidor\Bytes recibidos/s: Muestra el nmero de bytes que la mquina ha recibido o enviado a travs de la red. Indica el grado de ocupacin del servidor. Si se observa un incremento dramtico y sostenido de este valor, se necesitar aumentar la memoria. Servidor\Bytes de memoria paginable: Muestra el nmero de bytes de memoria paginable del equipo que est utilizando actualmente el servidor. Esta informacin puede utilizarse para determinar los valores idneos para el parmetro del registro de Windows 2000 MaxPagedMemoryUsage. Servidor\Bytes de memoria no paginable: Muestra el nmero de bytes de memoria no paginable del equipo que est utilizando actualmente el servidor. Esta informacin puede utilizarse para determinar los valores idneos para el parmetro del registro de Windows 2000 MaxNonpagedMemoryUsage.
Para observar una condicin de memoria baja, se hace uso de estos contadores:
G
Memoria\Bytes disponibles: Windows 2000 utiliza los bytes libres para satisfacer los requerimientos de memoria de los programas. Cuando los bytes libres escasean, la escasez se suple cogiendo memoria de los conjuntos de trabajo de los programas menos activos. A continuacin, se notar un incremento en el conjunto de trabajo de un programa y un ligero descenso en los valores de otros programas. El resultado es un incremento en la paginacin que penaliza el rendimiento. Para resolver este problema, se necesitar incrementar la memoria de la mquina.
Captulo 21
G
Memoria\Bytes de cach: Muestra el nmero de bytes que se usa por el archivo de la cach del sistema. Este contador se utiliza conjuntamente con Memoria\Bytes disponibles. Si el valor para Memoria\Bytes de cach se sita por encima de los 4Mb, se necesitar aadir ms memoria a la mquina Disco fsico\% Tiempo de disco y Disco Fsico\Long. Media de la cola de disco: Estos contadores pueden indicar un dficit de memoria cuando se usan conjuntamente con Memoria\Pginas/s. Si un incremento en la longitud de la cola no se ve acompaado por un decremento en el valor de Memoria\Pginas/s, entonces no existe tal dficit.
Para comprobar si existe una paginacin excesiva, hay que observar los siguientes contadores:
G
Archivo de paginacin\% Uso (todas las instancias): Los archivos de paginacin se comparten por cada proceso y se utilizan para almacenar pginas de memoria en el sistema. Si se sospecha que la paginacin es la culpable del cuello de botella, resulta til revisar este dato conjuntamente con Memoria\Bytes disponibles y Memoria\Pginas/s. El valor umbral aceptable para este valor es 99%. Es necesario aumentar Pagefile.sys si el valor se incrementa al 100%. Archivo de paginacin\% Uso mximo: Si el valor para este contador se aproxima al mximo parmetro de configuracin del archivo de paginacin, se deber aumentar Pagefile.sys. Disco fsico\Media en segundos/Transferencia y Memoria\Pginas/s: El contador DiscoFsico\Media en segundos/Transferencia muestra la media de transferencias a disco en segundos. El contador MemoriaPginas/s muestra el nmero de pginas escritas o ledas desde el disco cuando un proceso requiere informacin que ya no se encuentra en su conjunto de trabajo y debe ser recuperada desde el disco. Para ayudar a determinar si el sistema est paginando en exceso, hay que multiplicar el valor de estos dos contadores. Si el resultado excede de 0,1, la paginacin est ocupando ms del 10 por 100 del tiempo de los accesos a disco. Si esta situacin persiste durante un largo periodo de tiempo, se necesitar memoria adicional.
Sugerencias para el ajuste y progresin del componente de memoria Si se estn sufriendo problemas con la memoria, deben comprobarse las siguientes posibilidades:
G
G G
Archivo de paginacin: Hay que asegurarse de que el archivo de paginacin tiene el tamao correcto, as como de crear mltiples archivos de paginacin para reducir la paginacin excesiva. Tambin puede dividirse el archivo de paginacin entre varios discos de velocidades parecidas para incrementar el tiempo de acceso. Cuando el archivo de paginacin alcanza el lmite mximo que tiene asociado, se visualiza un aviso y se puede detener el sistema. Memoria fsica: Es necesario aumentar la memoria fsica por encima del mnimo requerido. Parmetros de configuracin de memoria: Debe comprobarse que los parmetros de configuracin de la memoria estn configurados correctamente. Programas de memoria intensivos: Los programas que hacen un uso intensivo de la memoria deben ejecutarse cuando la carga del sistema sea pequea o en computadoras de alto rendimiento.
Captulo 21
Observacin de la actividad del procesador Cuando se haga un seguimiento del uso del procesador, habr que considerar el rol de la computadora y el trabajo que se encuentra realizando. Los valores de procesador altos pueden significar que la mquina se est encargando de manejar la sobrecarga del sistema de una manera eficiente o que, al contrario, sta est luchando para continuar. Cuando se produce un cuello de botella porque las hebras de un proceso necesitan ms ciclos de procesador de los que hay disponibles, se forman grandes colas de peticin de uso del procesador, haciendo que el sistema sufra para responder. Las dos causas ms comunes de un cuello de botella en el procesador son el exceso de demanda de uso del procesador por parte de los programas ligados a la CPU y el exceso de interrupciones generadas por los controladores o los componentes del subsistema, como por ejemplo, un disco o los componentes de red.
Contadores mnimos recomendados
La siguiente lista muestra los contadores mnimos recomendados que se deberan utilizar para hacer un seguimiento de los posibles cuellos de botella del procesador del servidor:
G
Sistema\Longitud de la cola del procesador (todas las instancias) Una longitud continuada superior a dos generalmente indica una congestin del procesador. Dado que ste es un contador instantneo, la nica forma de conseguir un anlisis preciso es observando este valor durante varios intervalos. Colas de trabajo del servidor\Longitud de cola Una longitud de cola sostenida mayor de cuatro puede indicar congestin del procesador. Procesador\Interrupciones/s Este contador puede utilizarse para averiguar si la actividad de las interrupciones est causando un cuello de botella. Si se observa un incremento dramtico de este contador sin un incremento correspondiente en la actividad del sistema, probablemente se trate de un problema de hardware. Para resolver el problema, se necesitar encontrar el adaptador de redes a otro dispositivo que est causando las interrupciones. Es necesario remitirse a las especificaciones del fabricante para averiguar el valor umbral del procesador que se considere aceptable. Procesador\% de tiempo de interrupcin Este contador visualiza el porcentaje de tiempo que el procesador pasa enviando y atendiendo interrupciones hardware durante el intervalo de muestreo. Este valor da una indicacin general de las actividades de los dispositivos que generan las interrupciones, como por ejemplo, unidades de disco, adaptadores de redes y otros dispositivos perifricos. Estos dispositivos interrumpen al procesador cuando requieren su atencin o completan una tarea. Debe observarse si se producen incrementos dramticos en el valor sin que se produzca un incremento correspondiente en la actividad del sistema.
Para hacer un seguimiento de los posibles problemas de uso, deben utilizarse los contadores:
Captulo 21
G
Procesador\% tiempo de procesador (todas las instancias) Este contador se utiliza para descubrir algn proceso que utilice ms del 85 por 100 del tiempo del procesador Puede sugerir la instalacin de un procesador adicional o la actualizacin a uno ms rpido. Procesador\% tiempo de usuario Realiza un seguimiento del porcentaje de tiempo de procesador empleado en modo usuario con subprocesos activos. Un porcentaje alto podra indicar la necesidad de actualizarse o aadir procesadores adicionales. Este contador debe utilizarse conjuntamente con Procesador\% tiempo de procesador (todas las instancias). Procesador\% tiempo privilegiado Hace un seguimiento del porcentaje de tiempo de procesador designado para los controladores de manipulacin hardware y los componentes del sistema operativo con subprocesos activos. Un porcentaje elevado podra atribuirse a un gran nmero de interrupciones generadas por un dispositivo que est fallando. Este contador debe utilizarse conjuntamente con el contador Proceso/% tiempo de procesador (todas las instancias).
Sugerencias para el ajuste y progresin del componente procesador
Para resolver problemas que se estn experimentado con el procesador, pueden intentarse las siguientes recomendaciones:
G
Actualizacin del procesador: Hay que actualizarse a un procesador ms rpido, sustituir un procesador que falle o aadir otro procesador a la mquina, especialmente si se estn ejecutando programas multihebrados. Ajuste de la carga del sistema: Hay que distribuir los programas de forma ms eficiente entre los servidores, o programar los programas para que se ejecuten a horas en las que el sistema no est tan sobrecargado. Gestin de la afinidad de procesador en las computadoras multiprocesador: La gestin de la afinidad de los procesadores con respecto a las interrupciones y las hebras de los procesos puede suponer una mejora en el rendimiento, ya que reduce el nmero de volcados de la memoria cach del procesador durante el movimiento de hebras de un procesador a otro. Se selecciona afinidad para un determinado proceso o programa cuando se asigna a un nico procesador para mejorar su rendimiento, a costa de los otros procesadores. Hay que tener en cuenta que cuando se dedica un proceso o programa a un procesador, a los otros hilos de programa pueden que no se les permita migrar al procesador menos ocupado. La afinidad puede configurarse en la Barra de tareas y slo se encuentra disponible en sistemas multiprocesador.
Observacin de la actividad de disco La observacin del uso de disco ayuda a equilibrar la carga de los servidores de red. Cuando se realiza un seguimiento del rendimiento de un disco, conviene hacer un registro histrico de los datos de rendimiento a otro disco o computadora para evitar sesgar los datos del disco que se estn observando.
Captulo 21
El sistema operativo toma los datos del contador de Disco fsico usando de manera predeterminada el comando Diskperf-yd. Esto no se aplica a los datos del contador de Disco lgico. Para obtener datos del contador de rendimiento de las unidades lgicas, debe teclear Diskperf-yv en el indicativo de rdenes. Este comando hace que el controlador que recoge datos sobre el rendimiento de disco se encargue de mostrar datos sobre las unidades lgicas. Para obtener informacin adicional sobre el comando Diskperf, hay que escribir diskperf-? en el inductor de comandos.
La lista siguiente muestra el nmero de contadores mnimos que deberan usarse para hacer un seguimiento del rendimiento de disco del servidor en busca de posibles cuellos de botella:
G
Disco fsico\Longitud actual de la cola de disco (todas las instancias): Muestra el nmero de peticiones que se encuentran esperando para acceder al disco. Este nmero debera oscilar ms o menos entre no ms de 1,5 2 veces del nmero de ejes que constituyen el disco fsico. La mayora de los discos tienen un nico eje. La excepcin son los dispositivos de disposicin redundante de discos independientes (RAID), que normalmente tienen ms de un eje. Es necesario observar este valor durante varios intervalos, dado que se trata de un valor instantneo. Disco fsico\% tiempo de disco: Indica cmo de ocupadas se encuentran las unidades de disco del servidor mostrando el porcentaje de tiempo que una unidad est activa. Si el valor de este contador se eleva por encima del 90 por 100 o si se encuentra utilizando un dispositivo RAID, debe comprobarse el registro Disco fsico\Longitud actual de la cola de disco para ver cuntas peticiones se encuentran pugnando por el acceso a disco. Disco fsico\Media en segundos/Transferencia: Muestra la cantidad de tiempo que le lleva a un disco completar una peticin. Un valor alto podra indicar que el controlador de disco se encuentra continuamente intentando acceder al disco como consecuencia de los errores. Para la mayora de los sistemas, un valor de 0,3 segundos o superior indica una media de tiempo de transferencia de disco alta.
Para observar posibles problemas de uso, deben utilizarse los contadores:

G
Disco fsico\Media de bytes/Transferencia: Muestra la media del nmero de bytes que se transfieren desde o hasta el disco durante las operaciones de lectura/escritura. Disco fsico\Lecturas/s y Escrituras/s: Estos contadores pueden ayudar a equilibrar la cantidad de trabajo de los servidores de red. Hay que asegurarse de que la tasa de transferencia del disco no supere las especificaciones recomendadas por el fabricante.
Sugerencias para el ajuste y progresin de la actividad de disco
Si se sufre problemas con respecto al rendimiento del disco, hay que intentar las siguientes soluciones:
Captulo 21
G
G G G
Instalar el ltimo controlador software para los adaptadores de red para mejorar la eficiencia de acceso al disco. Instalar discos adicionales o actualizar el disco duro a uno ms rpido. Hay que actualizar tambin al mismo tiempo el controlador de disco y el bus. En servidores, crear volmenes repartidos en varios discos fsicos para incrementar la productividad. Distribuir las aplicaciones entre varios servidores para equilibrar la carga de trabajo. Optimizar el espacio de disco ejecutando el Desfragmentador de disco. Aislar las tareas que requieran un uso intensivo de Entrada/Salida para separar los controladores de disco o discos fsicos para poder equilibrar la carga de trabajo del servidor.
Seguimiento de la actividad de red El seguimiento de la red consiste en observar el uso de los recursos del servidor y medir el trfico de red en general. Aunque se puede seguir con el Monitor de sistema, el Monitor de red, aporta un anlisis del trfico ms detallado. Hay que comenzar a observar el sistema haciendo un seguimiento de los contadores mnimos recomendados. Se debe observar el uso de los recursos en su sistema. Hay que utilizar los contadores correspondientes a las distintas capas de la configuracin de la red para concentrarse en el uso de los recursos relativos de las capas de red. Los valores de los contadores de red anormales posiblemente indiquen problemas con el procesador, memoria o discos duros del servidor. Recomendamos que se observen los contadores de red conjuntamente con Memoria\Pginas/s, Procesador\% Tiempo de procesador y Disco Fsico\% Tiempo de disco. Por ejemplo, si Memoria\Pginas/s se incrementa dramticamente y viene acompaado de un decremento de Memoria\Bytes recibidos/s controlados por el servidor, el sistema se encuentre probablemente bajo de memoria fsica para las operaciones de red.
La siguiente lista muestra los contadores mnimos recomendados para hacer un seguimiento del rendimiento de la red para detectar posibles cuellos de botella:
G
Servidor\Uso mximo de la memoria paginable Indica la cantidad de memoria fsica y del mximo archivo de paginacin. El umbral aceptable es la cantidad de memoria RAM.
Para observar posibles problemas de uso, hay que utilizar los siguientes contadores:
G
Servidor\Total de bytes/s Indica el nmero de bytes que el servidor ha enviado y recibido de la red. Este valor resulta til cuando se quiere saber cmo de ocupado se encuentra el servidor. Puede que se necesite segmentar la red si la suma de todos los servidores de Total de bytes/s se acerca a la mxima tasa de transferencia de la red. Servidor\Carencias de elementos de trabajo Indica el nmero de veces que no hay disponibles
Captulo 21
elementos de trabajo para las peticiones de servicio entrantes. Considera el ajuste de InitWorkItems o MaxWorkItems en la clave de registro HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer si el valor del contador alcanza o supera el umbral de 3.
Sugerencias para el ajuste y progresin de la actividad de red
Hay que probar las siguientes soluciones si se estn experimentando problemas con el rendimiento de la red:
G
Para aumentar significativamente el rendimiento, hay que desenlazar los adaptadores de red que no se usen frecuentemente y actualizar cada adaptador de red a uno de alto rendimiento. Cuando se configura la red, hay que asegurarse de que los sistemas compartidos por el mismo grupo de usuarios se encuentran en la misma subred. Instalar mltiples adaptadores de red para incrementar la productividad del sistema compartido de archivos. Ejecutar la orden con la que la estacin de trabajo y el software NetBIOS se enlazan a cada protocolo cuando se est usando ms de un protocolo. El tiempo de conexin promedio se reduce cuando el protocolo que se utiliza ms frecuentemente se coloca primero en la lista de enlace.
El Monitor de Red
El Monitor de red se utiliza para capturar y visualizar estadsticas sobre las tramas que el servidor recibe de la LAN. El Monitor de red resuelve problemas de red y ayuda a analizar el trfico de red. Slo se puede instalar el Monitor de Red en el servidor. El Monitor de red est formado por dos componentes: el propio Monitor de red y el controlador del Monitor de red; ambos se deben instalar en el servidor que se encuentre ejecutando el Monitor de red para que pueda capturar tramas. El controlador del Monitor de red permite al Monitor de red recibir tramas procedentes del adaptador de red. El controlador slo se puede instalar en mquinas que corran bajo Windows 2000 Server o Windows 2000 Professional. Systems Management Server (SMS) del Monitor de red 2 pone el adaptador de red en modo promiscuo, lo cual significa que el adaptador lee todas las tramas (paquetes) que recibe de la red, en lugar de slo las que van dirigidas a l.
Captulo 21
El Monitor de red y el Controlador del monitor de red pueden instalarse de dos formas. Ambos se pueden instalar cuando se instala el sistema operativo Windows 2000 Server. O si se prefiere instalarlos despus, se puede instalar el Monitor de red abriendo Agregar o quitar programas en el Panel de control y seleccionando Agregar/quitar componentes de Windows. Posteriormente, y de forma separada, tendr que instalarse el controlador del Monitor de red situndose en el men Configuracin de Conexiones de red y acceso telefnico y eligiendo Propiedades de la conexin de rea local. Una trama (frame) es una porcin de informacin del flujo de datos de la red que ha sido dividido en pequeos trozos por el software de red y se enva a travs del cable. El Monitor de red permite capturar tramas directamente desde la red. Permite visualizar, filtrar, guardar a imprimir las tramas capturadas para ayudar a identificar los patrones del trfico de red y los problemas de la red. Una trama se compone de los elementos siguientes:
G
G G
La direccin de origen de la mquina que envi la trama. La direccin de origen es un nmero hexadecimal nico que identifica a la mquina emisora. La direccin de destino de la mquina que recibi la trama. La direccin de destino es un nmero hexadecimal nico que identifica a la mquina receptora. La direccin de cabecera para el protocolo que envi la trama. La informacin real que se envi a la mquina receptora.
El Monitor de red de Windows 2000 almacena la informacin capturada en un archivo de captura temporal. Cuando guarda el archivo de captura, se le otorga la extensin .CAP, pudindose visualizar los archivos capturados con el Monitor de red. Para aislar un subconjunto de tramas, es necesario disear un filtro de captura. Los filtros de captura se comportan como las consultas de base de datos que se usan para aislar determinada informacin. Las tramas se pueden filtrar atendiendo a varias opciones como protocolos, propiedades del protocolo y direcciones de origen y destino. Tambin puede configurarse una captura para que responda a ciertas condiciones diseando un desencadenador de captura que sea detectado por el Monitor de red.
Captulo 21
Visualizacin de la ventana Visor de tramas Antes de empezar a capturar tramas, debe elegirse la interfaz de red correcta. Es importante darse cuenta de que todas las interfaces de red, incluidos los mdems, se encuentran incluidas en la lista de interfaces de red. Para especificar la interfaz de red, hay que ir a Redes en el men Capturar en la ventana de captura. Para capturar tramas desde la ventana de captura, existen tres opciones: puede pulsarse sobre el botn Iniciar captura de la barra de herramientas, elegir Iniciar desde el men de Captura, o presionar la tecla F10. Para examinar las tramas, se necesitar parar la captura de la sesin actual de alguno de los siguientes modos: seleccionando Detener y Ver desde el men Capturar, pulsando sobre el botn Detener captura de la barra de herramientas, o presionando la tecla de funcin F1 1. Si no se selecciona Detener y Ver, puede verse la ventana Visor de tramas presionando la tecla de funcin F12. La ventana Visor de tramas se usa para visualizar los contenidos de las tramas capturadas. La informacin capturada puede visualizarse eligiendo Detener y Ver en el men Capturar durante la captura de datos. Es posible hacer un zoom sobre un panel especfico de la ventana Visor de tramas seleccionando el panel y eligiendo Panel de zoom en el men Ventana. Esto hace aparecer una marca prxima a la opcin Zoom del men Ventana. La ventana Visor de tramas tiene tres paneles:
G
El panel de sumario muestra informacin general sobre las tramas en el orden en que fueron capturadas. El panel de detalle muestra los contenidos de las tramas, incluyendo los protocolos utilizados para enviarlas. El panel de hexadecimal muestra la representacin ASCII y hexadecimal de la informacin que se captura.
Visualizacin de la ventana de captura Las estadsticas de las tramas capturadas se muestran en la ventana de captura. La ventana de captura tiene cuatro paneles que muestran estadsticas de las tramas:
Captulo 21
G
El panel grfico muestra grficamente estadsticas de captura totales de la actividad de red actual, como el porcentaje de recursos de red disponibles en uso por la captura actual y el nmero de tramas, bytes, difusiones y multidifusiones que la red transmite por segundo. Este panel se visualiza en la parte superior izquierda de manera predeterminada. El panel de estadsticas de la sesin (el panel central situado a la izquierda en la figura) muestra las estadsticas correspondientes a las sesiones de red individuales. Se identifica a los participantes de la sesin y se muestra la cantidad de informacin que se pasan en ambas direcciones. El panel de estadsticas de la sesin incluye informacin como la direccin de red del primer participante, visualizada como Direccin de red l; la direccin de red del segundo participante, mostrada como Direccin de red 2; el nmero de tramas enviadas desde la direccin visualizada como Direccin de red 1 a la direccin visualizada como Direccin de red 2, mostrada como 1-->2; y el nmero de tramas enviadas desde la direccin visualizada como Direccin de red 2 a la direccin visualizada como Direccin de red 1, mostrada como 1<--2; El panel de las estadsticas de estacin (en la parte de abajo en la figura) muestra estadsticas sobre las actividades que ocurren desde o hasta la mquina local mientras se ejecuta el Monitor de red. Este panel se visualiza en la parte inferior de la pantalla de manera predeterminada a incluye la direccin de red desde la que se capturaron las tramas, el nmero de tramas y bytes enviados por la direccin de red, el nmero de tramas y de bytes recibidos por la direccin de red, y el nmero de tramas, direcciones mltiples y difusiones enviadas por la direccin de red a otras computadoras de la red. Al igual que en el panel de estadsticas de la sesin, en este panel slo se reflejan las primeras 128 direcciones nicas. El panel de estadsticas totales (el panel derecho en la figura) resume la actividad de red detectada en general desde el momento en que comenz el proceso de captura. No todos los adaptadores de red soportan todas las estadsticas que se muestran en este panel. Si esto ocurre, la etiqueta de la estadstica se reemplazar por < No soportado. Este panel se muestra en la esquina superior derecha de la ventana de captura de manera predeterminada. El panel de estadsticas totales se compone de cinco paneles: H Las estadsticas de red muestran estadsticas sobre la cantidad total de trfico generado desde que comenz la captura actual en el Monitor de red. Estas estadsticas incluyen el nmero total de tramas descartadas, as como el nmero total de tramas, difusiones, multidifusiones y bytes enviados a la red. Tambin se muestra el Estado de la red. En una
Captulo 21
red Ethernet, el estado siempre ser normal, y en una Token-Ring reflejar el estado del anillo. Las estadsticas capturadas muestran estadsticas de la captura que se est llevando a cabo actualmente. Estas estadsticas incluyen el nmero total de tramas y bytes capturados, el nmero total de tramas y bytes en el archivo de captura temporal, el porcentaje del bfer asignado que se est utilizando, el nmero de tramas descartadas por el Monitor de red, as como cundo se supera el espacio del bfer asignado. Las estadsticas por segundo reflejan medias de la actividad en curso y se actualiza constantemente para reflejar la actividad por segundo. Todas las tramas, incluso las excluidas por un filtro, se incluyen en estas estadsticas. Las estadsticas mostradas en este panel incluyen el porcentaje medio de utilizacin de la red y la media por segundo de tramas, bytes, nmero de difusiones y nmero de difusiones mltiples que se detectan desde que comenz el proceso de captura. Las estadsticas de tarjeta de red (MAC) reflejan la actividad media reflejada por el adaptador de red desde que comenz la sesin actual de captura. Estas estadsticas incluyen el nmero total de tramas, nmero de difusiones, difusiones mltiples y bytes detectados por la tarjeta adaptadora de red. Las estadsticas de error de la tarjeta de red (MAC) muestran los errores de la tarjeta adaptadora de red ocurridos desde el comienzo de la actual sesin de captura. Estas estadsticas incluyen el nmero de errores que se produjeron porque los bytes recibidos no se ajustaron a la comprobacin de redundancia cclica (Cyclical Redundancy Check, CRC) y al nmero de tramas que se detectaron pero que se descartaron por la tarjeta adaptadora de red, bien por la falta de espacio suficiente en el bfer del Monitor de red, o bien como consecuencia de las restricciones del hardware.
Configuracin y personalizacin del Monitor de red Para poder ejecutar el Monitor de red, debe haberse iniciado una sesin como usuario con derechos de administracin. El Monitor de red, tal y como se describe en esta seccin, se puede personalizar de muchas formas para ajustarse a cada necesidad.
Modificacin del bfer de captura
Para ajustar el tamao del bfer de captura en el Monitor de red, hay que elegir Configuracin de bfer en el men Capturar. Se pueden ajustar las opciones Tamao del bfer (MB) o Tamao de la trama (bytes) en el cuadro de dilogo Capturar configuracin del bfer. El tamao del bfer y el tamao de la trama se pueden reducir si los recursos del sistema disminuyen mientras se encuentra capturando informacin a travs del Monitor de red. Hay que asegurarse de que la configuracin del bfer no exceda la cantidad de memoria fsica disponible en el sistema, ya que el
Captulo 21
intercambio de memoria puede causar el descarte de tramas.

