Académique Documents
Professionnel Documents
Culture Documents
Sistemas
Operativos
ADMINISTRACIN DE SISTEMAS OPERATIVOS 2
ndice
Presentacin 5
Red de contenidos 7
Unidad de Aprendizaje 1
SERVICIOS FTP Y RRAS 9
1.1 Tema 1 : Servicio de mltiples websites 11
1.1.1 : Fundamentos del rol Web Server (IIS) 11
1.1.2 : Fundamentos del rol DNS Server 17
1.1.3 : Implementacin de mltiples websites 24
Unidad de Aprendizaje 2
REDES PRIVADAS VIRTUALES 95
2.1 Tema 4 : Servicio VPN 97
2.1.1 : Fundamentos del servicio VPN 97
2.1.2 : Configuracin del Servidor VPN 99
2.1.3 : Implementacin del servicio VPN para clientes remotos 99
Unidad de Aprendizaje 3
FUNDAMENTOS DE SEGURIDAD DE RED 133
3.1 Tema 5 : Administracin de Windows Server Update Services 135
3.1.1 : Fundamentos de WSUS 135
3.1.2 : Configuracin del Servidor WSUS 142
3.1.3 : Implementacin y gestin de WSUS 149
Unidad de Aprendizaje 4
ADMINISTRACIN AVANZADA DE DIRECTORIO ACTIVO 209
4.1 Tema 7 : Introduccin a Windows Server Core 211
4.1.1 : Fundamentos de Windows Server Core 211
4.1.2 : Fundamentos de Servidor de Archivos 212
4.1.3 : Implementacin de Server Core como Servidor de Archivos 212
Unidad de Aprendizaje 5
SERVICIOS DE ESCRITORIO REMOTO Y VIRTUALIZACIN 269
5.1 Tema 9 : Remote Desktop Services 271
5.1.1 : Fundamentos de Remote Desktop Services 271
5.1.2 : Implementacin de Remote Desktop Services 272
Presentacin
Administracin de Sistemas Operativos es un curso que pertenece a la lnea de
infraestructura TI y se dicta en las carreras de Redes y Comunicaciones. Brinda un
conjunto de conocimientos tericos y prcticos que permite a los alumnos administrar
la plataforma Windows Server 2016.
Red de contenidos
UNIDAD 1
Servicios FTP y RRAS
SISTEMAS OPERATIVOS
ADMINISTRACIN DE
UNIDAD 2
Redes Privadas Virtuales
UNIDAD 3
Fundamentos de seguridad de
red
UNIDAD 4
Administracin avanzada de
Directorio Activo
UNIDAD 5
Servicios de Escritorio Remoto y
Virtualizacin
UNIDAD
1
SERVICIOS FTP Y RRAS
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, el alumno mediante el uso adecuado del sistema
operativo Windows Server 2016 implementa y configura los servicios de
mltiples websites, FTP y RRAS para transferir archivos entre redes de rea
local (LAN) y redes de rea extensa (WAN), y emular un router fsico con el
Servidor Windows Server 2016.
TEMARIO
ACTIVIDADES PROPUESTAS
Los alumnos implementan diversos sitios web con la misma direccin IP
del Servidor Web.
Los alumnos implementan un sitio FTP autenticado con aislamiento de
usuarios del dominio.
Los alumnos configuran el Servidor RRAS para que emule como un
router entre una red local y extensa.
El rol Web Server (IIS) del sistema operativo Windows Server 2016 brinda una
plataforma segura y fcil de administrar donde se pueden alojar sitios web1, servicios y
aplicaciones de manera confiable. En la actualidad, este rol trabaja con la versin IIS2
8.5, este software permite que se puedan compartir informacin en distintos
escenarios, ya sea con usuarios en Internet, en una intranet o en una extranet; por lo
que es una plataforma web unificada que integra distintos tipos de pginas por
ejemplo: Active Server Pages (ASP), ASP.NET, PHP, servicios de FTP y Windows
Communication Foundation (WCF).
Dentro de las ventajas de utilizar IIS 8.5 es el hecho de que se puede implementar y
ejecutar aplicaciones web de ASP.NET, ASP clsico y PHP en el mismo servidor de
forma sencilla, otro es el refuerzo de la seguridad web que se debe gracias a una
superficie reducida del servidor y el aislamiento automtico de aplicaciones.
1
En ingls website, es un conglomerado de documentos (pginas web) organizados
jerarquicamente y que estn relacionadas a un dominio de internet. Un sitio puede contener
una combinacin de graficos, textos, audios, videos u otros materiales.
2
Internet Information Services (IIS) es el software de servidor web incluido con Windows que
permite la implementacin de sitios web tanto local como remotamente.
2. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.
SERVER_A para que en l se instalen los roles y caractersticas. Luego, haga clic
en Next.
6. Inmediatamente, aparece la ventana Add features that are required for Web
Server (IIS)? que indica que para poder implementar el rol Web Server (IIS) se
debe adicionar algunas caractersticas que aun no han sido instaladas; por ello,
haga clic en el botn Add Features.
9. En la ventana Select role services, los servicios bsicos para el rol Web Server
(IIS) son seleccionados por defecto por el sistema. Haga clic en Next.
11. Finalmente, luego de esperar algunos minutos, haga clic en Close. De esa
manera, ya se tiene instalado de forma exitosa nuestro rol Web Server (IIS).
Las siglas DNS significan Sistema de Nombres de Dominio, dicho sistema se encarga
de la asignacin de nombres a equipos y servicios de red que se organizan en una
jerarqua de dominios. El servicio DNS registra la relacin que existe entre cada
nombre de dominio y su direccin IP correspondiente.
Por ejemplo, cuando un usuario desea visitar algn sitio web, lo hace mediante
nombres debido a que es ms fcil de recordar y de escribir (google.com,
cibertec.edu.pe, microsoft.com, etc), todos ellos se conocen como nombres de
dominio. En cambio, las computadoras identifican los sitios web y se conectan a ellos
mediante un formato numrico que se conocen como direcciones IP, algo similares a
la numeracin telefnica, pero mucho ms estructurado.
Entre las principales funciones que presenta este servicio, puede indicar las
siguientes:
Existen 13 servidores DNS raz en todo internet, ellos almacenan la informacin de los
servidores para cada una de las zonas de ms alto nivel. Los servidores DNS raz se
identifican con las primeras letras del alfabeto, sus nombres son de la forma letra.root-
servers.net (donde letra va desde la A hasta la M) y varios de ellos se encuentran
divididos fsicamente y dispersos geogrficamente por todo el mundo.
1.1.2.2 Integracin de los roles DNS Server y Active Directory Domain Services
Se debe tener en cuenta que los servicios del rol AD DS y del rol DNS Server pueden
instalarse de forma independiente o juntos. Pero, es preciso mencionar que los
servicios del rol de AD DS son obligatorios si el DNS Server hospedar zonas DNS
integradas con Active Directory.
Ahora bien, dentro de las ventajas que se podran mencionar referente a esta
integracin son las siguientes:
DNS incluye la replicacin de datos con varios maestros y una seguridad mejorada
basada en las capacidades de AD DS. Cualquier servidor DNS que contiene una
zona integrada en Active Directory puede recibir actualizaciones dinmicas
enviados por los clientes, esto garantiza que no exista ningn punto nico de fallo,
como el caso de las reas en base a un modelo estndar.
4
En espaol Servicios de Dominio de Directorio Activo, dicho rol proporciona una base de
datos que almacena y administra informacin acerca de los recursos de la red, tambin permite
la organizacin jerarquica de los elementos de una red (usuarios, equipos y otros dispositivos).
1. Abra Server Manager y en la pestaa Tools, haga doble clic a la opcin DNS.
3. En la ventana New Resource Record, escriba www en Alias name (uses parent
domain if left blank) como nombre de alias, luego, haga clic en Browse.
El rol Web Server (IIS) permite implementar varios sitios web en un solo servidor; para
ello, se cuenta con tres distintas formas de hacerlo:
Que todos los sitios web tengan la misma direccin IP, pero distintos nmeros de
puertos
Que cada sitio web tenga un nombre de encabezado de host. De de esta manera,
todos los sitios web pueden utilizar la misma direccin IP y el mismo nmero de
puerto
Internet Firewall
1. En el SERVER_A, haga clic en el boton Start y en This PC, luego, haga doble clic
en Local Disk (C:) y en la carpeta inetpub (esta carpeta fue creada por el rol IIS).
