Manual 2017-II 03 Administración de Sistemas Operativos (1938)

Administracin de
Sistemas
Operativos
ADMINISTRACIN DE SISTEMAS OPERATIVOS 2
CARRERA DE REDES Y COMUNICACIONES CIBERTEC

ndice
Presentacin 5
Red de contenidos 7
Unidad de Aprendizaje 1
SERVICIOS FTP Y RRAS 9
1.1 Tema 1 : Servicio de mltiples websites 11
1.1.1 : Fundamentos del rol Web Server (IIS) 11
1.1.2 : Fundamentos del rol DNS Server 17
1.1.3 : Implementacin de mltiples websites 24
1.2 Tema 2 : Servicio FTP 38

1.2.1 : Fundamentos del servicio FTP 38
1.2.2 : Configuracin del Servidor FTP 40
1.2.3 : Implementacin del servicio FTP autenticado con aislamiento 44
de usuarios del dominio
1.3 Tema 3 : Servicio RRAS 73

1.3.1 : Fundamentos del servicio RRAS 73
1.3.2 : Escenarios de enrutamiento 74
1.3.3 : Implementacin del servicio RRAS para enrutamiento 75
REDES PRIVADAS VIRTUALES 95
2.1 Tema 4 : Servicio VPN 97
2.1.1 : Fundamentos del servicio VPN 97
2.1.2 : Configuracin del Servidor VPN 99
2.1.3 : Implementacin del servicio VPN para clientes remotos 99
FUNDAMENTOS DE SEGURIDAD DE RED 133
3.1 Tema 5 : Administracin de Windows Server Update Services 135
3.1.1 : Fundamentos de WSUS 135
3.1.2 : Configuracin del Servidor WSUS 142
3.1.3 : Implementacin y gestin de WSUS 149
3.2 Tema 6 : Asegurando el Servidor WEB 173

3.2.1 : Fundamentos de los Servicios de Certificados de Active 173
Directory
3.2.2 : Configuracin del Servidor Autoridad Certificadora 176
3.2.3 : Implementacin de certificacin digital emitida por la Autoridad 189
Certificadora para el servicio WEB
ADMINISTRACIN AVANZADA DE DIRECTORIO ACTIVO 209
4.1 Tema 7 : Introduccin a Windows Server Core 211
4.1.1 : Fundamentos de Windows Server Core 211
4.1.2 : Fundamentos de Servidor de Archivos 212
4.1.3 : Implementacin de Server Core como Servidor de Archivos 212
4.2 Tema 8 : Servidor RODC 229

4.2.1 : Fundamentos del Servidor RODC 229
4.2.2 : Implementacin del Server Core como Servidor RODC 230
CIBERTEC CARRERA DE REDES Y COMUNICACIONES

4.2.3 : Implementacin del Server Core como segundo controlador de 250

dominio
SERVICIOS DE ESCRITORIO REMOTO Y VIRTUALIZACIN 269
5.1 Tema 9 : Remote Desktop Services 271
5.1.1 : Fundamentos de Remote Desktop Services 271
5.1.2 : Implementacin de Remote Desktop Services 272

Presentacin
Administracin de Sistemas Operativos es un curso que pertenece a la lnea de
infraestructura TI y se dicta en las carreras de Redes y Comunicaciones. Brinda un
conjunto de conocimientos tericos y prcticos que permite a los alumnos administrar
la plataforma Windows Server 2016.
El manual para el curso ha sido diseado bajo la modalidad de unidades de

aprendizaje, las que se desarrollan durante semanas determinadas. Cada una de las
unidades tiene los logros que debe alcanzar; el tema tratado, el cual ser ampliamente
desarrollado; y los contenidos que debe desarrollar, es decir, los subtemas. Por ltimo,
encontrar, las actividades que deber desarrollar en cada sesin, las cuales le
permitirn reforzar lo aprendido en la clase.
El curso es eminentemente prctico: construido como un instrumento de trabajo. Por

ello, la participacin activa de los alumnos es fundamental durante el desarrollo de
este curso, a fin de obtener la experiencia, prctica y suficiencia terica que se
necesita para un eficiente desenvolvimiento profesional. Por lo mismo, contar con el
apoyo y gua del profesor, quien lo acompaar en el desarrollo del presente manual.


Red de contenidos
UNIDAD 1
Servicios FTP y RRAS
SISTEMAS OPERATIVOS
ADMINISTRACIN DE
UNIDAD 2
Redes Privadas Virtuales
UNIDAD 3
Fundamentos de seguridad de
red
UNIDAD 4
Administracin avanzada de
Directorio Activo
UNIDAD 5
Servicios de Escritorio Remoto y
Virtualizacin


UNIDAD
1
SERVICIOS FTP Y RRAS
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, el alumno mediante el uso adecuado del sistema
operativo Windows Server 2016 implementa y configura los servicios de
mltiples websites, FTP y RRAS para transferir archivos entre redes de rea
local (LAN) y redes de rea extensa (WAN), y emular un router fsico con el
Servidor Windows Server 2016.
TEMARIO
1.1 Tema 1 : Servicio de mltiples websites

1.1.1 : Fundamentos del rol Web Server (IIS)
1.1.2 : Fundamentos del rol DNS Server
1.1.3 : Implementacin de mltiples websites
1.2 Tema 2 : Servicio FTP

1.2.1 : Fundamentos del servicio FTP
1.2.2 : Configuracin del Servidor FTP
1.2.3 : Implementacin del servicio FTP autenticado con aislamiento
de usuarios del dominio
1.3 Tema 3 : Servicio RRAS

1.3.1 : Fundamentos del servicio RRAS
1.3.2 : Escenarios de enrutamiento
1.3.3 : Implementacin del servicio RRAS para enrutamiento
ACTIVIDADES PROPUESTAS
Los alumnos implementan diversos sitios web con la misma direccin IP
del Servidor Web.
Los alumnos implementan un sitio FTP autenticado con aislamiento de
usuarios del dominio.
Los alumnos configuran el Servidor RRAS para que emule como un
router entre una red local y extensa.


1.1. SERVICIO DE MLTIPLES WEBSITES

1.1.1. Fundamentos del rol Web Server (IIS)
El rol Web Server (IIS) del sistema operativo Windows Server 2016 brinda una
plataforma segura y fcil de administrar donde se pueden alojar sitios web1, servicios y
aplicaciones de manera confiable. En la actualidad, este rol trabaja con la versin IIS2
8.5, este software permite que se puedan compartir informacin en distintos
escenarios, ya sea con usuarios en Internet, en una intranet o en una extranet; por lo
que es una plataforma web unificada que integra distintos tipos de pginas por
ejemplo: Active Server Pages (ASP), ASP.NET, PHP, servicios de FTP y Windows
Communication Foundation (WCF).
Dentro de las ventajas de utilizar IIS 8.5 es el hecho de que se puede implementar y
ejecutar aplicaciones web de ASP.NET, ASP clsico y PHP en el mismo servidor de
forma sencilla, otro es el refuerzo de la seguridad web que se debe gracias a una
superficie reducida del servidor y el aislamiento automtico de aplicaciones.
1.1.1.1 Instalacin del rol Web Server (IIS)
Para la instalacin de este rol, se cuenta con un servidor llamado SERVER_A y en

ella, se realizarn los siguientes pasos
1. Inicie Server Manager y haga clic en Add roles and features.
1
En ingls website, es un conglomerado de documentos (pginas web) organizados
jerarquicamente y que estn relacionadas a un dominio de internet. Un sitio puede contener
una combinacin de graficos, textos, audios, videos u otros materiales.
2
Internet Information Services (IIS) es el software de servidor web incluido con Windows que
permite la implementacin de sitios web tanto local como remotamente.

2. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.
3. En la ventana Select installation type, seleccione la opcin Role-based or

feature-based installation; ello permite que la instalacin de roles y caracteristicas
se implementen en el servidor. Luego, haga clic en Next.
4. Ahora en la ventana Select destination server, seleccione la opcin Select a

server from the server pool; ello indica que se est eligiendo a nuestro servidor

SERVER_A para que en l se instalen los roles y caractersticas. Luego, haga clic
en Next.
5. En la ventana Select server roles, seleccione el rol Web Server (IIS).
6. Inmediatamente, aparece la ventana Add features that are required for Web
Server (IIS)? que indica que para poder implementar el rol Web Server (IIS) se

debe adicionar algunas caractersticas que aun no han sido instaladas; por ello,
haga clic en el botn Add Features.
7. Luego, haga clic en Next.
8. En la ventana Select features, las caractersticas bsicas y necesarias han sido

seleccionadas por defecto por el sistema; por ello, haga clic en Next. En la prxima
ventana Web Server Role (IIS), haga clic en Next.

9. En la ventana Select role services, los servicios bsicos para el rol Web Server
(IIS) son seleccionados por defecto por el sistema. Haga clic en Next.
10. En la ventana Confirm installation selections, se muestra un resumen de las

caractersticas que se han seleccionado para la instalacin de nuestro rol. Luego,
haga clic en Install.

11. Finalmente, luego de esperar algunos minutos, haga clic en Close. De esa
manera, ya se tiene instalado de forma exitosa nuestro rol Web Server (IIS).

1.1.2. Fundamentos del rol DNS Server
Las siglas DNS significan Sistema de Nombres de Dominio, dicho sistema se encarga
de la asignacin de nombres a equipos y servicios de red que se organizan en una
jerarqua de dominios. El servicio DNS registra la relacin que existe entre cada
nombre de dominio y su direccin IP correspondiente.
Por ejemplo, cuando un usuario desea visitar algn sitio web, lo hace mediante
nombres debido a que es ms fcil de recordar y de escribir (google.com,
cibertec.edu.pe, microsoft.com, etc), todos ellos se conocen como nombres de
dominio. En cambio, las computadoras identifican los sitios web y se conectan a ellos
mediante un formato numrico que se conocen como direcciones IP, algo similares a
la numeracin telefnica, pero mucho ms estructurado.
Es decir, si un usuario escribe una direccin o nombre de dominio en la barra de

direcciones del navegador o simplemente hace clic en un enlace de algn sitio web, el
navegador se conecta con el servidor DNS que le corresponde a una conexin de
internet y le consulta cul es la direccin IP del sitio solicitado. En caso de que el
requerimiento se encuentre en la base de datos del servidor DNS, este le brinda el
dato solicitado y es entonces cuando el navegador puede acceder a dicho sitio web.
En resumen, cuando un usuario escriba un nombre de dominio en una aplicacin, los

servicios de DNS pueden traducir el nombre a otra informacin como una direccin IP.
Entre las principales funciones que presenta este servicio, puede indicar las
siguientes:
Resolucin de nombres: Es el mecanismo que convierte un nombre de host en la

direccin IP que le corresponde. Por ejemplo, al nombre de dominio google.com le
corresponde la direccin IP 216.58.219
Resolucin inversa de direcciones: Es el mecanismo inverso al anterior, es decir de

una direccin IP obtiene el nombre de host correspondiente.
Resolucin de servidores de correo: Este mecanismo obtiene a partir de un

nombre de dominio (por ejemplo gmail.com) el servidor a travs del cual debe
realizarle la entrega del correo electrnico.
1.1.2.1 Principales servidores DNS de internet
Existen 13 servidores DNS raz en todo internet, ellos almacenan la informacin de los
servidores para cada una de las zonas de ms alto nivel. Los servidores DNS raz se
identifican con las primeras letras del alfabeto, sus nombres son de la forma letra.root-
servers.net (donde letra va desde la A hasta la M) y varios de ellos se encuentran
divididos fsicamente y dispersos geogrficamente por todo el mundo.
Ahora no precisamente existen nicamente 13 servidores fsicos, ya que cada

operador utiliza equipos informticos redundantes para ofrecer un servicio fiable.
Adems, diez servidores se encuentran originalmente en los Estados Unidos y algunos
son operados va anycast3 y los tres restantes se encuentran originalmente en
Estocolmo, Amsterdam y Tokio.
3
Es una tcnica de enrutamineto que proporciona un mayor rendimiento y una mayor
tolerancia a fallos.

Figura 1: Distribucin mundial de los servidores DNS raz

Fuente- Tomado de http://root-servers.org/
1.1.2.2 Integracin de los roles DNS Server y Active Directory Domain Services
En Windows Server 2016, el rol DNS Server sigue combinando la compatibildad de

protocolos DNS estndar con las ventajas de la integracin de Active Directory Domain
Services4 (AD DS) y otras caractersticas de seguridad de red de Windows.
Se debe tener en cuenta que los servicios del rol AD DS y del rol DNS Server pueden
instalarse de forma independiente o juntos. Pero, es preciso mencionar que los
servicios del rol de AD DS son obligatorios si el DNS Server hospedar zonas DNS
integradas con Active Directory.
El proceso de integracin es el siguiente, al instalar el rol AD DS en un servidor este

se promociona al rol de un controlador de dominio. Como parte de este proceso, se le
solicita que especifique un nombre de dominio DNS para el dominio AD DS al que se
esta uniendo, luego, se le ofrece la opcin de instalar el rol DNS Server. Dicha opcin
es necesaria para buscar este servidor u otros controladores de dominio para los
miembros de un dominio de AD DS.
Ahora bien, dentro de las ventajas que se podran mencionar referente a esta
integracin son las siguientes:
DNS incluye la replicacin de datos con varios maestros y una seguridad mejorada
basada en las capacidades de AD DS. Cualquier servidor DNS que contiene una
zona integrada en Active Directory puede recibir actualizaciones dinmicas
enviados por los clientes, esto garantiza que no exista ningn punto nico de fallo,
como el caso de las reas en base a un modelo estndar.
Cuando se agrega una nueva zona a un dominio de AD DS, esta se replica y se

sincroniza con los nuevos controladores de dominio de forma automtica.
La integracin del almacenamiento de las bases de datos de la zona DNS en AD

DS le permite simplificar el planeamiento de la replicacin de la base de datos en
la red.
4
En espaol Servicios de Dominio de Directorio Activo, dicho rol proporciona una base de
datos que almacena y administra informacin acerca de los recursos de la red, tambin permite
la organizacin jerarquica de los elementos de una red (usuarios, equipos y otros dispositivos).

La replicacin integrada en Active Directory supera en rapidez y eficacia a la

replicacin de DNS estndar.
1.2.2.3 Creacin de un alias de DNS
Como escenario se cuenta con un servidor cuyo nombre es SERVER_A. En este

equipo, se ha implemetado el rol de Active Drectory Domain Services con nombre de
dominio cibertec.com y a dicho rol se ha integrado el DNS Server.
Para la creacin de un alias de DNS, se debe ejecutar los siguientes pasos.
1. Abra Server Manager y en la pestaa Tools, haga doble clic a la opcin DNS.
2. Inmediatamente, aparece una nueva ventana llamada DNS Manager, luego,

despliegue el icono del SERVER_A, dentro de l en la zona de bsqueda directa y
en la carpeta Forward Lookup Zones, haga clic derecho en la carpeta
cibertec.com y seleccione la opcin New Alias (CNAME).

3. En la ventana New Resource Record, escriba www en Alias name (uses parent
domain if left blank) como nombre de alias, luego, haga clic en Browse.
4. En la ventana Browse seleccione el nombre del equipo (SERVER_A) y haga clic en

OK.
5. Luego, seleccione la carpeta Forward Lookup Zones y haga clic en OK.

6. Luego, seleccione la carpeta cibertec.com y haga clic en OK.
7. Por ltimo, seleccione el servidor server_a y haga clic en OK.

8. Ahora puede visualizar la configuracin completa contando con el nombre de alias y

el nombre del dominio completo (nombre de mquina seguido del nombre del
subdominio y dominio). Luego, haga clic en OK.
9. En el nuevo registro, puede observar en el servidor dentro de la zona de bsqueda

directa que se han usado como contenedor para dicha alias.

10. Finalmente, desde el equipo de un cliente puede comprobar ingresando a un

navegador de internet y escriba en la barra de url www.cibertec.com

1.1.3. Implementacin de mltiples websites
El rol Web Server (IIS) permite implementar varios sitios web en un solo servidor; para
ello, se cuenta con tres distintas formas de hacerlo:
Que cada sitio web tenga una direccin IP distinta
Que todos los sitios web tengan la misma direccin IP, pero distintos nmeros de
puertos
Que cada sitio web tenga un nombre de encabezado de host. De de esta manera,
todos los sitios web pueden utilizar la misma direccin IP y el mismo nmero de
puerto
En esta seccin, se implementar el ltimo caso. Se elaborarn tres sitios web

(sitio1.cibertec.com, sitio2.cibertec.com y sitio3.asor.local); para ello, se cuenta con un
servidor llamado SERVER_A (en el ya se encuentran instalados los roles de Active
Directory Domain Services con nombre de dominio cibertec.com, Web Server (IIS) y
DNS Server). Tambin, se cuenta con un cliente web para la verificacin del servicio.
Direccin IP Puerto TCP Nombre de encabezado de host

192.168.1.100 80 sitio1.cibertec.com
192.168.1.101 80 sitio2.cibertec.com
192.168.1.102 80 sitio3.asor.local
Tabla 1: Detalle de los sitios web
Internet Firewall
Cliente Web Controlador de Dominio

Nombre: CLIENTE Servidor DNS
Direccin IP: 192.168.1.50 Servidor Web
Mscara: 255.255.255.0 Nombre: SERVER_A
Puerta de Enlace: 192.168.1.100 Direccin IP: 192.168.1.100
Mscara: 255.255.255.0
Dominio: cibertec.com
Sitios Web: sitio1.cibertec.com
sitio2.cibertec.com
sitio3.asor.local
Figura 2: Arquitectura de Red del Servicio Web

1.1.3.1 Configuracin de direccionamiento de red para los equipos
1. En el equipo CLIENTE, seleccione el Panel de control/Redes e internet/Centro

de redes y recursos compartidos/Cambiar configuracin del adaptador. Luego,
haga clic derecho sobre el adaptador Ethernet (renombrado como LAN) y
seleccione Propiedades. Despus, haga clic en Protocolo de Internet versin 4
(TCP/IPv4) y configure el direccionamiento IP tal como se indica en la siguiente
imagen:
2. En el servicor SERVER_A, seleccione Control Panel/Network and

internet/Network and Sharing Center/Change adapter settings. Luego, haga clic
derecho sobre el adaptador Ethernet (renombrado como LAN) y seleccione
Properties. Despus, haga clic en Internet Protocol Versin 4 (TCP/IPv4) y
configure el direccionamiento IP tal como se indica en la siguiente image:

1.1.3.2 Creacin de las carpetas que alojarn los cdigos html
1. En el SERVER_A, haga clic en el boton Start y en This PC, luego, haga doble clic
en Local Disk (C:) y en la carpeta inetpub (esta carpeta fue creada por el rol IIS).
Dentro de esta ltima, cree una carpeta llamada WebSites y dentro de ella otras
tres ms llamadas sitio1, sitio2, sitio3. En cada uno de estos sitios,
almacenaremos los archivos index con su respectiva imagen de ser necesario.
2. Por ejemplo para la creacin del cdigo fuente del sitio1, abra un bloc de notas y
escriba los siguientes comandos:
<html>
<head>
<title> Sitio 1 </title>
</head>
<body bgcolor="#d6d7c9" text="#000000">
<H1 align="center" >Bienvenidos al Sitio 1 </H1>
<HR>
<p> Estimado usuario le damos una cordial bienvenida a nuestra pgina web
Sitio 1 </p>
<img src="s1.png">
</body>
</html>
Luego, guarde el archivo con el nombre index.html con el tipo All Files.
1.1.3.3 Creacin de los nombres de encabezados de host para cada sitio web
De los tres nuevos sitios web llamados sitio1.cibertec.com, sitio2.cibertec.com y

sitio3.asor.local, en los dos primeros se crearn los registros dentro de la zona
primaria perteneciente al dominio de nuestro DNS llamada cibertec.com. Para el caso
del tercero, se tendr que crear en primer lugar la zona primaria y posteriormente,
repetir la accin.
1. Abra Server Manager del SERVER_A y en la pestaa Tools, haga doble clic a la
opcin DNS.

2. En la ventana DNS Manager, despliegue SERVER_A y dentro de el despliegue la

carpeta Forward Lookup Zones. Luego, haga clic derecho sobre la carpeta
cibertec.com y seleccione la opcin New Host (A or AAAA).
3. En la nueva ventana que aparece New Host, escriba en el primer rengln en

blanco, el nombre de sitio1 y en el tercer rengln, la direccin IP 192.168.1.1.100;
luego, haga clic en Add Host.

4. Inmediatamente, aparecer una nueva ventana en la que nos indica que nuestro
nuevo host ha sido creado de forma exitosa, luego, haga clic en OK
5. De forma similar, se crear un nuevo encabezado de host para el sitio2.
6. Para la creacin de una nueva zona primaria, haga clic derecho sobre la carpeta
Forward Lookup Zones y elija la opcin New Zone.