Visualizacin de nombres de direcciones
Para visualizar en el Monitor de red nombres de direcciones en lugar de direcciones de red hexadecimales, hay que elegir Nombres de direcciones en el men de Opciones. Cuando esta opcin est activa, aparece una marca junto a Mostrar nombres de direcciones. Esta opcin resulta muy til para el Administrador, ya que hace que el Monitor de red sustituya las direcciones hexadecimales de las computadoras desde las que se estn recibiendo tramas por los nombres de las mquinas designadas por los usuarios.
Creacin de una base de datos de direcciones
A menudo se tendrn que capturar tramas que se originaron o se enviaron a computadoras especficas. Para esto, habr que conocer las direcciones de las computadoras de la red. La direccin IP de una computadora se puede encontrar de dos formas: usando el comando Ping o usando el mecanismo que ofrece el Monitor de red para asociar las direcciones de las computadoras de red con sus nombres definidos por los usuarios. Si se utiliza el mecanismo que ofrece el Monitor de red, se puede, una vez que se realice la asociacin, guardar la informacin en una base de datos de direcciones y posteriormente usarla para disear, visualizar o capturar filtros. Para crear una base de datos de direcciones, hay que ir a Encontrar todos los nombres en el men Visualizar en la ventana Visor de tramas. El sistema puede tardar unos minutos en procesar la informacin de las tramas actuales. Para visualizar las direcciones, hay que elegir Direcciones en el men Visualizar en la ventana Visor de tramas. Hay que guardar la base de datos en un archivo si se desea utilizar las direcciones para disear filtros en el futuro.
Visualizacin del nombre del vendedor de la tarjeta de red
Para reemplazar las direcciones hexadecimales de la computadora por los nombres de los proveedores de las tarjetas adaptadoras de red en las computadoras en las que se han capturado tramas, en Monitor de red, hay que elegir Mostrar nombres de proveedores en el men Opciones. Cuando esta opcin se encuentra activada, aparece una marca a su lado.
Adicin de un analizador de protocolo
El Monitor de red utiliza programas denominados analizadores de protocolo para separar la informacin de protocolo en partes ms pequeas y poder as actuar en base a esta informacin. Cada analizador puede analizar un protocolo o una familia de protocolos. Se pueden aadir las DLL de analizadores del Monitor de red 1.2 al Monitor de red 2. Para aadir un analizador de protocolo, hay que seguir los pasos siguientes:
Captulo 21
1. Copiar el archivo del analizador a la carpeta %SystemRoot%\System32\Netmon\Parsers cuando no se est ejecutando el Monitor de red. El archivo del analizador debe tener una extensin .DLL 2. Buscar y abrir Parser.ini en la carpeta %SystemRoot%\System32\Netmon. A continuacin, introducir en este archivo la informacin sobre el analizador que se pretenda aadir. 3. Iniciar el Monitor de red, cerrar todas las ventanas de visualizacin de tramas y elegir Analizadores predeterminados en el men de Opciones. 4. Aparece una ventana de advertencia sobre la deshabilitacin de protocolos a travs de esta opcin. Presionar S. 5. La lista de protocolos habilitados aparece bajo Analizadores de protocolos habilitados en el cuadro de dilogo Analizadores de protocolo (Figura 32.21 de la pgina siguiente). Todos los analizadores que se encuentren bajo la subcarpeta %SystemRoot%\System32\Netmon\Parsers se activan de manera predeterminada. 6. El nombre del Analizador que acaba de aadirse a la carpeta %SystemRoot%\ System32\Netmon\Parsers aparece bajo Analizadores de protocolo deshabilitados. Hacer clic sobre el nombre y sobre Habilitar. El nombre del protocolo debera moverse al cuadro Analizadores de protocolo habilitados. 7. Si se quiere que el nuevo analizador se incluya en la configuracin predeterminada, hay que seleccionar la opcin Guardar como predeterminado. Es importante verificar que el analizador funciona correctamente. Si el analizador est tratando las tramas apropiadamente, el protocolo aparecer en la columna de protocolo del panel de sumario en la ventana Visor de tramas.
Adicin de una trama de comentario a una captura
Las trama de comentario son una herramienta muy til para aadir comentarios o informacin a un archivo de captura dentro del Visor de tramas del Visor de red. Por ejemplo, se pueden utilizar tramas de comentario para marcar los puntos de inicio y de fin de un grupo de paquetes. El protocolo Trail est contenido en la trama de comentario a incluye informacin como el ancho de banda y el nmero de tramas consumidas. Para aadir una trama de comentario, hay que elegir Aadir trama de comentario en el men de herramientas, o pulsar en el botn derecho del ratn sobre la posicin de la columna de trama donde se quiera insertar la trama de comentario y a continuacin elegir Insertar comentario en el men contextual. Aparece el cuadro de dilogo Insertar comentario de trama. Las opciones de este cuadro de dilogo son:
G
Nmero de trama La posicin de la trama donde el Visor de red coloca la trama de comentario dentro de la captura. El nmero de trama predeterminada es el de la posicin actual. Tipo de trama que se inserta Se ejecuta el analizador de protocolo de Comentario o Marcador (Bookmark) que se usa para procesar la trama de comentario despus de ejecutar el protocolo Trail. Sin estadsticas Deshabilita la generacin de estadsticas para la trama con el comentario. Esta opcin aparece seleccionada de manera predeterminada.
Captulo 21
G
Aplicar el filtro actual a las estadsticas Utiliza el filtro de presentacin actual para calcular estadsticas. Esta opcin aparece seleccionada de manera predeterminada. Escriba un comentario para la trama nueva El texto que se adjunta a la trama mediante el protocolo especificado en Tipo de trama que se inserta.
Impresin de las tramas capturadas
Para imprimir las tramas capturadas, hay que seleccionar Imprimir en el men Archivo de la ventana Visor de tramas. Seguidamente deben seleccionarse las opciones de salida deseadas en la ficha Netmon del cuadro de dilogo Imprimir. El rea de detalles de salida permite especificar la cantidad de detalles que se quieren imprimir para cada una de las tramas. Las opciones que se presentan incluyen Imprimir lneas de resumen de la trama, Imprimir detalles de protocolo a Imprimir datos hexadecimales. Se pueden tambin aplicar filtros y saltos de pgina a la salida. Captura de informacin de la red Para comenzar el proceso de captura de tramas, hay que abrir la ventana de captura del Monitor de red y seleccionar Iniciar dentro del men Capturar. El Monitor de red comienza entonces a capturar las tramas enviadas desde la mquina local o enviadas a la mquina local a travs del flujo de red y las copia en un archivo de captura temporal. Para detener la captura de informacin temporalmente, debe seleccionarse Pausa en el men Capturar. Para parar la captura y visualizar las tramas, hay que seleccionar Detener y Ver en el men Capturar. Se mostrarn los contenidos de las tramas capturadas para su examen en la ventana Visor de tramas. El Monitor de red muestra las estadsticas de sesin nicamente para las cien primeras sesiones de red. Para visualizar la informacin de las siguientes cien sesiones de red, hay que seleccionar Borrar estadsticas en el men Capturar. Diseo de un filtro de captura Los filtros de captura deben disearse cuando el Monitor de red no est ejecutndose y no existan tramas capturadas. Para identificar las tramas de la red que se desea capturar, es necesario especificar un criterio de captura. Para disear un filtro de captura, hay que seleccionar Filtro en el men Capturar de la ventana de captura. A continuacin hay que seleccionar el criterio a emplear en el diseo de la expresin del filtro de captura a travs de los protocolos de filtros de captura, pares de direcciones y coincidencias de patrn.
Especificacin de protocolos de filtros de captura
Los protocolos de filtro se usan cuando se quiere capturar tramas enviadas utilizando un protocolo especfico. Para disear protocolos de filtro, hay que seleccionar Filtros en el men Capturar en la ventana de captura. Pulse dos veces en la lnea predeterminada SAP/ETYPE = Cualquier SAP o Cualquier ETYPE del rbol de decisin. Cuando se deshabilite el protocolo, la informacin de esta lnea cambiar para reflejar dichos cambios. Por ejemplo, si se deshabilita el protocolo AppleTalk Address Resolution Protocol (ARP), la lnea cambiar a SAP/ETYPE = Cualquier SAPs o Cualquier ETYPEs o
Captulo 21
NOT AppleTalk ARP. Puede habilitarse o deshabilitarse para su uso Filtros de Captura SAP y ETYPE en el filtro de captura en el cuadro de dilogo. La configuracin predeterminada habilita todos los protocolos.
Especificacin de pares de direcciones
Para capturar nicamente el trfico enviado o recibido por algunas computadoras especficas, as como para excluir el trfico entre unas computadoras concretas, hay que seleccionar pares de direcciones. Pueden especificarse hasta tres pares de direcciones. Para designar los pares de direcciones, hay que seleccionar Filtro desde el men Capturar en la ventana de captura. Hay que pulsar dos veces sobre la Y (Pares de direcciones) en el rbol de decisin, y especificar las propiedades de los pares de direcciones en el cuadro de dilogo expresin de direccin. Cuando se aade un par de direccin, se muestra bajo la Y (Pares de direcciones) del rbol de decisin. Un par de direccin puede editarse o borrarse en cualquier momento pulsando sobre el nombre del par de direccin y despus seleccionando Editar o Eliminar del cuadro de dilogo Filtro de captura. Las propiedades de los pares de direccin se especifican de la siguiente forma: 1. Elegir entre excluir o incluir la informacin de captura que viaja entre los miembros de los pares de direcciones que quiere crear. 2. Elegir la primera direccin del cuadro de lista de la Estacin 1 y la segunda del cuadro de lista de la Estacin 2. La direccin que se convierte en la direccin origen y la direccin que se convierte en la direccin destino depende de la flecha que se seleccione en el cuadro de lista Direccin. 3. Elegir una de las tres flechas en el cuadro de lista Direccin para indicar la direccin del trfico entre las dos direcciones. G <--> Esta flecha captura las tramas que viajan en cualquier direccin entre las computadoras de la Estacin 1 y la Estacin 2. sta es la flecha predeterminada. G --> Esta flecha captura las tramas que viajan de la Estacin 1 a la Estacin 2. G <-- Esta flecha captura las tramas que viajan de la Estacin 2 a la Estacin 1. 4. Puede modificarse la base de datos de direcciones existente pulsando sobre el botn Modificar direcciones y despus aadiendo, editando o eliminando informacin. Difusin y Multidifusin son siempre direcciones destino.
Definicin de coincidencias de patrn
Las coincidencias de patrn permiten capturar tramas que constan de un patrn especfico en un determinado desplazamiento. Pueden definirse hasta cuatro coincidencias de patrn. Para especificar coincidencias de patrones de datos, hay que seleccionar Filtro en el men Capturar de la ventana de captura. Hay que pulsar dos veces sobre la lnea Y (Coincidencias de patrn) del rbol de decisin y especificar las propiedades de la coincidencias de los patrones de datos en el cuadro de
Captulo 21
dilogo Coincidencia de modelo. Cuando se aade una coincidencia de patrn, sta se visualiza bajo la lnea Y (Coincidencias de patrn) en el rbol de decisin. Las coincidencias de patrn pueden editarse o eliminarse en cualquier momento pulsando sobre el nombre de la coincidencia de patrn de datos y seleccionando entonces Modificar o Eliminar en el cuadro de dilogo filtro de captura. Para definir coincidencias de patrn, hay que introducir el patrn de datos hexadecimal o ASCII que se quiere hacer coincidir con las tramas capturadas. Entonces, en el cuadro de desplazamiento se introduce el nmero hexadecimal que indica el byte donde comienza el patrn. El Monitor de red interpretar el dato en funcin de la opcin que se especifique en Desde el comienzo de la trama o Desde el final del encabezado de la topologa. El encabezado de la topologa es la seccin de la trama que se aade a la topologa de la red para identificar el tipo de red. La informacin, como por ejemplo la direccin origen y destino de la trama, se incluye en el encabezado de la topologa. Por ejemplo, en una red Ethernet se aaden 14 bytes a la trama en la capa Ethernet. El nmero de bytes existente en los encabezados de topologa vara en una red en anillo con paso de testigo (Token Ring). Configuracin del desencadenador de capturas El desencadenador de capturas se utiliza bajo ciertas condiciones para, cuando proceda, iniciar una accin. Por ejemplo, puede utilizarse un desencadenador para detener la captura de datos y hacer que se ejecute un programa o comando cuando se cumplan ciertos criterios. Para configurar un desencadenante, hay que seguir los siguientes pasos: 1. Abrir el Monitor de red desde las Herramientas de administracin y escoger el rea a la que se quiere hacer un seguimiento. 2. Elegir Desencadenador en el men Capturar para abrir el cuadro de dilogo Desencadenador de capturas. 3. 3. Elegir las opciones del Desencadenador: G Coincidencia de patrn: Cuando se produce una coincidencia de un patrn ASCII o hexadecimal especfico, se activa el desencadenador. G Espacio en bfer: Activa el desencadenador cuando una captura llena un porcentaje especfico del bfer de captura. G Coincidencia de patrn y luego espacio en bfer: Hace que el Monitor de red supervise el espacio del bfer despus de encontrar el modelo especificado y desencadene la accin si se cumplen ambas condiciones. G Espacio en bfer y luego coincidencia de patrn: Hace que el Monitor de red detecte cundo una captura ha llenado un porcentaje especificado del bfer de captura y despus desencadena la accin cuando se cumplen ambas condiciones. 4. Si se selecciona la opcin Coincidencia de patrn y luego espacio en bfer y se establece Espacio en bfer a 100%, el Monitor de red sobrescribir la trama que contenga el modelo buscado porque no empieza a contar el espacio del bfer hasta que se cumple la condicin de bsqueda del modelo. 5. 4. Especificar la accin que se desea realizar en el rea de Accin de desencadenador cuando se cumplan los criterios del desencadenador:
Captulo 21
Slo seal audible: El equipo emite un pitido cuando se cumple la condicin del desencadenador y el proceso de captura prosigue sin interrupcin. sta es la opcin predeterminada. G Detener captura: El proceso de captura se detiene cuando se cumplen las condiciones del desencadenador. G Ejecutar lnea de comandos: Hace que se ejecute una lnea de comando o que se abra un archivo cuando se cumplen las condiciones del desencadenador. En la lnea de comandos se pueden utilizar hasta 259 caracteres. 6. 5. Pulsar Aceptar cuando se haya acabado.
G
Diseo de un filtro de presentacin Los filtros de presentacin actan sobre la informacin que ya se ha capturado y funcionan en gran medida como las consultas de bases de datos, porque se usan para especificar los tipos de datos capturados que se vayan a examinar. Se puede indicar qu cantidad de la informacin capturada se desea visualizar en la ventana Visor de tramas o qu tipo de informacin se desea almacenar en un archivo, como por ejemplo, protocolos o direcciones de computadoras.
El cuadro de dilogo Filtro de presentacin
El cuadro de dilogo Filtro de presentacin permite modificar el rbol de decisin del filtro de presentacin en la ventana Visor de tramas. La opcin de expresin se agrega al rbol de decisin del filtro de presentacin cuando se presiona Aceptar. Existen dos tipos de ramas en el rbol de decisin: la rama de Protocolo, que muestra los protocolos que desea visualizar, y la rama de Pares de direcciones, que muestra los pares de direcciones de la computadora que desea visualizar. Las secciones siguientes describen las distintas opciones disponibles en el cuadro de dilogo Filtro de presentacin. Aadir una expresin: La opcin Expresin se encuentra en el grupo Agregar del cuadro de dilogo Filtro de presentacin y se usa para escribir o editar una expresin para especificar protocolos, propiedades de protocolo, as como los pares de direcciones de computadora que se desea visualizar. Si se pulsa sobre la pestaa Protocolo o la pestaa Propiedad antes de guardar la expresin concreta en el rbol de decisin pulsando sobre Aceptar, se perder la expresin. Pueden especificarse opciones para tres tipos de categora, cada una de las cuales es representada por una ficha:
G
Ficha Direccin: La ficha Direccin se usa para especificar una direccin que pretende buscar o para aadir o editar una expresin de direccin dentro del rbol de decisin del filtro de presentacin. Tambin puede visualizarse esta pestaa pulsando dos veces sobre la lnea ANY en el rbol de decisin. Slo debe especificarse Difusin, Multidifusin y Funcional como direcciones de destino. Si se construye una instruccin en la que la direccin de origen es de difusin o multidifusin, se filtran todas las tramas, ya que son siempre direcciones de destino. Ficha Protocolo: Esta ficha se usa para especificar los protocolos que quiera visualizar en el
Captulo 21
Visor de tramas o para especificar los protocolos en el rbol de decisin del filtro de presentacin. Los cuadros de lista Protocolos habilitados y protocolos deshabilitados muestran el nombre de los protocolos. Hay que elegir los protocolos que se desea visualizar pulsando sobre los botones de Habilitar, Deshabilitar, Habilitar todo y Deshabilitar todo. Esta ficha tambin se puede ver pulsando dos veces sobre la lnea de protocolo del rbol de decisin. La opcin predeterminada es habilitar todos los protocolos. Ficha Propiedad: Esta ficha especifica las propiedades de protocolo que se desean buscar o permite aadir o editar una expresin de propiedad de protocolo al rbol de decisin del filtro de presentacin. Para disear propiedades de protocolo, hay que seguir los pasos siguientes: 1. Elegir las propiedades deseadas del cuadro Protocolo:Propiedad. Si aparece un smbolo de adicin al lado del nombre de protocolo, puede expandirse el protocolo para seleccionar una propiedad de su lista. 2. Seleccionar un operador relacional del cuadro de lista Relacin. Se utiliza un operador relacional para especificar la conexin entre la propiedad de protocolo y sus posibles valores. 3. Escribir en el cuadro Valor el valor de comparacin que quiere utilizarse para la propiedad resaltada. Para ciertas propiedades, aparece el cuadro de dilogo Desplazamiento hex. Este cuadro se utiliza para especificar cuntos dgitos hexadecimales hay desde el comienzo de la trama hasta donde se va a buscar la propiedad especificada.
Insercin de operadores: El cuadro de grupo Insertar define operadores lgicos para el rbol de decisin. Los operadores disponibles son Y, O y NO. Utilizndolos, pueden especificarse hasta 4.000 operadores de rbol de decisin. Modificar expresin/Cambiar operador: Modificar expresin se utiliza para editar una expresin con operadores que aparece en el rbol de decisin. No est pensada para editar pares de direcciones, protocolos o expresiones de propiedad de protocolo que se definen con la opcin Agregar expresin: Si se tiene un operador seleccionado en el rbol de decisin, el botn Modificar expresin cambia a Cambiar operador. Esta opcin permite pues conmutar a travs de los valores del operador. Eliminar criterios: El cuadro de grupo Eliminar elimina criterios de decisin del rbol de decisin. Las opciones de que se dispone son eliminar una lnea especfica, una rama especfica o todo el rbol de decisin.
Captulo 21
Captulo 22
Captulo 22
Realizar copias de seguridad en la red es esencial y Microsoft Windows 2000 aade a este proceso, ya de por s complicado, una dificultad adicional al necesitar hacer una copia de seguridad del servicio Active Directory. Afortunadamente, el sistema operativo incluye la utilidad desarrollada por Veritas Software Copia de seguridad de Windows 2000 que, si bien no incluye lo ltima tecnologa desarrollada para productos de copias de seguridad de red de otros fabricantes, s resuelve de una manera razonablemente eficiente la tarea. Se puede utilizar Copia de seguridad de Windows 2000 para proteger el sistema de Windows 2000 en el que ste se ejecuta as como para hacer copias de seguridad de otros sistemas accesibles a travs de la red.
Seleccin del medio para las Copias de Seguridad

La primera decisin a tomar cuando se planea una estrategia de copia de seguridad estriba en decidir dnde se pretenden almacenar los datos. El programa Copia de seguridad de Windows 2000 soporta cintas magnticas, el soporte tradicional para copias de seguridad, pero tambin permite archivar los datos en un archivo de copia de seguridad existente en cualquier dispositivo direccionable por los sistemas de archivos de Windows 2000, incluyendo discos compactos (como las unidades de Iomega Zip y Jazz), discos a incluso grabadoras de CD-ROM. Para grabaciones de gran tamao, Copia de seguridad de Windows 2000 tambin soporta el use de conjuntos de medios, es decir, libreras de discos o cintas a las que se accede a travs de un cambiador automtico (jukebox). El soporte que se elija depender del presupuesto, la cantidad de datos que se deseen grabar, as como del tiempo de que se disponga para crear las copias de seguridad. La estimacin del coste de un soporte de almacenamiento para las copias de seguridad no se basa simplemente en el precio de las unidades de cinta o de disco. El coste de la unidad de grabacin es tambin muy importante. Por ejemplo, una unidad magneto-ptica como la Jazz, capaz de almacenar 2 Gb, puede parecer una ganga, pero el cartucho que utiliza cuesta 200 euros, o 10 cntimos por megabyte. Sin embargo, se pueden encontrar CD-ROM grabables por menos de un euro, esto es, con un coste por megabyte de 15 centsimas de cntimo. Los precios de los soportes de cinta se encuentran ms o menos entre estos dos extremos. Hay que recordar tambin que los CD-ROM o las unidades de cartucho resultan tiles para otro tipo de grabaciones aparte de las copias de seguridad mientras que una unidad de cinta no se puede utilizar para otra cosa. Almacenamientos extrables Cuando se instala una cinta, un CD-ROM, un disco compacto o un cambiador automtico en Windows 2000 utilizando el Asistente para agregar Hardware, la unidad queda bajo el control del servicio de Almacenamiento extrable. La utilidad Copia de seguridad de Windows 2000 se apoya en este servicio
Captulo 22
para suministrar funciones bsicas para la manipulacin de medios de almacenamiento. Cuando se monta, desmonta o expulsa un disco o cinta, el servicio de Almacenamiento extrable y no Copia de seguridad de Windows 2000, se encarga de manipular el dispositivo. El servicio de Almacenamiento extrable dispone una interfaz propia separada de Copia de seguridad de Windows 2000 en el engranaje Consola de la Microsoft Management Console (MMC). Esta herramienta se utiliza cuando se necesita enviar comandos directamente a una unidad de cinta a otro dispositivo como, por ejemplo, cuando se quiere extraer, dar formato o dar tensin a una cinta. Copias de seguridad a archivos Como alternativa a hacer copias de seguridad utilizando dispositivos registrados en el servicio de Medios de almacenamiento extrables, se pueden realizar copias de seguridad de datos del sistema a un archivo. Copia de seguridad de Windows 2000 puede crear el archivo en cualquier dispositivo de almacenamiento accesible a travs de la letra de unidad estndar, como, por ejemplo, un disco duro, un disco compacto o una unidad de disco. CD-ROM Debido a su precio extremadamente reducido, los CD-ROM grabables pueden ser un medio de almacenamiento excelente para una copia de seguridad del sistema. Existen dos tipos de CD-ROM grabables actualmente muy utilizados: los CD-R, que son dispositivos tipo WORM (Write Once, Read Many, Una sola escritura y mltiples lecturas), y los CD-RW en los que se puede escribir muchas veces. El uso de unidades CD-R para realizar copias de seguridad puede resultar costoso, ya que slo se pueden escribir una vez; sin embargo, los discos en blanco son los suficientemente baratos para hacer esto factible. Como beneficio aadido, de esta forma acumula un archivo permanente del sistema, eliminando la necesidad de desarrollar un sistema de rotacin de medios y de estar al tanto del nmero de veces que se ha utilizado una cinta o cartucho en particular. Copia de seguridad de Windows 2000 no suministra un soporte directo para dispositivos WORM como las grabadoras de CD-ROM. Se debe utilizar software de terceros para hacer que estos dispositivos sean accesibles directamente a travs de la aplicacin Copia de seguridad de Windows 2000.
Desarrollo de una estrategia para la Copia de Seguridad

