Windows Server 2008 - Danielle PDF

Reseñas de Microsoft Windows Server 2008: Manual de referencia
“He tenido el placer de trabajar con Danielle y Nelson en otros proyectos y he disfrutado sus
libros anteriores. Cuando escuché que estaban trabajando en un nuevo libro llamado Microsoft
Windows Server 2008: Manual de referencia, comencé a esperar con mucho entusiasmo para ho-
jearlo. Estoy impresionado con la manera en que Danielle y Nelson muestran a Windows Server
2008 ejecutando un centro de datos virtualizado y distribuyendo los recursos a aplicaciones y
servidores, a medida que los necesitan. Soy un firme creyente del poder de la virtualización y la
manera en que los negocios de cualquier tamaño pueden obtener beneficios de ella para hacer su
trabajo de manera más eficiente. Si cree que la virtualización no es para usted y vive en el reino
de la prueba y el desarrollo, piénselo de nuevo. Vale la pena leer el ‘Manual de referencia’.”
—Rick Claus,
IT Pro Advisor, Microsoft Canada, blog: http://blogs.technet.com/canitpro
“No tengo dudas en decir que este libro es ‘obligatorio’ para cualquier persona que considere
seriamente implementar Windows Server 2008. Es igualmente útil para personal administrativo
que planea la ejecutar Windows Server 2008, además del administrador de sistemas que trabaja
para hacer la implementación real y la gente que administra la red una vez que ésta se ha com-
pletado.”
—Dilip Naik,
Microsoft File System/Storage MVP,, autor de Inside Windows Storage
“¡Construya su red de manera correcta con consejos de expertos! Este libro proporciona ayuda
real para la implementación de Windows Server 2008 con atención al uso de soluciones de vir-
tualización; cubre todo lo que necesita saber en un manual bien escrito para el éxito.”
—Bob Kelly,
AppDeploy.com y revisor técnico
“Microsoft Windows Server 2008: Manual de referencia es un recurso integral para aprender todos
los pasos esenciales en la configuración de Window Server 2008, pero también es una estupenda
guía para aprovechar la hipervirtualización con Hyper-V, con el fin de transformar su infraestruc-
tura de TI en un entorno dinámico de cómputo.”
—David Greschler,
Director, Integrated Virtualization Strategy, Microsoft
Acerca de los autores
Danielle Ruest se apasiona al ayudar a la gente a obtener lo máximo de la tecnología de la computación. Es una expe-
rimentada arquitecto de flujo de trabajo empresarial y asesora con más de veinte años de experiencia en implementa-
ciones de proyectos. Entre sus clientes se incluyen empresas gubernamentales y privadas de todos los tamaños. En toda
su carrera, ha liderado los procesos de administración del cambio, desarrollado e impartido capacitación, proporcionado
servicios técnicos de escritura y administrado programas de comunicación durante proyectos complejos de implemen-
tación de tecnología. Recientemente, Danielle ha participado en el diseño y soporte de infraestructuras de prueba,
desarrollo y producción con base en tecnologías de virtualización. Está familiarizada con casi todos los componentes del
sistema de servidores de Microsoft Windows, además de implementaciones de seguridad, Servicios de dominio de Active
Directory, Exchange Server, interoperabilidad, capacidad de administración y virtualización. Además, uno de sus mejores
talentos es la comunicación mediante la ilustración, retratando gráficamente conceptos complejos y, por tanto, facili-
tando la comprensión de estos conceptos. Es la profesional más valiosa (MVP, Most Valuable Professional) de Microsoft
para la línea de productos de máquinas virtuales.
Nelson Ruest disfruta hacer las cosas correctas con las tecnologías de Microsoft. Es arquitecto experto en tecnología
de la información empresarial con más de veinticinco años de experiencia en planeación de migraciones y diseño de
soluciones de red, PC, servidor y generales. Fue uno de los primeros ingenieros de sistemas certificados de Micro-
soft (MCSE, Microsoft Certified Systems Engineers) y capacitador certificado de Microsoft en Canadá. En su carrera
de tecnología de la información, ha sido operador de equipos de cómputo, administrador de sistemas, operador de
help desk, ingeniero de soporte, administrador de tecnología de la información, administrador de proyectos y, ahora,
arquitecto de TI. También ha tomado parte en numerosos proyectos de migración, donde era responsable de todo,
desde proyectos hasta diseño de sistema en los sectores público y privado. Está familiarizado con todas las versio-
nes de Microsoft Windows y el sistema de servidores de Windows, además de seguridad, Servicios de dominio de
Active Directory, Exchange Server, administración de sistemas, configuraciones de intranet y extranet, tecnologías
de colaboración, automatización de oficinas y soluciones de interoperabilidad. Es MVP de Microsoft para la línea de
productos Windows Server.
En 2007, Danielle y Nelson lanzaron un libro electrónico gratuito: The Deinitive Guide to Vista Migration (www.
realtime-nexus.com/dgvm.htm). También completaron un kit de capacitación de Microsoft Press: MCITP Self-Paced
Training Kit (Exam 70-238) Deploying Messaging Solutions with Microsoft Exchange Server 2007 y escribieron la segunda
mitad de Deploying and Administrating Windows Vista Bible para Wiley, además del MCTS Self-Paced Training Kit (Exam
70-640): Coniguring Windows Server® 2008 Active Directory para Microsoft Press. Nelson y Danielle están realizando
un recorrido por varias ciudades impartiendo el curso Virtualization: Controlling Server Sprawl (http://events.techtarget.
com/virtualization2008), diseñado para ayudar a las organizaciones a moverse a una infraestructura virtual.
Ambos son también coautores de Preparing for .NET Enterprise Technologies (www.Reso-Net.com/EMF), que,
a pesar de su nombre, se concentra en implementar y administrar escritorios bloqueados, Windows Server 2003: Best
Practices for Enterprise Deployments (www.Reso-Net.com/WindowsServer), una guía paso a paso para la implementa-
ción de una red empresarial, y Windows Server 2003 Pocket Administrator (www.Reso-Net.com/PocketAdmin), una guía
para administrar una red de manera cotidiana. Ambos participan como autores freelance de varias publicaciones de TI,
además de producir manuales para varios comercializadores (www.reso-net.com/articles.asp?m=8), así como Webcasts y
conferencias (www.reso-net.com/presentation.asp?m=7).
Nelson y Danielle trabajan para Resolutions Enterprises, una firma de consultoría enfocada en el diseño de infraes-
tructuras de TI. Resolutions Enterprises se encuentra en www.Reso-Net.com.
Acerca del editor técnico

Bob Kelly ha trabajado en el campo de la TI por más de dieciocho años y se ha convertido en un experto en el tema
de administración de escritorio de Windows. Ha realizado servicios de consultoría para una gran cantidad de clientes
gubernamentales y comerciales, implementando varias soluciones de administración de sistemas y personalizándo-
las para cubrir sus necesidades. Bob ha sido autor de muchos libros y artículos sobre temas de creación de secuencias
de comandos y administración de escritorio, pero es mejor conocido como el fundador del recurso en línea AppDeploy.
com (www.appdeploy.com), una comunidad próspera concentrada en la implementación de aplicaciones. También es
autor de una columna sobre secuencias de comandos en la MCP Magazine (http://mcpmag.com/columns/ columnist.
asp?ColumnistsID=24). Bob es presidente y cofundador de iTripoli, Inc., que ofrece Admin Script Editor (www.admins-
cripteditor.com), un entorno de creación de secuencias de comandos único y lleno de características, especialmente
diseñado para administradores de Windows. Para conocer más acerca de Bob, visite www.bkelly.com.
Windows Server 2008
Manual de referencia
Danielle Ruest
Nelson Ruest
Traducción
Eloy Pineda Rojas
Traductor profesional
MÉXICO • BOGOTÁ • BUENOS AIRES • CARACAS • GUATEMALA • LISBOA • MADRID

NUEVA YORK • SAN JUAN • SANTIAGO • AUCKLAND • LONDRES • MILÁN
MONTREAL • NUEVA DELHI • SAN FRANCISCO • SINGAPUR • SAN LUIS • SIDNEY • TORONTO
Director Editorial: Fernando Castellanos Rodríguez
Editor de desarrollo: Miguel Ángel Luna Ponce
Supervisor de producción: Alejandra Núñez Valentín
Diagramación: María Alejandra Bolaños Avila
WINDOWS SERVER 2008 MANUAL DE REFERENCIA
Prohibida la reproducción total o parcial de esta obra,

por cualquier medio, sin la autorización escrita del editor.
DERECHOS RESERVADOS © 2009, respecto a la primera edición en español por

McGRAW-HILL INTERAMERICANA EDITORES, S.A. DE C.V.
A Subsidiary of The McGraw-Hill Companies, Inc.
Prolongación Paseo de la Reforma 1015, Torre A,
Pisos 16 y 17, Colonia Desarrollo Santa Fe,
Delegación Álvaro Obregón,
C.P. 01376, México, D.F.
Miembro de la Cámara Nacional de la Industria Editorial Mexicana, Reg. Núm. 736
ISBN: 978-970-10-6953-0
Traducido de la primera edición de

Microsoft Windows Server 2008: The complete reference
By: Danielle Ruest & Nelson Ruest
Copyright © 2008 by The McGraw-Hill Companies. All rights reserved.
ISBN: 978-0-07-226365-7
1234567890 0876543219
Impreso en México Printed in Mexico

Este libro está dedicado a todos nuestros lectores. Esperamos que obtengan lo máximo de él
y que sigan los consejos que contiene. Hemos necesitado varios años para su realización,
pero encontrarán que el contenido es sólido y lleno de sugerencias sobre las facetas
de la nueva implementación de red. ¡Buena suerte con su implementación!
Contenido breve
Parte I Recorrido por Windows Server 2008
1 Introducción a Windows Server 2008 ................................................................... 3
2 Interactúe con Windows Server 2008 ................................................................. 53
Parte II Planee y prepare

3 Planee para Windows Server 2008 ..................................................................... 77
4 Explore los modos de instalación de Windows Server 2008 ........................ 117
Parte III Diseñe funciones de servidor

5 Prepare su administrador de identidad .......................................................... 175
6 Construya la infraestructura de red de Windows Server 2008 .................... 241
Parte IV Administre objetos con Windows Server 2008

7 Prepare la administración de objetos ............................................................... 307
8 Construya la infraestructura de ofrecimientos de servicios
virtuales: servidores de archivos e impresión ................................................ 391
9 Construya la infraestructura de ofrecimientos de servicios
virtuales: servidores orientados a aplicaciones .............................................. 437
Parte V Asegure Windows Server 2008

10 Diseñe su infraestructura de seguridad ........................................................... 491
11 Construya para la continuidad del negocio .................................................... 557
Parte VI Migre a Windows Server 2008

12 Lleve la red de ofrecimiento de servicios virtuales a producción ............... 601
Parte VII Administre Windows Server 2008

13 Tareas de administración comunes ................................................................... 645
Índice ...................................................................................................................... 787
vii
Contenido
Prefacio ...................................................................................................................... xvii
Agradecimientos ........................................................................................................ xix
Introducción ............................................................................................................... xxi
Parte I Recorrido por Windows Server 2008

1 Introducción a Windows Server 2008 .................................................................... 3
Almacenes de recursos en comparación con ofrecimientos
de servicios virtuales ......................................................................................4
Listados de nuevas características .....................................................................4
Construya la red de Windows Server 2008 .................................................................5
Definiciones de tamaño de organización .........................................................5
Funciones comunes de red ................................................................................7
Nuevas características de Windows Server 2008 ......................................................11
Mejoras a los elementos fundamentales del sistema operativo ....................12
Facilidad de uso ................................................................................................18
Infraestructura de red .......................................................................................22
Infraestructura de implementación .................................................................25
Infraestructura de aplicaciones ........................................................................28
Infraestructura de seguridad ............................................................................38
Subsistema de discos y archivos ......................................................................46
El paso siguiente .........................................................................................................52
2 Interactúe con Windows Server 2008 ...................................................................53
La interfaz de usuario .......................................................................................54
Tareas de configuración inicial .........................................................................59
Administrador del servidor ..............................................................................61
Otras maneras de hacer las cosas ....................................................................67
Nuevas maneras de hacer las cosas en WS08 ................................................72
Parte II Planee y prepare

3 Planee para Windows Server 2008 ........................................................................77
Construya la base de la red ........................................................................................79
El ciclo de vida del servidor ..............................................................................80
El ciclo de vida de ofrecimiento de servicios ..................................................82
Beneficios de la construcción de un servidor y el modelo
de administración ........................................................................................87
ix
x Windows Server 2008 Manual de referencia
Diseñe la arquitectura de red .....................................................................................96

Un método estructurado: use procedimientos operativos estándar .............97
Realice una revisión de la situación y un análisis de las necesidades ........104
Red con Windows Server 2008 ......................................................................108
Use el laboratorio tecnológico como un campo de pruebas .................................112
Use una estrategia de prueba estructurada ..................................................113
Construya su almacén de recursos para apoyar la prueba
de laboratorio virtual .................................................................................114
4 Explore los modos de instalación de Windows Server 2008 .......................... 117
El proceso de instalación ..........................................................................................119
Requisitos de hardware ..................................................................................119
Asignación de tamaño al servidor para almacenes de recursos
y ofrecimientos de servicios virtuales .......................................................119
Recomendaciones de tamaño para almacenes de recursos ........................126
Consideraciones sobre el arranque dual .......................................................126
Utilice la documentación de la instalación ...................................................128
Recorra la instalación ......................................................................................131
Automatización de instalaciones ............................................................................153
Preparación y prerrequisitos ..........................................................................154
Use instalaciones no atendidas ......................................................................155
Use imágenes del sistema personalizadas ....................................................163
Servicios de implementación de Windows ...................................................169
Ponga el servidor en funcionamiento .....................................................................172
Parte III Diseñe funciones de servidor

5 Prepare su administrador de identidad .............................................................175
Ingrese a los Servicios de dominio de Active Directory ........................................177
Nuevas características de Active Directory ...................................................182
La naturaleza de los Servicios de dominio de Active Directory ..................183
Servicios de federación de Active Directory ..................................................184
Diseño de la solución: use el plano de Active Directory .......................................185
Partición de ADDS ..........................................................................................186
Posicionamiento del servicio de ADDS .........................................................187
Plan de implementación ................................................................................187
Ponga el plano en funcionamiento .........................................................................188
Estrategia de bosque/árbol/dominio .......................................................................189
Diseñe el bosque .............................................................................................189
Ejemplo de diseño de bosque ........................................................................192
Diseño del bosque de producción .................................................................193
Estrategia de dominio .....................................................................................194
Otros diseños de dominio de bosque ...........................................................198
Mejores prácticas de diseño de bosques .......................................................198
Diseñe la estrategia de asignación de nombres .....................................................199
Contenido xi
Mejores prácticas de asignación de nombres ...............................................202

Diseño de la estructura de OU del dominio de producción .................................203
El proceso de diseño de OU ...........................................................................203
La estructura de la OU del objeto PC ...........................................................206
La estructura de la OU del objeto Ofrecimientos de servicios virtuales ....206
La estructura de la OU del objeto Persona ...................................................208
Replique la estructura de OU a otros dominios ...........................................210
Mejores prácticas de diseño de la OU Producción ......................................210
ADDS y otros directorios .........................................................................................212
Microsoft Identity Lifecycle Manager ............................................................213
Aplicaciones integradas para directorios de sistema operativo de red .......214
Mejores prácticas de integración de ADDS ..................................................215
Posicionamiento del servicio ....................................................................................216
Posicionamiento del maestro de operaciones ..............................................216
Posicionamiento del servidor de Catálogo global ........................................218
Posicionamiento de controladores de dominio ............................................219
Posicionamiento del servidor DNS ................................................................219
Mejores prácticas de posicionamiento del servidor .....................................220
Escenario de posicionamiento del servidor ..................................................221
Topología de sitio ......................................................................................................226
Diseño de la topología del sitio .....................................................................228
Cree puentes de vínculos de sitio ..................................................................229
Mejores prácticas para la siguiente de topología del sitio ...........................231
Escenario de la topología de sitio de la corporación T&T ...........................231
Estrategia de modificación de esquema .................................................................232
Use los Servicios de directorio ligero de Active Directory ...........................236
Mejores prácticas de la estrategia de modificación del esquema ................237
Plan de implementación de ADDS .........................................................................237
Funciones de TI de ADDS nuevas y revisadas ..............................................238
El proceso de diseño de ADDS continuo ...............................................................238
6 Construya la infraestructura de red de Windows Server 2008 ......................241
Construya su infraestructura de almacén de recursos ...........................................241
Cree el bosque de utilerías .............................................................................245
Configure el servicio Instantáneas de volumen ...........................................246
Construya sus ofrecimientos de servicios virtuales ................................................249
Elija el método de migración ...................................................................................250
Elija qué migra primero ..................................................................................252
Elija la arquitectura del procesador ...............................................................260
Asignación de recursos a ofrecimientos de servicios virtuales ....................260
Implemente la red paralela ......................................................................................263
Prepare la red paralela ....................................................................................266
Cree el Active Directory de producción ........................................................268
Actividades para la puesta en funcionamiento del bosque ...................................271
Instale el primer servidor en un bosque .......................................................272
xii Windows Server 2008 Manual de referencia
Cree el segundo DC en el dominio raíz del bosque .....................................280

Cree el primer DC del dominio de producción de dominio
secundario global .......................................................................................282
Cree el segundo DC en el dominio de producción secundario global .......284
Conecte la red empresarial ......................................................................................286
Actividades para la puesta en funcionamiento
de la infraestructura de red .......................................................................287
Configure el primer servidor de infraestructura de red ...............................287
Configure el segundo servidor de infraestructura de red ............................295
Mueva servidores y configure replicación de dominio ................................296
Trabaje con los servicios de implementación de Windows ...................................298
Instale WDS ....................................................................................................298
Trabaje con WDS .............................................................................................299
Actualice un Active Directory existente a WS08 ....................................................300
El proceso de actualización ............................................................................300
Parte IV Administre objetos con Windows Server 2008

7 Prepare la administración de objetos .................................................................307
Administre objetos con Servicios de dominio de Active Directory ......................308
Conceptos de directiva de grupo ...................................................................308
Procesamiento de directivas de grupo ..........................................................310
Bucle invertido de la directiva ........................................................................317
Filtrado de directivas .......................................................................................317
Optimización de inicio de sesión rápido ......................................................319
Diseño de directivas ........................................................................................321
Diseño de la estrategia de GPO ....................................................................321
Cree un diseño de OU para fines de administración de PC .................................323
Administración centralizada de PC ...............................................................323
Administración descentralizada de PC .........................................................331
Diseñe para delegación ............................................................................................332
Delegación dentro de ADDS .........................................................................332
Diseñe una estrategia de delegación .............................................................335
Administración de PC ..............................................................................................337
Instalación de software con WS08 .................................................................337
Entrega de software en la red ........................................................................340
Complete la estrategia de OU .................................................................................344
Ponga en funcionamiento la infraestructura de la OU PC ..........................345
Administre objetos de usuario con Servicios de dominio de Active Directory ....348
El objeto de usuario de Servicios de dominio de Active Directory .............349
Use cuentas de plantilla .................................................................................361
Administración masiva de usuarios ..............................................................361
Administre y maneje grupos ...................................................................................362
Tipos de grupos y ámbitos de grupos de WS08 ...........................................363
Contenido xiii
Mejores prácticas para administración y creación de grupos ......................371

Cree un diseño de OU para fines de administración de usuarios ........................376
La estructura de la OU Persona .....................................................................377
Conceptos de GPO relacionado con el usuario ...........................................379
Administre datos de usuario ..........................................................................383
Secuencias de comandos de inicio y cierre de sesión ..................................386
Complete la estructura de la OU Personas .............................................................387
Ponga en funcionamiento la infraestructura de la OU Persona ..................389
8 Construya la infraestructura de ofrecimientos de servicios virtuales:
servidores de archivos e impresión ................................................................391
Prepare los servidores de archivos e impresión .....................................................393
Comparta archivos y carpetas ........................................................................393
Estructure volúmenes de discos para almacenamiento de recursos ...........395
Estructure volúmenes de discos para ofrecimientos de servicios virtuales 397
Instantáneas ....................................................................................................402
Utilice el servicio Búsqueda ............................................................................404
Almacenamiento en caché de archivos sin conexión ..................................404
SAN simple .....................................................................................................405
Cree el servidor de archivos .....................................................................................405
Instale la función Servidor de archivos .........................................................406
Cree la estructura de carpetas ........................................................................407
Habilite procesos del servidor de archivos ...................................................408
Comparta carpetas ..........................................................................................410
Publique recursos compartidos en los Servicios de dominio
de Active Directory .....................................................................................411
Encuentre recursos compartidos en Servicios de dominio
de Active Directory .....................................................................................413
Administre la disponibilidad de las carpetas ..........................................................413
Trabaje con el sistema de archivos distribuidos ............................................414
Use replicación de DFS para almacenes de recursos ...................................419
Redireccionamiento de carpetas y configuraciones
de archivos sin conexión ...........................................................................420
Comparta los servicios de impresión ......................................................................422
Integración con Servicios de dominio de Active Directory ..........................423
Comparta archivos e impresoras con clientes que no son de Windows ..............433
Requisitos de servidor por función .........................................................................434
Diseño de la estructura de la OU Ofrecimientos de servicios virtuales ...............434
9 Construya la infraestructura de ofrecimientos de servicios virtuales:
servidores orientados a aplicaciones ..............................................................437
Construya servidores de aplicaciones .....................................................................438
Comparta aplicaciones comerciales y corporativas ......................................439
Soporte al desarrollo de aplicaciones ............................................................440
Prueba de aplicaciones y software heredados ..............................................442
Tipos de servidor de aplicaciones ..................................................................443
xiv Windows Server 2008 Manual de referencia
Explore la virtualización de aplicaciones ......................................................443

Prepare servidores Web (dedicados o de aplicaciones) .........................................445
El conjunto de características de IIS 7 ...........................................................446
Instale las funciones Servidor de aplicaciones o Servidor Web dedicado ..449
Trabaje con servicios de soporte de aplicaciones ..........................................452
Prepare Terminal Services ........................................................................................454
Comparta aplicaciones con Terminal Services ..............................................455
Implemente aplicaciones de Terminal Services ............................................468
Cree Terminal Services de disponibilidad elevada .......................................472
La consola de Escritorio remoto: el mejor amigo del administrador ..........473
Servidores de colaboración ......................................................................................478
Implemente Windows SharePoint Services ..................................................479
Prepare los servidores de flujo de datos de Windows Media ......................484
Requisitos del servidor por función ........................................................................485
Diseñe la estructura de la OU Ofrecimientos de servicios virtuales ....................485
Parte V Asegure Windows Server 2008

10 Diseñe su infraestructura de seguridad .............................................................491
Fundamentos de seguridad ............................................................................493
Diseñe una directiva de seguridad ..........................................................................494
El sistema de defensa del castillo ..................................................................494
El plan de seguridad .......................................................................................496
La guía de seguridad de Microsoft WS08 .....................................................499
Seguridad de Windows Server 2008 ..............................................................499
Almacenes de recursos seguros .....................................................................502
Asegure los ofrecimientos de servicios virtuales ..........................................504
Aplique el sistema de defensa del castillo ..............................................................506
Capa 1: información crítica ............................................................................507
Capa 2: protección física .................................................................................508
Capa 3: endurecimiento del sistema operativo ............................................510
Capa 4: acceso a la información ....................................................................537
Capa 5: acceso externo ...................................................................................549
Administre la directiva de seguridad ......................................................................556
11 Construya para la continuidad del negocio ......................................................557
Planee para la redundancia del sistema .................................................................558
Proteja el almacén de recursos ......................................................................559
Proteja los ofrecimientos de servicios virtuales ............................................561
Prepárese para posibles desastres ...........................................................................562
Utilice los servicios de clúster de WS08 ........................................................562
Servicios de clúster para almacenes de recursos .............................................563
Servicios de clúster para ofrecimientos de servicios virtuales ........................565
Equilibrio de carga de red ........................................................................................566
Modos del multidifusión en comparación con unidifusión ........................567
Contenido xv
Afinidad sencilla contra falta de afinidad .....................................................568

Instale y configure clústeres de NLB .............................................................568
Clústeres de conmutación por error de Windows Server ......................................571
Lista de compatibilidad de clúster .................................................................571
Conceptos de clúster de servidor ...................................................................572
Configuraciones de clúster .............................................................................575
Clústeres dispersos geográficamente ............................................................576
Consideraciones relacionadas con los clústeres de conmutación
por error de almacén de recursos .............................................................577
Consolidación adicional del servidor ......................................................................586
Planeación de la recuperación para su red .............................................................587
Estrategias de recuperación de Windows Server 2008 .................................588
Estrategias de recuperación del sistema .......................................................589
Técnicas de detección y solución de problemas ...........................................589
Estrategias de protección de datos para almacenes de recursos .................591
Estrategias de protección de datos para ofrecimiento
de servicios virtuales ..................................................................................593
Seleccione una herramienta de copia de seguridad de terceros .................594
Conversiones de física a virtual .....................................................................596
Finalice su estrategia de resistencia ........................................................................597
Parte VI Migre a Windows Server 2008

12 Lleve la red de ofrecimiento de servicios virtuales a producción ................601
Consideraciones para la migración a la red paralela de ofrecimientos
de servicios virtuales ............................................................................................601
El proceso de rotación del servidor (almacenes de recursos) ......................602
El orden de la migración (ofrecimientos de servicios virtuales) ..................604
Empiece la migración a la red paralela de ofrecimientos de servicios virtuales ..608
Migre los principales de seguridad ................................................................608
Migre servidores de infraestructura de red ...................................................619
Migre sitios Web ..............................................................................................621
Construya los servidores de Terminal Services .............................................621
Migre servidores de archivos .........................................................................621
Migre servidores de impresión ......................................................................626
Migre sitios de SharePoint .............................................................................627
Eliminación de la comisión de la red heredada ............................................629
Prepare su nueva estructura de soporte ..................................................................630
Funciones nuevas y revisadas de tecnología de la información
en ADDS (red de ofrecimiento de servicios virtuales) ............................631
Nuevas funciones del almacén de recursos ..................................................632
Diseñe el plan de administración de servicios ..............................................633
Utilice las herramientas de administración del servidor remoto
de WS08 ......................................................................................................636
xvi Windows Server 2008 Manual de referencia
Construya un nuevo método para la administración ..................................638

La lista de tareas administrativas ...................................................................641
Parte VII Administre Windows Server 2008

13 Tareas de administración comunes .....................................................................645
Administración general del servidor .......................................................................648
Actividades de administración general del servidor ....................................649
Administración de hardware .........................................................................676
Copia de seguridad y restauración ................................................................677
Administración remota ...................................................................................680
Administración del servidor de archivos e impresión ...........................................683
Administración del servicio de archivos .......................................................685
Administración del servicio de impresión ....................................................696
Administración de los servicios de clúster ....................................................702
Administración del servidor de infraestructura de red ..........................................705
Administración de servidores DHCP/WINS ................................................705
Servidores de implementación ......................................................................717
Clústeres de NLB ............................................................................................718
Directivas de red y servicios de acceso ..........................................................719
Administración del servidor de identidad ..............................................................723
Administración de controladores de dominio ..............................................723
Administración del servidor de espacio de nombres (DNS) .......................763
Administración del servidor de aplicaciones y de colaboración ...........................765
Administración de servidores Web dedicados ..............................................765
Administración de servidores de aplicaciones ..............................................770
Administración de Terminal Services ............................................................773
Administración de Windows SharePoint Services .......................................777
Administración de rendimiento y monitoreo ...............................................781
Notas finales .............................................................................................................786
Índice ........................................................................................................................787
Prefacio
C
uando conocí a Danielle y Nelson Ruest, me dibujaron una imagen de un tiro al blanco y
dijeron que éste era el futuro de la administración del software. Explicaron que cada círcu-
lo representaba una parte diferente del cúmulo de la computación. En el centro estaba la
aplicación. En el anillo que rodeaba el centro estaban los datos y, en el anillo exterior, el sistema
operativo. Si pudiéramos aislar cada una de estas capas empleando virtualización, describieron,
se facilitaría de manera importante la administración del software. Todas las piezas podrían inte-
grarse sin la prueba y configuración que todos han llegado a suponer que era parte del proceso.
En cambio, su sistema de administración sabría qué sistema operativo, datos y aplicaciones nece-
sitaba cada persona, y dispararía justo en el blanco de la persona correcta en tiempo real. Estu-
vimos de acuerdo en que ésta era una versión excelente de la virtualización, pero que tardarían
varios años en que se hiciera realidad.
Con la llegada de Windows Server 2008, este sueño está un paso más cerca de la realidad.
Windows Server 2008 representa avances sustanciales alrededor de la Web y la seguridad, pero
también incluye una nueva característica: virtualización. Llamada Hyper-V, esta característica
significa que la virtualización será una parte estándar del uso de los servidores Windows. Todos
los beneficios de la virtualización de servidor de hoy en día (consolidación, ahorros de energía
y espacio, y aprovisionamiento acelerado de la carga de trabajo y continuidad del negocio) se
volverán parte integral de la manera en que las compañías administran su infraestructura de
Windows Server.
Pero éste es sólo el principio. A medida que más y más servidores se virtualizan con Hyper-V, la
idea del“tiro al blanco” para la administración de software estará más cerca de la realidad a medida
que las empresas transformen sus granjas de servidores en “granjas de hipervisores” (almacenes
con capacidad de cómputo definidos por el poder total de cómputo de los servidores físicos que se
hayan virtualizado). Ésta es la visión del centro de datos dinámico, donde las cargas de trabajo se
proporcionan en tiempo real y se mueven con base en la carga y las prioridades, lo que da como
resultado un entorno de tecnología de la información más ágil, que puede responder de manera
mucho más rápida a las necesidades del negocio. Sin embargo, la virtualización por sí sola no será
suficiente para que esta visión se vuelva realidad. También requiere de administración.
Con la virtualización, la función de administración de sistemas pasa de ser importante a
esencial. La administración le muestra dónde residen los recursos virtualizados (porque ya no
están instalados en una ubicación) y, lo que es aún más importante, permite la asignación en
tiempo real de recursos (que es una de las tareas principales de un centro de datos dinámico).
En Microsoft, hemos diseñado la suite de administración System Center (integrada por Virtual
Machina Manager, Operations Manager, Configuration Manager y Data Protection Manager)
para construir las bases de un centro de datos dinámico, al proporcionar el aprovisionamiento,
el monitoreo y las herramientas de copia de seguridad para entornos virtuales y físicos, tanto de
escritorios como de servidores, en sistemas operativos y aplicaciones y entre varios hipervisores
(todo desde una sola consola de administración).
xvii
xviii Windows Server 2008 Manual de referencia
Hoy en día, los analistas de la industria estiman que menos de 10% de los servidores de
todo el mundo están virtualizados. Parte de lo estupendo de hacer que la virtualización sea una
característica clave de Windows Server es que el personal de TI de la empresa ya está entrenado
en Windows, y agregar la virtualización representa una extensión natural de habilidades. Esto
debe acelerar de manera importante el porcentaje de servidores que se virtualizarán en los años
siguientes, y aquí es donde el excelente libro de Danielle y Nelson desempeña una función crítica.
Microsoft Windows Server 2008: Manual de referencia es un libro indispensable para aprender
todo los pasos esenciales para la configuración de Windows Server 2008 (pero también es una
estupenda guía sobre la manera de aprovechar la virtualización de Hyper-V para transformar su
infraestructura de IP en un entorno de computación dinámico). Danielle y Nelson han infundido
su visión del tiro al blanco en el libro, explicando no sólo los usos prácticos de esta tecnología,
sino también la manera de pensar estratégicamente acerca de la virtualización con Windows
Server 2008.
—David Greschler
Director, Integrated Virtualization Strategy, Microsoft Corporation
Agradecimientos
G
racias a nuestros clientes por ayudarnos a trabajar con ellos para aprender a crear, con
tecnologías de Windows Server, redes que son mejores y completamente funcionales.
Además, gracias a las organizaciones que participaron con nosotros para dar forma a las
tareas administrativas que aparecen en el capítulo 13. Esta lista de tareas se ha usado como base
de un curso de capacitación durante más de cuatro años. Gracias a los asistentes a los cursos por
sus útiles e informados comentarios.
Juntos, hemos creado un libro que debe ayudarle, de una vez por todas, a obtener el control
de los desafiantes entornos Windows que parecen poblar el mundo.
Gracias a Bob Kelly por sus diligentes esfuerzos en corregir las pruebas de nuestro libro y
asegurarse de que su contenido técnico fuera lo más correcto posible.
Gracias a David Greschler por apartar tiempo de su ocupado calendario para revisar y co-
mentar este trabajo.
Gracias al equipo editorial y de preparación, sobre todo a Lisa McCoy por su ojo de águila
en la edición, a Madhu Bhardwaj y Patty Mon por una maravillosa experiencia en la preparación,
y a Jane Brownlow y McGraw-Hill por darnos la oportunidad de ayudar a los profesionales de la
tecnología de la información de todo el mundo mediante este libro.
xix
Introducción
I
magine un cautivador ambiente alpino, una pequeña villa asentada entre las montañas de la
costa del Pacífico. Dos planicies corren desde la base de las montañas (una hacia Blackcomb
y otra hacia Whistler); ambas ofrecen algunos de los mejores lugares para esquiar en el Oeste
de Canadá y una solitaria cantina localizada en la base de ambas montañas, el Longhorn Saloon.
Aquí, los esquiadores vienen a descansar después de practicar este deporte todo el día, y éste es
el ambiente donde el software que se está preparando para implementar, Windows Server 2008,
fue bautizado con su primer nombre “Longhorn” Server.
Microsoft ha logrado que su sistema operativo Windows se convierta en el más popular del
planeta, a pesar de los mejores esfuerzos de la competencia. Esto se aplica tanto a los sistemas
operativos de escritorio como de servidor. Ahora, con el lanzamiento de una nueva versión de su
sistema operativo de servidor insignia, Windows Server 2008 (WS08), Microsoft espera introdu-
cir un nuevo estándar en facilidad de uso, capacidades de administración integradas, seguridad
completa y simplicidad de implementación, además de interacción con otros sistemas operativos
como UNIX y Linux. No se equivoque: Microsoft ha invertido mucho en WS08 y ha entregado
una base firme como roca para cualquier red.
WS08 se basa en Windows 2000, Windows Server 2003 (WS03) y Windows Server 2003 R2
para proporcionar un conjunto completo de funciones y funcionalidades para redes cableadas e
inalámbricas de todos los tamaños. La mayoría de ustedes ya debe estar usando una versión de
uno de los sistemas operativos antes mencionados, de modo que le resultarán familiares muchos
de los conceptos de este libro, como Active Directory, directivas de grupo, consola de administra-
ción de Microsoft (MMC, Microsoft Management Console) y otras tecnologías de administración
de los modernos sistemas operativos de servidor de Windows. Si, por alguna razón desconocida,
aún está trabajando con Windows NT, este libro también le resultará muy útil, porque incluye va-
rios capítulos en que se revisa información crítica como el diseño de Active Directory y la utilidad
de las directivas de grupo.
Debido a que WS08 es un sistema operativo de servidor, este libro está estructurado alrede-
dor de la estrategia que se debe usar para construir una red desde la base, dependiendo de las
más recientes y estupendas características ofrecidas por el nuevo sistema operativo. Por ello, está
dividido en siete partes, cada una concentrada en un aspecto de la implementación de un nuevo
sistema operativo de servidor. Éstas son las partes:
• Parte I: Recorra Windows Server 2008, que cubre el nuevo conjunto de características de
Windows Server 2008, además de los cambios a la interfaz integrados en el sistema operativo.
• Parte II: Planee y prepare, que le ayuda a planear su migración a su red y comienza el proce-
so de preparación del servidor mediante la descripción de las nuevas capacidades de creación
de imagen y puesta en funcionamiento en WS08.
xxi
xxii Windows Server 2008 Manual de referencia
• Parte III: Diseñe las reglas del servidor, que proporciona directrices para la elaboración de
servicios de red como Active Directory, Internet y conectividad remota, además de delinear la
manera en que pondrá estos servicios esenciales en funcionamiento.
• Parte IV: Administre objetos con Windows Server 2008, que delinea las estrategias de ad-
ministración que debe utilizar con WS08 para mantener y ofrecer servicios a equipos, usuarios
y servicios dentro de su red.
• Parte V: Asegure Windows Server 2008, que se concentra en los elementos de seguridad
críticos que cada red puede poner en funcionamiento para proteger los activos que contiene.
Aunque esta sección trata específicamente con la seguridad, los conceptos de seguridad de red
estándares se usan en todo el libro.
• Parte VI: Migre a Windows Server 2008, que se concentra en la manera de migrar compo-
nentes existentes de red a una infraestructura de WS08.
• Parte VII: Administre Windows Server 2008, que proporciona un conjunto muy completo
de tareas para administración diaria, semanal y mensual de una red de WS08.
La preparación de una red es un proceso complejo (incluso más ahora que Windows se en-
cuentra en su tercera edición posterior a NT). Con Windows NT, las decisiones eran relativamente
simples porque las opciones estaban limitadas. Pero con Windows Server 2008, esto ya no es así.
No es de sorprender, porque la red ha evolucionado hoy en día de ser una serie apenas acoplada de
servidores y equipos a una infraestructura integrada que proporciona y da soporte a la misión de la
organización. Este proceso de evolución no es muy diferente al del teléfono. Al principio, los siste-
mas telefónicos apenas estaban unidos. Hoy en día, los sistemas de telecomunicaciones mundiales
han convergido con sistemas de Internet y ahora son mucho más complejos y completos.
De igual manera, las redes son ahora críticas para la misión. La nueva red organizativa se ha
vuelto una infraestructura segura, estable y redundante que está completamente orientada a la
entrega de servicios de tecnología de información a su base de clientes. Estos servicios pueden
ir desde simples sistemas de archivos e impresión hasta complejos sistemas de autentificación,
entornos de colaboración o servicios de aplicaciones. Además, estos servicios pueden estar dispo-
nibles para dos diferentes comunidades de usuarios: usuarios internos, sobre los que ya tiene un
control completo de la PC, y usuarios externos, sobre los que tiene poco o nulo control.
Por esto es que mover o migrar a Windows Server 2008 se parece más a un proyecto de diseño
de infraestructura de red que a uno que trate simplemente con la actualización a una nueva tec-
nología. Cada vez que cambia a una tecnología que es crítica, como el sistema operativo de su red,
resulta importante, si no esencial, utilizar un proceso completo, que incluya los siguientes pasos:
1. Empiece por revisar las necesidades y los requisitos de la organización. ¿Han cambiado desde
que se diseñó la red original? ¿Hay nuevos requisitos definidos por las reglas o los entornos
de negocios cambiantes? ¿Han surgido nuevas tecnologías que afectan la manera en que fun-
ciona su organización? La respuestas a estas preguntas esenciales servirán como la informa-
ción inicial en su nuevo y actualizado diseño de red.
2. A continuación, revise las características y capacidades del nuevo sistema operativo. Windows
Server 2008 incluye cientos de nuevas características y funcionalidades, en comparación con
sus predecesores, pero, como resulta inevitable, no todas pueden aplicarse a su situación.
Durante esta revisión, necesita identificar cuáles características son aplicables (antes que nada)
a su organización y (en segundo lugar) aplicables a una red del tamaño de la suya. No le será
útil gastar tiempo en características que simplemente nunca se usarán en una red corporativa
porque están dirigidas a usuarios caseros.
Introducción xxiii
3. Después comprender por completo lo que utilizará del nuevo sistema operativo, vaya al di-
seño de una arquitectura más completa de los nuevos servicios que quiera aprovechar. WS08
ofrece muchas características que cambiará la manera en que trabaja (características como
soporte completo a IPv6, rediseño de la pila de TCP/IP y Terminal Services mejorado tendrán
impacto en la manera en que hace las cosas hoy en día). Asegúrese de que su arquitectura
combina sus capacidades existentes con las que agregará de este nuevo sistema operativo.
4. A continuación, cree una red a prueba de concepto, que esté diseñada con la nueva arquitectura
en mente. Pruebe, pruebe y pruebe una vez más para asegurarse de que comprende por comple-
to la manera en que las nuevas características afectarán el modo en que hace las cosas hoy en día.
5. Una vez que esté familiarizado con el funcionamiento de su nueva arquitectura, pase a la crea-
ción de un plan de implementación. Este plan delineará la manera en que desea implementar las
nuevas tecnologías en su red. Dé pasos pequeños y concéntrese en“las rutas que están al alcance”
o las características que cuesta poco implementar pero proporcionan beneficios más inmediatos.
6. Asegúrese de que su plan de implementación incluye una estrategia apropiada, dependiendo
primero de proyectos piloto, y luego pasando a una implementación completa. Los proyectos
piloto le ayudarán a planchar cualquier deficiencia en la planeación de la implementación, de
modo que no omita este paso importante.
7. Por último, asegúrese de que su plan de implementación incluye mucho tiempo para el admi-
nistrador del sistema, la ayuda de escritorio y la capacitación de los operadores. Estas personas
son las que harán que su migración sea un éxito o un fracaso, de modo que no escatime los
esfuerzos para apoyarlos durante la migración.
El hecho de alinear un proyecto de esta magnitud con las estrategias de negocios de la
organización hará que la transición se acepte con mayor facilidad y que la organización como
un todo obtenga mayores beneficios. Son demasiadas las organizaciones que no logran obtener
beneficios de una red estructurada porque nunca se han tomado el tiempo de dar cada uno de
sus pasos. Como resultado, no obtienen beneficios al máximo potencial o rendimiento de su red.
En realidad, la planeación y preparación para implementar Windows Server 2008 debe constar
de 80% de planeación, preparación y prueba, y 20% de implementación. Usamos esta regla para
destacar la importancia de preparar y probar antes de implementar. Lo garantizamos. Si utiliza el
proceso de 80/20 delineado en este libro, su red se ejecutará. Es tan simple como eso. Se aplica sin
importar si su organización tiene uno o un millón de usuarios. Si su organización sólo incluye uno,
aún querrá tomarse el tiempo de preparar apropiadamente, pero tal vez no el de invertir en los
procedimientos de automatización; aún querrá contar con los procedimientos operativos estándar,
pero tal vez no incluirá una serie de técnicas y arquitecturas para validarlos; y aún querrá diseños
basados en modelos arquitectónicos, pero no tendrá el tiempo de crearlos.
La construcción de una red con Windows Server 2008 incluye el diseño de la arquitectura de
red y su procedimiento de implementación mientras identifica oportunidades para los procedimien-
tos operativos estándar y depende de ellos. La infraestructura de red está dividida en áreas de entre-
ga de servicios específicos que deben estar soportadas por una estructura para la administración y el
manejo de la red. Para cada aspecto de esta infraestructura, es esencial tener una comprensión com-
pleta de las características que WS08 ofrece en esta área. También es importante identificar cuáles de
estas características ofrecen el mejor escenario de relación costo-beneficio para la empresa.
Por ejemplo, en nuestra opinión, muy pocas organizaciones de hoy en día pueden vivir sin
Active Directory. En el caso de organizaciones de todos los tamaños, siempre es mejor tomarse
el tiempo de centralizar todos los servicios de autentificación y autorización que mantenerlos
xxiv Windows Server 2008 Manual de referencia
distribuidos mediante el uso de grupos de trabajo, porque si se requiere un cambio, sólo tendrá que
hacerse en un lugar central. Por tanto, la organización que requiere una infraestructura de red en el
nivel del negocio no invertirá en grupos de trabajo; invertirá directamente en Active Directory, omi-
tiendo por completo los grupos de trabajo. Este acercamiento a nivel de negocio es uno de los que
usará en todo este libro como un esfuerzo por facilitar su implementación de Windows Server 2008.
Utilice una red paralela