7. En la ventana Welcome to the New Zone Wizard, haga clic en Next para
continuar.
8. Luego, en la ventana Zone Type, seleccione la opcin Primary zone y haga clic en
Next.
9. En la ventana Active Directory Zone Replication Scope, seleccione la opcin To

all DNS servers running on domain controllers in this domain: cibertec.com y
haga clic en Next.

10. En la ventana Zone Name, escriba en el rengln en blanco el nombre de la nueva

zona primaria que se est creando el cual es asor.local, despus haga clic en
Next.
11. En la ventana Dynamic Update, seleccione la opcin Allow only secure dynamic
updates (recommended for Active Directory) y haga clic en Next.

12. Luego de completar de forma exitosa la creacin de la nueva zona, haga clic en
Finish.
13. Finalmente, en la nueva zona asor.local cree un nuevo encabezado de host para
el sitio3 con la direccin IP 192.168.1.100.

1.1.3.4 Creacin de los sitios web
En esta etapa, se crearn los 3 sitios web; para ello, ejecute los siguientes pasos:
opcin Internet Information Services (IIS) Manager.
2. Luego, en la ventana Internet Information Services (IIS) Manager, desglose el

icono que representa al servidor (SERVER_A) y haga clic derecho sobre la carpeta
Sites y seleccione la opcin Add Website.

3. En la ventana Add Website escriba los siguientes parmetros:
Site name: sitio1

Physical path: C:\inetpub\WebSites\sitio1
IP address: 192.168.1.100
Host name: sitio1.cibertec.com
Luego, haga clic en OK.
4. Para la creacin de los dos sitios web restantes, repita los pasos 2 y 3, pero para
este ltimo, donde dice Host name, se debe escribir sitio3.asor.local por
pertenecer a otra zona principal ya que la zona cibertec.com fue creado por
defecto por nuestro dominio.

5. En la carpeta Sites, puede observar la creacin de los 3 sitios web.

1.1.3.5 Verificacin del correcto funcionamiento de la implementacin de los

mltiples Websites
1. En el equipo del cliente web, abra un navegador de internet y visite los 3 sitios web
ya configurados; para ello, escriba en la barra de direcciones
http://sitio1.cibertec.com, http://sitio2.cibertec.com y http://sitio3.asor.local
2. Adems, utilice el comando nslookup para comprobar que nuestro DNS est
resolviendo correctamente los nombres y las IPs. Para ello, abra CMD del Cliente y
ejecute nslookup sitio1.cibertec.com

Finalmente, realice las demas pruebas para los sitios web restantes.

Resumen
1. Web Server (IIS) de Windows Server 2016 es una plataforma web unificada que
integra distintos tipos de pginas tales como Active Server Pages (ASP),
ASP.NET, PHP, servicios de FTP y Windows Communication Foundation (WCF).
2. DNS Server puede almacenar mltiples zonas primarias.
3. Windows Server 2016 sigue permitiendo la integracin de los roles Active Directory
Domain services y DNS Server, ello conlleva a que el servidor DNS que contiene
una zona integrada en Active Directory puede recibir actualizaciones dinmicas
enviados por los clientes para que no exista ningn punto nico de fallo.
4. Se puede implementar mltiples sitios web con la misma direccin IP del servidor y
el mismo nmero de puerto; para ello, cada sitio web debe tener un nombre de
encabezado de host.
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
o https://www.youtube.com/watch?v=kPs-We3sPwQ
o https://technet.microsoft.com/es-es/library/hh831725.aspx
o https://waytoit.wordpress.com/2014/01/30/iis-8-5-ii-configurando-sites

1.2. SERVICIO FTP

1.2.1. Fundamentos del servicio FTP
El servicio FTP se encarga de la transferencia de archivos entre sistemas

interconectados o enlazados en la internet, el cual est basado en una arquitectura
cliente-servidor. Desde un equipo cliente, se puede conectar a un servidor para la
descarga o subida de archivos, este trabajo se realiza de forma independiente del
sistema operativo que se est utlizando en cada equipo.
Figura 3: Servicio FTP

Fuente.- Tomado de http://univirtual.unicauca.edu.co/moodle/file.php/24/material/Otros/multimedia/serv_internet.htm
Servidor FTP
Un servidor HTTP (es decir, un servidor Web) en que se puede comunicar con l
mediante un protocolo de Internet. Sin embargo, un servidor FTP no ejecuta las
pginas Web; slo enva y recibe los archivos a los equipos remotos.
Servidor FTP de Windows Server 2016 trabaja usando el protocolo FTP, que forma
parte de la pila TCP/IP, diseada para transferir archivos entre dos host en Internet.
Ambos equipos deben soportar sus respectivos roles FTP: uno debe ser el cliente FTP
y el otro debe ser un servidor FTP. Los archivos se almacenan en el servidor FTP
(encargado de ejecutar el servicio FTP).
Los equipos remotos se pueden conectar utilizando el cliente FTP y leer archivos del
servidor FTP, copiar o enviar archivos al servidor FTP.
Se puede configurar Internet Information Services (IIS) para funcionar como un

servidor FTP. Esto permite a otros equipos conectarse al servidor y transferir archivos
desde o hacia el servidor FTP. Por ejemplo, puede configurar IIS para que acte como
un servidor FTP si est alojando sitios Web en el equipo y desea que usuarios remotos
puedan actualizar el contenido de sus sitios webs.
Tipos de Acceso al servidor FTP
Servidor FTP annimo
Los Servidores FTP annimos le permiten al usuario ingresar al servidor FTP sin tener
una cuenta creada en el servidor, ni contrasea que lo identifiquen. Usualmente, el
nombre de usuario para conectarse de forma annima es "anonymous". Es una forma
cmoda de que mltiples usuarios puedan acceder a los archivos del FTP, sin que el
administrador deba crear cuentas para cada uno.

En general, entrar a un servidor FTP de forma annima tiene ciertas limitaciones

(menos privilegios) que un usuario normal. Por ejemplo, slo se pueden descargar
archivos, y no se puede subir o modificar stos.
Servidor FTP autenticado
El FTP Autenticado se utiliza para transferir archivos al servidor FTP, enviar y recibir
archivos hacia el servidor para luego, hacerlos pblicos o privados. Para el acceso,
requiere de un usuario y contrasea.
Por ejemplo, si quiere actualizar pginas webs de un sitio web, habra que enviarlas
usando el servicio FTP. Pero, no nos gustara que cualquiera pudiese acceder a ellas
para cambiarlas o eliminarlas.
Tipos de modo del sitio FTP
IIS introduce 3 modos para el sitio FTP:
Modo de usuario sin aislamiento
No asla usuarios, este modo no habilita aislamiento de usuario FTP y funciona en

todas las versiones anteriores de IIS.
Modo de usuario con aislamiento
Este modo autentifica a los usuarios contra cuentas locales o de dominio para que
puedan tener acceso al directorio principal que coincide con su nombre de usuario.
Todos los directorios particulares de los usuarios se encuentran debajo de un
directorio raz nico FTP donde se coloca y donde se limita cada usuario a su
directorio particular. A los usuarios no se les permite desplazarse fuera de ste.
Modo de usuario con aislamiento integrado con el Directorio Activo
Los usuarios aislados que utilizan Directorio Activo, autentifican sus credenciales de
usuario contra un contenedor correspondiente del Directorio Activo, se requiere
grandes cantidades de tiempo y de procesamiento.
Servidor FTP sobre SSL5
Este Servicio FTP incorpora nuevas caractersticas que permiten a los administradores
publicar el contenido mucho con mayor seguridad. Una de las caractersticas de FTP
sobre Secure Sockets Layer (SSL) es que permite sesiones encriptadas entre el
cliente FTP y el Servidor.
5
Es la sigla en ingls de Secure Sockets Layer (en espaol capa de conexin segura). Es un
protocolo criptogrfico que proporciona autenticacin y privacidad sobre internet.

1.2.2. Configuracin del Servidor FTP
Para la configuracin de este escenario, el servidor SERVER_A ser configurado

como un servidor FTP autenticado y el equipo CLIENTE ser configurado como un
cliente FTP.
Instalacin de un servicio FTP en un servidor WEB IIS existente
Para la implementacin del Servidor FTP, se debe tener instalado primero el rol Web
Server (IIS)6. Luego, se tiene que agregar a este rol las funcionalidades de FTP tal
como se detalla a continuacion en los pasos siguientes.
1. Inicie Server Manager del SERVER_A y haga clic en Add roles and features.

feature-based installation, ello permite que la instalacin de roles y caracteristicas
se implementen en el servidor. Luego, haga clic en Next.
6
Para recordar como fue la instalacin de este rol puede consultar la seccin 1.1.1.1


server from the server pool, ello indica que se est eligiendo a nuestro servidor
SERVER_A para que en ella, se instalen los roles y caractersticas. Luego, haga
clic en Next.
5. Del listado de roles de la ventana Select server roles, desglose el rol ya instalado
Web Server (IIS) y dentro de ella, seleccione la funcionalidad FTP Server (ello
incluye las caractersticas de FTP Service y FTP Extensibility), luego, haga clic en
Next.

6. En la ventana Select features, haga clic en Next.
7. En la ventana Corfirm installation selections, se muestra un resumen de lo que

se ha seleccionado para la instalacin, luego, haga clic en Install.

8. Despus, de esperar algunos minutos al finalizar la instalacin, haga clic en Close,

y de esa manera ya se tiene instalado de forma exitosa la funcionalidad de FTP
Server en el rol Web Server (IIS).

1.2.3. Implementacin del servicio FTP autenticado con aislamiento de

usuarios del dominio
En este nuevo escenario, se agregar en el servidor SERVER_A el servcio FTP

autenticado con el modo de usuario con aislamiento integrado con el Directorio Activo
del dominio cibertec.com.
Internet Firewall
Cliente FTP
Nombre: CLIENTE Controlador de Dominio
Direccin IP: 192.168.1.50 Servidor DNS
Mscara: 255.255.255.0 Servidor Web
Puerta de Enlace: 192.168.1.100 Servidor FTP
Nombre: SERVER_A
Direccin IP: 192.168.1.100
Mscara: 255.255.255.0
Dominio: cibertec.com
Sitio FTP: Sitio FTP 1
Figura 4: Arquitectura de Red del Servicio FTP
1. En el equipo CLIENTE, elija el Panel de control/Redes e internet/Centro de

redes y recursos compartidos/Cambiar configuracin del adaptador. Luego,
imagen:
2. En el servidor SERVER_A, elija Control Panel/Network and internet/Network and

Sharing Center/Change adapter settings. Luego, haga clic derecho sobre el
adaptador Ethernet (renombrado como LAN) y seleccione Properties. Despus,
haga clic en Internet Protocol Versin 4 (TCP/IPv4) y configure el
direccionamiento IP tal como se indica en la siguiente imagen:

1.2.3.2 Creacin de los usuarios del dominio que accedern al servicio FTP
A continuacin, se crearn los usuarios scamacho y sdiaz pertenecientes al dominio

cibertec.com para que usen nuestro servicio FTP.
1. En el cmd del servidor SERVER_A, ejecute los siguientes comados:
net user /add scamacho P@ssw0rd

net user /add sdiaz P@ssw0rd
2. Verifique que se ha creado de forma exitosa dichos usuarios; para ello, abra Server
Manager y en la pestaa Tools haga doble clic a la opcin Active Directory Users
and Computers.

3. Luego, en la ventana Active Directory Users and Computers despliegue

cibertec.com y haga clic en la carpeta Users donde puede visualizar los objetos de
los usuarios scamacho y sdiaz.
1.2.3.3 Creacin del directorio fsico para los usuarios FTP
Como se desea crear directorios particulares para cada usuario ejecute los siguientes
pasos:
1. En This PC del SERVER_A, haga doble clic a unidad Local Disk (C:) y dentro de
ella, cree una carpeta llamada FTP Raiz.

2. Dentro de la carpeta FTP Raiz, cree otra carpeta llamada Usuarios Dominio y en
ella, una carpeta para cada usuario con los nombres de scamacho y sdiaz.
3. Es necesario alojar archivos de diversos tipos en la carpeta de cada usuario para

las pruebas de verificacin que ms adelante se realizarn.

1.2.3.4 Creacin del certificado-autofirmado SSL
1. En la pestaa Tools del Server Manager, haga doble clic a la opcin Internet
Information Services (IIS) Manager.
2. En la ventana Internet Information Services (IIS) Manager, haga clic en

SERVER_A y doble clic en Server Certificates.

3. Luego, seleccione la opcin Create Self-Signed Certificate del men Actions.
4. En la ventana Specify Friendly Name, escriba en Specify a friendly name for the
certificate el nombre del certificado digital el cual es srv-nps-01 y luego, haga clic
en OK.
5. Finalmente, puede visualizar la creacin de nuestro certificado digital.

1.2.3.5 Creacin del sitio FTP con SSL
1. En la pestaa Tools del Server Manager, haga doble clic a la opcin Internet
Information Services (IIS) Manager.
2. En la ventana Internet Information Services (IIS) Manager, despliegue el servidor

SERVER_A, luego, haga clic derecho sobre carpeta Sites y seleccione la opcin
Add FTP Site para crear nuesto sitio FTP.

3. En la ventana Site Information, escriba en FTP site name el nombre de Sitio FTP
1 y ubique el directorio C:\FTP Raiz en Physical path, luego, haga clic en Next.
4. En la ventana Binding and SSL Settings, escriba la direccin IP 192.168.1.100 en

IP Address (el puerto por defecto es 21), adems, en SSL escojemos la opcin
Allow SSL y en SSL Certificate seleccione nuestro certificado srv-nps-01. Luego,
haga clic en Next para continuar.
5. Luego, en la ventana Authentication and Authorization Information, seleccione

Basic en Authentication mientras que en Authorization se permite el acceso a los
usuarios FTP por lo que en Allow acces to, seleccione Specified users y en el
siguiente rengln, escriba scamacho, sdiaz. Ambos usuarios tendrn los permisos
de escritura y lectura por lo que en Permissions, haga check en Read y Write,
luego, haga clic en Finish.

6. Luego, en la ventana Sitio FTP 1 Home, haga doble clic en FTP Messages.
7. En la ventana FTP Messages, seleccione la opcin Support user variables in

messages en Message Behavior el cual permite que se muestren las variables del
usuario en los mensajes FTP como por ejemplo el numero de bytes enviados del
servidor al cliente, el nombre de la cuenta del usuario que ha iniciado la sesin, etc.
Ademas, en la parte de Banner de Message Text puede escribir ========Sitio

FTP 1========, y en Welcome un mensaje de bienvenida como por ejemplo
Estimado(a) usuario sea bienvenido a nuestro servicio FTP; asi como en Exit
puede escribir Gracias por usar este servicio. Finalmente haga clic en Apply del
men Actions

1.2.3.6 Aislamiento de usuarios integrado con el Directorio Activo
Para la configuracin de aislamiento de usuarios integrado con el Directorio Activo,

relice los siguientes pasos
1. Seleccione el Sitio FTP 1 de la carpeta Sites de Internet Information Services (II)

Manager y en el panel de la derecha haga doble clic en FTP User Isolation
2. Luego, en la ventana FTP User Isolation, escoja la opcin FTP home directory
configured in Active Directory el cual permite aislar las sesiones de nuestros
usuarios FTP en el directorio particular configurado en los valores de cuenta de
Active Directory para cada usuario FTP (el usuario nicamente ve la ubicacin raz
de FTP que le corresponde y no puede navegar al directorio superior). Despus,
haga clic en Set.

3. En ventana Set Credentials, escriba las credenciales del usuario Administrator

(recuerde que la constrasea es P@ssw0rd), luego, haga clic en OK.
4. Luego, haga clic en Apply del men Actions.
Ahora, se debe asignar a cada cuenta de usuario FTP en Active Directory un

determinado directorio principal. Por ello, se debe agregar las propiedades7 msIIS-
7
Hasta la versin de Windows Server 2008 se poda agregar estas propiedades mediante las
siguientes lneas de comando:
Iissftp.vbs /SetADProp Nombre de Usuario FTPRoot Ruta de directorio fsico FTP de raz
Iissftp.vbs /SetADProp Nombre de Usuario FTPDir Nombre de la carpeta del usuario

FTPRoot y msIIS-FTPDir (juntos determinan el directorio de inicio del usuario FTP) a la

cuenta de cada usuario.
Para ello, haga uso del ADSI Edit; en caso contrario, se negar el acceso a cada
usuario.
5. Ahora, abra Server Manager y en la pestaa Tools, haga doble clic a la opcin
ADSI Edit.
6. En la ventana ADSI Edit, seleccione la pestaa Action y haga clic en Connect to.
7. En la ventana Connection Settings, escriba en Name el nombre del dominio el

cual es cibertec.com. Despus, haga clic en OK.

8. Ahora, haga doble clic de forma seguida en cibertec.com, en la carpeta

DC=cibertec, DC=com, y en la carpeta CN=Users.
9. Dentro de la carpeta CN=Users, haga clic derecho sobre la carpeta CN=scamacho

y escoja la opcin Properties.

10. En la ventana CN=scamacho Properties, seleccione msIIS-FTPDir de la pestaa

Attribute Editor y haga clic en el botn Edit.
11. En la ventana String Attribute Editor escriba en Value la carpeta asignada a

nuestro usuario FTP, el cual es \scamacho y haga clic en OK

12. Ahora, en la ventana CN=scamacho Properties, seleccione msIIS-FTPRoot de la

pestaa Attribute Editor y haga clic en el botn Edit.
13. En la ventana String Attribute Editor, escriba en Value el directorio de raz de

nuestro sitio FTP para el usuario scamacho, el cual es C:\FTP Raiz\Usuarios
Dominio y haga clic en OK.
14. Despus, en la ventana CN=scamacho Properties, haga clic en Apply y luego, en

OK.

15. Por ltimo, agregue las propiedades msIIS-FTPRoot y msIIS-FTPDir al usuario

sdiaz por lo que deber repetir los pasos del 9 al 14.
1.2.3.7 Verificacin del correcto funcionamiento de la implementacin del

servicio FTP autenticado con aislamiento de usuarios del dominio
Existen diversas formas de verificar que nuestro servicio FTP est funcionando
correctamente, todas ellas sern descritas a continuacin.
Prueba mediante el uso de un navegador de internet
1. En el equipo CLIENTE, abra un navegador de internet y en la barra de direcciones,

escriba la direccin ftp://192.168.1.100
2. En la ventana Internet Explorer, escriba las credenciales del usuario scamacho

(Nombre de usuario: scamacho, Contrasea: P@ssw0rd). Luego, haga clic en
Iniciar sesin.

3. Luego, puede hacer uso del servicio sin ningun problema
Prueba mediante el uso del simbolo del sistema
1. En el equipo CLIENTE, abra la consola del CMD y ejecute el comando ftp

192.168.1.100
2. Luego, brinde las credenciales del usuario scamacho, por lo que en Usuario
<192.168.1.100:<none>>, escriba scamacho y en Contrasea, escriba
P@ssw0rd (tenga en cuenta que al escribir la contrasea esta no se visualiza)

3. Luego del mensaje de bienvenida, ejecute el comando8 dir para poder visualizar el
directorio del usuario.
4. Luego, para finalizar la sesin FTP, ejecute el comado bye.
8
Para poder conocer los comandos FTP e interactuar con ellos visite la siguiente pgina web
https://technet.microsoft.com/es-es/library/ff687787(v=ws.10).aspx

Prueba mediante el uso de ubicacin de red
1. En el equipo CLIENTE, presione el botn Inicio y seleccione Este Equipo, luego,

sobre este ltimo, haga clic derecho y seleccione la opcin Agregar una ubicacin
de red.
2. En la ventana ste es el Asistente para agregar ubicaciones de red, haga clic en

Siguiente.
3. En la ventana Dnde desea crear esta ubicacin de red?, haga clic en

Siguiente.

4. En la ventana Especifique la ubicacin de su sitio web, escriba en Direccin de

red o internet la direccin ftp://192.168.1.100 y haga clic en Siguiente.
5. En la ventana Especifique un nombre de usuario y contrasea si se requiere,

quite la seleccin en Iniciar sesin de forma annima y en Nombre de usuario,
escriba scamacho, luego, haga clic en Siguiente.

6. En la ventana Qu nombre le desea dar a esta ubicacin?, escriba en Escriba

un nombre para esta ubicacin de red el de FTP-scamacho, luego, haga clic en
Siguente.
7. Luego, en la ventana Finalizacin del Asistente para agregar ubicaciones de

red, haga clic en Finalizar.

8. Finalmente, en la ventana Iniciar sesin como, escriba las credenciales del

usuario scamacho (Usuario: scamacho, Contrasea: P@ssw0rd) y haga clic en
Iniciar sesin.
9. Luego, puede hacer uso del servicio sin ningn problema.