Dentro de esta ltima, cree una carpeta llamada WebSites y dentro de ella otras
tres ms llamadas sitio1, sitio2, sitio3. En cada uno de estos sitios,
almacenaremos los archivos index con su respectiva imagen de ser necesario.
2. Por ejemplo para la creacin del cdigo fuente del sitio1, abra un bloc de notas y
escriba los siguientes comandos:
<html>
<head>
<title> Sitio 1 </title>
</head>
<body bgcolor="#d6d7c9" text="#000000">
<H1 align="center" >Bienvenidos al Sitio 1 </H1>
<HR>
<p> Estimado usuario le damos una cordial bienvenida a nuestra pgina web
Sitio 1 </p>
<img src="s1.png">
</body>
</html>
Luego, guarde el archivo con el nombre index.html con el tipo All Files.
1.1.3.3 Creacin de los nombres de encabezados de host para cada sitio web
1. Abra Server Manager del SERVER_A y en la pestaa Tools, haga doble clic a la
opcin DNS.
4. Inmediatamente, aparecer una nueva ventana en la que nos indica que nuestro
nuevo host ha sido creado de forma exitosa, luego, haga clic en OK
6. Para la creacin de una nueva zona primaria, haga clic derecho sobre la carpeta
Forward Lookup Zones y elija la opcin New Zone.
7. En la ventana Welcome to the New Zone Wizard, haga clic en Next para
continuar.
8. Luego, en la ventana Zone Type, seleccione la opcin Primary zone y haga clic en
Next.
11. En la ventana Dynamic Update, seleccione la opcin Allow only secure dynamic
updates (recommended for Active Directory) y haga clic en Next.
12. Luego de completar de forma exitosa la creacin de la nueva zona, haga clic en
Finish.
13. Finalmente, en la nueva zona asor.local cree un nuevo encabezado de host para
el sitio3 con la direccin IP 192.168.1.100.
En esta etapa, se crearn los 3 sitios web; para ello, ejecute los siguientes pasos:
1. Abra Server Manager del SERVER_A y en la pestaa Tools, haga doble clic a la
opcin Internet Information Services (IIS) Manager.
4. Para la creacin de los dos sitios web restantes, repita los pasos 2 y 3, pero para
este ltimo, donde dice Host name, se debe escribir sitio3.asor.local por
pertenecer a otra zona principal ya que la zona cibertec.com fue creado por
defecto por nuestro dominio.
1. En el equipo del cliente web, abra un navegador de internet y visite los 3 sitios web
ya configurados; para ello, escriba en la barra de direcciones
http://sitio1.cibertec.com, http://sitio2.cibertec.com y http://sitio3.asor.local
2. Adems, utilice el comando nslookup para comprobar que nuestro DNS est
resolviendo correctamente los nombres y las IPs. Para ello, abra CMD del Cliente y
ejecute nslookup sitio1.cibertec.com
Finalmente, realice las demas pruebas para los sitios web restantes.
Resumen
1. Web Server (IIS) de Windows Server 2016 es una plataforma web unificada que
integra distintos tipos de pginas tales como Active Server Pages (ASP),
ASP.NET, PHP, servicios de FTP y Windows Communication Foundation (WCF).
3. Windows Server 2016 sigue permitiendo la integracin de los roles Active Directory
Domain services y DNS Server, ello conlleva a que el servidor DNS que contiene
una zona integrada en Active Directory puede recibir actualizaciones dinmicas
enviados por los clientes para que no exista ningn punto nico de fallo.
4. Se puede implementar mltiples sitios web con la misma direccin IP del servidor y
el mismo nmero de puerto; para ello, cada sitio web debe tener un nombre de
encabezado de host.
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
o https://www.youtube.com/watch?v=kPs-We3sPwQ
o https://technet.microsoft.com/es-es/library/hh831725.aspx
o https://technet.microsoft.com/es-es/library/hh831667.aspx
o https://waytoit.wordpress.com/2014/01/30/iis-8-5-ii-configurando-sites
Servidor FTP
Un servidor HTTP (es decir, un servidor Web) en que se puede comunicar con l
mediante un protocolo de Internet. Sin embargo, un servidor FTP no ejecuta las
pginas Web; slo enva y recibe los archivos a los equipos remotos.
Servidor FTP de Windows Server 2016 trabaja usando el protocolo FTP, que forma
parte de la pila TCP/IP, diseada para transferir archivos entre dos host en Internet.
Ambos equipos deben soportar sus respectivos roles FTP: uno debe ser el cliente FTP
y el otro debe ser un servidor FTP. Los archivos se almacenan en el servidor FTP
(encargado de ejecutar el servicio FTP).
Los equipos remotos se pueden conectar utilizando el cliente FTP y leer archivos del
servidor FTP, copiar o enviar archivos al servidor FTP.
Los Servidores FTP annimos le permiten al usuario ingresar al servidor FTP sin tener
una cuenta creada en el servidor, ni contrasea que lo identifiquen. Usualmente, el
nombre de usuario para conectarse de forma annima es "anonymous". Es una forma
cmoda de que mltiples usuarios puedan acceder a los archivos del FTP, sin que el
administrador deba crear cuentas para cada uno.
El FTP Autenticado se utiliza para transferir archivos al servidor FTP, enviar y recibir
archivos hacia el servidor para luego, hacerlos pblicos o privados. Para el acceso,
requiere de un usuario y contrasea.
Por ejemplo, si quiere actualizar pginas webs de un sitio web, habra que enviarlas
usando el servicio FTP. Pero, no nos gustara que cualquiera pudiese acceder a ellas
para cambiarlas o eliminarlas.
Este modo autentifica a los usuarios contra cuentas locales o de dominio para que
puedan tener acceso al directorio principal que coincide con su nombre de usuario.
Todos los directorios particulares de los usuarios se encuentran debajo de un
directorio raz nico FTP donde se coloca y donde se limita cada usuario a su
directorio particular. A los usuarios no se les permite desplazarse fuera de ste.
Los usuarios aislados que utilizan Directorio Activo, autentifican sus credenciales de
usuario contra un contenedor correspondiente del Directorio Activo, se requiere
grandes cantidades de tiempo y de procesamiento.
Este Servicio FTP incorpora nuevas caractersticas que permiten a los administradores
publicar el contenido mucho con mayor seguridad. Una de las caractersticas de FTP
sobre Secure Sockets Layer (SSL) es que permite sesiones encriptadas entre el
cliente FTP y el Servidor.
5
Es la sigla en ingls de Secure Sockets Layer (en espaol capa de conexin segura). Es un
protocolo criptogrfico que proporciona autenticacin y privacidad sobre internet.
Para la implementacin del Servidor FTP, se debe tener instalado primero el rol Web
Server (IIS)6. Luego, se tiene que agregar a este rol las funcionalidades de FTP tal
como se detalla a continuacion en los pasos siguientes.
1. Inicie Server Manager del SERVER_A y haga clic en Add roles and features.
2. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.
6
Para recordar como fue la instalacin de este rol puede consultar la seccin 1.1.1.1
5. Del listado de roles de la ventana Select server roles, desglose el rol ya instalado
Web Server (IIS) y dentro de ella, seleccione la funcionalidad FTP Server (ello
incluye las caractersticas de FTP Service y FTP Extensibility), luego, haga clic en
Next.
Internet Firewall
Cliente FTP
Nombre: CLIENTE Controlador de Dominio
Direccin IP: 192.168.1.50 Servidor DNS
Mscara: 255.255.255.0 Servidor Web
Puerta de Enlace: 192.168.1.100 Servidor FTP
Nombre: SERVER_A
Direccin IP: 192.168.1.100
Mscara: 255.255.255.0
Dominio: cibertec.com
Sitio FTP: Sitio FTP 1
1.2.3.2 Creacin de los usuarios del dominio que accedern al servicio FTP
2. Verifique que se ha creado de forma exitosa dichos usuarios; para ello, abra Server
Manager y en la pestaa Tools haga doble clic a la opcin Active Directory Users
and Computers.
Como se desea crear directorios particulares para cada usuario ejecute los siguientes
pasos:
1. En This PC del SERVER_A, haga doble clic a unidad Local Disk (C:) y dentro de
ella, cree una carpeta llamada FTP Raiz.
2. Dentro de la carpeta FTP Raiz, cree otra carpeta llamada Usuarios Dominio y en
ella, una carpeta para cada usuario con los nombres de scamacho y sdiaz.
1. En la pestaa Tools del Server Manager, haga doble clic a la opcin Internet
Information Services (IIS) Manager.