La construcción de una red basada en un sistema operativo de servidor no es una tarea pequeña.
Lo peor es que, al parecer, tiene que volver a empezar cada vez que cambia el sistema operativo de
servidor. Este libro proporciona un método estructurado que le permite crear una red completa-
mente nueva que cumple con el tamaño y las necesidades de su organización, y que fue construida
sobre las mejores características del nuevo sistema operativo Windows Server 2008 de Microsoft. Lo
ideal es que esta red estará construida en un entorno paralelo que no afectará a su red de produc-
ción actual. Pero si no puede darse el lujo de tener hardware adicional necesario para construir el
conjunto esencial de características de la red paralela, también delinea la manera en que puede
integrar nuevas características en entornos existentes sin interrumpir los entornos de producción.
Recomendamos fuertemente el uso del método de la red paralela por varias razones:
• En primer lugar, cuando se mueve a un nuevo sistema operativo, sobre todo uno de servidor,
debe asegurarse de que no lleva componentes heredados al servidor porque pueden afectar su
operación apropiada. Por eso es por lo que se recomiendan las nuevas instalaciones, aunque
Microsoft se haya esforzado por hacer finalmente que el proceso de actualización trabaje de
manera apropiada.
• En segundo lugar, a medida que los sistemas operativos de servidor evolucionan, el fabrican-
te suele descubrir nuevas maneras de hacer las cosas, reemplazando las maneras antiguas
con una tecnología nueva (que a menudo trabaja de un modo completamente diferente).
Un ejemplo es la comparación de los directorios de inicio, que son heredados de los días de
Windows NT, con el uso del redireccionamiento de carpetas, que se introdujo con las directi-
vas de grupo en Windows Server 2003. Con el uso de una red paralela, puede pasar a la nueva
característica y no transportar la vieja característica a la nueva red.
• En tercer lugar, la preparación de la nueva red en paralelo le permite asegurar que todo trabaja
como se esperaba antes de cargarlo para los usuarios. Además, si surgen problemas, sim-
plemente puede desmontar los nuevos sistemas y reemplazarlos por completo (un lujo que
simplemente no tiene cuando integra nuevos sistemas en una red existente).
Entonces, cundo esté listo para hacer la migración, en este libro se delinea la manera en que
puede tomar los principios de seguridad, los documentos, los datos y las aplicaciones y moverlos
de su red heredada al nuevo entorno de red paralelo. De esta manera, puede empezar inmediata-
mente a obtener beneficios de lo mejor de este poderoso sistema operativo. Por último, este libro
delinea la manera de administrar la red una vez que esté en funcionamiento.
SUGERENCIA El propio Microsoft admite que la mayoría de sus clientes tienden a migrar a una
nueva red en lugar de realizar una actualización. Como tal, este libro es el único en el mercado que le
proporciona una implementación completamente planeada y detallada de la red paralela.
Introducción xxv
Para alcanzar este objetivo, el libro está dividido en siete partes, cada una construida sobre
los conceptos de la parte anterior para cubrir finalmente todos los elementos necesarios para
construir su nueva red. El concepto central de este libro es concentrarse en características de ne-
gocios (sólo las que son relevantes para un entorno de negocios). Windows Server 2008 no está
orientado al hogar, pero si quiere utilizar este poderoso sistema operativo para construir una red
casera, busque las recomendaciones para redes de pequeños negocios que se delinean en todo
el libro. De igual manera, las organizaciones medianas y grandes encontrarán recomendaciones
para implementaciones que cubrirán sus necesidades.
Ediciones de Windows Server 2008

Desde el lanzamiento de Windows NT, Microsoft ha estado publicando sus sistemas operativos
en ediciones. En Windows Server 2003 hubo al principio cuatro ediciones (y luego más). Hoy en
día, WS03 incluye las ediciones Web, Standard, Enterprise y Datacenter, como lo hizo desde el
principio, pero también incluye nuevas ediciones como Windows Storage Center 2003, Windows
Small Business Server 2003 y Windows Compute Clúster Server 2003 (todas son ediciones espe-
cializadas del sistema operativo de servidor que están diseñadas para jugar funciones específicas
en organizaciones de varios tamaños).
Windows Server 2008 continuará con esta tradición y también incluirá varias ediciones. Tome
nota de que este libro se concentra en las ediciones esenciales de Windows Server 2008 y no cu-
bre ediciones como Small Business o Computer Clúster. Este libro cubre las siguientes ediciones
de WS08:
• Windows Server 2008 Standard Edition
• Windows Server 2008 Enterprise Edition
• Windows Server 2008 Datacenter Edition
• Windows Server 2008 Web Edition
• Windows Server 2008 for Itanium-Based Systems
• Windows Server 2008 Standard sin Hyper-V
• Windows Server 2008 Enterprise sin Hyper-V
• Windows Server 2008 Datacenter sin Hyper-V
Considere que cada versión que incluye Hyper-V está diseñada para ejecutarse en infraes-
tructuras de 64 bits. Casi todos estos sistemas se ejecutan en arquitecturas de procesador x64, no
Itanium, aunque también hay una versión de Itanium. Microsoft ya ha anunciado directamente el
siguiente lanzamiento de Windows Server 2008, versión dos (R2), que sólo se ejecutará en proce-
sadores de 64 bits y ya no estará disponible para sistemas de 32 bits.
NOTA En este libro no se cubre la edición basada en Itanium, por razones obvias. Nuestra instala-
ción de prueba no puede hospedar un servidor Itanium, pero si trata de usar esta versión, encon-
trará que tiene una gran similitud con las ediciones x64 de Windows Server.
Cada versión incluye conjuntos específicos de características, que se describen de la siguiente

manera:
• Windows Server 2008 Standard Edition está diseñado para realizar casi todas las tareas de
red. Está orientado al intercambio de archivos e impresoras, conectividad con Internet, im-
xxvi Windows Server 2008 Manual de referencia
plementación de aplicaciones a pequeña escala y escenarios de colaboración. Está diseñado para

proporcionar servicios de red de bajo costo, donde una sola máquina puede operar indepen-
dientemente de las demás. Suele usarse como controlador de dominio en una implementación
de Active Directory, como servidor de archivos e impresión independiente en sucursales o en
organizaciones pequeñas o medianas, como base para los servicios de colaboración a través de
Windows SharePoint Services (WSS) y como cliente de cualquier entorno de aplicaciones.
• Windows Server 2008 Enterprise Edition proporciona soporte más robusto para escenarios
de servicio que requieren disponibilidad continua. La edición Enterprise también da soporte al
servicio de clúster de Microsoft, que le permite conectar hasta ocho sistemas para proporcionar
alta disponibilidad para servicios específicos. La edición Enterprise está orientada al soporte de
infraestructura, además de dar soporte a servicios de aplicaciones y huerta, y a menudo se le usa
para proteger sistemas como Microsoft Exchange Server o Microsoft SQL Server.
• Los fabricantes de equipo original suelen proporcionar Windows Server 2008 Datacenter
Edition, aunque también está disponible como sistema operativo de software, y está orientado
a organizaciones muy grandes que requieren operación constante de sus aplicaciones más
críticas para la misión. Está orientada a aplicaciones críticas para el negocio y la misión que
exigen el mayor nivel de escalabilidad y disponibilidad.
• Windows Server 2008 Web Edition está concentrado específicamente en proporcionar un
servidor Web reducido y seguro que da soporte a ASP.NET. Esta edición incluye el servicio de
equilibrio de carga red (NLB, Network Load Balancing), de modo que puede utilizarse para
proporcionar protección a sistemas cliente y escenarios de alta disponibilidad.
Server Core es nuevo en Windows Server 2008. Esta edición muy reducida de Windows
Server es más famosa por su falta completa de interfaz gráfica. Server Core proporciona la misma
funcionalidad que la instalación completa, pero no da soporte a todos sus escenarios. Inclu-
ye soporte para nueve funciones de servidor. Además, incluye muchas de las características de
seguridad esenciales que son inherentes a WS08, como cifrado de unidad BitLocker completo, y
también da soporte al controlador de dominio de sólo lectura (RODC, Read-Only Domain Con-
troller). Server Core es una versión de bajo mantenimiento de Windows que puede proporcionar
buena funcionalidad en situaciones clave. Cuando se lanza, sólo proporciona acceso a una venta-
na de shell de comandos. Quienes crean secuencias de comandos y quienes son aficionados a la
línea de comandos estarán complacidos con esta versión.
Versiones de 32 y 64 bits
Varias ediciones de Windows Server 2008 dan soporte a procesadores de 32 y 64 bits. En realidad,
esas decisiones darán soporte a procesadores x64 e IA64. En este libro se cubren los procesadores
de 32 bits, a los que se les denomina x86, y de 64 bits o x64. IA64 está basada en el microchip Ita-
nium de Intel. Itanium es un procesador de equipo de conjunto reducido de instrucciones (RISC,
Reduced Instructions Set Computer), y aunque está en uso en organizaciones muy grandes,
tiene muy poco seguimiento. Como tal, no se cubre en este libro; sin embargo, como ofrece, en
esencia, las mismas capacidades que otras versiones de WS08, las directrices de este libro aún se
aplicarán a esta versión de Windows Server.
Por otra parte, x64 ofrece la evolución más importante en cómputo desde el lanzamiento de
los procesadores de 32 bits. Debido a la naturaleza exponencial de la tecnología de microchip, 64
bits en realidad ofrece significativamente más capacidad de procesamiento que la simple duplica-
ción de la capacidad de 32 bits. De acuerdo con Bill Gates, la llegada de la computación de 64 bits
Introducción xxvii
romperá todas las barreras que enfrentamos hoy en día. Eso debe ser cierto. Algo es verdad: las
máquinas x64 proporcionan mucha más capacidad que las x86. Ejecutan una serie de procesado-
res diferentes de los fabricantes de dos microprocesadores: de AMD, el Opteron o el Athlon 64, y
de Intel, el Xeon de 64 bits o el Pentium con EM64T. Lo que resulta estimulante acerca de estos
procesadores es que son más accesibles que los sistemas I64. Además, tiene una variedad mucho
mayor de sistemas operativos para elegir: Windows Vista edición de 64 bits, además de Windows
Server 2008, ediciones Standard, Enterprise y Datacenter.
Hay dos maneras de trabajar con sistemas X64: ejecutar software nativo de 64 bits o ejecutar
software compatible pero que se ejecuta en modo de 32 bits. Podría pensar que, debido a que las
versiones x64 de Windows Server y Windows Vista sólo llevan poco tiempo, no habría gran cantidad
de aplicaciones disponibles para estas versiones del sistema operativo. Pero ése no es el caso. De
acuerdo con el sitio Web de Microsoft (visite el catálogo de servidor de Windows de productos proba-
dos en www.windowsservercatalog.com), hay cientos de aplicaciones que se ejecutan en modo x64
nativo y hay más por llegar. Además, algunas más pueden ejecutarse en modo compatible de 32 bits.
Pero, ¿cómo mide las ventajas de x64? Lo primero que notará es que todo (sí, todo) se eje-
cuta más rápido. Esto es lo que esperaría, pero resulta sorprendente ver que incluso aplicaciones
que no están diseñadas para el sistema x64 se ejecutan más rápido. Al igual que con la versión
de 32 bits del sistema operativo, x64 se ejecuta en una sesión especial de Windows en Windows
(WOW, Windows On Windows) proporciona mejor rendimiento que los sistemas de 32 bits nati-
vo. ¿Por qué es esto? Debido a las limitaciones que finalmente rompe x64.
Antes, con un sistema de 32 bits, necesitaba utilizar por lo menos Windows Server 2003
Enterprise Edition para obtener acceso a más de 4 gigabytes (GB) de memoria de acceso directo
(RAM, Random Access Memory) y luego agregar el interruptor /PAE (Physical Address Expan-
sion, expansión de dirección física) al archivo Boot.INI que controla la manera en que se lanza
el sistema operativo. Aunque esto le da acceso a más de 4 GB de RAM, sólo engaña al sistema,
porque, en primer lugar, una máquina de 32 bits está limitada al espacio de direcciones de 4 GB.
Con x64, esta limitación cambia a 32 GB para Windows Vista y la edición estándar de Windows
Server, pero salta hasta 1 terabyte (TB) cuando se ejecutan las ediciones más avanzadas del siste-
ma operativo Windows Server. Además, hay menos dependencia del archivo de páginas para la
expansión de memoria virtual en un sistema de 64 bits. Esto significa menos actividad en disco
para aplicaciones que ocupan mucha memoria.
Éstos no son los únicos beneficios de x64. También proporciona entrada y salida más rápida
(E/S) porque puede aprovechar bloques de datos más grandes. Proporciona mayores velocidades
de transferencia de datos porque ejecuta procesos más concurrentes. Pueden establecerse más
conexiones de cliente para un servidor determinado, rompiendo los límites de 32 bits del proto-
colo de control de transmisión/protocolo de Internet (TCP/IP). En realidad, Microsoft establece
que ha podido reducir en gran medida el número de servidores que ejecutan Microsoft Update,
el sitio Web que proporciona descargas de parche, porque cada servidor de 64 bits puede mane-
jar una cantidad mucho mayor de conexiones por servidor. Pero estos cambios en el sistema de
archivos tienen un impacto. Por ejemplo, su herramienta de copia de seguridad y restauración de
terceros de 32 bits no funcionará con una máquina de 64 bits porque el controlador de archivo de
E/S es completamente diferente de la versión de 32 bits.
Hoy en día, no todo funciona en máquinas x64, aunque algunas aplicaciones sólo se ejecutan
en plataformas x64. Un buen ejemplo es Microsoft Exchange Server 2007; sólo se ejecuta en el
modo de 64 bits.
xxviii Windows Server 2008 Manual de referencia
Ésta es exactamente la manera en que se introdujeron las máquinas de 32 bits. Una cosa es se-
gura: lo que funcione en 64 bits siempre se ejecutará más rápido. Nuestro consejo es que si necesita
mayor rapidez y sabe que sus aplicaciones centrales están listas para ejecutarse en x64, dé el paso
siguiente. Los costos no están demasiado lejos de los de los sistemas de 32 bits, y las ventajas son
de largo alcance. Si está comprando hardware hoy en día y quiere que dure, compre máquinas x64.
El cliente perfecto: Windows Vista

Microsoft Windows Server 2008 está basado en el mismo código que Windows Vista. En reali-
dad, el código es tan parecido que las versiones de Microsoft de este software utilizan el mismo
principio de almacén de una sola instancia (sólo una copia de un archivo, si es el mismo en dos o
más orígenes) para darle la capacidad de colocar Vista y Windows Server 2008 en el mismo DVD.
Por tanto, está de más decir que se han diseñado para trabajar juntos mejor que cualquier otra
versión de Windows. Por supuesto, puede continuar utilizando Windows Server 2003, sobre todo
la edición R2, y Windows XP con Service Pack 2 o posterior para ejecutarse en su red. Pero si está
construyendo una nueva red basada en el conjunto de características que Windows Server 2008
puede proporcionar, también debe considerar la actualización de todos los clientes a Windows
Vista. Si lo hace, tendrá los siguientes beneficios:
• Un modelo de mantenimiento simplificado, porque el servidor y el cliente utilizan el mismo
mecanismo para service packs y actualizaciones.
• Monitoreo central y creación de informes, porque los clientes de Vista pueden monitorear
eventos específicos e informarlos a un servidor central de WS08.
• Mayor facilidad de implementación del sistema operativo mediante los servicios de imple-
mentación de Windows (WDS) en WS08. Considere que WDS también se ejecutará en WS03
con las actualizaciones apropiadas.
• Mayor protección de red mediante la integración de protección de acceso a redes (NAP, Net-
work Access Protection) en Windows Server 2008 para asegurar que los clientes de Vista cum-
plen con todas las directivas de seguridad y las actualizaciones, antes de que puedan acceder a
recursos de red.
• Los clientes también tendrán mejor rendimiento mediante la capacidad de generar trabajos de
impresión localmente y luego enviarlos al servidor para impresión.
• Además, Vista puede almacenar en caché localmente recursos del servidor, de modo que el
cliente siempre siga trabajando, sin importar si está disponible el recurso de servidor o no.
Luego, una vez que se restablece la conectividad, los recursos se actualizan automáticamente.
• Vista y WS08 aprovechan el nuevo sistema de archivos transaccional (TFS, Transactional File
System), del sistema de archivos de nueva tecnología (NTFS, New Technology File System)
para aumentar la confiabilidad del almacenamiento en disco y proporcionar recuperación de
la última versión correcta en caso de falla al escribir en el sistema de archivos o el registro.
• Clientes y servidores pueden utilizar las directivas de calidad del servicio (QoS, Quality of
Service), para asegurar que las aplicaciones críticas obtienen beneficios del ancho de banda al
que se asigna prioridad.
• Búsqueda integrada entre cliente y servidor para mejorar la capacidad de los usuarios para
localizar recursos de servidor.
• IPv6 está integrado con el cliente y el servidor, y ambos utilizan la pila TCP/IP recién reescrita,
lo cual asegura una mejor escalabilidad de las comunicaciones de red.
Introducción xxix
• La nueva versión del bloque de mensajes de servidor (SMB, Server Message Block) versión 2.0
proporciona mejor rendimiento entre Vista y WS08, además de autentificación mutua.
• Terminal Services ejecutándose en Windows Server 2008 puede proporcionar a los clientes de
Vista acceso a aplicaciones mediante la puerta de enlace de protocolo de transferencia del hi-
pertexto (HTTP, Hypertext Transfer Protocol). Además, las aplicaciones remotas trabajarán de
manera transparente, permitiendo que los usuarios crean que en realidad utiliza aplicaciones
locales.
Éstas son sólo algunas de las características y beneficios que obtendrán los usuarios de WS08
y Vista. Además, hay una mayor cantidad de configuraciones de directiva de grupo que sólo están
disponibles entre las dos versiones actualizadas de Windows. Por último, ambas utilizan la nueva
interfaz y dependen del mismo acceso a recursos mediante capacidades de búsqueda integradas.
Si quiere obtener lo máximo de su nueva red de WS08, debe considerar seriamente el trabajo con
Vista como cliente.
SUGERENCIA Para conocer más información acerca de la migración a Windows Vista, busque el
libro electrónico gratuito The Deinitive Guide to Vista Migration, por Ruest y Ruest, en
www.realtime-nexus.com/dgvm.htm.
SUGERENCIA Para conocer más información acerca de Windows Server 2008, utilice la guía de
supervivencia de documentación de Windows Server 2008 en Microsoft TechNet en http://technet2.
microsoft.com/windowsserver2008/en/library/6c504a47-4a82-459f-8755-fe59630f4e1d1033.mspx.
Construya el centro de datos dinámico

Además, este libro está enfocado en construir un centro de datos dinámico. Un centro de datos
dinámico es aquel donde todos los recursos están divididos en dos categorías:
• Almacenes de recursos, que constan de recursos de hardware en su centro de datos. Estos
recursos están integrados por el hardware del servidor, los interruptores de la red y los siste-
mas de alimentación eléctrica y enfriamiento que hacen que el hardware se ejecute.
• Ofrecimiento de servicios virtuales, que constan de la carga de trabajo a las que da sopor-
te cada recurso de hardware. Las cargas de trabajo son máquinas virtuales que se ejecutan
sobre un hipervisor (un componente de código que expone recursos de hardware a instancias
virtuales del sistema operativo).
En este centro de datos, los recursos de hardware del almacén de recursos son sistemas host
que pueden ejecutarse entre 10 y 20 máquinas virtuales invitadas que integran los ofrecimientos
de servicios virtuales.
Este método atiende la fragmentación de recursos. Hoy en día, con frecuencia muchos cen-
tros de datos que no están ejecutando máquinas virtuales tendrán una utilización que puede ir
de 5 a 15% de sus recursos reales. Esto significa que cada instancia física de un servidor des-
perdicia más de 80% de sus recursos, mientras consume energía eléctrica, genera calor y ocupa
espacio. En los centros de datos ecológicos de hoy en día, ya no se puede permitir este método.
Cada servidor que elimine de su centro de datos ahorrará hasta 650 000 kilowatts hora por año.
Al convertir sus recursos de hardware en sistemas host, ahora puede recuperar esos recursos
desperdiciados y llegar a 65 u 85% de utilización. Además, el centro de datos dinámicos propor-
cionará los siguientes beneficios:
xxx Windows Server 2008 Manual de referencia
• Elevada disponibilidad Las cargas de trabajo virtuales pueden moverse de un host físico a
otro cuando sea necesario, asegurando que el ofrecimiento de servicios virtuales siempre esté
disponible para usuarios finales.
• Optimización de recursos Al emplear cargas de trabajo virtuales, puede asegurar que logra
lo máximo de sus recursos de hardware en su centro de datos. Si un ofrecimiento virtual no
tiene recursos suficientes, se dispara otro host de hardware y se mueve a ese host, proporcio-
nando los recursos necesarios cuando la carga de trabajo lo exija.
• Escalabilidad La virtualización proporciona un nuevo modelo de escalabilidad. Cuando
su carga de trabajo aumenta, puede agregar los recursos físicos necesarios y controlar el creci-
miento de una manera completamente nueva.
• Capacidad de servicio Debido a las características integradas de virtualización, sus hosts
pueden mover una carga de trabajo virtual de un host a otro con poca o nula interrupción para
los usuarios finales. Esto proporciona nuevos modelos de capacidad de servicio donde puede
administrar y mantener sistemas sin tener que causar interrupciones de servicio.
• Ahorros en costos Al adoptar la virtualización, obtendrá ahorros en reducciones de hard-
ware, consumo de electricidad y costos de licencias.
El resultado es menos hardware que administrar y un centro de datos más pequeño y
ecológico.
Ejecute máquinas físicas o virtuales

Con el advenimiento de Windows Server 2008 y su tecnología incrustada de virtualización, o
hipervisor, debe volver a pensar la manera en que proporciona recursos y construye el centro de
datos. Con la llegada de los nuevos y poderosos servidores de 64 bits que se ejecutan en WS08
Enterprise o Datacenter, ahora es posible visualizar casi cualquier tipo de servidor, con poca o
nula diferencia en rendimiento, sobre todo si basa su servidor host en Server Core. Los usuarios
no ven ninguna diferencia operativa, si se encuentran en una máquina física o virtual, y con el
advenimiento del nuevo hipervisor construido en WS08, el proceso virtual en comparación con
el físico se vuelve completamente transparente. Esto es porque, a diferencia de tecnologías de
virtualización anteriores de Microsoft, que en realidad residían arriba del sistema operativo, el
nuevo hipervisor reside debajo del nivel del sistema operativo (vea la figura 1).
Además, el hipervisor de WS08 tiene una muy pequeña huella de información y no es ne-
cesario que ejecute un sistema operativo adicional. Cuando instala la función Hyper-V de WS08
con Server Core, el hipervisor se instala sobre el hardware. Una ventaja de este modelo es que to-
dos los controladores del sistema residen en la propia máquina virtual, no en el hipervisor. Todo
lo que el hipervisor hace es exponer los recursos de hardware a la máquina virtual. Luego, ésta
carga los controladores apropiados para trabajar con esos recursos de hardware. Las máquinas
virtuales tienen un mejor acceso a los recursos del sistema host y se ejecutan con mejor rendi-
miento porque tienen menor traducción de capas entre ellos y el hardware real.
Para dar mayor soporte al movimiento al centro de datos dinámico, Microsoft ha cambiado el
modo de licencia para las instancias virtuales de Windows Server. Este cambio se inició primero
con WS03 R2. En éste, la ejecución de una versión de la edición Enterprise en el sistema host
otorgaba automáticamente cuatro licencias de máquina virtual de WS03 R2 Enterprise Edition
(EE). Si agregaba otra licencia de WS03 R2 Express Edition, podía construir cuatro máquinas
Introducción xxxi
FIGURA 1
Motores de máquina virtual
de hipervisor pagado en
comparación con gratuito.
virtuales más. En promedio, las organizaciones ejecutarán hasta 16 máquinas virtuales en un

servidor host, requiriendo sólo cuatro licencias reales de WS03 R2 EE.
Microsoft lleva este modelo de licencia a WS08. La primera licencia de Enterprise Edition
otorga una licencia para el host y cuatro para máquinas virtuales. Una licencia adicional otorga
cuatro licencias más para máquinas virtuales. Si compra la edición Datacenter de WS08, puede
ejecutar un número ilimitado de máquinas virtuales en ese host. Recuerde, además, que las licen-
cias para máquinas virtuales dan soporte a cualquier versión de Windows Server. Esto significa
que puede ejecutar Windows NT, Windows 2000 o Windows Server 2003, además de WS08.
La virtualización proporciona grandes ahorros y reducidos tiempos de aprovisionamiento del
servidor general, además de reducir la sobrecarga de la administración. Por ejemplo, un admi-
nistrador de sistemas puede dirigir bien más de 100 servidores virtuales, además de los hosts
necesarios para ejecutarlos.
SUGERENCIA Para conocer más información sobre los beneicios de la consolidación y optimización
de servidores, descargue una presentación llamada “Consolidation Roadmap-Improving Your
Infrastructure” (Mapa de consolidación: mejoramiento de su infraestructura), de www.reso-net.
com/presentation.asp?ms=7. Microsoft también ofrece directrices para la planeación y el diseño
de la virtualización, sobre todo la manera de decidir cuáles tecnologías de Windows virtualizar en
http://technet.microsoft.com/en-us/library/bb969099.aspx.
Expanda la envoltura de la virtualización

WS08 está diseñado desde la base para dar soporte a la virtualización. Esto significa que tiene la
oportunidad de cambiar la manera en que administra servidores y servicios. Con el hipervisor de
WS08, Hyper-V, hay poca diferencia entre una máquina que ejecuta físicamente en un sistema
y una que se ejecuta en una instancia virtual. Esto es porque el hipervisor hace lo mismo que en
una instalación física al exponer el hardware a las máquinas virtuales. La diferencia real entre una
instalación física y una máquina virtual que se ejecuta en el hipervisor consiste en acceder a los
recursos del sistema. Por eso es que proponemos lo siguiente:
• La única instalación que sería física es el hipervisor o la función Hyper-V de Windows Server.
Todo lo demás debe estar virtualizado.
• En lugar de debatir si los ofrecimientos de servicios (los servicios que interactúan con el usua-
rio final) deben ser físicos o instalaciones virtuales, haga que todas estas instalaciones sean
virtuales.
xxxii Windows Server 2008 Manual de referencia
• La única instalación que no es una máquina virtual es la del servidor host. Es fácil llevar regis-
tro de esa instalación, porque es diferente.
• Toma alrededor de 20 minutos aprovisionar una máquina virtual basada en una instalación de
servidor, mucho menos que en una instalación física.
• La creación de una máquina virtual de origen es más fácil que la de una instalación física de
origen, porque sólo tiene que copiar los archivos que integran la máquina virtual.
• La diferencia entre una instalación “física” tradicional y una virtual es la cantidad de recursos
que proporciona la máquina virtual que se ejecuta sobre el hipervisor.
• Todas las copias de seguridad son iguales (cada máquina es sólo una colección de archivos,
después de todo). Además, puede aprovechar el servicio de instantánea de volumen para pro-
teger cada máquina virtual.
• Todas las operaciones de ofrecimiento de servicios son iguales porque cada máquina es virtual.
• Debido a que todas las máquinas son virtuales, son transportables y pueden moverse fácil-
mente de un host a otro.
• Debido a que las máquinas virtuales están basadas en un conjunto de archivos, puede re-
plicarlas a otros servidores, proporcionando un medio rápido y fácil de recuperar en caso de
desastre. Conocerá más sobre esto en el capítulo 11.
• Puede segregar los entornos físico y virtual, dándoles diferentes contextos de seguridad y
asegurando que estén protegidos todo el tiempo.
• Puede monitorear cada instancia de sus instalaciones “físicas” y, si no está usando todos los
recursos que le ha asignado, puede volver a calibrar rápidamente y hacer un mejor uso de sus
recursos físicos.
• Cada nueva característica puede probarse en máquinas virtuales de un laboratorio antes de
ponerlas en producción. Si el proceso de aseguramiento de la calidad es lo suficientemente
detallado, aún puede mover la máquina virtual de laboratorio a producción en lugar de re-
construir el servicio por completo.
• Ejecute lo último en centros de datos virtuales, porque todos los sistemas son virtuales y los
sistemas hosts no son sino almacenes de recursos.
Con esto en mente, este libro divide las tareas de preparación de su red en tareas de almace-
nes de recursos y de ofrecimientos de servicios virtuales. Para facilitar esto, en la parte interior de
la portada se incluye una tabla de contenido de almacenes de recursos que le permiten ir directa-
mente al contenido que le ayudará a preparar los recursos de hardware. Esto le facilita el paso al
centro de datos dinámico.
SUGERENCIA Microsoft ofrece las soluciones de evaluación y planeación de Microsoft (MAPS,

Microsoft Assesment and Planning Solution) que automáticamente rastreará su red para ines de
estrategias de migración y virtualización. Busque los MAPS en www.microsoft.com/downloads.
Administre como un proyecto