Prueba mediante el uso de un Programa de Aplicacin
En esta prueba, se har uso de un software libre como es el FileZilla Client9 cuya
ltima versin estable a la fecha es 3.15.0.1.
1. Para la instalacin del software en el equipo CLIENTE, haga clic derecho sobre
FileZilla_3.15.0.1_win64-setup y seleccione la opcin Ejecutar como
administrador.
2. En la ventana License Agreement, haga clic en I Agree.
3. En la ventana Choose Installation Options, seleccione la opcin Anyone who

uses this computer y haga clic en Next.
9
Es un software gratuito para cliente FTP que goza de una multiplataforma rpida y confiable,
adems, proporciona una interfaz grfica al usuario el cual es fcil de interactuar. Si desea
descargar la ultima versin visite la pgina web https://filezilla-project.org/download.php

4. En la ventana Choose Components, seleccione todas las opciones en Select

components to install y haga clic en Next.
5. En la ventana Choose Install Location, deje la ruta por defecto en Destination

Folder y solamente haga clic en Next.

6. Luego, en la ventana Choose Start Menu Folder haga clic en Install.
7. Por ltimo, en la ventana Completing the FileZilla Client 3.15.0.1 Setup haga clic
en Finish.

8. Luego, en el programa FileZilla abra Gestor de Sitios haciendo clic sobre el icono
que se encuentra debajo de la pestaa Archivo.
9. En la ventana Gestor de Sitios, haga clic en el botn Nuevo sitio.

10. Luego, renombre el Nuevo sitio por FTP-scamacho y configure los siguientes
datos:
Servidor: 192.168.1.100 Puerto: 21

Protocolo: FTP-Protocolo de Transferencia de Archivos
Cifrado: Requiere FTP explcito sobre TLS
Modo de acceso: Normal
Usuario: scamacho
Contrasea: P@ssw0rd
11. Despus, haga clic en Conectar
12. Luego de observar el certificado emitido, haga clic en Aceptar.
13. Ahora puede hacer uso del servicio sin ningn problema, por ejemplo en Sitio
remoto, escoja un archivo de nuestra eleccin y sobre este haga clic derecho y
seleccione la opcin Descargar.

14. Puede verificar que la descarga ha sido exitosa, pues el archivo se encuentra en el
folder Descargas del usuario scamacho.
Del mismo modo, realice las mismas pruebas para el usuario sdiaz.

Resumen
1. El servidor FTP permite que los usuarios puedan transmitir de forma rpida
informacin a travs de la Internet.
2. El servidor FTP annimo solo permite la descarga de archivos.
3. El servidor FTP autenticado permite la descarga y envio de archivos.
4. El servidor FTP de Microsoft soporta 3 tipos de modo de aislamiento: modo de

usuario sin aislamiento, modo de usuario con aislamiento, y modo de usuario con
aislamiento integrado al Directorio Activo.
5. Los clientes FTPs pueden ser de modo grfico o texto.
6. El servidor FTP sobre SSL slo soporta clientes FTP de entorno grfico.
unidad:
o https://technet.microsoft.com/es-es/library/hh831655.aspx#Step1

1.3 SERVICIO RRAS

1.3.1 Fundamentos del servicio RRAS
El Servicio de enrutamiento y acceso remoto (RRAS10) recibe su nombre debido a que

proporciona dos servicios principales de red las cuales son enrutamiento y acceso
remoto.
1.3.1.1 Enrutamiento
Un enrutador o router es un dispositivo intermedio que administra el flujo de datos

entre segmentos de red o subredes. El enrutador se encarga de direccionar los
paquetes entrantes y salientes basndose en la informacin sobre el estado de sus
propias interfaces de red y una lista de posibles orgenes y destinos del trfico de red.
Al proyectar el trfico de red y las necesidades de enrutamiento segn el nmero y los
tipos de dispositivos de hardware y aplicaciones usados en el entorno, es posible
decidir mejor si se va a usar un enrutador de hardware dedicado, un enrutador basado
en software o una combinacin de ambos. Normalmente, los enrutadores de hardware
dedicados controlan mejor las demandas de enrutamiento ms complejas, mientras
que los enrutadores basados en software, que no resultan tan caros, controlan cargas
de enrutamiento ms ligeras.
Para trabajar en un entorno de red pequea y segmentada con un trfico relativamente

ligero es recomendable utilizar una solucin de enrutamiento basada en software,
como RRAS en esta versin de Windows. En cambio, los entornos de red
empresariales con un gran nmero de segmentos de red y una amplia gama de
requisitos de rendimiento pueden necesitar una variedad de enrutadores basados en
hardware para realizar distintos roles en la red.
1.3.1.2 Acceso remoto
Si se configura el servicio RRAS para que acte como un servidor de acceso remoto,
se podr conectar trabajadores remotos o mviles a las redes de la organizacin.
Tenga en cuenta que los usuarios remotos pueden trabajar como si sus equipos
estuvieran conectados directamente a la red.
Todos los servicios que suelen estar a disposicin de un usuario conectado

directamente (incluso el uso compartido de archivos e impresoras, el acceso al
servidor web y la mensajera) se habilitan por medio de la conexin de acceso remoto.
Por ejemplo, en un servidor RRAS, los clientes pueden usar el Explorador de Windows
para realizar conexiones a una unidad y para conectarse a las impresoras. Dado que
las letras de unidad y los nombres de convencin de nomenclatura universal (UNC)
son totalmente compatibles con el acceso remoto, la mayora de las aplicaciones
comerciales y personalizadas funcionan sin necesidad de modificacin. Abordaremos
ms relacionado a este tema en la siguiente unidad de este manual.
10
Siglas en ingls de Routing and Remote Access Service

1.3.2 Escenarios de enrutamiento
El uso del servicio RRAS permite implementar tres escenarios de enrutamientos

tpicos.
1.3.2.1 Escenario de enrutamiento simple
En la siguiente ilustracin, se muestra una configuracin de red simple con un servidor

RRAS que conecta dos segmentos de red de rea local (LAN), las redes A y B. En
esta configuracin, no se requiere un protocolo de enrutamiento porque el enrutador
est conectado a todas las redes a las que necesita enrutar paquetes.
Figura 5: Conexin enrutada entre dos segmento de rea local (LAN)

Fuente.- Tomado de https://technet.microsoft.com/es-pe/library/dd469784.aspx
1.3.2.2 Escenario de varios enrutadores
En la siguiente ilustracin, se muestra una configuracin ms compleja de

enrutadores. Esta vez se cuenta con tres redes (redes A, B y C) y dos enrutadores
(enrutadores 1 y 2). El enrutador 1 est en las redes A y B, mientras que el enrutador 2
est en las redes B y C. El enrutador 1 debe notificar al enrutador 2 que se puede
tener acceso a la red A a travs del enrutador 1 y viceversa el enrutador 2 debe
notificar al enrutador 1 que se puede tener acceso a la red C a travs del enrutador 2.
Esta informacin se comunica mediante un protocolo de enrutamiento11, como el
protocolo de informacin de enrutamiento (RIP versin 2) usado para IPv4.
Figura 6: Conexin enrutada entre tres redes

11
La informacin de enrutamiento IP se propaga mediante protocolos. Los dos protocolos de
enrutamiento IP ms comunes utilizados en intranets son el Protocolo de informacin de
enrutamiento (RIP, Routing Information Protocol) y Abrir la ruta de acceso ms corta primero
(OSPF, Open Shortest Path First).

El funcionamiento de este escenario es el siguiente: por ejemplo cuando un usuario de

la red A desea comunicarse con un usuario de la red C, el equipo del usuario de la red
A reenva el paquete al enrutador 1. Luego, el enrutador 1 reenva el paquete al
enrutador 2 y ste lo reenva al equipo del usuario de la red C.
Si no se desea utilizar protocolos de enrutamiento, la otra opcin seria establecer rutas

estticas; para ello, un administrador de redes debe especificar rutas estticas en las
tablas de enrutamiento del enrutador 1 y del enrutador 2. Tenga en cuenta que las
rutas estticas no funcionan bien en redes de gran tamao ni se recuperan despus
de realizar cambios en la topologa de la red.
1.3.2.3 Escenario de enrutamiento de marcado a peticin
En la siguiente ilustracin, se muestra una configuracin de enrutamiento que usa

marcado a peticin. Las redes A y B estn separadas geogrficamente y, por la
cantidad de trfico que se transfiere entre las redes, no resulta econmico una
concesin de vnculo de red de rea extensa (WAN). El enrutador 1 y el enrutador 2
pueden conectarse a travs de una lnea telefnica analgica mediante un mdem u
otro tipo de conectividad como ISDN (RDSI) en cada extremo. Cuando un equipo de la
red A inicia la comunicacin con un equipo de la red B, el enrutador 1 establece una
conexin con el enrutador 2. La conexin se mantiene solo mientras se estn enviando
o recibiendo paquetes. Si la conexin est inactiva, el enrutador 1 se desconecta para
reducir los costos de conexin.
Figura 7: Conexin enrutada entre dos redes separadas geogrficamente

1.3.3 Implementacin del servicio RRAS para enrutamiento
El objetivo de esta seccin es implementar un escenario de enrutamiento simple. En

este escenario, se cuente con un nuevo servidor llamado SERVER_B que emular el
trabajo de un router. Se contar con dos reas de red (LAN y WAN), por lo que este
equipo tendr dos interfaces de red, donde una de ellas estar conectado a los
clientes y la otra a los servidores.
La red LAN cuya direccin de red es 10.0.0.0/8 es el lugar donde estarn los usuarios
Web y FTP representados por el equipo CLIENTE. La red WAN de direccin de red
192.168.1.0/24 es el lugar donde se alojarn nuestros servidores (controlador de
dominio, servidor DNS, servidor Web, servidor FTP) representados por el SERVER_A

Figura 8: Arquitectura de Red del Servicio RRAS
1. En el equipo CLIENTE, elija Panel de control/Redes e internet/Centro de redes y

recursos compartidos/Cambiar configuracin del adaptador. Luego, haga clic
Propiedades. Despus, haga clic en Protocolo de Internet versin 4 (TCP/IPv4)
y configure el direccionamiento IP tal como se indica en la siguiente imagen:
2. En el servidor SERVER_B, seleccione Control Panel/Network and

configure el direccionamiento IP tal como se indica en la siguiente imagen:

3. Adems, en el mismo servidor SERVER_B nos dirigimos a Control Panel/Network

and internet/Network and Sharing Center/Change adapter settings. Luego,
haga clic derecho sobre el adaptador Ethernet 2 (renombrado como WAN) y
seleccione Properties. Despus, haga clic en Internet Protocol Versin 4
imagen:

adaptador Ethernet (renombrado como WAN) y seleccione Properties. Despus,

1.3.3.2 Instalacin del rol Remote Access
Este rol ser instalado en el SERVER_B por lo que se ejecutarn los siguientes pasos:
1. Inicie Server Manager y haga clic en Add roles and features


feature-based installation, ello permite la instalacin de roles y caracteristicas
para la configuracin de nuestro servidor. Luego, haga clic en Next.

server from the server pool, ello indica que se est eligiendo a nuestro servidor
SERVER_B para que en l se instalen los roles y caractersticas. Luego, haga clic
en Next.

5. En la ventana Select server roles, seleccione el rol Remote Access y haga clic en
Next.

seleccionadas por defecto por el sistema, por lo que haga clic en Next

7. Luego, en la ventana Remote Access, haga clic en Next.
8. En la ventana Select roles services, seleccione DirectAccess and VPN (RAS).
9. Inmediatamente, aparece la ventana Add features that are required for

DirectAccess and VPN (RAS)? que nos indica que para poder instalar
DirectAccess and VPN (RAS) se debe adicionar algunas caractersticas que aun
no han sido instaladas, por lo que haga clic en el botn Add Features.

10. Tambin, en la ventana Select role service, seleccione Routing y haga clic en
Next.
11. En la ventana Web Server Role (IIS), haga clic en Next para instalar dicho rol al
SERVER_B (tenga en cuenta que los roles Remotes Access y web server (IIS)
trabajan en forma conjunta).

12. En la ventana Select role services, deje seleccionados los servicios que por
defecto sern instalados para el rol Web Server (IIS), luego, haga clic en Next.

caractersticas que se han seleccionado para la instalacin de nuestro rol, luego,

14. Finalmente, luego de esperar algunos minutos haga clic en Close. De esa manera,
ya se tiene instalado de forma exitosa los roles Remote Access y Web Server
(IIS)

1.3.3.3 Configuracin del Router
Nuestro servidor SERVER_B ser configurado para que realice el trabajo de emular
como un router ulitizando el servicio de Remote Access. Para ello, ejecute los
siguientes pasos:
1. Abra Server Manager del SERVER_B y en la pestaa Tools, haga doble clic a la
opcin Routing and Remote Access.
2. En la ventana Routing and Remote Access, haga clic derecho sobre el servidor
SERVER_B (local) y seleccione la opcin Configure and Enable Routing and
Remote Access.
3. Luego, en la ventana Welcome to the Routing and Remote Access Server Setup
Wizard haga clic en Next.

4. En la ventana Configuration, seleccione la opcin Custom configuration y haga

clic en Next.
5. En la ventana Custom Configuration, seleccione la opcin LAN routing y haga

clic en Next.

6. En la ventana Completing the Routing and Remote Access Server Setup

Wizard, haga clic en Finish.
7. Por ltimo, haga clic en el boton Start service para iniciar el servicio.

Agregando un protocolo de enrutamiento IP (opcional)
1. En la ventana Routing and Remote Access, despliegue el servidor SERVER_B

(local) y dentro de el despliegue IPv4. Luego, haga clic derecho sobre General y
seleccione New Routing Protocol.
En la ventana New Routing Protocol, seleccione RIP Version 2 for Internet

Protocol y haga clic en OK.
2. Luego, haga clic derecho sobre RIP el cual est dentro de IPv4 y seleccione la
opcin New Interface.

3. En la ventana New Interface for RIP Vesrion 2 for Internet Protocol, seleccione
la interface en el cual funcionar RIP, en nuestro caso escoja la interface LAN y
luego, haga clic en OK.
4. En la ventana RIP Properties LAN Properties, deje las selecciones hechas por
defecto por el sistema y haga clic en Apply y despus en OK.

1.3.3.4 Verificacin del correcto funcionamiento de la implemetancin del

servicio RRAS para enrutamiento
Pruebas de Conectividad mediante el uso de lneas de comando
En esta prueba, use los comandos ping y tracert.
1. En el equipo CLIENTE, abra CMD y haga ping y tracert a la direccin IP de nuestro

servidor SERVER_A. Para ello, ejecute los comandos ping 192.168.1.100 y tracert
192.168.1.100

2. De la misma forma que el paso 1, en nuestro servidor SERVER_A, abra CMD y haga
ping y tracert a nuestro equipo CLIENTE; para ello, ejecute los comandos ping
10.0.0.100 y tracert 10.0.0.100
Verificacin de la tabla de enrutamiento
1. En el CMD del servidor que trabaja como router (SERVER_B), ejecute el comando
route print.


Resumen
1. Un enrutador o router es un dispositivo intermedio que sirve para interconectar
redes. Gracias al servicio RRAS se puede lograr que un servidor emule el trabajo
de un router.
2. El servicio de enrutamiento y acceso remoto forma parte del rol Remote Access en
Windows Server 2016.
3. Una solucin de enrutamiento basado en software es ideal para el trabajo en un

pequeo entorno de red con un trfico relativamente ligero.
4. Dentro de los escenarios de enrutamiento que se puede implementar se tiene el

escenario simple, el de varios enrutadores y el de marcado a peticin
5. El servicio RRAS brinda protocolos de enrutamiento a travs de redes LAN, y WAN
6. La implementacin del servicio RRAS necesita como mnimo 2 interfaces de red
Puede revisar los siguientes enlaces para ampliar los conceptos vistos en esta unidad:
o http://www.cisco.com/c/es_mx/products/routers/index.html
o https://technet.microsoft.com/es-pe/library/dn636119.aspx
o https://technet.microsoft.com/es-es/library/dn614140.aspx
o https://technet.microsoft.com/es-pe/library/dd469784.aspx


UNIDAD
2
REDES PRIVADAS VIRTUALES
Al trmino de la unidad, el alumno implementa y administra redes virtuales

empleando la herramienta administrativa Routing and Remote Access.
TEMARIO
2.1.1 : Fundamentos del servicio VPN

2.1.2 : Configuracin del Servidor VPN
2.1.3 : Implementacin del servicio VPN para clientes remotos
Los alumnos implementan un servicio VPN con el protocolo PPTP para

clientes remotos.
Los alumnos implementan un servicio VPN con el protocolo L2TP para
clientes remotos.


2.1 SERVICIO VPN

2.1.1 Fundamentos del servicio VPN
Una red privada virtual (VPN, Virtual Private Network) es la extensin de una red
privada que incluye vnculos de redes compartidas o pblicas como Internet. Con una
red privada virtual, se puede enviar datos entre dos host a travs de una red
compartida o pblica de forma que emula un vnculo privado punto a punto.
Las funciones de red privada virtual consisten en crear y configurar una misma red con
estas caractersticas. Para emular un vnculo punto a punto, los datos se encapsulan o
empaquetan con un encabezado que proporciona la informacin de enrutamiento que
permite a los datos recorrer la red compartida o pblica hasta alcanzar su destino.
Para emular un vnculo privado, los datos se cifran para asegurar la confidencialidad.
Los paquetes interceptados en la red compartida o pblica no se pueden descifrar si
no se dispone de las claves de cifrado. El vnculo en el que se encapsulan y cifran los
datos privados es una conexin de red privada virtual (VPN).
La siguiente ilustracin muestra el equivalente lgico de una conexin VPN.
Figura 9: Equivalencia lgica de una conexin VPN

Fuente.- Tomado de https://technet.microsoft.com/es-es/library/dd469653.aspx

2.1.1.1 Tipos de conexiones VPN
Existen dos tipos de conexiones VPN:
VPN de acceso remoto
Los usuarios que trabajan en casa o que estn de viaje pueden usar conexiones VPN
para establecer una conexin de acceso remoto al servidor de una organizacin
mediante la infraestructura que proporciona una red pblica como Internet. Desde la
perspectiva del usuario, la red privada virtual es una conexin punto a punto entre el
equipo (el cliente VPN) y el servidor de la organizacin (el servidor VPN). La
infraestructura exacta de la red compartida o pblica es irrelevante dado que,
lgicamente, parece como si los datos se enviarn a travs de un vnculo privado
dedicado.
VPN de sitio a sitio
Las organizaciones tambin pueden utilizar conexiones VPN para establecer

conexiones enrutadas con oficinas alejadas, geogrficamente, o con otras
organizaciones a travs de una red pblica como Internet al mismo tiempo que
realizan comunicaciones seguras. Una conexin VPN enrutada a travs de Internet
funciona como un vnculo de WAN dedicado.
Figura 10: Conexin mediante VPN de dos sitios remotos a travs de Internte
Fuente.- Tomado de https://technet.microsoft.com/es-es/library/dd469653.aspx
Gracias al acceso remoto y a las conexiones enrutadas, una organizacin puede

utilizar conexiones VPN para realizar conexiones a larga distancia, o lneas
concedidas para conexiones locales o con un Proveedor de servicios Internet (ISP).
2.1.1.2 Protocolos de tnel VPN
En la familia Microsoft Windows Server 2016 hay cuatro tipos de tecnologa VPN
basadas en el Protocolo punto a punto (PPP):
Protocolo de tnel punto a punto (PPTP)
PPTP utiliza mtodos de autenticacin PPP de nivel de usuario y cifrado punto a punto
de Microsoft (MPPE) para cifrar los datos.
Protocolo de tnel de capa 2 (L2TP) con seguridad de protocolo Internet

(IPSec)
L2TP utiliza mtodos de autenticacin PPP de nivel de usuario y certificados de nivel

de equipo con IPSec para cifrar los datos, o IPsec en modo tnel, en el que IPsec
proporciona encapsulacin (slo para el trfico IP).