4. En la ventana Specify Friendly Name, escriba en Specify a friendly name for the
certificate el nombre del certificado digital el cual es srv-nps-01 y luego, haga clic
en OK.
1. En la pestaa Tools del Server Manager, haga doble clic a la opcin Internet
Information Services (IIS) Manager.
3. En la ventana Site Information, escriba en FTP site name el nombre de Sitio FTP
1 y ubique el directorio C:\FTP Raiz en Physical path, luego, haga clic en Next.
6. Luego, en la ventana Sitio FTP 1 Home, haga doble clic en FTP Messages.
2. Luego, en la ventana FTP User Isolation, escoja la opcin FTP home directory
configured in Active Directory el cual permite aislar las sesiones de nuestros
usuarios FTP en el directorio particular configurado en los valores de cuenta de
Active Directory para cada usuario FTP (el usuario nicamente ve la ubicacin raz
de FTP que le corresponde y no puede navegar al directorio superior). Despus,
haga clic en Set.
7
Hasta la versin de Windows Server 2008 se poda agregar estas propiedades mediante las
siguientes lneas de comando:
Iissftp.vbs /SetADProp Nombre de Usuario FTPRoot Ruta de directorio fsico FTP de raz
Iissftp.vbs /SetADProp Nombre de Usuario FTPDir Nombre de la carpeta del usuario
Para ello, haga uso del ADSI Edit; en caso contrario, se negar el acceso a cada
usuario.
5. Ahora, abra Server Manager y en la pestaa Tools, haga doble clic a la opcin
ADSI Edit.
6. En la ventana ADSI Edit, seleccione la pestaa Action y haga clic en Connect to.
Existen diversas formas de verificar que nuestro servicio FTP est funcionando
correctamente, todas ellas sern descritas a continuacin.
2. Luego, brinde las credenciales del usuario scamacho, por lo que en Usuario
<192.168.1.100:<none>>, escriba scamacho y en Contrasea, escriba
P@ssw0rd (tenga en cuenta que al escribir la contrasea esta no se visualiza)
3. Luego del mensaje de bienvenida, ejecute el comando8 dir para poder visualizar el
directorio del usuario.
8
Para poder conocer los comandos FTP e interactuar con ellos visite la siguiente pgina web
https://technet.microsoft.com/es-es/library/ff687787(v=ws.10).aspx
En esta prueba, se har uso de un software libre como es el FileZilla Client9 cuya
ltima versin estable a la fecha es 3.15.0.1.
1. Para la instalacin del software en el equipo CLIENTE, haga clic derecho sobre
FileZilla_3.15.0.1_win64-setup y seleccione la opcin Ejecutar como
administrador.
9
Es un software gratuito para cliente FTP que goza de una multiplataforma rpida y confiable,
adems, proporciona una interfaz grfica al usuario el cual es fcil de interactuar. Si desea
descargar la ultima versin visite la pgina web https://filezilla-project.org/download.php
7. Por ltimo, en la ventana Completing the FileZilla Client 3.15.0.1 Setup haga clic
en Finish.
8. Luego, en el programa FileZilla abra Gestor de Sitios haciendo clic sobre el icono
que se encuentra debajo de la pestaa Archivo.
10. Luego, renombre el Nuevo sitio por FTP-scamacho y configure los siguientes
datos:
13. Ahora puede hacer uso del servicio sin ningn problema, por ejemplo en Sitio
remoto, escoja un archivo de nuestra eleccin y sobre este haga clic derecho y
seleccione la opcin Descargar.
14. Puede verificar que la descarga ha sido exitosa, pues el archivo se encuentra en el
folder Descargas del usuario scamacho.
Del mismo modo, realice las mismas pruebas para el usuario sdiaz.
Resumen
1. El servidor FTP permite que los usuarios puedan transmitir de forma rpida
informacin a travs de la Internet.
6. El servidor FTP sobre SSL slo soporta clientes FTP de entorno grfico.
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
o https://technet.microsoft.com/es-es/library/hh831655.aspx#Step1
o https://technet.microsoft.com/es-es/library/hh831729.aspx
o https://technet.microsoft.com/es-es/library/hh831662.aspx
1.3.1.1 Enrutamiento
Si se configura el servicio RRAS para que acte como un servidor de acceso remoto,
se podr conectar trabajadores remotos o mviles a las redes de la organizacin.
Tenga en cuenta que los usuarios remotos pueden trabajar como si sus equipos
estuvieran conectados directamente a la red.
10
Siglas en ingls de Routing and Remote Access Service
11
La informacin de enrutamiento IP se propaga mediante protocolos. Los dos protocolos de
enrutamiento IP ms comunes utilizados en intranets son el Protocolo de informacin de
enrutamiento (RIP, Routing Information Protocol) y Abrir la ruta de acceso ms corta primero
(OSPF, Open Shortest Path First).
La red LAN cuya direccin de red es 10.0.0.0/8 es el lugar donde estarn los usuarios
Web y FTP representados por el equipo CLIENTE. La red WAN de direccin de red
192.168.1.0/24 es el lugar donde se alojarn nuestros servidores (controlador de
dominio, servidor DNS, servidor Web, servidor FTP) representados por el SERVER_A
Este rol ser instalado en el SERVER_B por lo que se ejecutarn los siguientes pasos:
2. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.
5. En la ventana Select server roles, seleccione el rol Remote Access y haga clic en
Next.
10. Tambin, en la ventana Select role service, seleccione Routing y haga clic en
Next.
11. En la ventana Web Server Role (IIS), haga clic en Next para instalar dicho rol al
SERVER_B (tenga en cuenta que los roles Remotes Access y web server (IIS)
trabajan en forma conjunta).
12. En la ventana Select role services, deje seleccionados los servicios que por
defecto sern instalados para el rol Web Server (IIS), luego, haga clic en Next.
14. Finalmente, luego de esperar algunos minutos haga clic en Close. De esa manera,
ya se tiene instalado de forma exitosa los roles Remote Access y Web Server
(IIS)
Nuestro servidor SERVER_B ser configurado para que realice el trabajo de emular
como un router ulitizando el servicio de Remote Access. Para ello, ejecute los
siguientes pasos:
1. Abra Server Manager del SERVER_B y en la pestaa Tools, haga doble clic a la
opcin Routing and Remote Access.
2. En la ventana Routing and Remote Access, haga clic derecho sobre el servidor
SERVER_B (local) y seleccione la opcin Configure and Enable Routing and
Remote Access.
3. Luego, en la ventana Welcome to the Routing and Remote Access Server Setup
Wizard haga clic en Next.
7. Por ltimo, haga clic en el boton Start service para iniciar el servicio.
2. Luego, haga clic derecho sobre RIP el cual est dentro de IPv4 y seleccione la
opcin New Interface.
3. En la ventana New Interface for RIP Vesrion 2 for Internet Protocol, seleccione
la interface en el cual funcionar RIP, en nuestro caso escoja la interface LAN y
luego, haga clic en OK.
4. En la ventana RIP Properties LAN Properties, deje las selecciones hechas por
defecto por el sistema y haga clic en Apply y despus en OK.
2. De la misma forma que el paso 1, en nuestro servidor SERVER_A, abra CMD y haga
ping y tracert a nuestro equipo CLIENTE; para ello, ejecute los comandos ping
10.0.0.100 y tracert 10.0.0.100
1. En el CMD del servidor que trabaja como router (SERVER_B), ejecute el comando
route print.
Resumen
1. Un enrutador o router es un dispositivo intermedio que sirve para interconectar
redes. Gracias al servicio RRAS se puede lograr que un servidor emule el trabajo
de un router.
2. El servicio de enrutamiento y acceso remoto forma parte del rol Remote Access en
Windows Server 2016.
Puede revisar los siguientes enlaces para ampliar los conceptos vistos en esta unidad:
o http://www.cisco.com/c/es_mx/products/routers/index.html
o https://technet.microsoft.com/es-pe/library/dn636119.aspx
o https://technet.microsoft.com/es-es/library/dn614140.aspx
o https://technet.microsoft.com/es-pe/library/dd469784.aspx
UNIDAD
2
REDES PRIVADAS VIRTUALES
LOGRO DE LA UNIDAD DE APRENDIZAJE
TEMARIO
ACTIVIDADES PROPUESTAS
Una red privada virtual (VPN, Virtual Private Network) es la extensin de una red
privada que incluye vnculos de redes compartidas o pblicas como Internet. Con una
red privada virtual, se puede enviar datos entre dos host a travs de una red
compartida o pblica de forma que emula un vnculo privado punto a punto.