La migración a un nuevo sistema operativo de servidor no es una tarea que debe tomarse a la
ligera, nunca. Compare esto con la renovación de una casa. Dependiendo del alcance de la reno-
vación, necesitará alinear los recursos apropiados, asegurarse de que están disponibles en el or-
den secuencial correcto y asegurarse de que completan sus actividades asignadas a tiempo y bajo
Introducción xxxiii
el presupuesto; de otra manera, nunca podrá completar el proyecto a tiempo. Además, si renueva
una casa al mismo tiempo que está trabajando, encontrará que si el proyecto no se administra
apropiadamente, afectará su capacidad para seguir generando ingresos (ingresos que son, por
supuesto, necesarios para pagar el proyecto). De igual manera, cuando quiera implementar un
nuevo sistema operativo, tendrá que asegurarse de que las operaciones actuales siguen funcio-
nando sin problemas y que no lo sobrecargan ni lo alejan de su nueva implementación.
Por eso es que debe ejecutar esta implementación como un proyecto y asegurarse de que
su equipo de proyecto incluye a todos los jugadores correctos. Éstos deben concentrarse por lo
menos en dos grupos: uno que trabajará en la elaboración de la arquitectura de red y uno que
se concentrará en la preparación de procedimientos de instalación y realizará la instalación. El
equipo de proyecto técnico debe incluir arquitectos, administradores de sistema, instaladores,
representantes del usuario, personal de soporte, desarrolladores y administradores de proyecto,
o por lo menos personal cuyas funciones les permitan ponerse estos sombreros en la organiza-
ción. Debe asegurarse de incluir a la administración actual y al personal de operaciones en este
proyecto. Esto le ayudará a recuperar lo mejor de la red existente y a aprender más acerca del
nuevo sistema operativo que pronto estarán usando. Dependiendo de su organización, podría
considerar la contratación de personal de reemplazo para liberar a su personal para trabajar en
este proyecto.
Además, necesita asegurarse de que incluirá a los accionistas correctos. No tenerlos puede
ser tan desastroso como no tomar las decisiones técnicas correctas.
Por último, la administración de un proyecto de esta magnitud puede ser compleja y dar la
impresión de que nunca termina, a menos que lo estructure apropiadamente. Para facilitar el
proceso, cada capítulo se ha diseñado para ayudarle a estructurar las actividades técnicas nece-
sarias para realizar la migración. Esto no significa que cada capítulo necesita atenderse en orden
secuencial. Aunque esto es posible, e incluso apropiado en algunos casos, en organizaciones muy
grandes sería estrechar inapropiadamente el cronograma del proyecto. Algunos capítulos requie-
ren la participación de todo su equipo de proyecto técnico, pero otros no porque están concen-
trados en áreas específicas de la experiencia técnica.
En la figura 2 se ilustra una distribución de cronograma de ejemplo de las actividades nece-
sarias para migrar a este sistema operativo. Le permite dividir al equipo de proyecto técnico en
subgrupos apropiados para acortar el cronograma general del proyecto mientras aún se logra su
objetivo: hacer la mejor implementación posible para que todos puedan obtener beneficios de
un entorno de red mejorado. Se analizará más sobre este cronograma en las partes apropiadas
de este libro. Tome nota de que este cronograma se concentra en los ofrecimientos de servicios
virtuales o los servicios con los que interactuarán sus usuarios finales.
También necesita probar cada nuevo servicio que implemente. Debido a que está moviéndo-
se al centro de datos dinámico, podrá facilitar el proceso de prueba. Utilice la siguiente estrategia:
• Empiece por construir un conjunto central de recursos de hardware. Utilice, para ello, la tabla
de contenido Almacenes de recursos.
• Utilice este conjunto central de recursos como base para su laboratorio de prueba, y empiece a
crear los ofrecimientos de servicios virtuales que necesita sobre este almacén de recurso central.
• Si comete errores, utilice la característica de instantáneas de Hyper-V de Windows Server para
deshacer los cambios que haga a las máquinas virtuales o simplemente elimine la máquina
virtual y vuelva al principio.
xxxiv Windows Server 2008 Manual de referencia
FIGURA 2 Cronograma de migración de Windows Server 2008.
• Cuando sienta que todo es correcto, mueva la máquina virtual que hospeda el nuevo servicio
a la nueva red de producción. En casi todos los casos, podrá simplemente mover la máquina
virtual en lugar de tener que volverla a crear.
Pronto se familiarizará con el concepto de trabajar con almacenes de recursos y ofrecimien-
tos de servicios virtuales, y una vez acostumbrado, nunca regresará.
El sitio Web que acompaña a este libro (en inglés)

En todo el libro, encontrará que cada capítulo incluye puntos de análisis e implementaciones
paso a paso. Cada capítulo está acompañado de las mejores prácticas, listas de verificación y pro-
cesos. Además, encontrará figuras y herramientas relevantes en el sitio Web www.reso-net.com/
livre.asp?p=main&b=WS08. Presenta una lista de docenas de ayudas para el trabajo, formularios,
listas de verificación, planos, hojas de cálculo y otras herramientas que están diseñadas para ayu-
darle en la migración de su red. Todo está disponible para todos. Estas herramientas aparecen por
capítulo para ayudarle a localizarlas más fácilmente. Asegúrese de conectarse y descargar estos
elementos; definitivamente simplificará su proyecto de migración.
Considere que necesitará registrarse para acceder al contenido del sitio.
Siga adelante
¡Comencemos el viaje! Mientras lee el libro, aprenderá no sólo lo que hace que WS08 funcione,
sino también cómo obtener lo máximo de sus capacidades. Recuerde que debe depender de los
procesos delineados en este libro y obtener lo máximo de su migración de red. Hágalo de manera
correcta. Pruebe todo e implemente sólo cuando esté completamente satisfecho con los resulta-
dos. ¡Está en camino de la creación de una magnífica red!
PARTE
I
Recorrido por CAPÍTULO 1
Introducción a Windows
Windows Server 2008 Server 2008

CAPÍTULO 2
Interactúe con Windows
Server 2008
E
sta sección sirve para preparar a los administradores de
sistema para Windows Server 2008. Aprenderá qué es-
perar de esta nueva versión de Windows Server. También
atiende la estructura central del libro: una división acorde con
el tamaño de la organización en que se encuentra y una divi-
sión acorde con el proceso de implementación de los nuevos
ofrecimientos de servicios de red basados en Windows Server
2008. Esta sección le ayuda a identificar cuáles características
cubren mejor las necesidades de su organización.
CAPÍTULO
1
Introducción a Windows Server 2008
M
icrosoft hizo algunos avances importantes con la versión de Windows Server 2003.
Esta versión de Windows Server se volvió la versión insignia porque resultó estable,
confiable y estaba disponible en varias configuraciones diferentes. Se volvió aún más
confiable cuando Microsoft lanzó la versión R2.
Ahora, con el lanzamiento de Windows Server 2008 (WS08), Microsoft está haciendo más
avances, porque esta versión proporciona capacidades mucho más robustas e integradas. Cons-
truida con base en Windows Vista, WS08 incluye muchas de las características que hicieron que
este sistema operativo cliente sea el mejor del mercado. Pero WS08 es un sistema operativo de
servidor: como tal, su mercado no es el usuario casero, sino los negocios y las empresas de todo
el mundo. Por eso la audiencia principal para este libro es el administrador de sistemas, trátese
del responsable de todas las tareas de administración del sistema o de un miembro del equipo de
administración del sistema dentro de una empresa grande.
Nuestro consejo es que ¡preste atención a la estructura de este libro! Cubre migraciones para
redes existentes y nuevas instalaciones de red. Con nuestros libros anteriores, hemos desarro-
llado una tecnología probada para implementaciones del sistema de servidor, además de admi-
nistración del sistema. Esta metodología depende de la planeación y selección cuidadosa de los
conjuntos de características, la preparación y prueba completa y luego, finalmente, la implemen-
tación de los conjuntos de características seleccionados. Cuando utilice este método, tendrá una
oportunidad mejor que el promedio de tener una implementación sin defectos, que se ejecutará
sin problemas y que operará como se espera. Demasiados operadores se precipitan en la instala-
ción y la implementación sin una planeación apropiada, y luego necesitan depender de libros de
detección y solución de problemas para probar y reparar o parchar el sistema que implementaron
sin una guía apropiada. ¡Este libro no es de ese tipo! Aquí se delinean explicaciones detalladas
de cada característica de Windows Server 2008, y luego se proporcionan guías sobre la manera
de implementarlas. Debido a que no trabajamos para Microsoft, no tenemos que proporcionar
información de cada posible situación de instalación. En cambio, aportamos recetas conocidas:
recetas que se ha comprobado que funcionan cuando quiere usar un conjunto de características
específico. Si usa los métodos recomendados que delineamos, entonces cubrirá algunos objetivos
específicos que le darán beneficios muy atractivos.
Hemos reunido retroalimentación sobre nuestros métodos a través de varios cursos y confe-
rencias en los últimos años, además de la interacción directa con los clientes.
3
4 Parte I: Recorrido por Windows Server 2008
Esta retroalimentación prueba que cuando los administradores del sistema dependen de
nuestras prácticas de administración, finalmente obtienen control sobre su calendario y no
trabajan en modo reactivo todo el tiempo. En muchos casos, sólo realizan trabajo adicional en
situaciones muy especiales, no de manera regular, como muchos administradores hacen hoy en
día. ¿No es un objetivo que vale la pena?
Almacenes de recursos en comparación con ofrecimientos

de servicios virtuales
Además, en este libro se delinea un nuevo método para la entrega de ofrecimientos de servicios de
tecnología de la información. Este método se basa en la virtualización, ahora que ésta (la capacidad
de ejecutar un sistema operativo “invitado” o una máquina virtual dentro de un sistema operativo
“host”) es un elemento central del nuevo centro de datos. Este método fue popularizado por pro-
ductores como VMware, Citrix y Virtual Iron, además del propio Microsoft, mediante la entrega de
una serie de diferentes productos orientados a soportar la capacidad de ejecutar máquinas virtuales.
En este método, los ofrecimientos de servicios, o los servicios con los que interactúan los usuarios
finales, se entregan dentro de máquinas virtuales. Los sistemas de hardware sólo se utilizan para
ejecutar los servicios de virtualización, o hipervisores, que exponen recursos a los ofrecimientos de
servicios virtuales. Como verá, este método libera los ofrecimientos de servicios de su dependencia
del hardware y proporciona las bases para un centro de datos dinámico (uno donde puede asignar
recursos a medida que se necesiten para cubrir la demanda del momento). Además, el uso de ofre-
cimientos de servicios virtualizados permitirá que cualquier centro de datos tenga una estrategia
simplificada de recuperación de desastres y continuidad del negocio. Este método revoluciona la
manera en que los administradores de tecnología de la información han manejado los ofrecimien-
tos de servicios en el pasado y les permite ver el futuro con una mayor cantidad de posibilidades.
NOTA Hyper-V, el nuevo motor de virtualización integrado en Windows Server, no se incluye en la

versión original de WS08. En cambio, se ha marcado para estar disponible después del lanzamien-
to de la versión comercial. Es necesario descargar los componentes de virtualización del sitio Web
de Microsoft en http://downloads.microsoft.com.
Listados de nuevas características

Muy bien. Ahora que hemos delineado nuestro método, pasemos a usarlo. Lo primero que ne-
cesita hacer cuando se examina un nuevo sistema operativo es comprender y recorrer su nuevo
conjunto de características, para identificar cuáles se aplican a organizaciones de su tamaño y
estructura. Una vez hecho esto, necesita identificar cuáles de estas características desea imple-
mentar, cuándo quiere implementarlas y cómo procederá. Ésta es la estructura de este libro. En
este capítulo, empezamos por delinear las estrategias generales del nuevo conjunto de carac-
terísticas de WS08 y luego pasamos a examinar cada una de manera detallada, identificando a
quién se aplica (organizaciones pequeñas, medianas o grandes) además de delinear un marco
temporal recomendado para la implementación de esta característica. Cada consulta se incluye
en una cuadrícula que cubre elementos centrales. Este capítulo también está disponible en el sitio
Web (www.reso-net.com/livre.asp?p=main&b=WS08) para que lo pueda integrar en sus docu-
mentos de arquitectura técnica, documentos que creará para apoyar su migración planificada o
implementación de WS08. Recomendamos que lea este capítulo con cuidado, que marque las
Capítulo 1: Introducción a Windows Server 2008 5
características que considera que se aplican a su organización, que descargue nuestro documento
y que elimine o por lo menos indique cuáles características no se aplican a su organización. Esto
facilitará en gran medida su implementación y lo pondrá en una buena posición en la ruta para la
PARTE I
migración o el diseño de la nueva red.
NOTA En realidad, el primer paso que debe atender cuando cambia de sistema operativo de servi-
dor es revisar los objetivos de su negocio para asegurarse de que las selecciones que haga estarán
alineadas con sus necesidades. La manera de hacer esto queda fuera del alcance de este libro, pero
hemos escrito una serie de artículos sobre el tema del desarrollo de una arquitectura de empresa y
la identiicación de las necesidades del negocio. Puede encontrar estos artículos en www.reso-net.
com/articles.asp?m=8, bajo el encabezado “Architectures”. Esto le ayudará en gran medida a
delinear la información que necesita acerca del negocio antes de seguir adelante.
Construya la red de Windows Server 2008

Las redes de todos tamaños necesitan características y funcionalidades específicas para propor-
cionar soporte a las organizaciones que las usan. Como se mencionó al principio, en este libro
se atienden las necesidades de organizaciones de todos los tamaños (pequeñas, medianas y
grandes) en cuanto a la funcionalidad de red que puede obtener de Windows Server 2008. Pero
para ello es importante empezar con el establecimiento de algunos principios centrales. Dos
principios en particular resultan esenciales en este punto:
• Una definición común del significado de pequeño, mediano y grande en cuanto a redes y la
funcionalidad del trabajo en red.
• Una definición común de las diversas funciones que cualquier red necesita y una identifica-
ción de dónde WS08 agrega nuevas funcionalidades o mejora las existentes.
El primer punto le ayudará a comprender dónde obtendrá ganancias con la adición de
Windows Server 2008 a su red existente. Si está construyendo una red completamente nueva,
verá que WS08 puede soportar cualquier función de red y proporciona medios excelentes para
soportar la productividad en equipo para organizaciones de cualquier tamaño.
Deiniciones de tamaño de organización

WS08 se ha diseñado para responder a las necesidades de organizaciones de todos los tamaños,
sea una compañía de una sola persona que trabaja en algún sótano o una empresa que abarca
todo el globo, con oficinas en cada continente. Obviamente, hay una ligera diferencia en escala
entre los dos extremos, pero para los fines de este libro, es importante proporcionar una defini-
ción de lo que queremos decir cuando nos referimos a las necesidades de organizaciones peque-
ñas, medianas o grandes. Cada una de éstas se define de la siguiente manera:
• Las organizaciones pequeñas son las que incluyen un solo sitio. Puede tener docenas de
trabajadores, pero como están localizados en un solo sitio, sus necesidades de red son muy
básicas.
• Organizaciones de tamaño mediano son las que tienen más de un sitio pero menos de diez.
Las complejidades de tener una red con más de un sitio atienden las necesidades de red de
organizaciones medianas.
• Las organizaciones grandes son las que tienen diez sitios o más. En este caso, las organizacio-
nes necesitan redes más complejas y a menudo dependerán de servicios que no son necesa-
rios para los dos tamaños de organización anteriores.
Las organizaciones pequeñas tienen todos los requisitos de una red básica y, por lo general,
implementarán una serie de tecnologías, incluidos servicios de directorio y de correo electrónico,
intercambio de archivos e impresoras, además de servicios de base de datos y de colaboración.
Aunque la organización incluya un número muy pequeño de personas, estos servicios serán a
menudo la esencia de cualquier sistema de productividad de red. Por esto, es mejor para este tipo
de organización usar Windows Small Business Server 2008 (SBS08), porque es menos costoso
e incluye aplicaciones más completas para servicios de correo electrónico y base de datos. No
obstante, algunas organizaciones optan por Windows Server 2008, porque no se sienten cómodas
con las limitaciones que Microsoft ha impuesto en la edición Small Business Server. Por ejemplo,
siempre es mejor y más simple tener al menos dos controladores de dominio ejecutando el servi-
cio de directorio, porque se convierten automáticamente en copias de seguridad mutuas. SBS08
sólo puede tener un servidor en la red y, por tanto, no puede ofrecer este nivel de protección
para el servicio de directorio. Es una razón por la que algunas organizaciones pequeñas optan
por Windows Server 2008, aunque sea más cotoso al principio. Sin embargo, consciente de esta
necesidad, Microsoft está lanzando Windows Essential Business Server 2008 (WEBS) como un
ofrecimiento de servidor de varios componentes para estas organizaciones. WEBS está integrado
por tres instalaciones de servidor:
• Windows Essential Business Server Management Server Para administrar centralmente
la red WEBS, además de la colaboración entre trabajadores y servicios de red.
• Windows Essential Business Server Security Server Para administrar seguridad, acceso a
Internet y conectividad de trabajador remoto.
• Windows Essential Business Server Messaging Server Para proporcionar capacidades de
mensajería.
Las organizaciones medianas enfrentan el desafío de tener que interconectar más de una
oficina. Mientras las organizaciones pequeñas tienen la protección de estar en un solo lugar, las
organizaciones de tamaño mediano necesitan usar Internet como puente para conectar los sitios.
Esto introduce cierto nivel de complejidad.
NOTA Los sitios secundarios pueden tener o no personal administrativo en el sitio. Esto aumenta la
complejidad de trabajar con sitios remotos y administrarlos.
Las organizaciones grandes tienen redes mucho más complejas que proporcionan servicios
internos y externos. Además, necesitan interoperar en varios idiomas y a menudo tendrán que
administrar aplicaciones desarrolladas internamente. Es probable que las organizaciones grandes
tengan sitios remotos conectados a niveles variables de velocidad y confiabilidad: red digital de
servicios integrados (ISDN, Integrated Services Digital Network) o marcado telefónico. Desde el
punto de vista de Windows, esto necesita una replicación planeada y posiblemente una arquitec-
tura basada en el sistema de archivo distribuido (DFS, Distributed File System). Por esto, incluyen
muchos tipos de servicios más que las organizaciones pequeñas o medianas.
Este libro atiende las necesidades de cada tipo de organización. Cuando se atiendan las
características esenciales de la red, se aplicarán a todos los niveles de organización, porque deben
usarse las mejores prácticas para implementaciones de servicio de red sin que importe el tamaño
PARTE I
de su organización. Los temas relacionados con la interconexión atenderán las complejidades de
las redes medianas a grandes y, por último, las funcionalidades de red avanzadas atenderán las
necesidades de organizaciones muy grandes. Si encuentra que su organización no cabe en esta
tendencia, depende de la información proporcionada por los otros tipos de organización para
complementar los requisitos de configuración de la red.
Funciones comunes de red

WS08 incluye características y funcionalidades que soportan a casi todo servicio de red concebible.
Pero no todas estas funcionalidades son nuevas o están actualizadas en Windows Server 2008. Por
tanto, es importante establecer primero un vocabulario común para los servicios estándar de tra-
bajo en red, y luego identificar dónde WS08 presenta nuevas características y funcionalidades para
ayudar a dibujar un mapa gráfico de las nuevas características de WS08. Esto le proporcionará un
diseño gráfico simple del nuevo conjunto de características de Windows Server 2008.
Las organizaciones o redes pequeñas que sólo incluyen un sitio: a menudo incluirán un con-
junto básico de servicios de red. Estos servicios tienden a concentrarse en lo siguiente:
• Servicios de dominio Lo sensato es usar Active Directory para almacenar y administrar
de manera central todas las cuentas en organizaciones de todos los tamaños. La opción
(empleando prácticas de grupo de trabajo) consiste en tener que administrar varias bases de
datos de cuentas de seguridad, una en cada servidor o estación de trabajo. En realidad, Active
Directory es tan simple de usar que simplemente no tienen sentido usar algo más.
NOTA La operación de los Servicios de dominio de Active Directory (Active Directory Domain
Services) depende del sistema de nombres de dominio (DNS, Domain Name Services). Por tanto,
cualquier instalación de ADDS requerirá por lo menos que un servidor se ejecute en el servicio
DNS. Observe que, en instalaciones de ADDS a pequeña escala, se le pedirá automáticamente que
realice una instalación simple de DNS.
• Intercambio de archivos e impresoras El almacenamiento central de documentos siempre ha

tenido sentido porque sólo tiene que protegerse un lugar. Todas las organizaciones tienen un uso
para la administración central de archivos e impresora, aunque nuevas consultas de colaboración
ofrezcan una mejor manera de administrar documentos y hacer que los equipos interactúen.
• Servicios de colaboración Con Windows SharePoint Services (WSS), las organizaciones
pueden hacer que los equipos interactúen entre sí mediante una estructura de equipo basada
en Web. Debido a que casi toda la actividad organizacional toma la forma de un proyecto, sólo
tiene sentido emplear sitios de equipo y servicios de colaboración, sobre todo porque WSS es
muy fácil de instalar y administrar.
• Servicios de base de datos Windows SharePoint Services depende de una base de datos,
en este caso, la Windows Internal Database, que es, en realidad, una versión de la edición SQL
Server Embedded.
• Servicios de correo electrónico Casi todas las organizaciones también dependen de servi-
cios de correo electrónico. Aunque Windows Server 2008 proporciona el servicio de protocolo
simple de transferencia de mensajes (SMTP, Simple Message Transfer Protocol), las organiza-
ciones por lo general optan por un servicio de correo electrónico profesional, como el propor-
cionado por Microsoft Exchange Server.
• Servicios de copia de seguridad y restauración Todas las organizaciones querrán usar Co-
pia de seguridad de Windows para proteger sus sistemas, tanto en el nivel de datos como en
el del sistema operativo. La nueva herramienta Copia de seguridad de Windows Server 2008
proporciona protección a ambos.
Éstos con frecuencia integran los servicios básicos que requieren casi todas las organizaciones.
Como opción, incluso las organizaciones pequeñas también dependerán de los siguientes servicios:
• Servicios de irewall Cualquier organización que tenga una conexión con el mundo exter-
no mediante Internet querrá asegurarse que está completamente protegida. La única manera
de hacerlo es implementando un servicio avanzado de firewall.
• Servicios de fax Windows Server 2008 puede proporcionar servicios de fax integrados, libe-
rando a las organizaciones de la necesidad de una máquina de fax convencional.
• Terminal Services Terminal Services (TS) proporciona la capacidad de ejecutar aplicaciones
en un servidor en lugar de hacerlo en la estación de trabajo del usuario. La ventaja de esto es
que las organizaciones sólo necesitan administrar aplicaciones en un lugar central. Además, con
Windows Server 2008, el uso de las aplicaciones de TS es completamente transparente para los
usuarios finales, porque parece como si estuvieran trabajando en la máquina local.
PRECAUCIÓN Las aplicaciones de Terminal Service no son apropiadas para usuarios móviles o
desconectados porque no ofrecen ningún tipo de caché fuera de línea. Por tanto, cuando el usuario
está desconectado, no tienen acceso a las aplicaciones de TS.
• Hyper-V Es el servicio esencial del nuevo centro de datos. Soporta la virtualización de todos
los otros ofrecimientos de servicio. Está instalado en todo el hardware, y todos los demás ser-
vicios están instalados dentro de máquinas virtuales.
• Servicios de acceso a red (NAS) Con la proliferación de las oficinas caseras, cada vez son
más las organizaciones que dependen de los servicios de acceso a red, como las redes privadas
virtuales (VPN, Virtual Private Network), para dejar que los trabajadores caseros accedan a la red
de la corporación mediante conexiones comunes a Internet basadas en red.
• Servicios de implementación Con el advenimiento de los nuevos Servicios de implemen-
tación en Windows Server 2008, muchas organizaciones querrán aprovechar esta característica
para volver automática la instalación y la implementación de máquinas de Windows XP y
Windows Vista. Las organizaciones más grandes querrán definitivamente usar estos servicios
para desplegar servidores además de estaciones de trabajo.
• Windows Server Update Services Con la proliferación de ataques a sistema de todo tipo,
organizaciones de todos los tamaños querrán asegurarse de implementar un sistema para
mantener todos sus equipos (estaciones de trabajo y servidores) actualizados en toda ocasión.
Windows Server Update Services (WSUS) no es parte de WS08, pero es gratuito y puede obte-
nerse en www.microsoft.com/windowsserversystems/updateservices/downloads/WSUS.mspx.
Se requiere registro para obtener la descarga.
Además, cualquier organización que incluya más de un sitio necesitará asegurar que los
servicios que proporciona en un sitio están disponibles en cualquier otro. Esto se hace a través de
una serie de diferentes características, que dependen principalmente de una duplicación de los
servicios de base en sitios remotos o del uso de un mecanismo de replicación para copiar datos
de un lugar a otro. La implementación de estos sistemas es más compleja que estructuras de un

solo sitio.
Organizaciones más grandes agregarán más servicios a su red tan sólo por la naturaleza de
PARTE I
sus organizaciones. Entre éstas se incluirán:
• Servicios de certiicados Cualquier persona que todo el tiempo quiera controlar la identidad y
asegurar que los usuarios son quienes aseguran que son, querrá aprovechar Servicios de Certificate
Server de Active Directory, un sistema de infraestructura de clave pública que proporciona certifica-
dos electrónicos a usuarios y máquinas para identificar claramente quiénes son.
NOTA Para conocer más información sobre las infraestructuras de clave pública (PKI, Public Key
Infraestructura), consulte “Advanced Public Key Infraestructure” en www.reso-net.com/articles.
asp?m=8.
• Servicios de administración de derechos Las organizaciones preocupadas por la protec-

ción de sus datos intelectuales querrán implementar Active Directory Rights Management
Services (ADRMS, servicios de administración de derechos de Active Directory). ADRMS pue-
de proteger los documentos electrónicos de modificaciones mediante la inclusión de mecanis-
mos de protección directamente dentro de los documentos.
• Almacenamiento avanzado Las organizaciones que mantienen grandes depósitos de
información querrán aprovechar los sistemas de almacenamiento avanzado, como las redes
de almacenamiento de área (SAN, Storage Area Network). Windows Server 2008 proporciona
nuevas maneras de administrar y acceder a SAN.
• Servicios de clúster y equilibrio de carga Las organizaciones que ejecutan aplicacio-
nes de N capas (aplicaciones que están distribuidas entre diferentes funciones de servidor)
querrán proteger su disponibilidad a través del servicio de clúster de Windows (WCS, Windo-
ws Clustering Service), un servicio que proporciona disponibilidad mediante la capacidad de
recuperación de fallas en otro servidor que ejecuta el mismo servicio (o NLB, Network Load
Balancing, equilibrio de carga de red), un servicio que proporciona disponibilidad mediante el
uso de servidores múltiples que ejecutan configuraciones idénticas.
• Servicios de base de datos Las organizaciones que dependen de estructuras de datos gran-
des querrán ejecutar más que Windows Internal Database y dependerán de otras versiones de
SQL Server para proteger sus bases de datos.
• Aplicaciones Web Las organizaciones que proporcionan servicios a clientes, tanto interna
como externamente, necesitarán depender de los servicios de información de Internet (IIS,
Internet Information Services) para entregar una experiencia Web consistente a los usuarios
finales.
• Servicios de middleware Organizaciones que ejecutan aplicaciones de N capas querrán
aplicarlas con middleware, como el Microsoft .NET Framework, COM+ y otros componentes
de terceros. Éstos se ejecutan en servidores de middleware.
• Servicios de administración de claves Las organizaciones que aprovechan Microsoft Soft-
ware Assurance and Volume Licensing querrán implementar esta nueva función de WS08. El
servicio de administración de claves (KMS, Key Management Services) controla la activación
del software con licencia de volumen de Microsoft de clientes y servidores desde el interior de
su firewall.
Funciones de servidor
Servicios de Servicios de Servicios de Servicios de copia Servicios Servicios de Servicios de Servicios de

federación de directorio almacenamiento de seguridad y de certificado clúster colaboración base de datos
AD ligero de AD avanzado restauración
Servicios de Servicios de Servicios de Servicios Servicios de Servicios de Servicios de Servicios de

dominio implementación correo electrónico de fax archivo firewall administración Media Center
de claves
Servicios de Servicios de Servicios de Servicios de Servicios de Windows Terminal Servicios

middleware acceso a red infraestructura impresión administración Server Services UDDI
de red de derechos Updates
Services
Equipo Firewall
Servicios de Aplicaciones Servicios de Active

Usuario
virtualización Web activación de Directory Carpeta
Windows Base de datos
FIGURA 1-1 Leyenda gráica para tipos de servidor de red.
En la figura 1-1 se proporciona la leyenda gráfica de cada uno de los servicios antes mencio-
nados. Esta leyenda se usará en todo el libro.
En la figura 1-2 se ilustra la estructura básica de una red localizada en un solo sitio. Estos
servicios se ilustran como si estuvieran en la ubicación central. Las organizaciones de tamaño
mediano necesitan duplicar algunos servicios esenciales en sitios remotos. Esto se ilustra como la
conexión de sitio remoto. Además, es posible que organizaciones tanto pequeñas como medianas
quieran implementar servicios que no son parte del núcleo sino que simplifican la administración
de sistemas y soportan productividad mejorada. Esto se ilustra como servicios opcionales.
Las organizaciones grandes agregarán más funcionalidad a su red. Esto se ilustra como
servicios empresariales. Las organizaciones que tienen más de dos sitios simplemente duplicarán
los servicios encontrados en el sitio remoto. Por último, esta ilustración muestra dónde Windows
Server 2008 proporciona funcionalidades nuevas y mejoradas. Use esto como guía para identifi-
cación de lo que quisiera agregar a su red en cuanto a servicios modernos y seguros.
PARTE I
FIGURA 1-2 Funcionalidad nueva y actualizada para Windows Server 2008 en cualquier red.
PRECAUCIÓN La igura 1-2 es una representación simplista de una red compleja. Se cubrirán ca-
racterísticas más avanzadas de cada servicio mientras avanzamos por la coniguración general de
servicios de red en todo el libro. Además, cada servicio representado aquí se ilustra con la imagen
de un servidor para ines gráicos; esto no signiica que necesita tener el mismo número de hosts
reales para cada uno de esos servicios. Varias de estas funciones pueden combinarse en el mismo
host para reducir los costos y la sobrecarga de la administración de servicios. Por último, tanto
Terminal Services como Key Management Services se han indicado como nuevos en esta imagen.
Aunque en realidad no lo son, sus nuevas características son lo suicientemente importantes como
para indicarlo así.
Nuevas características de Windows Server 2008

Windows Server 2008 tiene su base en varias ediciones diferentes de Windows: Windows Server
2003, WS03 Service Packs, Windows Server 2003 R2 y Windows Vista (cada uno de los cuales
tiene amplios conjuntos de características propias). Varias de las características más poderosas de
Windows Server 2003, y especialmente Windows Server 2003 R2, han abierto camino al conjunto
de consultas de WS08. Por eso es por lo que incluiremos información acerca de estas característi-
cas en este capítulo. Esto actuará como una manera de refrescar los conocimientos y le ayudará a
comprender el conjunto de características completas de WS08.
Este conjunto de características cae dentro de las siguientes categorías:

• Mejoras de los fundamentos del sistema operativo
• Facilidad de uso
• Infraestructura de trabajo en red
• Infraestructura de implementación
• Infraestructura de aplicación
• Infraestructura de seguridad
• Subsistema de disco y archivo
Cada sección funcional contiene detalles de las características específicas que lo integran.
Sobre todo, proporciona una historia atractiva para actualizar o migrar WS08.
Las características se cubren en un formato de tabla (una tabla para cada característica)
incluida la siguiente información:
• Nombre de la característica
• Descripción de la característica Una breve descripción de ella
• Categoría de la característica Dónde encaja la característica en el sistema operativo
• Tipo de característica Si se trata de una nueva característica para WS08, una mejora o una
actualización a una ya existente o un reemplazo de la característica. Se incluyen mejoras y ac-
tualizaciones, porque las mejoras se concentran en afinar una característica existente, mientras
que las actualizaciones proporcionan modificaciones importantes.
• Origen de la característica ¿Cuál es el origen de la característica: Windows Server 2008,
Windows Vista o construcciones antiguas de Windows Server 2003?
• Instalación ¿Cuándo se instaló la característica como opción predeterminada o a través de
adiciones?
• Aplica a ¿Esta característica está enfocada en organizaciones pequeñas, medianas o gran-
des, o se aplica a organizaciones de todos los tamaños?
• Beneicios ¿Cuáles beneficios pueden derivar de esta característica?
• Funciones Si se requiere información adicional para una característica, se proporciona en
esta sección.
• Vínculos relacionados Esta sección sólo está disponible en la versión en línea de este capí-
tulo, porque estos vínculos tienden a cambiar con frecuencia.
Este formato proporciona una descripción completa de la característica en un diseño conciso.
PRECAUCIÓN Las características y funciones descritas aquí atienden las ediciones más comunes
de Windows Server 2008. Sin embargo, la versión Itanium de WS08 no soporta todas, porque
ejecuta un subconjunto de funciones y características de WS08. Para descubrir las diferentes
funciones que soporta la versión Itanium de WS08, vaya a http://technet2.microsoft.com/
windowsserver2008/en/library/f6857978-ae92-4123-a87b-aa36cb30f3551033.mspx?mfr=true.
Mejoras a los elementos fundamentales del sistema operativo

Microsoft se ha esforzado para agregar diversas funcionalidades a Windows Server 2008 en el
nivel central del sistema operativo. Construyendo sobre Windows Server 2003, Microsoft ha
agregado varias características nuevas a esta categoría. Entre ellas se incluyen:
• Server Core Una nueva versión de Windows Server que no incluye una interfaz gráfica.
• Copia de seguridad de Windows Una aplicación completamente nueva de copia de se-

guridad del servicio Copia de seguridad de volumen para proporcionar imágenes de copia de
seguridad consistentes.
PARTE I
• Microsoft Management Console versión 3.0 Una consola más completa, que proporciona
acceso rápido a funciones relacionadas con la característica que se está manejando.
• Autoainación de rendimiento y diagnósticos de hardware Una nueva capacidad que
afina Windows automáticamente para mejorar el rendimiento y atiende posibles problemas de
hardware antes de que ocurran.
• Consola de rendimiento y diagnóstico Una nueva consola que centraliza todas las activi-
dades de rendimiento y diagnóstico.
• Servicios de administración de claves Un nuevo sistema de otorgamiento de licencias por
volumen interno de Microsoft.
• Hyper-V Un servicio diseñado para exponer recursos de hardware a varias instancias de
ofrecimientos de servicio virtualizados.
Cada característica se describe a continuación:
Característica Server Core
Descripción: Instala Windows Server 2008 únicamente con la funcionalidad esencial de servidor y sin interfaz gráica de usuario.
Server Core soporta un número limitado de funciones, como el servidor de protocolo dinámico de coniguración de
host (DHCP, Dynamic Host Coniguration Protocol), servidor del servicio de nombres de dominio (DNS, Domain Name
Service), servidor de archivo, servidor de impresión, servicios de directorio ligero, Hyper-V, Internet Information Servi-
ces 7 (IIS), controlador de dominio y servicios de Windows Media.
Categoría: Elementos básicos del sistema operativo
Característica: ✓ Nueva Mejora Actualización Reemplazo
Origen de la característica: ✓ WS08 Vista WS03 R2 WS03 Service Packs
Instalación: Como opción predeterminada Complemento a través del Administrador del servidor ✓ Personalizada
Aplica a: Organizaciones pequeñas Medianas ✓ Grandes
Característica reemplazada Beneficios
• Ninguna • Seguridad mejorada debido a la supericie reducida de ataque
• Sobrecarga reducida de administración
• Mantenimiento de software reducido
• Usa sólo 1 gigabyte (GB) de espacio en disco para instalación
Funciones
• La opción de instalación incluye sólo un conjunto de los archivos ejecutables y bibliotecas dinámicas de vínculos de soporte (DLL).
• La interfaz predeterminada de usuario es el indicador de comandos. Se abre una ventana de comandos como opción predeterminada.
• Server Core sólo soporta una instalación limpia. Debe instalarse usando una instalación no atendida.
• IIS 7 ofrece funcionalidad limitada en Server Core, porque no incluye .NET Framework y no puede ejecutar ASP.NET. Sin embargo,
ejecutará contenido Web estático, páginas de servidor activo (ASP, Active Server Pages) clásicas y procesador de hipertexto (PHP).
Características opcionales
• Server Core también soporta las siguientes capacidades:
• Clúster de conmutación por error
• Equilibrio de carga de red
• Subsistema para aplicaciones de UNIX
• Copias de seguridad
• E/S multirruta
• Administración de almacenamiento extraíble
• Cifrado de unidad BitLocker
• Protocolo simple de administración de red (SNMP, Simple Network Management Protocol)
• Servicios de nombres de Internet de Windows (WINS, Windows Internet Naming Services)
• Cliente de Telnet
Característica Copias de seguridad de Windows

Descripción: La característica de copia de seguridad proporciona una solución de copia de seguridad y recuperación
más completa de WS08.
Característica: Nueva Mejora Actualización ✓ Reemplazo
Origen de la característica: WS08 ✓ Vista WS03 R2 WS03 Service Packs
Instalación: Como opción predeterminada ✓ Complemento a través del Administrador del servidor
Personalizada
Aplica a: ✓ Organizaciones pequeñas ✓ Medianas ✓ Grandes

• La característica de copia de seguridad anterior con • Copia de seguridad automática de datos
versiones anteriores del sistema operativo Windows • Copia de seguridad basada en imagen de servidores
• La copia de seguridad ya no soporta unidades de cinta • Acceso a versiones anteriores de archivos de usuario
Funciones
• Tecnología de copia de seguridad más completa. Depende del servicio de copia de seguridad de volumen (VSS) y
de la tecnología de nivel de bloque para crear copias de seguridad de volúmenes.
• Copia de seguridad en CD y DVD, disco interno o externo, o recurso compartido de archivo de red. La copia de
seguridad en cinta ya no tiene soporte.
• Copia de seguridad y recuperación basada en asistente. La recuperación se realiza a partir de una sola imagen; la
copia de seguridad encontrará los archivos en las copias de seguridad incrementales.
• La recuperación de servidores puede hacerse al mismo o diferente hardware.
• Monitorea automáticamente el uso del disco de copia de seguridad.
• Usa puntos de restauración para proteger versiones anteriores de archivos de datos.
• Puede usar Restauración del sistema para restaurar el servidor a un estado que opere.
Característica Microsoft Management Console 3.0