Protocolo de tnel de socket seguro (SSTP)
SSTP es la nueva forma de tnel de VPN con caractersticas que permiten al trfico
pasar a travs de los firewalls que bloquean el trfico PPTP y L2TP. SSTP brinda un
mecanismo para encapsular trfico PPP sobre el canal SSL del protocolo HTTPS
Intercambio de claves de internet (IKEv2)
IKEv2 permite el trfico de mltiples protocolos que se codifiquen y luego,

encapsulados en una cabecera IPsec para ser enviados a travs de una red IP privada
o una red Ip pblica. IKEv2 supone una alternativa al intercambio manual de claves.
Su objetivo es la negociacin de una Asociacin de Seguridad para IPSEC. Permite,
adems, especificar el tiempo de vida de la sesin IPSEC, autenticacin dinmica de
otras mquinas, etc
Es importante referir, a pesar de que no ser implementado en este manual, que el rol
Remote Access no solo brinda servicios de enrutamiento y VPN sino que adiciona el
servicio de DirectAccess12. Pese a que en Windows Server 2008 R2 el servicio VPN
no poda coexistir en el mismo servidor perimetral con DirectAccess por lo que se
deba de implementar y administrar de forma separada de DirectAccess. Hoy en dia
esta situacin cambia pues en Windows Server 2016 dichos servicios se encuentran
unificados en un nuevo rol de servidor permitiendo la administracin configuracin y
supervisin de los mismos.
2.1.2 Configuracin del Servidor VPN
En este nuevo escenario, el servidor SERVER_B ser configurado como un servidor

VPN mientras que el equipo CLIENTE ser configurado como un cliente remoto VPN.
Se requiere de la instalacin del rol Remote Access e implementar el servicio
DirectAccess and VPN (RAS); sin embargo, es preciso recordar que dichos servicios
ya fueron instalados de forma satisfactoria en el SERVER_B (se le invita a revisar la
seccin 1.3.3.2 que est comprendido por las pginas del 81 al 88)
2.1.3 Implementacin del servicio VPN para clientes remotos
En esta seccin, implementaremos como tipo de conexin un VPN de acceso remoto,

adems, trabajaremos con los protocolos de tuneles PPTP y L2TP/IPSec.
SERVER_B ser el servidor VPN, quien ser unido al dominio cibertec.com para que
use la base de datos de cuenta del dominio. Se contar con dos reas de red
(EXTERNA e INTERNA) por lo que este equipo tendr dos interfaces de red, donde
una de ellas estar conectado remotamente por medio de internet a los clientes y la
otra a los servidores.
La red EXTERNA cuya direccin de red es 10.0.0.0/8 es el lugar donde estarn los
usuarios desde ubicaciones remotas representados por el equipo CLIENTE. La red
12
Es una caracterstica de acceso remoto que permite conectarse a los recursos de la red
corporativa sin necesidad de establecer conexiones de red privada virtual (VPN). DirectAccess
establece una conectividad bidireccional con una red interna cada vez que un equipo con
DirectAccess habilitado se conecta a Internet. Los usuarios no tienen que preocuparse de
conectarse a la red interna y los administradores de TI pueden administrar los equipos remotos
fuera de la oficina, incluso cuando los equipos no estn conectados a la red VPN.

INTERNA de direccin de red 192.168.1.0/24 es el lugar donde se alojarn nuestros

servidores (controlador de dominio, servidor DNS, servidor Web, servidor FTP)
representados por el SERVER_A.
Figura 11: Arquitectura de Red del Servicio VPN
2.1.3.1Configuracin de direccionamiento de red para los equipos
1. En el equipo CLIENTE, seleccione Panel de control/Redes e internet/Centro de

haga clic derecho sobre el adaptador Ethernet (renombrado como EXTERNA) y
imagen:

derecho sobre el adaptador Ethernet (renombrado como EXTERNA) y seleccione

3. Adems, en el mismo servidor SERVER_B, elija Control Panel/Network and

derecho sobre el adaptador Ethernet 2 (renombrado como INTERNA) y seleccione
4. En el servidor SERVER_A seleccione Control Panel/Network and

derecho sobre el adaptador Ethernet (renombrado como INTERNA) y seleccione

2.1.3.2 Configuracin del servicio VPN
opcin Remote Access Management.
2. En la ventana Remote Access Management Console, haga clic donde dice

DirectAccess and VPN.

3. Luego, haga clic en Run the Remote Access Setup wizard.
4. En la nueva ventana Configure Remote Access, seleccione la opcin Deploy VPN

only.
5. En la ventana Routing and Remote Access, haga clic derecho sobre nuestro
servidor SERVER_B (local) y seleccione la opcin Configure and Enable Routing
and Remote Access.

6. Luego, en la ventana Welcome to the Routing and Remote Access Server Setup
Wizard, haga clic en Next para continuar.
7. En la ventana de Configuration, seleccione la opcin Remote Access (dial-up or

VPN) y haga clic en Next.

8. En la ventana Remote Access, seleccione la opcin VPN y haga clic en Next.
9. Ahora en la ventana VPN Connection, seleccione la interfaz que conecta este

servidor con internet la cual es EXTERNA y luego, haga clic en Next.

10. En la ventana IP Address Assignment, seleccione la opcin From a specified

range of addresses ya que se asignar un rango especifico de direcciones ip para
que los clientes remotos accedan a la red Interna. Luego, haga clic en Next.
11. En la ventana Address Range Assignment, haga clic en New.

12. De forma inmediata, aparece una nueva ventana llamada New IPv4 Address
Range en el cual se asignarn 11 direcciones IP de la red 192.168.1.0/24 para los
clientes VPN. En el campo Start IP address, escriba por ejemplo la direccin IP
192.168.1.200 y en el campo End IP address, 192.168.1.210, luego, haga clic en
OK.
13. Luego en la ventana Address Range Assignment, haga clic en Next.

14. En esta implementacin, no se utilizar un servidor RADIUS13 por lo que en la

ventana Managing Multiple Remote Access Servers, escoja la opcin No, use
Routing and Remote Access to authenticate connection requests. Luego,
haga clic en Next.
15. En la ventana Completing the Routing and Remote Access Server Setup
Wizard, haga clic en Finish.
13
El nombre RADIUS es el acrnimo de Remote Authentication Dial In User Services, es decir
estos servidores se encargan de la gestin de cuentas de usuarios para autenticar el acceso a
los proveedores de servico de Internet.

16. Por ltimo, aparece un mensaje relacionado al uso de DHCP Relay Agent el cual
se omitir, pues para esta implementacin no se ha configurado el servicio
DHCP.Cierre la ventana haciendo clic en OK.
17. De esa manera, observe en SERVER_B / IPv4 / General de la ventana Routing

and Remote Access que las interfaces han sido creadas de forma exitosa.

2.1.3.3 Configuracin de los permisos de acceso a los usuarios VPN
Ahora, se brindarn permisos a los usuarios scamacho y sdiaz de nuestro dominio

cibertec.com (implementado en el SERVER_A) para que sean nuestros usuarios VPN.
opcin Active Directory Users and Computers.
2. En la ventana Active Directory users and Computers, haga clic derecho en el

usuario scamacho de la carpeta Users y seleccione la opcin Properties.

3. En la ventana scamacho Properties, seleccione la pestaa Dial-in.
4. Luego, en el campo Network Access Permission de Dial-in, seleccione Allow

Access para permitir el acceso remoto al usuario scamacho y finalmente, haga clic
en Apply y luego, en OK.

5. Por ltimo, realice la misma configuracin de los pasos del 2 al 4 para el usuario
sdiaz.

2.1.3.4 Uniendo el servidor VPN (SERVER_B) al dominio cibertec.com
1. En la ventana Explorador del SERVER_B, haga clic derecho sobre This PC y

seleccione la opcin Properties.
2. En la ventana System, haga clic en Change settings.
3. Ahora en la ventana System Properties, haga clic en el botn Change.

4. Luego, en la ventana Computer Name/Domain Changes, escriba en la opcin

Domain de Member of el nombre del dominio cibertec.com y haga clic en OK.
5. En la ventana Windows Security, brinde las credencianles del administrador del

dominio cibertec.com por lo que en el primer casillero, escriba como usuario
Administrator y en el segundo la contrasea P@ssw0rd, luego, haga clic en OK.

6. Luego, en la ventana de bienvenida al dominio cibertec.com, haga clic en OK.
7. Luego, para que se efecten los cambios en el sistema, se debe reiniciar el equipo,
por lo que haga clic en OK.

2.1.3.5 Configuracin del Cliente VPN con el uso del protocolo PPTP
1. En el Panel de control de nuestro equipo CLIENTE y seleccione la opcin Ver el

estado y las tareas de red de la categoria Redes e Internet.
2. En la ventana Centro de redes y recursos compartidos, en la opcin Cambiar la

configuracin de red, haga clic en Configurar una nueva conexin o red.
3. En la ventana Elegir una opcin de conexin, seleccione la opcin Conectarse a

un rea de trabajo y haga clic en Siguiente.

4. En la ventana Cmo desea conectarse?, seleccione la opcin Usar mi conexin

a Internet (VPN).
8. En la ventana Desea configurar una conexin a Internet antes de continuar?,

seleccione la opcin Configurar ms tarde una conexin a Internet.

9. En la ventana Escribe la direccin de Internet a la que se conectar, escriba la

direccin IP externa de nuestro servidor VPN y un nombre para la conexin, ingrese
los siguientes datos:
Direccin de Internet: 10.0.0.1
Nombre del destino: Ciber VPN 1
Luego, haga clic en Crear.
10. Luego, en la ventana Centro de redes y recursos compartidos de la categora

Redes e Internet del Panel de control, haga clic en la opcin Cambiar
configuracin del adaptador.

11. En la ventana Conexiones de Red, haga clic derecho sobre la conexin Ciber
VPN 1 y seleccione la opcin Conectar o desconectar.
12. Luego, haga clic en la conexin Ciber VPN 1 del panel derecho.
13. Y haga clic en el botn Conectar.

14. Ahora, inicie la sesin con el usuario scamacho cuya contrasea es P@ssw0rd,
luego, haga clic en Aceptar.
15. Ahora puede observar que la conexin Ciber VPN 1 se ha realizado de forma
exitosa.

2.1.3.6 Verificacin del correcto funcionamiento de la implementacin del

servicio VPN para clientes remotos
Pruebas de Conectividad mediante el uso de lneas de comando
En esta prueba, se usar los comandos ipconfig, ping y tracert
1. En el equipo CLIENTE, abra CMD y ejecute el comando ipconfig /all
2. Ahora, haga ping y tracert a la direccin IP de nuestro servidor SERVER_A

ejecutando los comandos ping 192.168.1.100 y tracert 192.168.1.100.

Prueba mediante el uso de la herramienta administrativa Routing and Remote

Access
1. Ahora abra Server Manager de SERVER_B y en la pestaa Tools, haga doble clic
a la opcin Routing and Remote Access.
2. En SERVER_B (local) / IPv4 / General de la ventana Routing and Remote

Access, se puede contemplar la correcta transaccin de bytes por la interfaz
Internal.

3. Y por ltimo en SERVER_B (local) / Remote Access Clients, se puede observar

la conexin de los clientes VPN tal es el caso del usuario scamacho.
2.1.3.7 Configuracin del Cliente VPN con el uso del protocolo L2TP/IPSec
opcin Routing and Remote Access.

2. En la ventana Routing and Remote Access, haga clic derecho sobre SERVER_B
(local) y seleccione la opcin Properties.
3. En la ventana SERVER_B (local) Properties, seleccione la pestaa Security.
Luego, seleccione Allow custom IPsec policy for L2TP/IKEv2 connection y en el

casillero Preshared Key14, escriba como clave 12345678. Despus, haga clic en
Apply y luego, en OK.
14
Sus siglas en ingles es PSK, es una clave secreta que previamente se comparte en ambas
partes (Servidor-Cliente) usando un canal seguro antes que se utilice.

5. Ahora en el equipo CLIENTE y en su Panel de control, seleccione la opcin Ver el

estado y las tareas de red de la categoria Redes e Internet.
6. En la ventana Centro de redes y recursos compartidos, elija la opcin Cambiar

la configuracin de red y haga clic en Configurar una nueva conexin o red.

7. En la ventana Configurar una conexin o red, seleccione la opcin Conectarse a

un rea de trabajo y haga clic en Siguiente.
8. En la ventana Cmo desea conectarse?, Seleccione la opcin Usar mi

conexin a Internet (VPN).

9. En la ventana Desea configurar una conexin a Internet antes de continuar?,

seleccione la opcin Configurar ms tarde una conexin a Internet.
10. En la ventana Escribe la direccin de Internet a la que se conectar, escriba la

direccin IP externa de nuestro servidor VPN y un nombre para la conexin por lo
que ingresamos los siguientes datos:
Direccin de Internet: 10.0.0.1
Nombre del destino: Ciber VPN 2
Luego, haga clic en Crear.
11. Luego, en la ventana Centro de redes y recursos compartidos de la categora

Redes e Internet del Panel de control, haga clic en la opcin Cambiar
configuracin del adaptador.

12. En la ventana Conexiones de Red, haga clic derecho en la conexin Ciber VPN 2
y seleccione la opcin Propiedades.
13. En la ventana Propiedades de Ciber VPN 2, seleccione la pestaa Seguridad.
14. Luego, en Tipo de VPN, seleccione la opcin Protocolo de tnel de nivel 2 con
IPsec (L2TP/IPsec) y haga clic en Configuracin avanzada.

15. Ahora en la ventana Propiedades avanzadas, seleccione la opcin Usar clave

previamente compartida para autenticar y en Clave escriba nuestra contrasea
el cual es 12345678. Luego, haga clic en Aceptar.
16. Luego, en la ventana Propiedades de Ciber VPN 2, haga clic en en botn

Aceptar.

17. Luego, en la ventana Conexiones de Red, haga clic derecho sobre la conexin
Ciber VPN 2 y seleccione la opcin Conectar o desconectar.
18. Despus, haga clic en la conexin Ciber VPN 2 del panel derecho.
19. Y haga clic en el botn Conectar.

20. Inicie sesin con el usuario sdiaz cuya contrasea es, luego, haga clic en Aceptar.
21. Luego de esperar algunos segundos, puede observar que la conexin Ciber VPN 2
se ha realizado de forma exitosa.

Resumen
1. La implementacin de una red VPN permite extender la red de la empresa de forma
segura y confiable.
2. El servicio VPN trabaja con dos tipos de conexiones, VPN de acceso remoto y VPN
de sitio a sitio.
3. VPN de acceso remoto esta diseado para usuarios que trabajan en casa o se
encuentran de viaje y necesiten establecer una conexin al servidor de una
organizacin por una red publica como internet.
4. VPN de sitio a sitio permite establecer conexiones enrutadas con oficinas alejadas
geogrficamente de una organizacin (sucursales) a travs de internet. Funciona
como un vnculo de WAN dedicado.
5. Los 4 protocolos de tnel VPN soportados por Windows Server 2016 son: PPTP,
L2TP/IPSec, SSTP e IKEv2.
o https://msdn.microsoft.com/es-es/library/jj635995.aspx
o https://technet.microsoft.com/es-pe/library/ff687723(v=ws.10).aspx

UNIDAD
3
FUNDAMENTOS DE SEGURIDAD
DE RED
Al trmino de la unidad, el alumno implementa el acceso seguro a servicios

Web y enva actualizaciones automticas a los equipos de la red mediante el
uso de certificados digitales y la herramienta administrativa Windows Server
Update Services.
TEMARIO
3.1 Tema 5 : Administracin de Windows Server Update Services

3.1.1 : Fundamentos de WSUS
3.1.2 : Configuracin del Servidor WSUS
3.1.3 : Implementacin y gestin de WSUS
3.2 Tema 6 : Asegurando el Servidor WEB

3.2.1 : Fundamentos de los Servicios de Certificados de Active
Directory
3.2.2 : Configuracin del Servidor Autoridad Certificadora
3.2.3 : Implementacin de certificacin digital emitida por la Autoridad
Los alumnos implementan y gestionan el servicio WSUS.

Los alumnos implementan certificados digitales para asegurar el servicio
WEB.


3.1 ADMINISTRACIN DE WINDOWS SERVER UPDATE

SERVICES
3.1.1 Fundamentos de WSUS
Windows Server Update Services (WSUS) es una herramienta para administrar y

distribuir actualizaciones de software que resuelven conocidas vulnerabilidades de
seguridad y brinda estabilidad al sistema operativo Windows y sus versiones
modernas, como a otras aplicaciones de Microsoft.
Tradicionalmente, los administradores mantienen actualizado los sistemas por medio

de una frecuente verificacin del web site Microsoft Update o el web site Security para
actualizaciones de software. Los administradores descargan manualmente las
actualizaciones disponibles, verifican las actualizaciones en ambientes de prueba y
luego, las distribuyen manualmente o usando la herramienta tradicional de distribucin
de software. Por medio de WSUS, los administradores pueden realizar estas tareas
automticamente.
Qu es Microsoft Update?
Microsoft Update es un sitio web que mantiene sus sistemas actualizados. Es usado
para obtener las actualizaciones de los sistemas operativos, las aplicaciones de
Windows, los controladores de los dispositivos y softwares. Los nuevos contenidos son
agregados regularmente a este sitio web por lo que siempre se puede obtener las
actualizaciones ms recientes para proteger a los servidores y las computadoras
clientes de la red.
Qu son las actualizaciones?
Las actualizaciones pueden incluir arreglos en la seguridad, actualizaciones crticas, o

controladores crticos. Estas actualizaciones resuelven problemas conocidos de
seguridad y brinda estabilidad en los sistemas operativos de Windows. El sitio web de
Microsoft Update tambin tiene actualizaciones para aplicaciones tales como Microsoft
Office, Microsoft Exchange Server y Microsoft SQL Server.
Las categoras de las actualizaciones
Las categoras de las actualizaciones para los sistemas operativos de Windows son
las siguientes:
Actualizaciones crticas
Soluciona problemas de seguridad y otras actualizaciones importantes para mantener
nuestras computadoras y redes de forma segura.
Descargas recomendadas
Contiene los ltimos service packs de Windows y Microsoft Internet Explorer y otras
actualizaciones importantes.
Herramientas de Windows
Son utilidades y otras herramientas qu son brindadas para mejorar el rendimiento y
facilitar las actualizaciones.

Qu son las actualizaciones automticas?
Una actualizacin automtica (Automatic Updates) representa una opcin configurable

en Windows que permite descargar e instalar actualizaciones al sistema operativo sin
ninguna intervencin por parte del usuario. Las actualizaciones pueden ser
descargadas desde el sitio web Microsoft Update o desde un servidor WSUS. La
configuracin de Automatic Updates puede ser controlado, de manera centralizada,
por el administrador
Escenarios para la implementacin del servicio WSUS
Se puede implementar el servicio WSUS en varios escenarios segn sea el caso mas
apropiado para la organizacin.
Un solo servidor WSUS (red pequea o sencilla)
En un escenario con un solo servidor WSUS, los administradores pueden configurar

un servidor que ejecute WSUS dentro de su firewall corporativo, el cual sincroniza el
contenido directamente con Microsoft Update y distribuye las actualizaciones entre los
equipos cliente, tal y como se muestra en la figura siguiente.
Figura 12: Implementacin simple de WSUS

Fuente.- Tomado de https://technet.microsoft.com/es-es/library/hh852344.aspx#BKMK_1.2
Varios servidores WSUS independientes
Los administradores pueden implementar varios servidores configurados de forma que

cada uno sea administrado, independientemente, y sincronice su contenido desde
Microsoft Update, tal como se muestra en la figura siguiente. El mtodo de
implementacin en este escenario sera apropiado en situaciones en las que los
diferentes segmentos de redes de rea local (LAN) o redes de rea extensa (WAN) se
administran como entidades separadas (por ejemplo, sucursales). Tambin, sera
adecuada cuando un servidor que ejecuta WSUS se ha configurado para implementar

actualizaciones slo en equipos cliente que ejecutan un sistema operativo determinado

(como, por ejemplo, Windows 8.1), mientras otro servidor se ha configurado para
implementar actualizaciones slo en equipos cliente que ejecutan otros sistemas
operativos (como, por ejemplo, Windows 10).
Figura 13: Implementacin de Servidores WSUS autnomos

Varios servidores WSUS sincronizados internamente
Los administradores pueden implementar varios servidores que ejecuten WSUS y que
sincronicen todo el contenido de la intranet de la organizacin. En la figura siguiente,
slo hay un servidor expuesto a Internet. En esta configuracin, ste es el nico
servidor que descarga actualizaciones desde Microsoft Update. Este servidor est
establecido como el servidor que precede en la cadena, con cuyo origen se sincroniza
el servidor que sigue en la cadena. Si es necesario, los servidores pueden ubicarse a
travs de una red, geogrficamente, dispersa para ofrecer la mejor conectividad
posible a todos los equipos cliente.
Figura 14: Implementacin de varios Servidores WSUS


Servidores WSUS en modo de rplica
Este modo tambin es denominado administracin centralizada, funciona con un

servidor WSUS que precede en la cadena y que comparte actualizaciones, estados de
aprobacin y grupos de equipos con los servidores que siguen en la cadena.Los
servidores de rplica heredan las aprobaciones de actualizacin y no pueden
administrarse al margen del servidor WSUS que los precede, es decir trabajan de un
modo jerarquico .La siguiente imagen muestra cmo se podran implementar
servidores WSUS de rplica en un entorno de sucursal:
Figura 15: Implementacin de Servidores WSUS en modo de rplica

Servidores WSUS desconectados
Si la directiva corporativa u otras condiciones limitan el acceso del equipo a Internet,

los administradores pueden configurar un servidor interno que ejecute WSUS, tal como
se muestra en la figura siguiente. En este ejemplo, se cre un servidor para conectarlo
a Internet; sin embargo, ste se encuentra aislado de la intranet. Despus que
descargar, probar y aprobar las actualizaciones en este servidor, un administrador
podra, a continuacin, exportar los metadatos y contenido de las actualizaciones a los
medios apropiados. Luego, desde estos medios, el administrador importara los
metadatos y contenido de las actualizaciones en los servidores que ejecutan WSUS
dentro de la intranet. Aunque la figura siguiente muestra este modelo en su forma ms
sencilla, ste podra escalarse a una implementacin de cualquier tamao.