Las funciones de red privada virtual consisten en crear y configurar una misma red con
estas caractersticas. Para emular un vnculo punto a punto, los datos se encapsulan o
empaquetan con un encabezado que proporciona la informacin de enrutamiento que
permite a los datos recorrer la red compartida o pblica hasta alcanzar su destino.
Para emular un vnculo privado, los datos se cifran para asegurar la confidencialidad.
Los paquetes interceptados en la red compartida o pblica no se pueden descifrar si
no se dispone de las claves de cifrado. El vnculo en el que se encapsulan y cifran los
datos privados es una conexin de red privada virtual (VPN).
Los usuarios que trabajan en casa o que estn de viaje pueden usar conexiones VPN
para establecer una conexin de acceso remoto al servidor de una organizacin
mediante la infraestructura que proporciona una red pblica como Internet. Desde la
perspectiva del usuario, la red privada virtual es una conexin punto a punto entre el
equipo (el cliente VPN) y el servidor de la organizacin (el servidor VPN). La
infraestructura exacta de la red compartida o pblica es irrelevante dado que,
lgicamente, parece como si los datos se enviarn a travs de un vnculo privado
dedicado.
Figura 10: Conexin mediante VPN de dos sitios remotos a travs de Internte
Fuente.- Tomado de https://technet.microsoft.com/es-es/library/dd469653.aspx
En la familia Microsoft Windows Server 2016 hay cuatro tipos de tecnologa VPN
basadas en el Protocolo punto a punto (PPP):
PPTP utiliza mtodos de autenticacin PPP de nivel de usuario y cifrado punto a punto
de Microsoft (MPPE) para cifrar los datos.
SSTP es la nueva forma de tnel de VPN con caractersticas que permiten al trfico
pasar a travs de los firewalls que bloquean el trfico PPTP y L2TP. SSTP brinda un
mecanismo para encapsular trfico PPP sobre el canal SSL del protocolo HTTPS
Es importante referir, a pesar de que no ser implementado en este manual, que el rol
Remote Access no solo brinda servicios de enrutamiento y VPN sino que adiciona el
servicio de DirectAccess12. Pese a que en Windows Server 2008 R2 el servicio VPN
no poda coexistir en el mismo servidor perimetral con DirectAccess por lo que se
deba de implementar y administrar de forma separada de DirectAccess. Hoy en dia
esta situacin cambia pues en Windows Server 2016 dichos servicios se encuentran
unificados en un nuevo rol de servidor permitiendo la administracin configuracin y
supervisin de los mismos.
SERVER_B ser el servidor VPN, quien ser unido al dominio cibertec.com para que
use la base de datos de cuenta del dominio. Se contar con dos reas de red
(EXTERNA e INTERNA) por lo que este equipo tendr dos interfaces de red, donde
una de ellas estar conectado remotamente por medio de internet a los clientes y la
otra a los servidores.
La red EXTERNA cuya direccin de red es 10.0.0.0/8 es el lugar donde estarn los
usuarios desde ubicaciones remotas representados por el equipo CLIENTE. La red
12
Es una caracterstica de acceso remoto que permite conectarse a los recursos de la red
corporativa sin necesidad de establecer conexiones de red privada virtual (VPN). DirectAccess
establece una conectividad bidireccional con una red interna cada vez que un equipo con
DirectAccess habilitado se conecta a Internet. Los usuarios no tienen que preocuparse de
conectarse a la red interna y los administradores de TI pueden administrar los equipos remotos
fuera de la oficina, incluso cuando los equipos no estn conectados a la red VPN.
1. Abra Server Manager del SERVER_B y en la pestaa Tools, haga doble clic a la
opcin Remote Access Management.
5. En la ventana Routing and Remote Access, haga clic derecho sobre nuestro
servidor SERVER_B (local) y seleccione la opcin Configure and Enable Routing
and Remote Access.
6. Luego, en la ventana Welcome to the Routing and Remote Access Server Setup
Wizard, haga clic en Next para continuar.
12. De forma inmediata, aparece una nueva ventana llamada New IPv4 Address
Range en el cual se asignarn 11 direcciones IP de la red 192.168.1.0/24 para los
clientes VPN. En el campo Start IP address, escriba por ejemplo la direccin IP
192.168.1.200 y en el campo End IP address, 192.168.1.210, luego, haga clic en
OK.
15. En la ventana Completing the Routing and Remote Access Server Setup
Wizard, haga clic en Finish.
13
El nombre RADIUS es el acrnimo de Remote Authentication Dial In User Services, es decir
estos servidores se encargan de la gestin de cuentas de usuarios para autenticar el acceso a
los proveedores de servico de Internet.
16. Por ltimo, aparece un mensaje relacionado al uso de DHCP Relay Agent el cual
se omitir, pues para esta implementacin no se ha configurado el servicio
DHCP.Cierre la ventana haciendo clic en OK.
1. Abra Server Manager del SERVER_A y en la pestaa Tools, haga doble clic a la
opcin Active Directory Users and Computers.
5. Por ltimo, realice la misma configuracin de los pasos del 2 al 4 para el usuario
sdiaz.
7. Luego, para que se efecten los cambios en el sistema, se debe reiniciar el equipo,
por lo que haga clic en OK.
2.1.3.5 Configuracin del Cliente VPN con el uso del protocolo PPTP
11. En la ventana Conexiones de Red, haga clic derecho sobre la conexin Ciber
VPN 1 y seleccione la opcin Conectar o desconectar.
12. Luego, haga clic en la conexin Ciber VPN 1 del panel derecho.
14. Ahora, inicie la sesin con el usuario scamacho cuya contrasea es P@ssw0rd,
luego, haga clic en Aceptar.
15. Ahora puede observar que la conexin Ciber VPN 1 se ha realizado de forma
exitosa.
1. Ahora abra Server Manager de SERVER_B y en la pestaa Tools, haga doble clic
a la opcin Routing and Remote Access.
2.1.3.7 Configuracin del Cliente VPN con el uso del protocolo L2TP/IPSec
1. Abra Server Manager del SERVER_B y en la pestaa Tools, haga doble clic a la
opcin Routing and Remote Access.
2. En la ventana Routing and Remote Access, haga clic derecho sobre SERVER_B
(local) y seleccione la opcin Properties.
14
Sus siglas en ingles es PSK, es una clave secreta que previamente se comparte en ambas
partes (Servidor-Cliente) usando un canal seguro antes que se utilice.
12. En la ventana Conexiones de Red, haga clic derecho en la conexin Ciber VPN 2
y seleccione la opcin Propiedades.
14. Luego, en Tipo de VPN, seleccione la opcin Protocolo de tnel de nivel 2 con
IPsec (L2TP/IPsec) y haga clic en Configuracin avanzada.
17. Luego, en la ventana Conexiones de Red, haga clic derecho sobre la conexin
Ciber VPN 2 y seleccione la opcin Conectar o desconectar.
18. Despus, haga clic en la conexin Ciber VPN 2 del panel derecho.
20. Inicie sesin con el usuario sdiaz cuya contrasea es, luego, haga clic en Aceptar.
21. Luego de esperar algunos segundos, puede observar que la conexin Ciber VPN 2
se ha realizado de forma exitosa.
Resumen
1. La implementacin de una red VPN permite extender la red de la empresa de forma
segura y confiable.
2. El servicio VPN trabaja con dos tipos de conexiones, VPN de acceso remoto y VPN
de sitio a sitio.
3. VPN de acceso remoto esta diseado para usuarios que trabajan en casa o se
encuentran de viaje y necesiten establecer una conexin al servidor de una
organizacin por una red publica como internet.
4. VPN de sitio a sitio permite establecer conexiones enrutadas con oficinas alejadas
geogrficamente de una organizacin (sucursales) a travs de internet. Funciona
como un vnculo de WAN dedicado.
5. Los 4 protocolos de tnel VPN soportados por Windows Server 2016 son: PPTP,
L2TP/IPSec, SSTP e IKEv2.
Puede revisar los siguientes enlaces para ampliar los conceptos vistos en esta unidad:
o https://msdn.microsoft.com/es-es/library/jj635995.aspx
o https://technet.microsoft.com/es-es/library/hh831416.aspx
o https://technet.microsoft.com/es-pe/library/ff687723(v=ws.10).aspx
UNIDAD
3
FUNDAMENTOS DE SEGURIDAD
DE RED
LOGRO DE LA UNIDAD DE APRENDIZAJE
TEMARIO
ACTIVIDADES PROPUESTAS
Qu es Microsoft Update?