La realizacin de una copia de seguridad de una red de manera efectiva es una tarea compleja que se debe planear mediante una aproximacin. Para realizar una copia de seguridad de una red no basta con poner simplemente una cinta en la unidad y ejecutar el software. Una estrategia para la copia de seguridad debe tener en cuenta las siguientes preguntas:
G
Cunta informacin se debe copiar?
Captulo 22
G G G G G
De cunto tiempo se dispone para realizar la copia de seguridad? Cada cunto tiempo se debe realizar una copia de seguridad de la informacin? Quin se encarga de verificar el acabado de las copias de seguridad? Cuntas cintas (u otros medios) se planea utilizar? Cada cunto tiempo se rescribirn las cintas?
La ventana de la copia de seguridad
El fin de la ventana de la copia de seguridad es determinar qu dispositivos se compran para realizar la copia de seguridad de la red y qu tipo de copias de seguridad se realizarn. La ventana de copia de seguridad representa la cantidad de tiempo de que se dispone para realizar las copias de seguridad de la informacin. Se debe comparar la longitud de la ventana de la copia de seguridad con la cantidad de informacin que se pretende copiar para determinar la tasa ptima de copia de la red. Si por ejemplo, la organizacin trabaja a travs de intervalos de carga de trabajo libres, permitiendo que las copias de seguridad se realicen slo durante unas pocas horas, se debera plantear, si se pretende hacer una copia de seguridad en el tiempo restringido, la compra de dispositivos ms rpidos o la ejecucin de varios dispositivos en paralelo:
Tipos de copia de seguridad
Una parte de la creacin de la estrategia que se adapta a la ventana de copia de seguridad abarca la seleccin del tipo de copia de seguridad que se pretende realizar. Copia de seguridad de Windows 2000 soporta cinco tipos de tareas de copia de seguridad que especifican cunta informacin se copia durante cada tarea. Si se selecciona el tipo de tarea apropiado, se puede minimizar el nmero de cintas (u otros medios), as como la cantidad de tiempo requerida para realizar las copias de seguridad sin comprometer la seguridad de la informacin. La mayora de los tipos de copia de seguridad se basan en el atributo de archivo para determinar cundo han cambiado los archivos de un disco concreto y deben ser copiados de nuevo. El atributo de archivo en Windows 2000 es el mismo que el de MS-DOS, independientemente del sistema de archivos que se utilice. El atributo es un nico bit que se incluye en el directorio de entrada para cada archivo que el software de copia de seguridad se encarga de marcar o borrar cuando se necesita. Normalmente, el programa de copia de seguridad pondr a cero los atributos de archivo de todos los archivos que se copien durante una tarea particular. Si se modifica un archivo posteriormente, el sistema marca automticamente el atributo cuando escribe a disco. Esto permite que el software de copia de seguridad examine los atributos de archivo durante la siguiente tarea y realice una copia slo de aquellos archivos cuyo atributo se encuentre marcado, esto es, de los archivos que han cambiado desde la copia de seguridad anterior. Los tipos de copia de seguridad descritos en las siguientes secciones son variantes de este tipo de tcnica.
Copia de seguridad normal
Captulo 22
Una copia de seguridad normal, en el lenguaje de Windows 2000, es una copia de seguridad total de todos los archivos y directorios seleccionados en el software de Copia de seguridad de Windows 2000. Como parte de la tarea, el programa borra el bit de modificado de cada archivo. Este tipo de copia de seguridad es la base para futuras tareas que slo realizan copias de seguridad de los archivos modificados.
Copia de seguridad incremental
Durante una copia de seguridad incremental, el programa examina el bit de modificado y hace una copia de seguridad slo de los archivos que han cambiado desde la ltima copia de seguridad incremental o normal. Al igual que con la copia de seguridad normal, esta tarea borra el bit de modificado de cada archivo que copia. Las copias de seguridad incremental utilizan la mnima cantidad de cinta y adems ahorran tiempo puesto que no copian todos los archivos que no han cambiado durante la tarea. Sin embargo, realizar una restauracin es un inconveniente. Por ejemplo, si se realiza una copia de seguridad normal el lunes y copias de seguridad incrementales desde el martes al viernes, para asegurarse de que se dispone de la versin ms actual de cada archivo, se debern restaurar estas cinco cintas en el orden en que se escribieron. Si un archivo en concreto se actualiza diariamente, Copia de seguridad de Windows 2000 lo sobreescribir con la versin ms actual durante la restauracin de cada cinta. Sin embargo, si slo se restauran las cintas del lunes y el viernes dado que representan la ltima copia de seguridad normal y la ms reciente copia de seguridad incremental, se perdern las versiones ms actuales de los archivos que se grabaron del martes al jueves, pero no el viernes.
Copia de seguridad diferencial
Una copia de seguridad diferencial es lo mismo que una copia de seguridad incremental exceptuando que el programa no elimina el bit de modificacin de los archivos que copia a la cinta. Esto significa que durante una copia de seguridad diferencial se copian todos los archivos que han cambiado desde la ltima copia de seguridad normal o incremental. De esta forma, despus de una copia de seguridad en lunes, una copia de seguridad diferencial en martes copiar todos los archivos que han cambiado (al igual que una tarea incremental). Sin embargo, las copias de seguridad realizadas entre el mircoles y el viernes copiarn todos los archivos modificados desde la copia de seguridad normal del lunes. En otras palabras, esta tarea produce cierta redundancia de datos ya que un archivo modificado una nica vez el martes se copiar durante todos los das de las copias de seguridad diferenciales. Este tipo de tarea requiere ms espacio en cinta que el utilizado en las tareas incrementales as como ms tiempo, pero su ventaja radica en que cuando se realiza una restauracin, se necesitan slo las cintas que contengan la copia de seguridad normal y la ms reciente copia de seguridad diferencial. De esta forma, si se debe restaurar un sistema el sbado, se necesita restaurar nicamente la copia de seguridad normal del lunes previo y la copia de seguridad diferencial ms reciente del viernes. Una estrategia de copia de seguridad de red utilizar normalmente, adems de tareas de copia normal, copias de seguridad incrementales o diferenciales, pero no ambas. Si es preciso enfrentarse con mucha
Captulo 22
informacin para copiar dentro de una ventana de copia de seguridad limitada, las copias incrementales son ms rpidas y econmicas. Sin embargo, si debe realizar restauraciones frecuentemente, las copias diferenciales hacen el proceso mucho ms sencillo.
Copia de seguridad diaria
Una copia de seguridad diaria copia slo los archivos que han sido modificados en el da en que se ejecuta la tarea de copia de seguridad sin tener en cuenta el estado actual del bit de modificacin. Este tipo de tarea tampoco borra el bit de modificacin de los archivos que copia mientras se ejecuta. Las tareas de copia diaria resultan tiles cuando se quiere realizar una copia de seguridad extra en un da determinado, sin afectar a la estrategia de copia de seguridad establecida, alterando el atributo de modificado de los archivos.
Copia de seguridad copia
Una copia de seguridad intermedia es equivalente a una copia de seguridad normal, excepto que el programa no desactiva el atributo de modificado de los archivos que escribe en la cinta o en el otro medio de copia de seguridad. La copia de seguridad intermedia se utiliza para realizar una copia de seguridad extra sin afectar a los atributos de modificado usados por una estrategia de copia de seguridad ya establecida.
Rotacin de medios
Un esquema de rotacin de medios dicta cuntas cintas (u otro tipo de medios) se usan para realizar las copias de seguridad. La mayor parte de las veces se querrn guardar copias de las copias de seguridad por si se quisiera realizar una recuperacin de datos con ellas, pero eventualmente se volvern obsoletas y se podrn reutilizar. Por ejemplo, una pequea red podra utilizar un total de cinco cintas para realizar copias de seguridad integrales a lo largo de la semana y reutilizar las mismas cintas cada semana. Sin embargo, una corporacin de gran tamao preocupada por la seguridad podra utilizar cintas nuevas para cada copia de seguridad y archivar de forma permanente todas las cintas usadas. La mayor parte de los esquemas de rotacin de medios se sitan entre estos dos extremos. Un esquema de rotacin popular se conoce como el mtodo del abuelo-padre-hijo ya que utiliza tres "generaciones" de cintas que representan respectivamente copias de seguridad mensuales, semanales y diarias. En este esquema de rotacin se realiza una copia de seguridad completa cada mes y se guarda la cinta durante un ao (preferentemente en algn sitio seguro ajeno a la empresa); sta es el "abuelo". Adems se realiza una copia de seguridad completa semanalmente que se guarda durante un mes; sta es el "padre". Las copias de seguridad que representan el "hijo" se realizan diariamente y se guardan durante una semana. Las tareas diarias pueden ser copias de seguridad completas, incrementales o diferenciales. La finalidad de un esquema de rotacin de medios es asegurar la tenencia permanente de una copia de los datos en cinta, as como la reutilizacin de las cintas de una manera organizada. Hay que asegurarse de
Captulo 22
nombrar bien las cintas y de guardarlas en un lugar seguro alejado de campos magnticos y otros entornos adversos. Tambin se recomienda guardar las copias de seguridad en un lugar alejado, como, por ejemplo, una caja de seguridad o cualquier otro sitio asegurado contra incendios, para que, en caso de que se produzca algn desastre como un incendio, los datos se encuentren protegidos. Algunos productos de copia de seguridad de otros fabricantes pueden implementar un esquema de rotacin configurable que realiza un seguimiento de las cintas, del nmero de veces que se utilizan y el nombre que se debe poner en las etiquetas. Estos programas indican tambin qu cintas se deben introducir en la unidad cada da, as como cules se deben utilizar para hacer una recuperacin de ciertos archivos. Desafortunadamente, Copia de seguridad de Windows 2000 carece de esta caracterstica.
Copias de Seguridad de los Datos