Figura 16: Implementacin de Servidores WSUS desconectados

Servidores WSUS con equipos clientes mviles
Si en la red participan usuarios mviles que inician sesin desde distintas ubicaciones,
se puede configurar WSUS para permitir que estos usuarios actualicen sus equipos
cliente desde el servidor WSUS que tengan geogrficamente ms cerca. La figura 17
muestra un servidor WSUS implementado en cada regin y cada regin es una subred
DNS.Todos los equipos cliente se dirigen al mismo servidor WSUS, que se resuelve
en cada subred como el servidor WSUS fsico ms cercano.
Figura 17: Implementacin de Servidores WSUS con equipos clientes mviles

Sincronizacin
Los servidores que ejecutan WSUS son actualizados en un proceso llamado

sincronizacin. Este proceso compara el software del servidor WSUS con las ltimas
actualizaciones liberadas del sitio web Microsoft Update. Los administradores pueden
configurar este proceso automticamente, o de forma manual.
Sincronizacin programada
La configuracin por defecto para la sincronizacin programada es manual. Esto

significa que el administrador tiene que escoger manualmente descargar las
actualizaciones nuevas para el servidor WSUS. ste es apropiado, nicamente, para
los servidores WSUS desconectados. Para otros servidores WSUS, la sincronizacin
debera ser programada. La programacin diaria permite al servidor WSUS tener las
ltimas actualizaciones. Despus de la sincronizacin el administrador an tiene que
aprobar las actualizaciones antes que sean distribuidas a los clientes.

Clasificacin de productos y actualizaciones
El administrador puede seleccioner productos especficos y clasificar las

actualizaciones para limitar la descarga innecesaria. Por defecto, son descargadas las
actualizaciones crticas y las actualizaciones de seguridad.
Fuente de actualizacin
El administrador puede sincronizar el contenido del servidor WSUS desde el sitio web
de Microsoft Update o desde otra instalacin WSUS. La fuente de actualizacin
depender de cmo se haya planeado la implementacin de WSUS. Un servidor
WSUS independiente sincronizar el contenido desde el sitio web de Microsoft Update,
mientras que el servidor WSUS de una oficina sucursal sincronizar su contenido
desde el servidor WSUS de la oficina principal.
Idioma de actualizacin
El administrador puede indicar las actualizaciones que son descargadas basadas en el

idioma de la actualizacin. Esto reduce el uso del ancho de banda para la descargada
y reduce el espacio de disco requerido para almacenar las actualizaciones. La
configuracin, por defecto, descarga las actualizaciones en todos los idiomas.
Administracin de los grupos de computadoras
Los grupos de computadoras son usados por WSUS para controlar que
actualizaciones son aplicadas, y a que computadoras. Esto permite implementar
etapas en las actualizaciones y reducir la carga en la red. Por ello, los grupos de
computadoras son ideales para testear las actualizaciones en computadoras
especficas antes de distribuir dichas actualizaciones a toda la organizacin.
Computadoras clientes
Las computadoras clientes estn listas en la pgina computers de la consola de

administracin. Estas computadoras son agregadas automticamente a esta pgina
despus se contacta con el servidor WSUS. Una computadora nunca es removida de
manera automtica desde el servidor WSUS. Si se reconfigura una computadora para
usar otro Servidor WSUS, se tendr que remover manualmente la computadora desde
el servidor WSUS original.
Grupos de computadoras por defecto
Todas las nuevas computadoras son agregadas, de forma automtica, a los grupos All
Computers group y Unassigned Computers Group. El grupo All Computers group
brinda una forma conveniente para aplicar actualizaciones a cada computadora
usando un servidor WSUS. El grupo Unassigned Computers Group te permite ver
que computadoras quizs sean nuevas usando el servidor WSUS y necesiten ser
agregadas a un grupo. Despus que las computadoras son agregadas a un grupo
creado por el administrador, ellas ya no formarn parte del grupo Unassigned
Computers Group.
Agregar computadoras a los grupos de stas
Las computadoras pueden ser agregadas manualmente o automticamente a los

grupos. Para agregar de forma manual las computadoras a los grupos, se usa la

consola WSUS Administration. Para agregar las computadoras automticamente, se

debe usar la poltica de grupo Client-side targeting.
Aprobaciones de actualizaciones
Despus que las actualizaciones han sido sincronizadas al servidor WSUS, el

administrador tendr que aprobarlas para inicializar la implementacin.
Aprobar una actualizacin
El administrador puede aprobar la instalacin de una actualizacin, detectar, eliminar,

o declinar. Cuando apruebe una actualizacin especfica la configuracin por defecto
aprobada en el grupo All Computers group, y algunas configuraciones necesarias
por cada grupo de computadora en la ventana aprobar actualizaciones. Sino se
aprueba una actualizacin, el estatus de aprobacin se mantiene como no aprobar y el
servidor WSUS no va realizar ninguna accin para la actualizacin. La excepcin para
esto son las actualizaciones crticas y de seguridad que son aprobadas
automticamente por defecto.
Deteccin
Cuando aprueba una actualizacin para deteccin, la actualizacin no es instalada. En

vez que WSUS verifique si la actualizacin es compatible o necesaria con un grupo de
computadoras. La deteccin ocurre en una hora programada. Despus de la deteccin
puede ver cmo algunas computadoras no tienen la actualizacin instalada y es
necesitada. El nmero requerido para una actualizacin es 0, luego, todas las
computadoras clientes son actualizadas.
Instalacin
La opcin aprobar instalacin ejecuta la actualizacin al grupo de computadoras

seleccionedas. En la instalacin por defecto de WSUS, las actualizaciones no son
descargadas al servidor WSUS hasta que sean aprobadas para la instalacin. Cuando
una actualizacin est aprobada para ser instalada, puede configurar un plazo. La
fecha especificada en el plazo obliga la instalacin de la actualizacin en las
computadoras clientes.
Eliminacin
Si una actualizacin causa problemas despus de ser instalada, esta puede ser
removida por medio de la eliminacin. sto es, particularmente importante si se ha
automatizado la instalacin para ciertas clasificaciones de actualizaciones.
Declinar actualizaciones
Como administrador puedes declinar cualquier actualizacin que no sea relevante.

Una actualizacin declinada es removida de la lista disponible de actualizaciones.
Aprobaciones automticas
El proceso para testear y aprobar actualizaciones nuevas puede ser lento en muchas
organizaciones. Algunas organizaciones han encontrado un menor riesgo en aplicar
actualizaciones crticas y de seguridad, de forma inmediata, antes que esperar que el

proceso de testeo haya sido completado. Esto permite que los nuevos virus no tomen
ventajas de las fallas.
3.1.2 Configuracin del Servidor WSUS
Para la configuracin de este escenario, se cuenta con un solo servidor WSUS. El

servidor SERVER_B ser el servidor WSUS.
1. Previamente se crear una carpeta llamada WSUS en Local Disk (D:) del servidor
SERVER_B, dicha carpeta ser usada para el almacenamiento de las
actualizaciones de modo que los equipos clientes las descarguen de forma rpida.
2. Abra el Server Manager del SERVER_B y haga clic en Add roles and features.



server from the server pool, ello indica que se esta eligiendo al servidor
SERVER_B para que en el se instalen los roles y caractersticas. Luego, haga clic
en Next.

6. En la ventana Select server roles seleccione el rol Windows Server Update

Services y haga clic en Next
7. Inmediatamente aparece la ventana Add features that are required for Windows
Server Update Services? indicando que para poder instalar Windows Server
Update Services se debe adicionar algunas caractersticas, por lo que haga clic en
el botn Add Features.


seleccionadas por defecto por el sistema por lo que haga clic en Next.

10. Luego, en la ventana Windows Server Update Services, haga click en Next.
11. En la ventana Select role services, seleccione los servicios WID Database y
WSUS Services y haga clic en Next.

12. En la ventana Content location selection, seleccione Store updates in the

following location y escriba la ubicacin donde se guardarn las actualizaciones
el cual es D:\WSUS, luego, haga clic en Next.


14. Finalmente, luego, de esperar algunos minutos haga clic en Close. De esa
manera, ya se tiene instalado de forma exitosa el rol Windows Server Update
Services.

3.1.3 Implementacin y gestin de WSUS
Esta seccin tiene como objetivo implementar un escenario simple de WSUS. En este
escenario, se cuenta con el servidor SERVER_B que emular el trabajo de un router y
ser el nico servidor WSUS. Se contar con tres reas de red (LAN, WAN e
INTERNET) por lo que este equipo tendr tres interfaces de red, donde una de ellas
estar conectado a los clientes, la otra a los servidores y el ltimo estar conectado a
internet para acceder al sitio web Microsoft Update.
Web y FTP y WSUS representados por el equipo CLIENTE. La red WAN de direccin
de red 192.168.1.0/24 es el lugar donde se alojarn nuestros servidores (controlador
de dominio, servidor DNS, servidor Web, servidor FTP) representados por el
SERVER_A. La red de INTERNET cuya direccin ser proporcionado por un
proveedor de internet.
Figura 18: Arquitectura de Red de WSUS
1. En el equipo CLIENTE, seleccione a Panel de control/Redes e internet/Centro de

imagen:


3. Adems, en el mismo servidor SERVER_B, seleccione Control Panel/Network

imagen:

4. En el servidor SERVER_A, seleccione Control Panel/Network and

derecho sobre el adaptador Ethernet (renombrado como WAN) y seleccione

3.1.3.2 Configuracin de WSUS
1. Abra Server Manager del SERVER_B y en la pestaa Tools, haga clic a la opcin
Windows Server Update Services.
2. En la ventana Complete WSUS Installation, haga clic en Run y deber esperar

algunos segundos.
3. Luego, haga clic en Close.
4. En la ventana Update Services, despliegue SERVER_B luego, haga clic en

Options y seleccione WSUS Server Configration Wizard.

5. En la ventana Before You Begin, puede encontrar algunas indicaciones antes de

iniciar el asistente de configuracin, luego, de leerlas haga clic en Next.
6. En la ventana Join the Microsoft Update Improvement Program, la corporacin

Microsoft nos realiza la consulta si deseamos participar en el programa de mejora
de Microsoft Update, como esto es opcional desseleccione la opcin Yes, I would
like to join the Microsoft Update Improvement Program para decirles que no.
Luego, haga clic en Next.

7. En vista que en el dominio solo se cuenta con un solo servidor WSUS la

sincronizacin se realizar directamente desde Microsoft Update por lo que en la
ventana Choose Upstream Server, seleccione la opcin Synchronize from
Microsoft Update y haga clic en Next.
8. En la ventana Specify Proxy Server, haga clic en Next puesto que no se cuenta
con un servidor proxy en el dominio.

9. En la ventana Connect to Upstream Server, haga clic en el botn Start

Connecting para descargar la informacin de actualizacin de Micrososft Update,
luego, de esperar algunos minutos haga clic en Next.
10. En la ventana Choose Languages, seleccione los idiomas English y Spanish en

las que nuestro servidor descargar actualizaciones, luego, haga clic en Next.

11. En la ventana Choose Products, seleccione los productos que desea actualizar,
como por ejemplo Windows 8.1 luego, haga clic en Next.
12. En la ventana Choose Classifications, seleccione Critical Updates, Definition

Updates y Security Updates despus haga clic en Next.

13. En la ventana Set Sync Schedule, seleccione Synchronize manually despus

haga clic en Next.
14. En la ventana Finished, deje la sincronizacin para despus y haga clic en Next.

15. En la ventana Whats Next, haga clic en Finish.
16. Por ltimo, se crear el grupo de equipos Finanzas; para ello, en la consola de
administracin de WSUS, haga clic derecho sobre All Computers y seleccione la
opcin Add Computer Group.

17. En la ventana Add Computer Group, escriba Finanzas en Name y luego, haga
clic en el botn Add.

3.1.3.3 Configuracin de GPO para los clientes WSUS
A continuacin, se crear un GPO15 con el nombre WSUS PC Clients para los clientes
WSUS; para ello, ejecute los siguientes pasos en SERVER_A.
1. Abra Server Manager del SERVER_A y en la pestaa Tools, haga clic a la opcin
Group Policy Management.
2. En la ventana Group Policy Management, despliegue Forest: Cibertec.com,

luego, Domains y en cibertec.com, haga clic derecho y seleccione la opcin
Create a GPO in this domain, and Link it here.
15
Siglas en ingls de Group Policy Object (un objeto de directiva de grupo) es un conjunto de
una o ms polticas para la seguridad del sistema

3. En la ventana New GPO, escriba en Name el nombre de WSUS PC Clients y haga

clic en OK.
4. Luego, haga clic derecho sobre la GPO recin creada WSUS PC Clients y
seleccione la opcin Edit.
5. En la ventana Group Policy Management Editor, despliegue la carpeta Policies

de Computer Configuration y luego, despliegue la carpeta Administrative
Templates y dentro de ella Windows Components.

6. Luego, dentro de la carpeta Windows Update, haga clic derecho sobre la poltica
Configure Automatic Updates y seleccione Edit.
7. En la ventana Configure Automatic Updates, seleccione Enabled, luego,

seleccione Auto download and Schedule the installation, despus programe en
Scheduled install days la opcin 0 Every day y en Scheduled install time
18:00. Luego, damos clic en Apply y en Ok.
8. Ahora haga clic derecho sobre la poltica Specify intranet Microsoft Update
service location y seleccione Edit.

9. En la ventana Specify intranet Microsoft Update service location, seleccione

Enabled, luego, en Set the intranet update service for detecting updates y en
Set the intranet statistics server escriba http://server_b (nombre de nuestro
servidor WSUS). Luego, damos clic en Apply y en Ok.
10. Finalmente, haga clic derecho sobre la poltica Enable cliente-side targeting y
seleccione Edit.

11. En la ventana Enable client-side targeting, seleccione Enabled, luego, en Target

group name for this computer, escriba el nombre del grupo de computadoras
(Finanzas) al que pertenecer los equipos. Luego, haga clic en Apply y en Ok.
12. Por ltimo, cierre la ventana Group Pilicy Management Editor.

3.1.3.4 Verificacin del correcto funcionamiento de la implemetancin y gestin

de WSUS
Prueba de sincronizacin
Para obtener actualizaciones, se debe sincronizar el servidor WSUS. Para la

sincronizacin, el servidor WSUS se pone en contacto con Microsoft Update. Una vez
establecido el contacto, WSUS determina si hay actualizaciones nuevas disponibles
desde la ltima vez que se sincroniz. Debido a que es la primera vez que se
sincronizar el servidor WSUS, todas las actualizaciones estn disponibles y listas
para que sean aprobados para su instalacin.
1. En la consola de WSUS, seleccione Synchronizations y haga clic en Synchronize

Now del men Actions. Luego, de esperar varios minutos se puede observar que
la sincronizacin ha sido exitosa.
2. En Updates, se observa un resumen del estadop de todas las actualizaciones.

Aprobacin e implementacin de actualizaciones
En este paso, se aprueba la actualizacin de los equipos cliente de prueba del grupo
de prueba. Los equipos del grupo se comprobarn con el servidor WSUS durante las
24 horas siguientes. Transcurrido este perodo de tiempo, puede utilizar la
caracterstica de generacin de informes de WSUS para determinar si esas
actualizaciones se implementaron en los equipos. Si la comprobacin es correcta,
puede aprobar la misma actualizacin para el resto de los equipos de la organizacin.
1. En la consola de WSUS, seleccione SERVER_B y dentro de la seccin To Do haga

clic en 690 security updates are waiting to be approved.
2. Luego, dentro de Security Updates, seleccione Approved en Approval y Needed

en Status.

3. Para aprobar una actualizacin, haga clic derecho sobre la actualizacin elegida y
seleccione Approve.
4. Luego, apruebe la instalacin de la actualizacin elegida sobre un grupo de

equipos. Para ello, en la ventana Approve Updates haga clic derecho sobre el
grupo de equipos Finanzas y seleccione la opcin Approved for Install.

5. Luego, haga clic en OK.
6. Despus, de esperar algunos minutos puede observar que la aprobacin se ha

completado sin errores de forma exitosa. Para terminar, haga clic en Close.

Uso del Catlogo de Microsoft Update
El Catlogo de Microsoft Update es un servicio de Microsoft que proporciona una lista

de las actualizaciones de software que pueden ser distribuidos a travs de una red
corporativa. El uso del Catlogo de Microsoft Update puede llegar a ser un lugar de
ventanilla nica para encontrar las actualizaciones de software de Microsoft, los
controladores y las revisiones
1. Abra la consola de WSUS y en la seccin Resources de SERVER_B, haga clic en

Microsoft Update Catalog.
2. En el sitio web de Microsoft Update Catalog, escriba windows 2016 en Search.
3. Luego, como resultado de la bsqueda figuran varias actualizaciones relacionados

a Windows Server 2016. Escoja una de nuestra eleccin y haga clic en Add.

4. Luego, importe directamente la actualizacin escogida en WSUS; haga clic en

Import.
5. Finalmente luego, de esperar algunos minutos se puede observar que la

actualizacin elegida ha sido importada satisfactoriamente en el servidor WSUS.
Para terminar haga clic en Close.


Resumen
1. WSUS se encarga de administrar y distribuir actualizaciones de software que
resuelven casos de vulnerabilidad de seguridad y proporciona un soporte de
estabilidad a la plataforma Windows
2. Microsoft Update es un sitio web de la corporacin Microsoft que aloja todas las
actualizaciones disponibles y que interarctua con el servidor WSUS
3. Existen diversos escenarios para la implementacin de WSUS: con un solo

servidor WSUS, varios servidores WSUS independientes, varios servidores WSUS
sincronizados internamente, servidores WSUS en modo rplica, servidores WSUS
desconectados, etc
4. La sincronizacin es un proceso que se puede configurar de forma manual o de

modo automtico y se encarga de comparar el software del servidor WSUS con las
ltimas actualizaciones liberadas de Microsoft Update
unidad:
o https://technet.microsoft.com/es-es/windowsserver/bb332157.aspx
o https://technet.microsoft.com/es-es/library/hh852344.aspx#BKMK_1.2

3.2 ASEGURANDO EL SERVIDOR WEB

3.2.1 Fundamentos de los Servicios de Certificados de Active Directory
Durante los ltimos aos, los servidores Web se han convertido en una excelente
fuente de diversin para personas maliciosas: cualquier empresa que se aprecie,
desde las ms pequeas a las ms grandes multinacionales tiene un sitio web en la
que al menos trata de vender su imagen corporativa.
La mayor parte de estos ataques tiene xito gracias a una configuracin incorrecta del
servidor o a errores de diseo del mismo: si se trata de grandes empresas, los
servidores Web suelen ser bastante complejos (alta disponibilidad, balanceo de carga,
sistemas propietarios de actualizacin de contenidos, etc) y difciles de administrar,
correctamente, mientras que si la empresa es pequea es muy posible que haya
elegido un servidor Web simple en su instalacin y administracin pero en el cual es
muy difcil garantizar una mnima seguridad.
Sea por cualquier motivo, la cuestin es que cada da es ms sencillo para una
persona maliciosa ejecutar rdenes de forma remota en una mquina o al menos
modificar contenidos de forma no autorizada gracias a los servidores Web que un
sistema pueda albergar.
Hoy en da, las conexiones a servidores Web son sin duda las ms extendidas entre
usuarios de Internet, hasta el punto de que muchas personas piensan que este
servicio (http, comnmente en el puerto 80 del protocolo TCP) es el nico que existe
en la red. Lo que en un principio se dise para que unos cuantos fsicos
intercambiaran y consultaran artculos, fcilmente en la actualidad mueve a diario
millones de dlares y es uno de los pilares fundamentales de cualquier empresa.
Los problemas de seguridad relacionados con el protocolo http se dividen en tres

grandes grupos en funcin de los datos a los que pueden afectar:
Seguridad en el servidor
Es necesario garantizar que la informacin almacenada en el servidor no pueda ser

modificada sin autorizacin, que permanezca disponible y que slo pueda ser
accedida por los usuarios a los que les est legtimamente permitido.
Una encuesta de Ernst & Young encontr que cuatro de cada cinco organizaciones
grandes, con ms de 2.500 empleados ejecuta aplicaciones crticas en redes de reas
local LANs. Dichas LANs, y la informacin vital que albergan, estn cada vez ms
expuestas a la amenaza de ataques externos perpetrados a travs del acceso que
proporcionan los servidores web. De un total de 61 organizaciones estudiadas, se
encontraron 142 accesos no autorizados y decenas de incidentes relacionados con
Hackers en los ltimos tres meses.
Seguridad en la red
Cuando un usuario se conecta a un servidor Web se produce un intercambio de

informacin entre ambos, por lo que es vital garantizar que los datos que recibe el
cliente desde el servidor sean los mismos que se estn enviando (esto es, que no
sufran modificaciones de terceros) y tambin, garantizar que la informacin que el
usuario enva hacia el servidor no sea capturada, por un atacante. Esto es
especialmente importante si la informacin en trnsito es secreta, como en el caso de

las contraseas que el usuario teclea para autenticarse en el servidor, o en el

comercio electrnico y el intercambio de nmeros de tarjetas de crdito.
Seguridad en el cliente
Por ltimo es necesario garantizar al usuario que lo que descarga de un servidor no va

a perjudicar a la seguridad de su equipo. Sin llegar a extremos de applets maliciosos o
programas con virus, si simplemente, el navegador del usuario se cuelga al acceder
al visitar las pginas de una organizacin, con seguridad, esa persona dejar de
visitarlas con la consecuente prdida de imagen y posiblemente de un futuro cliente
para esa entidad.
La proteccin del servidor en cada uno de los aspectos mencionados es

responsabilidad del administrador del sistema y si bien no se puede considerar al
servidor totalmente seguro, las acciones emprendidas en pos de la seguridad pueden
proveer una proteccin suficiente en la mayora de los casos.
3.2.1.1 Servicios de certificados de Active Directory
En Windows Server 2016, los Servicios de certificados de Active Directory (AD CS)
ofrecen nuevas funcionalidades y caracteristicas en comparacin con las versiones
anteriores.
Este rol nos proporciona servicios personalizables para la emisin y administracin de

certificados de infraestructura de clave pblica (PKI16) que frecuentemente utilizamos
en sistemas de seguridad de software que emplean tecnologas de clave pblicas.
La funcin de servidor de AD CS incluye seis servicios:
Entidad de certificacin
Inscripcin web de entidad de certificacin
Respondedor en lnea
Servicio de inscripcin de dispositivos de red
Servicio Web de directiva de inscripcin de certificados
Servicio Web de inscripcin de certificados
Dichos servicios proporcionan nuevas funcionalidades para la versin de Windows

Server 2016 de AD CS, entre ellas puede mencionar las siguientes:
Integracin con el administrador del servidor

Capacidades de implementacin y administracin de Windows PowerShell
Todos los servicios de rol de AD CS se pueden instalar en cualquier versin de
Windows Server 2016
Todos los servicios de rol de AD CS se pueden ejecutar en Server Core
Aplicacin de renovacin de certificado con la misma clave
Soporte para nombres de dominio internacionales
Mayor seguridad habilitada de forma predeterminada en el servicio de rol de CA
16
Una infraestructura de clave pblica (PKI) es un sistema de certificados digitales, entidades
de certificacin (CA) y autoridades de registro que comprueban y autentican la validez de cada
entidad implicada en una transaccin electrnica mediante el uso de la criptografa de clave
pblica.