Microsoft Update es un sitio web que mantiene sus sistemas actualizados. Es usado
para obtener las actualizaciones de los sistemas operativos, las aplicaciones de
Windows, los controladores de los dispositivos y softwares. Los nuevos contenidos son
agregados regularmente a este sitio web por lo que siempre se puede obtener las
actualizaciones ms recientes para proteger a los servidores y las computadoras
clientes de la red.
Las categoras de las actualizaciones para los sistemas operativos de Windows son
las siguientes:
Actualizaciones crticas
Soluciona problemas de seguridad y otras actualizaciones importantes para mantener
nuestras computadoras y redes de forma segura.
Descargas recomendadas
Contiene los ltimos service packs de Windows y Microsoft Internet Explorer y otras
actualizaciones importantes.
Herramientas de Windows
Son utilidades y otras herramientas qu son brindadas para mejorar el rendimiento y
facilitar las actualizaciones.
Se puede implementar el servicio WSUS en varios escenarios segn sea el caso mas
apropiado para la organizacin.
Los administradores pueden implementar varios servidores que ejecuten WSUS y que
sincronicen todo el contenido de la intranet de la organizacin. En la figura siguiente,
slo hay un servidor expuesto a Internet. En esta configuracin, ste es el nico
servidor que descarga actualizaciones desde Microsoft Update. Este servidor est
establecido como el servidor que precede en la cadena, con cuyo origen se sincroniza
el servidor que sigue en la cadena. Si es necesario, los servidores pueden ubicarse a
travs de una red, geogrficamente, dispersa para ofrecer la mejor conectividad
posible a todos los equipos cliente.
Si en la red participan usuarios mviles que inician sesin desde distintas ubicaciones,
se puede configurar WSUS para permitir que estos usuarios actualicen sus equipos
cliente desde el servidor WSUS que tengan geogrficamente ms cerca. La figura 17
muestra un servidor WSUS implementado en cada regin y cada regin es una subred
DNS.Todos los equipos cliente se dirigen al mismo servidor WSUS, que se resuelve
en cada subred como el servidor WSUS fsico ms cercano.
Sincronizacin
Sincronizacin programada
Fuente de actualizacin
El administrador puede sincronizar el contenido del servidor WSUS desde el sitio web
de Microsoft Update o desde otra instalacin WSUS. La fuente de actualizacin
depender de cmo se haya planeado la implementacin de WSUS. Un servidor
WSUS independiente sincronizar el contenido desde el sitio web de Microsoft Update,
mientras que el servidor WSUS de una oficina sucursal sincronizar su contenido
desde el servidor WSUS de la oficina principal.
Idioma de actualizacin
Los grupos de computadoras son usados por WSUS para controlar que
actualizaciones son aplicadas, y a que computadoras. Esto permite implementar
etapas en las actualizaciones y reducir la carga en la red. Por ello, los grupos de
computadoras son ideales para testear las actualizaciones en computadoras
especficas antes de distribuir dichas actualizaciones a toda la organizacin.
Computadoras clientes
Todas las nuevas computadoras son agregadas, de forma automtica, a los grupos All
Computers group y Unassigned Computers Group. El grupo All Computers group
brinda una forma conveniente para aplicar actualizaciones a cada computadora
usando un servidor WSUS. El grupo Unassigned Computers Group te permite ver
que computadoras quizs sean nuevas usando el servidor WSUS y necesiten ser
agregadas a un grupo. Despus que las computadoras son agregadas a un grupo
creado por el administrador, ellas ya no formarn parte del grupo Unassigned
Computers Group.
Aprobaciones de actualizaciones
Deteccin
Instalacin
Eliminacin
Si una actualizacin causa problemas despus de ser instalada, esta puede ser
removida por medio de la eliminacin. sto es, particularmente importante si se ha
automatizado la instalacin para ciertas clasificaciones de actualizaciones.
Declinar actualizaciones
Aprobaciones automticas
El proceso para testear y aprobar actualizaciones nuevas puede ser lento en muchas
organizaciones. Algunas organizaciones han encontrado un menor riesgo en aplicar
actualizaciones crticas y de seguridad, de forma inmediata, antes que esperar que el
proceso de testeo haya sido completado. Esto permite que los nuevos virus no tomen
ventajas de las fallas.
1. Previamente se crear una carpeta llamada WSUS en Local Disk (D:) del servidor
SERVER_B, dicha carpeta ser usada para el almacenamiento de las
actualizaciones de modo que los equipos clientes las descarguen de forma rpida.
2. Abra el Server Manager del SERVER_B y haga clic en Add roles and features.
3. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.
7. Inmediatamente aparece la ventana Add features that are required for Windows
Server Update Services? indicando que para poder instalar Windows Server
Update Services se debe adicionar algunas caractersticas, por lo que haga clic en
el botn Add Features.
10. Luego, en la ventana Windows Server Update Services, haga click en Next.
11. En la ventana Select role services, seleccione los servicios WID Database y
WSUS Services y haga clic en Next.
14. Finalmente, luego, de esperar algunos minutos haga clic en Close. De esa
manera, ya se tiene instalado de forma exitosa el rol Windows Server Update
Services.
Esta seccin tiene como objetivo implementar un escenario simple de WSUS. En este
escenario, se cuenta con el servidor SERVER_B que emular el trabajo de un router y
ser el nico servidor WSUS. Se contar con tres reas de red (LAN, WAN e
INTERNET) por lo que este equipo tendr tres interfaces de red, donde una de ellas
estar conectado a los clientes, la otra a los servidores y el ltimo estar conectado a
internet para acceder al sitio web Microsoft Update.
La red LAN cuya direccin de red es 10.0.0.0/8 es el lugar donde estarn los usuarios
Web y FTP y WSUS representados por el equipo CLIENTE. La red WAN de direccin
de red 192.168.1.0/24 es el lugar donde se alojarn nuestros servidores (controlador
de dominio, servidor DNS, servidor Web, servidor FTP) representados por el
SERVER_A. La red de INTERNET cuya direccin ser proporcionado por un
proveedor de internet.
1. Abra Server Manager del SERVER_B y en la pestaa Tools, haga clic a la opcin
Windows Server Update Services.
8. En la ventana Specify Proxy Server, haga clic en Next puesto que no se cuenta
con un servidor proxy en el dominio.
11. En la ventana Choose Products, seleccione los productos que desea actualizar,
como por ejemplo Windows 8.1 luego, haga clic en Next.
14. En la ventana Finished, deje la sincronizacin para despus y haga clic en Next.
16. Por ltimo, se crear el grupo de equipos Finanzas; para ello, en la consola de
administracin de WSUS, haga clic derecho sobre All Computers y seleccione la
opcin Add Computer Group.
17. En la ventana Add Computer Group, escriba Finanzas en Name y luego, haga
clic en el botn Add.
A continuacin, se crear un GPO15 con el nombre WSUS PC Clients para los clientes
WSUS; para ello, ejecute los siguientes pasos en SERVER_A.
1. Abra Server Manager del SERVER_A y en la pestaa Tools, haga clic a la opcin
Group Policy Management.
15
Siglas en ingls de Group Policy Object (un objeto de directiva de grupo) es un conjunto de
una o ms polticas para la seguridad del sistema
4. Luego, haga clic derecho sobre la GPO recin creada WSUS PC Clients y
seleccione la opcin Edit.
6. Luego, dentro de la carpeta Windows Update, haga clic derecho sobre la poltica
Configure Automatic Updates y seleccione Edit.
8. Ahora haga clic derecho sobre la poltica Specify intranet Microsoft Update
service location y seleccione Edit.
10. Finalmente, haga clic derecho sobre la poltica Enable cliente-side targeting y
seleccione Edit.
Prueba de sincronizacin
En este paso, se aprueba la actualizacin de los equipos cliente de prueba del grupo
de prueba. Los equipos del grupo se comprobarn con el servidor WSUS durante las
24 horas siguientes. Transcurrido este perodo de tiempo, puede utilizar la
caracterstica de generacin de informes de WSUS para determinar si esas
actualizaciones se implementaron en los equipos. Si la comprobacin es correcta,
puede aprobar la misma actualizacin para el resto de los equipos de la organizacin.
3. Para aprobar una actualizacin, haga clic derecho sobre la actualizacin elegida y
seleccione Approve.