Descripción: Microsoft Management Console (MMC) ha sido mejorada para proporcionar información basada en
tareas para administradores. MMC v3 ahora incluye varios paneles para desplegar apropiadamente
información de administración basada en un contexto seleccionado.
Característica: Nueva Mejora ✓ Actualización Reemplazo
Origen de la característica: WS08 Vista ✓ WS03 R2 WS03 Service Packs
Instalación: ✓ Como opción predeterminada Complemento a través del Administrador del servidor
Personalizada

• La versión anterior de MMC (es decir, anterior a WS03R2) • Soporte a administración basada en tareas.
• Información contextual basada en el enfoque actual.
• Modelo extensible para funcionalidad agregada.
(continúa)
Característica Microsoft Management Console 3.0 (continuación)

Funciones
• El nuevo aspecto de tres paneles proporciona más información para los administradores.
PARTE I
• Usa tres paneles para identiicar características y componentes instalados.
• Usa el panel central para presentar listas detalladas de la característica seleccionada.
• Usa el panel de la derecha para proporcionar información basada en tareas relacionadas con la característica
seleccionada.
• El modelo extensible permite que comercializadores independientes de software agreguen funcionalidad.
Característica Autoafinación de rendimiento y diagnóstico de hardware

Descripción: WS08 presume varias tecnologías de mejoramiento del rendimiento, notablemente Windows SuperFet-
ch, ReadyBoost y ReadyDrive, que pueden mejorar el rendimiento del servidor. Además, ahora tiene la
capacidad de ajustar automáticamente sus parámetros de rendimiento con base en el comportamiento
detectado del sistema.
Personalizada

Característica reemplazada Beneficio
• No aplicable • Mejora el rendimiento del sistema sin que se necesite obligatoriamente
nuevo hardware.
Funciones
• Windows SuperFetch puede monitorear el uso de la memoria y asegurar que las aplicaciones tienen prioridad sobre
las tareas del sistema en segundo plano. Si una tarea del sistema se ejecuta cuando el sistema tiene tiempo
disponible, es reemplazada en la memoria de acceso directo (RAM, Random Access Memory) con aplicaciones de
usuario en cuanto se completa.
• SuperFetch también puede monitorear las aplicaciones más usadas y proporcionar acceso más rápido a ellos al
precargarlos en memoria al inicio del sistema.
• ReadyBoost puede depender de memorias de bus serial universal (USB, Universal Serial Bus) para mejorar la
operación al tratar este espacio de memoria como RAM adicional. Los datos están cifrados en el dispositivo para
protegerlos. El rendimiento vuelve a niveles normales cuando se retira el dispositivo USB.
• ReadyDrive puede depender de nuevas unidades híbridas que incluyen memoria lash en la tarjeta para tener acce-
so más rápido a datos basados en disco.
• WS08 también usa entrada/salida (E/S) de baja prioridad para reducir la competencia por los recursos de entrada
y salida entre aplicaciones y tareas de fondo.
• La desfragmentación del disco en segundo plano también mejorará la capacidad de respuesta del sistema, porque
aprovecha la E/S de baja prioridad. La desfragmentación se calendariza automáticamente tras la instalación.
• Los monitores de rendimiento automáticos rastrean los sucesos del sistema y pueden realizar análisis automático
cuando se degrada el rendimiento. Estos informes se escriben en el registro de sucesos para ayudar a los adminis-
tradores a comprender mejor los problemas de rendimiento.
• Depende de la nueva infraestructura de diagnóstico de Windows (WDI, Windows Diagnostic Infraestructure) para
monitorear y controlar la manera en que Windows se comporta. Entre los escenarios de WDI se incluye la protec-
ción de fallas de hardware, problemas de red, agotamiento de recursos y problemas de transición de alimentación
de energía.
Característica Consola de rendimiento y diagnóstico

Descripción: Una consola que proporciona acceso centralizado al monitor y acceso a rendimiento y coniabilidad del
sistema.
Característica: Nueva ✓ Mejora Actualización Reemplazo
Instalación: Como opción Complemento a través del Administrador del servidor ✓ Personalizada
Aplica a: Organizaciones pequeñas ✓ Medianas ✓ Grandes

• Registros y alertas de rendimiento • Proporciona una sola interfaz para detectar, solucionar e identiicar
• Asesor de rendimiento del servidor problemas de rendimiento
• Monitor del sistema • Vuelve automática la recolección de datos de rendimiento
Funciones
• Proporciona una interfaz gráica para personalizar la recolección de datos de rendimiento y las sesiones de traza
de sucesos.
• Incluye el Monitor de coniabilidad, un complemento de MMC que lleva registro de los cambios al sistema y que los
compara para hacer cambios en la estabilidad del sistema.
• Soporta los conjuntos de recolector de datos, que agrupan los recolectores de datos en elementos reutilizables
para usar con diferentes escenarios de monitoreo de rendimiento.
• Incluye asistentes y plantillas para creación de registros.
• Proporciona una Vista de recursos, que ofrece una revisión general gráica en tiempo real del uso de la unidad de
procesamiento central (CPU, Central Processing Unit), el disco, la red y la memoria.
• Incluye el Monitor de coniabilidad, que calcula el índice de estabilidad del sistema para ayudar a identiicar proble-
mas de coniabilidad.
• Soporta una coniguración de propiedad uniicada para todas las colecciones de datos, incluida la calendarización.
• Incluye informes de diagnóstico amigables con el usuario.
Característica Servicios de administración de claves

Descripción: Un servicio de administración de claves (KMS, Key Management Service) centralizado, que controla la
activación de los sistemas operativos Windows sin necesidad de que los equipos individuales se conec-
ten al sitio Web de Microsoft. KMS puede ejecutarse en Vista o Windows Server 2008.
Instalación: Como opción predeterminada Complemento a través del Administrador del servidor
✓ Personalizada
(continúa)
Característica Servicios de administración de claves (continuación)

• Claves de licencia de volumen. • Asegura que todo el software es genuino y tiene las licencias apropiadas.
PARTE I
• Permite a las organizaciones administrar licencias de manera más exacta.
Funciones
• Habilita Vista y Windows Server 2008 para que se activen sin necesidad de acceso externo a un sitio Web de
validación de Microsoft.
• Para operar requiere por lo menos 25 máquinas que ejecuten Vista o cinco WS08 servidores conectados de mane-
ra consistente a la red de una organización (no cuentan las instancias virtuales de sistemas operativos).
• Puede dar soporte a la activación de cientos de miles de máquinas desde un solo dispositivo KMS. Las organiza-
ciones deben tener por lo menos dos de estos dispositivos en la red, un dispositivo principal y un sistema de copia
de seguridad.
• Los clientes deben renovar la activación al conectarse al dispositivo KMS por lo menos una vez cada 180 días. Los
clientes nuevos, no activados, tratarán de ponerse en contacto con el KMS cada dos horas (conigurable) y, una vez
activados, tratarán de renovar su activación cada siete días (conigurable) para renovar su periodo de vida de 180 días.
• Si por alguna razón la copia de Windows Vista o WS08 se desactiva, ya no funcionarán las siguientes características:
• La interfaz de usuario Windows Aero ya no operará.
• Windows Defender ya no eliminará amenazas no críticas.
• Windows ReadyBoost ya no operará.
• El sitio Web Windows Update ya no proporcionará descargas.
• Windows proporcionará notiicaciones persistentes de que esta copia no tiene licencia.
• La ubicación de los dispositivos KMS puede realizarse mediante descubrimiento automático, dependiendo del
servicio DNS, o mediante conexiones directas, ingresando el nombre de la máquina y el número de puerto para la
conexión.
• Las máquinas inactivadas o desactivadas tienen un periodo de gracia de 30 días antes de requerir la reactivación.
• Las copias de Windows que rebasan el periodo de gracia ingresan en el modo de funcionalidad reducida (RFM,
Reduced Functionality Mode). Además de las funcionalidades reducidas de la lista anterior, una máquina en modo
RFM desplegará los siguientes comportamientos:
• Se abrirá un explorador Web cuando el usuario abre una sesión.
• La sesión no tendrá menú Inicio, ni iconos de escritorio, y se presentará un fondo de escritorio en blanco.
• Se sacará al usuario de la sesión después de una hora, sin advertencia previa.
Características opcionales
• Las organizaciones que requieren múltiples activaciones, pero que cuentan con menos de 25 sistemas, pueden
depender de claves de activación múltiples (MAK, Multiple Activation Keys). MAK son claves de activación especia-
les que soportarán activación de máquinas individuales sin límites de tiempo, o pueden ir a través de un proxy MAK
para activar varias claves a la vez.
Característica Hyper-V
Descripción: Una característica central del sistema operativo, que está diseñada para soportar la operación de “má-
quinas virtuales” y que transforma hardware en un almacén de recursos que puede compartirse con
instancias virtuales de ofrecimientos de servicio.
Categoría: Elementos básicos de sistema operativo
(continúa)
Característica Hyper-V (continuación)
✓ Personalizada

• Microsoft Virtual Server • Libera recursos de hardware para mejor uso.
• Permite una mejor asignación de recursos de acuerdo con las necesi-
dades de todos los ofrecimientos de servicio.
• Proporciona continuidad simpliicada del negocio.
Funciones
• Interactúa directamente con las capacidades de virtualización basadas en hardware de procesadores avanzados,
desde AMD hasta Intel.
• Proporciona soporte a máquinas de 32 y 64 bits.
• También se integra con la instalación de Server Core de WS08.
• Soporta más de 32 GB de RAM por máquina virtual.
• Se integra con el servicio de clústeres de Microsoft para clústeres dispersos local o geográicamente, además de
dejar que las máquinas virtuales trabajen en un clúster.
• Se integra con VSS para protección de las máquinas virtuales y los ofrecimientos de servicio proporcionados por
las máquinas virtuales.
• Se integra con la interfaz de sistemas de cómputo pequeños (SCSI, Small Computer System Interface), permitien-
do que las máquinas virtuales se vinculen con más de 256 discos duros virtuales por adaptador de almacena-
miento virtual y dos adaptadores de almacenamiento virtual por máquina, lo que signiica hasta 512 discos duros
virtuales por máquina.
• Se integra con equilibrio de carga de red, dejándole crear una arquitectura de n capas para los ofrecimientos de
servicios virtualizados albergados por este servicio.
• Las extensiones de virtualización del sistema operativo central son parte de casi todas las ediciones de WS08,
permitiendo que los ofrecimientos de servicio que están virtualizados funcionen mejor cuando comparten recursos.
Facilidad de uso
Con el lanzamiento de Windows Vista, Microsoft ha desarrollado mejoras muy completas en
la facilidad de uso de Windows. Muchas de esas mejoras están ahora disponibles en Windows
Server 2008. Use las que le parezcan más apropiadas, dado que las máquinas WS08 son servido-
res y no necesariamente deben tener la misma interfaz que las estaciones de trabajo cliente. Tal
vez quiera asegurar que las mejoras estén disponibles en todos sus servidores para simplificar la
transición del usuario de Windows Vista a WS08.
PRECAUCIÓN Windows Vista incluye una gran cantidad de nuevas características. No todas están
cubiertas aquí, aunque muchas hayan llegado al código de Windows Server 2008. Esto es debido
a que muchas de las nuevas características de Windows Vista no están orientadas a un sistema
operativo de red y son, por tanto, irrelevantes en WS08.
Entre las nuevas características de esta categoría se incluyen:

• Interfaz de usuario Aero de Windows Una nueva interfaz que proporciona una experien-
cia visual mejorada de Windows.
• Búsqueda instantánea Una característica de indización integrada que simplifica la búsque-

da de la ubicación de cualquier cosa en Windows.
• Soporte a documentos XPS Un nuevo formato de documento transportable.
PARTE I
• Administrador del servidor Una consola MMC unificada que proporciona un solo acceso
a todas las funciones y características de servidor.
Cada una se describe en las siguientes tablas.
Característica Interfaz de usuario Aero de Windows

Descripción: La interfaz de usuario Aero de Windows aprovecha las nuevas características gráicas para proporcionar
una imagen clara y precisa a los usuarios.
Categoría: Facilidad de uso
Característica ✓ Nueva Mejora Actualización Reemplazo
Personalizada

∙ La interfaz clásica de Windows 2000 ∙ Proporciona una imagen clara en la pantalla.
∙ La interfaz mejorada desde Windows XP ∙ Incluye funcionalidades mejoradas para administración
del sistema e interacción con éste.
∙ Interactúa con las capacidades de la tarjeta gráica
(requiere hardware personalizado).
Funciones
∙ Incluye Cristal, un mecanismo de representación gráica que proporciona una imagen lo más clara posible en una
pantalla de computadora empleando un diseño de vidrio transparente y suaves transiciones de ventana.
∙ Windows Flip y Flip 3D proporcionan vistas en vivo de contenido real de ventanas, además de la interacción avanza-
da con ventanas múltiples abiertas en el escritorio al mismo tiempo.
∙ Las miniaturas de barras de tareas en vivo proporcionan previsualizaciones del contenido real de las ventanas
cuando se coloca el ratón sobre la barra de tareas.
∙ Depende del modelo de despliegue de controlador de Windows (WDDM, Windows Driver Display Model) para propor-
cionar transiciones mejoradas de escritorio, aprovechando las capacidades avanzadas de la tarjeta gráica.
Característica Búsqueda instantánea

Descripción: La búsqueda y la indización son una parte central del sistema operativo. El acceso a todos los archivos
y las herramientas está controlado por la nueva utilería de búsqueda. La búsqueda es contextual y
modiicará su comportamiento dependiendo de la actividad del usuario.
(continúa)
Característica Búsqueda instantánea (continuación)
Personalizada

∙ Funciones previas de indización proporcionadas por ∙ Toda la información de usuario es indizada automática-
un servidor de índice mente.
∙ Las búsquedas pueden realizarse desde el escritorio en
el escritorio, además de recursos compartidos de red y
sitios de colaboración.
Funciones
∙ Parte integral del escritorio de Windows. Toda la actividad está basada en la búsqueda, incluso el menú Inicio.
∙ Proporciona rendimiento tan rápido como la escritura cuando se busca.
∙ Integrada en todos los aspectos de Windows: Explorador de documentos, Explorador de música, Explorador de
búsqueda, y más.
∙ Incluye el panel de iltro avanzado, que le permite crear búsquedas con criterios múltiples.
∙ Las búsquedas están integradas con la seguridad de Windows, de modo que los usuarios sólo pueden ver resulta-
dos a los que tienen acceso otorgado.
∙ Las búsquedas cubren otros equipos, carpetas fuera de línea, carpetas de redirección, sitios de SharePoint y
discos duros extraíbles.
∙ Los desarrolladores pueden producir iFiltros para integrar sus productos con Búsqueda instantánea.
∙ Proporciona el mismo nivel de búsqueda que Windows XP en recursos compartidos de archivo heredados que no
soportan el nuevo motor de búsqueda distribuido.
Característica Soporte a documentos XPS

Descripción: Usado para transformar cualquier contenido en pantalla de un formato de documento transportable que
soporta visualización, impresión e indización, y puede integrarse a la administración de derechos para
protección del contenido.
Personalizada

∙ Ninguna ∙ Proporciona capacidad de transportar el documento sin la
necesidad de complementos de terceros.
Funciones
∙ El controlador de impresora de especiicación de papel XML (XPS, XML Paper Speciication) permite a los usuarios
imprimir cualquier contenido en pantalla en un formato XPS para mejor capacidad de transportación.
∙ Los documentos pueden verse en Internet Explorer o cualquier otro explorador que soporte el plug-in de formato XPS.
∙ Crea una experiencia estándar paginada para contenido no paginado, como páginas Web.
∙ Soporta creación automatizada de documentos para programas personalizados.
∙ Genera imágenes de alta idelidad, vectoriales, para proporcionar representación gráica exacta.
∙ Se integra con ADRMS para proporcionar protección completa de contenido.
Característica Administrador del servidor

Descripción: Proporciona una sola interfaz para administración de servidor, desplegando información del sistema
y coniguración de detalles. Además, se usa para administrar funciones de servidor y agregar caracte-
PARTE I
rísticas.
Característica: ✓ Nueva Mejora Actualización ✓ Reemplazo
Personalizada

∙ Reemplaza las siguientes interfaces de Windows ∙ Las funciones de servidor están coniguradas con con-
Server 2003: iguraciones de seguridad recomendadas, como opción
∙ Administrar su servidor predeterminada.
∙ Conigurar su servidor ∙ Las funciones de servidor están listas para desplegarse
∙ Agreguar o quitar componentes de Windows en cuanto se instalan y se coniguran apropiadamente.
∙ Una sola interfaz para la administración del servidor.
Funciones
• Controla de manera central el ciclo de vida de la operación del servidor y cualquier función instalada en él.
• Identiica rápidamente el estatus del servidor y los sucesos críticos, además de analizar, detectar y solucionar
problemas o fallas de coniguración.
• Incluye todas las interfaces diferentes que necesita para administrar cualquier actividad de servidor.
• Su efectividad se basa en la versión MMC 3.0 para dar mejor experiencia de usuario. También incluye:
∙ Asistente para agregar o quitar funciones
∙ Asistente para agregar o quitar servicios de función
∙ Asistente para agregar o quitar características
• Soporta varias funciones, además de funciones de servidor.
• Permite la integración de funciones y características adicionales que están disponibles en el centro de descarga
de Microsoft y los sitios Web de Windows Update como actualizaciones opcionales de WS08. Por ejemplo, Windows
Server Update Services, que no son parte del servidor Windows, pueden agregarse a través de la consola Adminis-
trador del servidor. Windows SharePoint Services, que soportan la creación de sitios Web de equipo y personales,
para proporcionar administración de documentos y colaboración, también se agrega al Administrador del servidor
de esta manera.
Soporta las siguientes funciones de servidor
∙ Servicios de Certificate Server de Active Directory (ADCS) Crea y administra certiicados digitales como parte
de una infraestructura de clave pública.
∙ Servicios de dominio de Active Directory (ADDS) Proporciona autentiicación tradicional y servicios de seguridad
de dominio.
∙ Servicios de federación de Active Directory (ADFS) Proporciona federación de identidad cifrada y single sign-on
basada en el protocolo de transferencia de hipertexto (HTTP, HyperText Transfer Protocol).
∙ Servicios de directorio ligero de Active Directory (ADLDS) Almacena datos especíicos de la aplicación en el
formato del protocolo ligero de aplicaciones de directorio (LDAP, Lightweight Directory Application Protocol).
∙ Active Directory Rights Management Services (ADRMS) Protege los documentos del uso no autorizado a través
de irmas digitales.
∙ Servidor de aplicaciones Hospeda y administra aplicaciones de negocios distribuidas de alto rendimiento.
(continúa)
Característica Administrador del servidor (continuación)

∙ Servidor DHCP Ofrece aprovisionamiento central, coniguración y administración de direcciones IP temporales e
información relacionada con los equipos del cliente.
∙ Servidor DNS Traduce nombres de dominio y DNS del equipo en direcciones IP.
∙ Servidor de fax Envía y recibe faxes, y soporta la administración de recursos.
∙ Servicios de archivo Proporciona tecnologías para administración de almacenamiento, replicación de archivo, admi-
nistración distribuida de espacio de nombres, búsqueda de archivos y depuración del acceso del cliente aleatorios
archivos.
∙ Servicios de Hyper-V Proporciona soporte a la operación de instancias virtuales de sistemas operativos. Hyper-V
es un hipervisor (una pequeña pieza de código cuyo propósito es exponer los recursos físicos a las máquinas virtua-
les) y es una función que no debe compartirse con ninguna otra, siempre que sea posible. Observe que Hyper-V no
se incluye en la versión de mercado original de WS08.
∙ Servicios de acceso y directivas de redes (NAS) Soporta enrutamiento de tráico de red en redes de área local
(LAN, Local Area Network) y redes de área amplia (WAN, Wide Area Network) y creación e imposición de directivas
de acceso a red, además de acceso a redes privadas virtuales (VPN, Virtual Private Network) o conexiones de red a
recursos de red.
∙ Servicios de impresión Administra y proporciona acceso a impresoras de red y controladores de impresora.
∙ Terminal Services (TS) Permite el acceso a un servidor que ejecuta aplicaciones o todo el escritorio de Windows.
∙ Servicios UDDI (Universal Description, Discovery, and Integration; descripción, descubrimiento e integración)
Organiza y cataloga servicios Web y otros recursos programáticos en directorios parecidos a páginas blancas o
amarillas.
∙ Servidor Web (IIS) Proporciona una infraestructura de aplicación Web a través de IIS versión 7.0.
∙ Servicios de implementación de Windows (WDS, Windows Deployment Services) Proporciona implementación
remota, sin acceso manual, de sistemas operativos Windows a través de instalación en red.
Infraestructura de red
Además de las muchas otras mejoras de características encontradas en Windows Server 2008,
Microsoft se ha esforzado por mejorar la infraestructura de comunicaciones básicas en Windows
para soportar un mercado mundial de comunicaciones. Entre las nuevas características más im-
portantes de esta categoría se incluyen:
• IPv6 Una integración completa de la nueva versión 6 del protocolo TCP/IP.

• TCP/IP reinado Un retrabajo completo de la pila TCP/IP de Windows para aumentar el
rendimiento de entrada y salida que las redes de Ethernet proporcionan con este protocolo.
PRECAUCIÓN Sólo enrutadores e interruptores que soportan por completo todos los estándares de
Internet delineados por la Internet Engineering Task Force (IETF) podrán funcionar con el
protocolo TCP/IP reinado. Asegúrese de que sus dispositivos de red cumplen completamente
con IETF antes de implementar esta característica.
• Sistema de nombres de dominio (DNS) Nuevas mejoras en el servicio DNS de Windows

proporcionan soporte a todas las nuevas características de red en Windows Server 2008.
Característica IPv6
Descripción: IPv6 es el reemplazo a largo plazo de IPv4. IPv6 ofrece un número signiicativamente mayor de direc-
PARTE I
ciones que IPv4 y se usará en algún momento futuro como un reemplazo completo del protocolo más
antiguo. Las naciones emergentes se concentrarán en IPv6, porque la mayor parte de las direcciones
públicas IPv4 ya se han asignado en todo el mundo.
Categoría: Infraestructura de red
Personalizada

• Con el tiempo, reemplazará por completo a IPv4 • Número amplio de direcciones adicionales.
• Incluye funcionalidades integradas que eran complemen-
tos de IPv4.
• Cada conexión tiene una dirección privada que es única
en el mundo.
Funciones
• Instalada y habilitada como opción predeterminada.
• Incluye la capacidad de operar con el protocolo de direccionamiento de entunelamiento automático en el sitio
(ISATAP, Intra-Site Automatic Tunnel Addressing Protocol), que es una tecnología de transición que permite que IPv6
interactúe con IPv4.
• Muchas aplicaciones en WS08 soportan directamente IPv6. Depende de Teredo para aplicaciones que tienen
habilitado IPv6.
• Incluye Teredo, una tecnología de transición que permite conexiones de IPv4 e IPv6 que están separadas por tra-
ducciones de dirección de red (NAT, Network Address Translation) para usar comunicaciones de extremo a extremo
con dirección IPv6.
• Teredo ahora funciona con equipos miembros de dominio además de controladores de dominio. Estaba deshabili-
tado como opción predeterminada en Windows XP y Windows Server 2003, cuando un equipo se volvía nombre de
dominio.
• Teredo no está habilitado como opción predeterminada y debe activarse para redes que no proporcionan soporte
completo a IPv6.
• Incluye Multicast Listener Discovery versión 2 (MDLv2) para tráico de multidifusión de fuente especíica. Corres-
ponde al protocolo de administración del grupo de Internet (IGMP, Internet Group Management Protocol) versión 3
en Ipv4.
• La resolución local de nombre de multidifusión de vinculaciones (LLMNR, Local Linking Multicast Name Resolution)
deja que los sistemas IPv6 localizados en una sola subred, pero sin un servidor DNS, resuelvan los nombres de
otros. Esto es útil para redes ad hoc.
• El cliente del protocolo dinámico de coniguración de host (DHCP, Dynamic Host Coniguration Protocol) versión 6
deja que los sistemas de Windows Server 2008 obtengan direcciones IPv6 dinámicas.
• Ahora se proporciona soporte completo a calidad del servicio (Quality of Service) mediante el nuevo protocolo IPv6
en WS08.
Característica TCP/IP refinado

Descripción: Incluye la pila “TCP/IP de siguiente generación”, que es un rediseño completo de la funcionalidad
TCP/IP de Windows.
Personalizada

∙ Todas las pilas TCP/IP de versiones anteriores de ∙ Velocidades de red enormemente mejoradas.
Windows. ∙ Interoperabilidad completa entre IPv4 e IPv6.
∙ Cumple con todos los estándares de IETF.
Funciones
• Afinación automática de recepción de Windows Ajusta automáticamente el tamaño de la ventana de recepción
o la cantidad máxima que un host puede recibir a través de una conexión TCP/IP para mejorar la velocidad de
recepción.
• TCP compuesto Ajusta o aumenta automáticamente la cantidad de datos enviados a través de una conexión TCP
basado en un cálculo del ancho de banda en comparación con la demora percibida de la conexión.
• Optimización de la velocidad de entrada y salida En entornos donde hay una elevada pérdida mediante el uso de
nuevos algoritmos.
• Detección de equipos cercanos inalcanzables Es automática en IPv6. La nueva pila TCP/IP agrega esta funciona-
lidad a IPv4.
• Detección de puerta de enlace muerta Ahora es constante. Las conexiones se redirigen automáticamente en
cuanto se activa de nuevo la puerta de enlace.
• Detección de enrutador de hoyo negro PTMU Permite que TCP/IP identiique los enrutadores de unidad de ruta
de máxima transmisión (PTMU, Path Maximum Transmision Protocol) o enrutadores intermedios que descartan el
protocolo de control de mensajes de Internet (ICMP, Internet Control Message Protocol) o mensajes que no pueden
fragmentarse para que los mensajes ya no se terminen debido a las reglas de las irewalls en los enrutadores.
• Compartimientos de enrutamiento Son interfaces que incluyen una sesión de registro de inicio de sesión.
Usando compartimentos, TCP/IP puede evitar los reenvíos indeseables o los paquetes entre interfaces como VPN,
Terminal Services o coniguraciones de inicio de sesión multiusuario.
• Marco conceptual de diagnósticos de red Ahora soporta indicadores intuitivos, e incluso corrección automática,
cuando se detectan problemas de red para ayudar a los administradores a corregir más fácilmente el problema
por su cuenta. Cuando el problema no se puede resolver automática o manualmente, se despliega una guía con
detalles especíicos acerca del problema.
• Soporte a estadísticas extendidas (ESTATS) Permite que TCP/IP proporcione estadísticas extendidas adiciona-
les en transferencias de red.
• Plataforma de filtrado de Windows (WFP, Windows Filtering Platform) Proporciona una nueva arquitectura para
vincular ganchos de terceros con iltro IP.
• Mejoras de IPv6 También se incluyen en esta nueva pila, proporcionando soporte completo para esta nueva
versión de protocolo.
Característica Sistema de nombre de dominio (DNS, Domain Name System)

Descripción: El servicio DNS se ha mejorado para funcionar con las nuevas características de Active Directory, ade-
PARTE I
más de IPv6.
Personalizada

• DNS de versiones anteriores de Windows Server • Soporta a IPv6.
• Cumple con los estándares de IETF.
• Integración completa con Active Directory.
Funciones
• La carga de zona en segundo plano permite que DNS inicie más rápidamente cuando se cargan zonas muy gran-
des desde la base de datos ADDS.
• El soporte a direcciones IPv6 permite que DNS almacene direcciones de 128 bits de largo, comparada con las de
IPv4 que son de 32 bits.
• Las nuevas zonas primarias de sólo lectura (PROZ, Primary Read-Only Zones) permiten que DNS permita la función
de servidor ADDS de DC de sólo lectura (RODC, Read-Only DC).
• Las nuevas zonas de nombres globales (GBZs, GlobalNames Zone), que se replican en todo el bosque de Active
Directory, como opción predeterminada. Proporciona soporte a nombres de una sola etiqueta similar a los nombres
NetBIOS permitidos por el servicio de asignación de nombre de Internet de Windows (WINS, Windows Internet
Naming Service). GBZs puede usarse ahora para reemplazar completamente los servidores WINS y eliminar esta
función de la red.
Infraestructura de implementación
Cada vez que hay una nueva versión de Windows, usted tiene que implementarla. Microsoft ha
hecho esfuerzos para facilitar la implementación de Windows con cada nueva versión. Windows
Vista, en particular, presenta la implementación más fácil posible. Por esto, Microsoft ha desarro-
llado dos tecnologías centrales: un motor de implementación y un nuevo formato de imagen de
disco basado en archivo. Estos mecanismos de implementación soportan Windows Vista y Win-
dows Server 2008. Además, todo el proceso de instalación se ha modificado en WS08 para mover
toda la toma de decisiones al final del proceso de instalación.
Entre las características de infraestructura de implementación se incluyen:
• Servicios de implementación de Windows Una nueva versión de la herramienta de ser-

vidor de implementación del sistema operativo, que le permite enviar imágenes de sistema a
varios puntos finales mediante multidifusión en un solo flujo de datos.
• Formato de imagen de Windows Un nuevo formato de imagen de disco de archivo para
instalar Windows.
• Tareas de coniguración inicial Una nueva pantalla de inicio que combina preguntas plan-
teadas previamente durante la instalación.
Característica Servicios de implementación de Windows

Descripción: Servicios de implementación de Windows proporcionan herramientas de implementación de sistema
operativo basadas en servidor. Soporta arranque remoto de máquinas simples y la descarga del nuevo
sistema operativo en ellas.
Categoría: Infraestructura de implementación
Personalizada

Características reemplazadas Beneficios
• Servicios de instalación remota (RIS) • Soporta instalación en red de Windows Vista y Windows
• Servicios de implementación automatizada (ADS) Server 2008, además de Windows XP y Windows Server
2003.
• Reduce el costo total de la propiedad (TCO, Total Cost
of Ownership) mediante tecnologías de implementación
integradas.
Funciones
• Implementa sistemas operativos en equipos simples, sin sistema operativo instalado.
• Trabaja como un complemento a Windows Server 2003 en una función de servidor en WS08.
• Construido sobre tecnologías integradas de instalación de Windows, incluido Windows Pre-Execution (Windows PE),
Windows Image Format (WIM) y la coniguración basada en imagen (IBS, Image Based Setup).
• Soporta tarjetas de red que tienen habilitado Pre-Execution Boot (PXE) para sistemas de 32 bits e interfaz extensi-
ble de irmware (EFI, Extensible Firmware Interface) para sistemas de 64 bits.
• Usa Windows PE como arranque nativo para instalación de sistema operativo.
• Tareas de administración de multidifusión en las versiones gráicas y de línea de comandos de WDS.
• Interfaz de usuario de cliente que indica transmisión múltiple.
• Vista de transmisión de cliente en tiempo real, además de control discreto sobre cuáles clientes deben o no recibir
una transmisión.
• Monitoreo de progreso sobre las transmisiones.
• Reporte y registro de estatus de instalación mediante el registro de sucesos.
• Soporte a instalación de un servidor de multidifusión WDS independiente con consola de administración y soporte
a herramienta de línea de comandos.
• Administración de lujo de datos, que permite que los clientes soliciten el lujo medio de multidifusión o unión y
aun obtener una instalación completa.
• Basado en el nuevo protocolo de multidifusión, incluido el control de congestión y lujo, además de control de
ancho de banda.
• Soporta implementaciones ImageX sin necesidad de WDS o Active Directory.
• Cliente de multidifusión de línea de comandos para Windows PE.
Característica Formato de imagen de Windows

Descripción: Proporciona un formato de archivo de imagen agnóstica de hardware que captura imágenes completas
PARTE I
de disco de instalaciones de Windows para reimplementación. Todas las instalaciones de Windows, aun
los nuevos DVD de instalación de Microsoft, dependen de este formato de imagen.
Instalación: ✓ Como opción Complemento a través del Administrador del servidor Personalizada

• Ninguna • Soporta nuevas instalaciones y actualizaciones de versio-
nes anteriores de Windows (XP SP2 para Windows Vista y
WS03 SP1 para WS08).
Funciones
• Un solo archivo de imagen puede ahora funcionar en equipos que usan diferentes controladores de la capa de
abstracción de hardware (HAL, Hardware Abstraction Layer).
• Un solo archivo de imagen puede soportar implementaciones en todo el mundo en varios idiomas.
• Depende de archivos de instalación no atendidos de XML. Uno solo de éstos puede soportar nuevas instalaciones
e instalaciones preparadas mediante la herramienta System Preparation (SysPrep).
• Creación de imágenes no destructiva puede soportar actualizaciones en el lugar, retener coniguraciones de usua-
rio y de aplicación mientras se eliminan y reemplazan todos los componentes del sistema operativo.
• Soporta el almacén de una sola instancia (SIS, Single Instante Store), dejando que las organizaciones incluyan
varias ediciones de Windows Vista, incluso Windows Server 2008, en el mismo DVD de distribución.
• Incluye un total de 36 paquetes de idioma como soporte para implementaciones en todo el mundo.
• Soporta el servicio fuera de línea, permitiendo que los administradores del sistema parchen y actualicen imágenes
sin tener que reconstruir un equipo de referencia.
• Depende del administrador de imagen del sistema (SIM, System Image Manager) para administrar archivos no
atendidos a través de una interfaz gráica.
• Se integra con Windows PE para reinicio inicial durante el proceso de instalación.
• Soporta el nuevo IBS para instalaciones de Windows. Todas las instalaciones, aun las de DVD comerciales de
Microsoft, dependen de IBS.
Característica Tareas de configuración inicial

Descripción: Ventana que se abre automáticamente después de que se completa el proceso de instalación del
sistema operativo. Esta ventana permite a los administradores terminar la instalación y la coniguración
inicial de un nuevo servidor.
Instalación: ✓ Como opción Complemento a través del Administrador del servidor Personalizada
(continúa)
Característica Tareas de configuración inicial (continuación)

• Proceso anterior de instalación de Windows • Un solo origen para terminar la instalación y conigurar un
nuevo servidor, asegurándose de que los administradores
no olvidan ningún aspecto de la instalación.
Funciones
• Establece la contraseña del administrador.
• Establece la dirección IP del servidor y lo une a un dominio.
• Conigura Windows Update y Firewall de Windows.
• Agrega funciones y características al servidor inmediatamente después de la instalación.
• Decisión entre enviar retroalimentación anónima o no a Microsoft.
Opciones predeterminadas
• Contraseña de administrador Fuerza el cambio en el primer inicio de sesión.
• Nombre de equipo Se asigna de manera aleatoria durante la instalación y puede modiicarse en esta etapa.
• Pertenencia a dominio No se une a un dominio; se une a un grupo de trabajo llamado WORKGROUP.
• Windows Update Desactivado.
• Conexiones de red Todas las conexiones se establecen para obtener automáticamente direcciones IP al usar
un protocolo dinámico de coniguración de host (DHCP, Dynamic Host Coniguration Protocol).
• Firewall de Windows Habilitado.
• Funciones instaladas No hay funciones.
Infraestructura de aplicaciones
Windows Server se ha hecho de un nombre en la industria a través de sus capacidades de sopor-
te integrado a aplicaciones. Mientras que otros sistemas de red sólo proporcionan servicios de
archivo e impresión, Windows también soporta la capacidad de ejecutar aplicaciones. WS08 no
es menos en esta materia, tampoco. Incluye un soporte ampliamente mejorado a aplicaciones a
través de las siguientes características:
• Administrador de recursos del sistema de Windows Se lanzó por primera vez como un
complemento de Windows Server 2003 y proporciona capacidad para controlar por completo
la asignación de recursos a aplicaciones mediante directivas definidas.
• Terminal Services Ha mejorado mediante la adición de una nueva puerta de enlace de
Terminal Services, que permite que Terminal Services se ejecute en el protocolo HTTP; Remo-
teApp, que simplemente publica una aplicación para un usuario final, haciendo la experiencia
con Terminal Services completamente transparente; y TS Web Access, que permite que los
usuarios accedan a Terminal Services a través de una interfaz de usuario.
• IIS 7.0 Es una versión muy mejorada del servidor Web insignia de Microsoft.
• Función de servidor de aplicaciones Se ha mejorado para soportar toda la nueva funcio-
nalidad disponible en las versiones 2.0 y 3.0 de .NET Framework, además de cambios en otras
aplicaciones.
• Internet Explorer 7 Proporciona un explorador más protegido con la capacidad de controlar
mejor la experiencia Web.
• Clúster de conmutación por error Se ha mejorado para eliminar la dependencia de un
quorum local o el disco que mantuvo consistencia entre nodos en clúster.
• Windows SharePoint Services Es un entorno de colaboración para trabajo en equipo que

es ahora un complemento del código de WS08.
• Servicio de activación de Windows Es un nuevo servicio que administra un almacén de
PARTE I
aplicaciones y procesos de trabajador en IIS 7.0.
• Servidor de fax Es un nuevo sistema de fax integrado.
En las siguientes tablas se describen de manera detallada cada una de estas características.
Característica Administrador de recursos del sistema de Windows