3.2.1.2 Qu es una Autoridad Certificadora (CA)?
Una Autoridad Certificadora o tambin llamada entidad emisora de certificados es un

servidor de confianza que tiene instalado el rol de AD CS el cual se encarga de
aceptar solicitudes de certificado, asi como el de emitir, revocar y administrar
certificados. Una CA verifica la informacin del usuario y luego, emite un certificado
con una credencial de seguridad junto a una PKI (Infraestructura de clave pblica)
Existen bsicamente dos tipos de Autoridades certificadoras:
Autoridades Certificadoras comerciales
Las Autoridades Certificadoras comerciales, son empresas dedicadas y especializadas

en el tema, por lo cual si optamos por comprarle los certificados digitales que
necesitemos tenemos la tranquilidad que el tema est manejado por gente que sabe,
pero tambin tiene sus posibles inconvenientes (no siempre es econmico y estamos
sujetos a los requisitos que se imponen para el otorgamiento de los certificados). Pero
de todas formas, tienen una gran ventaja si estn asociadas con el programa de
actualizaciones de Microsoft, ya que cualquier sistema Windows reconocer los
certificados como vlidos. Son la solucin requerida si los certificados deben ser
validados por terceros, por ejemplo para un sitio web, transacciones comerciales, etc.
Autoridades Certificadoras privadas
Instalar una propia Autoridad Certificadora de tipo privada tambin tiene ventajas y
desventajas. Algunos piensan que en este caso es gratis, y nada ms alejado, hay que
instalar y mantener la misma, inclusive tomando medidas adicionales de seguridad, ya
que si se comprometiera la seguridad de una Autoridad Certificadora estaran
comprometeidos todos los certificados por ella otorgados
Las ventajas pasan por la flexibilidad que se tendria de acuerdo a nuestras

necesidades, y la posibilidad de automatizar el otorgamiento de certificados si la
integramos con Active Directoy. Sin embargo, se debe tener en cuenta que los
certificados no sern reconocidos externamente, salvo si se realiza una configuracin
especial que no se detallar en esta seccin
Respecto a la seguridad sobre la Autoridad Certificadora, una de las mejores opciones

es mantenerla en un equipo fuera de la red, o inclusive apagada, esto mejora
enormemente la seguridad sobre la misma. Sin embargo, por otro lado, si quiere
automatizar lo mximo posible la obtencin y renovacin de los certificados esto lo
puede lograr integrndola en Active Directoy, lo cual por supuesto requiere que est
funcionando sobre un servidor miembro de un dominio, y por lo tanto, no puede estar,
ni fuera de la red ni apagada
La solucin recomendable es contar dos Autoridades Certificadoras. La primera, una

Autoridad Certificadora Raz que ser de tipo standalone sobre un servidor en grupo
de trabajo lo que nos permitir mantenerla offline. Esta entidad se autofirma los
certificados y se encarga de otorgar certificados a la otra Autoridad Certificadora que
mantendremos en la red.
La segunda Autoridad Certificadora, cuya identidad se encuentra certificada por la

anterior esta integrada en Active Directory (Enterprise Certification Authority), lo que
nos permitir automatizar la distribucin e implementacin de todos los certificados
digitales, bsicamente a travs de Directivas de Grupo (GPOs).

3.2.2 Configuracin del Servidor Autoridad Certificadora
Para la configuracin de este nuevo escenario, el servidor SERVER_A ser

configurado como una Autoridad Certificadora del tipo Standalone para la red
corporativa. Dentro de este servidor, se instalarn los servicios del rol AD CS: Entidad
de certificacin e Inscripcin web de entidad de certificacin Todo este proceso consta
de dos partes que se detallan a continuacin.
3.2.2.1 Instalacin del rol Active Directory Certificate Services



server from the server pool, ello indica que se est eligiendo al servidor
SERVER_A para que en l se instalen los roles y caractersticas. Luego, haga clic
en Next.
5. En la ventana Select server roles, seleccione el rol Active Directory Certificate

Services.

6. Inmediatamente aparecer la ventana Add features that are required for Active
Directory Certificate Services? indicando que para poder instalar Active Directory
Certificate Services se debe adicionar algunas caractersticas, por lo que haga clic
en el botn Add Features.


seleccionadas por defecto por el sistema por lo que haga clic en Next.
9. Luego, en la ventana Active Directory Certificate Services, haga clic en Next .

10. En la ventana Select role services, seleccione primero el servicio Certification

Authority.
11. Luego, seleccioneel servicio Certification Authority Web Enrollment

12. Inmediatamente, aparecer la ventana Add features that are required for
Certification Authority Web Enrollment? que nos indica que para poder instalar
Certification Authority Web Enrollment se debe adicionar algunas caractersticas.
Haga clic en el botn Add Features.


15. Finalmente, luego, de esperar algunos minutos, haga clic en Close. De esa
manera, ya se tiene instalado de forma exitosa el rol Active Directory Certificate
Services.

3.2.2.2 Configuracin del rol Active Directory Certificate Services
Para configurar los servicios Certification Authority y Certification Authority Web

Enrollment de AD CS, ejecute los siguientes pasos
1. En el Server Manager del SERVER_A, haga clic en el icono de notificacin el cual

es el signo de exclamacin cerca de la bandera y haga clic en Configure Active
Directory Certificate Services on the destination server.
2. En la ventana Credentials, haga clic en Next.

3. En la ventana Role Services, seleccione los roles Certification Authority y

Certification Authority Web Enrollment, luego, haga clic en Next.
4. En la ventana Setup Type, seleccione la opcin Standalone CA. Luego, haga clic
en Next.

5. En la ventana CA Type, seleccione Root CA ya que nuestro servidor se sita en la

parte superior de la jerarqua de infraestructura de clave pblica (PKI). Luego, haga
clic en Next.
6. En la ventana Private Key, seleccione la opcin Create a new private key para la
creacin de una nueva clave privada. Luego, haga clic en Next.

7. En la ventana Cryptography for CA, mantenga las opciones que ya se encuentran

seleccionadas, pero en Key length, seleccione 1024. Luego, haga clic en Next.
8. En CA Name, mantenga por defecto los campos escritos. Luego, haga clic en Next.

9. En la ventana Validity Period, seleccione 5 Years como tiempo de validez de

nuestra CA, luego, haga clic en Next.
10. En la ventana CA Database, haga clic en Next.

11. En la ventana Confirmation, haga clic en Configure.
12. Finalmente, luego de esperar algunos minutos haga clic en Close, y de esa
manera, ya hemos terminado de forma exitosa la configuracin de Active Directory
Certificate Services.

3.2.3 Implementacin de certificado digital emitida por la Autoridad

El objetivo de esta seccin es implementar un escenario donde se emitan y revoquen

certificados digitales por una Autoridad Certificadora Raz. En este escenario, se
cuenta con el SERVER_B que emular el trabajo de un router. Se contar con dos
reas de red (LAN y WAN), por lo que este equipo tendr dos interfaces de red, donde
una de ellas estar conectado a los clientes y la otra a los servidores.
192.168.1.0/24 es el lugar donde se alojarn los servidores (controlador de dominio,
servidor DNS, servidor Web, servidor FTP y Servidor CA) representados por el
SERVER_A.
Figura 19: Arquitectura de Red de los Servicios de certificados de Active Drectory


imagen:
2. En el servidor SERVER_B, elija Control Panel/Network and internet/Network and



imagen:


3.2.3.2 Solicitud de certificados digitales
Internet Information Services (IIS) Manager.
2. En la ventana Internet Information Services (IIS) Manager, seleccione

SERVER_A y haga doble clic en Server Certificates.
3. En la ventana Server Certificates, haga clic en la opcin Create Certificate

Request del men Actions.

4. En la ventana Distinguished Name Properties de Request Certificate, escriba los

campos tal como se detalla en la imagen y haga clic en Next.
5. En la ventana Cryptographic Service Provider Properties, seleccione las

opciones Microsoft RSA SChannel Cryptographic Provider en Cryptographic
service provider y 1024 en Bit length. Luego, haga clic en Next.

6. En la ventana File Name, escriba C:\Users\Administrator\Desktop\cert-01.txt

como el nombre de archivo de la solicitud de certificado, luego, haga clic en Finish.
7. Ahora en el escritorio del servidor SERVER_A, puede visualizar la solicitud de

certificado llamado cert-01.

3.2.3.3 Emisin de certificados digitales por la Autoridad Certificadora
1. En el SERVER_A, abra un navegador de internet e ingrese a la direccin web

http://server_a/certsrv, luego, en la ventana Welcome de Microsoft Active
Directory Certificate services SERVER_A-CA, haga clic en la tarea Request a
certificate.
2. En la ventana Request a Certificate, haga clic en advanced certificate request

para presentar una solicitud de certificado avanzada.
3. En la ventana Advanced Certificate Request, haga clic en la opcin Submit a

certificate request by using a base-64-encoded CMC or PKCS #10 file, or
submit a renewal request by using a base-64-encoded PKCS #7 file.

4. A la par, abra archivo cert-01.txt ubicado en el escritorio del SERVER_A y

seleccione los cdigos que se muestan en la imagen, luego, haga clic derecho
sobre lo seleccionado para hacer clic en Copy.
5. Regresando a la ventana Submit a Certificate Request or Rewal Request, pegue

los cdigos seleccionados en la ventana Saved Request. Luego, haga clic en
Submit.
6. Luego, se visualiza un mensaje que indica que nuestra solicitud de certificado ha

sido bien recibida, pero se debe esperar hasta que el administrador emita el
certificado solicitado. Adems, la ID de la solicitud es el nmero 2.

7. Luego, abra el Server Manager del SERVER_A y en la pestaa Tools, haga clic a
la opcin Certification Authority.
8. En la consola de Certification Authority, despliegue cibertec-SERVER_A-CA y

haga clic en la carpeta Pending Request. Luego, para emitir el certificado
solicitado, haga clic derecho sobre el certificado de Request ID 2 y en All Tasks,
seleccione la opcin Issue.

9. Para visualizar que el certificado solicitado ha sido emitido por la Autoridad

Certificadora, ingrese a la carpeta Issued Certificates.
10. Ahora para ver el estado de una solicitud de certificado pendiente, vuelva a visitar
la direccin web http://server_a/certsrv, luego, en la ventana Welcome de
Microsoft Active Directory Certificate services SERVER_A-CA, haga clic en la
tarea View the status of a pending certificate request.
11. En la ventana View the Status of a Pending Certificate Request haga clic en
Saved-Request Certificate (2/22/2016 12:09:00 PM)

12. En la ventana Certificate Issued, aparece un mensaje donde indica que el

certificado solicitado ha sido emitido nuestro uso. Luego, para la descarga de
nuestro certificado haga clic en Download certificate.
13. Luego de la descarga, abra nuestro certificado llamado certnew haciendo clic en el
botn Open de la ventana Open File Security Warning.
14. Luego, en la ventana Certificate, haga clic en el botn Install Certificate.
15. En la ventana Welcome to the Certificate Import Wizard, deje seleccionado la

opcin Current User de Store Location y para continuar, haga clic en Next.

16. En la ventana Certificate Store, seleccione la opcin Automatically select the

certificate store base on the type of certificate, luego haga clic en Next.
17. Luego, en la ventana Completing the Certificate Import Wizard, haga clic en
Finish.

18. Luego, aparece un mensaje que nos indica que la importacin del certificado fue
exitoso por lo que haga clic en OK.
19. Y por ltimo, en la ventana Certificate, haga clic en OK.
3.2.3.4 Intalacin del certificado digital en el Servidor Web
1. Ahora, abra el Server Manager del SERVER_A y en la pestaa Tools, haga clic a
la opcin Internet Information Services (IIS) Manager.
2. En la ventana Internet Information Services (IIS) Manager, seleccione

SERVER_A y haga doble clic en Server Certificates.

3. En la ventana Server Certificates, haga clic en la opcin Complete Certificate

Request del men Actions.
4. En la ventana Specify Certificate Authority Response, escriba

C:\Users\Administrator\Desktop\certnew.cer (ubicacin del certificado digital) en
File name containig the certification authoritys response y cert-01 en Friendly
name. Luego, haga clic en OK.

5. Con ello, hemos completado la solicitud de certificado.
3.2.3.5 Enlace del certificado digital al sitio web por defecto de cibertec.com
1. Ahora. abra Server Manager del SERVER_A y en la pestaa Tools, haga clic a la
opcin Internet Information Services (IIS) Manager.

2. En la ventana Internet Information Services (IIS) Manager, despliegue

SERVER_A e ingrese al sitio web por defecto; para ello, despliegue la carpeta
Sites y haga clic en Default Web Site. Luego, en la ventana Defaul Web Site
Home haga clic en la opcin Bindings de Edit Site del men Actions.
3. En la ventana Site Bindings, haga clic en el botn Add.
4. En la ventana Add Site Binding, seleccione los siguientes parmetros:

Type: https, IP address: 192.168.1.100, Port:443, SSL certificate: cert-01.
Luego, haga clic en OK.
5. Luego, haga clic en Close para cerrar la ventana Site Bindings.

6. Luego, en la ventana Default Web Site Home, haga clic en la opcin SSL
Settings.
7. En la ventana SSL Settings, seleccione la opcin Require SSL y haga clic en

Apply del men Actions. Finalmente, cierre la herramienta Internet Information
Services (IIS) Manager.

3.2.3.6 Verificacin del correcto funcionamiento de la implemetancin de

certificado digital emitida por la Autoridad Certificadora para el servicio
WEB
1. En el equipo CLIENTE, abra un navegador de internet e ingrese el sitio web por

defecto del dominio cibertec.com, el cual es https://www.cibertec.com
2. Luego, omita el mensaje que aparece y haga clic en Vaya a este sitio web (no
recomendado).
3. Luego, en la parte superior del sitio web, haga clic en Error de certificados
ubicado en la barra de direcciones.
4. En la ventana Direccin, no coincidente omita el mensaje que se presenta y haga

clic en Ver certificados.

5. Ahora, puede observar la informacin general del certificado, luego, haga clic en la
pestaa superior Ruta de certificacin.
6. Finalmente, se observa, tal como dice en el Estado del certificado, que el certificado
es vlido y ha sido emitido por la Autoridad Certificadora cibertec-SERVER_A-CA.

Resumen
1. El rol Servicios de certificados de Active Directorio se encarga de brindar servicio
personalizados para la emisin y administracin de certificados de infraestructura
de clave pblica (PKI).
2. Una Autoridad Certificadora (CA) es la entidad encargada de aceptar solicitudes de

certificado, asi como el de emitir, revocar y administrar certificados.
3. Existen dos tipos de Autoridades Certificadoras: Las comerciales que en su mayora

estn asociadas con el programa de actualizaciones de Microsoft y las otras son las
privadas que se encargan de atender las necesidades internas de la compaa que
lo implementa.
4. Por seguridad, se recomienda contar con dos Autoridades Certificadoras, la primera

(Autoridad Certificadora Raiz del tipo standalone) desconectada fuera de la red que
autofirma los certificados encargada de otorgar certificados a la otra que
mantendremos en la red.
o https://technet.microsoft.com/es-es/library/cc732625.aspx
o https://technet.microsoft.com/es-es/library/cc725593.aspx
o https://technet.microsoft.com/es-es/library/dn473011
o https://technet.microsoft.com/es-es/library/cc731564(v=ws.10).aspx

UNIDAD
4
ADMINISTRACIN AVANZADA
DE DIRECTORIO ACTIVO
Al trmino de la unidad, el alumno, configura Windows Server Core y el

Servidor RODC (Read-Only Domain Controller) para autenticar usuarios de
oficinas remotas sin poner en riesgo la seguridad del Active Directory.
TEMARIO
4.1 Tema 7 : Introduccin a Windows Server Core

4.1.1 : Fundamentos de Windows Server Core
4.1.2 : Fundamentos de Servidor de Archivos
4.1.3 : Implementacin de Server Core como Servidor de Archivos
4.2 Tema 8 : Servidor RODC

4.2.1 : Fundamentos del Servidor RODC
4.2.2 : Implementacin del Server Core como Servidor RODC
4.2.3 : Implementacin del Server Core como segundo controlador de
dominio
Los alumnos implementan el Server Core como Servidor de Archivos.

Los alumnos implementan el Server Core como Servidor RODC.
Los alumnos implementan el Server Core como segundo controlador de
dominio.