Resumen
1. WSUS se encarga de administrar y distribuir actualizaciones de software que
resuelven casos de vulnerabilidad de seguridad y proporciona un soporte de
estabilidad a la plataforma Windows
2. Microsoft Update es un sitio web de la corporacin Microsoft que aloja todas las
actualizaciones disponibles y que interarctua con el servidor WSUS
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
o https://technet.microsoft.com/es-es/windowsserver/bb332157.aspx
o https://technet.microsoft.com/es-es/library/hh852346.aspx
o https://technet.microsoft.com/es-es/library/hh852340.aspx
o https://technet.microsoft.com/es-es/library/hh852345.aspx
o https://technet.microsoft.com/es-es/library/hh852344.aspx#BKMK_1.2
Durante los ltimos aos, los servidores Web se han convertido en una excelente
fuente de diversin para personas maliciosas: cualquier empresa que se aprecie,
desde las ms pequeas a las ms grandes multinacionales tiene un sitio web en la
que al menos trata de vender su imagen corporativa.
La mayor parte de estos ataques tiene xito gracias a una configuracin incorrecta del
servidor o a errores de diseo del mismo: si se trata de grandes empresas, los
servidores Web suelen ser bastante complejos (alta disponibilidad, balanceo de carga,
sistemas propietarios de actualizacin de contenidos, etc) y difciles de administrar,
correctamente, mientras que si la empresa es pequea es muy posible que haya
elegido un servidor Web simple en su instalacin y administracin pero en el cual es
muy difcil garantizar una mnima seguridad.
Sea por cualquier motivo, la cuestin es que cada da es ms sencillo para una
persona maliciosa ejecutar rdenes de forma remota en una mquina o al menos
modificar contenidos de forma no autorizada gracias a los servidores Web que un
sistema pueda albergar.
Hoy en da, las conexiones a servidores Web son sin duda las ms extendidas entre
usuarios de Internet, hasta el punto de que muchas personas piensan que este
servicio (http, comnmente en el puerto 80 del protocolo TCP) es el nico que existe
en la red. Lo que en un principio se dise para que unos cuantos fsicos
intercambiaran y consultaran artculos, fcilmente en la actualidad mueve a diario
millones de dlares y es uno de los pilares fundamentales de cualquier empresa.
Seguridad en el servidor
Una encuesta de Ernst & Young encontr que cuatro de cada cinco organizaciones
grandes, con ms de 2.500 empleados ejecuta aplicaciones crticas en redes de reas
local LANs. Dichas LANs, y la informacin vital que albergan, estn cada vez ms
expuestas a la amenaza de ataques externos perpetrados a travs del acceso que
proporcionan los servidores web. De un total de 61 organizaciones estudiadas, se
encontraron 142 accesos no autorizados y decenas de incidentes relacionados con
Hackers en los ltimos tres meses.
Seguridad en la red
Seguridad en el cliente
En Windows Server 2016, los Servicios de certificados de Active Directory (AD CS)
ofrecen nuevas funcionalidades y caracteristicas en comparacin con las versiones
anteriores.
Entidad de certificacin
Inscripcin web de entidad de certificacin
Respondedor en lnea
Servicio de inscripcin de dispositivos de red
Servicio Web de directiva de inscripcin de certificados
Servicio Web de inscripcin de certificados
16
Una infraestructura de clave pblica (PKI) es un sistema de certificados digitales, entidades
de certificacin (CA) y autoridades de registro que comprueban y autentican la validez de cada
entidad implicada en una transaccin electrnica mediante el uso de la criptografa de clave
pblica.
Instalar una propia Autoridad Certificadora de tipo privada tambin tiene ventajas y
desventajas. Algunos piensan que en este caso es gratis, y nada ms alejado, hay que
instalar y mantener la misma, inclusive tomando medidas adicionales de seguridad, ya
que si se comprometiera la seguridad de una Autoridad Certificadora estaran
comprometeidos todos los certificados por ella otorgados
1. Inicie Server Manager del SERVER_A y haga clic en Add roles and features.
2. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.
6. Inmediatamente aparecer la ventana Add features that are required for Active
Directory Certificate Services? indicando que para poder instalar Active Directory
Certificate Services se debe adicionar algunas caractersticas, por lo que haga clic
en el botn Add Features.
12. Inmediatamente, aparecer la ventana Add features that are required for
Certification Authority Web Enrollment? que nos indica que para poder instalar
Certification Authority Web Enrollment se debe adicionar algunas caractersticas.
Haga clic en el botn Add Features.
15. Finalmente, luego, de esperar algunos minutos, haga clic en Close. De esa
manera, ya se tiene instalado de forma exitosa el rol Active Directory Certificate
Services.
4. En la ventana Setup Type, seleccione la opcin Standalone CA. Luego, haga clic
en Next.
6. En la ventana Private Key, seleccione la opcin Create a new private key para la
creacin de una nueva clave privada. Luego, haga clic en Next.
8. En CA Name, mantenga por defecto los campos escritos. Luego, haga clic en Next.
12. Finalmente, luego de esperar algunos minutos haga clic en Close, y de esa
manera, ya hemos terminado de forma exitosa la configuracin de Active Directory
Certificate Services.
La red LAN cuya direccin de red es 10.0.0.0/8 es el lugar donde estarn los usuarios
Web y FTP representados por el equipo CLIENTE. La red WAN de direccin de red
192.168.1.0/24 es el lugar donde se alojarn los servidores (controlador de dominio,
servidor DNS, servidor Web, servidor FTP y Servidor CA) representados por el
SERVER_A.
1. Abra Server Manager del SERVER_A y en la pestaa Tools, haga clic a la opcin
Internet Information Services (IIS) Manager.
7. Luego, abra el Server Manager del SERVER_A y en la pestaa Tools, haga clic a
la opcin Certification Authority.
10. Ahora para ver el estado de una solicitud de certificado pendiente, vuelva a visitar
la direccin web http://server_a/certsrv, luego, en la ventana Welcome de
Microsoft Active Directory Certificate services SERVER_A-CA, haga clic en la
tarea View the status of a pending certificate request.
11. En la ventana View the Status of a Pending Certificate Request haga clic en
Saved-Request Certificate (2/22/2016 12:09:00 PM)
13. Luego de la descarga, abra nuestro certificado llamado certnew haciendo clic en el
botn Open de la ventana Open File Security Warning.
17. Luego, en la ventana Completing the Certificate Import Wizard, haga clic en
Finish.
18. Luego, aparece un mensaje que nos indica que la importacin del certificado fue
exitoso por lo que haga clic en OK.
1. Ahora, abra el Server Manager del SERVER_A y en la pestaa Tools, haga clic a
la opcin Internet Information Services (IIS) Manager.
3.2.3.5 Enlace del certificado digital al sitio web por defecto de cibertec.com
1. Ahora. abra Server Manager del SERVER_A y en la pestaa Tools, haga clic a la
opcin Internet Information Services (IIS) Manager.
6. Luego, en la ventana Default Web Site Home, haga clic en la opcin SSL
Settings.
2. Luego, omita el mensaje que aparece y haga clic en Vaya a este sitio web (no
recomendado).
3. Luego, en la parte superior del sitio web, haga clic en Error de certificados
ubicado en la barra de direcciones.
5. Ahora, puede observar la informacin general del certificado, luego, haga clic en la
pestaa superior Ruta de certificacin.
6. Finalmente, se observa, tal como dice en el Estado del certificado, que el certificado
es vlido y ha sido emitido por la Autoridad Certificadora cibertec-SERVER_A-CA.
Resumen
1. El rol Servicios de certificados de Active Directorio se encarga de brindar servicio
personalizados para la emisin y administracin de certificados de infraestructura
de clave pblica (PKI).
Puede revisar los siguientes enlaces para ampliar los conceptos vistos en esta unidad:
o https://technet.microsoft.com/es-es/library/cc732625.aspx
o https://technet.microsoft.com/es-es/library/cc725593.aspx
o https://technet.microsoft.com/es-es/library/dn473011
o https://technet.microsoft.com/es-es/library/cc731564(v=ws.10).aspx
UNIDAD
4
ADMINISTRACIN AVANZADA
DE DIRECTORIO ACTIVO
LOGRO DE LA UNIDAD DE APRENDIZAJE
TEMARIO
ACTIVIDADES PROPUESTAS
Server Core para Windows Server 2016 proporciona una instalacin mnima del
sistema operativo. Esto reduce los requerimientos de espacio de disco y convierte a
Server Core en un buen candidato para escenarios de oficinas remotas. Los archivos
de instalacin desatendida pueden ser usados para acelerar la implementacin de
Windows Server Core 2016. Esto reduce los requerimientos de mantenimiento y
reduce las oportunidades de ataque desde la red.