Descripción: Aplicación que le permite controlar la asignación de recursos (CPU y RAM) a aplicaciones que se ejecu-
tan en un servidor.
Categoría: Infraestructura de aplicaciones
Personalizada

• Actualización de una versión anterior • Mejora el rendimiento del sistema y reduce los posibles
conlictos entre aplicaciones por recursos.
• Crea una experiencia de usuario más predecible porque
se garantiza que la aplicación accede a los recursos que
se han asignado.
Funciones
• Asignación de recursos basada en directivas.
• Controla la administración de aplicaciones, además de administración de usuarios en servidores de Terminal
Services.
• Puede depender de directivas condicionales que hacen el mejor uso de hardware activo en entornos independien-
tes o de clúster.
• Se integra con los almacenes Web mediante los almacenes de aplicaciones en IIS.
• Puede usarse para capturar estadísticas de uso de recursos y almacenarlos en SQL Server. Puede incluir datos de
varios servidores en una sola base de datos de informe.
• Disponible en todas las ediciones de WS08.
Característica Características centrales de Terminal Services

Descripción: La función Terminal Server proporciona la capacidad de abrir sesiones remotas en otros equipos y servi-
dores. Incluye nueva funcionalidad en Windows Server 2008, además de nuevas funciones de servidor.
(continúa)
Característica Características centrales de Terminal Services (continuación)
Personalizada

Característica reemplazada Beneficio
• Ninguna • Permite a usuarios autorizados conectarse a Terminal
Services en conexiones de Escritorio remoto desde sus
escritorios.
Funciones
• Soporta la versión 6 de conexión a Escritorio remoto.
• Proporciona redireccionamiento de Plug and Play para reproductores de medios y cámaras digitales.
• Proporciona soporte a redireccionamiento de dispositivos de Windows incrustados para punto de servicio.
• Las resoluciones de pantalla de Terminal Services ahora soportan relaciones de despliegue 16:9 o 16:10 y resolu-
ciones de 1680 × 1050 o 1920 × 1200. La resolución máxima es de 4096 × 2048. La resolución puede abarcar
varios monitores. Además, la resolución atenderá automáticamente el tema gráico desde el escritorio del usuario,
eliminando la necesidad de modiicar la interfaz en el Terminal Server.
• También puede redireccionar dispositivos que usan punto de servicio de Microsoft para .NET 1.11.
• Puede proporcionar las características de la interfaz Aero para usuarios inales.
• También puede instalar la licencia de TS para administrar todas las licencias de acceso de clientes.
Característica Impresión en Terminal Services

Descripción: La nueva característica de Terminal Server que reduce la sobrecarga de administración de impresión
en TS.
✓ Personalizada

• Ninguna • Elimina mensajes de error relacionados con la conigu-
ración de conexión de impresora cuando se abre una
sesión de TS.
• Simpliica la impresión en TS para los usuarios.
Funciones
• Depende de los parámetros de la nueva directiva de grupo que le permiten redireccionar sólo la impresora prede-
terminada del cliente.
• Usa el controlador Easy Print de TS para permitir que los usuarios impriman desde una aplicación remota a la
impresora correcta en su sistema cliente.
• Requiere la versión 6.1 de conexión a escritorio remoto y .NET Framework 3.0 SP 1 en el sistema cliente.
• No necesita instalar controladores de impresora de cliente en el servidor TS.
Característica Puerta de enlace de Terminal Services

Descripción: La nueva función de servidor Terminal Services que permite a los usuarios remotos conectarse a se-
PARTE I
siones a distancia desde cualquier dispositivo conectado a Internet mediante irewalls y dispositivos de
traducción de dirección de red (NAT).
✓ Personalizada

• Ninguna • Permite que usuarios autorizados se conecten a Termi-
nal Services o conexiones de Escritorio remoto desde
cualquier lugar de Internet.
• Elimina la necesidad de que las conexiones VPN acce-
dan a las aplicaciones de manera remota.
Funciones
• Puede conectarse a la red corporativa desde Internet sobre una conexión HTTPS cifrada sin necesidad de coni-
gurar conexiones VPN al redireccionar al puerto 443 todas las conexiones de protocolo de escritorio remoto (RDP,
Remote Desktop Protocol) que normalmente se ejecutan en el puerto 3389, empleando un túnel de capa de conec-
tores seguros (SSL). Esto signiica que se requiere un certiicado PKI para el servidor.
• Excelente para empleados que trabajan en casa porque elimina la necesidad de conexiones VPN.
• Da a la tecnología de la información (TI) acceso completo a recursos especíicos de la red y control sobre ellos.
• Soporta la deinición basada en directivas de las condiciones que deben cubrirse para que los usuarios se conec-
ten a recursos en la red mediante directivas de autorización de conexiones (CAP, Connection Authorization Policies:
con acceso a TS) y directivas de autorización de recursos (RAP, Resource Authorization Policies: acceso a escritorios
remotos). Vincula con características de Protección de acceso a redes en WS08.
• Proporciona monitoreo completo de sucesos para Puerta de enlace de Terminal Services.
• La consola permite a los administradores ver detalles acerca de las conexiones activas, establecer límites
máximos de conexión y realizar otras acciones para controlar el acceso a recursos de red a través del servidor de
Puerta de enlace de TS.
• Trabaja junto con Protección de acceso a redes para aislar equipos que tratarán de conectarse, pero que no cubren
las directivas de seguridad corporativas. Para ello se requiere el uso del Servidor de directivas de red (NPS, Net-
work Policy Server), no una puerta de enlace de TS.
Característica RemoteApp de Terminal Services

Descripción: Permite que las organizaciones proporcionen acceso a programas estándar de Windows desde casi
cualquier lugar a los usuarios de cualquier equipo con Windows Vista o sistemas de Windows XP que
tengan instalado el nuevo cliente Conexión a Escritorio remoto, usando Internet o intranet.
Personalizada
(continúa)
Característica RemoteApp de Terminal Services (continuación)

• Ninguna • Proporciona acceso simple a aplicaciones que se ejecu-
tan en Terminal Services.
Funciones
• Los programas a los que se accede de manera remota a través de Terminal Services aparecen como si se estuvie-
ran ejecutando en el equipo local del usuario inal.
• Compatible con clientes de Windows Vista y Windows XP SP2 con la adición del nuevo cliente Conexión a Escritorio
remoto versión 6.0.
• Permite administración centralizada de aplicaciones mientras mantiene la misma experiencia de usuario que si la
aplicación estuviera instalada localmente.
• No es necesario que los usuarios abran una sesión de Escritorio remoto primero; acceden directamente a las
aplicaciones.
• Simpliica la implementación de aplicaciones mediante la simple implementación de un archivo de Conexión a
Escritorio remoto (.rdp).
• Los administradores pueden ver y administrar todas las conexiones a aplicaciones remotas.
Característica Acceso Web a Terminal Services

Descripción: Una función de Terminal Services que permite a los usuarios conectarse a sesiones de TS desde un
explorador Web.
✓ Personalizada

• Ninguna • Elimina la necesidad de implementar conexiones de
RemoteApps o Escritorio remoto a Terminal Services.
• Proporciona una interfaz Web fácil para aplicaciones y
programas.
Funciones
• Implementa fácilmente RemoteApps de TS en Windows Vista interna o externamente.
• La lista de RemoteApps se actualiza dinámicamente en la página Web.
• Incluye la parte Web de RemoteApps de Terminal Services para agregar a una página de Sitio de equipo de WSS.
• Soporta clientes de Vista, XP, WS03 y WS08.
• Integra sesiones de Terminal Services si los usuarios acceden a más de un programa desde el mismo Terminal
Server.
• Las páginas Web con listas de programas pueden personalizarse para diferentes usuarios, mostrándoles sólo los
programas a los que tienen acceso.
• El componente de ActiveX ya está contenido dentro del cliente de RDC versión 6, de modo que no se requieren
descargas adicionales.
• Los usuarios pueden especiicar si están usando equipos públicos o privados; las credenciales no se guardan en
equipos públicos.
Característica Agente de sesiones de Terminal Services

Descripción: Nuevo servicio de la función terminal Server que permite a los usuarios remotos reconectarse a una
sesión TS en un grupo de servidores de equilibrio de carga.
PARTE I
✓ Personalizada

• Ninguna • Proporciona experiencia de sesión continua para usuario
inal cuando necesita reconectarse a una sesión en un
grupo de servidores.
• Ahora puede equilibrarse la carga de esta característica.
Funciones
• El Agente de sesiones de Terminal Services proporcionará continuidad al servicio de agente de sesiones.
• Funciona con el servicio DNS en lugar de Equilibrio de carga de red.
• Conigura varias direcciones IP del Agente de sesiones de TS en la misma entrada DNS, y la conexión se hará con
la primera dirección IP disponible.
Característica Servicio de información de Internet (IIS) 7.0

Descripción: IIS (Internet Information Services) proporciona una plataforma uniicada para publicación en Web que
incluye ASP.NET y Windows Communication Foundation (WCF, base de comunicaciones de Windows).
Personalizada

• Todas las versiones anteriores de IIS • Herramientas de administración mejoradas, con mejor
• Filtros y extensiones de la interfaz de programa de soporte para delegación.
aplicaciones de servidor de Internet (ISAPI, Internet • Seguridad mejorada y menor supericie de ataque me-
Server Application Programming Interface) diante la implementación de componentes modulares.
(continúa)
Característica Servicio de información de Internet (IIS) 7.0 (continuación)

Funciones
• IIS 7.0 se ha reescrito por completo para proporcionar una plataforma Web más segura, como opción predetermi-
nada, y para integrar por completo ASP.NET con las funciones Web básicas de IIS.
• Una nueva interfaz de administración proporciona mejores diagnósticos y la capacidad de delegar completa la
administración de los componentes de IIS.
• La instalación de IIS incluye 40 módulos de características diferentes, de modo que sólo pueda instalar las que
quiera, porque no necesita parchar las que no instale. Además se mejora la seguridad, porque puede elegir cuáles
componentes ejecutar.
• La coniguración de IIS se basa en el almacén de coniguración de .NET Framework existente, que permite que los
parámetros de IIS se almacenen junto con la coniguración de ASP.NET en archivos Web.conig. Esto proporciona un
almacén de coniguraciones para todos los parámetros de coniguración de la plataforma web.
• Entre las herramientas de administración se incluyen una nueva consola de modo gráico además de la herramien-
ta de línea de comandos APPCMD.EXE. Los parámetros pueden editarse directamente mientras las aplicaciones se
están ejecutando.
• Entre las tareas administrativas delegadas se incluyen sitios individuales y coniguraciones de aplicaciones.
• La reescritura de IIS es tal que ahora puede depender de módulos de autentiicación de ASP.NET, como la autentii-
cación por formularios o la autorización de localizador uniforme de recursos (URL). Además, ahora IIS funciona con
el nuevo módulo de servidor central. Pueden desarrollarse módulos de servidores centrales adicionales y reempla-
zar los anteriores iltros y extensiones ISAPI de versiones anteriores de IIS.
• La integración con ASP.NET permite que los desarrolladores usen código administrado en todas las instancias para
toda la funcionalidad Web.
Característica Servidor de aplicaciones

Descripción: La función Servidor de aplicaciones es un entorno para la aplicación, implementación y ejecución de
aplicaciones y servicios Web. Está integrado por varios componentes, incluidos IIS, .NET Framework
versiones 2.0 y 3.0, ASP.NET, cola de mensajes, COM+ y servicios Web. Debido a sus componentes in-
tegrados, esta función soporta desarrollo rápido de aplicaciones (RAD, Rapid Application Development).
✓ Personalizada

• Versiones anteriores de esta función • Reduce la supericie de ataque porque todo el código
producido con el .NET Framework es código administra-
do, haciendo que dependa de la Seguridad integrada de
acceso a código.
• Reduce el tiempo de desarrollo porque muchas de las
funciones que los desarrolladores necesitan en sus
aplicaciones ya están integradas con los componentes
de esta función.
(continúa)
Característica Servidor de aplicaciones (continuación)

Funciones
PARTE I
• Incluye funcionalidad de .NET Framework versiones 2.0 y 3.0, junto con nuevas características como Windows
Communication Foundation (WCF), Windows Presentation Foundation (WPF, base de presentación de Windows), Win-
dows Worklow Foundation (WWF, base de lujo de trabajo de Windows) y el Windows Color System (WCS, sistema
de color de Windows).
• WCF proporciona soporte para la construcción y ejecución de sistemas conectados. Uniica una serie de diferen-
tes tecnologías en una sola plataforma, incluidos mecanismos de transporte, sistemas de seguridad, patrones de
mensajería, codiicación, topologías de red y modelos de host.
• WPF depende de las nuevas características gráicas de Windows Vista para mezclar la interfaz de usuario, los
documentos y el contenido de medios. Incluye soporte para Tablet PC, un mejor despliegue de imágenes y canaliza-
ción de impresión, automatización de accesibilidad e interfaz de usuario, visualización orientada a datos y puntos
de integración para experiencias de mejoramiento de aplicaciones a través de la shell de Windows.
• WPF proporciona una plataforma para codiicación y ejecución de aplicaciones basadas en lujo de trabajo. Incluye
soporte para el sistema y los lujos de trabajo humanos, además de otros lujos de trabajo para aplicaciones de
línea de negocios, centrados en documentos, compuestos para aplicaciones orientadas a servicios, orientados a
reglas de negocios y, por último, de administración del sistema.
• WCS proporciona mejor idelidad de color en todos los niveles del sistema, incluidos coincidencia entre pantalla e
impresión, mejor aspecto del color y soporte para impresión de alta idelidad.
• Esta función se instala fácilmente mediante el Administrador del servidor.
Característica Internet Explorer 7

Descripción: El explorador de Internet insignia de Microsoft ahora proporciona un aspecto delineado, empleando
páginas con ichas para permitir explorar más fácilmente varios sitios al mismo tiempo. Internet Explorer (IE) 7 ahora
proporciona una plataforma mucho más segura para exploración de Internet.
Categoría: Infraestructura de la aplicación
Personalizada

• Todas las versiones anteriores de Internet Explorer • Proporciona una experiencia Web más fácil y segura.
Funciones
• IE 7 incluye un aspecto completamente nuevo con el que es más fácil trabajar. Las vistas con ichas le permiten ver
varias páginas diferentes en la misma sesión de exploración y desplegar miniaturas de todas las ichas abiertas.
• IE 7 incluye la capacidad de imprimir apropiadamente cualquier página Web o contenido Web.
• Puede incluir alimentaciones de RSS en su experiencia de exploración Web, permitiéndole recibir nuevas páginas
o contenido en segundo plano y verlas cuando esté listo.
• La nueva tecnología de búsqueda le permite elegir entre diversos proveedores, aunque Windows Live es la herra-
mienta de búsqueda predeterminada.
• Nuevas características anti-phishing y de control de código malicioso proporciona un entorno de exploración más
seguro al proporcionar exposición clara de la interfaz a sitios sospechosos o maliciosos.
Característica Clúster de conmutación por error

Descripción: El clúster de conmutación por error ofrece la capacidad de vincular servidores para proporcionar alta
disponibilidad de recursos en red, como aplicaciones de base de datos o correo electrónico. Esta
opción se concentra en aplicaciones conocidas como servicios de servidor.
✓ Personalizada

• Microsoft Cluster Service • Proporciona elevada disponibilidad para aplicaciones
críticas para la misión.
Funciones
• Incluye una nueva característica de validación que le permite saber si los recursos que pretende reunir en clúster
están listos para la recuperación de fallas. Entre los elementos a los que se aplican pruebas se incluyen nodos,
red y almacenamiento.
• Mejora la coniguración de clúster y la migración para simpliicar la actualización a WS08.
• La interfaz se ha mejorado para permitir a los administradores concentrarse en aplicaciones, no en los propios
clústeres.
• El recurso de quórum (el que indica al clúster el estatus de su coniguración) ya no es un solo punto de falla,
porque ahora puede distribuirse geográicamente y no es necesario que esté unido directamente a los nodos del
clúster.
• Ahora pueden usarse los archivos de coniguración del clúster para generar nuevos clústeres.
• Ahora los administradores tienen una vista privada de los recursos compartidos de archivos en clúster, indicándo-
les cuáles están en clúster y dónde se localizan.
• Ahora los administradores pueden “agregar activamente” recursos de almacenamiento a un clúster mientras se
están ejecutando. Además, los clústeres de WS08 soportan tablas de partición de GUID (identiicador globalmente
único, Globally Unique Identiier), o GPT (GUID Partition Tables), que, a diferencia de los discos de registro de arran-
que maestro (MBR, Master Boot Record), pueden abarcar hasta 2 terabytes (TB).
Característica Windows SharePoint Services

Descripción: Windows SharePoint Services (WSS) 3.0 proporciona servicios de colaboración en equipo que permite
a los usuarios acceder a espacios de trabajo y documentos compartidos mediante una interfaz de
navegador.
Personalizada
• Versión anterior de WSS • Mejora la productividad al proporcionar un entorno de
colaboración más rico que el simple intercambio
de archivos (WSS es un complemento de WS08).
(continúa)
Característica Windows SharePoint Services (continuación)

Funciones
• Las herramientas de administración mejoradas centralizan todas las tareas de administración. WSS también per-
PARTE I
mite delegación de tareas administrativas.
• Nuevas características de cumplimiento también mejoran la administración. Por ejemplo, ahora pueden conigurar-
se las directivas para aplicaciones Web basadas en zonas de administración de dominio o servidor. Esto permite a
los administradores crear diferentes directivas para zonas de intranet y extranet.
• Mejores controles de acceso permiten a los usuarios, aun a los administradores, ver sólo el contenido al que
tienen acceso, reduciendo la cantidad de páginas Web desplegadas.
• La migración desde versiones anteriores puede realizarse gradualmente, facilitando la actualización de sitios com-
plejos sin detener los procesos críticos del negocio.
• Nuevas características le permiten cambiar el nombre de servidores Web o base de datos, además de cambiar las
cuentas de servicio de las que depende WSS desde un solo lugar administrativo y hacer que el cambio tenga lugar
de inmediato en todo el grupo Web.
Característica Servicios de activación de procesos de Windows

Descripción: Este proceso está unido a IIS 7.0 y está diseñado para administrar almacenes de aplicaciones y proce-
sos de trabajador en lugar del servicio World Wide Web (WWW).
✓ Personalizada

• Algunas funciones del servicio WWW • Soporta el uso de la misma coniguración y modelo de
proceso para sitios HTTP y no HTTP.
• Reduce la supericie de ataque porque soporta división
en componentes de IIS.
Funciones
• El Servicio de activación de procesos de Windows (WPAS, Windows Process Activation Service) está concentrado
en escuchas especíicos en Indigo. Por ejemplo, si una aplicación está diseñada para escuchar en NET.TCP en lugar
de HTTP.SYS, no necesita cargar HTTP.SYS y sólo requiere NET.TCP.
• WPAS puede incluir la siguiente información de coniguración:
• Información de coniguración global.
• Información de coniguración para protocolos HTTP y no HTTP.
• Coniguración de almacén de aplicaciones, por ejemplo, la información de cuenta de procesos.
• Coniguración de sitio, por ejemplo, uniones y aplicaciones.
• Coniguraciones de aplicación, por ejemplo almacenes de aplicación, etcétera.
• WPAS lee información del archivo ApplicationHost.conig que contiene los parámetros de coniguración de IIS.
• WPAS soporta la inclusión de aplicaciones HTTP y no HTTP en el mismo almacén de aplicaciones.
Característica Servidor de fax

Descripción: Carga de trabajo de un solo propósito que administra la recepción y el envío de faxes por medios elec-
trónicos.
Personalizada
Aplica a: ✓ Organizaciones pequeñas ✓ Medianas Grandes

• Utilerías anteriores de fax • Proporciona servicios centralizados de fax electrónicos.
Funciones
• Envía y recibe faxes desde escritorios de usuarios.
• Integra faxes electrónicos para todos los aspectos de la productividad.
• Simpliica el envío de faxes al ponerlos a disposición directa de cualquier aplicación.
Infraestructura de seguridad
Con el lanzamiento de Windows Server 2003, Microsoft se esforzó por primera vez en producir
código seguro para una versión de servidor. Tuvieron éxito hasta cierto grado, porque pasaron
varios meses antes de que se encontrara la primera falla de seguridad en WS03. Con WS08, Mi-
crosoft quiere elevar la apuesta y está dependiendo de algunas mejoras de seguridad importantes
sobre versiones anteriores para mejorar la seguridad de WS08. Entre éstas se incluyen:
• Asistente para coniguración de seguridad Se presentó desde el Service Pack 1 de Win-

dows Server 2003 y ahora es parte integral del Administrador del servidor.
• Firewall de Windows con seguridad avanzada Proporciona protección muy completa en
el tráfico de entrada y salida para redes de todos los tamaños.
• Servicios de federación de Active Directory Permiten que los usuarios dependan de las
credenciales de sus propios dominios para acceder a servicios Web de socios.
• Servicios de dominio de Active Directory Incluyen nuevas características para la creación
de sistemas de administración de identidad y para auditoría de todos los cambios al directorio.
Nuevas directivas de contraseña más granulares que le permiten establecer diferentes directi-
vas de contraseña para diferentes grupos de usuarios en su organización.
• Servicios de Certiicate Server de Active Directory Controlan el uso de los certificados
PKI en su organización.
• Active Directory Rights Management Services Controlan la protección de la propiedad
intelectual.
• Windows Defender Puede ayudar a los sistemas a detener y eliminar el spyware.

• Protección de acceso a redes Sirve como una red de cuarentena para proteger contra siste-
mas que no cumplen con sus directivas de seguridad.
PARTE I
• Arquitectura de autentiicación de inicio de sesión insertable Proporciona una nueva
manera de integrar las herramientas de inicio de sesión, como la autentificación de dos facto-
res, con Windows.
• DC de sólo lectura Le permite proporcionar este valioso servicio, aún en áreas donde el
servidor no está protegido físicamente.
• Protocolo de entunelamiento de conexión segura (SSTP, Secure Socket Tunneling
Protocol) Proporciona un medio alterno de crear un vínculo VPN en situaciones en que los
entornos no permiten que el tráfico de seguridad del protocolo de Internet (IPSec, Internet
Protocol Security) cruce la firewall.
Característica Asistente para configuración de seguridad

Descripción: El Asistente para coniguración de seguridad es un mecanismo de reducción de supericie de ataque
para servidores de Windows. Guía la administración a través de una serie de pasos para aumentar la
seguridad de servidor en cualquier función.
Categoría: Infraestructura de seguridad
Origen de la característica: WS08 Vista WS03 R2 ✓ WS03 Service Packs
Personalizada

• Coniguración y análisis de seguridad • Mejora la seguridad mediante el endurecimiento del
servidor en varios niveles.
• Proporciona salida mediante secuencias de comandos
que pueden usarse para aplicar modelos de seguridad
basados en funciones en todos los servidores.
Funciones
• La característica está ahora integrada con la interfaz del Administrador del servidor y se aplica como opción prede-
terminada cuando se activa una nueva función de servidor.
• Soporta la creación de directivas basadas en funciones que aseguran los servidores en todos los niveles, incluidos
servicios, conjuntos de características, el registro, trabajo en red, puertos TCP y el sistema de archivos.
• Proporciona soporte a prueba de directivas además de regreso a la última coniguración correcta en caso de error.
• Proporciona la mejor razón por la que deben deshabilitarse o eliminarse componentes del sistema.
• Usa formato XML para dar salida a las directivas para aplicaciones en otros servidores. Permite la inclusión de se-
cuencias de comandos que pueden aplicarse a la construcción del sistema para asegurar que todas las funciones
del servidor están aseguradas de arriba abajo.
Característica Firewall de Windows con seguridad avanzada

Descripción: Proporciona una irewall de estado basada en host que permite o bloquea el tráico de acuerdo con la
coniguración del usuario para ayudar a proteger a los usuarios de códigos maliciosos y de hackers.
Origen de la característica: WS08 Vista WS03 R2 ✓ WS03 Service Packs
Personalizada

• Versiones anteriores de la Firewall de Windows • Proporciona protección en el nivel de host de intentos
• Directivas de seguridad anteriores de IPSec maliciosos.
• Monitor de seguridad de IPSec anterior • Interactúa con irewalls basadas en hardware para
proporcionar protección completa en el nivel del servidor.
Funciones
• Soporta deiniciones de reglas para tráico entrante y saliente. Por ejemplo, puede bloquearse todo el tráico en-
trante, excepto el que se ha solicitado.
• Incluye una nueva interfaz MMC 3.0 para mejorar la administración.
• Integra directivas de irewall con coniguración de IPSec.
• Proporciona soporte completo para coniguración de todos los parámetros del objeto de directiva de grupo (GPO,
Group Policy Object).
• Ofrece dos interfaces para administración: la applet de Firewall de Windows en el Panel de control y Firewall de
Windows con seguridad avanzada en Herramientas administrativas.
• Proporciona creación de reglas de excepción discretas, incluido soporte para números de puerto IP, direcciones
IP de origen y destino, puertos de protocolo de control de transmisión (TCP) o protocolo de datagrama de usuario
(UDP, User Datagram Protocol), tipos de interfaces (como la tarjeta de interfaz de red [NIP, Network Interface Proto-
col] o inalámbricas), tipos de tráico (como IPv4 o IPv6) o incluso servicios.
Característica Servicios de federación de Active Directory

Descripción: Los servicios de federación de Active Directory (ADFS, Active Directory Federation Services) proporcio-
nan un medio para apoyar la identidad federada en Internet mediante el uso de arquitectura de servicio
Web sin tener que abrir puertos críticos en la irewall.
Personalizada
(continúa)
Característica Servicios de federación de Active Directory (continuación)

PARTE I
• Ninguna, aunque elimina la necesidad de exponer • Proporciona una base para la administración de
Active Directory a Internet identidad integrada entre límites.
• Permite que las organizaciones usen sus propios Active
Directories para acceder a recursos del mismo nivel,
internos y externos.
Funciones
• Extiende Active Directory a Internet al permitirle depender del directorio interno para acceder a recursos del mismo
nivel. Esto ayuda a reducir el número de almacenes de seguridad que se deben administrar.
• Proporciona un medio para usar autentiicación de Windows en aplicaciones Web en Internet.
• Mediante el uso de la base del Servicio Web, ADFS proporciona interoperabilidad con entornos que no son de
Windows y que son compatibles con la misma base.
• Permite clientes pasivos, como exploradores Web. Proporciona la base para clientes inteligentes basados en el
protocolo simple de acceso a objetos (SOAP, Simple Object Access Protocol), como teléfonos celulares, asistentes
personales digitales (PDA, Personal Digital Assistant) y aplicaciones de escritorio y servidor
Característica Servicios de dominio de Active Directory

Descripción: Los Servicios de dominio de Active Directory (ADDS, Active Directory Domain Services) proporcionan un
medio para crear sistemas de administración de identidad muy completos que sirven para autentiicar
usuarios, equipos y servicios en su red.
Personalizada

• Active Directory de versiones anteriores de Windows • Proporciona una base para administración de identidad
Server integrada dentro de su red.
• Proporciona una ubicación central para toda la adminis-
tración de identidad.
Funciones
• El asistente para instalación de ADDS (que también puede invocarse empleando el comando DCPROMO.EXE) se ha
reconigurado para proporcionar mejores opciones durante la instalación. Por ejemplo, los administradores pueden
seleccionar las opciones que necesitan durante la instalación, identiicar los sitios a los que pertenece el servidor,
determinar los niveles funcionales de bosque y dominio y crear delegaciones de DNS directamente en el asistente
durante la instalación. Además, el asistente permite una instalación completamente desatendida para dar soporte
al nuevo Server Core, que no proporciona ninguna interfaz gráica.
• Sitios y servicios de Active Directory incluye nuevas características que permiten que los administradores encuen-
tren más fácilmente los controladores de dominio, además de trabajar DC de sólo lectura e identiicar su directiva
de contraseñas, además de ver cuáles contraseñas se han enviado a RODC y cuáles están almacenadas en ellos.
(continúa)
Característica Servicios de dominio de Active Directory (continuación)

• ADDS también puede reiniciarse. Esto signiica que puede apagar el servicio ADDS en un controlador de dominio
(DC, Domain Controller) para realizar operaciones fuera de línea, como desfragmentación y compresión de base
de datos, sin tener que apagar y reiniciar el DC. Los servicios de ADDS no están disponibles desde este servidor
durante la operación; ésta es otra razón para tener más de un controlador de dominio en todo momento.
• El modo de restauración de servicios de directorio no ha cambiado en WS08. Esto signiica que para restaurar
objetos para la base de datos NTDS.DIT, aún debe reiniciar el controlador de dominio a su modo protegido fuera de
línea.
• Es posible establecer una nueva directiva de auditoría para capturar todos los cambios de valor en el directorio.
Esto permite a los administradores rastrear los cambios hechos al directorio en todo momento, lo que facilita la
posibilidad de revertir esos cambios.
• Las directivas de contraseñas más inas le permiten establecer diferentes directivas de contraseña y bloqueo de
cuentas para diferentes grupos de usuarios en un dominio.
• Un nuevo Snapshot Viewer le permite ver objetos que se han eliminado previamente del directorio. Funciona de
manera muy parecida al cliente de Versiones anteriores con los recursos compartidos de archivos. Una vez que ha
identiicado a partir de cuál instantánea restaurar, puede realizar la conexión en su Active Directory.
Característica Servicios de Certificate Server de Active Directory

Descripción: Servicios de Certiicate Server de Active Directory (ADCS, Active Directory Certiicate Server) proporcio-
na un medio para crear y administrar certiicados PKI para usuarios, equipos y servicios dentro de su
organización.
Característica: Nueva Mejora Actualización ✓ Reemplazo
Personalizada

• Servicios de PKI a partir de versiones anteriores de • Proporciona una base para administración integrada de
Windows Server certiicados dentro de su red.
Funciones
• Un nuevo complemento de consola Enterprise PKI o PKIView, ahora le permite ver el estatus de salud de todas las
autoridades de certiicación (CA, Certiicate Authorities) dentro de su red. También soporta Unicode, permitiéndole
ver el estatus de certiicados en cualquier idioma compatible con Windows.
• Permite el protocolo simple de inscripción de certiicado de Microsoft (MSCEP, Microsoft Simple Certiicate Enro-
llment Protocol), que permite que dispositivos de red como enrutadores y conmutadores se inscriban en el CA y
obtengan certiicados propios. Esto extiende la cadena de conianza a esos dispositivos.
• Soporta el protocolo de estatus del certiicado en línea (OCSP, Online Certiicate Status Protocol), que, en algunos
casos, puede usarse para eliminar la necesidad de las listas de revocación de certiicados (CRL, Certiicate Revo-
cation Lists) y permite que WS08 distribuya y actualice automáticamente la información del estatus de revocación
de certiicados. OCSP proporciona información sólo acerca del único certiicado a mano, en oposición a tener que
descargar y leer un CRL completo. Esto agiliza el proceso de validación.
Característica Active Directory Rights Management Services

Descripción: Active Directory Rights Management Services (ADRMS) proporciona protección de información para
ayudar a asegurar que la información electrónica está protegida de usuarios no autorizados.
PARTE I
Personalizada

• Windows Rights Management Server • Protege todos los datos de la organización de ser modii-
cados y su uso ilegal.
Funciones
• Protege la información electrónica dentro y fuera de la irewall.
• Protege la información en línea y fuera de línea.
• Cumple con los estándares de procesamiento de la información federal (FIPS, Federal Information Processing
Standards).
• Soporta autentiicación de dos factores.
• Interfaz simple; implementación y coniguración fácil para protección persistente.
Característica Windows Defender

Descripción: La herramienta antispyware insignia de Microsoft, Windows Defender, proporciona protección de
spyware y otros códigos maliciosos.
Personalizada

• Ninguna • Ayuda a proteger a los servidores de la instalación de
código indeseable o malicioso mediante protección en
tiempo real y deiniciones actualizadas de archivos.
Funciones
• Proporciona protección en tiempo real de código indeseable o malicioso.
• Tiene soporte mediante archivos de deinición que se actualizan de manera regular y del Microsoft Anti-spyware
Research Center.
• Puede ayudar a eliminar y reportar código que se sospecha que es malicioso o indeseable.
Característica Protección de acceso a redes

Descripción: Proporciona un marco conceptual que permite a los administradores establecer requisitos saludables
para nuevas conexiones a la red y para evitar que los equipos que no cumplen con estos requisitos se
comuniquen con la red.
Personalizada

• Servidor de directivas de red que reemplazó al Inter- • Ayuda a fortalecer la seguridad de la red al conirmar que
net Authentication Service (IAS) todos los clientes que se conectan a ella cumplen con
las directivas que se establecen.
• Ayudará a los sistemas cliente en el proceso de actuali-
zación durante una cuarentena.
Funciones
• Conirma la salud de un sistema antes de permitirle conectarse a los recursos de red. Si los sistemas se conside-
ran no saludables, se colocan en cuarentena y le dan la oportunidad de cumplir con los componentes faltantes en
la instalación. Una vez que se ha alcanzado un estado saludable, se saca a los sistemas de la cuarentena y se les
permite el acceso a los recursos.
• Revisa la salud y el estado de roaming de las laptops y asegura la salud de equipos de escritorio internos.
• Pueden ayudar a determinar la salud de las laptops visitantes antes de que se conecten a recursos de red.
• También pueden veriicar la salud y el cumplimiento con directivas de los equipos caseros no administrados.
• Depende del servidor de directivas de red (NPS, Network Policy Server) para monitorear las directivas de salud para
todos los clientes, incluidos Vista, XP SP2 y Windows Server 2008.
Característica Arquitectura de autentificación de inicio de sesión insertable

Descripción: Windows Server 2008 y Windows Vista dependen de los proveedores de servicios de seguridad de cre-
denciales (CredSSP, Credencial Security Service Providers) para pasar datos de autentiicación de inicio
de sesión del cliente al servidor.
Personalizada

• Interfaz gráica para autentiicación en red (GINA) • Simpliica el uso de tecnologías de inicio de sesión
múltiple, como los métodos de autentiicación de
dos factores, en sistema Windows
(continúa)
Característica Arquitectura de autentificación de inicio de sesión insertable (continuación)

Funciones
• Proporciona un mecanismo más simple de integración de tecnologías de inicio de sesión múltiple, como tarjetas
PARTE I
inteligentes o autentiicación mediante huella digital, al modelo de Windows.
• CredSSP se usó anteriormente con Terminal Services y servicios Web para proporcionar single sign-on (Single Sign-
On); ahora se ha integrado por completo con Windows.
• Proporciona un modelo más simple para almacenamiento de identidades múltiples, como nombre de usuario y
contraseñas para diferentes aplicaciones.
• Facilita a terceros la integración con tecnologías de inicio de sesión adicionales con Windows, porque está basado
en el entorno .NET Framework.
Característica Controladores de dominio de sólo lectura (RODC)

Descripción: Un nuevo tipo de controlador que permite que las organizaciones implementen un controlador de
dominio en lugares donde no se puede garantizar la seguridad física. RODC alberga una réplica de sólo
lectura de la base de datos ADDS para un dominio determinado.
✓ Personalizada

• Controlador de dominio de copia de seguridad en • Ayuda a proteger datos críticos en servidores que no
Windows NT puede asegurar físicamente.
Funciones
• Mantiene una copia de sólo lectura de la base de datos de Active Directory mediante réplica unidireccional.
• Usa automáticamente caché universal de membresía de grupo (UGMC, Universal Group Membership Caching) para
reemplazar la necesidad de los servidores de caché global.
• Depende de un emulador de controlador de dominio principal (PDC, Primary Domain Controller) ejecutándose en
Windows Server 2008 para funcionar.
• Debe ejecutarse en un bosque que se ejecuta en un modo funcional de bosque de WS03 o posterior.
• Depende del servicio DNS de RODC empleando nuevas PROZ.
• Se puede otorgar delegación administrativa a RODC sin recibir derechos de acceso a cualquier otro controlador de
dominio en el bosque. Esto les permite iniciar sesión localmente y realizar sin riesgo tareas de mantenimiento.
Característica Protocolo de entunelamiento de conexiones seguras (SSTP)

Descripción: Un protocolo de entunelamiento de acceso remoto que se usa para crear vínculos VPN que dependen
de SSL en lugar de IPSec. Las VPN de SSL pasan a través del puerto 443.
(continúa)
Característica Protocolo de entunelamiento de conexiones seguras (SSTP) (continuación)
Personalizada

• Ninguna • Crea túneles VPN más simples porque dependen de
SSL en lugar de IPSec.
Funciones
• Crea un vínculo que usa el puerto 443, que la mayor parte de las irewalls mantienen abierto.
• No requiere ninguna coniguración personalizada para pasar a través de vínculos NAT, proxies Web o disposición
transversal de irewall.
• Más simple de conigurar y mantener que cualquier otro vínculo VPN.
• Modelo VPN poderoso que pueden usar los negocios de todos los tamaños.
SUGERENCIA Para conocer más información acerca de VPN de SSL, lea los papeles blancos titula-
dos “The Case for SSL Virtual Private Networks” en http://redmondmag.com/techlibrary/
resources.asp?id=170.
Subsistema de discos y archivos