El programa Copia de seguridad de Windows 2000 dispone de varios mtodos para crear y ejecutar tareas de copia de seguridad. Cuando se inicia Windows 2000 por primera vez -pulsando Inicio, yendo a Programas, eligiendo Accesorios, eligiendo Herramientas de sistema y seleccionando Copia de seguridadse muestra la ficha de Bienvenida desde la que se puede seleccionar un asistente para crear una copia de seguridad o restaurar un trabajo. Para evitar el acompaamiento del asistente, se puede crear un trabajo de copia de seguridad pulsando la pestaa de Copia de seguridad del cuadro de dilogo y accediendo directamente al interfaz de copia de seguridad. No slo se pueden crear trabajos de Copia de seguridad de Windows 2000 con los asistentes y la GUI, sino tambin ejecutando con los parmetros apropiados el programa Ntbackup.exe. Independientemente del mtodo que se implemente, la creacin de un trabajo de copia de seguridad implica los siguientes pasos bsicos:
Captulo 22
G G G
Seleccionar las unidades, directorios y archivos de los que se quiera hacer una copia de seguridad. Especificar el medio de almacenamiento destino de la copia de seguridad. Configurar las opciones de copia de seguridad como tipo de copia de seguridad, registro y exclusin de archivos. Especificar cundo se producir la copia de seguridad.
Ficha de Copia de Seguridad La ficha Copia de seguridad del programa Copia de seguridad de Windows 2000 es el lugar donde se seleccionan los archivos y directorios que se pretenden copiar, as como su destino. Se utiliza un Explorador de Microsoft Windows una visualizacin jerrquica con la que se exploran unidades locales y de red, y se marcan selecciones a travs de las casillas de verificacin-. Para la realizacin de la copia de seguridad, se pueden seleccionar unidades completas o archivos individuales. El elemento Estado del sistema se encarga de realizar una copia de seguridad del Registro, de la Base de datos de registro de la mquina local, as como de otros elementos del sistema requeridos en una restauracin desastre.
Creacin de secuencias de comandos de seleccin
Una vez que se han seleccionado los archivos y directorios de los que se quiere hacer una copia de seguridad, se puede crear una secuencia de comandos de seleccin que contenga la configuracin del trabajo que se ha creado. Despus de seleccionar Guardar selecciones en el men Trabajo, se especifica un nombre de archivo con extensin .BKS para la secuencia de comandos de seleccin y se especifica el directorio donde se pretende crearlo. De esta forma, a partir de una secuencia de comandos de seleccin, se pueden crear trabajos de copia de seguridad idnticos en sesiones sucesivas, simplemente cargando la
Captulo 22
secuencia de comandos de seleccin desde el men Trabajo. Cuando se hace esto, los mismos elementos de sistema que se seleccionaron antes de crear la secuencia de comandos se seleccionan de nuevo. A partir de aqu, se puede ejecutar el trabajo como tal o realizar selecciones adicionales. Tambin se puede utilizar la secuencia de comandos para ejecutar el trabajo desde la lnea de comandos con Ntbackup.exe.
Acceso a archivos y carpetas para la copia de seguridad
Para realizar una copia de seguridad de los archivos y carpetas, la cuenta utilizada para ejecutar el trabajo debe tener los privilegios de permisos de acceso apropiados para acceder a dichos archivos y carpetas. Los usuarios miembros del grupo de Operadores de Copia de seguridad local as como del grupo de Administradores gozan automticamente de los permisos necesarios para realizar copias de seguridad de todos los archivos y carpetas de la mquina local. Los miembros del Grupo de operadores de copia de seguridad del dominio pueden realizar copias de seguridad de todos los archivos y carpetas de cualquier computadora del dominio, as como de las computadoras con las que existe una relacin de confianza bidireccional. Los usuarios que no sean miembros de estos grupos debern ser bien los propietarios o tener alguno de los permisos de Lectura, Lectura y Escritura, Modificacin o Control total para cada uno de los archivos o carpetas de los que se quiera realizar una copia de seguridad. Las restricciones de cuota de disco pueden limitar tambin la habilidad de los usuarios para realizar copias de seguridad de los sistemas.
Seleccin del medio de almacenamiento
Despus de especificar de qu se quiere hacer una copia de seguridad, hay que indicar al programa dnde se pretende copiar los datos. Copia de seguridad de Windows 2000 muestra en Destino de la copia de seguridad la opcin Archivo de manera predeterminada. Si se ha instalado una unidad de cinta a otro dispositivo gestionado por el servicio de Almacenamiento extrable, ste tambin se muestra como otra opcin de destino. Despus de realizar la seleccin, se utiliza el campo Hacer copia de seguridad del medio o del Archivo para especificar un nombre de cinta o disco, o el camino y el nombre de archivo que el programa debe utilizar para crear el archivo de copia de seguridad. Cuando se selecciona una cinta o cualquier otro tipo de unidad de almacenamiento extrable, el campo Hacer copia de seguridad del medio permite seleccionarla por el nombre con el que ha sido creada en Windows 2000 o bien seleccionar Nuevos medios, que permite especificar un nombre para un nuevo dispositivo vaco.
Configuracin de las opciones de Copia de seguridad
Desde aqu, se puede pulsar el botn Iniciar para iniciar el trabajo de copia de seguridad usando los parmetros especificados en la ficha Copia de seguridad de la ventana Copia de seguridad, o se puede continuar configurando el trabajo seleccionando Opciones en el men Herramientas. En la pestaa General
Captulo 22
del cuadro de dilogo Opciones, se puede especificar si el programa debe utilizar ciertas caractersticas de manipulacin del medio y, lo ms importante, seleccionar si se quiere que el programa compruebe los datos en la cinta antes de dar el trabajo de copia de seguridad por terminado. Un ciclo de verificacin compara los datos que se han escrito en la cinta a otro medio con la copia original de los discos duros para asegurarse de que los datos se han escrito correctamente. Aunque el proceso de verificacin alarga considerablemente el tiempo requerido para la realizacin del trabajo, resulta una buena precaucin a tomar, especialmente cuando se est trabajando con una unidad recin instalada. A pesar de que verificar la copia de los datos escritos en cinta resulta una buena precaucin a tomar, no es segura al cien por cien. Muchas veces, un trabajo de copia de seguridad puede parecer que se ha completado correctamente a incluso habiendo sido verificado, pero, sin embargo, por una a otra razn, los datos no pueden restaurarse. El nico mtodo absolutamente fiable para asegurarse de que los datos que se han copiado se han escrito realmente a la cinta es realizar restauraciones de test. En la ficha Tipo de copia de seguridad del cuadro de dilogo Opciones, se selecciona el tipo de trabajo que se quiere ejecutar (normal, incremental, diferencial, copia o diario). El tipo de copia de seguridad que aparece como predeterminado es normal, el cual resulta inapropiado para realizar una secuencia de copia de seguridad basada en los atributos de archivo para seleccionar los archivos que el programa debe guardar en la cinta. Cuando se ejecute un trabajo de copia de seguridad utilizando el botn Iniciar copia de seguridad o el asistente de Copia de seguridad de Windows 2000 se indicar que se especifiquen valores para las opciones de copia de seguridad. Los parmetros que se especifiquen entonces para estas opciones se convertirn en los valores predeterminados de las solicitudes que se generen ms adelante.
Registro de copia de seguridad
Captulo 22
En la ficha Registro de la copia de seguridad del cuadro de dilogo Opciones, se puede especificar si se quiere que el programa mantenga un registro de las actividades que ocurran durante el trabajo, as como el nivel de detalle del registro. Dado que el registro de la copia de seguridad detallada muestra todos los archivos y carpetas copiados durante el trabajo, el archivo resultante puede ser bastante grande. Si lo que se quiere es revisar el trabajo para comprobar que todos los procedimientos se completaron con xito, es mejor seleccionar la opcin Resumen. Los registros de copia de seguridad se graban como archivos ASCII con extensin .LOG en la subcarpeta denominada Local Settings\Application Data\Microsoft\ Windows NT\NTBackup\Data. Este camino se encuentra en la carpeta Documents And Settings asignada al usuario registrado mientras se realiza la copia de seguridad. Los registros se pueden visualizar con cualquier editor de texto, pero desafortunadamente la copia de Seguridad de Windows 2000 otorga a los archivos nombres incrementales como Backup01.log y Backup02.log, dificultando la localizacin de un determinado trabajo. Para visualizar un registro por el nombre del trabajo, hay que seleccionar Informe en el men Herramientas, resaltar un trabajo en particular y pulsar el botn Ver o Imprimir. Esto visualiza o imprime el archivo del registro utilizando el Bloc de notas.
Exclusin de archivos
Captulo 22
En la ficha Excluir archivos se pueden especificar los archivos y directorios que el programa debe excluir durante el proceso de copia de seguridad. La lista contiene de manera predeterminada los archivos de los que no se necesita realizar una copia de seguridad como, por ejemplo, el archivo de paginacin de memoria de Windows 2000 (Pagefile.sys). Se pueden aadir otros archivos a la lista. La ventaja de utilizar la lista de Archivos excluidos para todos los usuarios, en lugar de simplemente eliminarlos en la ficha Copia de seguridad, radica en la posibilidad de utilizar comodines para excluir archivos situados en cualquier sitio del trabajo. Por ejemplo, se puede aadir a la lista la mscara de archivo Backup*.wbk para excluir todos los documentos creados de copia de seguridad de Microsoft Word donde aparezcan en las unidades y directorios seleccionados. La ficha Excluir archivos contiene dos listas: una para excluir los archivos propiedad de todos los usuarios del sistema y otra para excluir slo los archivos cuyo propietario es el usuario que se encuentra actualmente registrado. Con esta opcin, se puede aadir la mscara de archivo Backup*.wbk a la lista Usuario administrador, para omitir las copias de seguridad propias de documentos Word, evitando as molestar a otros usuarios. Para aadir archivos a cualquiera de las listas, se pulsa sobre el botn apropiado de Agregar nuevo y se selecciona bien un tipo de archivo registrado o bien se especifica una mscara de archivo personalizada en el cuadro de dilogo Agregar archivos excluidos. Tambin se puede especificar una ruta particular en la que los archivos -seleccionados bien por tipo de archivo o bien por mscara de archivo- se excluyan. De manera predeterminada, el programa excluir los archivos seleccionados en la carpeta escogida y todas sus subcarpetas, pero se puede eliminar la exclusin nicamente a la carpeta seleccionada desactivando el recuadro de control Se aplica a todas las subcarpetas.
Ejecucin de un trabajo
Captulo 22
Despus de configurar las opciones para el trabajo, ste se inicia pulsando el botn Iniciar en la ficha Copia de seguridad, mostrndose el cuadro de dilogo Informacin sobre el trabajo de copia de seguridad. El programa indica que se especifique un nombre descriptivo para el conjunto de la copia de seguridad, as como que se indique si el trabajo se debe aadir a la cinta seleccionada (u otro medio) o, por el contrario, debe sobrescribir cualquier tipo de informacin existente. Si se pretende sobrescribir la cinta, se debe escribir un nuevo nombre para ella. Si se elige sobrescribir la cinta, es posible controlar el acceso a los datos volcados en la cinta seleccionando la casilla que permite que slo el propietario y los miembros del grupo de administradores puedan restaurar los archivos. Cuando se pulsa sobre el botn Avanzadas del cuadro de dilogo Informacin sobre el trabajo de copia de seguridad, el programa insta al usuario a introducir un tipo de copia de seguridad (mostrando de manera predeterminada el valor seleccionado en la ficha Tipo de copia de seguridad del cuadro de dilogo opciones) y ste debe decidir si activar o no las siguientes opciones:
G
Hacer copia de seguridad de los datos en almacenamiento remoto: Cuando se selecciona, hace que el programa realice una copia de seguridad del contenedor de archivos que hace referencia a datos que hayan sido migrados a un almacenamiento remoto. Comprobar datos despus de la copia de seguridad: Cuando se selecciona, hace que el programa compare los datos escritos en la cinta con los datos originales. El valor predeterminado se obtiene del elemento equivalente en la ficha General del cuadro de dilogo Opciones. Comprimir los datos de copia de seguridad para ahorrar espacio si es posible: Cuando se selecciona, activa las funciones de compresin de datos implementadas en la unidad de cinta seleccionada a otro dispositivo. La Copia de seguridad de Windows 2000 no incluye capacidad de compresin basada en software; slo facilita el uso de las funcionalidades de compresin basada en hardware del dispositivo de almacenamiento. Esta opcin se activa de manera predeterminada, si el
Captulo 22
dispositivo elegido dispone de capacidades de compresin hardware y se desactiva, si no dispone de ellas. Hacer copia de seguridad automtica de archivos de sistema protegidos con estado de sistema: Esta opcin se activa slo si el objeto Estado del Sistema ha sido seleccionado para la copia de seguridad. Cuando esta opcin se encuentra seleccionada, todos los archivos de sistema de la carpeta %SysDir% as como sus subcarpetas se copian junto con los archivos que normalmente se copian cuando se hace una copia de seguridad del estado del sistema.
Planificacin de trabajos
A partir de aqu, se puede iniciar el trabajo de copia de seguridad de manera inmediata pulsando el botn Iniciar del cuadro de dilogo Informacin sobre el trabajo de la copia de seguridad; sin embargo, para establecer una estrategia organizada de copia de seguridad, se deben programar los intervalos especficos de ejecucin de los trabajos. Cuando se pulsa sobre el botn Programacin del cuadro de dilogo Informacin sobre el trabajo de copia de seguridad, si no se han guardado las selecciones de la copia de seguridad, se pedir al usuario que las guarde antes de proseguir con la programacin de la copia de seguridad. De otro modo, el programa indica que se especifique el nombre de usuario y la contrasea de la cuenta que el sistema utilizar cuando se ejecute el trabajo. A continuacin, el programa indica que se introduzca el nombre de la tarea y muestra la fecha y hora actuales para la Fecha de inicio. Para ejecutar el trabajo ms tarde, hay que pulsar el botn Propiedades para visualizar el cuadro de dilogo Programar trabajo. Aqu se especifica si se quiere que el trabajo se ejecute una vez a una hora determinada o si se prefiere que se repita durante intervalos regulares. Las opciones disponibles en el selector de Programar tarea son las siguientes:
Captulo 22
G
G G
Slo una vez: Ejecuta el trabajo una sola vez en un tiempo y fecha especfico. Diariamente: Ejecuta el trabajo a una cierta hora cada da o, si se modifica el valor de Programar la tarea diariamente, cada cierto nmero de das especificado. Semanalmente: Ejecuta el trabajo a la hora especificada en cada uno de los das de la semana seleccionados o, si se modifica el valor de Programar la tarea semanalmente, cada nmero de semanas especificado. Mensualmente: Ejecuta el trabajo a la hora especificada una vez cada mes, basndose bien en una fecha seleccionada (como el primero de cada mes), o bien en un da de la semana (como el primer lunes de cada mes). Pulsando el botn Seleccionar meses, se especifican los meses en los que el trabajo se debe realizar. Al inicio del sistema: Ejecuta el trabajo la siguiente vez que se inicia el sistema. Al inicio de sesin: Ejecuta el trabajo la siguiente vez que el propietario del trabajo inicia una sesin. Cuando est inactivo: Ejecuta el trabajo cuando el sistema permanece inactivo por un nmero especfico de minutos. Las capacidades de programacin de Copia de seguridad de Windows 2000 son bastante amplias aunque no siempre intuitivas. Por ejemplo, se debe seleccionar Semanalmente para ejecutar un trabajo slo durante los das de la semana, y entonces seleccionar todos los das exceptuando sbado y domingo.
Captulo 22
Si se selecciona el cuadro Mostrar todas las programaciones, la cabecera de la pestaa de Programacin se cambia por un selector en el que se pueden crear y administrar distintas programaciones para el mismo trabajo. Se puede, por ejemplo, programar un trabajo de copia de seguridad normal para que se ejecute cada da de la semana y crear un suceso separado para que ejecute el mismo trabajo el ltimo domingo de cada mes para crear un copia extra para su almacenamiento en un lugar seguro. Cuando se selecciona Slo una vez, Diariamente, Semanalmente o Mensualmente de la lista Programar tarea, se activa el botn Avanzadas. Al pulsar este botn se abre el cuadro de dilogo de Opciones de programacin Avanzadas. En este cuadro de dilogo se puede especificar una fecha a partir de la cual un trabajo repetitivo dejara de reprogramarse, as como configurar un trabajo para que se repita continuamente despus de que transcurra un intervalo especfico. Esta caracterstica puede utilizarse para copiar datos voltiles a importantes a un archivo de copia de seguridad cada cierto nmero de minutos como medida de precaucin contra la prdida de datos. En la ficha Configuracin del cuadro de dilogo Programar trabajo, se pueden especificar condiciones bajo las que se insta al sistema a que no ejecute el trabajo, como, por ejemplo, si el sistema no ha estado inactivo durante un cierto perodo de tiempo o cuando el equipo funciona con bateras. Tambin se puede configurar el trabajo para que detenerse si no termina dentro de un perodo de tiempo determinado. Una vez que se haya programado un trabajo para su ejecucin posterior, ste se representar con un icono en la ficha Trabajos programados del programa de copia de seguridad. Los parmetros de cada trabajo programado se pueden modificar pulsando sobre el icono para acceder al cuadro de dilogo Opciones de trabajos programados. Asistente para Copia de seguridad de Windows 2000 Copia de seguridad de Windows 2000 dispone de un asistente que gua a travs del proceso de configuracin y creacin de un trabajo de copia de seguridad. Se puede iniciar el asistente desde la ficha Bienvenido del programa de Copia de seguridad, pulsando dos veces sobre un da concreto del calendario en la ficha Trabajos programados o bien pulsando el botn Agregar tarea en la ficha Trabajos
Captulo 22
programados. Si se han seleccionado ya las unidades, las carpetas o los archivos de los que se pretende hacer una copia de seguridad en la ficha Copia de seguridad, el programa ofrece usar dichas selecciones en el asistente cuando se selecciona una fecha. Las indicaciones que presenta el asistente se corresponden con las opciones disponibles en los cuadros de dilogo regulares GUI del programa, y ayudan por tanto a los usuarios a recordar las capacidades del programa previnindoles as de omitir de forma inadvertida algunas opciones importantes. Ejecucin de trabajos desde la lnea de comandos Adems de crear trabajos de copia de seguridad utilizando el asistente y la GUI, tambin se pueden ejecutar trabajos desde la lnea de comandos. De hecho, cuando se programa un trabajo con la GUI o el Asistente de copia de seguridad para una ejecucin posterior, el programa realmente utiliza el Programador de tareas de Windows 2000 para activar el trabajo utilizando los comandos en lnea equivalentes a las opciones que se han elegido. Cuando se abre la aplicacin Tareas programadas en el Panel de control y se pulsa dos veces sobre el nombre con el que se guard el trabajo, se puede observar la lnea de comando para el trabajo en la ficha Tarea del cuadro de dilogo. El archivo ejecutable para el programa de copia de seguridad de Windows 2000 contina llamndose Ntbackup.exe y se localiza en la carpeta \%SysDir%\System32. La mejor utilidad para esta funcionalidad de comando en lnea es la ejecucin de secuencias de comandos de seleccin que hayan sido creadas previamente con el interfaz GUI del programa de copia de seguridad desde archivos de procesamiento por lotes a otras secuencias de comandos. La sintaxis para ejecutar Ntbackup.exe desde la lnea de comandos es la siguiente: Ntbackup backup [systemstate] bksfilename|foldername /J jobname" [/P poolname"] [/G guidname"] [/T tapename"] [/N medianame"] [/F backupfilename"] [/D setdescription"] [/DS servername"] [/IS servername"] [/A] [/V: {yes|no}] [/R: {yes|no}] [/L:{f|s|n}] [/M backuptype] [/RS:{yes|no}] [/HC:{on|off}]
G
backup: Especifica que el programa realizar una operacin de copia de seguridad (a pesar de que restore no es un parmetro vlido de la lnea de comandos). systemstate: Especifica que el programa copiar adicionalmente el estado del sistema junto con los archivos y carpetas especificados en la lnea de comandos de la computadora local o en la secuencia de comandos de seleccin. bksfilenamelfoldername: Especifica el nombre del archivo del secuencia de comandos de seleccin o el nombre de la carpeta de la que el programa se encargar de hacer la copia de seguridad (conjuntamente con sus subcarpetas). /J "jobname" : Especifica el nombre para el trabajo de copia de seguridad con el que el programa lo identificar en el archivo de registro. /P "poolname": Especifica el nombre del medio desde donde el programa toma la cinta (u otro medio) para realizar la copia de seguridad. Esta opcin no debe utilizarse con los conmutadores /A,
Captulo 22
/G, /F o /T. /G "guidname": Especifica que el programa realiza una copia de seguridad a la cinta (o a otro medio) identificada con la variable guidname. Esta opcin no puede utilizarse conjuntamente con el conmutador /P. /T "tapename": Especifica que el programa realiza una copia de seguridad a la cinta (o a otro medio) identificada con la variable tapename. Esta opcin no puede utilizarse conjuntamente con el conmutador /P /N "medianame": Especifica el nuevo nombre para una cinta (o medio) sobre la que el trabajo de copia de seguridad se encuentra sobreescribiendo. Esta opcin no puede usarse conjuntamente con el conmutador /A. /F "backupfilename": Especifica el nombre del archivo .BKF sobre el que el programa copia los archivos y carpetas seleccionados. Esta opcin no puede utilizarse conjuntamente con los conmutadores /P, /G o /T. /D "setdescription": Especifica la etiqueta descriptiva que se asocia al conjunto de copias de seguridad. /DS "servername": Hace que el programa realice una copia de seguridad del archivo de servicio de directorios de un servidor especfico de Microsoft Exchange. /IS "servername": Hace que el programa realice una copia de seguridad del archivo de almacenamiento de informacin de un servidor especfico de Microsoft Exchange. /A: Hace que el programa aada el trabajo de copia de seguridad a la cinta o medio especificado por el conmutador /G o /T. Esta opcin no puede utilizarse conjuntamente con el conmutador /P /V:{yes|no}: Especifica si el programa debe o no verificar los datos una vez que se ha completado la copia de seguridad. /R:{yes|no}: Especifica si el acceso a los datos en la cinta o medio se debe restringir al propietario del trabajo y a los miembros del Grupo de administradores. /L:{f|s|n}: Especifica el tipo de registro que se mantiene mientras se realiza la copia de seguridad, donde f = detallada, s = resumen y n = ninguna. /M backuptype: Especifica el tipo de copia de seguridad a realizar, donde backuptype se sustituye por uno de los siguientes valores: normal, incremental, diferencial, copia o diaria. /RS:{yes|no}: Especifica si se debe o no realizar una copia de seguridad de la base de datos de medios de almacenamiento extraiibles. /HC:{on|off}: Especifica si el programa debe o no activar las capacidades de compresin hardware de la unidad de cinta.
Los valores predeterminados de los conmutadores /V, /R, /L, /M, /RS y /HC se corresponden con las configuraciones actuales de las correspondientes opciones de los cuadro de dilogo GUI del programa de copia de seguridad.
Recuperacin de Datos
Naturalmente, las copias de seguridad seran intiles si no se pudiesen restaurar los archivos que contienen, y Windows 2000 permite la recuperacin de archivos y directorios individuales o la recuperacin total del conjunto de archivos de la copia de seguridad a su emplazamiento original. Al igual
Captulo 22
que con las funciones de copia de seguridad del programa, se pueden crear trabajos de recuperacin usando las pantallas GUI o un asistente. Seleccin de los archivos que hay que recuperar Cuando se visualiza la ficha Restaurar del programa de copia de seguridad de Windows 2000, se observa una lista de los medios en el conjunto de medios de la copia de seguridad as como los archivos de copia de seguridad que se han creado. Como parte de cada operacin de copia de seguridad, la copia de seguridad de Windows 2000 crea un catlogo del conjunto de copia de seguridad y lo graba en la cinta o en otro medio (si un trabajo de copia de seguridad ocupa dos o ms cintas, el catlogo del conjunto de copia de seguridad se graba en la ltima cinta). El programa accede a este catlogo cada vez que se selecciona una cinta de la lista para restauracin. Cuando se inserta la cinta apropiada en la unidad, el programa lee el catlogo y muestra los contenidos de la cinta de forma jerrquica al igual que en la ficha de copia de seguridad. Las unidades, archivos y carpetas que se pretende recuperar se seleccionan de la misma forma que cuando se seleccionaron para ser copiadas. Seleccin de los destinos para los archivos recuperados En una situacin de recuperacin de un desastre, probablemente se querr hacer una recuperacin total del conjunto de la copia de seguridad a su destino original, pero la mayora de las veces, los administradores de red realizan recuperaciones para restaurar una copia de un archivo o carpeta que un usuario ha borrado accidentalmente o que se ha daado de algn modo. Cuando sucede esto, podra desearse no recuperar los archivos en sus emplazamientos originales y por eso la copia de seguridad de Windows 2000 suministra opciones que permiten especificar otros emplazamientos. El selector Restaurar archivos en de la ficha
Captulo 22
Restaurar suministra las siguientes opciones:

G
Ubicacin original: Recupera todas las carpetas y archivos seleccionados a sus emplazamientos originales en local o en las unidades de red, preservando la estructura original de los directorios. Ubicacin alternativa: Recupera todas las carpetas y archivos seleccionados en una carpeta especfica, manteniendo la estructura de directorios del material recuperado. Carpeta nica: Recupera todas las carpetas y archivos seleccionados en una carpeta nica especfica, sin tener en cuenta la estructura de directorios original. Si cuando se realiza una recuperacin, se elige usar la opcin de Carpeta nica y existen archivos con nombres idnticos en los directorios seleccionados, el programa utilizar los parmetros de la ficha Restaurar del cuadro de dilogo Opciones para determinar si se deben sobreescribir los primeros archivos con los subsiguientes archivos con nombres idnticos.
Definicin de las opciones de recuperacin
Captulo 22
En la ficha Restaurar del cuadro de dilogo opciones se especifica el comportamiento del programa de copia de seguridad cuando ste se encuentra con archivos existentes con los mismos nombres durante una operacin de recuperacin. Las opciones disponibles son las siguientes:
G
No reemplazar este archivo en mi equipo: Recupera nicamente los archivos que no existen en el disco destino. Reemplazar este archivo en mi disco slo si el archivo en el disco es ms antiguo: Compara las fechas de los archivos con nombres idnticos y sobreescribe los archivos existentes en el disco destino slo si la versin de copia de seguridad es ms reciente. Reemplazar siempre el archivo en mi equipo: Recupera todos los archivos seleccionados al disco destino, sobrescribiendo cualquier archivo con idntico nombre.
Cuando se pulsa el botn Iniciar, el cuadro de dilogo Confirmar restauracin ofrece la oportunidad de pulsar el botn Avanzadas para configurar las opciones de recuperacin avanzadas siguientes antes de comenzar el proceso de recuperacin:
G
Restaurar seguridad: Especifica si el programa debe recuperar todos los parmetros de seguridad de cada archivo o carpeta, incluyendo propietario, permisos y entradas de auditorias. Para recuperar los parmetros de seguridad, el destino del trabajo de restauracin debe ser una unidad NTFS (y los archivos y carpetas deben de haberse copiado desde una unidad NTFS). Restaurar la base de datos de medios de almacenamiento extrables: Especifica si el programa debe restaurar la Base de datos de medios de almacenamiento extrables a la carpeta \%SysDir%\System32\Ntmsdata, sobreescribiendo cualquier base de datos de medios de almacenamiento extrables en esa ubicacin.
Captulo 22
G
Restaurar los puntos de unin y restaurar en su ubicacin original los datos de archivos y carpetas que se encuentren bajo puntos de la ubicacin original: Especifica si el programa debe restaurar los puntos de unin creados con unidades montadas, as como los datos a los que sealan los puntos de unin. Cuando esta casilla de verificacin se desactiva, la Copia de seguridad de Windows 2000 restaura los puntos de unin, pero no necesariamente los datos a los que hacen referencia. Al restaurar conjuntos de datos replicados, marcar los datos restaurados como los datos principales para todas las rplicas: Especifica si el programa debe restaurar los datos del Servicio de rplica de archivos (File Replication Service, FRS) de forma que stos sean duplicados en otros servidores. Cuando esta funcionalidad permanece desactivada, la Copia de seguridad de Windows 2000 restaura los datos del FRS, pero debido a su antigedad, es probable que se sobreescriban ms tarde por los datos de rplicas de otros servidores. La Copia de seguridad de Windows 2000 slo puede ejecutar trabajos de recuperacin de manera inmediata. El programa no puede programar recuperaciones para su ejecucin.
Planificacin ante los desastres

La peor pesadilla de cualquier administrador de red es el fallo catastrfico de un disco duro del servidor, y muchos otros desastres pueden acabar en la destruccin de discos a incluso de sistemas completos. Asegurarse de tener las copias de seguridad actuales de los discos es una parte esencial a la hora de ejecutar cualquier plan de recuperacin ante el desastre, pero, adems, otros elementos del sistema de Windows 2000 se deben proteger. La Copia de seguridad de Windows 2000 incluye funcionalidades adicionales que permiten proteger la configuracin completa del sistema para simplificar el proceso de restauracin de la computadora a su estado original. Copias de seguridad del estado del sistema Una entrada adicional denominada Estado del sistema aparece junto con las letras de las unidades locales bajo la cabecera Mi Pc en la ficha Copia de seguridad de la Copia de seguridad de Windows 2000. La seleccin de esta entrada hace que el programa realice una copia de seguridad de los componentes de la configuracin del sistema local que no son accesibles directamente a travs del sistema de archivos. Estos componentes incluyen los siguientes:
Captulo 22
G
Registro (en ambos, servidores y estaciones de trabajo). Base de datos de registro de clases (en ambos, servidores y estaciones de trabajo). Archivos de inicio del sistema (en ambos, servidores y estaciones de trabajo). Base de datos de servicios de certificados (slo en controladores de dominio). Servicios de directorio Active Directory (slo en controladores de dominio). Directorio SYSVOL (slo en controladores de dominio).
La realizacin de una copia de seguridad de estos componentes hace posible la restauracin completa de un sistema a un disco nuevo sin perder ningn dominio, ninguna cuenta local de usuario, as como ninguno de los derechos y permisos asociados con ella. Slo se puede hacer una copia de seguridad del estado del sistema de la mquina local, lo que significa que, si existen mltiples sistemas de Windows 2000 en la red, el programa de copia de seguridad se tendr que ejecutar en cada computadora para protegerlas ntegramente. Sin embargo, la mayor parte de las veces, slo los servidores de Windows 2000 contendrn informacin irremplazable sobre el estado del sistema. Como consecuencia de las dependencias existentes entre los distintos elementos del estado del sistema, stos no se pueden ni copiar ni restaurar individualmente; se deben tratar como un elemento unificado. Sin embargo, el estado del sistema s puede recuperarse en una ubicacin alternativa, en cuyo caso, el programa slo restaura el registro, SYSVOL y los archivos de inicio del sistema. A pesar de que no se pueda hacer una copia de seguridad del estado del sistema de sistemas remotos, s se puede hacer copia de los discos a travs de la red. Se pueden proteger todos los sistemas ejecutando primero un trabajo de copia de seguridad en cada computadora de Windows 2000; este trabajo guarda slo el estado del sistema en un archivo en la
Captulo 22
computadora que dispone de la unidad de cinta (u otro medio de copia de seguridad). As, haciendo una copia de seguridad de la mquina completa, conjuntamente con los discos situados en sistemas remotos, se estarn protegiendo todos los discos as como el estado del sistema de cada mquina.
Tratamiento de los problemas de la Copia de Seguridad y de las Restauraciones