Los beneficios que brinda el uso de Server Core son las siguientes:
Para instalar y configurar los roles que brinda Server Core, se debe implementar
archivos desatendidos. Server Core brinda la plataforma ms estable, fcil y segura
para implementar los roles. Los siguientes roles disponibles para esta versin son los
siguientes:
Conversin de una instalacin Server Core en una instalacin Servidor con GUI
La instalacin en Server Core nos permite instalar Windows Server 2016 sin una
interfaz grfica. Pese a ello, una novedad para esta versin es que la renovada
PowerShell y las mejoras introducidas en el sistema operativo nos permiten "mezclar"
lo mejor de los dos mundos, instalando solo algunas caractersticas de administracin
grfica en nuestro Server Core o dejando solo una interfaz de lnea de comandos que
reduce los recursos consumidos y la superficie de ataque del equipo.
Para convertir a una instalacin Servidor con una GUI con Windows PowerShell, siga
los pasos del siguiente procedimiento.
1. Determine el nmero de ndice de una imagen de Servidor con una GUI (por
ejemplo,SERVERSTANDARD noSERVERDATACENTERCORE) con
2. Ejecute
3. O bien, si desea usar Windows Update como el origen en lugar de un archivo WIM,
use este cmdlet de Windows PowerShell:
Su funcin es permitir el acceso remoto de otros nodos a los archivos que almacena o
sobre los que tiene acceso.
Esta seccin tiene como objetivo implementar un escenario donde el Server Core se
convierta en un Servidor de Archivos. En este escenario, se cuenta con el SERVER_B
que emular el trabajo de un router. Se contar con dos reas de red (LAN y WAN)
por lo que este equipo tendr dos interfaces de red, donde una de ellas estar
conectado a los clientes y la otra a los servidores.
La red LAN cuya direccin de red es 10.0.0.0/8 es el lugar donde estarn los usuarios
Web y FTP representados por el equipo CLIENTE. La red WAN de direccin de red
192.168.1.0/24 es el lugar donde se alojarn nuestros servidores (controlador de
dominio, servidor DNS, servidor Web, servidor FTP y Servidor CA) representados por
el SERVER_A y en otro equipo, el servidor de Archivos representado por el Server
Core.
Figura 20: Arquitectura de Red del Server Core como Servidor de Archivos
1. Para conocer el nombre actual del servidor mediante lnea de comando en el CMD,
ejecute lo siguiente:
C:\Users\Administrator>cd C:\Windows\system32
C:\Windows\System32>hostname
C:\Windows\System32>cd C:\Windows\system32
C:\Windows\System32>hostname
C:\Windows\System32>ipconfig /all
Luego, despus, del mensaje Type the password associated with the domain
user escriba la contrasea del administrador del dominio el cual es P@ssword
(tenga en cuenta que al momento de escribirla esta no ser visible)
C:\Users\Administrator.CIBERTEC>cd ..
C:\Users>cd ..
C:\>md Compartida
C:\> cd Compartida
C:\Compartida>md Finanzas
C:\Compartida>md Contabilidad
C:\Compartida>cd Contabilidad
C:\Compartida\Contabilidad>copy con conta01.txt
4. Para corroborar que el usuario scamacho, tiene control total. Sobre ella, cree un
archivo de texto llamado PRUEBA.
8. Finalmente, para corroborar que el usuario sdiaz, tiene permisos de solo lectura.
Sobre ella, intente eliminar (sin xito alguno) el archivo de texto llamado conta01.
Resumen
1. Server Core es el escenario ideal para oficinas remotas ya que proporciona una
instalacin minima del sitema operativo, tambin reduce los requerimientos de
espacio de disco y reduce oportunidades de ataque desde la red.
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
o https://msdn.microsoft.com/en-us/library/hh846325(v=vs.85).aspx
o https://windowserver.wordpress.com/2013/11/20/windows-server-2012-r2-
cambiar-entre-server-core-min-shell-server-with-gui-y-desktop-experience/
o https://technet.microsoft.com/es-es/library/jj574158.aspx
o https://technet.microsoft.com/es-es/library/hh831786.aspx
RODCs almacena copias de informacin de slo lectura del directorio activo usando
replicacin unidireccional para el directorio activo del sistema de replicacin de
archivo.
El primer es evidente por su nombre que incluye Read Only (Slo Lectura), lo cual
implica que no se pueden hacer cambios en la copia de la base de Active Directory
local al mismo.
E inclusive si alguien de alguna forma pudiera alterar la base de Active Directory, estos
cambios nunca se propagarn al resto, pues un RODC tiene slo replicacin entrante;
nunca replicarn otros Controladores de Dominio desde un RODC.
Otra caracterstica particular, es que no tiene replicadas las contraseas de todos los
usuarios, tiene solamente las que el administrador especficamente permita que se
repliquen.
Los controladores de dominio de slo de lectura son ideales para ser ubicardos en
lugares donde exista un alto riesgo de exposicin a ataques externos. Esto,
tpicamente, incluye los lmites de la red perimetral, conocida como DMZ, o algn
ambiente donde la seguridad es muy baja son los lugares ms adecuados para
implementar un RODC.
Los servidores de aplicacin, como son Internet Information Services (IIS) y servidores
de mensajera como lo es Microsoft Exchange, algunas veces estn ubicados en el
lmite de la red perimetral. Las aplicaciones que ejecuta IIS algunas veces requiere el
servicio del directorio para autentificacin, el servidor Exchange siempre requiere del
Directorio Activo, pero blindar el acceso de estos servidores a los controladores de
escritura representa un riesgo a la seguridad. Los RODCs son ideales para estos
escenarios.
Figura 22: Arquitectura de Red del Server Core como Servidor RODC
1. Abra Server Manager del SERVER_A y en la pestaa Tools, haga clic a la opcin
Active Directory Sites and Services.
4. Luego, para asignar una direccin de red al sitio LIMA, haga clic derecho sobre la
carpeta Subnet y seleccione la opcin New Subnet.
6. Luego, para la creacin del sitio TRUJILLO, haga clic derecho sobre la carpeta
Sites y seleccione la opcin New Site.
9. Luego, para asignar una direccin de red al nuevo sitio creado (TRUJILLO), haga
clic derecho sobre la carpeta Subnet y seleccione la opcin New Subnet.
11. Luego, para renombrar el objeto de vnculo de sitios primero, despliegue la carpeta
Inter-Site Transports y haga clic en la carpeta IP. Despus, haga clic derecho
sobre DEFAULTIPSITELINK y seleccione la opcin Rename.
En esta seccin, el asistente registrar todos los datos del RODC que se van a
almacenar en la base de datos distribuida de ActiveDirectory, incluido el nombre de la
cuenta del controlador de dominio de slo lectura del RODC y el sitio en el que se
ubicar. Esta fase se debe realizarla con un miembro del grupo Admins. del dominio
cibertec.com. Tenga en cuenta que el administrador que crea la cuenta RODC tambin
puede especificar en ese momento qu usuarios o grupos pueden completar la
siguiente fase de la instalacin.
1. Abra Server Manager del SERVER_A y en la pestaa Tools, haga clic a la opcin
Active Directory Users and Computers.
14. Por ltimo, para verificar que la creacin de la cuenta para RODC en AD DS ha
sido exitosa abra las consolas de Active Directory Sites and Services y Active
Directory Users and Computers y observe que figura el objeto RODC.
Tenga en cuenta que el servidor que ser el RODC no debe unirse al dominio antes de
intentar asociarlo a la cuenta RODC. Como parte de la instalacin, el asistente detecta
de forma automtica si el nombre del servidor coincide con los nombres de las cuentas
RODC creadas anticipadamente para el dominio. Cuando el asistente encuentra un
nombre de cuenta coincidente, solicita al usuario que la use para completar la
instalacin del RODC.
Para instalar un RODC en una instalacin Server Core de Windows Server 2016, se
debe realizar una instalacin desatendida de AD DS. En el procedimiento que se
describe a continuacin se incluyen los parmetros que se pueden especificar en el
archivo de respuesta durante una instalacin desatendida. Tambin puede especificar
estos parmetros en la lnea de comandos si usa el comando dcpromo /unattend.
[DCInstall]
CriticalReplicationOnly=NO
ReplicaDomainDNSName=cibertec.com
userDomain=cibertec.com
userName=cibertec\Administrator
Password=P@ssw0rd
DatabasePath=c:\windows\ntds
LogPath=c:\windows\ntds
SYSVOLPath=c:\windows\SYSVOL
safemodeAdminPassword=P@ssw0rd
RebootOnCompletion=Yes
C:\Windows\System32>dcpromo /useexistingaccount:attach
/unattend:c:\Windows\System32\rodc.txt
2. En el escritorio del equipo CLIENTE TRUJ, haga clic derecho sobre Este equipo y
seleccione la opcin Propiedades.