La categoría final de nuevas características se concentran en el subsistema de disco y archivo,
porque éste es un componente crítico de Windows Server. Como todas las operaciones requie-
ren algún acceso a recursos de disco, este componente es uno de los más importantes en todo el
sistema operativo. Algunas características especiales de este nivel incluyen:
• Espacio de nombres y replicación DFS El sistema distribuido de archivos (DFS, Distribu-
ted File System) mejoró ampliamente con la versión R2 de WS03, especialmente en cuanto a
replicación.
• Sistema de archivos de registro comunes Asegura que todos los archivos de registro son
compatibles entre sí, dejándole recolectar y administrarlos en una interfaz.
• Cuotas de servidor de archivos Se asignan en el nivel de intercambio de archivos en lugar
del nivel completo del volumen de disco, como en versiones anteriores de Windows Server.
• Administrador de almacenamiento para SAN Interfaz y controlador común para acceder
a SAN de cualquier fabricante.
• Windows ReadyDrive Una tecnología que depende de nuevos discos híbridos (discos que
incluyen RAM) para acelerar el acceso a recursos de disco.
• Cifrado de unidad BitLocker Un nuevo mecanismo de cifrado que puede cifrar toda la
unidad de disco, no sólo los archivos de usuario.
• Desfragmentación automática de disco Un sistema que asegura que todos los componen-
tes de archivo están localizadas en los mismos sectores de la unidad de disco duro para acceso
más rápido.
• NTFS de sanado automático Un sistema de archivos transaccionales que escribe todas las
transacciones para registro antes de realizarlos en el propio sistema de archivos.
• Vinculación simbólica Herramienta que permite usar un objeto de sistema de archivos
para señalar a otro.
Cada uno de ellos hace que el Windows Server 2008 sea más limpio y rápido.
Característica Espacio de nombres y replicación DFS

Descripción: El sistema distribuido de archivos (DFS, Distributed File System) es un sistema para administración de
recursos compartidos de archivos a través de una red y facilita a los usuarios el acceso a estos recur-
PARTE I
sos. DFS suele ser un reemplazo del asignador de unidades de red.
Categoría: Subsistema de discos y archivos
Personalizada
Características reemplazadas Beneficios
• Versiones previas de DFS en Windows 2000 • Da a los usuarios acceso a los recursos compartidos
y Windows Server 2003 de archivo empleando prácticas comunes de asignación
• Servicio de replicación de archivos (FRS) de nombres, lo que elimina la necesidad de asignar
para DFS unidades de red.
• Cuando se vinculan con replicación, da a los usuarios
acceso a los mismos datos en diferentes ubicaciones a
través de WAN.
Funciones
• DFS está ahora dividido en dos componentes: espacio de nombres y replicación. Los espacios de nombres le
permiten designar un nombre virtual o alias para recursos compartidos de archivos en la red. Los recursos com-
partidos de archivos reales se vinculan luego con el nuevo espacio de nombres. La replicación le permite copiar el
contenido de un recurso compartido de archivos a otro al emplear un mecanismo de replicación en el nivel de byte
que sólo replica cambios a los archivos, no todos los archivos.
• Los espacios de nombres pueden crear árboles de carpetas virtuales que tienen más sentido para los usuarios
inales. Los recursos compartidos de archivos reales que están vinculados con este árbol de carpetas pueden
localizarse en cualquier servidor de la organización. El acceso a los recursos compartidos de archivos se realiza
mediante el árbol virtual y es completamente transparente para los usuarios. Los espacios de nombres pueden
usarse con o sin replicación. Los espacios de nombres de dominio se replican en ADDS para que estén disponi-
bles para los usuarios cada vez que se encuentren en la red.
• Replicación DFS (DFSR, DFS Replication) no sólo soporta DFS, sino que también puede replicar los archivos de
cualquier servidor en cualquier otro servidor de la organización. Depende del algoritmo de compresión diferencial
remota (RDC, Remote Differential Compression), que sólo replica los cambios hechos a los archivos y no todos los
archivos (después de que el origen y el destino se han sincronizado por lo menos una vez). Los cambios se moni-
torean en el nivel de bytes, y mediante el estrangulamiento del ancho de banda y calendarización de replicación, lo
que hace más eiciente el uso de vínculos WAN. DFSR también soporta un modelo multimaestro, de modo que los
cambios pueden originarse a partir de cualquier sistema en el espacio de nombres. Los algoritmos de detección de
colisiones redondean esto para asegurar que sólo se replican los cambios correctos.
Característica Sistema de archivos de registros comunes

Descripción: El Sistema de archivos de registros comunes (CLFS, Common Log File System) proporciona un sub-
sistema de archivos de registro de propósito general en Windows Server 2008 que está expuesto a
aplicaciones en modo de kernel y de usuario. Soporta consolidación e integración de registros desde
diferentes aplicaciones.
(continúa)
Característica Sistema de archivos de registros comunes (continuación)
Personalizada
Aplica a: ✓ Organizaciones Pequeñas ✓ Medianas ✓ Grandes
• Sistemas de archivos de registro anteriores • Proporciona una sola manera integrada para registrar su-
cesos en Windows y ainar la administración de sucesos.
Funciones
• CLFS proporciona un conjunto de interfaces de programación de aplicaciones (API, Application Programming Inter-
faces) que permite que los desarrolladores registren información acerca de sus aplicaciones sin tener que escribir
grandes cantidades de código personalizado.
• Soporta aplicaciones o middleware que dependen de datos secuenciales de escritura o lectura. Las aplicaciones
de esta categoría incluyen agentes de replicación, agentes de auditoría, bases de datos y administradores de re-
cursos transaccionales. Nuevas aplicaciones como DFSR dependen de este subsistema para escribir los sucesos
relacionados con su operación.
• La dependencia de CLFS permite que WS08 registre información acerca de una gran cantidad de sucesos que no
se monitoreaban en ediciones anteriores de Windows Server.
Característica Cuotas del servidor de archivos

Descripción: Permite que los administradores controlen el uso del espacio en los recursos compartidos de archivos,
para mantener a los usuarios dentro de los límites y preservar el espacio en disco.
Instalación: Como opción Complemento a través del Administrador del servidor ✓ Personalizada

• Cuotas de volumen • Las cuotas del servidor de archivos se asignan en el nivel
de la carpeta, dando a los administradores mejor control
sobre el uso de los recursos compartidos de archivos.
Funciones
• Ahora las cuotas pueden asignarse en el nivel del volumen, como en versiones anteriores de Windows Server, o
en el nivel de carpetas, dando a los administradores un control más ino. Pueden crearse plantillas y asignarse
automáticamente a la creación de cualquier nuevo recurso compartido de archivos.
Característica Administración de almacenamiento para SAN

Descripción: Administración de almacenamiento para SAN es una nueva consola que permite a los administradores
crear y administrar números de unidad lógica (LUN, Logical Unit Numbers) en subsistemas de canal
de ibra y de unidad de disco de interfaz de sistemas pequeños de equipos de Internet (iSCSI, Internet
Small Computer Systems Interface) en una red de área de almacenamiento (SAN, Storage Area Net-
work).
(continúa)
Característica Administración de almacenamiento para SAN (continuación)
PARTE I
✓ Personalizada

• Ninguna • Proporciona una sola vista de estructuras SAN desde el
interior de Windows.
• Facilita la administración de LUN de SAN.
Funciones
• Pueden usarse en cualquier SAN que soporte servidor de disco virtual (VDS, Virtual Disk Server).
• Puede usarse para crear y asignar LUN, modiicar o cambiar conexiones entre LUN y los servidores anexados a una
SAN, o establecer propiedades de seguridad para subsistemas de almacenamiento iSCSI.
• Elimina la necesidad de administradores de disco de propietario.
Característica Windows ReadyDrive

Descripción: Característica que aprovecha los discos duros híbridos que incluyen memoria Flash no volátil, además
de la unidad de disco real.
✓ Personalizada

• Ninguna • Los sistemas equipados con los discos duros híbridos
apropiados tendrán un rendimiento mucho más rápido
que los sistemas tradicionales.
Funciones
• Depende de la memoria lash para arrancar más rápido, regresar de la hibernación en menos tiempo, preservar la
batería y mejorar la coniabilidad de sus discos.
• Aunque los discos híbridos están orientados principalmente a equipos móviles para ayudar a preservar la energía
de la batería, también pueden trabajar con Windows Server 2008.
Característica Cifrado de unidad BitLocker

Descripción: Proporciona protección al cifrar todo el disco duro.
(continúa)
Característica Cifrado de unidad BitLocker (continuación)
✓ Personalizada

• Ninguna • Protege sistemas del servidor al cifrar toda la unidad de
disco duro, asegurando los datos ante pérdidas o robo.
Funciones
• BitLocker cifra todo el volumen del sistema de Windows y lo protege de esquemas como NTFS para DOS, que le
permite a los usuarios pasar las características de seguridad de la unidad de disco duro.
• Es posible que BitLocker dependa del Módulo de protección de conianza (TPM, Trusted Protection Module) versión
1.2 (un chip de almacenamiento de clave de cifrado de hardware) o de un disco lash USB externo para almacenar
las claves cifradas. La dependencia de los chips TPM mejorará en gran medida la seguridad, porque están integra-
dos en el sistema y ya no funcionarán si se modiican.
• BitLocker es un compañero ideal para la función RODC, porque suele usarse en áreas donde los servidores no
pueden protegerse físicamente.
Característica Desfragmentación automática de disco

Descripción: Windows Server 2008 incluye desfragmentación automática de disco integrada que está habilitada,
como opción predeterminada, en la instalación.
Personalizada

• Herramienta de desfragmentación más antigua • Mantiene los discos duros en su rendimiento óptimo al
asegurar que todos los archivos están almacenados en
zonas contiguas del disco.
Funciones
• Desfragmenta automáticamente unidades y volúmenes después de que se completa la instalación inicial. El pro-
grama se establece una vez por semana, como opción predeterminada, pero puede modiicarse.
• La desfragmentación ocurre en el fondo y no afecta al rendimiento del sistema, porque se le da un código de baja
prioridad, que detiene la operación cuando otras tareas de alta prioridad están en ejecución.
Característica NTFS de sanado automático y transaccional

Descripción: Un sistema de formateo de discos que asegura que los diccionarios se mantienen en el nivel óptimo
cuando está en uso.
PARTE I
Personalizada

• Versiones anteriores de NTFS • Asegura que los datos se completen apropiadamente
en discos, mientras están en uso, y ayuda a proteger la
recuperación de datos de unidades de disco duro.
Funciones
• El paso a un sistema de archivos para transacción asegura que las transacciones se completen apropiadamente en
el disco duro. Esto es valioso para las que afectan el registro de Windows, protegiéndolo de la corrupción. En el caso
de que se corte repentinamente la energía eléctrica antes de que se terminen las transacciones, se completarán al
arranque para asegurar que la unidad de disco duro o el volumen hayan integrado los cambios más recientes.
• Los sistemas de archivos para transacciones también son útiles para escribir varias veces en el mismo volumen,
actualizar varios archivos en diferentes volúmenes o actualizar archivos en volúmenes remotos.
• NTFS de sanado automático funciona junto con el sistema de archivos transaccional para proteger datos que están
almacenados en discos duros o volúmenes. Cuando se descubren problemas, NTFS inicia reparaciones automáti-
cas del daño sin tener que ejecutar la utilería CHKDSK.EXE.
Característica Vinculación simbólica

Descripción: Usada para señalar de una ubicación a otra en el sistema de archivos.
Personalizada
Aplica a: ✓ Organizaciones Pequeñas ✓ Medianas ✓ Grandes

• Ninguna • Le permite un mejor uso de los recursos del sistema de
archivos.
Funciones
• Puede compartir datos de manera transparente entre volúmenes sin reformateos complejos ni extensiones de
disco.
• Trabaja con recursos de red locales y compartidos.
• Proporciona una manera adicional, además de variables para señalar de una ubicación a otra en el sistema de
archivos.
• Los vínculos pueden ser permanentes o volátiles.
SUGERENCIA Puede obtener una copia actualizada de todas las nuevas características en línea en
www.reso-net.com/livre.asp?p=manin&b=WS08. Se requiere un registro de una vez, pero ya
realizado, puede modiicar el texto y conigurarlo como parte de su propia documentación
de migración.
El paso siguiente
El paso siguiente consiste en reunir todas estas nuevas características, juntarlas en una lista que
tenga sentido para usted y su organización, y prepararse para la migración. Hay un capítulo
más en esta parte del libro. En el capítulo 2 se le presenta un recorrido por la nueva interfaz de
Windows Server 2008 y se le muestra cómo se harán las cosas a partir de ahora. Después de eso,
estará listo para pasar a la preparación de la propia migración. Le guiaremos a través de este
proceso para hacer lo más simple posible la actualización o migración y ayudarle a obtener lo
máximo de este poderoso sistema operativo.
CAPÍTULO
2
Interactúe con Windows Server 2008
S
i le cree a Microsoft, el lanzamiento de Windows Vista y, de manera correspondiente, Win-
dows Server 2008 (WS08), ha dado lugar a una nueva era en la productividad de usuario.
Todos lo hemos oído antes y sabemos que cada vez que se lanza un nuevo sistema operativo,
en especial cuando se acopla con una nueva versión de una suite de productividad como Vista con
Microsoft Office 2007, obtenemos estas promesas y, vamos, casi nadie ha visto este incremento
de productividad. Bueno, Vista ha estado usándose durante un tiempo, y ahora sabe, al igual que
nosotros, que sí mejora nuestra productividad de usuario.
Eso se debe a que, en la década pasada, hemos sido muy buenos para producir informa-
ción (en realidad, toneladas de información) y almacenarla en un formato digital. ¿A dónde nos
lleva esto? A la imposibilidad de encontrar algo. El hecho de que la interfaz básica de usuario en
Vista y WS08 tenga búsqueda integrada ha mejorado de manera importante la productividad de
los usuarios finales. De acuerdo con algunos analistas de la industria, los usuarios han podido
ahorrar de tres a nueve horas a la semana de trabajo debido a esta característica. Esto es una
mejora. También ha mejorado a los administradores, porque la búsqueda también funciona para
las herramientas de tecnología de la información.
Y debido a esta característica, los profesionales de la tecnología de la información ya no tene-
mos que preocuparnos acerca de la instalación o la implementación de herramientas de búsqueda
de terceros (herramientas que tal vez no respeten los descriptores de seguridad que aplicamos a
datos dentro de nuestras redes). Con Vista, la búsqueda es la manera en que accedemos a toda la
información. El menú Inicio presenta una herramienta de búsqueda y proporciona búsqueda cons-
tante, el Explorador tiene una herramienta de búsqueda integrada, Internet Explorer (IE) incluye
una herramienta de búsqueda (la búsqueda está en todos lados). La búsqueda de Vista indiza todo
a lo que tiene acceso: carpetas personales, herramientas del sistema, carpetas compartidas hereda-
das, unidades extraíbles, espacios de colaboración, etcétera (todo determinado por la capacidad de
la PC para indizar contenido). Ahora que Windows Server 2008 está disponible, puede integrar la
búsqueda de escritorio con índices basados en servidor y quitar una carga a la PC local. Esto debe
aumentar aún más el poder de Vista y agregar mejoras a la productividad de usuario.
SUGERENCIA Para conocer detalles completos sobre lo que indiza el cliente de Vista, visite
www.realtime-vista.com/administration/2006/12/vista_indexing_options.htm.
53
La búsqueda es sólo un elemento de Vista que se ha incluido en WS08. Hay varios más. La
interfaz de usuario de WS08 está completamente basada en la de Vista, de modo que si ha tra-
bajado con Vista, ya está familiarizado con ella; pero si no, tendrá que aprender algunos nuevos
trucos. Éste es el objetivo principal de este capítulo; llevarlo a acelerar los cambios a la interfaz
que encontrará en WS08. Por eso en este capítulo se cubre:
• La propia interfaz de usuario
• La interfaz de Tareas de configuración inicial (ICT, Inicial Configuration Tasks)
• Administrador de servidor
• Modificaciones al escritorio remoto
• El indicador de comandos
• Windows PowerShell
• Ayuda y soporte técnico
Cada una de éstas afectará la manera en que trabaja con WS08 y Vista. Para facilitarle la loca-
lización de nuevos comandos y nuevas maneras de hacer las cosas, el capítulo concluye con una
tabla que esquematiza los comandos de versiones más antiguas de Windows en comparación
con los comandos correspondientes en WS08.
La interfaz de usuario
Como opción predeterminada, WS08 presenta la interfaz de usuario tradicional a la manera de
Windows 2000. Si se siente cómodo trabajando con una interfaz que tiene más de siete años
de antigüedad, adelante; eso habla de la capacidad del personal de tecnología de la informa-
ción para tratar con el cambio. Personalmente, pensamos que debe transformar esta interfaz en
Cristal Aero de Vista. Seguro, tal vez sus servidores no tengan las tarjetas gráficas requeridas para
ejecutar las imágenes de Aero, pero por lo menos tendrá una interfaz que es similar a la que tiene
trabajando en su escritorio.
Si quiere usar esta interfaz, necesita habilitar el servicio Temas, que está deshabilitado como
opción predeterminada. He aquí cómo hacerlo:
1. Lance el Administrador del servidor, si aún no se ha lanzado, o, si está más familiarizado con
Administración de equipos, láncela en cambio.
2. En el Administrador del servidor, use la página de inicio del servidor local para hacer clic en
Agregar características, en el panel de detalles.
3. En el Asistente para agregar características, marque la característica Experiencia de uso.
4. Agregue la Experiencia de uso, y reinicie el servidor para finalizar el proceso de instalación.
5. Luego haga clic en Cerrar, en el Asistente para reanudar la configuración, regrese al Administra-
dor del servidor, expanda Configuración en el panel de árbol y haga clic en Servicios.
6. Encuentre el servicio Temas en la lista del panel de detalles. Este servicio está deshabilitado
como opción predeterminada, porque usa recursos del sistema.
7. En el grupo de propiedades de arranque del servicio, elija Automático, haga clic en Aplicar e
inicie el servicio. Haga clic en Aceptar para cerrar el cuadro de diálogo de propiedades.
8. A continuación, minimice la consola, haga clic con el botón derecho en el escritorio y elija
Personalizar.
9. En la ventana Personalizar, seleccione Tema.
10. En la lista desplegable Tema, seleccione Windows Vista y haga clic en Aceptar.
Capítulo 2: Interactúe con Windows Server 2008 55
Ya está aquí. Ahora tiene el tema Vista en su servidor. Para asegurarse de que todos los usuarios ten-
gan acceso a este tema, debe actualizar el usuario predeterminado en la imagen del servidor antes de
implementarlo. Esto se analizará en capítulos posteriores. Por ahora, ¿no es esto más agradable?
PARTE I
Ahora que está trabajando con la interfaz de Vista, veamos lo que ha cambiado.
El escritorio
El escritorio mismo permanece, en su mayor parte, sin cambio. Presenta un nuevo botón Iniciar y
un nuevo menú Iniciar. El área de Inicio rápido es tan útil como lo ha sido siempre. Más aún, por
fin Microsoft añadió “Agregar a Inicio rápido” al menú contextual de cualquier método abreviado.
Esto facilita mucho el uso del área Inicio rápido. Ahora bien, no hay razón para llenar el escritorio.
Esto también es bueno, porque ahora necesitará mayor espacio disponible en su escritorio
para incluir elementos como gadgets, las nuevas pequeñas utilerías de Microsoft incluidas en la
Sidebar de Vista. Las gadgets pueden incluir una serie completa de elementos, uno de los cuales
es agradable para los administradores, porque informa el tiempo que el servidor ha permanecido
activo. Hay muchas gadgets disponibles. La Sidebar le resultará muy útil, también, cuando la
llene de manera correcta.
SUGERENCIA Hay varios gadgets disponibles para administración. Para tener una buena lista de
gadgets, vaya a la galería de Windows Live, en http://gallery.live.com.
También querrá trabajar extensamente con el menú Iniciar. Principalmente, encontrará que
con la Sidebar poblada adecuadamente, con el área Inicio rápido y la capacidad de buscar direc-
tamente desde el menú Iniciar, realmente no necesitará nada más en el escritorio para acceder a
sus herramientas favoritas de administración. Tome en cuenta que, en cuanto al contenido, hay
pocas diferencias entre el menú Iniciar en el tema Vista o en Windows 2000 (Clásico). Sólo que
tiene un aspecto mucho mejor en el modo Vista (vea la figura 2-1).
Menú Iniciar clásico Menú Iniciar del tema Vista
FIGURA 2-1 El menú Iniciar en los temas clásico y de Vista.

El explorador de Windows
El Explorador de Windows también ha merecido una gran cantidad de cirugía plástica. La bús-
queda es una parte tan integral del sistema de Windows hoy en día que el Explorador de Win-
dows ahora presume nuevas carpetas de búsqueda (carpetas que son representaciones virtuales
de datos basados en criterios de búsqueda). No es WinFS (el sistema de archivos insignia de
Microsoft que habrá de reemplazar a NTFS), pero funciona y lo hace muy bien. ¿Necesita llevar
seguimiento de un proyecto especial? Todo lo que tiene que hacer es crear una carpeta virtual o
de búsqueda basada en la selección de palabras clave, y siempre tendrá acceso a los datos, mien-
tras cuente con los permisos apropiados y esté conectado a ella.
La creación de carpetas virtuales es realmente simple. Sólo realice la búsqueda, haga clic en
Guardar búsqueda y asigne a la carpeta un nombre que signifique algo. Las búsquedas guarda-
das son dinámicas, de modo que en el momento en que se agregue nuevo contenido, esté en una
red indizada, una unidad de disco local, o aún extraíble, automáticamente se vinculará con su
carpeta virtual o de búsqueda. En la figura 2-2 se muestra cómo funcionan las carpetas guarda-
das. También se muestra la nueva ventana del Explorador de Windows. Observe que esta ventana
incluye una barra de acceso con huellas de seguimiento. Estas huellas de seguimiento son el
corazón de la navegación en WS08. Úselas con frecuencia, y verá lo útiles que pueden ser.
Además de tener acceso al contenido indizado, cuenta con control completo sobre la manera
en que ve y organiza los datos en el Explorador de Windows. Los nuevos botones ordenan la in-
formación de maneras novedosas, nuevas vistas muestran previsualizaciones amplias del conteni-
do del documento y nuevos filtros le permiten estructurar la información de la manera en que lo
desee. Mejor aún, puede restaurar una versión anterior de cualquier documento, siempre y cuando
haya existido antes de que se haya tomado la última copia de seguridad (es correcto, las copias de
seguridad están disponibles en todo lugar, como opción predeterminada, aun la PC). Con Windo-
ws Server 2008 y Vista, no hay razón para que alguien pueda volver a perder un documento.
Páginas Barra de direcciones Herramienta

recientes de seguimiento de búsqueda
Barra de acción
reemplaza al
menú Archivo Barra de
orden
Vínculos favoritos
muestra Documentos
carpetas útiles XPS
PowerPoint
2003
Carpetas
mostradas en Documento
el árbol de de Word
navegación
Carpeta de
búsqueda
(carpeta virtual)
Panel de
Carpeta
navegación
comprimida
Detalles de
selección
Barra de estado
FIGURA 2-2 El Explorador de Windows le permite guardar búsquedas en carpetas virtuales.

Windows Server 2008 también incluye muchas características nuevas que estuvieron origi-
nalmente diseñadas para acelerar Windows Vista. Entre éstas se incluyen:
• SuperFetch aprende de sus hábitos de trabajo y precarga en memoria sus aplicaciones más
PARTE I
comunes antes de que las llame. Cuando en realidad las llama, se lanzan desde la memoria de
acceso directo (RAM, Random Acces Memory) y no del disco duro.
• ReadyBoost depende de la memoria Flash para extender el alcance de la RAM normal y
reducir los tiempos de acceso a disco duro. Varios fabricantes han lanzado unidades especiales
(USB y Flash) para atender esta nueva necesidad. Lo ideal sería que se usara una unidad ex-
terna que tiene hasta cuatro veces la cantidad de memoria disponible en la RAM del sistema.
Imagine que necesita añadir RAM a un servidor: sólo colocaría una unidad flash y seguiría
trabajando. Lo ideal sería que ésta fuera una solución temporal, pero aún es válida. Tenga
en cuenta que si sus servidores lo soportan, WS08 permite adiciones de memoria activa, o la
capacidad de agregar RAM mientras el servidor está en ejecución.
Con la excepción de ReadyBoost, casi todas las mejoras de rendimiento son completamente
transparentes. Otras mejoras en velocidad incluyen la afinación automática del rendimiento y
los diagnósticos que detectarán y tratarán de corregir de manera automática cualquier problema
relacionado con el rendimiento. Como Vista, WS08 ofrece varias mejoras en velocidad. Nuestro
consejo: ejecute Windows Server 2008 en un sistema de 64 bytes siempre que pueda, sobre todo
en un sistema de varios procesadores. Los servidores adquieren una tonelada de capacidad cuan-
do se ejecutan en hardware de 64 bytes.
Control de cuentas de usuario

Si ya ha trabajado con Vista, estará familiarizado con el Control de cuentas de usuario. Con éste,
Windows Server 2008 permite que los administradores ejecuten casi todos los procesos en el
contexto de un usuario estándar y sólo se eleven los privilegios bajo consentimiento. Esto signifi-
ca que si tiene un usuario estándar o una cuenta de administrador, sus acciones estarán protegi-
das, porque no tendrá autorizada ninguna tarea administrativa.
NUESTRO CONSEJO Siga usando una cuenta estándar de usuario para el trabajo cotidiano, y luego
use el comando Ejecutar como administrador para realizar tareas administrativas. La principal
diferencia entre una cuenta estándar de usuario y una de administrador en el Control de cuentas
de usuario es que con la de usuario estándar, también necesita el nombre de usuario y la contra-
seña para otorgar permiso para realizar una acción. Al principio podría parecerle molesto, pero se
acostumbrará a ella rápidamente.
PRECAUCIÓN Debido al Control de cuentas de usuario, WS08 y Vista ya no permiten comandos

tipo “ejecutar como” de línea de comandos. En XP y WS03 podíamos crear accesos directos para
ejecución que llamarían a un archivo de comando y que pasarían las credenciales apropiadas
a éste. Sin embargo, como el Control de cuentas de usuario restringe todas las solicitudes de
elevación, verá que no funcionará cualquier método abreviado para ejecución de este tipo. Esto se
debe a que la forma de línea de comandos de la ejecución no incluye un interruptor para elevación.
Tendrá que usar la versión gráica de Ejecutar como administrador a partir de ahora.
FIGURA 2-3 Uso de una aplicación que requiere elevación de Control de cuentas de usuario.
Es imposible pasar por alto los indicadores de Control de cuentas de usuario, porque todo el
escritorio se atenúa cuando se activa Control de cuentas de usuario y sólo se despliega claramen-
te el cuadro de diálogo Control de cuentas de usuario (vea la figura 2-3). El Control de cuentas
de usuario requerirá una adaptación importante, porque es una manera completamente nueva de
trabajo para un usuario estándar.
Además del Control de cuentas de usuario, Windows Server 2008 soporta el cambio rápido
de usuario, aun en un dominio. Si quiere o necesita un equipo que ya está en uso, no es nece-
sario que el usuario actual cierre sesión (sólo cambie de usuario, realice sus tareas y luego cierre
la sesión). La sesión existente de usuario aún estará viva y tal vez el usuario ni siquiera sepa que
alguien más usó el servidor.
Internet Explorer 7
WS08 también incluye Internet Explorer (IE) versión 7, que tiene varias mejoras en cuanto a faci-
lidad de uso (exploración mediante pestañas, integración de fuentes de noticias RSS e impresión
mejorada de páginas Web). Pero sus principales mejoras están en la exploración Web segura.
También debe estar familiarizado con las características de IE7:
• Identificación de sitios Web de suplantación de identidad y herramientas de informe.
• Una manera más clara de determinar si está conectado a un sitio Web usando la capa de
conexiones seguras (SSL, Secure Sockets Layer) o la seguridad de capa de transporte (TLS,
Transport Layer Security).
• Complementos opcionales ActiveX, que le permiten determinar cuáles controles de ActiveX
son de uso seguro.
• Eliminación con un solo clic de todo el historial de navegación.
• Protección automática ante el robo de nombre de dominio.

• Control de procesamiento de localizador uniforme de recursos (URL, Uniform Resource Locu-
tor), para evitar explotaciones de análisis sintáctico de URL.
PARTE I
• Modo protegido, que lo aísla de otras aplicaciones que se ejecutan en el sistema operativo.
Como puede ver, si tiene experiencia con Vista, WS08 debe ser fácil de dominar. Si no, tendrá
que acostumbrarse a algunos cambios de la interfaz, pero no son grandes. Otros cambios tienen
más impacto. Son los cambios que examinamos a continuación.
Panel de control
Otro cambio importante en relación con Windows Server 2003 es la manera en que funciona el
Panel de control y cómo se usa para acceder a los cambios de configuración de un sistema. Ob-
servará que en cuanto abra el Panel de control, se abre la vista clásica, como opción predetermi-
nada. Para cambiar a la de Vista, haga clic en Vista principal del Panel de control, que se encuentra
en el panel de la izquierda.
Como opción predeterminada, Panel de control se divide en diez secciones:
• Sistema y rendimiento le permite controlar la manera en que funciona y se configura el
sistema.
• Seguridad le da acceso al Centro de seguridad parecido al de Vista.
• Red e Internet le da acceso al nuevo Centro de redes y recursos compartidos, un centro de
control de conectividad condensado.
• Hardware y sonido le permite controlar impresoras, ratón, dispositivos de sonido y cual-
quier nuevo dispositivo agregado a su sistema.
• Programas reemplaza la antigua función Agregar o quitar programas y le permite controlar
aplicaciones y programas de inicio en una ubicación.
• Cuentas de usuario controla las cuentas en servidores de miembro y otros detalles de
cuenta, como imágenes y contraseñas para cuentas de dominio.
• Apariencia de personalización le permite controlar el aspecto de su interfaz.
• Reloj, idioma y región controla la zona horaria y el idioma que usa en su interfaz de
servidor.
• Accesibilidad se usa para simplificar la manera de acceder al sistema.
• Opciones adicionales es una especie de paraguas que incluye todo lo demás. En casi todos
los casos, esta opción está vacía.
Los elementos que han cambiado más son el Centro de seguridad, el Centro de redes y
recursos compartidos (vea la figura 2-4) y Apariencia y personalización.
Tal vez también se encuentre con que es más difícil localizar elementos de uso regular, como
Propiedades del sistema, etcétera. Todo lo que tiene que hacer es recordar que el Panel de control
incluye una lista de tareas en el panel de la izquierda. Mantenga un ojo en esa lista, porque en-
contrará que varias de sus hojas de propiedades favoritas se localizan aquí.
Tareas de coniguración inicial

Si ha trabajado con Windows Vista, sabrá que después de una nueva instalación, Vista se abre con
el Centro de bienvenida (una interfaz que proporciona un solo punto de interacción para finali-
zar la configuración de la PC). En WS08, el Centro de bienvenida es reemplazado por la interfaz
Tareas de configuración inicial (vea la figura 2-5).
FIGURA 2-4 El Centro de redes y recursos compartidos proporciona acceso rápido a conectividad.
Información del equipo

r;POBIPSBSJB
r$POGJHVSBDJÓOEFSFE
r/PNCSFEFMFRVJQPZEPNJOJP
Actualización de este servidor

r$PNFOUBSJPTZBDUVBMJ[BDJPOFT
EF8JOEPXT
r%FTDBSHBFJOTUBMBDJÓOEF
BDUVBMJ[BDJPOFT
Personalización de este
servidor
r'VODJPOFT
r$BSBDUFSÎTUJDBT
r&TDSJUPSJPSFNPUP
r'JSFXBMMEF8JOEPXT
FIGURA 2-5 La interfaz Tareas de coniguración inicial.
Tareas de configuración inicial se usa para completar la configuración de una instalación

de servidor. Al igual que con la instalación de Vista, la WS08 ya no solicita información durante
el proceso de instalación. Una vez que ha ingresado la clave del ID de producto, el sistema se
instala con sus opciones predeterminadas, contraseña de administrador en banco que solicita un
cambio inmediato tras el primer inicio de sesión, dirección IP proporcionada por el propietario,
el protocolo dinámico de configuración de host (DHCP, Dynamic Host Configuration Protocol),

nombre predeterminado de equipo, etcétera. Tareas de configuración inicial está diseñado para
proporcionarle una sola interfaz para modificar todas y cada una de estas configuraciones.
PARTE I
Tareas de configuración inicial está dividido en tres partes:
• Proporcionar información del equipo incluye la configuración de zona horaria, configura-
ción de red y nombre del equipo y dominio o la pertenencia a un grupo de trabajo.
• Actualizar este servidor incluye configuración e instalación de actualización.
• Personalizar este servidor le permite agregar funciones y características, habilitar Escritorio
remoto, y configurar la firewall de Windows.
El uso de Tareas de configuración inicial es tan fácil como el 1-2-3. Sólo siga las indicaciones.
Cambie la dirección IP y luego el nombre del equipo, y una el servidor a un dominio cuando lo
necesite. Luego asegúrese de que las actualizaciones están asignadas al servidor de acuerdo con
su directiva corporativa y asegúrese de que está actualizada. Por último, puede agregar funcio-
nes y características, pero guardemos eso para un análisis posterior. Active el Escritorio remoto y
asegúrese de que la Firewall de Windows esté habilitada con, al menos, la configuración prede-
terminada. En capítulos posteriores se cubrirá más información acerca de la seguridad. Después
de todo, no puede poner en su lugar un servidor WS08 sin configurar por lo menos un conjunto de
configuraciones de seguridad de línea base.
Las funciones y características se analizan en la siguiente sección porque son más fáciles de
configurar y se agregan en el Administrador del servidor.
NOTA Puede conigurar todas las opciones de Tareas de coniguración inicial mediante los archivos
de lenguaje de marcado extensible (XML, eXtensible Markup Language) que se aplican durante
la instalación. Ésta puede ser una manera mucho mejor de conigurar esto, sobre todo si tiene que
preparar más de un servidor. El uso de un archivo Unattend.XML para crear una secuencia de
comandos de la instalación la automatiza y también asegura que ésta es la misma cada vez que la
ejecuta. En el capítulo 4 se cubrirá más información acerca de los archivos Unattend.XML, cuan-
do se cubran en detalle las instalaciones del servidor.
Administrador del servidor

Para la administración del servidor, Microsoft ha introducido una interfaz completamente nueva:
la consola Administrador del servidor. Ésta proporciona un solo origen para administrar las
funciones del servidor y la información del sistema, desplegar el estatus del servidor e identificar
los problemas de configuración de la función del servidor. Administrador del servidor reemplaza
muchas de las consolas comunes a las que tal vez los administradores estén acostumbrados. Por
ejemplo, muchos están familiarizados con la consola Administración de equipos; ésta es reem-
plazada con el Administrador del servidor (vea la figura 2-6).
El Administrador del servidor es una parte tan integral de WS08 que su acceso directo está
incluido en el área Inicio rápido, como opción predeterminada.
SUGERENCIA El Administrador del servidor tiene un equivalente de línea de comandos: ServerMana-

gerCmd.exe, que puede usarse para crear una secuencia de comandos de funciones y características
del servidor. Estas secuencias pueden combinarse con archivos Unattend.XML para construir un
Resumen del servidor

EFTDSJCFFMFRVJQPZTV
JOGPSNBDJÓOEFTFHVSJEBE
1FSNJUFRVFDBNCJFPWFB
r1SPQJFEBEFTEFMTJTUFNB
r$POFYJPOFTEFSFE
r&TDSJUPSJPSFNPUP
r*OGPSNBDJÓOEFTFHVSJEBE
Resumen de funciones le
permite administrar, agregar
o quitar funciones.
Resumen de características
le permite agregar/quitar
características.
Panel de
detalles Recursos y soporte técnico
r$BNCJBSFMFTUBUVTEFMDMJFOUF
r3FUSPBMJNFOUBDJÓOEFJOGPSNF
de errores del sistema
r'FFECBDL
r$PNVOJEBE5FDIDFOUFS
r$FOUSPEFEFTDBSHBT
FIGURA 2-6 La consola Administrador del servidor proporciona administración del servidor en un solo elemento.
servidor y asignar sus funciones y características automáticamente. Para conocer más información
acerca de este comando, escriba ServerManagerCmd /? en la línea de comandos.
Cuando se lanza el Administrador del servidor, se abre en la página del servidor local, la cual
presenta una lista de la configuración de este servidor en particular (nombre, dominio o grupo de
trabajo, dirección IP, configuración de Escritorio remoto e ID de producto). También proporciona
un resumen de seguridad, de manera muy parecida a la ventana Tareas de configuración inicial, y
luego pasa a presentar una lista de las funciones y características instaladas en el servidor. Puede
usar esta interfaz para agregar nuevas funciones, características, o ambas, a la configuración del
servidor. Por último, la parte inferior de la página del servidor local presenta una lista de recursos
adicionales e información de soporte.
Debido a que está basado en la Microsoft Management Console (MMC, Consola de admi-
nistración de Microsoft) versión 3, el Administrador del servidor se divide en varios paneles. El de
la izquierda es una estructura de árbol que le da acceso a las principales funciones de la consola.
Entre éstas se incluye la página del servidor local, funciones, características, diagnósticos, con-
figuración y almacenamiento. Cada una se expande para incluir más información. Puede tomar
algún tiempo acostumbrarse a ella, porque muchos de los elementos están organizados de una
manera diferente a la MMC. Necesita aprender que en el área Diagnósticos es donde encontrará
el Visor de eventos, el Administrador de recursos del sistema de Windows y las herramientas de
análisis Confiabilidad y rendimiento, además del Administrador de dispositivos. En el área Con-
figuración es donde encuentra el Programador de tareas, la Firewall de Windows con seguridad
avanzada (no se confunda con la Firewall de Windows que se encuentra en el Panel de control)
Servicios y el Control WMI (Windows Management Instrumentation, instrumentación de admi-
nistración de Windows), además de Usuarios y grupos locales (sólo para servidores). Por último,
el área Almacenamiento es donde se localiza la herramienta Copias de seguridad de Windows