La copia y restauracin de datos en un sistema de red es un proceso que siempre ha estado supeditado a ciertos problemas y consideraciones. Copia de seguridad de Windows 2000 hace referencia a alguno de estos problemas, tal y como se explica en las siguientes secciones. Copias de seguridad de los servidores Exchange Debido a su constante uso, los servidores de correo como Microsoft Exchange presentan algunos problemas complejos de copia de seguridad. Copia de seguridad de Windows 2000 presenta una funcionalidad especfica diseada para realizar copias de seguridad de los servidores Exchange, y que aparece slo cuando el programa detecta en el sistema local el mdulo de Exchange Edbbcli.dll. Cuando este mdulo est presente, un elemento de Microsoft Exchange aparece en el men Herramientas del programa de copia de seguridad, permitiendo especificar el nombre del servidor Exchange al que se quiere que acceda el programa a travs del convenio universal de denominaciones (Uniform Naming Convention, UNC). Tambin, la lista expandible de la ficha Copia de seguridad incluye un icono de Microsoft Exchange que puede seleccionarse para hacer una copia de seguridad del servidor de correo. Copias de seguridad de los archivos cifrados Los sistemas de archivos de Windows 2000 guardan los archivos cifrados de la misma forma que los archivos no cifrados; slo se diferencian en el formato de datos. De esta forma, la realizacin de copias de seguridad de archivos cifrados no compromete de ninguna forma su nivel de seguridad. Los archivos se guardan en una cinta a otro medio con su formato cifrado y se restauran de la misma forma. El personal encargado de realizar las copias de seguridad de estos archivos no necesita de esta forma acceso a los cdigos de cifrado, ni el acceso directo a la cinta presenta ningn riesgo. Restauracin del estado del sistema Realizar una copia de seguridad del estado del sistema es tan simple como seleccionar el cuadro apropiado en la pestaa de Copia de seguridad, pero su restauracin resulta un poco ms complicada. El proceso de restauracin no debe slo sobrescribir los datos vitales del sistema actualmente en uso, como por ejemplo el registro, sino que debe tambin (en el caso de controladores de dominio) restaurar la base de datos Active Directory. Este problema resulta un tanto difcil porque en un dominio con mltiples controladores de dominio, el sistema de rplica puede sobreescribir los nuevos datos restaurados debido a sus anticuados nmeros de secuencia de actualizacin.
Captulo 22
Por ello, para restaurar de forma efectiva el estado del sistema con un controlador de dominio, se deben realizar dos procedimientos especiales durante el proceso de restauracin: iniciar la computadora en el modo de restauracin de servicios de directorio y realizar una restauracin autoritaria de la base de datos Active Directory. Slo es posible restaurar el estado del sistema en el sistema local. El programa Copia de seguridad de Windows 2000 determina automticamente la ubicacin correcta de los datos restaurados, basndose en la ubicacin del directorio raz del sistema (normalmente C:\Winnt), y sobrescribe los datos del estado del sistema actual en la computadora.
Modo de restauracin de servicios de directorio
Para restaurar Active Directory y el volumen SYSVOL en el controlador de dominio de Windows 2000, se debe reiniciar el sistema en modo de restauracin de servicios de directorio, un modo de seguridad que asegura que el sistema se encuentra preparado para sobrescribir su base de datos Active Directory. Para hacer esto, hay que reiniciar el sistema y cuando se observe el mensaje Por favor seleccione el sistema operativo para comenzar, se debe presionar la tecla F8. Desde el men de inicio, hay que seleccionar el modo de restauracin de servicios de directorio. Despus de comprobar la integridad de las unidades de disco, Windows 2000 carga el sistema operativo con una configuracin de servidor independiente y con un conjunto de controladores genricos que permiten un modo de acceso seguro al sistema operativo. Dado que el sistema de controlador de dominio no se encuentra funcionando en este momento como un controlador de dominios, se podrn ver mensajes de error que indiquen que los servicios dependientes del Active Directory no se han cargado. Esto es previsible. Dado que la mquina no se encuentra funcionando como un controlador de dominio, no est utilizando los objetos de grupos y usuarios asociados con el dominio. En su lugar, el sistema se encuentra utilizando un pequeo conjunto de cuentas de grupo y usuario almacenadas en el registro en lugar del Active Directory. A partir de aqu, se puede ejecutar la copia de seguridad de Windows 2000 y restaurar el estado del sistema.
Restauracin autoritaria
Cuando se recupera el estado del sistema en un controlador de dominio, los objetos restaurados de Active Directory tienen los mismos nmeros de secuencia de actualizacin que cuando se les aplic la copia de seguridad. Estos nmeros son necesariamente ms antiguos que aquellos que se encuentran actualmente en uso en el Active Directory y por ello se les considerar anticuados y se sobrescribirn durante el siguiente ciclo de rplica. Para evitar que esto ocurra, se debe realizar una Restauracin autoritaria de los datos del Active Directory almacenados como parte del estado del sistema en el medio donde se ha realizado la copia de seguridad. Una restauracin autoritaria es aqulla que indica los objetos restaurados del Active Directory como autoritarios, lo cual significa que durante el siguiente suceso de rplica, stos sobrescribirn los objetos equivalentes de los controladores de dominio que contienen las rplicas. Para realizar una restauracin autoritaria, se debe ejecutar despus de restaurar el estado del sistema y antes de reiniciar la computadora el programa de Windows 2000 Ntdsutil.exe, el cual modificar los
Captulo 22
nmeros de secuencia de actualizacin de los objetos restaurados para que hagan parecer a las rplicas que contienen los ltimos datos disponibles.
Ntdsutil
El programa Ntdsutil.exe es una utilidad interactiva de lnea de comandos que se copia de manera predeterminada durante la instalacin del sistema operativo en la carpeta \%SysDir\System32. Cuando se inicia el archivo ejecutable desde la lnea de comandos se observa un indicador etiquetado como ntdsutil El programa utiliza una serie de mens para navegar a travs de sus funciones. Para obtener una lista de los comandos y submens disponibles cuando aparezca cualquier indicador, hay que introducir un signo de interrogacin (?) o help. Para realizar una restauracin autoritaria, hay que escribir authoritative restore en el indicador ntdsutil y, a continuacin, introducir help para visualizar los siguientes comandos disponibles:
G
Restore Database: Modifica los nmeros de secuencia de actualizacin de todos los objetos del Active Directory, haciendo que se conviertan en autoritarios para todo el dominio. Restore Database Verinc %d: Restaura de manera autoritaria la base de datos entera especificada por la variable %d a ignora el incremento de versin. Restore Subtree %s: Modifica los nmeros de secuencia de actualizacin de los objetos del Active Directory en el subrbol especificado por la variable %s, convirtindolos en autoritarios para todo el dominio. Restore Subtree %s Verinc %d: Restaura de manera autoritaria el subrbol especificado por la variable %s a ignora el incremento de versin.
De esta forma, para usar la base de datos completa del Active Directory restaurada con el estado del sistema como informacin autoritaria, se utiliza el comando Restore Database en el indicador authoritative restore: del comando Ntdsutil.exe. El programa abre la base de datos a incrementa el nmero de versin de todos los objetos del Active Directory en 100.000. Una vez completado el proceso, se puede salir del programa introduciendo quit dos veces y reiniciando el sistema en modo normal. Cuando la computadora se encuentre funcionando como un controlador de dominios de nuevo, replicar su base de datos Active Directory al resto de los controladores del dominio y, dado que los nmeros de versiones de sus objetos sern sustancialmente superiores que los de sus .rplicas, el sistema copiar los datos restaurados a todas las rplicas del dominio. Conservacin de los permisos NTFS Los permisos del sistema de archivos son un elemento esencial de cualquier estrategia de almacenamiento en red, y para que un programa de copia de seguridad funcione dentro de un entorno de red, ste debe ser capaz de guardar los permisos conjuntamente con los archivos as como de restaurarlos ya sea en su ubicacin original o en otra distinta. Sin embargo, la variedad de sistemas de archivo que soporta Windows 2000 complica el proceso considerablemente. Los sistemas de archivo FAT no soportan permisos y, si se restaura una copia de seguridad de una unidad NTFS a una unidad FAT, estos permisos se pierden.
Captulo 22
La introduccin de NTFS 5 en Windows 2000 presenta otra incompatibilidad importante, que es la de unidades NTFS creadas con Microsoft Windows NT 4. Cuando se restaura una copia de seguridad de una unidad NTFS 5 a otra unidad Windows NT4 NTFS, se pierden los siguientes elementos:
G G G G G
Permisos. Parmetros de configuracin del Sistema de cifrado de archivos (Encrypting File System, EFS). Informacin de la cuota de disco. Informacin sobre unidades montadas. Informacin sobre almacenamiento remoto.
La prdida de estos elementos puede comprometer la seguridad de la red y hacer imposible el acceso a datos que se encuentran cifrados o almacenados en otra unidad o medio. La restauracin de archivos de datos de NTFS 5 a otro sistema de archivos puede causar la prdida de datos de documentos incrustados o vinculados, as como de formatos de almacenamiento de datos alternativos como, por ejemplo, los usados por los servicios de Macintosh, archivos de imgenes de disco y ciertos tipos de archivos personalizados por ciertas aplicaciones de otros fabricantes. Antes de realizar una restauracin NTFS, se debe tener en cuenta el sistema de archivos utilizado en la unidad de destino.
Captulo 23
Captulo 23
El Registro suscita miedo a muchos administradores de sistemas porque es el almacn central de los parmetros de configuracin del sistema. Cometer errores mientras se edita el Registro puede tener consecuencias indeseables, pero su uso no difiere mucho del de un automvil o mquina de coser. Todas las herramientas potentes producen consecuencias negativas si no se usan adecuadamente. Si se sabe lo que se est haciendo y se toman algunas precauciones simples, se puede sacar un gran provecho de una herramienta potente -como el Registro- sin miedo.
Introduccin al Registro
El Registro es una base de datos binaria que organiza jerrquicamente todos los parmetros de configuracin del sistema. Las aplicaciones, los componentes del sistema, los controladores de dispositivos e incluso el ncleo de Microsoft Windows 2000 utilizan el Registro para almacenar sus preferencias, leerlas de nuevo y obtener informacin acerca de la configuracin hardware del sistema, las preferencias de usuario actuales y las configuraciones predeterminadas que deben usarse cuando no existen parmetros predefinidos (como por ejemplo, cuando un usuario nuevo inicia una sesin en el sistema por primera vez). Orgenes del Registro Anteriormente, en los aos de Microsoft Windows 3.1, tanto las aplicaciones como Windows almacenaban la informacin de sus configuraciones en archivos .INI. Estos archivos eran fciles de editar, lo cual era una bendicin y una maldicin -los usuarios podan realizar cambios fcilmente cuando era necesario, pero tambin podan efectuar cambios cuando stos no eran necesarios-. La proliferacin de aplicaciones Windows supuso el esparcimiento por las computadoras de docenas de archivos .INI, cada uno de ellos con su propia combinacin de parmetros (sin que la mayora de stos pudiera ser documentado o incluso comprendido por personas que no fueran los propios programadores de la aplicacin). Windows NT 3.1 casi elimin por completo los archivos .INI introduciendo el predecesor de lo que hoy se conoce como Registro de Windows 2000. El Registro de Windows NT 3.1 tena algunas caractersticas de importancia que han continuado, o ms o menos no han sufrido alteraciones, hasta Windows 2000.
G
La informacin del Registro se organiza por categoras, de forma que los parmetros que pertenecen a un usuario concreto (como la eleccin del papel del tapiz) se guardan separadamente de los parmetros de otros usuarios o los propios parmetros internos del sistema. Cada parmetro se guarda como una pieza de informacin independiente. La informacin del Registro se almacena en archivos de base de datos binarios en disco; la nica forma de visualizar o editar estos archivos es utilizando herramientas especiales destinadas a este propsito que se llaman a travs de las rutinas de acceso al Registro de la Win32 API. Cada elemento de datos en el Registro tiene un tipo de datos, como REG_DWORD (un entero largo) o REG_SZ (una cadena ASCII). Los editores del Registro del sistema vigilan el cumplimiento de estos tipos de datos, por eso no puede ponerse una cadena donde habra que poner un nmero. Esta restriccin permite eliminar un tipo de errores (los intentos bien intencionados pero desinformados de poner una clavija redonda en un taco cuadrado). Al igual que cualquier objeto del sistema, cada elemento del Registro tiene un propietario, pudiendo tener su propio conjunto de listas de control de acceso Access Control Lists, ACL) y controles de auditoria. Con los permisos apropiados, los administradores o programas de una computadora pueden conectarse, leer y modificar los registros de computadoras remotas.
Captulo 23
Algunas de estas caractersticas tambin existen en Windows 95/98, que comparten los principios de organizacin del Registro de Windows NT sin sus caractersticas de seguridad y acceso remoto. Las dos familias de sistemas operativos (SO) utilizan formatos internos diferentes para sus bases de datos del Registro a pesar de que sus registros parecen similares para las herramientas de edicin del Registro; sus archivos no son intercambiables ni interoperativos. Quizs el aspecto ms destacable del Registro de Windows 2000 es lo poco que ha cambiado con respecto a su versin anterior en Windows NT 4. Las estructuras binarias para almacenar los datos son las mismas. Datos del Registro La informacin del Registro se utiliza en seis reas diferentes:
G
La informacin del Registro se utiliza durante la puesta en marcha, instalacin, configuracin y eliminacin del propio SO, de componentes del SO como los servicios de Internet Information Server (IIS) o Certificate Server, as como de dispositivos hardware. Cada vez que se ve un Agregar/eliminar algo a otro Asistente se utiliza la informacin del Registro. Durante el tiempo de inicio del sistema, el reconocedor de Windows 2000 (Ntdetect.com) y algn cdigo asociado en el ncleo de Windows 2000 busca los dispositivos hardware y almacena lo que encuentra en una porcin de memoria del Registro. El ncleo de Windows 2000 utiliza la informacin recogida durante el inicio del sistema para decidir qu controladores de dispositivo cargar y en qu orden; tambin almacena la informacin que necesitan dichos controladores en el Registro. Los controladores de dispositivo utilizan la informacin escrita por el reconocedor y el ncleo para autoconfigurarse en funcin del hardware fsico que se encuentre en la mquina. Las herramientas del sistema y las aplicaciones, como los paneles de control y algunos complementos MMC, leen y escriben informacin de configuracin en el Registro. Las aplicaciones pueden almacenar sus propios parmetros en el Registro; es ms, pueden incluso leer (y posiblemente escribir) la informacin reunida por otro software que utiliza el Registro.
Hay que tener en cuenta que durante las fases de inicio, del ncleo o del controlador de dispositivos, el sistema no puede utilizar el disco --el sistema no puede hablar al disco hasta que se cargan los controladores de dispositivo-. Microsoft advierte constantemente de que la edicin del Registro es peligrosa; es as realmente o simplemente se estn cubriendo las espaldas? La respuesta se encuentra ms o menos entre los dos extremos. Dado que el Registro se utiliza por casi cualquier parte de Windows 2000, y dado tambin que los programadores son perezosos a la hora de escribir cdigo que compruebe los valores que provienen del Registro, cualquier cambio inadecuado o poco contrastado que se haga al Registro, puede provocar un gran dao a la mquina. Dicho esto, sin embargo, si se tiene cuidado y se presta atencin, no hay razn alguna para temer al Registro. Algunas reglas simples ayudan a evitar los problemas bastante:
G
No editar ninguna parte del Registro por diversin. Si no se sabe cmo puede afectar al sistema un cambio puntual, es mejor no hacerlo a menos que uno sepa cargar con las consecuencias. Hay que ser cuidadoso a la hora de aadir nuevos valores o claves. El software slo prestar atencin a las claves que contengan nombres que pueda comprender. El aadir una nueva clave o valor esperando que algn componente la reconozca y cambie su comportamiento es como aadir un nuevo botn denominado < Propulsin a chorro> en el salpicadero del coche y esperar que ste incremente su velocidad. La excepcin a esta regla es que Microsoft utiliza a menudo cdigo capaz de reconocer claves ocultas (o al menos poco documentadas) y
Captulo 23
cambiar su comportamiento apropiadamente. Mantener una copia de seguridad actual del estado del sistema.
Estructura del Registro

En un sistema de archivos, los objetos raz son discos que contienen carpetas o archivos. Una carpeta concreta puede contener un nmero arbitrario de otras carpetas y archivos; cada carpeta o archivo tiene un nombre. Combinando los nombres de las carpetas que incluyen un archivo, se puede construir un camino capaz de nombrar sin ambigedad un nico archivo del disco, de forma que, por ejemplo, C:\Windows\Mapi32.dll y C:\Winnt\Mapi32.dll sean dos archivos completamente distintos. El Registro de Windows 2000 se encuentra organizado en gran parte como un sistema de archivos, si bien el vocabulario necesario para su descripcin es algo diferente. En la raz de la estructura del Registro se encuentran las claves predefinidas (comparables con los discos en el sistema de archivos). Cada clave predefinida contiene varias subclaves (carpetas); continuando, estas subclaves contienen otras subclaves y valores (las que equivalen en el Registro a los archivos). Al igual que pasa con los archivos, cada valor tiene un nombre que debe ser nico en la subclave o carpeta que lo contiene; cada valor tiene un tipo de datos asociado que rige el tipo de datos que puede soportar. Cualquier valor del Registro puede identificarse especificando su camino completo comenzando desde la raz. Por ejemplo, el camino HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Exchange \Security \ObscureWireDataFormat especifica un valor concreto en la subclave de Security perteneciente a Microsoft Exchange Server. Las claves predefinidas Cuando se abre el icono Mi PC en el escritorio, siempre se ven ciertos elementos, como los iconos que representan los volmenes de disco lgicos de la computadora. Lo mismo se aplica al Registro. Cuando ste se abre con un Editor del Registro, siempre se observa el mismo conjunto de claves predefinidas.
Captulo 23
Cada
clave predefinida tiene un propsito diferente:

G
HKEY_LOCAL_MACHINE almacena todos los parmetros pertenecientes a la mquina local. Por ejemplo,. la subclave HARDWARE de HKEY_LOCAL_MACHINE es donde el sistema y sus controladores de dispositivo almacenan y comparten la informacin de los dispositivos hardware que el sistema encuentra durante el inicio (al igual que otros dispositivos Plug-and-Play que se pueden aadir una vez que el sistema se ha iniciado). Las aplicaciones slo deben guardar informacin aqu si sta pertenece a todo el mundo que utiliza la mquina; por ejemplo, un controlador de impresora podra guardar aqu un conjunto de parmetros predeterminados de impresin y copiarlos a cada perfil de usuario nuevo cuando ste o sta inician una sesin. HKEY_USERS contiene una entrada para cada usuario que haya iniciado una sesin previamente en la computadora. Cada entrada de usuario pertenece a la cuenta del mismo usuario, y contiene los parmetros del perfil habilitado para ese usuario. Cuando se utilizan directivas de grupo, los parmetros de directiva especificados se aplican al perfil de cada usuario concreto aqu. HKEY_CURRENT_CONFIG guarda la informacin relativa a la configuracin actual del inicio del sistema. En particular, contiene informacin sobre el conjunto actual de servicios del sistema, as como sobre los dispositivos presentes durante el tiempo de inicio. Esta clave predefinida es realmente un puntero a secciones dentro de HKEY_LOCAL_MACHINE. HKEY_CURRENT_USER apunta al perfil del usuario que haya iniciado la sesin actual dentro de HKEY_USERS. Microsoft requiere que las aplicaciones de Windows 2000 guarden las preferencias especficas de los usuarios en las subclaves que se encuentran por debajo de HKEY_CURRENT_USER; por ejemplo, HKEY_CURRENT_USER\SOFTWARE\Binary Research\GhostSrv\Settings almacena las preferencias de usuario personales del producto Symantec's Ghost. Otro tipo de configuracin de usuario para el mismo producto se encontrara disponible en la misma clave slo cuando el usuario se encuentre con una sesin abierta. HKEY_CLASSES_ROOT enlaza las extensiones de archivo y los identificadores de clases OLE; realmente apunta a HKEY_LOCAL_MACHINE\SOFTWARE\Classes. Los componentes del sistema como el explorador de Windows (y Microsoft Internet Explorer)
Captulo 23
utilizan estas asociaciones para determinar qu componentes o aplicaciones usar cuando se abre o se crea un tipo particular de archivo a objeto de datos. Dado que Windows 2000 se basa profundamente en el Modelo de objetos de componentes (Component Object Model, COM), quien a su vez se basa en los identificadores de objeto que se encuentran en HKEY_CLASSES_ROOT, esta clave y sus subclaves son ms importantes de lo que pudiera parecer en un principio. En la documentacin de Windows 2000, Microsoft identifica nicamente dos claves predefinidas: HKEY_LOCAL_MACHINE y HKEY_USERS. Dado que HKEY_CURRENT_USER, HKEY_CURRENT_CONFIG y HKEY_CLASSES_ROOT son realmente punteros a subclaves de HKEY_LOCAL_MACHINE y HKEY_USERS, esto es tcnicamente correcto, pero uno podra confundirse si se adhiere a la idea de la existencia de cinco clases predefinidas separadas. Para evitar dicha confusin, se utilizar la notacin antigua. Un cambio importante en el Registro de Windows 2000 implica a HKEY_CLASSES_ROOT. En Windows NT 4 y sus versiones anteriores, la informacin en HKEY_CLASSES_ROOT es la misma para todos los usuarios. De alguna forma, sta fue una decisin de diseo razonable que toma Microsoft (todos los usuarios de una mquina tienen acceso al mismo conjunto de componentes OLE instalados y a la misma correspondencia de archivos). Sin embargo, una de las quejas ms comunes expresadas por los administradores cuyos usuarios deban compartir mquinas era que las asociaciones predeterminadas de dos usuarios podan diferir bastante. Si un usuario elige Netscape Navigator como navegador Web predeterminado, ello modifica el HKEY_CLASSES_ROOT; si un usuario selecciona posteriormente Internet Explorer como navegador predeterminado para la misma mquina, esto elimina la eleccin original. Y lo que es ms importante, la habilidad de los usuarios para cambiar estos valores reduce la seguridad del sistema de dos formas: permite que los usuarios puedan cambiar las asociaciones de otros usuarios (incrementando el riesgo de introducir cdigo malicioso) y fuerza a los administradores a quitar permisos de HKEY_LOCAL_MACHINE\SOFTWARE\Classes, dado que todos los usuarios necesitan acceder a l. Microsoft ha modificado este comportamiento en Windows 2000 de tal forma que el HKEY_CLASSES_ROOT contiene informacin procedente de dos fuentes: el perfil de usuario (donde se guardan las personalizaciones especficas del usuario) y HKEY_LOCAL_MACHINE\,SOFTWARE\Classes, donde residen los parmetros globales del sistema. Los usuarios pueden registrar y eliminar componentes COM, cambiar la asociacin de archivos, etc., sin que esto afecte a otros usuarios. Los administradores pueden ajustar los permisos en HKEY_LOCAL_MACHINE\SOFTWARE\Classes de tal forma que los usuarios no puedan entrometerse con los parmetros globales de sistema que se quiere que tengan. Subclaves principales Dentro de las claves predefinidas, existen varias subclases cuya notacin es importante. Como cada clave predefinida tiene tanta informacin por debajo, es normal referirse a estas subclases individuales directamente -despus de todo, HKEY_LOCAL_MACHINE\HARDWARE y HKEY_LOCAL_MACHINE\SOFTWARE no tienen mucho en comn, exceptuando su clave predefinida.
HKEY_LOCAL_MACHINE\HARDWARE
La subclave HKEY_LOCAL_MACHINE\HARDWARE almacena la informacin del hardware que se encuentra en el sistema. Todos los valores que se almacenan aqu se mantienen slo en la RAM, no en el disco, debido al ordenamiento del controlador de dispositivos mencionado anteriormente. Cuando el reconocedor de hardware se ejecuta, enumera todos los dispositivos que encuentra al explorar los buses del sistema y buscar clases especficas de dispositivos,
Captulo 23
como puertos paralelos o teclados. Por debajo de HKEY_LOCAL_MACHINE\HARDWARE subyacen tres subclases importantes:
G
La subclave DESCRIPTION contiene descripciones de las CPU, procesadores en coma flotante y dispositivos multifuncin del sistema. La informacin almacenada aqu se ha incrementado considerablemente en comparacin con lo que se encuentra disponible en Windows NT 4; por ejemplo, la subclase CentralProcessor hace un seguimiento de un cierto nmero de parmetros que no se encuentran disponibles en Windows NT 4. Para computadoras que usan placas base multipropsito, como la serie Intel BX, uno de los dispositivos multifuncin reflejado en esta subclase refleja los controladores integrados de la placa base, con entradas separadas para los controladores de disco, teclado, puntero, paralelo y serie. La subclave DEVICEMAP vincula un dispositivo especfico a un controlador especfico. Por ejemplo, DEVICEMAP\Video contiene un valor denominado \Device\Video 1 que contiene una cadena \REGISTRY\Machine\SYSTEM\ControlSet001\Services\mnmdd\Device0, que es un puntero al lugar donde el controlador para esa controladora de vdeo almacena sus parmetros. La subclave RESOURCEMAP existe en Windows NT 4, pero se ha reorganizado completamente en Windows 2000. Ahora contiene tres subclaves primarias: una para la capa de abstraccin de hardware (Hardware Abstraction Layer, HAL) que se utiliza cuando se hace un seguimiento de los dispositivos que encuentra, otra para el administrador Plug-and-Play para registrar los dispositivos que sabe manejar y otra que refleja la cantidad de recursos del sistema (Microsoft-speak para la RAM) disponibles en la mquina.
Dependiendo de la configuracin de la mquina, es posible que existan otras subclaves adicionales. Por ejemplo, los sistemas que soportan Advanced Configuration Power Interface (ACPI) disponen de una subclase ACPI que contiene informacin sobre las subclases ACPI concretas que la computadora soporta.
HKEY_LOCAL_MACHINE\SAM
El hecho de que Windows 2000 incluya el servicio de directorio Active Directory no implica que no queden vestigios de Security Accounts Manager (SAM). Cuando se crean cuentas locales o grupos en Windows 2000, stos se almacenan en HKEY_LOCAL_MACHINE\SAM al igual que se hace en Windows NT. Sin embargo, aunque no es posible editar o visualizar la informacin de esta subclave, s resulta muy til para la compatibilidad con cdigo de versiones antiguas de NT que da por hecho la existencia de SAM. Las rutinas de programacin que acceden a la informacin de SAM se han reconstruido para que utilicen Active Directory cuando ste exista, o SAM si no existe un servidor Active Directory.
HKEY_LOCAL_MACHINE\SECURITY
Tal y como uno espera, HKEY_LOCAL_MACHINE\SECURITY contiene gran cantidad de informacin sobre seguridad. Su formato no est documentado y no es posible realizar nada en la subclave. Sin embargo, las credenciales cach de inicio de sesin del sistema, las polticas de configuracin y los secretos sobre servidores compartidos residen en esta subclave. La subclave SECURITY\SAM contiene una copia de casi toda la informacin de HKEY_LOCAL_MACHINE\SAM. Si uno siente curiosidad por saber lo que hay en HKEY_LOCAL_MACHINE\SAM y HKEY_LOCAL_MACHINE\SECURITY, es posible abrir estas dos claves ejecutando Regedt32 en el contexto de seguridad LocalSystem. La forma ms fcil de realizar esto es utilizando el comando At para programar que Regedt32 se ejecute en una sesin interactiva. Basta con programarlo para que se ejecute ms o menos durante un minuto en el futuro de la siguiente forma: at 12:34 /interactive regedt32.exe El comando advierte al sistema para que programe la ejecucin de Regedt32 en un minuto a partir de ese momento (esto se escribe a las 12:33);
Captulo 23
cuando se ejecuta, el servicio de programacin del sistema inicia la aplicacin de forma que se ejecute en el contexto LocalSystem en lugar del contexto en el que uno tenga actualmente abierta la sesin. A pesar de que sta es una forma interesante de ver lo que hay en estas subclaves, hay que estar prevenido de dos cosas. La primera es que los valores que se encuentran en estas subclaves no tendrn mucho sentido para el usuario, puesto que han sido intencionadamente ocultados. La segunda, y ms importante, es que no hay que olvidar que el cambio de uno de estos valores provocar casi con toda seguridad consecuencias indeseables no intencionadas. En otras palabras, se mira, pero no se toca.
HKEY_LOCAL_MACHINE\SOFTWARE
La subclave HKEY_LOCAL_MACHINE\SOFTWARE se utiliza como ubicacin raz para el almacenamiento de las configuraciones generales de las aplicaciones y componentes del sistema. Por ejemplo, HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\EnterpriseCertificates contiene claves que almacenan las Listas de confianza de certificados (Certificate Trust List, CTL) y los certificados de confianza CCA de la mquina -los certificados CCA y CTL de usuarios particulares se almacenan en otro sitio-. Los programas individuales, los paneles de control y similares pueden crear sus propias subclaves bajo HKEY_LOCAL_MACHINE\SOFTWARE; el estndar predeterminado es que cada fabricante cree su propia clave en el nivel superior (por ejemplo, HKEY_LOCAL_MACHINE\SOFTWARE\Intel) para despus crear subentradas por debajo de dicha clave. Las partes ms interesantes de esta subclave son HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion (que almacena la mayor parte de la informacin preferente de la GUI; su nombre es el mismo que el de la correspondiente clave de Windows 95/98) y HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows NT\CurrentVersion. Esta ltima subclave se ha expandido considerablemente en Windows 2000; por ejemplo, existen nuevas claves para el manejo de la recuperacin automtica del servidor, el Sistema de archivos de cifrado, el Editor de configuracin de seguridad, Terminal Services y otras nuevas caractersticas.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
Cuando se inicia Windows 2000, la ltima accin que se realiza en la fase de inicio es la actualizacin del Registro para que refleje el conjunto de controles y servicios que se usaron por ltima vez para iniciar la mquina con xito. CurrentControlSet siempre apunta al conjunto de controles que se encuentra actualmente en uso en el sistema. Si se mira en HKEY_LOCAL_MACHINE\SYSTEM, se observan principalmente claves del tipo ControlSetXXX. Cada subclave ControlSetXXX representa un conjunto de control que existi alguna vez, sin importar si se ha utilizado con xito para iniciar la mquina. CurrentControlSet no es ms que un puntero al conjunto de inicio con xito ms reciente, pero dado que no es fcil determinar qu conjunto era se, el sistema operativo y las aplicaciones utilizan CurrentControlSet en su lugar. Por debajo de este conjunto existen cuatro claves que heredan sus nombres de versiones anteriores de Windows NT, si bien sus entresijos difieren bastante en comparacin con Windows 2000:
G
Control: Contiene informacin de control de servicios y herramientas del sistema. Por ejemplo, Control\BackupRestore\KeysNotToRestore contiene una lista de claves que la Copia de seguridad de Windows 2000 no debe restaurar (incluyendo los contenidos de la subclave Plug-and-Play) cuando recupera el Registro. Enum: Contiene una entrada para cada dispositivo o pseudodispositivo fsico que detecta el sistema. Por ejemplo, Enum\USB\Vid 0461&Pid 4d03\Inst 0 contiene informacin sobre el ratn USB que se conecta en un porttil. Dado que se encuentra presente durante el tiempo de inicio, se incluye en la lista de enumeracin. Hardware Profiles: Contiene una entrada para cada perfil hardware definido en la mquina. A1 igual que HKEY_LOCAL_MACHINE\SYSTEM, cada perfil tiene un nmero de serie, comenzando siempre con 0001. HKEY_LOCAL_MACHINE\SYSTEM\Hardware Profiles\Current siempre apunta al
Captulo 23
perfil que se selecciona durante el tiempo de inicio. Services: Contiene una subclave para cada servicio instalado. De hecho, estas subclaves guardan toda la informacin de configuracin que un servicio necesita. El conjunto exacto de claves de dos mquinas ser diferente si stas tienen diferentes servicios cargados.
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
Los volmenes de discos dinmicos de Windows 2000 son un gran logro tcnico y un regalo para los administradores, pero su funcionamiento se basa en tener una configuracin actual de los volmenes lgicos en disco. Las aplicaciones (y complementos, como el complemento de Administracin de archivos) toman esta informacin del servicio de Administracin de volmenes lgicos; de hecho, este servicio almacena su lista de dispositivos montados y disponibles en la subclave MountedDevices. Almacenamiento de datos A pesar de que los programas y servicios que utilizan el Registro no tienen por qu comprender cmo se almacena la informacin del Registro, los administradores s deben saberlo -de esta forma es posible saber dnde se almacenan los datos, cmo utiliza el Registro los diferentes tipos de datos, as como qu archivos deben ser salvaguardados como parte de las copias de seguridad-. No es necesario conocer los formatos internos que utilizan las herramientas del Registro, pero s los tipos de datos bsicos y las ubicaciones de almacenamiento. Cada valor del Registro (al cual Microsoft denomina entradas de valor) tiene tres partes: un nombre, un tipo de datos y un valor actual. Por ejemplo, si se mira un artculo de Microsoft Knowledge Base que hable sobre cierta clave -REG_SZ: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Replicator\Parameters\GuardTime, por ejemplo-, es posible observar una definicin completa de una entrada de valor (aunque siempre est bien ver un camino completo para los valores para saber dnde aadirlos o eliminarlos).
Tipos de datos tiles
Para almacenar datos en el Registro, es posible utilizar siete tipos de datos. Realmente slo se suelen utilizar dos tipos para almacenar la mayor parte de la informacin del Registro: REG_DWORD y REG_SZ. Los siete tipos son:
G
REG_BINARY almacena datos binarios arbitrarios en un formato no procesado, sin ningn tipo de reformato o anlisis. Es posible ver los datos binarios en formato binario o hexadecimal utilizando uno de los editores del Registro de Windows 2000. REG_DWORD guarda un valor de entero largo de 8 bits (o palabra doble). Este tipo se utiliza normalmente cuando una entrada indica una cuenta o intervalo, aunque tambin es comn ver indicadores REG_DWORD (0 significa que el indicador est desactivado y 1 que est activado). REG_SZ es una cadena ordinaria de tipo Unicode. Estas cadenas pueden tener cualquier longitud; este tipo se utiliza normalmente para guardar caminos, mensajes legibles para los humanos, nombres de dispositivos, etc. REG_EXPAND_SZ es un REG_SZ con un variacin -las aplicaciones pueden contener caracteres especiales en la cadena y despus traducir esos caractres cuando se lee el valor desde el Registro-. Por ejemplo, Algo es un REG_EXPAND_SZ cuyo valor normal es %SystemRoot%\System32\Algo. Cuando Windows 2000 lee la cadena, expande %SystemRoot% al camino completo donde est instalado el sistema operativo. REG_MULTI_SZ es una coleccin de un nmero arbitrario de valores REG_SZ. Por ejemplo, la lista de servidores DNS especificados en el cuadro de dilogo Propiedades TCP/IP se almacena en un valor REG_MULTI_SZ. Las aplicaciones deben saber cmo dividir un nico REG_MULTI_SZ en sus partes correspondientes. REG_FULL_RESOURCE_DESCRIPTOR es un tipo raro; se utiliza para codificar informacin sobre los recursos de sistema requeridos por un
Captulo 23
dispositivo concreto. Nunca lo hemos visto aparecer fuera de las subclaves de HKEY_LOCAL_MACHINE\HARDWARE. REG_NONE es slo un contenedor. Se utiliza para indicar la existencia de un valor de registro que actualmente no contenga ninguna informacin. Algunos componentes comprueban la presencia o ausencia de una clave o valor especfico para controlar su funcionamiento en tiempo de ejecucin; es normal que estos componentes busquen un elemento de tipo REG_NONE; dado que este tipo no contiene ninguna informacin, es posible que los usuarios jueguen con estos valores.
En la administracin rutinaria, bastar con saber la diferencia existente entre los valores REG_DWORD y REG_SZ. Un valor REG_DWORD cuyo contenido sea 0 (el valor numrico 0) es distinto de un valor REG_SZ cuyo contenido sea 0 (el carcter "0"). Si es necesario aadir un nuevo valor de Registro (quizs porque un artculo de Microsoft Knowledge Base recomiende hacerlo), habr que asegurarse de utilizar el tipo correcto si no se quiere tener problemas con los componentes que utilicen dicho valor.
Claves voltiles
Algunas claves y valores de registro son voltiles en el sentido original de la palabra -es decir, no son persistentes y pueden evaporarse en cualquier momento-. Como ejemplo, ninguna de la informacin en HKEY_LOCAL_MACHINE\HARDWARE existe en ninguna parte del disco; la subclave completa y todos sus contenidos residen completamente en memoria. Cada vez que se inicia una mquina con Windows 2000 se crea una nueva subclave, y cuando se cierra el sistema sus contenidos desaparecen.
Claves basadas en disco
Las claves voltiles son tiles para guardar la informacin que no necesita permanecer entre los distintos reinicios de la mquina, pero la mayor parte de los datos almacenados en el Registro no serviran de mucho si no fueran persistentes. Basta con imaginarse el tener que reconfigurar todas las preferencias y configuraciones siempre que se reinicia la mquina, lo que la hara caducar pronto. La mayor parte de las claves de registro estn basadas en disco, lo cual significa que sus contenidos se guardan en las estructuras del disco. Siempre que se actualiza el contenido de alguna clave, la versin de disco hace lo propio. A pesar de que las claves basadas en disco se guardan eventualmente en el disco, Windows 2000 las hace corresponder con un conjunto de memoria paginado (un rea de la memoria cuyos contenidos pueden escribirse al archivo de pgina cuando ste no se est usando) para conseguir un acceso ms eficiente. El lmite de tamao del Registro, regula la cantidad de informacin que puede almacenarse en el conjunto paginado.
Situacin de la informacin en el disco
Microsoft utiliza el trmino seccin para referirse a un grupo de claves y valores que deben permanecer juntos. Una seccin puede ser una clave raz o una subclave; por ejemplo, HKEY_CURRENT_CONFIG es una seccin (a pesar de que sea slo un puntero a una parte de HKEY_LOCAL_MACHINE), al igual que pasa con HKEY_LOCAL_MACHINE\SAM. El concepto importante que hay que recordar sobre las secciones es que una seccin es una unidad independiente que puede cargarse y descargarse independientemente de otras secciones. Windows 2000 utiliza seis secciones:
G G G
DEFAULT (que corresponde a HKEY_USERS\.DEFAULT) SAM (HKEY_LOCAL_MACHINE\SAM) SECURITY (HKEY_LOCAL_MACHINE\SECURITY)
Captulo 23
G G G
SOFTWARE (HKEY_LOCAL_MACHINE\SOFTWARE) SYSTEM (HKEY_LOCAL_MACHINE\SYSTEM). La sexta seccin, que se corresponde con los contenidos de HKEY_CURRENT_USER, es ms conocida como perfil de usuario (un perfil de usuario es realmente una seccin que se carga en el Registro cuando un usuario inicia una sesin y se descarga cuando se sale del sistema).
Cada seccin se almacena en su propio archivo en el disco (los archivos tienen los mismos nombres que las secciones), conjuntamente con un archivo de registro separado que se comporta como un diario que informa sobre todos los cambios que ha sufrido la seccin. Los archivos de seccin no tienen extensiones y el sistema los mantiene abiertos todo el tiempo; por ello, es necesario utilizar una herramienta especial de copia de seguridad o ARCServe para copiarlos. Entonces, dnde residen estos archivos de seccin? A1 igual que sucede con otras cuestiones relativas a Windows 2000, la respuesta es un depende. En este caso, la respuesta depende de los archivos de seccin de los que se est hablando. Los cinco grandes (DEFAULT, SAM, SECURITY, SOFTWARE y SYSTEM), al igual que sus archivos .LOG, se guardan en la subcarpeta System32\Config de la carpeta Install de Windows 2000. La ubicacin de los archivos de perfil de usuario (Ntuser.dat y Ntuser.dat.log para el usuario que se encuentre actualmente conectado, y Default y Default.log para el usuario predeterminado) depende del sistema operativo que exista en la mquina antes de instalar Windows 2000. Las mquinas que se actualizaron desde Windows NT 4, o aquellas en las que se instal Windows 2000 limpiamente, guardan estos perfiles en la subcarpeta Profiles\Username de la carpeta raz del sistema. (Cada usuario tiene su propia subcarpeta.) Para las mquinas en las que se actualiz desde Windows 95 o Windows 98, los perfiles se guardan en una carpeta definida por el usuario en la carpeta Documents and Settings.
Editores del registro