4.1 INTRODUCCIN A WINDOWS SERVER CORE

4.1.1 Fundamentos de Windows Server Core
Server Core para Windows Server 2016 proporciona una instalacin mnima del
sistema operativo. Esto reduce los requerimientos de espacio de disco y convierte a
Server Core en un buen candidato para escenarios de oficinas remotas. Los archivos
de instalacin desatendida pueden ser usados para acelerar la implementacin de
Windows Server Core 2016. Esto reduce los requerimientos de mantenimiento y
reduce las oportunidades de ataque desde la red.
Al empezar la instalacin de Windows Server 2016, los administradores pueden elegir

la instalacin del servidor con la funcionalidad nica de Windows Server Core 2016.
Esto limita los roles que pueden funcionar en el servidor, pero puede mejorar la
seguridad y reduce la administracin. Este tipo de instalacin es llamada la instalacin
de Server Core.
Los beneficios que brinda el uso de Server Core son las siguientes:
Server Core requiere menos mantenimiento de software, as como la instalacin de

actualizaciones.
Server Core tiene menos ataques desde la red.
Administrar Server Core es mucho ms fcil.
Server Core usa menos espacio de disco para la instalacin.
Roles de Server Core
Para instalar y configurar los roles que brinda Server Core, se debe implementar
archivos desatendidos. Server Core brinda la plataforma ms estable, fcil y segura
para implementar los roles. Los siguientes roles disponibles para esta versin son los
siguientes:
Servicio de certificados de Active Directory

Servicios de dominio de Active Directory
Servidor DHCP
Servidor DNS
Servicios de archivo (incluido Administrador de recursos del servidor de archivos)
Active Directory Lightweight Directory Services (AD LDS)
Hyper-V
Servicios de impresin y documentos
Servicios de multimedia de transmission por secuencias
Servidor web (incluido un subconjunto de ASP.NET)
Servidor Windows Server Update
Servidor de Active Directory Rigths Management
Enrutamiento y acceso remoto
Conversin de una instalacin Server Core en una instalacin Servidor con GUI
La instalacin en Server Core nos permite instalar Windows Server 2016 sin una
interfaz grfica. Pese a ello, una novedad para esta versin es que la renovada
PowerShell y las mejoras introducidas en el sistema operativo nos permiten "mezclar"
lo mejor de los dos mundos, instalando solo algunas caractersticas de administracin

grfica en nuestro Server Core o dejando solo una interfaz de lnea de comandos que
reduce los recursos consumidos y la superficie de ataque del equipo.
Mientras que en versiones anteriores se deba decidir si se quera una "versin

completa" o una versin "Server Core" en el despligue del servidor, Windows Server
2016 nos permite instalar y desinstalar esta interfaz grfica como una caracterstica
ms de Windows, lo que nos permite, por ejemplo, desplegar el servidor con GUI,
hacer la primera configuracin del mismo a golpe de ratn y, cuando estemos
satisfechos con el resultado, desinstalar la interfaz grfica para obtener as los
beneficios de Server Core.
Para convertir a una instalacin Servidor con una GUI con Windows PowerShell, siga
los pasos del siguiente procedimiento.
1. Determine el nmero de ndice de una imagen de Servidor con una GUI (por
ejemplo,SERVERSTANDARD noSERVERDATACENTERCORE) con
Get-WindowsImage -ImagePath <path to wim>\install.wim.
2. Ejecute
Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell Restart

Source c:\mountdir\windows\winsxs
3. O bien, si desea usar Windows Update como el origen en lugar de un archivo WIM,
use este cmdlet de Windows PowerShell:
Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell Restart
4.1.2 Fundamentos de Servidor de Archivos
Un Servidor de Archivos es un tipo de servidor que almacena y distribuye diferentes

tipos de archivos informticos entre los clientes de una red corporativa.
Su funcin es permitir el acceso remoto de otros nodos a los archivos que almacena o
sobre los que tiene acceso.
Desde el punto de vista del cliente de un servidor de archivos, la localizacin de los

archivos compartidos es transparente, es decir, en la prctica no hay diferencias
perceptibles si un archivo est almacenado en un servidor de archivos remoto o en el
disco de la propia mquina.
4.1.3. Implementacin de Server Core como Servidor de Archivos
Esta seccin tiene como objetivo implementar un escenario donde el Server Core se
convierta en un Servidor de Archivos. En este escenario, se cuenta con el SERVER_B
que emular el trabajo de un router. Se contar con dos reas de red (LAN y WAN)
por lo que este equipo tendr dos interfaces de red, donde una de ellas estar
conectado a los clientes y la otra a los servidores.

dominio, servidor DNS, servidor Web, servidor FTP y Servidor CA) representados por
el SERVER_A y en otro equipo, el servidor de Archivos representado por el Server
Core.
Figura 20: Arquitectura de Red del Server Core como Servidor de Archivos
Configuracin de direccionamiento de red para los equipos

imagen:



3. Adems, en el mismo servidor SERVER_B, ingrese Control Panel/Network and

derecho sobre el adaptador Ethernet 2 (renombrado como WAN) y seleccione

derecho sobre el adaptador Ethernet (renombrado como WAN) y seleccione

Cambiando de nombre de host al servidor Server Core
1. Para conocer el nombre actual del servidor mediante lnea de comando en el CMD,
ejecute lo siguiente:
C:\Users\Administrator>cd C:\Windows\system32
C:\Windows\System32>hostname
El comando hostname nos permite conocer el nombre actual de nuestro servidor el

cual precisamos para ejecutar nuestro prximo comando. En nuestro caso el servidor
se llama WIN-S7FL1G5HO5E.
2. Luego, para cambiar de nombre al servidor por el de SERVER_CORE, ejecute el

siguiente comando:
C:\Windows\System32>netdom renamecomputer WIN-S7FL1G5HO5E

/newname:SERVER_CORE

3. Luego en la consulta Do you want to proceed <Y or N>?, escriba Y y presione la

tecla ENTER.
Con la ejecucin de este comando, estar cambiando el nombre de nuestro servidor

por el nuevo SERVER_CORE.
4. Luego, ejecute el comando C:\Windows\System32>shutdown r t 0 para

reiniciar nuestro servidor.

5. Luego de reiniciar el equipo, puede comprobar que el cambio de nombre de host

ha sido exitoso; para ello, vuelva a ejecutar el comando.
C:\Windows\System32>cd C:\Windows\system32
C:\Windows\System32>hostname
Configuracin del direccionamiento IP y DNS del servidor SERVER_CORE
1. Para visualizar la interfaces de red con la que se cuenta ejecute el comando:
C:\Windows\System32>netsh interface ipv4 show interfaces
Se puede visualizar que el nombre de nuestra interfaz es Ethernet.
2. Luego, para configurar el siguiente direccionamiento IP:
Direccin IP Mscara Puerta de Enlace DNS
192.168.1.90 255.255.255.0 192.168.1.1 192.168.1.100
Se debe ejecutar el siguiente commando:

C:\Windows\System32>netsh interface ipv4 set address Ethernet static

192.168.1.90 255.255.255.0 192.168.1.1
3. Para la configuracin del DNS se debe ejecutar el siguiente commando
C:\Windows\System32>netsh interface ipv4 set dns Ethernet static

192.168.1.100
4. Para verificar que la configuracin del direccionamiento IP es el correcto, ejecute el

comado:
C:\Windows\System32>ipconfig /all

5. Finalmente, deshabilite los servicios de firewall en SERVER_CORE; para ello,

ejecute el siguiente comando:
C:\Windows\System32>netsh advfirewall set allprofiles state off
Integracin del servidor SERVER_CORE al dominio cibertec.com
Para unir el SERVER_CORE al dominio, ejecute el siguiente comando:
C:\Windows\System32>netdom join %computername% /domain:cibertec.com

/userd:administrator /passwordd:*

Luego, despus, del mensaje Type the password associated with the domain
user escriba la contrasea del administrador del dominio el cual es P@ssword
(tenga en cuenta que al momento de escribirla esta no ser visible)
Luego, ejecute el comando C:\Windows\System32>shutdown r t 0 para

reiniciar el servidor y de ese modo se apliquen los cambios realizados.
Finalmente, observe que el servidor SERVER_CORE se ha unido al dominio de

forma satisfactoria.

Compartir un directorio en la red cibertec.com
1. En la unidad C de SERVER_CORE, se crear una carpeta llamada Compartida y

dentro de ella dos carpetas: Finanzas y Contabilidad. Para ello, ejecute los
siguientes comandos:
C:\Users\Administrator.CIBERTEC>cd ..
C:\Users>cd ..
C:\>md Compartida
C:\> cd Compartida
C:\Compartida>md Finanzas
C:\Compartida>md Contabilidad

2. Adems, dentro de la carpeta Contabilidad, se crear un archivo de texto llamado

conta01.txt para ello, ejecute el comando:
C:\Compartida>cd Contabilidad
C:\Compartida\Contabilidad>copy con conta01.txt
3. Luego, si ejecuta el comando C:\>net share, se mostrar informacin acerca de

todos los recursos compartidos en el equipo local. Para cada recurso, se muestran
los nombres de dispositivo y un comentario descriptivo.
4. Luego, comparta la carpeta Finanzas para el usuario scamacho con el privilegio de

control total sobre dicha carpeta; para ello, ejecute el siguiente comando:

C:\>net share Finanzas=C:/Compartida/Finanzas /user:5 /grant:scamacho,full
5. Finalmente comparta la carpeta Contabilidad para el usuario sdiaz con el privilegio

de solo lectura sobre dicha carpeta; para ello, ejecute el siguiente comando:
C:\>net share Contabilidad=C:/Compartida/Contabilidad /user:5 /grant:sdiaz,read

Verificacin del correcto funcionamiento del Server Core como un Servidor de

Archivos
1. En el equipo CLIENTE, inicie sesin con el usuario scamacho.
2. Luego, de iniciar sesin escriba las teclas y en la ventana.
Ejecute escriba \\192.168.1.90 en Abrir, luego, haga clic en el botn Aceptar.
3. Luego, haga clic en la carpeta compartida llamada Finanzas.
4. Para corroborar que el usuario scamacho, tiene control total. Sobre ella, cree un
archivo de texto llamado PRUEBA.

5. Ahora, inicie sesin con el usuario sdiaz.
6. Luego, inicie sesin escriba las teclas y en la ventana.

Ejecutar escriba \\192.168.1.90 en Abrir, luego, haga clic en el botn Aceptar.
7. Luego, haga clic en la carpeta compartida llamada Contabilidad.
8. Finalmente, para corroborar que el usuario sdiaz, tiene permisos de solo lectura.
Sobre ella, intente eliminar (sin xito alguno) el archivo de texto llamado conta01.


Resumen
1. Server Core es el escenario ideal para oficinas remotas ya que proporciona una
instalacin minima del sitema operativo, tambin reduce los requerimientos de
espacio de disco y reduce oportunidades de ataque desde la red.
2. En la versin Windows Server Core 2016, se puede interactuar pasando de una

interfaz de lnea de comandos a una interfaz grafica y viceversa mediante el uso de
Windows PowerShell.
3. Un Servidor de Archivos se encarga de almacenar y distribuir diferentes tipos de

archivos informticos entre los clientes de una red corporativa.
unidad:
o https://msdn.microsoft.com/en-us/library/hh846325(v=vs.85).aspx
o https://windowserver.wordpress.com/2013/11/20/windows-server-2012-r2-
cambiar-entre-server-core-min-shell-server-with-gui-y-desktop-experience/
o https://technet.microsoft.com/es-es/library/jj574158.aspx

4.2 SERVIDOR RODC

4.2.1 Fundamentos del Servidor RODC
Para mejorar el tiempo de respuesta de autentificacin, algunas veces es deseable

ubicar un controlador de dominio en las oficinas sucursales o en las redes que estn
en el lmite del sitio. Las oficinas sucursales o las redes que estn en el lmite del sitio
algunas veces carecen de seguridad. El controlador de dominio de solo lectura, en
ingls Read-Only Domain Controller (RODC) est diseado para escenarios donde un
controlador de dominio necesita ser ubicado en un ambiente con baja seguridad. Un
RODC no almacena ninguna contrasea por defecto. Si el RODC est comprometido,
la intrusin en la red usando la informacin obtenida desde el RODC es,
significativamente, pequea. Debido que las oficinas sucursales algunas veces tienen
pocos controles de acceso, RODC puede ser una eleccin ms segura para ubicar un
controlador de dominio en las oficinas sucursales.
Figura 21: Perimetros de red con controladores de dominio

Fuente.- Tomado de https://technet.microsoft.com/es-es/library/cc753348(v=ws.10).aspx
RODCs almacena copias de informacin de slo lectura del directorio activo usando
replicacin unidireccional para el directorio activo del sistema de replicacin de
archivo.
Caracteristicas del uso de RODC
El primer es evidente por su nombre que incluye Read Only (Slo Lectura), lo cual
implica que no se pueden hacer cambios en la copia de la base de Active Directory
local al mismo.
E inclusive si alguien de alguna forma pudiera alterar la base de Active Directory, estos
cambios nunca se propagarn al resto, pues un RODC tiene slo replicacin entrante;
nunca replicarn otros Controladores de Dominio desde un RODC.
Otra caracterstica particular, es que no tiene replicadas las contraseas de todos los
usuarios, tiene solamente las que el administrador especficamente permita que se
repliquen.

Y la ltima caracterstica principal, es que se puede delegar la administracin e

instalacin de este Controlador de Dominio en particular a un usuario normal. Si fuera
un Controlador de Dominio normal la nica forma sera teniendo un administrador de
Dominio, en este caso no es necesario
Base de Datos del directorio activo de solo lectura
Los controladores de dominio de slo de lectura son ideales para ser ubicardos en
lugares donde exista un alto riesgo de exposicin a ataques externos. Esto,
tpicamente, incluye los lmites de la red perimetral, conocida como DMZ, o algn
ambiente donde la seguridad es muy baja son los lugares ms adecuados para
implementar un RODC.
Los servidores de aplicacin, como son Internet Information Services (IIS) y servidores
de mensajera como lo es Microsoft Exchange, algunas veces estn ubicados en el
lmite de la red perimetral. Las aplicaciones que ejecuta IIS algunas veces requiere el
servicio del directorio para autentificacin, el servidor Exchange siempre requiere del
Directorio Activo, pero blindar el acceso de estos servidores a los controladores de
escritura representa un riesgo a la seguridad. Los RODCs son ideales para estos
escenarios.
Replicacin Unidireccional del controlador de dominio de solo lectura
Dado que no se escriben cambios directamente en el RODC y, por lo tanto, no se

originan de manera local, no es necesario que los controladores de dominio grabables,
que son asociados de replicacin, extraigan los cambios del RODC. Esto significa que
cualquier cambio o dao que un usuario malintencionado pueda realizar en las
ubicaciones de la sucursal no se puede replicar desde el RODC al resto del bosque.
4.2.2 Implementacin del Server Core como Servidor RODC
El objetivo de esta seccin es implementar un escenario donde el Server Core se

convierta en un Servidor RODC. En este escenario, se cuenta con el SERVER_B que
emular el trabajo de un router. Contaremos con dos sitios de Active Directory (LIMA y
TRUJILLO) por lo que este equipo tendr dos interfaces de red, donde una de ellas
estar conectado a la sede principal de la organizacin (LIMA) y la otra a la sede
sucursal (TRUJILLO).
La sucursal cuya direccin de red es 10.0.0.0/8 es el lugar donde estar el servidor

RODC y un equipo llamado CLIENTE TRUJ que desear unirse al dominio. La sede
principal de direccin de red 192.168.1.0/24 es el lugar donde se alojarn nuestros
servidores (controlador de dominio, servidor DNS, servidor Web, servidor FTP y
servidor CA) representados por el SERVER_A.

Figura 22: Arquitectura de Red del Server Core como Servidor RODC
1. En el Servidor RODC, configure el direccionamiento IP tal como se indica en la

siguiente imagen:

10.0.0.90 255.0.0.0 10.0.0.1 192.168.1.100
Para cambiar de nombre de host, configure IP y DNS y deshabilte el firewall del

Server Core, revise las secciones Cambiando de nombre de host al servidor
Server Core y Configuracin del direccionamiento IP y DNS del servidor
SERVER_CORE que se encuentra en las pginas 215 y 217 respectivamente.

derecho sobre el adaptador Ethernet (renombrado como TRUJILLO) y seleccione

3. Adems, en el mismo servidor SERVER_B, elija Control Panel/Network and

derecho sobre el adaptador Ethernet 2 (renombrado como LIMA) y seleccione

derecho sobre el adaptador Ethernet (renombrado como LIMA) y seleccione

Configuracin de los Sites en Active Directory
Active Directory Sites and Services.
2. Para renombrar el sitio principal, en la ventana Active Directory Sites and

Services, despliegue la carpeta Sites y dentro de la misma, haga clic derecho
sobre Default-First-Site-Name y seleccione la opcin Rename.
3. Renombre el sitio principal como LIMA.

4. Luego, para asignar una direccin de red al sitio LIMA, haga clic derecho sobre la
carpeta Subnet y seleccione la opcin New Subnet.
5. En la ventana New Object Subnet, escriba 192.168.1.0/24 en Prefix y en Select

a site object for this prefix, seleccione LIMA, luego, haga clic en OK.

6. Luego, para la creacin del sitio TRUJILLO, haga clic derecho sobre la carpeta
Sites y seleccione la opcin New Site.
7. En la ventana New Object Site, escriba TRUJILLO en Name y seleccione como

objeto de vnculo de sitios DEFAULTIPSITELINK, luego, haga clic en OK.

9. Luego, para asignar una direccin de red al nuevo sitio creado (TRUJILLO), haga
clic derecho sobre la carpeta Subnet y seleccione la opcin New Subnet.

10. En la ventana New Object Subnet, escriba 10.0.0.0/8 en Prefix y en Select a

site object for this prefix, seleccione TRUJILLO, luego, haga clic en OK.
11. Luego, para renombrar el objeto de vnculo de sitios primero, despliegue la carpeta
Inter-Site Transports y haga clic en la carpeta IP. Despus, haga clic derecho
sobre DEFAULTIPSITELINK y seleccione la opcin Rename.
12. Renombre el el objeto de vnculo de sitios como LIMA-TRUJILLO.

Creacin de una cuenta para RODC en AD DS
En esta seccin, el asistente registrar todos los datos del RODC que se van a
almacenar en la base de datos distribuida de ActiveDirectory, incluido el nombre de la
cuenta del controlador de dominio de slo lectura del RODC y el sitio en el que se
ubicar. Esta fase se debe realizarla con un miembro del grupo Admins. del dominio
cibertec.com. Tenga en cuenta que el administrador que crea la cuenta RODC tambin
puede especificar en ese momento qu usuarios o grupos pueden completar la
siguiente fase de la instalacin.
Active Directory Users and Computers.
2. En la ventana Active Directory Users and Computers, despliegue el objeto

cibertec.com y dentro de l haga clic derecho sobre la carpeta Domain
Controllers y seleccione la opcin Pre-create Read-only Domain Controller
account.

3. En la ventana Welcome to the Active Directory Domain Services Installation

Wizard, seleccione Use advanced mode installation y haga clic en Next.
4. En la ventana Network Credentials, seleccione la opcin My current logged onn

credentials (CIBERTEC\Administrator) en donde dice Specify the account
credentials to use to perform the installation, luego, haga clic en Next.

5. En la ventana Specify the Computer Name, escriba RODC en Computer name,

luego, haga clic en Next.
6. En la ventana Select a Site, seleccione TRUJILLO en Sites, luego, haga clic en

Next.

7. Luego de esperar algunos minutos, en la ventana Additional Domain Controller

Options, seleccione las opciones DNS Server y Global catalog y haga clic en
Next.
8. En la ventana Specify the Password Replication Policy, deje las configuraciones

por defecto y haga clic en Next.
9. En la ventana Delegation of RODC installation and Administration, haga clic en

Set.

10. En la ventana Select User or Group, escoja al usuario Administrator ( en la

practica real se debe asignar un usuario de la sucursal) y haga clic en OK.
11. Luego, para continuar haga clic en Next
12. En la ventana Summary, se vizualiza un resumen de todas las opciones elegidas

para la creacin de la cuenta RODC, luego, haga clic en Next.

13. Luego, en la ventana Completing the Active Directory Domain Services

Installation Wizard culmine haciendo clic en Finish.
14. Por ltimo, para verificar que la creacin de la cuenta para RODC en AD DS ha
sido exitosa abra las consolas de Active Directory Sites and Services y Active
Directory Users and Computers y observe que figura el objeto RODC.

Instalacin del servidor RODC en Server Core
Durante esta segunda fase, se instalar el rol AD DS en el servidor que se convertir

en el RODC y se conecta al servidor a la cuenta de dominio previamente creada para
l. Durante esta fase, todos los datos de AD DS que residen localmente, como la base
de datos o los archivos de registro, se crean en el propio RODC.
Tenga en cuenta que el servidor que ser el RODC no debe unirse al dominio antes de
intentar asociarlo a la cuenta RODC. Como parte de la instalacin, el asistente detecta
de forma automtica si el nombre del servidor coincide con los nombres de las cuentas
RODC creadas anticipadamente para el dominio. Cuando el asistente encuentra un
nombre de cuenta coincidente, solicita al usuario que la use para completar la
instalacin del RODC.
Para instalar un RODC en una instalacin Server Core de Windows Server 2016, se
debe realizar una instalacin desatendida de AD DS. En el procedimiento que se
describe a continuacin se incluyen los parmetros que se pueden especificar en el
archivo de respuesta durante una instalacin desatendida. Tambin puede especificar
estos parmetros en la lnea de comandos si usa el comando dcpromo /unattend.
1. En el Servidor RODC, cree un archivo de instalacin desatendita para la instalacin

del rol AD DS; para ello, abra un bloc de notas ejecuando el comando
C:\Windows\System32>notepad en el CMD
2. Luego, copie en el archivo de texto los siguientes comandos:
[DCInstall]
CriticalReplicationOnly=NO
ReplicaDomainDNSName=cibertec.com
userDomain=cibertec.com
userName=cibertec\Administrator
Password=P@ssw0rd
DatabasePath=c:\windows\ntds
LogPath=c:\windows\ntds
SYSVOLPath=c:\windows\SYSVOL
safemodeAdminPassword=P@ssw0rd
RebootOnCompletion=Yes

3. Luego, guarde el archivo de texto con el nombre rodc.txt en el directorio

C:\Windows\System32.
4. Luego, en el CMD, ejecute el siguiente comando:
C:\Windows\System32>dcpromo /useexistingaccount:attach
/unattend:c:\Windows\System32\rodc.txt

5. Espere unos minutos.
6. Por ltimo, en la consola de Active Directory Users and Computers del

SERVER_A, puede ver que el Servidor RODC ha sido instalado de forma exitosa.