Server (sí, incluidas todas las estupendas características de la herramienta de copia de seguridad
de Vista) y Administración de discos.
PARTE I
Se acostumbrará a ella después de un tiempo y ciertamente verá lo útil que es tener todo en
un solo lugar. Pero también encontrará que parte de la consola que usará con más frecuencia será
la sección Funciones.
Administre funciones y características

El Administrador del servidor es la herramienta preferida en WS08 para cualquier cambio de
configuración relacionado con el servidor. Las funciones o características ya no se agregan con
la interfaz Configurar su servidor. Ésta también se ha ido. Ahora todas las funciones del servidor
están centralizadas en el Administrador del servidor. Éste proporciona una interfaz mucho más
inteligente para agregar funciones y características. Recuerde que las funciones afectan lo que el
servidor hace en la red, mientras que las características afectan a los subcomponentes que están
instalados en un servidor. Por ejemplo, Servicios de dominio de Active Directory es una función
mientras que Cifrado de unidad BitLocker es una característica. Consulte el capítulo 1 para cono-
cer las diferentes funciones disponibles en la consola Administrador del servidor. En la tabla 2-1
se delinean todas las características diferentes que puede instalar en WS08.
Nombre de la característica Descripción y características secundarias

.NET Framework 3.0 Motor de programación para código administrado, incluido
.NET Framework 3.0
Visor de XPS
Activación WCF (Windows Communication Foundation, base de comunicación
de Windows)
Activación HTTP
Activación no HTTP
Cifrado de unidad BitLocker Cifrado completo de unidad; requiere por lo menos dos particiones
Extensiones de servidor BITS Servicio de transferencia inteligente en segundo plano (Background Intelligent
Transfer Service)
Kit de administración de Connection Genera periles Connection Manager
Manager
Experiencia de escritorio Habilita la capacidad de usar el tema Vista, además de administración de foto-
grafías y Windows Media Player
Clúster de conmutación por error Servicios de alta disponibilidad: de dos a ocho clústeres
Administración de directivas de grupo Para implementar, administrar, detectar y solucionar problemas de la directiva
de grupo empleando la MMC
Cliente de impresión en Internet Para conectarse y usar impresoras que se encuentran en servidores de impre-
sión Web usando conexión HTTP; permite la conexión a usuarios e impresoras
que no se encuentran en el mismo sitio o la misma red
Servidor de nombres de almacena- Administra las consultas de dispositivos de interfaz de sistemas de cómputo
miento de Internet pequeños de Internet (iSCSI, Internet Small Computer System)
Monitor de puerto de LPR Monitor de impresión de protocolo de control de transmisión/protocolo de Inter-
net (TCP/IP, Transmission Control Protocol/Internet Protocol)
Message Queuing Server Disposición en cola de mensajes de Microsoft:
Servicios de Message Queue Server:
Message Queue Server
Integración de servicios de directorio
Desencadenadores de Message Queue Server
Compatibilidad con HTTP
TABLA 2-1 Características disponibles en WS08


Compatibilidad con multidifusión
Servicio de enrutamiento
Compatibilidad con clientes de Windows 2000
Proxy DCOM de Message Queue Server
E/S de múltiples rutas Funciona con el módulo especíico de dispositivo (DSM, Device Speciic Module)
de Microsoft o tercero para permitir el uso de varias rutas de datos a un disposi-
tivo de almacenamiento en Windows
Equilibrio de carga de red Equilibrio de carga en varios servidores
Protocolo de resolución de nombres Permite que la aplicación se registre y resuelva nombres del equipo sin usar DNS
del mismo nivel
Experiencia de calidad de audio y qWave es una plataforma de red para aplicaciones de lujo de audio y video en
video de Windows redes IP.
Asistencia remota Asistencia de escritorio de Ayuda remota
Compresión diferencial remota Para permitir replicación de contenido entre dos servidores en una red. Calcula
la diferencia entre dos objetos, comprime los cambios y los replica en el otro
servidor de red.
Herramientas de administración remo- Para administrar remotamente funciones, servicios de función y características de
ta del servidor WS03 y WS08 desde un sistema que ejecuta WS08 (reemplaza el AdminPack
de WS03)
Herramientas de administración de funciones:
Herramientas de Servicios de Certiicate Server de Active Directory:
Herramientas de autoridad de certiicación
Herramientas de Servicio de respuesta en línea
Herramientas de los Servicios de dominio de Active Directory
Herramientas del controlador de dominio de Active Directory
Herramienta del Servidor para NIS (Network Information Service, servicio de
información de red)
Herramientas de los Servicios de directorio ligero de Active Directory
Herramientas de Active Directory Rights Management Services
Herramientas del servidor DHCP
Herramientas del servidor DNS
Herramientas del servidor de fax
Herramientas de Servicios de archivo:
Herramientas del sistema de archivos distribuido
Herramientas del Administrador de recursos del servidor de archivos
Herramientas de Servicios para Network File System
Herramientas de Servicios acceso y directivas de redes
Herramientas de Servicios de impresión
Herramientas de Terminal Services
Herramientas de Terminal Server (TS)
Herramientas de puerta de enlace de TS
Herramientas de licencia de TS
Herramientas de Servicios UDDI
Herramientas del servidor Web (IIS)
Herramientas de Servicios de implementación de Windows
Herramientas de administración de características:
Herramientas de cifrado BitLocker
Herramientas de extensión de servidor BITS
Herramientas de Clúster de conmutación por error
Herramientas de equilibrio de carga de red
Herramientas de servidor SMTP
Herramientas de servidor WINS
TABLA 2-1 Características disponibles en WS08 (Continuación)


Administrador de almacenamiento Administrador de dispositivos de almacenamiento jerárquico
extraíble
PARTE I
RPC sobre el proxy HTTP Llamada a procedimiento remoto sobre el protocolo de transferencia de hipertexto
Servicios simples de TCP/IP Soporte adicional a otros servicios TCP/IP, como eco, hora del día y cita del día
Servidor SMTP Servidor de correo electrónico
Servidor SNMP Protocolo simple de administración de red para el servicio y sus extensiones WMI
Servicio SNMP
Proveedor WMI de SNMP
Administrador de almacenamiento Interfaz de red de área de almacenamiento (SAN, Storage Area Network) unii-
para redes SAN cada
Subsistema para aplicaciones UNIX Compatibilidad con aplicaciones UNIX
Cliente Telnet Actúa como un cliente para conectarse a servidores remotos
Servidor Telnet Actúa como un servidor para conexiones de Telnet
Cliente TFTP Protocolo trivial de transferencia de archivos
Windows Internal Database Almacenamiento de datos relacional que sólo puede usarse mediante:
Servicios de descripción, descubrimiento e integración (UDDI)
ADRMS
Windows SharePoint Services
Servicios de actualización de Windows Server (WSUS)
Administrador de recursos del sistema de Windows
Windows PowerShell Una herramienta de línea de comandos que puede usarse para administrar el
sistema y que incluye más de 130 comandos estándar
Servicios WPAS (Windows Process Ac- Servicio unido a IIS 7.0 diseñado para administrar almacenes de aplicación y
tivation Service, servicio de activación proceso de trabajo:
de proceso de Windows) Modelo de proceso
Entorno de .NET
API de coniguración
Características de Copias de seguri- Copias de seguridad de todo el sistema e incrementales:
dad de Windows Server Copias de seguridad de Windows Server
Herramientas de línea de comandos
Administrador del sistema de recur- Administra cargas de trabajo en servidores equitativamente
sos de Windows
Servidor WINS Servicios de asignación de nombre de Internet de Windows; debe ser innecesario
en casi todas las redes WS08
Servicios LAN Conigura conexiones inalámbricas y periles de red de área local (LAN, Local Area
Network)
TABLA 2-1 Características disponibles en WS08 (Continuación)
Cada vez que una nueva función o característica se agrega a un servidor, se incluye automá-
ticamente en la consola del Administrador del servidor. Luego, cuando hace clic en una función
específica, la consola despliega un resumen del estatus de los servicios que dan soporte a la
función, además de un resumen de los posibles servicios que puede incluir la función. Cada vista
de resumen de función también incluye una sección Recursos y soporte técnico, que presenta los
pasos siguientes y las recomendaciones para la configuración de la función.
Se cubrirá mucho más acerca de Administrador del servidor a medida que se analice cada
función y característica de manera detallada en el resto del libro.
NOTA El Administrador del servidor sólo es para el servidor local. No puede conectarse a servidores
remotos, a diferencia de la consola Administración de equipos. Por esto, debe depender de una
conexión local o remota a un servidor para usar el Administrador del servidor.
La super MMC
Aunque el Administrador del servidor proporciona información que no aparece en otras con-
solas, la consola Administración de equipos aún es útil. En realidad, tal vez le interese convertir
esta consola en una herramienta que lo abarca todo. Puede crear una “súper” consola de admi-
nistración que incluirá todos los complementos que se requieren en una sola MMC. Recuerde
que necesitará instalar las Herramientas de administración remota del servidor antes de construir
esta consola. Además de todas las características de la consola Administración de equipos, puede
(y debe) incluir todos los complementos siguientes.
• Todos los complementos de Active Directory
• Edición de Interfaz de servicios de Active Directory (ADSI, Active Directory Services Interface)
• Administrador de autorización
• Copias de seguridad de Windows
• Autoridad de certificación (debe especificar el servidor que se administrará)
• Servicios de componentes
• Administración del equipo
• Infraestructura de clave pública (PKI, Public Key Infraestructura) empresarial
• Clústeres de conmutación por error
• Administración de directiva de grupo
• Configuración del cliente de NAP
• Servidor de directiva de red
• Monitor de confiabilidad y rendimiento
• Monitor de confiabilidad
• Escritorios remotos
• Conjunto resultante de directivas
• Configuración de Terminal Server (debe especificar el servidor que se administrará)
• Administrador de Terminal Services (debe especificar el servidor que se administrará)
• Firewall de Windows con seguridad avanzada (debe especificar el servidor que se
administrará)
• Control WMI (debe especificar el servidor que se administrará)
También puede agregar cualquier otro elemento, como DNS, administración IPSec y más.
Agregue cualquier complemento que considere necesario.
Como puede ver, esto crea una consola poderosa. Lo agradable es que, como se trata de una
consola MMC personalizada, puede vincularla con cualquier servidor de su red sin tener que
abrir una sesión de Escritorio remoto. Cree esta consola usando las siguientes instrucciones.
NOTA Para crear la consola en una PC, necesita Windows VISTA SP1 y las Herramientas de
administración remota de servidor. Busque ésta en www.microsoft.com/downloads.
Para crear esta consola:

1. Use Iniciar|Ejecutar, para ejecutar el siguiente comando.
PARTE I
mmc %SystemRoot%\system32\compmgmt.msc /a
2. Acepte el indicador de Control de cuentas de usuario si no inició sesión con la cuenta de ad-
ministrador predeterminada.
3. Esto lanza la consola Administración de equipos en el modo de edición. Empiece por usar Ar-
chivo | Guardar como, para guardar la consola como Super MMC.msc bajo la carpeta C:\He-
rramientas (tendrá que crear la carpeta).
4. Use Archivo | Agregar o quitar complementos para abrir el cuadro de diálogo de complementos.
5. Haga doble clic en cada complemento de la lista anterior. Haga clic en Aceptar cuando haya
terminado.
6. Haga clic en Archivo | Opciones, llame a la consola Consola super MMC, en Modo de consola
elija Modo usuario: acceso completo y “desmarque”. No guardar los cambios en esta consola.
Haga clic en Aceptar cuando haya terminado.
7. Use Archivo | Guardar, para guardar sus cambios.
Esta consola tiene varios usos, pero es la herramienta más común que usará para administrar
su red de servidores. Puede copiarla en cualquier otro sistema, si cumple con los requisitos (sobre
todo la presencia de las Herramientas de administración). Además, puede usarla para conectarse
a cualquier sistema de su red. También encontrará que el Escritorio remoto completo es más útil,
porque le permite crear conexiones remotas automáticas con cada uno de sus servidores. A partir
de aquí, puede establecer una conexión remota con un solo clic.
Cerciórese de asegurar completamente esta consola, porque es poderosa. La mejor manera
de hacerlo consiste en almacenarla en su perfil, porque el contenido de todos los perfiles está
aislado de otros, como opción predeterminada.
Otras maneras de hacer las cosas

WS08 sigue proporcionando algunas de las interfaces más comunes a las que está acostumbrado.
Herramientas como Escritorio remoto, la shell de línea de comandos y Ayuda y soporte técnico
aún son muy parecidas (algunas con mejoras). Microsoft también incluye Windows PowerShell
como shell de comandos nueva y más poderosa. Necesita comprender la manera en que cada
una afectará la capacidad de interactuar con WS08.
El Escritorio remoto
El protocolo de escritorio remoto (RDP, Remote Desktop Protocol) sigue siendo una de las me-
jores maneras de administrar servidores remotos. Al igual que todas las versiones de Windows
Server, WS08 también incluye dos licencias gratuitas de Terminal Services para fines de admi-
nistración. Y como el Administrador de servidores no le permite conectarse con otro servidor,
Escritorio remoto puede ser la mejor manera de acceder a él.
Antes de que pueda trabajar con el escritorio remoto en cualquier servidor, necesita ase-
gurarse de que el servicio Escritorio remoto se ha activado en el servidor y que está listo para
aceptar conexiones remotas. La activación de Escritorio remoto es uno de los elementos que se
encuentran en la ventana Tareas de configuración inicial. Asegúrese de habilitarlo.
Luego, cuando esté listo para hacer una conexión remota, use el cliente Escritorio remoto
en su sistema para conectarse al servidor de su elección utilizando el nombre del servidor o su
dirección IP. También puede usar el complemento Escritorio remoto de la Microsoft Management
Console para crear una lista de conexiones de cada sistema. Luego podrá administrar fácilmente
las conexiones con varios sistemas en una sola interfaz.
SUGERENCIA Para conocer instrucciones sobre la manera de construir una consola de escritorio
remoto, vaya a http://searchwincomputing.techtarget.com/originalContent/0,289142,sid68_
gci1243095,00.html.
PRECAUCIÓN Necesita tener el cliente RDP versión 6.x para conectarse con el servidor WS08. Se
entregó mediante actualizaciones de Windows en diciembre de 2006, de modo que debe estar en
cualquier sistema que necesite usar. Si no, puede descargarlo de http://support.microsoft.com/
default.aspx/kb/925876.
Como se analizó en el capítulo 1, Terminal Services ha mejorado en WS08. Ahora incluye

soporte a RemoteApp. Las aplicaciones remotas se ejecutan en el servidor, pero sin necesidad
de abrir una sesión completa de escritorio en el dispositivo remoto. Como el Administrador de
servidores no puede conectarse a otro dispositivo, sería mejor llevarlo a usted mediante apli-
caciones remotas. Sólo configure RemoteApp de Terminal Services en sus servidores y luego
publique el Administrador del servidor como aplicaciones remotas. De esta manera, puede
acceder a cualquier servidor y obtener su información sin necesidad de tener una conexión re-
mota completa en el servidor. Este procedimiento para la configuración del Administrador del
servidor como un programa remoto se revisará más adelante, mientras analizamos la adminis-
tración de aplicaciones.
El indicador de comandos
El indicador de comandos sigue sin cambio en WS08, pero se han agregado comandos indivi-
duales para hacerlo más poderoso. La principal ventaja del indicador de comandos es que se
agrega a una interfaz de caracteres para realizar operaciones de servidor. Esto significa que puede
capturar cada uno de esos comandos en una secuencia o en un archivo de procesamiento por
lotes que proporciona experiencias consistentes porque siempre repite las mismas acciones. Ade-
más, el indicador de comandos soporta la canalización de los resultados de un comando en un
archivo de texto. Esto significa que cuando se ejecuta un comando, sus resultados se almacenan
en un archivo de texto que puede revisar en una fecha posterior.
Esto es útil porque puede usarlo para ejecutar comandos diferidos y luego revisar los resul-
tados en un momento posterior. Los administradores pueden usar esto para crear una serie de
diferentes archivos de procesamiento por lotes o comandos (con la extensión de archivo .cmd
o .bat) y calendarizarlos para ejecutarse mediante el Programador de tareas de Windows. Los
resultados se canalizan en archivos de texto que pueden almacenarse en un solo lugar. Por ejem-
plo, si quiere conocer el estatus de sus servidores, puede usar el siguiente comando:
systeminfo /s nombreequipo >nombrearchivo.txt
Donde nombreequipo alude al nombre del servidor que desea investigar. Si se omite, presenta
una lista con la información acerca del servidor local. Use nombrearchivo para identificar el nom-
bre y la ruta de un archivo al que quiera enviar la información. Puede incluir una serie de estos
PARTE I
comandos en un solo archivo de comandos y calendarizarlos para que generen automáticamente
los archivos de salida todos los días. Esto le ayuda a identificar rápidamente el estado de todos
los servicios en su red.
NOTA Éste es el método que se usa en el capítulo 13 cuando analicemos la automatización de casi
todas las más de 150 tareas administrativas que necesita realizar para mantener un entorno de
WS08.
WS08 incluye varios comandos nuevos para administración del servidor. Muchos se cubrirán
a medida que tratamos con la tarea real, pero si quiere una lista completa, revise la tabla 2-2.
Comando Descripción
auditpol Modiica las políticas de auditoría
bcdedit Editor de datos de coniguración de arranque
change Establece modos especiales de Terminal Server para registros de inicio de sesión, asignación
de puertos COM e instalaciones de software
chglogon Controla inicios de sesión
chgport Controla asignaciones de puerto COM para compatibilidad de aplicación en DOS
chgusr Cambia el modo de instalación de la aplicación
choice Le permite seleccionar un elemento de una lista de opciones y devolver el resultado
clip Se usa para redirigir la salida de la línea de comandos al Portapapeles
cmdkey Controla nombres de usuario y contraseñas almacenadas
diskraid Se usa para acceder a la ventana de comandos Diskraid
dispdiag Despliega diagnósticos
foriles Se usa para seleccionar un archivo o varios archivos para ejecutar un comando en ellos;
se usa principalmente en trabajos de procesamiento por lotes
icacls Controla las listas de control de acceso (ACL, Access Control List) en archivos
iscsicli Inicializa iSCSI
mklink Crea vínculos simbólicos y irmes
muiunattend Controla las acciones no atendidas de la interfaz de usuarios múltiples (MUI, Multiple
User Interface)
netcfg Instalador de red de Windows PE (WinPE)
ocsetup Coniguración opcional de componentes de Windows; útil para Server Core
pkgmgr Administrador de paquetes de Windows
pnpunattend Instalación de controlador en línea no atendida
pnputil Utilería Plug and Play (PnP) de Microsoft
quser Despliega información acerca de los usuarios registrados en el sistema
robocopy Copia robusta de archivos para Windows, antes en el kit de recursos
TABLA 2-2 Nuevas herramientas de línea de comandos en WS08.

Comando Descripción
rpcping Hace ping con un servidor que usa llamadas a procedimiento remoto (RPC, Remote Procedure
Call)
setx Controla variables de entorno en el entorno del usuario o el sistema
servermanager- Proporciona soporte de línea de comandos para todas las funcionalidades de la consola
cmd Administrador del servidor
sxstrace Herramienta de traza de Windows de lado a lado (WinSxS, Windows Side byte Side)
takeown Controla la propiedad del archivo
timeout Controla los tiempos de espera en los archivos de procesamiento por lotes
tracerpt Se usa para generar informes de traza
waitfor Se usa para enviar, o esperar una señal del sistema:
Se usa /S para enviar la señal a un sistema especíico
Se omite /S para enviar la señal a todos los sistemas de un dominio
wbadmin Controla copias de seguridad y restauraciones
wceutil Controla el recolector de sucesos de Windows
wevtutil Controla los sucesos de Windows
where Se usa para desplegar la ubicación de los archivos que coinciden con una búsqueda determinada.
whoami Obtiene información de nombre de usuario y grupo, junto con identiicadores de seguridad (SID,
Security Identiiers), privilegios e identiicador de inicio de sesión del usuario actual (icha de
acceso) en el sistema local
winrm Controla la administración remota de Windows
winrs Lanza la shell remota de Windows
winsat Lanza la herramienta de evaluación del sistema de Windows
TABLA 2-2 Nuevas herramientas de línea de comandos en WS08 (Continuación)
Windows PowerShell
Puede seguir trabajando con la shell de comandos y, en muchos casos, necesitará seguir ha-
ciéndolo, pero el lenguaje de comandos más poderoso de cualquier sistema Windows hoy en
día es el Windows PowerShell. El indicador de comandos no se ha actualizado desde la primera
versión de Windows NT, de modo que ya era hora de que se lanzara un nuevo entorno de shell
de comandos. Windows PowerShell debe agregarse como característica y luego puede lanzarse
mediante un acceso directo en el menú Iniciar. Windows PowerShell proporciona un entorno
de comandos completo, con llenado automático, ayuda instantánea y muchas formas de ayuda
administrativa.
Windows PowerShell está basado en .NET Framework y se requiere para ejecutarlo. Esto
significa unas cuantas cosas. En primer lugar, no se ejecuta en Server Core, la edición simple de
Windows Server 2008, porque Server Core no incluye una interfaz gráfica y el .NET Framework
tiene dependencias de la interfaz de usuario, aunque Microsoft está trabajando para corregir
esto. Necesitará seguir usando la shell de comandos tradicional si implementa Server Core en
su red, porque es la única interfaz disponible localmente en estos servidores. En segundo lugar,
Windows PowerShell no es un reemplazo para todas las herramientas de administrador disponi-
bles en WS08. Es una herramienta que está diseñada para ayudar en la realización automática de
tareas repetitivas. Como tal, es muy poderosa.
Otro aspecto estupendo de Windows PowerShell es que soporta el concepto de alias para un
comando, y el equipo de Windows PowerShell ha creado e incluido alias para todos los coman-
dos de shell existentes. En realidad, para usar Windows PowerShell, no necesita aprender nada,
PARTE I
siempre y cuando esté familiarizado con el indicador de comandos existente. Pero si quiere des-
encadenar el poder de Windows PowerShell, será una ventaja que se aprenda todos sus coman-
dos (llamados cmdlets) y evite el uso de alias obsoletos.
Es fácil aprender cualquier comando de Windows PowerShell. Todo lo que necesita saber
son dos cosas. La primera es que cuando escribe uno, puede usar la tecla TAB para completar
automáticamente y recorrer en ciclo todas sus posibles opciones. Lo segundo que debe conocer
es la cmdlet Get-. Ésta se usa para obtener información de Windows PowerShell. De modo que
si escribe Get- en la cmdlet y luego oprime la tecla TAB, Windows PowerShell recorrerá en ciclo
todos los comandos disponibles. Esto debe proporcionarle una cantidad amplia de información
sobre las otras cmdlets que puede ejecutar. Recuerde incluir el guión al final, porque el comando
no se reconocerá sin él.
NOTA Podrá distinguir Windows PowerShell de la shell de comandos predeterminada por los
caracteres “PS” al inicio del indicador de comandos.
SUGERENCIA Tal vez esté familiarizado con el útil y poderoso juguete de Windows llamado
“Command Prompt Here”. Abre automáticamente un indicador de comandos en el lugar correcto
cuando hace clic con el botón derecho en una carpeta y usa esta herramienta poderosa. Le evita
tener que escribir largos y complejos nombres de carpeta. Windows PowerShell también tiene su
juguete poderoso. Puede obtener “PowerShell Prompt Here” de www.hanselman.com/blog/
IntroducingPowerShellPromptHere.aspx.
Se cubrirá más sobre Windows PowerShell mientras describimos los comandos administrati-
vos que necesita para mantener su infraestructura de servidor.
NOTA Para aprender más acerca de Windows PowerShell, examine los documentos de la carpeta
Documents de PowerShell (en el menú Iniciar), o vaya a www.microsoft.com/windowsser-
ver2003/technologies/management/powershell/default.mspx. Hay una práctica hoja doblada en
cuatro llamada “QuadFold.rtf” en la carpeta Documents que presenta una lista de los métodos
abreviados y la sintaxis de Windows PowerShell.
Ayuda y soporte técnico en WS08

Otra herramienta útil para recién llegados a WS08 es el Centro de ayuda y soporte técnico. Este
centro está diseñado para desmitificar todas las características e interacciones que tendrá con
WS08. La página de inicio del Centro de ayuda y soporte técnico le lleva directamente a lo que
quiere saber. Debido a esto, debe tener en mente la tecla más importante en cualquier entorno
de Windows, F1. Al oprimirla en cualquier momento, o incluso en un escritorio vacío, automá-
ticamente se abrirá el Centro de ayuda y soporte técnico. Por supuesto, puede lanzarlo desde el
menú Inicio, pero F1 suele ser más rápida y fácil de usar.
El contenido de ayuda se actualiza de manera regular con parches y actualizaciones, pero
también está vinculado directamente al contenido en línea, de modo que siempre debe estar ac-
tualizado. Por supuesto, los entornos de servidor aislado no tienen este lujo, pero siempre puede
usar otro sistema para obtener la información.
El Centro de ayuda y soporte técnico es útil cuando comienza a trabajar por primera vez con
el sistema operativo, de modo que asegúrese de recorrerlo y tómese el tiempo para comprender
su estructura y contenido a medida que evoluciona con el paso del tiempo.
Nuevas maneras de hacer las cosas en WS08

Como puede ver, hay varios cambios en la interfaz de WS08 en comparación con WS03, e incluso
más si aún no ha tenido tiempo de ejecutar por lo menos Windows Server 2003. En la tabla 2-3
se presenta una lista de algunas de las maneras en que necesitará trabajar cuando administre
servidores que ejecutan WS08.
Bueno, ahora ya ha explorado más acerca de WS08. Está listo para pasar a la construcción de
sus servidores y los servicios que ofrecerán en su red.
Acción Windows Server 2003 Windows Server 2008

Buscar Búsqueda limitada su Index Server está habi- Menú Iniciar
litado Explorador de Windows
PARTE I
Internet Explorer
Carpetas virtuales
Cuenta estándar/ Se ejecutan como métodos abreviados El usuario estándar usa Ejecutar como admi-
administrativa nistrador
El Administrador aprueba indicadores de Con-
trol de cuentas de usuario
Ahora se permite Cambio rápido de usuario
en dominios
Panel de control Sistema Sistema y mantenimiento
Conexiones de red e Internet Redes e Internet
Centro de seguridad Seguridad
Sonidos, voz y dispositivos de audio Hardware y sonido
Agregar o quitar programas Programas
Cuentas de usuario Cuentas de usuario
Apariencia y temas Apariencia y personalización
Fecha, hora, idioma y opciones regionales Reloj, idioma y región
Opciones de accesibilidad Accesibilidad
Opciones adicionales
Incluye una lista de tareas en el panel de la
izquierda
Para completar la Administre su servidor Tareas de coniguración inicial
coniguración de Proporcionar información del equipo
una instalación Actualizar este servidor
de servidor Personalizar este servidor
Tareas de Administre su servidor Administrador del servidor
administración Administración de equipos
Conigure su servidor
Coniguración de seguridad
Agregar o quitar componentes de Windows
Shell de comandos Shell de comandos
PowerShell (complemento) Windows PowerShell (integrado, pero no en
Server Core)
Activación Sitio Web de Microsoft Servicios de administración de claves
Sitio Web de Microsoft para claves múltiples
de activación (MAK) y otras
Rendimiento Registros y alertas de rendimiento Rendimiento y diagnóstico
Server Performance Advisor Consola
Monitor del sistema
TABLA 2-3 Nuevas maneras de hacer cosas en WS08

Acción Windows Server 2003 Windows Server 2008

Implementación Servicios de instalación remota (RIS) Servicios de implementación de Windows
Servicios automatizados de implementación Formato de imagen de Windows
(ADS)
Acceso remoto a Conexiones VPN Puerta de enlace de Terminal Services
aplicaciones RemoteApps de Terminal Services
Clúster Microsoft Clúster Service Cluster para conmutación por error en Adminis-
trador del servidor | Agregar funciones
Administración de Utilerías de fax Servidor de fax
faxes
Seguridad Asistente para seguridad Asistente para coniguración de seguridad
Firewall de Windows Firewall de Windows con seguridad avanzada
en el Administrador del servidor
Firewall de Windows en el Panel de control
Servicios de PKI Servicios de certiicado de Active Directory
Windows Rights Management Server Active Directory Rights Management Services
Windows Defender
Internet Authentication Service Servidor de directiva de red
Copia de seguridad de controlador de dominio Controladores de dominio de sólo lectura
en NT Servicios de dominio de Active Directory
Active Directory Servicios de directorio ligero de Active Directory
Active Directory en modo de aplicación Servicios de directorio
Cifrado de unidad completa BitLocker
Disco y archivo Copia de seguridad de Windows Copias de seguridad de Windows Server
TABLA 2-3 Nuevas maneras de hacer cosas en WS08 (continuación)

II
PARTE
Planee y prepare CAPÍTULO 3
Planee para Windows
Server 2008
CAPÍTULO 4
L
a preparación para una migración a Windows Server 2008 Explore los modos de
(WS08) requiere planeación y anticipación. En la parte I, instalación de Windows
descubrió lo que hace funcionar a WS08. Ahora necesita pre- Server 2008
parar los servicios que quiere entregar con base en este nuevo siste-
ma operativo. En esta sección se revisan algunos conceptos clave y
luego se muestra cómo construir elementos que necesita preparar
para su implementación. Cubrirá las instalaciones de WS08 y cómo
proceder con la migración.
CAPÍTULO
3
Planee para Windows Server 2008
L
as redes empresariales de hoy en día, sean de organizaciones pequeñas, medianas o gran-
des, necesitan responder a diversos requisitos, como se ilustró en el capítulo 1. Debido a
que la red es el núcleo de todos los ofrecimientos de servicio que la tecnología de la infor-
mación proporciona al negocio, debe planearse y probarse antes de implementarse. Después de
todo, lo último que quisiera sería introducir nuevos servicios que no cumplan con los requisitos o
que caigan en una situación crítica para el negocio.
Las redes empresariales han evolucionado de ser una serie de servidores y equipos más o
menos acoplados a constar de una infraestructura integrada que proporciona y soporta la misión
de la organización. Este proceso evolutivo no es diferente del que siguió el teléfono. Al principio,
los sistemas telefónicos estaban poco unidos. Hoy en día, los sistemas de telecomunicaciones
mundiales son mucho más complejos y completos. Y con las nuevas tendencias de convergencia,
la separación entre telecomunicaciones y la red IP está desapareciendo rápidamente. Es una ra-
zón por la que las redes son aún más críticas para la misión que nunca. Sin importar su tamaño,
la red empresarial debe tener una infraestructura segura, estable, redundante, que esté completa-
mente orientada a la entrega de ofrecimientos de servicios de tecnología de la información para
el negocio. Estos ofrecimientos pueden ir de simples sistemas de archivos e impresión a comple-
jos sistemas de autentificación, redes de área de almacenamiento (SAN, Storage Area Network)
o aplicaciones Web. Además, estos ofrecimientos de servicios pueden estar disponibles para dos
comunidades de usuarios diferentes: usuarios internos sobre los que tiene un control completo
de sus PC y usuarios externos sobre los que tiene poco o nulo control.
El paso a WS08 también debe incluir un cambio importante en su estrategia de infraestructura.
En realidad, el centro de datos del siglo XXI está ahora dividido en dos conjuntos de servicios:
• Ofrecimientos de servicios Servicios que están diseñados para proporcionar funcionalida-
des dadas a usuarios finales.
• Almacenes de recursos Recursos de hardware (procesadores, memoria, disco y recursos de
red) que se unen como en un almacén para permitir la operación apropiada de los ofrecimien-
tos de servicios.
Los ofrecimientos de servicios son instancias virtualizadas del sistema operativo (instancias
que están diseñadas para interactuar con usuarios finales y apoyarlos en la realización de sus
tareas diarias). Por tanto, los ofrecimientos de servicios son la cara hacia el exterior. Por otra parte,
el hardware se ve como un almacén de componentes cuya función consiste en proporcionar
77
78 Parte II: Planee y prepare
recursos para apoyar los ofrecimientos de servicios. Por tanto, el hardware sólo ejecuta software
de virtualización, o un hipervisor (un componente especial que expone los recursos de hardware
a sistemas operativos virtualizados). Esto es proporcionado por la función Hyper-V. Debido a que
los almacenes de recursos son administrados por un equipo de operadores que sólo interactúa
con los operadores y administradores de ofrecimientos de servicios y a que nunca necesitan tratar
directamente con usuarios finales, se considera que son la cara hacia el interior.
Mientras migra sus ofrecimientos de servicios actuales (que es más probable que se ejecuten
directamente en el hardware de su centro de datos) a Windows Server 2008, también los transfor-
mará en equipos virtuales. Esto significará volver a pensar las operaciones y las prácticas estándar
para obtener la mayor cantidad de beneficios y ventajas que ofrece la virtualización del servidor.
Es por eso que moverse o migrar a Windows Server 2008 representa mucho más un proyecto
de diseño de una infraestructura de red y de centro de datos que una simple actualización a una
nueva tecnología. Cada vez que cambia una tecnología que es tan crítica como el sistema opera-
tivo de su red, resulta importante, si no esencial, realizar las siguientes tareas:
• Revisar las necesidades y los requisitos corporativos.
• Revisar las características y capacidades del nuevo sistema operativo (una tarea que el capítulo
1 le ayudó a realizar).
• Diseñar un plan completo de arquitectura e implementación (dependiendo de procesos pro-
bados como ciclos de vida, modelos de construcción de sistemas y procedimientos operativos
estándar).
• Probar todos los aspectos de la implementación para asegurar su calidad.
• Pasar a la implementación real.
Alinear un proyecto de esta magnitud con las estrategias de trabajo de la organización
hará que la transición se acepte más fácilmente y que arroje más dividendos para todos los que
participen en ella. Son demasiadas las organizaciones que no pueden obtener por completo los
beneficios de una red empresarial porque nunca se han tomado el tiempo de dar cada uno de los
pasos. Como resultado, no obtienen el máximo potencial o rendimiento de su red.
NOTA Por supuesto, si se tomó el tiempo para preparar apropiadamente su red cuando migró a
Windows Server 2003, entonces la migración a WS08 será un proceso mucho menos arduo. Aún
debe revisar el contenido de este capítulo para asegurarse de que está usando recomendaciones
de las mejores prácticas en todos los aspectos de la red y que está aprovechando por completo la
virtualización.
La planeación y preparación para implementar Windows Server 2008, o cualquier sistema

operativo de red, debe constar de 80% de planeación, preparación y prueba y 20% de implemen-
tación. Si su empresa es de una persona, aun así querrá tomarse el tiempo de prepararse apro-
piadamente, pero tal vez no se tome el tiempo de invertir en procedimientos de automatización,
aunque verá que las actividades de automatización con WS08 son mucho más fáciles que nunca
antes; todavía querrá procedimientos operativos estándar, pero tal vez no incluirá una serie de
técnicos y arquitectos para validarlos; y aún querrá diseñar con base en modelos arquitectónicos,
pero no se tomará el tiempo de diseñar esos modelos por sí mismo. La directriz para cada paso
está incluida en este capítulo.
Capítulo 3: Planee para Windows Server 2008 79
Construya la base de la red