Cuando se necesite cambiar algn valor en el Registro, habr que utilizar algn tipo de editor del Registro. Muchos de los parmetros que se cambian en los paneles de control, objetos de Polticas de grupo o complementos MMC se guardan realmente en el Registro, por eso estas utilidades pueden verse como un tipo de editor del Registro. Otro tipo es un guin escrito a medida que se utiliza para hacer un cambio especfico, quizs como una parte del guin de inicio o un archivo que se distribuye a los usuarios. Sin embargo, la mayor parte de las veces que se quiera realizar un cambio directamente en el Registro, se utilizar una de las dos herramientas que Microsoft incluye con Windows 2000: Regedt32.exe o Regedit.exe. Por qu hay dos editores del Registro en Windows 2000? Por culpa de Windows NT 4. Las distribuciones de Windows NT 3.1, 3.5 y 3.51 incluan un editor del Registro denominado Regedt32. Esta herramienta se construy para manipular las claves y valores del Registro de Windows NT y refleja los estndares para el diseo de interfaces de Microsoft de la poca en la que fueron escritos (1992 ms o menos). Cuando se desarrollaba Windows 95, Microsoft se percat de que Regedt32 no era una apuesta acertada para la interfaz de Windows 95 o para las diferencias estructurales subyacentes entre los registros de los dos sistemas. Dado que Windows 95 necesitaba un editor del Registro tambin, Microsoft desarroll una herramienta de acompaamiento, Regedit, y la distribuy con Windows 95. Para complicar ms an las cosas, Microsoft incluye ambas, Regedt32 y Regedit con Windows NT 4. A pesar de que esto pudiera parecer innecesariamente redundante, es realmente una ventaja, dado que los dos programas poseen habilidades distintas que se complementan. Microsoft continu distribuyendo ambas herramientas como parte de Windows 2000; exceptuando algunos pequeos maquillajes y el arreglo de algunos fallos relacionados con sus tripas, las versiones de Windows 2000 son idnticas a sus predecesoras.
Captulo 23
Regedit y Regedt32 Con dos editores donde poder elegir, cmo saber cul utilizar en una determinada circunstancia? Ambas herramientas poseen las mismas capacidades fundamentales. Permiten:
G G G
Explorar una estructura grfica que representa la jerarqua del Registro. Visualizar y modificar claves, subclaves, valores y entradas, dependiendo siempre de los privilegios de seguridad que se tengan. Conectarse a una computadora remota para la que se tienen privilegios a inspeccionar, o incluso cambiar, las entradas de su Registro.
Sin embargo, s hay algunas diferencias significativas que se enmarcan en la existencia de ciertas funcionalidades en un editor pero no en el otro. Comencemos con Regedt32. Dado que se dise especficamente para Windows NT, presenta algunas funcionalidades muy tiles que se han extendido a Windows 2000:
G G
G G G
Permite la visualizacin y el cambio de ACL de seguridad en las claves del Registro. Permite activar la auditoria en las claves de tal forma que uno pueda averiguar quin ha intentado -o ha conseguido- eliminar, aadir o editar las claves o sus entradas. Soporta todos los tipos de datos de registro descritos anteriormente en el captulo; es ms, permite editar el valor de un tipo utilizando otro editor de tipos (muy til cuando se editan valores REG_BINARY). Posee un modo de slo lectura que permite inspeccionar el Registro sin realizar cambios. Puede cargar o guardar archivos de seccin o claves individuales. Utiliza el paradigma de la interfaz de documentos mltiples (Mltiple Document Interface, MDI), en el que cada clave raz tiene su propia ventana.
En cambio, est Regedit, que fue diseado para hacer uso de la interfaz del estilo Windows 95, por lo que se diferencia un poco de Regedt32. Tambin posee una funcionalidad diferente:
G G
Para una cadena especfica, busca claves, nombres de valores y entradas. Esta funcionalidad no tiene precio y es la primera razn para utilizar Regedit. Utiliza el familiar interfaz de dos paneles del Explorador de Windows, facilitando la comparacin de las ubicaciones de dos claves o valores. Tambin incluye otras caractersticas tpicas del Explorador de Windows, como mens contextuales, edicin in situ y el tambin familiar control en rbol. Importa y exporta claves seleccionadas (y sus elementos subordinados) en un archivo de texto legible para los humanos, en lugar de importar y exportar las claves del Registro en un formato binario. Incluye un men de favoritos (en la versin de Windows 2000), al que se pueden aadir las claves que se editen repetidamente.
Cmo saber qu herramienta utilizar? La mayor parte de las veces las preferencias personales de cada uno dictarn la eleccin. A algunas personas les gusta la forma en que trabaja Regedit, mientras que otras prefieren la interfaz de la vieja escuela de Regedt32. Si se busca la clave que contiene un determinado valor, es mejor utilizar Regedit; por otra parte, si lo que se pretende es asignar permisos de seguridad a una clave, se tendr que utilizar Regedt32. Regedit Cualquier usuario del Explorador de Windows (o de cualquier versin de Windows) conoce el 85 por 100 de lo que se necesita para utilizar Regedit. Esta familiaridad se traduce enteramente a travs del diseo -Microsoft ha intentado que sea una herramienta fcil de usar y por eso ha copiado la interfaz con la que los usuarios ya estn familiarizados.
Captulo 23
Las partes importantes de la interfaz son claramente fciles de entender. Resaltaremos las siguientes caractersticas:
G
El rbol en el panel izquierdo de la ventana Editor del Registro muestra todas las claves y subclaves raz; lo que aqu se visualiza depende de las claves y subclaves que se hayan expandido. El panel derecho muestra los valores asociados a la clave seleccionada en el panel izquierdo. Cada valor se muestra con tres elementos: el nombre del valor (el nombre -Predeterminado- se usa para el valor predeterminado sin nombrar qu tiene cada clave), el tipo del valor y las entradas o informacin del valor. La barra de estado en la parte inferior de la ventana muestra el camino completo de la clave que se encuentre actualmente seleccionada (Regedit puede tambin copiar el camino de la clave al portapapeles utilizando el comando Copiar nombre de clave en el men Edicin).
Dado que estas caractersticas de interfaz estn escritas con los controles estndar de Windows, toda la navegacin con el teclado y la combinacin de teclas de control que uno est acostumbrado a utilizar en el Explorador de Windows funcionan aqu tambin. Por ejemplo, es posible saltar a una clave particular pulsando en algn sitio del panel izquierdo y escribiendo las primeras letras del nombre de la clave. Y tambin se pueden utilizar los cursores para moverse por cualquier panel de la ventana Regedit.
Bsqueda de claves y valores
El comando Buscar en el men Edicin en Regedit vale su peso en oro cuando se necesita buscar qu clave o valor tiene un nombre o entrada especfica. La interfaz de esta funcin no es complicada. A pesar de la sencillez de la interfaz, esta herramienta es extremadamente til. pues permite buscar un valor determinado por todo el Registro. La forma de conseguir lo que uno busca a travs del cuadro de dilogo Buscar es la siguiente:
G
Escribir el patrn de lo que se quiere buscar en el cuadro Buscar. Slo se puede buscar texto ASCII sin formato -los comodines no estn permitidos-. Si lo que se busca son valores, Regedit examina slo los valores de cadena (REG_SZ, REG_EXPAND_SZ y REG_MULTI_SZ) para buscar el patrn deseado. Utilizar las opciones del cuadro Buscar en para controlar los sitios en los que Regedit busca el valor especificado. De manera predeterminada se busca en los nombres de las claves (casilla Claves), los nombres de valor (casilla Valores) y las entradas de valor (casilla Datos), pero esto se puede configurar. La casilla de Slo cadenas completas indica a Regedit que encuentre la cadena de bsqueda completa, no slo una porcin de ella. Por ejemplo, si se hace una bsqueda de Windows con esta casilla seleccionada, en la bsqueda se ignorar HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT.
Cuando se hayan realizado las selecciones en el cuadro de dilogo Buscar, hay que presionar Buscar siguiente para que Regedit comience la bsqueda. Eventualmente ocurrir alguna de estas dos cosas: o bien Regedit alcanzar el final del Registro (en cuyo caso comunicar que no se encontr ninguna
Captulo 23
coincidencia), o bien encontrar una coincidencia. En el ltimo caso, se resaltar dicha coincidencia; si la coincidencia no es exactamente lo que se andaba buscando, el comando Buscar siguiente en el men Edicin (o F3, su acelerador) continuar la bsqueda. Cada vez que se realiza una bsqueda, Regedit comienza al principio de HKEY_CLASSES_ROOT y se abre camino hasta el final de HKEY_CURRENT_CONFIG. No es posible cambiar este orden de bsqueda, por lo que es mejor acostumbrarse a l.
Edicin de las entradas de valor
El comando Modificar del men Edicin permite cambiar los contenidos de la entrada de valor seleccionada (tambin es posible editar un valor seleccionndolo y presionando INTRO). Lo que se ve despus depende del tipo de valor que se est editando; existen cuadros de dilogo de edicin diferentes para los valores de cadena, los valores DWORD y los valores binarios. Regedit permite la edicin de tipos de datos que no soporta, como por ejemplo, REG_FULL_RESOURCE_DESCRIPTOR o REG_MULTI_SZ; para estos tipos, Regedit abre el cuadro de dilogo del editor binario. Los cuadros de dilogo de edicin son directos, esto es, cada uno presenta el valor actual y permite su edicin. Las combinaciones de teclas para los comandos Cortar, Copiar y Pegar tambin funcionan en los cuadros de dilogo de edicin.
Adicin y eliminacin de claves y valores
Regedit permite tambin la adicin y eliminacin de claves, subclaves y valores individuales. Ahora es un buen momento para reiterar el frecuente aviso de Microsoft: la realizacin de cambios innecesarios en el Registro puede daar la computadora. Hay que ser cuidadoso a la hora de aadir informacin y doblemente cuidadoso a la hora de eliminarla. Para agregar una nueva clave como hijo de una clave seleccionada, hay que abrir el men Edicin, apuntar a Nuevo y elegir Clave. Regedit crear una nueva clave y seleccionar su nombre para que se pueda configurar correctamente (el valor predeterminado es Clave nueva #1). La nueva clave tendr automticamente un valor asociado no establecido. Es posible aadir nuevos valores utilizando alguno de los tres comandos restantes en el submen Nuevo: valor alfanumrico, valor binario y valor DWORD. No hay que olvidar que Regedit no puede crear ningn otro tipo de datos, y si se crea un valor binario, los componentes lo interpretarn como un dato no procesado de tipo REG_BINARY Cuando se crea un nuevo valor, ste se aade como un hijo de la clave seleccionada y se le asigna un nombre predeterminado (Valor nuevo #1, Valor nuevo #2, etc.), el cual puede ser inmediatamente cambiado. Una vez que se ha terminado de aadir y nombrar los nuevos valores, se pueden utilizar los cuadros de dilogo de edicin estndar para cambiar sus contenidos por los valores apropiados. La eliminacin de valores y claves es sencilla. Basta con seleccionar el objeto que se desea eliminar y seleccionar Eliminar en el men Edicin o simplemente pulsar la tecla SUPR. Regedit pedir entonces una confirmacin para ejecutar el comando; una vez confirmada, la clave o valor se eliminar inmediatamente.
Importacin y exportacin de informacin del Registro
Es posible importar y exportar informacin del Registro desde Regedit. Los archivos de texto resultantes son fciles de leer, y es posible moverlos de manera segura de una mquina a otra. De hecho, la asociacin predeterminada para los archivos .REG inicia automticamente Regedit y carga el contenido del archivo cuando se pulsa dos veces sobre ste. El comando Exportar archivo del Registro en el men Registro permite guardar la clave seleccionada en un archivo, y el
Captulo 23
comando Importar archivo del Registro hace lo inverso. La importacin de archivos del Registro desde Regedit sucede inmediatamente, es decir, aparece un cuadro de dilogo de confirmacin para indicar si la importacin ha culminado con xito o no, pero no es posible pararla. Sin embargo, si se inicia un archivo .REG pulsando sobre l, s se muestra un cuadro de dilogo de confirmacin.
Conexin al Registro de una mquina remota
Si se ha iniciado una sesin con los permisos adecuados, se puede utilizar Regedit para conectarse al Registro de otra computadora para inspeccionarlo o editarlo. Para conseguirlo es necesario disponer de privilegios de administracin en ambas mquinas, la mquina donde se ha iniciado una sesin y la otra mquina cuyo Registro se quiere inspeccionar/editan Es ms, la Directiva de grupos puede impedir este acceso. Asumiendo que las credenciales se encuentran en orden, la conexin a la mquina remota se realiza realmente seleccionando Conectarse al Registro de red en el men Registro. Este comando permite explorar la red para encontrar la mquina a la que desea conectarse; una vez que se haya realizado la conexin con xito, aparece el nombre de la computadora en el panel izquierdo al mismo nivel que Mi PC. A partir de aqu es posible expandir su clave raz, fisgar en las subclaves, buscar y modificar los datos. Cuando se termine, hay que elegir Desconectar del Registro de configuraciones de red en el men Registro para seleccionar la computadora de la que quiere desconectarse.
Cambiar nombres de claves y valores
Es posible cambiar el nombre de una clave o valor seleccionando Cambiar nombre en el men Edicin. En la mayora de los casos, no se querr ni se necesitar hacer esto. Dado que el software busca valores de nombre especficos, cambiar el nombre de uno de ellos no es una buena idea. Sin embargo, cuando se aaden claves o valores basndose en las recomendaciones de los artculos de Microsoft Knowledge Base, es posible que se deletree mal el nombre (o incluso peor, teclearlo correctamente pero descubrir que el nombre en el artculo de Knowledge Base es errneo!), y el comando Cambiar nombre se convierte entonces en la nica alternativa posible para borrar y reproducir la clave. Regedt32 Regedt32 es una herramienta ms sofisticada y potente que Regedit, pero un poco ms compleja de utilizar. Se puede observar que el interfaz de usuario no se asemeja al Explorador de Windows. Esto se debe a que Regedt32 utiliza el interfaz MDI antiguo donde cada clave raz tiene su propia ventana hija. Esta
Captulo 23
composicin es realmente una ventaja, ya que permite hacer iconos de las ventanas que no se estn utilizando (especialmente cuando se conecta con una mquina remota).
Edicin de entradas de valor
Para editar un valor, basta con pulsar sobre l dos veces. Esto hace que el cuadro de dilogo del editor apropiado se abra. Esto es bastante fcil y los editores son fciles de comprender -exceptuando el editor de REG_FULL_RESOURCE_DESCRIPTOR-. Pero no importa, ya que no se deben editar elementos en HKEY_LOCAL_MACHINE\HARDWARE de todas formas, especialmente dado que las modificaciones no se guardan. Regedt32 tambin permite editar un elemento como si fuera de un tipo diferente. Por ejemplo, es posible editar un REG_SZ como informacin binaria o un REG_DWORD como una cadena. La mayor parte de las veces esto no resultar de gran utilidad, pero quizs algn da se pueda aprovechar esta funcionalidad para hacer algo, como editar una mscara de bits guardada como un REG_DWORD. Para editar se deben usar los cuatro comandos del men Edicin: hay uno por cada tipo de dato (Binario, Cadena, DWORD y Cadena mltiple). Cuando se utilicen estos editores de tipos de datos, no conviene olvidar que:
G
En el Editor binario se pueden visualizar los elementos en binario o hexadecimal. El editor marca los desplazamientos en la informacin mostrando una acotacin del desplazamiento de 32 bytes en la izquierda y una escala de 0 a 31 en la parte superior. Esto facilita la localizacin de bytes con un desplazamiento especfico si es necesario. El Editor de cadenas mltiples permite introducir una cadena por lnea utilizando las teclas RETORNO DE CARRO a INTRO para saltar a la siguiente lnea. El Editor de DWORD permite la entrada de valores en binario, hexadecimal y decimal. El cuadro de dilogo de este editor ignora las pulsaciones de teclas ilegales (como la del 2 cuando se edita un valor binario)
Al igual que ocurre con Regedit, Regedt32 no comprueba la legalidad de los valores que se introducen; por eso el usuario debe asegurarse de que stos son correctos.
Adicin de claves y valores
Para aadir una clave, se selecciona la clave por debajo de la cual se quiere que aparezca. Por ejemplo, para aadir una subclave a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ESENT, se tendra que seleccionar la clave y despus elegir Agregar clave en el men Edicin. Esto abre un cuadro de dilogo donde se puede introducir el nombre de la nueva clave. Una vez que sta haya sido nombrada, la nueva clave aparece inmediatamente.
Captulo 23
Al contrario que Regedit, Regedt32 no aade automticamente un valor sin nombrar a la nueva clave, por lo que si se necesita el valor predeterminado por alguna razn, se tendr que aadir manualmente. Para aadir un valor, se utiliza el comando Agregar valor en el men Edicin. Para aadir un valor, hay que realizar los siguientes pasos: 1. Seleccionar la clave a la que se quiere agregar el valor y despus utilizar el comando Agregar valor. Esto hace que se muestre el cuadro de dilogo Agregar valor. 2. Introducir el nombre del nuevo valor en el cuadro de texto Nombre de valor. (Dejarlo en blanco si se quiere aadir el valor predeterminado <No Name>.) 3. Utilizar el cuadro de lista Tipo de datos para seleccionar el tipo del nuevo valor. Presionar el botn Aceptar. El cuadro de dilogo del editor de tipos apropiado aparece; el tipo de editor que se muestre depende del tipo especificado en el campo Nombre de valor. 4. Introducir el dato que se quiera almacenar en el valor y a continuacin presionar Aceptar para guardar el nuevo valor, o Cancelar para dejar el Registro intacto.
Eliminacin de claves y valores
Regedt32 permite eliminar claves (y todos sus elementos subordinados) o un simple valor -basta con seleccionar el elemento a eliminar y a continuacin presionar la tecla SUPR (o seleccionar Eliminar en el men Edicin)-. Regedt32 pide una confirmacin de lo que se est realizando de manera predeterminada; si se prefiere, es posible ahorrarse este paso deshabilitando el comando Confirmar eliminacin en el men Opciones (aunque se recomienda encarecidamente que se deje habilitado).
Carga, descarga e importacin de datos del Registro
Regedt32 ofrece dos formas de intercambiar informacin entre el Registro y un archivo de disco externo. La primera es cargando y guardando conjuntos individuales de claves con los comandos del Registro Guardar clave y Restaurar, y la segunda es cargando y descargando archivos de seccin enteros con los comandos Cargar seccin y Descargar seccin (en el men Registro). Cul es la diferencia? Hay que recordar que los archivos de seccin son entidades autnomas que contienen un conjunto particular de claves. Cuando se guarda una clave con el comando Guardar clave, realmente se est creando un nuevo archivo de seccin que coexiste con las secciones predefinidas al mismo nivel expuestas anteriormente en el captulo. Posteriormente, la seccin puede recomponerse de dos formas: creando una nueva clave dentro de la seccin existente (esto es lo que hace el comando Cargar seccin) o sobrescribir una clave con los contenidos de la seccin guardada tal y como hace Restaurar. Crear una nueva seccin con un conjunto de claves guardadas es fcil: basta con seleccionar la clave que se quiera guardar y a continuacin elegir el comando Guardar clave en el men Registro. Cuando se indique, se introduce el nombre del nuevo archivo de seccin y Regedt32 se encarga de guardarlo. La seccin no podr guardarse si no se dispone de los permisos adecuados para todas las subclaves de la clave seleccionada; por ejemplo, incluso cuando se inicia una sesin como administrador, no es posible guardar HKEY_LOCAL_MACHINE\HARDWARE a una seccin. Una vez que se ha guardado el archivo de seccin, es posible cargarlo dentro de una nueva clave o por encima de una clave que ya existe. Para cargar el archivo de seccin en una nueva clave, hay que seleccionar la clave raz HKEY_LOCAL_MACHINE o HKEY_USERS y a continuacin elegir Cargar seccin en el men Registro. (El resto del tiempo esta opcin se encuentra deshabilitada.) Cuando se indica, se escoge el archivo de seccin que se quiere cargar y el nombre de la nueva clave donde ste se va a cargar.
Captulo 23
Para cargar un archivo de seccin por encima de una clave existente, hay que seleccionar la clave que se quiera sobrescribir y a continuacin elegir Restaurar en el men Registro; una vez que se haya elegido el archivo y se haya confirmado que se est preparado para eliminar la clave seleccionada, Regedt32 cargar la seccin y reemplazar todos los contenidos que existen en las claves con los contenidos de la seccin (siempre, naturalmente, que se disponga de los permisos para poder realizar esto). Por ejemplo, pongamos que se guardan los contenidos de HKEY_LOCAL_MACHINE\SOFTWARE\AOL en un archivo de seccin. Si se selecciona HKEY_LOCAL_MACHINE y se utiliza el comando Cargar seccin, se puede crear una nueva clave (denominada, quizs, AOL) donde se guardan los contenidos originales. Si se selecciona la copia existente de HKEY_LOCAL_MACHINE\SOFTWARE\AOL y se utiliza el comando Restaurar, entonces todo lo que haya en la clave antes de restaurar el archivo se pierde.
Conexin al Registro de una mquina remota
Para conectarse a una mquina remota utilizando Regedt32, hay que elegir Seleccionar equipo en el men Registro. El cuadro de dilogo Seleccionar equipo se abre para que se pueda seleccionar el dominio o grupo de trabajo deseado y el Registro de la mquina que se quiera administrar. Una vez hecho esto, si se dispone de acceso administrativo a la mquina, se estar conectado; es posible que se visualice un cuadro de dilogo en el que se advierte de que las claves del Registro de la mquina remota no se cambiarn automticamente. Cuando se cierra este mensaje de confirmacin, aparecen otras dos ventanas MDI: una para HKEY_LOCAL_MACHINE y otra para HKEY_USERS. Cada ttulo de cada ventana incluye el nombre de la mquina remota (por ejemplo, HKEY_LOCAL_MACHINE en FALCON) para que se pueda identificar qu tipo de informacin se encuentra en cada una de ellas. Una vez que se hayan abierto estas ventanas, se puede navegar y editar de la misma forma que en la mquina local (condicionado, naturalmente, a que se disponga de los permisos de edicin de las claves). Cuando se establece una conexin con una mquina remota, se est efectuando realmente una conexin de tipo llamada a un procedimiento remoto (Remote Procedure Call, RPC), que se mantiene abierta hasta que se utiliza el comando Cerrar para cerrar la ltima ventana que muestra informacin de ese servidor.
Administracin de la seguridad en las claves del Registro
Regedt32 permite fijar la seguridad de las claves del Registro seleccionando una clave y eligiendo el comando Permisos del men Seguridad. Todo lo aprendido sobre configuracin de permisos de archivos es vlido aqu tambin, y las operaciones bsicas funcionan del mismo modo: se selecciona un objeto y a continuacin se conceden o deniegan privilegios especficos a usuarios y grupos concretos. En el cuadro de dilogo Permisos, se muestran cinco principios de seguridad: Administradores, Usuarios, CREATOR OWNER, Usuarios avanzados y SYSTEM. Los contenidos exactos que se visualizan en la computadora varan dependiendo de la plantilla de seguridad que se haya aplicado; las plantillas ms restrictivas podran cambiar estos permisos significantemente. El cuadro de dilogo Permisos permite conceder y denegar permisos de Lectura y Control total a las claves. Sin embargo, en general, no deber hacerse uso de esto en las claves que sean propiedad del sistema; es por ello que Windows incluye las plantillas de seguridad. Resulta sumamente sencillo configurar un permiso accidentalmente de forma tan restrictiva que se consiga que el software que necesita acceso al Registro no pueda tenerlo, y al contrario, es posible que se configuren permisos que son innecesariamente relajados.
Captulo 23
Cuando se configuran los permisos utilizando el cuadro de dilogo Permisos, hay que fijarse en si se habilita o no la opcin de Hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto. Esta opcin se encuentra habilitada de manera predeterminada, de forma que cuando se aplican nuevos permisos, se propagan automticamente a todas las subclaves de la clave seleccionada. Dependiendo del nivel en el que se apliquen estos permisos, la herencia puede tener consecuencias no deseadas -si se relajan los permisos de una clave, podran relajarse accidentalmente los permisos de una subclave que deba mantenerse segura-. Antes de cambiar los permisos de cualquier clave, hay que asegurarse de hacer una copia de seguridad correcta del Registro, as como de anotar los cambios que se han realizado para poder deshacerlos ms tarde. Las configuraciones pertenecientes a las aplicaciones son, naturalmente, otra historia. En Windows NT 4 la nica forma para determinar los permisos adecuados de la mayora de las claves de las aplicaciones es expandirlas todo lo posible para a partir de ah comenzar a relajar los controles gradualmente de abajo arriba hasta que la aplicacin funcione correctamente. Desafortunadamente, este enfoque se requiere tambin en Windows 2000. Cuando se pulsa sobre el botn Avanzada del cuadro de dilogo Permisos, se muestra el cuadro de dilogo Configuracin de control de acceso que aglutina a tres fichas. Cada ficha tiene un significado especial para las claves del Registro:
G
El botn Ver o modificar de la ficha Permisos permite asignar a usuarios particulares ms permisos granulares. Por ejemplo, es posible ajustar quin puede crear nuevos valores en una clave modificando el parmetro de permiso Establecer valor. Es posible que no se puedan realizar cambios aqu sin deshabilitar la herencia, dado que la mayor parte de los registros obtiene sus permisos de esta forma.
Captulo 23
Consultar valor: Permite al usuario consultar el Registro para un valor especfico dando el camino completo a ese valor. H Establecer valor: Permite al usuario crear nuevos valores por debajo de una clave o sobrescribir un valor existente. H Crear subclave: Permite al usuario crear una nueva subclave por debajo de la clave especificada. H Enumerar subclaves: Permite al usuario obtener una lista de todas las subclaves de una clave particular; similar a un recorrido de directorios de un volumen NTFS. H Notificar: Permite al usuario registrar una funcin de respuesta que se dispara cuando el valor seleccionado cambia. H Crear vnculo: Permite al usuario crear un vnculo a una clave especfica (de la misma forma que HKEY_CLASSES_ROOT se vincula a HKEY_LOCAL_MACHINE\Classes). H Eliminar: Permite al usuario eliminar una clave o valor individual. H Escribir DAC Permite al usuario rescribir los controles de acceso de una clave especfica. H Escribir propietario: Permite al usuario convertirse en el propietario de la clave seleccionada. H Controles de lectura: Permite al usuario leer la lista de control de acceso discrecional (Discretionary Access Control List, DACL) para un valor especfico. H La ficha auditoria permite establecer permisos de auditoria para la clave seleccionada. Primero, se especifican los usuarios y grupos cuyas acciones se pretende auditar; entonces se especifica qu acciones particulares se quieren guardar. Es posible auditar los intentos fallidos y exitosos del ejercicio de estos permisos. La ficha auditoria permite establecer permisos de auditoria para la clave seleccionada. Primero, se especifican los usuarios y grupos cuyas acciones se pretende auditar; entonces se especifica qu acciones particulares se quieren guardar. Es posible auditar los intentos fallidos y exitosos del ejercicio de
H
Captulo 23
estos permisos. La ficha Propietario permite reasignar al propietario de la clave seleccionada, con o sin propagar los cambios a todos los subelementos por debajo de ella. Un cambio de propietario puede desencadenar la generacin de una huella de auditoria dependiendo de los parmetros de configuracin de seguridad.
Algunos trucos tiles
Existen cuatro comandos muy tiles de Regedt32 que no se ajustan a ningn punto de esta exposicin:
G
Regedt32 no puede buscar valores, pero s buscar una clave con un nombre especificado. El comando Buscar clave en el men Ver permite buscar en el Registro el nombre de una clave en particular (comenzando con la clave seleccionada y procediendo hacia arriba o abajo). Las bsquedas pueden distinguir entre maysculas y minsculas o no, y se puede elegir entre buscar el texto suministrado completo o como parte de otro nombre. Ya hemos trabajado tmidamente con el comando Confirmar eliminacin del men Opciones. Cuando se selecciona (tal y como est de manera predeterminada), Regedt32 pide que se confirme la intencin de eliminar una clave. El comando Slo lectura del men Opciones conmuta Regedt32 entre el modo de slo lectura y el normal. El modo de slo lectura es una gran bendicin, ya que evita que se causen daos al Registro cuando se encuentra habilitado. Posibilita que se pueda aprender explorando sin que se corran riesgos de causar daos accidentales. El comando Actualizacin automtica del men Opciones controla la posibilidad de que Regedt32 actualice automticamente las ventanas de las claves races peridicamente. Esta opcin se encuentra habilitada de manera predeterminada, por lo que Regedt32 actualiza por s mismo las ventanas locales. En las mquinas donde se produzcan muchos cambios en los registros, podra considerarse la posibilidad de deshabilitar las actualizaciones automticas y utilizar los comandos Actualizar todo y Actualizar la activa del men Ver para disparar las actualizaciones slo cuando se necesiten.
Copia de Seguridad y Recuperacin del Registro