Verificacin del correcto funcionamiento del Server Core como un Servidor

RODC
1. Para esta prueba, una el equipo CLIENT-TRUJ al dominio cibertec.com usando

como direccin de DNS el IP del Servidor RODC; para ello, realice la siguiente
configuracin de direccionamiento IP tal como se muestra en la imagen:
2. En el escritorio del equipo CLIENTE TRUJ, haga clic derecho sobre Este equipo y
seleccione la opcin Propiedades.

3. En la ventana Sistema, haga clic en Cambiar configuracin.
4. Ahora en la ventana Propiedades del sistema, haga clic en el botn Cambiar.

5. Luego, en la ventana Cambios en el dominio o el nombre del equipo, escriba en

la opcin Dominio el nombre del dominio cibertec.com y haga clic en Aceptar.
6. En la ventana Seguridad de Windows, brinde las credencianles del administrador

del dominio cibertec.com por lo que en el primer casillero escriba como usuario
Administrator y en el segundo, la contrasea P@ssw0rd; luego, haga clic en
Aceptar.
7. Luego, en la ventana de bienvenida al dominio cibertec.com, haga clic en Aceptar,

luego, reinicie equipo para que se efecten los cambios realizados en el sistema.
8. Luego, abra Server Manager del SERVER_B y en la pestaa Tools, haga doble
clic a la opcin Active Directory Users and Computers.

9. Finalmente, en la ventana Active Directory Users and Computers puede

visualizar en la carpeta Computers al equipo CLIENTE TRUJ.
4.2.3 Implementacin del Server Core como segundo controlador de

dominio
El objetivo de esta seccin es implementar un escenario donde el Server Core se

convierta en un segundo controlador de dominio. En este escenario, se cuenta con el
SERVER_B que emular el trabajo de un router. Contaremos en esta ocasin con dos
sitios de Active Directory (LIMA y AREQUIPA), por lo que este equipo tendr dos
interfaces de red, donde una de ellas estar conectado a la sede principal de la
organizacin (LIMA) y la otra a la sede sucursal (AREQUIPA).
La sucursal cuya direccin de red es 10.0.0.0/8 es el lugar donde estar el Server

Core como un segundo controlador de dominio. La sede principal de direccin de red
dominio, servidor DNS, servidor Web, servidor FTP y servidor CA) representados por
el SERVER_A.

Figura 23: Arquitectura de Red del Server Core como controlador de dominio secundario
1. En el Server Core, configure el direccionamiento IP tal como se indica en la

siguiente imagen:

10.0.0.80 255.0.0.0 10.0.0.1 192.168.1.100
Para cambiar de nombre de host, configure IP y DNS y deshabilte el firewall del

Server Core, revise las secciones Cambiando de nombre de host al servidor
Server Core y Configuracin del direccionamiento IP y DNS del servidor
SERVER_CORE que se encuentra en las pginas 215 y 217 respectivamente.

adaptador Ethernet (renombrado como AREQUIPA) y seleccione Properties.
Despus, haga clic en Internet Protocol Versin 4 (TCP/IPv4) y configure el


haga clic derecho sobre el adaptador Ethernet 2 (renombrado como LIMA) y
imagen:

adaptador Ethernet (renombrado como LIMA) y seleccione Properties. Despus,

Configuracin de los Sites en Active Directory
Active Directory Sites and Services.
2. Para renombrar el sitio principal, en la ventana Active Directory Sites and

Services despliegue la carpeta Sites y dentro de la misma, haga clic derecho sobre
Default-First-Site-Name y seleccione la opcin Rename.
3. Renombre el sitio principal como LIMA.

4. Luego, para asignar una direccin de red al sitio LIMA, haga clic derecho sobre la
carpeta Subnet y seleccione la opcin New Subnet.
5. En la ventana New Object Subnet, escriba 192.168.1.0/24 en Prefix y en Select

a site object for this prefix, seleccione LIMA, luego, haga clic en OK.

6. Para la creacin de un nuevo vnculo de sitio, haga clic derecho sobre la carpeta IP
ubicada dentro de la carpeta Sites y seleccione la opcin New Site Link.
7. En la ventana New Object Site Link, escriba LIMA-AREQUIPA en Name y haga

clic en OK.

8. Luego, para la creacin del sitio AREQUIPA, haga clic derecho sobre la carpeta
Sites y seleccione la opcin New Site.
9. En la ventana New Object Site, escriba AREQUIPA en Name y seleccione como

objeto de vinculo de sitios LIMA-AREQUIPA, luego, haga clic en OK.

11. Luego, para asignar una direccin de red al nuevo sitio creado (AREQUIPA), haga
clic derecho sobre la carpeta Subnet y seleccione la opcin New Subnet.
12. En la ventana New Object Subnet, escriba 10.0.0.0/8 en Prefix y en Select a

site object for this prefix, seleccione AREQUIPA, luego, haga clic en OK.

13. Luego, haga clic en la carpeta IP. Despus, haga clic derecho sobre el vinculo de
sitio LIMA-AREQUIPA y seleccione la opcin Properties.
14. Por ltimo, en la ventana LIMA-AREQUIPA Properties, escoja los sitios LIMA y
AREQUIPA para este vinculo y haga clic en Apply y luego, en OK.

Instalacin de un controlador de dominio secundario en Server Core
En esta seccin, instalar el rol AD DS en el servidor SERVER_CORE mediante el uso

de linea de comandos de Windows PowerShell.
1. En el servidor SERVER_CORE, inserte Ctrl+Alt+Supr, luego, seleccione la opcin

Task Manager.
2. En la ventana Task Manager, haga clic en File y seleccione la opcin Run new
task.

3. En la ventana Create a new task escriba en Open el comando powershell.exe y

haga clic en OK
4. De esa manera, est listo para usar Windows PowerShell.
5. En Windows PowerShell, ejecute el comando: PS C:\Windows\system32>

Install-WindowsFeature Name AD-Domain-Services ComputerName
SERVER_CORE.

6. Luego, promocione el servidor SERVER_CORE como controlador de dominio

secundario para el sitio AREQUIPA; para ello, ejecute el comando:
PS C:\Windows\system32> Invoke-Command ComputerName

SERVER_CORE ScriptBlock {Import-Module ADDSDeployment;Install-
ADDSDomainController NoGlobalCatalog:$False
CreateDNSDelegation:$False Credential (Get-Credential)
CriticalReplicationOnly:$False DatabasePath C:\Windows\NTDS
DomainName cibertec.com InstallDNS:$True LogPath
C:\Windows\NTDS NoRebootOnCompletion:$False SiteName
AREQUIPA SysVolPath C:\Windows\SysVol }
7. En la ventana Windows PowerShell Credential Reques, escriba las credenciales

del usuario Administrator (User name: cibertec\Administrator y Password:
P@ssw0rd)

8. Luego, en SafeModeAdministratorPassword, escriba la contrasea P@ssw0rd
9. Nuevamente en Confirm SafeModeAdministratorPassword, vuelva a escribir la

contrasea P@ssw0rd
10. Luego, en la consulta Do you want to continue with this operation?, escriba Y.

11. Espere un tiempo hasta que se concluya la instalacin.
12. Luego, de reiniciado el equipo, ejecute en Windows PowerShell el comando PS

C:\Windows\system32> GET-WINDOWSFEATURE para ver el estado del rol AD
DS.
La columna Install State nos muestra la disponibilidad del componente, que puede
ser:
Installed: El componente est instalado y activo

Available: El componente no est instalado, pero sin embargo estn disponibles en
la instalacin los binarios necesarios si se desea agregarlo
Removed: El componente no est instalado, y en este caso, no estn disponibles
en la instalacin los binarios necesarios. En caso de querer instalarlo, deber
proveer una fuente externa.

Puede observar que el componente que se desea est marcado como Installed, o
sea que el rol AD DS se encuentra instalado y activo.
13. Por ultimo, para verificar que la implementacin del servidor SERVER_CORE ha
sido exitosa, abra las consolas de Active Directory Sites and Services y Active
Directory Users and Computers y observe que figura el objeto SERVER_CORE.
Verificacin del correcto funcionamiento del Server Core como un controlador

de dominio secundario
Cuando se cuenta con un controlador de dominio secundario que no es RODC la

replicacin es bidireccional17, para comprobar ello, se crear un usuario en el servidor
SERVER_CORE y este objeto se replicar en el controlador de dominio principal.
17
La replicacin sirve para que el servicio de directorio Active Directory mantenga rplicas de
los datos de directorio en mltiples controladores de dominio y, de este modo, se garantiza la
disponibilidad y el rendimiento del directorio para todos los usuarios.

1. En el CMD del servidor SERVER_CORE ejecute el comando net user /add ntorres
P@ssw0rd
2. La replicacin entre ambos controladores es de 15 minutos, pero si quiere puede

forzarlo. Para ello, en SERVER_A, abra la consola de Active Directory Sites and
Services; luego, haga clic en el objeto NTDS Settings de cada sitio. Despus,
haga clic derecho sobre automatically generated y seleccione la opcin Replicate
Now.
Primero replique de LIMA a AREQUIPA.
3. Despus, replique de AREQUIPA a LIMA.

Por ltimo, abra la consola de Active Directory Users and Computers y observe
que figura en la carpeta Users el usuario ntorres, por lo que se tiene que la
replicacin entre ambos controladores ha sido exitosa.

Resumen
1. El controlador de dominio de solo lectura (RODC) est diseado para sitios donde
no se puede garantizar una seguridad total.
2. Entre las caractersticas de RODC puede precisar el hecho que no se pueden hacer
cambios en la copia de la base de Active Directory local al mismo debido a que
RODC solo tiene replicacin entrante, otra caraterstica es que se puede delegar la
administracin e instalacin de este Controlador de Dominio en particular a un
usuario normal.
3. Las contraseas no son almacenadas en el servidor RODC.
o https://technet.microsoft.com/es-
es/library/cc753223(v=ws.10).aspx#bkmk_unireplication
o https://technet.microsoft.com/es-pe/library/jj574152.aspx
o https://technet.microsoft.com/es-
es/library/cc754629(v=ws.10).aspx#bkmk_installSrvFound


UNIDAD
5
SERVICIOS DE ESCRITORIO
REMOTO Y VIRTUALIZACIN
Al trmino de la unidad, el alumno configura Remote Desktop Services (RDS)

para brindar acceso remoto a las aplicaciones e implementa la virtualizacin de
servidores mediante el rol Hyper-V.
TEMARIO
5.1 Tema 9 : Remote Desktop Services

5.1.1 : Fundamentos de Remote Desktop Services
5.1.2 : Implementacin de Remote Desktop Services
Los alumnos brindan acceso remoto a las aplicaciones mediante el uso de

RDS.


5.1. REMOTE DESKTOP SERVICES

5.1.1 Fundamentos de Remote Desktop Services
Remote Desktop Services (RDS)18, conocidos como Servicios de Terminal Server en

la plataforma Windows Server 2016 y versiones anteriores, es un rol que proporciona
tecnologas para permitir a los usuarios conectarse a escritorios virtuales, programas
Remote App y escritorios basados en sesin. Con RDS los usuarios pueden tener
acceso a conexiones remotas desde una red corporativa o desde internet.
Qu es Remote App?
RemoteApp permite que los programas a los que se obtiene acceso de forma remota
mediante Servicios de Escritorio remoto aparezcan como si se ejecutaran en el equipo
local del usuario final. Estos programas se conocen como Programas RemoteApp. En
lugar de presentarse al usuario en el escritorio del servidor de Host de sesin de
Escritorio remoto, el Programa RemoteApp se integra en el escritorio del cliente.
El Programa RemoteApp se ejecuta en su propia ventana ajustable, se puede arrastrar

de un monitor a otro y dispone de una entrada propia en la barra de tareas. Si un
usuario ejecuta ms de un Programa RemoteApp en el mismo servidor de Host de
sesin de Escritorio remoto, elPrograma RemoteApp compartir la misma sesin de
Servicios de Escritorio remoto.
Servicios que ofrece el rol Remote Desktop Services
En Windows Server 2016, el rol RDS consta de los siguientes servicios de rol:
RD Virtualization Host
El Host de virtualizacin de Escritorio remoto (Host de virtualizacin de RD) se integra
con Hyper-V para implementar colecciones de escritorios virtuales personales o
agrupados dentro de la organizacin.
RD Session Host
Host de sesin de Escritorio remoto permite a un servidor hospedar programas
RemoteApp o escritorios basados en sesin. Los usuarios pueden conectarse a
servidores host de sesin de Escritorio remoto de una coleccin de sesiones para
ejecutar programas, guardar archivos y usar recursos de esos servidores.
RD Connection Broker
Agente de conexin a Escritorio remoto permite a los usuarios volver a conectarse a
sus escritorios virtuales, programas RemoteApp y escritorios basados en sesin
existentes. Tambien, permite distribuir la carga uniformemente entre los servidores
host de sesin de Escritorio remoto de una coleccin de sesiones o de los escritorios
virtuales agrupados de una coleccin de escritorios virtuales agrupados. Por ltimo,
este agente proporciona acceso a los escritorios virtuales de una coleccin de
escritorios virtuales.
RD Web Access
18
Servicios de Escritorio remoto en espaol

Acceso web de Escritorio remoto permite a los usuarios obtener acceso a Conexin de
RemoteApp y Escritorio mediante el men Inicio en un equipo que ejecute Windows 10
o Windows 8, o a travs de un explorador web. Conexin de RemoteApp y Escritorio
proporciona una vista personalizada de los programas RemoteApp y los escritorios
basados en sesin de una coleccin de sesiones, y los programas RemoteApp y los
escritorios virtuales de una coleccin de escritorios virtuales.
RD Licensing
Administracin de licencias de Escritorio remoto administra las licencias necesarias
para conectarse a un servidor host de sesin de Escritorio remoto o a un escritorio
virtual. Se utiliza Administracin de licencias de Escritorio remoto para instalar y emitir
licencias, y para realizar un seguimiento de su disponibilidad.
RD Gateway
Puerta de enlace de Escritorio remoto permite a los usuarios autorizados conectarse a
escritorios virtuales, programas RemoteApp y escritorios basados en sesin de una
red corporativa interna desde cualquier dispositivo conectado a Internet.
Tipos de implementacin de RDS
Para implementar Remote Desktop Services, ahora se dispone de dos opciones

guiadas: Quick Start (Comienzo Rpido) y Standard Deployment (Implementacin
Standard). El primero instala todos los servicios de rol necesarios de RDS en un
equipo para permitirle instalarlos y configurarlos en un entorno de prueba. Mientras
que el segundo permite implementar de manera flexible los servicios de rol de
Servicios de Escritorio remoto en diferentes servidores.
5.1.2 Implementacin de Remote Desktop Services
Esta seccin tiene como objetivo implementar un escenario donde podamos contar
con los Servicios de Escritorio remoto (su implementacin ser del tipo Quick Start).
En este escenario, se cuenta con el SERVER_B que emular el trabajo de un router.
Contaremos con dos reas de red (LAN y WAN) por lo que este equipo tendr dos
interfaces de red, donde una de ellas estar conectado a los clientes y la otra a los
servidores.
Web, FTP y RDS representados por el equipo CLIENTE. La red WAN de direccin de
red 192.168.1.0/24 es el lugar donde se alojarn nuestros servidores (controlador de
dominio, servidor DNS, servidor Web, servidor FTP, Servidor CA y Servidor RDS)
representados por el SERVER_A.

Figura 24: Arquitectura de Red de RDS

imagen:



imagen:


Instalacin del rol Remote Desktop Services (Quick Start)

3. En la ventana Select installation type, seleccione la opcin Remote Desktop

Services intallation. Luego, haga clic en Next.
4. En la ventana Select deployment type, seleccione la opcin Quick Start y haga

clic en Next.

5. En la ventana Select deployment scenario, nos permiten elegir si se har una

implementacin de escritorios con mquinas virtuales, o basada en sesiones. En
este caso, se elegir la segunda opcin Session-based desktop deployment y
haga clic en Next.
6. En la ventana Select a server, se indica que la opcin Quick Start instalar los
servicios de rol RD Connection Broker, RD Web Access y RD Session Host enel
mismo servidor (SERVER_A). Luego, haga clic en Next.

7. En la ventana Corfirm selections, se muestra un resumen de lo que se ha

seleccionado para la instalacin, habilite la opcin Restart the destination server
automatically if required y luego, haga clic en Install.
8. Espere algunos minutos la instalacin de los servicios requeridos.

9. Luego, se reinicia el equipo una vez y contina la instalacin.
10. Luego de que ha concluido la instalacin, haga clic en Close, y de esa manera, ya
se tiene instalado de forma exitosa el rol Remote Desktop Services.

Publicacin de un programa RemoteApp
1. Abra Server Manager del SERVER_A y haga clic en Remote Desktop Services
ubicado en el panel de la izquierda de la administracin.
2. Luego, haga clic en QuickSessionCollections.

3. En la ventana Select RemoteApp programs, seleccione todas las aplicaciones

que se quieran publicar; por ejemplo, en este caso, seleccione la aplicacin
Defragment and Optimize Drives. Luego, haga clic en Next.
4. Luego, en la ventana Confirmation, haga clic en Publish.

5. En la ventana Completion, se indica que la aplicacin seleccionada ha sido

publicada de forma exitosa. Haga clic en Close.
6. Finalmente, puede observar todas las aplicaciones publicadas con las que se
cuentan y que son visibles en RD Web Access.


Resumen
1. Remote Desktop Services (RDS) , conocido como Servicios de Terminal Server en
la plataforma Windows Server 2016 y versiones anteriores, es un rol que
proporciona tecnologas para permitir a los usuarios conectarse a escritorios
virtuales, programas Remote App y escritorios basados en sesin.

Manual 2017-II 03 Administración de Sistemas Operativos (1938)

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Manual 2017-II 03 Administración de Sistemas Operativos (1938)

Transféré par

Droits d'auteur :

Formats disponibles

Administracin de

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

1.2 Tema 2 : Servicio FTP 38

1.3 Tema 3 : Servicio RRAS 73

3.2 Tema 6 : Asegurando el Servidor WEB 173

4.2 Tema 8 : Servidor RODC 229

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

4.2.3 : Implementacin del Server Core como segundo controlador de 250

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

El manual para el curso ha sido diseado bajo la modalidad de unidades de

El curso es eminentemente prctico: construido como un instrumento de trabajo. Por

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

1.1 Tema 1 : Servicio de mltiples websites

1.2 Tema 2 : Servicio FTP

1.3 Tema 3 : Servicio RRAS

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

1.1. SERVICIO DE MLTIPLES WEBSITES

1.1.1.1 Instalacin del rol Web Server (IIS)

Para la instalacin de este rol, se cuenta con un servidor llamado SERVER_A y en

1. Inicie Server Manager y haga clic en Add roles and features.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

3. En la ventana Select installation type, seleccione la opcin Role-based or

4. Ahora en la ventana Select destination server, seleccione la opcin Select a

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

5. En la ventana Select server roles, seleccione el rol Web Server (IIS).

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

7. Luego, haga clic en Next.

8. En la ventana Select features, las caractersticas bsicas y necesarias han sido

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

10. En la ventana Confirm installation selections, se muestra un resumen de las

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

1.1.2. Fundamentos del rol DNS Server

Es decir, si un usuario escribe una direccin o nombre de dominio en la barra de

En resumen, cuando un usuario escriba un nombre de dominio en una aplicacin, los

Resolucin de nombres: Es el mecanismo que convierte un nombre de host en la

Resolucin inversa de direcciones: Es el mecanismo inverso al anterior, es decir de

Resolucin de servidores de correo: Este mecanismo obtiene a partir de un

1.1.2.1 Principales servidores DNS de internet

Ahora no precisamente existen nicamente 13 servidores fsicos, ya que cada

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

Figura 1: Distribucin mundial de los servidores DNS raz

En Windows Server 2016, el rol DNS Server sigue combinando la compatibildad de

El proceso de integracin es el siguiente, al instalar el rol AD DS en un servidor este

Cuando se agrega una nueva zona a un dominio de AD DS, esta se replica y se

La integracin del almacenamiento de las bases de datos de la zona DNS en AD

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

La replicacin integrada en Active Directory supera en rapidez y eficacia a la

Como escenario se cuenta con un servidor cuyo nombre es SERVER_A. En este

Para la creacin de un alias de DNS, se debe ejecutar los siguientes pasos.

2. Inmediatamente, aparece una nueva ventana llamada DNS Manager, luego,

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

4. En la ventana Browse seleccione el nombre del equipo (SERVER_A) y haga clic en

5. Luego, seleccione la carpeta Forward Lookup Zones y haga clic en OK.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

6. Luego, seleccione la carpeta cibertec.com y haga clic en OK.

7. Por ltimo, seleccione el servidor server_a y haga clic en OK.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

8. Ahora puede visualizar la configuracin completa contando con el nombre de alias y

9. En el nuevo registro, puede observar en el servidor dentro de la zona de bsqueda