8. Luego, abra Server Manager del SERVER_B y en la pestaa Tools, haga doble
clic a la opcin Active Directory Users and Computers.
Figura 23: Arquitectura de Red del Server Core como controlador de dominio secundario
1. Abra Server Manager del SERVER_A y en la pestaa Tools, haga clic a la opcin
Active Directory Sites and Services.
4. Luego, para asignar una direccin de red al sitio LIMA, haga clic derecho sobre la
carpeta Subnet y seleccione la opcin New Subnet.
6. Para la creacin de un nuevo vnculo de sitio, haga clic derecho sobre la carpeta IP
ubicada dentro de la carpeta Sites y seleccione la opcin New Site Link.
8. Luego, para la creacin del sitio AREQUIPA, haga clic derecho sobre la carpeta
Sites y seleccione la opcin New Site.
11. Luego, para asignar una direccin de red al nuevo sitio creado (AREQUIPA), haga
clic derecho sobre la carpeta Subnet y seleccione la opcin New Subnet.
13. Luego, haga clic en la carpeta IP. Despus, haga clic derecho sobre el vinculo de
sitio LIMA-AREQUIPA y seleccione la opcin Properties.
14. Por ltimo, en la ventana LIMA-AREQUIPA Properties, escoja los sitios LIMA y
AREQUIPA para este vinculo y haga clic en Apply y luego, en OK.
2. En la ventana Task Manager, haga clic en File y seleccione la opcin Run new
task.
10. Luego, en la consulta Do you want to continue with this operation?, escriba Y.
La columna Install State nos muestra la disponibilidad del componente, que puede
ser:
Puede observar que el componente que se desea est marcado como Installed, o
sea que el rol AD DS se encuentra instalado y activo.
13. Por ultimo, para verificar que la implementacin del servidor SERVER_CORE ha
sido exitosa, abra las consolas de Active Directory Sites and Services y Active
Directory Users and Computers y observe que figura el objeto SERVER_CORE.
17
La replicacin sirve para que el servicio de directorio Active Directory mantenga rplicas de
los datos de directorio en mltiples controladores de dominio y, de este modo, se garantiza la
disponibilidad y el rendimiento del directorio para todos los usuarios.
1. En el CMD del servidor SERVER_CORE ejecute el comando net user /add ntorres
P@ssw0rd
Por ltimo, abra la consola de Active Directory Users and Computers y observe
que figura en la carpeta Users el usuario ntorres, por lo que se tiene que la
replicacin entre ambos controladores ha sido exitosa.
Resumen
1. El controlador de dominio de solo lectura (RODC) est diseado para sitios donde
no se puede garantizar una seguridad total.
2. Entre las caractersticas de RODC puede precisar el hecho que no se pueden hacer
cambios en la copia de la base de Active Directory local al mismo debido a que
RODC solo tiene replicacin entrante, otra caraterstica es que se puede delegar la
administracin e instalacin de este Controlador de Dominio en particular a un
usuario normal.
Puede revisar los siguientes enlaces para ampliar los conceptos vistos en esta unidad:
o https://technet.microsoft.com/es-es/library/cc755058(v=ws.10).aspx
o https://technet.microsoft.com/es-
es/library/cc753223(v=ws.10).aspx#bkmk_unireplication
o https://technet.microsoft.com/es-es/library/cc754629(v=ws.10).aspx
o https://technet.microsoft.com/es-pe/library/jj574152.aspx
o https://technet.microsoft.com/es-
es/library/cc754629(v=ws.10).aspx#bkmk_installSrvFound
UNIDAD
5
SERVICIOS DE ESCRITORIO
REMOTO Y VIRTUALIZACIN
LOGRO DE LA UNIDAD DE APRENDIZAJE
TEMARIO
ACTIVIDADES PROPUESTAS
Qu es Remote App?
RemoteApp permite que los programas a los que se obtiene acceso de forma remota
mediante Servicios de Escritorio remoto aparezcan como si se ejecutaran en el equipo
local del usuario final. Estos programas se conocen como Programas RemoteApp. En
lugar de presentarse al usuario en el escritorio del servidor de Host de sesin de
Escritorio remoto, el Programa RemoteApp se integra en el escritorio del cliente.
En Windows Server 2016, el rol RDS consta de los siguientes servicios de rol:
RD Virtualization Host
El Host de virtualizacin de Escritorio remoto (Host de virtualizacin de RD) se integra
con Hyper-V para implementar colecciones de escritorios virtuales personales o
agrupados dentro de la organizacin.
RD Session Host
Host de sesin de Escritorio remoto permite a un servidor hospedar programas
RemoteApp o escritorios basados en sesin. Los usuarios pueden conectarse a
servidores host de sesin de Escritorio remoto de una coleccin de sesiones para
ejecutar programas, guardar archivos y usar recursos de esos servidores.
RD Connection Broker
Agente de conexin a Escritorio remoto permite a los usuarios volver a conectarse a
sus escritorios virtuales, programas RemoteApp y escritorios basados en sesin
existentes. Tambien, permite distribuir la carga uniformemente entre los servidores
host de sesin de Escritorio remoto de una coleccin de sesiones o de los escritorios
virtuales agrupados de una coleccin de escritorios virtuales agrupados. Por ltimo,
este agente proporciona acceso a los escritorios virtuales de una coleccin de
escritorios virtuales.
RD Web Access
18
Servicios de Escritorio remoto en espaol
Acceso web de Escritorio remoto permite a los usuarios obtener acceso a Conexin de
RemoteApp y Escritorio mediante el men Inicio en un equipo que ejecute Windows 10
o Windows 8, o a travs de un explorador web. Conexin de RemoteApp y Escritorio
proporciona una vista personalizada de los programas RemoteApp y los escritorios
basados en sesin de una coleccin de sesiones, y los programas RemoteApp y los
escritorios virtuales de una coleccin de escritorios virtuales.
RD Licensing
Administracin de licencias de Escritorio remoto administra las licencias necesarias
para conectarse a un servidor host de sesin de Escritorio remoto o a un escritorio
virtual. Se utiliza Administracin de licencias de Escritorio remoto para instalar y emitir
licencias, y para realizar un seguimiento de su disponibilidad.
RD Gateway
Puerta de enlace de Escritorio remoto permite a los usuarios autorizados conectarse a
escritorios virtuales, programas RemoteApp y escritorios basados en sesin de una
red corporativa interna desde cualquier dispositivo conectado a Internet.
Esta seccin tiene como objetivo implementar un escenario donde podamos contar
con los Servicios de Escritorio remoto (su implementacin ser del tipo Quick Start).
En este escenario, se cuenta con el SERVER_B que emular el trabajo de un router.
Contaremos con dos reas de red (LAN y WAN) por lo que este equipo tendr dos
interfaces de red, donde una de ellas estar conectado a los clientes y la otra a los
servidores.
La red LAN cuya direccin de red es 10.0.0.0/8 es el lugar donde estarn los usuarios
Web, FTP y RDS representados por el equipo CLIENTE. La red WAN de direccin de
red 192.168.1.0/24 es el lugar donde se alojarn nuestros servidores (controlador de
dominio, servidor DNS, servidor Web, servidor FTP, Servidor CA y Servidor RDS)
representados por el SERVER_A.
1. Inicie Server Manager del SERVER_A y haga clic en Add roles and features.
2. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.
6. En la ventana Select a server, se indica que la opcin Quick Start instalar los
servicios de rol RD Connection Broker, RD Web Access y RD Session Host enel
mismo servidor (SERVER_A). Luego, haga clic en Next.
10. Luego de que ha concluido la instalacin, haga clic en Close, y de esa manera, ya
se tiene instalado de forma exitosa el rol Remote Desktop Services.
1. Abra Server Manager del SERVER_A y haga clic en Remote Desktop Services
ubicado en el panel de la izquierda de la administracin.
6. Finalmente, puede observar todas las aplicaciones publicadas con las que se
cuentan y que son visibles en RD Web Access.
Resumen
1. Remote Desktop Services (RDS) , conocido como Servicios de Terminal Server en
la plataforma Windows Server 2016 y versiones anteriores, es un rol que
proporciona tecnologas para permitir a los usuarios conectarse a escritorios
virtuales, programas Remote App y escritorios basados en sesin.