Copia de seguridad de Windows 2000 para copiar y restaurar el estado general del sistema difiere un poco de Windows NT, donde se puede hacer fcilmente una copia de seguridad del Registro creando un disco de reparaciones ante emergencias (Emergency Repair Disk, ERD) o ejecutando Ntbackup y habilitando la opcin de Incluir Registro local. Estas diferencias se deben al Active Directory. En Windows NT, una copia de seguridad del Registro contiene una copia de la base de datos SAM de la mquina local (al igual que una copia del dominio SAM cuando se realiza una copia de seguridad del controlador de dominios). En una red que utilice Active Directory, el directorio contiene la mayor parte de la informacin existente formalmente en el SAM, que es la razn por la que para los controladores de dominio se tenga que realizar un proceso de recuperacin en dos fases. Como consecuencia de la forma en que estos cambios se han implementado, el disco de reparacin ante emergencias ya no contiene la informacin del Registro -la nica copia de seguridad propia de la computadora est en la carpeta %SystemRoot%\Repair-. Dado que ya no es posible guardarse las espaldas con los ERD, es extremadamente importante la realizacin de copias de seguridad regulares y tiles. Seleccin de un mtodo de copia de seguridad Dado que el Registro es algo ms que un archivo ordinario, tiene sentido otorgar a los procedimientos de copia de seguridad y restauracin una dedicacin en tiempo superior a la normal. Es posible hacer copias de seguridad y restauracin del Registro de otras formas aparte de haciendo copias de seguridad completas
Captulo 23
del estado del sistema entero. Naturalmente, esto no excluye el seguir haciendo copias de seguridad regulares de los datos personales, as como de los estados del sistema de cada computadora que se administre. La copia de seguridad del Registro por s sola es muy til, dado que es en ste donde la mayor parte de las aplicaciones y los componentes del sistema guardan sus preferencias y parmetros de configuracin. Copia de seguridad de Windows 2000 Cuando se utiliza la Copia de seguridad de Windows 2000 para hacer una copia del estado del sistema, sta incluye una copia completa del Registro de la mquina. Tambin incluye copias del volumen del sistema (en controladores de dominio), datos de certificacin, informacin de Registro de las clases COM+, as como otra informacin ajena a lo que es el Registro. Por otro lado, la Copia de seguridad de Windows 2000 automatiza el proceso de realizar una copia de seguridad del Registro, de forma que sea fcil de utilizar y comprender. Adems, el guardar la informacin del Registro con el resto de la informacin del servidor permite restaurar todo sin tener que recurrir a CD de otros fabricantes, controladores y otras cosas relativas. El Disco de reparacin ante emergencias El Disco de reparacin ante emergencias (Emergency Repair Disk, ERD) de la Copia de seguridad de Windows 2000 permite tambin hacer una copia de seguridad del Registro; la mayora de los administradores de Windows NT utilizan esto como primera lnea de defensa contra los fallos, dado que las herramientas de reparacin incluidas en Windows NT 4 pueden restaurar la informacin del Registro desde un ERD. Windows 2000 utiliza los ERD tambin, pero no incluyen la informacin del Registro. Cuando se utiliza la Copia de seguridad de Windows 2000 para crear un ERD, debe especificarse que se desea hacer una copia de seguridad del Registro y esta informacin no se almacena directamente en el disco del ERD (hace falta guardar manualmente una copia y entonces reemplazar durante la restauracin los archivos de Registro copindolos empleando la consola de recuperacin). Copias de seguridad manuales Dado que Regedt32 permite cargar y descargar archivos de seccin y claves, es posible aproximarse a lo que hace la Copia de seguridad de Windows 2000 guardando manualmente en un archivo de seccin las claves en las que se est ms interesado, copiando los archivos resultado en algn lugar seguro y cargndolos de nuevo si se necesitan. Esta aproximacin es correcta, pero requiere mucho trabajo dado que al no ser posible informar a Regedt32 de las claves que se quieren guardar, no hay forma de automatizar el proceso. Copia de seguridad del Registro El proceso de copia de seguridad de Windows 2000 es terriblemente sencillo (es una gran mejora respecto a Windows NT 4).
Copia de seguridad de Windows 2000
El Captulo 4 trataba los mecanismos necesarios para realizar una copia de seguridad y restauracin del estado del sistema, del cual el Registro es una parte pequea pero crtica. Quien se encuentre confortable con el proceso de realizacin y restauracin de la copia de seguridad del estado del sistema con la Copia de seguridad de Windows 2000 se encuentra en buena en forma. Sin embargo, podra ordenarse un resumen rpido. 1. Ejecutar la aplicacin de Copia de seguridad de Windows 2000; cuando aparezca, pulsar la pestaa de Copia de seguridad. 2. Especificar el dispositivo de copia de seguridad o la ubicacin que se quiera emplear con las opciones de Destino de la copia de seguridad o Hacer copia
Captulo 23
de seguridad del medio o del archivo. 3. Si es necesario, expandir el icono de Mi PC. 4. Seleccionar la opcin de Estado del sistema (hay que recordar que los elementos del estado del sistema estn relacionados entre s y no pueden copiarse por separado). 5. Pulsar el botn Iniciar. Cuando el sistema copia la informacin del estado del sistema, se incluyen los archivos del Registro permitiendo su recuperacin posterior.
Grabacin de una copia del Registro
Cuando se crea un ERD, la Copia de seguridad de Windows 2000 ofrece la posibilidad de copiar el Registro. Cuando se selecciona esta opcin, una copia extra de los archivos de seccin del Registro se almacena en la carpeta %SystemRoot%\Repair\REGBACK. Adems de los archivos de seccin estndar (SECURITY, SAM, SYSTEM, SOFTWARE, DEFAULT, Ntuser.dat y Usrclass.dat), se pueden observar los archivos representativos de las secciones que se hayan cargado manualmente en el Registro. Cuando la Copia de seguridad de Windows 2000 termina de copiar estos archivos, stos quedan a disposicin del usuario -el usuario puede moverlos, copiarlos, hacer una copia de seguridad de ellos o cualquier otra cosa que se quiera-. En particular, se pueden comprimir y guardar en un disquete, as como mover a cualquier medio extrable que se tenga a mano. Si las copias de seguridad se guardan en formato comprimido o en un medio que requiera un dispositivo especial, hay que asegurarse de que sea posible acceder a estos archivos cuando se est recuperando la mquina.
Recuperacin del Registro
Si se dispone de una copia de seguridad en la carpeta %SystemRoot%\Repair\REGBACK, la Consola de recuperacin puede utilizarse para restaurar la copia de seguridad del Registro. Cuando se ejecuta la Consola de recuperacin, se pueden copiar los archivos de Registro necesarios para restaurarlos en su ubicacin normal en disco y a continuacin reiniciar la mquina. No hay que olvidar que al hacer esto se eliminan todos los cambios que se hayan realizado desde el momento en que se cre la copia de seguridad.
Captulo 24
Captulo 24
Una de las ms usadas y nuevas funcionalidades para la recuperacin de Windows 2000 es la Consola de Recuperacin. sta es bsicamente una mejora, preparada para NTFS e indicador de comandos seguro que pude utilizarse para copiar archivos, iniciar y detener servicios, as como para realizar otras acciones de recuperacin si no se puede iniciar el sistema utilizando el nuevo modo seguro de Windows 2000. La consola de recuperacin puede usarse siempre desde los cuatro discos de configuraciones o el CD-ROM: sin embargo, tambin puede instalarse como una opcin ms en el men de inicio, para que se pueda utilizar aquellas veces en las que no se pueda iniciar Windows 2000 en el modo seguro. Para instalar la Consola de recuperacin: 1. Desde Windows 2000, Windows NT o Windows 95/98 insertar el CD de Windows 2000. 2. Cerrar el cuadro de autoarranque 3. Pulsar inicio y despus ejecutar, teclear: d:\i386\winnt32 /cmdcons, donde d: es la unidad donde se encuentra el CD-ROM de Windows 2000 4. Presionar Aceptar.
Consola de recuperacin
Para iniciar la Consola de recuperacin, se puede utilizar cualquiera de los mtodos siguientes:
G
Encender el equipo con los discos de instalacin de Windows 2000 o con el CD-ROM de Windows 2000. En la pantalla de bienvenida a la instalacin, hay que pulsar F10 o pulsar R para reparar y, a continuacin, C para iniciar la Consola de recuperacin. Aadir la Consola de recuperacin a la carpeta Inicio utilizando Winnt32.exe con la opcin /cmdcons . Esto necesita aproximadamente 7 Mb de espacio de disco en la particin del sistema para almacenar el archivo cmdcons y sus archivos. Si se est usando rplica software, vase el artculo siguiente en la Base de conocimientos de Microsoft: Q229077 Mirroring prevents pre-installing the Recovery Console Seguir las instrucciones del siguiente artculo de la Base de conocimientos de Microsoft: Q222478 Template lo Run Recovery Console Using a Remote Install Server
Utilizacin del intrprete de comandos Tras iniciar la Consola de recuperacin, se recibir el siguiente mensaje: Consola de recuperacin de Microsoft Windows 2000(TM).
Captulo 24
La consola de recuperacin ofrece funcionalidad para Recuperacin y reparacin del sistema. Escriba EXIT para salir de la consola de recuperacin y reiniciar el equipo. 1: C:\WINNT En qu instalacin de Windows 2000 desea iniciar sesin (para cancelar, presione INTRO)? Tras introducir el nmero de la instalacin de Windows 2000 apropiada, introducir la contrasea de la cuenta Administrador Ntese que si se usa una contrasea incorrecta tres veces, la Consola de recuperacin termina. Tambin, si la base de datos SAM se ha perdido o est daada, no se podr usar la Consola de recuperacin porque no se puede autenticar correctamente. Despus de que se introduzca la contrasea y se inicie la Consola de recuperacin, al introducir exit el equipo se reinicia. Restricciones y limitaciones de la Consola de recuperacin Desde la Consola de recuperacin slo pueden usarse las siguientes carpetas:
G G
G G
La carpeta raz. La carpeta %SystemRoot% y las subcarpetas de la instalacin de Windows 2000 de la que se tiene sesin iniciada actualmente. La carpeta Cmdcons. Unidades de medios extrables como unidades CD-ROM. Si se intenta obtener acceso a otras carpetas, se obtiene un mensaje de error Acceso denegado. Adems, mientras se est en la Consola de recuperacin, no se puede copiar un archivo del disco duro local a un disquete. Se puede copiar un archivo de un disquete o CD-ROM a un disco duro y de un disco duro a otro disco duro.
Comandos disponibles
HELP
HELP lista todos los siguientes comandos soportados: ATTRIB BATCH DEL DELETE EXPAND FIXBOOT MAP MD RMDIR SYSTEMROOT
Captulo 24
CD CHDIR CHKDSK CLS COPY

ATTRIB
DIR DISABLE DISKPART ENABLE EXIT
FIXMBR FORMAT HELP LISTSVC LOGON
MKDIR MORE RD REN RENAME
TYPE
El comando ATTRIB junto a cualquiera de los siguientes parmetros puede cambiar atributos de un archivo o carpeta:
G G G G G G G
-R +R -S +S -H +H -C +C +Activa un atributo -Desactiva un atributo R Atributo de slo lectura S Atributo de archivo de sistema H Atributo de archivo oculto C Atributo de archivo comprimido
BATCH
BATCH archivo de entrada [archivo de salida] Ejecuta comandos especificados en un archivo de texto.
G G
archivo de entrada: Especifica el archivo de texto que contiene la lista de comandos a ejecutar. archivo de salida: Si se especifica, contiene la salida de los comandos especificados. Si no se especifica, la salida se muestra en la pantalla.
CD y CHDIR
CD y CHDIR [unidad:] [...] [camino] Los comandos CD y CHDIR cambian la carpeta. CD .. especifica que se quiere cambiar a la carpeta padre. Introducir CD unidad: para mostrar la carpeta actual en la unidad especificada. Escribir CD sin parmetros para mostrar la unidad y carpeta actuales. Los comandos CD y CHDIR tratan los espacios como delimitadores. Por eso se deben poner entre comillas los nombres de subcarpetas que contengan espacios. Por ejemplo: CD < \winnt\profiles\usuario\men inicio> El comando CHDIR slo opera en las carpetas de sistema de la instalacin actual de Windows 2000, soportes extrables, la carpeta raz de cualquier particin de disco duro o las fuentes de instalacin
Captulo 24
locales.
CHKDSK
CHKDSK [unidad: ] [lP] [lR] Verifica y, si es necesario, repara o recupera una unidad. Tambin marca sectores en mal estado y recupera informacin legible. unidad: Especifica la unidad a verificar. La opcin /P ordena a CHKDSK que haga una verificacin exhaustiva de la unidad incluso aunque a la unidad no se le haya marcado con problemas y que corrija cualquier error que encuentre. La opcin /R encuentra sectores en mal estado y recupera la informacin legible. Advirtase que especificar la opcin /R supone la opcin /P. CHKDSK puede usarse sin argumentos, en cuyo caso se supone la unidad actual sin opciones. Opcionalmente, se aceptan las opciones listadas. El comando CHKDSK requiere el archivo Autochk.exe. CHKDSK localiza este archivo automticamente en la carpeta de inicio. sta sera tpicamente la carpeta Cmdcons si la Consola de recuperacin se hallara preinstalada. Si no se puede encontrar en la carpeta de inicio, CHKDSK trata de localizar el soporte de instalacin CD-ROM de Windows 2000. Si no se puede encontrar el soporte de instalacin, CHKDSK pregunta al usuario por la ubicacin del archivo Autochk.exe.
CLS
Borra la pantalla.
COPY
COPY [origen] [destino] Copia un archivo.

G
origen: Especifica el archivo a copiar. No se permiten comodines ni copias de carpetas. Un archivo comprimido del CD-ROM de Windows 2000 se descomprime automticamente al copiarse. destino: Especifica la carpeta o nombre de archivo para el nuevo archivo. Si no se especifica, se toma de manera predeterminada la carpeta actual. Si el archivo ya existe, se pregunta si se sobrescribe.
DEL y DELETE
DEL [unidad:] [camino] [nombre de archivo] DELETE [unidad: ] [camino] [nombre de archivo] Borra un archivo.
Captulo 24
G
unidad: camino nombre de archivo: Especifica el archivo a borrar.
El comando DELETE slo opera en las carpetas del sistema de la instalacin actual de Windows 2000, soportes extrables, la carpeta raz de cualquier particin de disco duro o las fuentes de instalacin locales. El comando DELETE no acepta caracteres comodn (*).
DIR
DIR [unidad: ] [camino] [nombre de archivo] Muestra una lista de los archivos y subcarpetas de una carpeta.
G
unidad: camino nombre de archivo Especifica la unidad, carpeta y/o archivos a mostrar. El comando DIR lista todos los archivos incluyendo los ocultos y de sistema. Los archivos pueden tener los siguientes atributos: H D - Directorio H R - Archivo de slo lectura H H - Archivo oculto H A - Archivos listos para archivar H S - Archivo de sistema H C - Comprimido H E - Cifrado H P - Punto de reanlisis
El comando DIR slo opera en las carpetas del sistema de la instalacin actual de Windows 2000, soportes extrables, la carpeta raz de cualquier particin de disco duro o las fuentes de instalacin locales.
DISABLE
DISABLE nombre de servicio El comando DISABLE desactiva un servicio de sistema o controlador de Windows 2000. nombre_de_servicio El nombre del servicio o controlador a desactivar. Hay que usar el comando LISTSVC para mostrar todos los servicios o controladores que cumplen los requisitos para ser desactivados. DISABLE muestra el antiguo tipo_inicio del servicio antes de ponerlo en SERVICE DISABLED. As, se debera registrar el tipo inicio antiguo, por si es necesario reactivar elservicio. Los valores de tipo_inicio que el comando DISABLE muestra:
G
SERVICE_DISABLED
Captulo 24
G G G G
SERVICE_BOOT_START SERVICE_SYSTEM_START SERVICE_AUTO_START SERVICE_DEMAND_START
DISKPART
DISKPART [/add] [/delete] [nombre de dispositivo I nombre de unidad I nombre de particin] [tamao] Hay que usar el comando DISKPART para administrar las particiones de los discos duros.
G G G
/add: Crear una particin nueva. /delete: Borrar una particin existente. nombre de dispositivo Nombre del dispositivo: para crear una particin nueva. El nombre puede obtenerse de la salida del comando MAP Por ejemplo: \Device\HardDisk0 nombre de unidad: Esto es un nombre basado en una letra de unidad para el borrado de una particin existente. Por ejemplo: D: nombre de particin: Esto es un nombre de particin para el borrado de una particin existente y se puede usar en lugar del argumento nombre de unidad. Por ejemplo: \Device\Hard\Disk0\Partition1 tamao: Tamao de la particin nueva en megabytes. Si no se usan argumentos, aparece una interfaz de usuario para administrar las particiones.
ENABLE
ENABLE nombre de servicio [tipo_inicio] Se puede usar el comando ENABLE para activar un servicio del sistema o controlador de Windows 2000. nombre de servicio El nombre del servicio o controlador a activar. Hay que usar el comando LISTSVC para mostrar todos los servicios o controladores que cumplen los requisitos para ser activados. El comando ENABLE muestra el antiguo tipo inicio del servicio antes de ponerlo en su nuevo valor. As, se debera registrar el tipo inicio antiguo, por si es necesario restaurar el tipo inicio del servicio. Son valores de tipo_inicio vlidos:
G G G G
SERVICE_BOOT_START SERVICE_SYSTEM_START SERVICE_AUTO_START SERVICE DEMAND START
Captulo 24
Si no se especifica un tip inicio nuevo, ENABLE muestra el tip inicio antiguo.

EXIT
Se puede usar el comando EXIT para salir de la Consola de recuperacin y reiniciar el equipo.
EXPAND
EXPAND origen [/F: especifacacin de archivo] [destino] [/Y] EXPAND origen [/F: especificacin de archivo] /D Expande un archivo comprimido. origen Especifica el archivo a expandir; no puede incluir comodines.
G
G G
destino Especifica la carpeta para el nuevo archivo. De manera predeterminada, es la carpeta actual. /F:especificacin de archivo Si el origen contiene ms de un archivo, se requiere este parmetro para identificar el archivo o los archivos a expandir; puede incluir comodines. /Y No preguntar artes de sobreescribir un archivo existente. /D No expandir; slo mostrar una carpeta de los archivos contenidos en el origen.
El destino puede ser cualquier carpeta de las carpetas de sistema de la instalacin actual de Windows 2000, la raz de cualquier unidad, las fuentes de instalacin locales o la carpeta Cmdcons, pero no soportes extrables. El archivo destino no puede ser de slo lectura.
FIXBOOT
FIXBOOT unidad Escribe el nuevo cdigo de sector de inicio de Windows 2000 en la particin de inicio. Esto arregla problemas cuando el sector de inicio de Windows 2000 est daado. El proceso de reparacin de emergencia tambin arregla el sector de inicio.
G
unidad: Letra de unidad donde se escribir el sector de inicio. Esto anula la opcin predeterminada que es escribir en la particin de inicio del sistema. El comando FIXBOOT slo se soporta en la plataforma x86.
FIXMBR
FIXMBR nombre de dispositivo Repara el sector de inicio principal (Master Boot Record, MBR) de la particin de inicio. Se usa en
Captulo 24
situaciones en las que un virus haya daado el MBR y Windows 2000 no pueda iniciarse. Este comando es capaz de daar las tablas de particin si hay un virus presente o existe algn problema de hardware. Este comando puede llevar a dejar particiones inaccesibles. Microsoft recomienda ejecutar programas antivirus antes de usar este comando.
G
nombre de dispositivo: Nombre de dispositivo opcional que especifica el dispositivo que necesita un MBR nuevo. El nombre puede obtenerse de la salida del comando MAP Si se deja en blanco, se arregla el MBR del dispositivo de inicio. Por ejemplo:
FIXMBR \device\harddisk2 Si FIXMBR detecta una firma de tabla de particin no vlida o que no se ajuste al estndar, pide al usuario confirmacin antes de reescribir el MBR. El comando FIXMBR slo se soporta en la plataforma x86.
FORMAT
FORMAT [unidad: ] [/Q] [/FS: sistema de archivos] Da formato a la unidad especificada con el sistema de archivos especificado. unidad: Letra de unidad de la particin a la que se quiere dar formato.
G G
/Q: Realiza una operacin de dar formato rpidamente a la unidad. /FS: sistema de archivos: Especifica el tipo de sistema de archivos a utilizar: FAT, FAT32 o NTFS. Si no se especifica ninguno, se usa el sistema de archivos existente cuando ste se encuentra disponible.
LISTSVC
El comando LISTSVC lista todos los servicios disponibles, controladores y sus tipos de inicio para la instalacin actual de Windows 2000. Esto puede ser til al usar los comandos DISABLE y ENABLE. stos se extraen de la seccin %SystemRoot%\System32\Config\SYSTEM. Si la seccin SYSTEM estuviera daada o faltara, pueden producirse resultados impredecibles.
LOGON
LOGON El comando LOGON lista todas las instalaciones de Windows 2000 y Windows NT detectadas, y pregunta la contrasea de administrador local a la copia de Windows en la que se quiera iniciar sesin. Si
Captulo 24
fracasan ms de tres intentos de iniciar sesin, la consola termina y el equipo se reinicia.

MAP
MAP [arc] El comando MAP lista las letras de unidad, tipos de sistema de archivo, tamaos de particin y las asignaciones a dispositivos fsicos.
G
arc: El parmetro arc hace que MAP use caminos ARC en lugar de los caminos de dispositivo de Windows 2000.
MD y MKDIR
Los comandos MD y MKDIR hacen carpetas. No se permiten caracteres comodn. El comando MKDIR slo opera en las carpetas del sistema de la instalacin actual de Windows 2000, soportes extrables, la carpeta raz de cualquier particin de disco duro o las fuentes de instalacin locales.
MORE
MORE nombre de archivo El comando MORE muestra un archivo de texto por la pantalla.
RD y RMDIR
Los comandos RD y RMDIR borran una carpeta. Los comandos RD y RMDIR slo operan en las carpetas del sistema de la instalacin actual de Windows 2000, soportes extrables, la carpeta raz de cualquier particin de disco duro o las fuentes de instalacin locales.
REN y RENAME
Los comandos REN y RENAME pueden renombrar un archivo. Advirtase que no se puede especificar una nueva unidad o camino para el archivo de destino. Los comandos REN y RENAME slo operan en las carpetas del sistema de la instalacin actual de Windows 2000, soportes extrables, la carpeta raz de cualquier particin de disco duro o las fuentes de instalacin locales.
SET
El comando SET permite mostrar o modificar cuatro opciones de entorno.

Captulo 24
AllowWildCards = FALSE AllowAllPaths = FALSE AllowRemovableMedia = FALSE NoCopyPrompt = FALSE

SYSTEMROOT
El comando SYSTEMROOT pone la carpeta actual de trabajo como la carpeta %SystemRoot% de la instalacin de Windows 2000 de la que actualmente se tiene sesin abierta.
TYPE
TYPE nombre de archivo El comando TYPE muestra un archivo de texto.

Windows 2000 Server Todo

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Windows 2000 Server Todo

Transféré par

Droits d'auteur :

Formats disponibles

Windows 2000 Server

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15.

file:///D|/downloads/W2000%20server/index.htm (1 of 2) [27/12/2002 20:55:25]

Windows 2000 Server

16. 17. 18. 19. 20. 21. 22. 23. 24.

file:///D|/downloads/W2000%20server/index.htm (2 of 2) [27/12/2002 20:55:25]

Implantacin conjunta de las funciones de servidor y de estacin de trabajo

file:///D|/downloads/W2000%20server/Capitulo1.htm (1 of 45) [27/12/2002 20:55:32]

file:///D|/downloads/W2000%20server/Capitulo1.htm (3 of 45) [27/12/2002 20:55:32]

file:///D|/downloads/W2000%20server/Capitulo1.htm (4 of 45) [27/12/2002 20:55:32]

file:///D|/downloads/W2000%20server/Capitulo1.htm (5 of 45) [27/12/2002 20:55:32]

file:///D|/downloads/W2000%20server/Capitulo1.htm (6 of 45) [27/12/2002 20:55:32]

SEGURIDAD DEL SISTEMA Y DE LA RED

Entre el resto de mejoras de seguridad se incluyen:

file:///D|/downloads/W2000%20server/Capitulo1.htm (9 of 45) [27/12/2002 20:55:32]

file:///D|/downloads/W2000%20server/Capitulo1.htm (10 of 45) [27/12/2002 20:55:32]

Windows 2000 Professional y Windows 2000 Server Administracin de direcciones y nomenclatura

file:///D|/downloads/W2000%20server/Capitulo1.htm (11 of 45) [27/12/2002 20:55:32]

file:///D|/downloads/W2000%20server/Capitulo1.htm (13 of 45) [27/12/2002 20:55:32]

Servicio de Control de Admisin

LANs Priorizadas IEEE 802.1p

file:///D|/downloads/W2000%20server/Capitulo1.htm (16 of 45) [27/12/2002 20:55:32]

ALMACENAMIENTO Y SOPORTE DE SISTEMAS DE ARCHIVOS

file:///D|/downloads/W2000%20server/Capitulo1.htm (17 of 45) [27/12/2002 20:55:32]

file:///D|/downloads/W2000%20server/Capitulo1.htm (18 of 45) [27/12/2002 20:55:32]

file:///D|/downloads/W2000%20server/Capitulo1.htm (19 of 45) [27/12/2002 20:55:32]

file:///D|/downloads/W2000%20server/Capitulo1.htm (20 of 45) [27/12/2002 20:55:33]

file:///D|/downloads/W2000%20server/Capitulo1.htm (21 of 45) [27/12/2002 20:55:33]

file:///D|/downloads/W2000%20server/Capitulo1.htm (22 of 45) [27/12/2002 20:55:33]

Servicios de puerta de comunicaciones y protocolos de enrutamiento

file:///D|/downloads/W2000%20server/Capitulo1.htm (23 of 45) [27/12/2002 20:55:33]

Servicios VPN y acceso remoto

file:///D|/downloads/W2000%20server/Capitulo1.htm (24 of 45) [27/12/2002 20:55:33]

file:///D|/downloads/W2000%20server/Capitulo1.htm (25 of 45) [27/12/2002 20:55:33]

file:///D|/downloads/W2000%20server/Capitulo1.htm (26 of 45) [27/12/2002 20:55:33]

file:///D|/downloads/W2000%20server/Capitulo1.htm (27 of 45) [27/12/2002 20:55:33]

Soporte para los estndares ms nuevos

file:///D|/downloads/W2000%20server/Capitulo1.htm (28 of 45) [27/12/2002 20:55:33]

Sitios Web dinmicos ms fciles de construir

file:///D|/downloads/W2000%20server/Capitulo1.htm (29 of 45) [27/12/2002 20:55:33]

file:///D|/downloads/W2000%20server/Capitulo1.htm (30 of 45) [27/12/2002 20:55:33]

RESISTENCIA A LAS CATEGORAS

file:///D|/downloads/W2000%20server/Capitulo1.htm (31 of 45) [27/12/2002 20:55:33]

Configuracin en Modo Seguro

Asistente de Incompatibilidad de Drivers

file:///D|/downloads/W2000%20server/Capitulo1.htm (32 of 45) [27/12/2002 20:55:33]

Asistente Configure su Servidor

Configuracin sin Supervisin

Soporte de Disco Dinmico

Ms Rendimiento y Escalabilidad para aplicaciones

file:///D|/downloads/W2000%20server/Capitulo1.htm (34 of 45) [27/12/2002 20:55:33]

Arquitectura de Memoria Empresarial

Escalabilidad SMP Mejorada

file:///D|/downloads/W2000%20server/Capitulo1.htm (35 of 45) [27/12/2002 20:55:33]

Clasificacin de Alto Rendimiento

Optimiza el rendimiento de clasificacin comercial en grandes conjuntos de datos.

Equilibrado de Cargas de Red

file:///D|/downloads/W2000%20server/Capitulo1.htm (36 of 45) [27/12/2002 20:55:33]

file:///D|/downloads/W2000%20server/Capitulo1.htm (37 of 45) [27/12/2002 20:55:33]

file:///D|/downloads/W2000%20server/Capitulo1.htm (38 of 45) [27/12/2002 20:55:33]

Proteccin de Archivos Windows (WFP)

file:///D|/downloads/W2000%20server/Capitulo1.htm (39 of 45) [27/12/2002 20:55:33]

CHKDSK y recuperacin de cadas ms rpida

file:///D|/downloads/W2000%20server/Capitulo1.htm (40 of 45) [27/12/2002 20:55:33]