La construcción de una red empresarial con Windows Server 2008 consiste en diseñar la arquitec-
tura de red y su procedimiento de implementación mientras identifica oportunidades para el uso de
procedimientos operativos estándar. La infraestructura de la red empresarial está dividida en áreas
de entrega de servicio que deben recibir soporte de una estructura para administración de la red.
En relación con cada aspecto de esta infraestructura, es esencial tener una comprensión
completa de las características que Windows Server 2008 ofrece en el área. También es importan-
te identificar cuáles de estas características ofrecen los mejores escenarios de compensación entre
costo y beneficios para la empresa.
Por ejemplo, muy pocas empresas pueden vivir hoy en día sin servicios de dominio de Active
PARTE II
Directory (ADDS). En el caso de organizaciones de todos los tamaños, siempre es mejor tomarse
el tiempo de centralizar todos los servicios de autentificación y autorización que los mantiene dis-
tribuidos a través del uso de grupos de trabajo, porque si se requiere un cambio, sólo debe hacerlo
en un lugar central. La organización que requiere una infraestructura de red de nivel empresarial
no invertirá en grupos de trabajo; invertirá directamente en ADDS, pasando por alto a los grupos
de trabajo, salvo, por supuesto, en circunstancias especiales. Este método de nivel empresarial es el
que se usará a través de la elaboración de la arquitectura empresarial para Windows Server 2008.
El sistema operativo de servidor es el núcleo de la red empresarial. Cuando se busca reem-
plazar este sistema operativo, es importante asegurar que se cubrirá cada aspecto de los servicios
que proporcionará la red. La mejor manera de hacer esto es usar el método del “ciclo de vida”.
Aquí son importantes dos ciclos de vida:
• El ciclo de vida del servidor El ciclo que un servidor individual recorre desde que se intro-
dujo en la red hasta su retiro.
• El ciclo de vida del ofrecimiento de servicios El ciclo que los servicios deben recorrer
desde el momento en que se introdujeron por primera vez en la red hasta su retiro.
El ciclo de vida del servidor, en especial, le permitirá diseñar la estructura básica de todos los
servidores, sean físicos o virtuales. Esto integrará las bases para el modelo de construcción del
servidor. Y, una vez que haya identificado los diferentes ofrecimientos de servicios requeridos en
su red, podrá concentrarse en la estabilidad de la misma. Es importante para ayudar a determinar
cuáles ofrecimientos de servicios se requieren para una red del tamaño de la suya.
Además, debido a que diversas personas realizan muchas operaciones dentro de la red, la
estabilidad de ésta mejora en gran medida con el uso de procedimientos operativos estándar a
través de cada aspecto del proceso de implementación y administración. Estos procedimientos
aseguran que siempre se usen las mejores prácticas para realizar operaciones, y simplificarán en
gran medida el soporte.
Tres herramientas adicionales ayudarán en la construcción de la nueva red, o de la actualizada:
• Un modelo de construcción y administración de un sistema Un modelo para diseñar
todos los sistemas de cómputo de su red.
• Procedimientos operativos estándar No para dirigir todas las operaciones, sino para ase-
gurar cierta forma de control de calidad sobre la manera en que cada miembro de su equipo
realiza actividades administrativas, de implementación y de operación.
• La pila de red Debido a que Windows Server 2008 está diseñado para construir y mantener
ofrecimientos de servicios en red, es importante comprender la pila de red que ofrece.
Una vez que tenga todas estas herramientas a la mano, podrá seguir adelante con la cons-
trucción de su nueva red.
El ciclo de vida del servidor

Como se mencionó antes, la construcción de una red debe ser 80% planeación y preparación
y 20% implementación. El proceso de construir servidores es igual. Los servidores están dise-
ñados para cumplir requisitos específicos dentro de una red. Se analizará más sobre este tema
en todo el libro, pero, por ahora, baste con decir que como todos los componentes de la red, los
servidores tienen un ciclo de vida específico dentro de la red empresarial (uno que empieza con
el proceso de compra u orden y luego pasa al proceso de administración de la tecnología de la
información, para terminar con el retiro del servicio).
En el caso de servidores físicos, el proceso de compra cubre su planeación, la requisición y la
obtención. En este proceso, la organización debe concentrarse en varios factores, como la compra
por volumen (si es posible), solicitudes bajo propuesta, requisitos mínimos para hardware de
servidor, complementos de proveedores de hardware y estrategia de crecimiento. Estos procesos
pueden soportarse para prueba de funcionalidad y confiabilidad de hardware y aplicaciones en el
entorno de red. Para que este proceso tenga éxito, los departamentos de compras y tecnología de
la información deben cooperar y trabajar fuertemente unidos.
Uno de los factores rectores de este proceso es el método de compra por volumen. Cuando
se usan PC como servidores siempre deben comprarse en lotes. Nunca deben comprarse por
pieza. El principal objetivo de este proceso en una red empresarial es reducir la diversidad lo
más posible. Cuando los servidores se compran por lotes, puede esperar que el fabricante envíe
equipos configurados de la manera más idéntica posible. Así, puede simplificar y estandarizar
el proceso de construcción y mantenimiento del servidor. Cada vez son más y más las organi-
zaciones que incluso están formando sociedades específicas con fabricantes de servidores para
disminuir aún más la diversidad dentro de sus familias de hardware de servidor. Aunque no los
pueda comprar por lotes, y tal vez especialmente si no puede, debe esforzarse por formar este
tipo de sociedad, porque se orienta mucho a la reducción de la diversidad.
Una manera buena y simple de lograr la estandarización del servidor consiste en depender
de servidores blade. Éstos deben instalarse en enclosures: unidades cerradas, o gabinetes, que
integran de 10 a 16 servidores, dependiendo del fabricante. Aunque no compre todos los blades
cuando adquiera el enclosure, sabrá que cada uno de los que adquiera cuando los necesite, por
fuerza, serán estándar porque necesitará trabajar con el resto del enclosure. Hoy en día, casi todos
los fabricantes garantizan que los servidores blade permanecerán disponibles y compatibles con
sus gabinetes por varios años. Además, los blades pueden reducir los requisitos de cableado hasta
en 80%, la generación de calor hasta en 50% y el consumo de energía en 20% o más. Debido a
esto, los servidores blade son una estupenda opción para cualquier centro de datos moderno.
En el caso de servidores virtuales, el proceso de compra se vuelve un proceso de análisis de
requisitos. Debido a que las instancias de servidor incluyen costos de licencia reducidos, es más
simple y fácil proporcionar una instancia virtual que una instancia física de un sistema operativo.
Aquí, necesita concentrarse en los requisitos del sistema (número de procesadores, memoria de
acceso directo [RAM, Random Access Memory], espacio en disco e interfaces de red), antes de
que cree la instancia del sistema operativo.
Una vez que el proceso de compra o pedido esté completo, el ciclo de vida del servidor pasa
al proceso de administración de la tecnología de la información. Aquí, el personal se vuelve
Seleccione hardware de servidor con la virtualización en mente

Las compras de servidores, hoy en día, deben tomar la virtualización en cuenta. Una de
las funciones clave de WS08 es el soporte de la virtualización a través de un “hipervisor” o
un nivel de abstracción que expone y comparte componentes de servidor físico con varios
equipos virtuales sin degradaciones del rendimiento.
Además, Microsoft ha mejorado su esquema de licenciamiento de servidores para
soportar la virtualización. Las licencias de la edición Enterprise de WS08 incluye el host
junto con cuatro ediciones virtualizadas gratuitas, incluida cualquier versión de baja de nivel
de Windows a partir de NT, y las licencias de la edición Datacenter incluyen el host y un nú-
mero ilimitado de instancias virtualizadas. Esto refuerza de manera urgente las razones para
PARTE II
usar servidores virtualizados en cualquier organización. Para calcular el número de licencias
que necesita para ejecutar equipos virtuales, vaya a las Windows Server Virtualization Calcu-
lators en www.microsoft.com/windowsserver2003/howtobuy/licensing/calculator.mspx.
Por tanto, cuando se selecciona hardware de servidor, debe considerar la virtualiza-
ción como la función central que este sistema tendrá. El sistema de virtualización ideal se
ejecutará en hardware de 64 bits, superando todas las limitaciones de memoria y propor-
ciona la plataforma para rendimiento extendido al soportar varias funciones de servidor
en un solo equipo físico.
No debe considerar la compra de cualquier otro hardware que no sea de 64 bits,
porque WS08 es el último sistema operativo de servidor de 32 bits de Microsoft. Con el
lanzamiento de WS08 R2 en 2009, Microsoft ya no ofrecerá sistemas operativos de servi-
dor de 32 bits, excepto para versiones de menor nivel de Windows. Es correcto: WS08 R2
sólo está disponible para versiones de 64 bits.
responsable de la propiedad y del servidor, y la toma hasta el retiro. El proceso empieza con la
recepción del servidor y su entrada en la base de datos de administración de la configuración. En
el caso de servidores virtuales, esto debe incluir al solicitante, el propósito, la configuración, la
duración esperada de la solicitud, etcétera. Luego empieza el proceso de construcción del servi-
dor. Aquí los servidores recorren el proceso de la puesta en funcionamiento. En esta etapa, sólo
los elementos de software genérico se cargan en el servidor. Una vez más, este proceso difiere
ligeramente entre servidores físicos y virtuales. En el caso de servidores físicos, esto incluiría un
sistema operativo de núcleo minimalista, software antivirus, software de administración y un
hipervisor que soporta la virtualización. En el caso de servidores virtuales, esto incluiría el sistema
operativo, software antivirus, software de administración y herramientas de kit de recursos (todo
lo que es completamente genérico o que incluye una licencia para la empresa y, por tanto, no
conlleva costos adicionales). Ambos forman sus respectivos kerneles de servidor.
A continuación, se configura el servidor. Esta etapa cubre la aplicación del software que
soportará la función específica del servidor dentro de la organización.
La etapa de preparación final es la prueba del servidor. Esto debe incluir pruebas de estrés
además de pruebas de aceptación de la configuración. Una vez que se haya completado esta fase,
el servidor está listo para producción.
Poner el servidor en producción a menudo significa recuperar información, incluidos pará-
metros de seguridad de otro servidor, y migrarlo al nuevo modelo, a menos, por supuesto, que el
servidor esté diseñado para ofrecer una nueva función dentro de la red. Una vez que se da este
paso, el servidor entra oficialmente en el ciclo de producción. La administración de tecnología de
la información para el servidor se concentra en las tareas administrativas de rutina, actualizacio-
nes de software y aplicación de services pack, además de monitoreo de rendimiento y capacidad.
Todo se realiza con base en un calendario. Esta fase también incluye reparación o expansión del
servidor físico, si se requiere. Aunque casi todas las tareas tendrán como objetivo la operación
remota, algunas reparaciones tal vez requieran apagado y acceso físico al servidor. Por ejemplo,
es difícil actualizar remotamente la memoria del servidor. Los administradores que han trabajado
con Windows Server 2003 sabrán que todos los apagados deben documentarse y justificarse me-
diante un cuadro de diálogo de apagado con numerosas opciones, el Rastreador de eventos de
apagado. Aunque esto era menos que útil en WS03, ahora se ha vuelto el eje del Monitor de ren-
dimiento en WS08. Éste rastrea el nivel de confiabilidad del servidor desde el momento en que
se introduce en la red hasta que se retira, y proporciona datos continuos acerca del estado del
servidor. El Monitor de rendimiento puede encontrarse dentro del Administrador del servidor.
NOTA En el capítulo 12 se cubrirá la migración de todos los aspectos de la red.
Por último, después de que esté completo el ciclo de vida, el servidor alcanza la obsoles-
cencia y debe retirarse de la red. Luego se reemplaza con nuevos servidores que han, a su vez,
empezado un nuevo ciclo de vida dentro de la red empresarial (vea las figuras 3-1 y 3-2). Este
ciclo afecta a los servidores físicos y virtuales, porque cualquier instancia tendrá un ciclo de vida
propio. Observe las cuatro fases importantes de este proceso:
• La fase de planeación
• Preparación e implementación
• Producción
• Retiro
Estas cuatro fases reaparecerán cuando se analice el ciclo de vida del servicio.
El ciclo de vida de ofrecimiento de servicios

Como el ciclo de vida del servidor, el del ofrecimiento de servicios está basado en cuatro fases,
pero debido a que está concentrado en un ofrecimiento de servicios, el contenido de cada una de
las cuatro fases difiere ligeramente. Las cuatro fases están concentradas en:
• Planeación Identificación y preparación de soluciones para la implementación.
• Implementación Adquisición, empaquetado, configuración, instalación y prueba de estrate-
gias de implementación.
• Producción Administración de problemas, cambios, optimización y manejo dentro de la red
de producción.
• Retiro Planeación del reemplazo o la actualización y eliminación de tecnologías y procesos
obsoletos.
El modelo del ciclo de vida (vea la figura 3-3) incluye refinamientos que se agregaron para
reflejar la manera en que han evolucionado la mayor parte de las redes modernas. Por ejemplo, el
proceso de racionalización se agregó al de planeación inicial para ayudar a que las organizaciones
ro
Reti Pr
Nuevo servidor oc
es
o
Pl de
an
ea
co
Ensamblado c
m
Obsolescencia
pr
ió
a
n
-K-
Retiro del -A-
servidor Preparación
-J-
Reparaciones -B- Solicitud de
n
cció
Falla de del servidor Requisición propuestas

hardware o
Produ
software
-I-
PARTE II
Administra-
ción de -C-
rendimiento Adquisición
y manteni-
e IT
miento Servidor físico Entrega

Configuración
tración d
de software/
parches -H- -D-
Actualización Llegada e
de software/ inventarios
inis
del servidor
seguridad
adm
-G- -E-
Instalación
de
Implementa- Puesta en
ción del funciona- de la imagen de
o
Solicitud -F-
ces
de cambio servidor en Configuración miento del kernel básica

Pro
producción de funciones servidor

del servidor
P
re
pa
Instalación ra
Prueba del servidor ión c
ei
mp
lem
enta
ción
FIGURA 3-1 El ciclo de vida del Servidor físico cubre todos los aspectos de su existencia en la red de su empresa.
controlen costos mediante la reducción de la diversidad y la consolidación del servidor. La racio-

nalización no sólo afecta al hardware de servidor o a instancias de servidor mediante las prácticas
de consolidación del servidor, sino también a las aplicaciones y utilerías que pueden ejecutarse
en esos servidores. Demasiadas organizaciones aceptarán aplicaciones o utilerías múltiples que
ofrecen la misma función dentro de una red determinada. Nadie puede permitirse trabajar con
aplicaciones que duplican funcionalidad o, peor aún, utilerías de aplicación o servidor que no son
compatibles entre sí. La carga de trabajo administrativa ya es en sí tan pesada que no necesita
añadir trabajo al depender de herramientas que no pueden integrarse entre sí.
NOTA Este ciclo de vida de ofrecimiento de servicios se presentó originalmente en Windows Server
2003: Best Practices for Enterprises Deployments, por Danielle Ruest y Nelson Ruest (McGraw-
Hill, Osborne, 2003). El modelo se derivó de un modelo original presentado por Microsoft en un
proyecto llamado “Planning, Deploying, and Managing High Available Solutions” (“Planeación,
implementación y administración de soluciones de alta disponibilidad”), lanzado en mayo de 1999.
El modelo del ciclo de vida del servicio de tecnología de la información de Microsoft se encuentra en
www.microsoft.com/technet/archive/ittasks/plan/sysplan/availsol.mspx?mfr=true.
Actualización Instalación nueva
Seleccione el sistema operativo Windows apropiado Seleccione el sistema operativo de Windows

2 CPU: edición estándar apropiado
3 o más CPU: edición Enterprise o Datacenter 32 bits: edición Estándar o Enterprise
Revise la compatibilidad de la actualización 64 bits: edición Estándar/Enterprise/Datacenter
Aplique todas las actualizaciones al sistema Hosts: sólo Server Core de 64 bits
Lea notas de la versión ¿Server Core o instalación completa?
Revise las recomendaciones para la actualización Lea las notas de la versión
del fabricante del hardware del servidor Revise las recomendaciones para la instalación del
Realice un ejercicio de asignación de tamaño al fabricante de hardware de servidor
servidor Realice un ejercicio de asignación de tamaño al
Revise el orden de las actualizaciones del servidor servidor
Controlador de dominio primero Uno o varios sistema operativo (se recomienda uno
Proporciona todas las nuevas características solo)
de ADDS Use NTFS para todos los volúmenes
Requiere una actualización de esquema en Decida sobre la partición
el Maestro de esquemas Sistema: mínimo de 40 GB
adprep /forestprep Datos: el resto
adprep /rodcprep Registros: Sólo si es necesario
En el Maestro de infraestructura Si ya tiene un sistema operativo en el servidor
adprep /domainprep /gpprep Cree copias de seguridad de los archivos de
Servidores de miembros primero datos
Proporciona nuevas funciones de servidor Busque errores en el registro del sistema
No proporciona nuevas características de
ADDS
Asegúrese de que todas las particiones usan NTFS
Deshabilite el antivirus
Busque errores en el registro del sistema
Instale el sistema operativo Instale el sistema operativo
Realice una revisión posterior a la instalación Realice una revisión posterior a la instalación
FIGURA 3-2 El ciclo de vida del servidor virtual.
La racionalización es un aspecto importante de la preparación del ofrecimiento de servicios,

y no hay mejor momento para realizarla que cuando está migrando a un nuevo sistema operativo
de servidor. Cada vez que se lanza un nuevo sistema operativo, se incluyen nuevas funcionali-
dades (que a menudo reemplazan productos de software de terceros que antes eran necesarios
para satisfacer funciones críticas). Por ejemplo, WS08 incluye un vasto número de características
que reemplazan la necesidad de productos de terceros. Entre los ejemplos se incluyen Cifrado de
unidad BitLocker y Windows Defender, el motor antispyware de Microsoft. Debido a que estas
características se encuentran en el sistema operativo, hay poca necesidad de incluir utilerías de
terceros que proporcionan estas funciones en su implementación, a menos que haya una fuerte
razón para hacerlo.
La racionalización siempre es necesaria, y se aplica en diversos grados. Todo depende del
punto de partida de su migración. Las organizaciones que migran de Windows NT tienen que
revisar la mayor parte de sus utilerías. Las que lo hacen de Windows 2000 o 2003 tendrán una
menor carga de trabajo de racionalización, porque ya habrán eliminado algunas utilerías y aplica-
ciones obsoletas de su red en proyectos de migración anteriores.
Más allá de la racionalización, necesitará concentrarse en la estandarización. Es el objetivo
principal del proceso de diseño de la arquitectura empresarial. Querrá estandarizar todas las
operaciones para minimizar los esfuerzos administrativos y reducir los problemas de soporte.
También querrá realizar pruebas de funcionalidad mediante pruebas de concepto. Esto significa
probar los conceptos que emergen de la arquitectura empresarial para asegurar que son válidos y
que proporcionarán todo el valor que espera la arquitectura.
Solicitud de cambio
Obsolescencia • Implementación/ planeación/
• Planeación de reemplazo o diseño/ racionalización
actualización • Arquitectura empresarial
• Extraíble/limpieza (estandarización)
Retiro Planeación • Prueba de funcionalidades
• Principales/reglas/estándares
Personas/PC/
procesos
Operaciones
• Administración Certificación
Producción Preparación
• Administración de problemas, • Adquisición/introducción
e implemen-
soporte técnico al usuario, o ambos • Arquitectura técnica
tación
• Administración del cambio • Instalación inicial
PARTE II
• Configuración, administración de • Configuración inicial
activos, o ambos • Creación de imagen del
Acuerdos de nivel de servicio paquete, el servicio, o ambos
(SLA, Service Level Agreement) • Prueba de entornos
• Administración de optimización/ • POC/proyecto piloto/
rendimiento/capacidad/disponibilidad/ implementación masiva
confiabilidad/redundancia/capacidad
de respuesta
© 2007, Resolutions Enterprises Ltd.
FIGURA 3-3 El ciclo de vida del servicio muestra las cuatro fases del ciclo de vida de un servicio: planeación,
preparación e implementación, producción y retiro.
Además, también querrá realizar pruebas de compatibilidad de las aplicaciones (probar aplica-
ciones existentes para ver si operarán con el nuevo servicio y el nuevo sistema operativo). Recuerde
que WS08 se basa en código de Windows Vista, y como éste modificó la manera en que funcio-
nan las aplicaciones, sobre todo mediante la característica Control de cuentas de usuario, querrá
asegurarse de que todas y cada una de las aplicaciones de servidor se ejecutarán apropiadamente.
El resultado de estas pruebas debe ser un informe completo de impacto sobre productos afectados.
Este informe debe incluir procedimientos de actualización o recomendaciones de reemplazo.
SUGERENCIA Para conocer más información sobre compatibilidad de las aplicaciones de Vista,
descargue “Chapter 6: Preparing Applications” (Capítulo 6: preparación de aplicaciones) de la
Deinitive Guide for Vista Migration en www.realtime-nexus.com/dgvm.htm.
El eje de la arquitectura empresarial es el análisis de las necesidades y los requisitos de la

organización; las características que ofrecerá el nuevo servicio; y la elaboración de los principios,
las reglas y los estándares que se aplicarán a su uso dentro de la organización.
SUGERENCIA Para conocer más información sobre arquitecturas de la empresa y los principios que
los orientan, consulte la sección “Architectures” (Arquitecturas) de la página “Articles” del sitio
Web Resolutions en www.reso-net.com/articles.asp?m=8.
La fase de preparación e implementación se concentra en el proceso de arquitectura técnica

que sigue o puede ocurrir al mismo tiempo que el proceso de adquisición. La arquitectura técnica
proporciona los parámetros técnicos específicos que se aplicarán al ofrecimiento de servicios durante
su instalación y el resto de su ciclo de vida dentro de la red. Se basa en las orientaciones delineadas
en la arquitectura de la empresa y simplemente detalla los puntos específicos de la implementación.
El ciclo de vida pasa entonces a la instalación y la configuración inicial y el empaquetado/mon-
taje, la puesta en funcionamiento, o ambos. El empaquetado se usa si los ofrecimientos de servicios
dependen de un producto de software o una adición a la red actual. La puesta en funcionamiento
se usa si el servicio depende de una característica del nuevo sistema operativo. Con Windows Ser-
ver 2008, necesitará depender de ambos procesos, porque tendrá una tendencia a empezar con la
instalación inicial o la puesta en funcionamiento de sus servidores y luego seguir con la aplicación
de la función específica que el servidor tendrá en su red. El empaquetado suele usarse para volver
automático el proceso de instalación del software o el ofrecimiento de servicios.
La prueba es la siguiente etapa, y es vital porque asegura la estabilidad de cualquier nuevo ofre-
cimiento de servicios introducido en su red de producción. Hay varios niveles diferentes de prueba:
• La prueba de unidad valida que el ofrecimiento de servicios opere en un entorno indepen-
diente y ayude a descubrir a los técnicos las complejidades de una característica.
• La prueba funcional empieza el proceso automático para la instalación de ofrecimiento de
servicios. También incluye una revisión de igual a igual para asegurar que el ofrecimiento de
servicios opere como se esperaba.
• La prueba de integración valida la coexistencia del ofrecimiento de servicios con otros ofreci-
mientos en el mismo equipo o la misma red.
• La prueba de puesta en funcionamiento es la prueba final de aspectos únicamente técnicos y
confirma que el proceso de implementación no tenga fallas y siempre opere como se espera.
• La prueba de aceptación es parte del proceso de prueba de puesta en funcionamiento y da a los
usuarios finales el derecho de mejorar el ofrecimiento porque está empaquetado y preparado.
Por último, el ofrecimiento de servicios está listo para implementación. Ésta puede hacerse en
varias etapas. Otra prueba de concepto (POC) puede usarse para realizar una validación final del
ofrecimiento de servicios en operación. La audiencia de destino para esta POC suele constar del
equipo de proyecto y algunos de sus asociados más cercanos. Esto es seguido por un proyecto pilo-
to que prueba todos los aspectos de la metodología de implementación, incluidos procedimientos
técnicos y administrativos. La implementación masiva sigue a un proyecto piloto que tiene éxito.
No todos los ofrecimientos de servicios deben atravesar una segunda prueba de concep-
to. Ésta sólo se aplica si la población de destino para el ofrecimiento es muy grande (mil o más
usuarios) y la organización requiere una segunda validación. Sin embargo, sin importar el tama-
ño de la población de destino, siempre necesitará proceder con un proyecto piloto antes de la
implementación. Los proyectos de implementación le permiten probar la solución de implemen-
tación con un pequeño porcentaje de su población de clientes. Esta prueba le permite validar la
operación apropiada de cada parte de su solución. Si no realiza proyectos pilotos, encontrará que
sus costos de soporte técnico aumentarán, porque está a punto de descubrir problemas una vez
que el ofrecimiento esté en producción, problemas que normalmente habría captado en el piloto.
Una vez que se implemente el ofrecimiento de servicios, entra en la fase de producción de
su ciclo de vida. Aquí, administra y mantiene un inventario completo de servicio, cambios de
control, trato con problemas y soporte a usuarios. Debe implementar y administrar los acuer-
dos del nivel de servicio (SLA) para cada ofrecimiento de servicios que despliegue. Los SLA se
concentran en el rendimiento y la capacidad de análisis, la planeación de redundancia (copia de
seguridad, disposición en clúster, seguridad contra fallas y procedimientos de recuperación), la

disponibilidad, la confiabilidad y la capacidad de respuesta del servicio.
La fase final del ciclo de vida del ofrecimiento de servicios de tecnología de la información
es el retiro. Cuando el servicio alcanza un cierto grado de obsolescencia, debe retirarse de la red,
porque los costos de operación suelen ser superiores a sus beneficios.
Vale la pena notar en especial el elemento de seguridad, que rodea todo el ciclo de vida del
ofrecimiento de servicios. La seguridad tiene una posición especial en el ciclo de vida porque
abarca mucho más que el software y el hardware. La seguridad es un proceso por sí mismo, y
debe atenderse siempre.
Los ciclos de vida del servidor y el ofrecimiento de servicios habrán de usarse en todo este libro.
El ciclo de vida del servidor ayudará a la construcción y la entrega de los servidores que constru-
PARTE II
ye. El del ofrecimiento de servicios se aplicará más específicamente en las funciones o configura-
ciones que da a sus servidores virtuales mientras los prepara para implementación. Para simplifi-
car ambos procesos, necesitará otro modelo: el de construcción y administración.
Beneicios de la construcción de un servidor y el modelo de administración

El uso de un modelo arquitectónico puede simplificar en gran medida el proceso de diseño para
la construcción de administración de servidores (y PC) en su red. Este modelo necesita delinear
los ofrecimientos de servicios requeridos en la red y divide estos ofrecimientos en categorías o
capas apropiadas para agruparlas por tipo. Además, para reflejar apropiadamente la naturaleza de
seguridad de estos agrupamientos y para delinear que están diseñados para proporcionar acceso a
recursos dentro de la red, el modelo debe recibir un nombre de una manera que refleje su propósi-
to. Por eso dependemos de un modelo llamado“punto de acceso a servicios seguros (PASS)”.
NOTA Este modelo fue presentado por primera vez en .NET Enterprise Technologies, de Nelson Ruest
y Danielle Ruest (Pearson Education, 2001), y se denominó originalmente “Modelo de punto de acce-
so de servicio o de objeto SPA”. Se ha rebautizado aquí como PASS para relejar mejor su naturaleza.
El modelo PASS se basa en un modelo de servicio existente y bien conocido: el modelo de

referencia de red de la interconexión de sistemas abiertos (OSI, Open Systems Interconnection)
de la International Standard Organization (ISO). El modelo OSI es un buen modelo de origen
porque está basado en varios principios y es bien conocido en la industria. Describe el trabajo en
red entre clientes y servidores mediante una serie de capas, donde cada capa tiene su propio con-
junto de servicios funcionales. La interacción entre capas se basa en interacciones comunes y está
limitada a las capas inmediatamente adyacentes.
El modelo PASS refleja estos mismos principios. Cada capa tiene una función específica, que
ofrece un conjunto determinado de servicios a las otras capas adyacentes. Este modelo en capas
puede aplicarse a PC o servidores, ya sean físicos o virtuales. Aunque es similar al modelo OSI, el
contenido del modelo PASS está dividido en nueve capas (vea la figura 3-4):
• Física
• Sistema operativo
• Red
• Almacenamiento
• Seguridad
Herramienta
corporativa
Función del Agrupamientos Desarrollo de Confidencialidad Soporte de la Aplicaciones críticas
sistema departamentales aplicaciones de la información misión para la misión
Los mismos métodos que en la PC, pero con un

Presentación enfoque administrativo
Diseño Control de escritorio local Contenido Métodos Áreas menos comunes

de escritorio en comparación con central del escritorio abreviados comunes y de Inicio rápido
Herramienta Herramientas comerciales Aplicaciones de Administración de RCA Reagrupamientos

especializadas clientela restringidas por función funcionales de la aplicación
comercial
Herramientas Producción de Imágenes Service Léxicos y Utilerías
comerciales comunes información genéricas Packs vocabularios comerciales
Interfaces de sistema Paquetes de Colaboración Mensajes

Comunicaciones heredados idiomas corporativos
Correo Tecnologías de Conferencia Explorador de Tecnología de Calendarización de agenda

electrónico flujo de trabajo compartida Internet multidifusión individual y de grupo
Tecnologías de Control de acceso Cifrado de Cifrado de volu- Estructura de árbol de almacena-

Seguridad no repudio interno y externo datos men completo miento confidencial única y unificada
Propiedad de los Perfiles de Directiva de Derechos y Administración de Administración de acceso

activos de TI usuario grupo privilegios de acceso grupo centralizada
Prácticas y tecnologías de Estructura Almacenamiento Almacenamiento de datos temporal de

Almacenamiento recuperación de datos de archivos unificado tecnologías de replicación de datos
Componentes Software de Servicios Servicios de Bases de datos Servicios de
físicos almacenamiento de archivo indización transacción
Acceso a sistemas Acceso remoto y redes Administración Cola de

Trabajo en red heredados privadas virtuales remota de objetos mensajería
Protocolo único para Estructuras de Estructura única de asigna- Método único de creación Secuencias de co-
trabajo en red dos LDAP ción de nombres a objetos de secuencias de comandos mandos certificadas
Sistema Programación Administración

de tareas de sucesos
operativo
Sistema Service Packs y correc- Controladores certifi- Bibliotecas dinámicas de víncu- Complementos de sistema
operativo ciones actualizadas cados por el fabricante los (DDL, Dynamic Link Libraries) operativo corporativo
Equipos Almacenamiento
Física máximo en disco duro
Estándares DMTF
Servidores Cableado Impresoras Escáneres Todos los demás componentes de
hardware de la estructura de TI
©2002-2007, Resolutions Enterprises, Ltd.
FIGURA 3-4 Las nueve capas del modelo PASS se aplican a PC y servidores.
• Comunicaciones
• Aplicaciones comerciales
• Presentación
• Aplicaciones corporativas
Gráficamente, el modelo PASS representa un diseño que es muy similar al modelo de referen-
cia OSI con la adición de otras dos capas. Este modelo demuestra cómo puede construir y presentar
tecnologías de la información de maneras comprensibles para auditorios técnicos y no técnicos.
Pero gran parte de ellas, no están representadas en este tipo de diagrama. Una separación de todos
los servicios en capas lleva al lector a imaginar que cada capa puede ser independiente con su pro-
pio modelo de administración y sus propios métodos para entregar servicios. No es así.
En realidad, aunque todas las capas están relacionadas entre sí de maneras específicas, algu-
nas tienen una relación más fuerte que otras. Al examinar el contenido de cada capa, puede ver
que algunas deben implementarse en cada servidor, mientras que otras se orientan a funciones
específicas de servidor. Estos métodos de componentes “comunes” en comparación con “especí-
ficos” deben influir en la construcción del modelo de nueve capas. Para proporcionar un modelo
claro de construcción, las nueve capas deben reagruparse en secciones específicas que están
orientadas a cada servidor único y otras que están orientadas a grupos de servidor que tendrán
funciones específicas dentro de la red.
Por esto, el modelo se reestructura en seis secciones. Este nuevo diagrama puede servir ahora
como un mapa para el diseño y la implementación de un servidor. Éste es el modelo PASS. Entre
sus secciones se incluyen:
• Física Componentes físicos estándar
PARTE II
• Kernel del sistema PASS Todos los componentes comunes a todos los servidores
• Aplicaciones comerciales basadas en funciones Los componentes que están instalados
en un servidor y se encuentran a disposición de todos los usuarios del servidor.
• Aplicaciones comerciales ad hoc Componentes comerciales que están instalados en pocos
servidores, a pesar de su función.
• Aplicaciones corporativas basadas en funciones Componentes instalados en un servidor,
pero cuyo acceso está restringido a usuarios específicos y autorizados.
• Aplicaciones corporativas ad hoc Componentes corporativos que están instalados en
pocos servidores, sin importar su función.
En el eje de este modelo se encuentra el concepto de estandarización, sobre todo dentro de
las secciones de kernel físico y de servidor (el kernel es el componente que se instala como nú-
cleo de cada servidor). Estandarización no significa reducción de calidad; simplemente significa
hacer todo de una sola manera, unificada. Por sí solo, esto puede reducir enormemente los costos
de TI en la empresa. El modelo PASS despliega claramente los mecanismos que pueden usarse
para construir servidores, siempre y cuando se disponga de estándares para dar soporte a todos
los procesos que identifique (vea la figura 3-5).
Los beneicios del modelo PASS

El uso de un solo modelo para la esquematización de los servicios técnicos proporcionados por
PC y servidores tienen varias ventajas importantes. En primer lugar, al usar secciones específicas
e incluir a propósito una sección de presentación, se forma el marco conceptual para la interac-
ción entre usuarios y tecnología dentro de un entorno distribuido de Windows. En segundo lugar,
se determina que no debe haber diferencias en los métodos usados para administrar y mantener
objetos de PASS (PC o servidores). En tercer lugar, se describe la manera de construir servidores
y PC. En cuarto lugar, se usa un marco conceptual que permitirá que los sistemas (físicos o vir-
tuales) evolucionen con el tiempo a través de métodos estructurados de administración. Además,
cada una de las seis secciones principales de este modelo proporciona beneficios específicos.
La estandarización de la sección física asegura que la organización tenga herramientas
modernas para realizar tareas de tecnología de la información. También asegura el control de ob-
solescencia dentro de la organización. Además, al reducir la diversidad del hardware dentro de la
organización se reducen costos, porque se necesita mantener menos controladores de dispositi-
vos para cada tipo de periférico. Con Windows Server 2008, incluso querrá orientarse a la inclusión
de periféricos que puedan certificarse (es decir, que vienen con controladores de dispositivos que
están firmados digitalmente por el fabricante, garantizando su estabilidad). En realidad, en el caso
Herra
s mie Pres
ne n en
Co tas
c
ci o
ho
m d
fun
ta
u
Alm Seg n
ad
ci duct
e a ci
en
ón
u
ial
Trab acen
pr ón
Ap
ic dad nto
ado
erc
o
ri
a
lica
SO j o
com
bas
am n red
C
cion
ivid
e tral
ie
omercial
Soft ware
en
Aplicaciones cor porat

es corporativas basa
ad
e c
Kernel del sistema PASS

ft wa r
So
das
i vas
e
ad
n fun
ho
cio
c
n
es
Capa física (hardware)
FIGURA 3-5 El modelo de punto de acceso para servicios seguros, o PASS.
de los sistemas de 64 bits, tienen que certificarse todos los controladores; como resultado, es una
buena práctica aplicar la regla a todos los modelos de servidor, si se puede. Cuando la estabilidad es
la principal prioridad, es fundamental la reducción del número de posibles fuentes de problemas.
La sección física siempre debe basarse en estándares de la instancia, como las delineadas por la
Desktop Management Task Force (DMTF, fuerza de tareas de administración de escritorio). Encon-
trará más información acerca de la DMTF y los estándares que promueve en www.dmtf.org.
NOTA Si opta por pasar a un centro de datos virtualizado, entonces todo el hardware de servidor
será de 64 bits y todos los componentes de servidor estarán certiicados. Esto asegurará que las
instancias virtuales del sistema operativo que ejecuta en esos equipos físicos no sufrirán fallas
debido a componentes no estándar o no certiicados.
El kernel del sistema PASS es la sección que le ahorrará más a su organización, porque
proporciona el marco conceptual para la integración de servicios comunes de PASS en una sola
unidad. Esto significa que la organización debe empezar por idear el contenido técnico de cada
una de las capas secundarias del kernel, las reglas y directrices que las rigen y sus subcapas
de personalización o interacción. Esta información puede usarse para crear interactivamente
sistemas de referencia que servirán como fuente para la instalación automatizada de todos los
servidores en la red.
Con el uso de nuevos métodos de creación de imágenes del sistema o tecnologías de im-
plementación de Windows, puede capturarse el kernel completo en una sola fase de instalación.
Esta imagen del sistema puede desplegarse para cada servidor físico dentro de la red y proporcio-
na un solo estándar unificado. Se trata de una correlación directa con la nueva configuración ba-
sada en imagen que soporta WS08 y Vista. Además, tener una imagen de sistema central facilitará
en gran medida el aprovisionamiento de servidores y la restauración de éstos en caso de fallas.
En cuanto a los ofrecimientos de servidores virtuales, esta imagen estándar se captura con mayor
facilidad, porque sólo requiere que haga un duplicado de los archivos del disco que integran el
servidor y luego utilice esta copia en los demás servidores.
Pero la automatización no es el único requisito. La planeación es esencial, porque el nuevo
sistema estará disponible para todos los usuarios. Aquí la organización necesitará identificar el
PARTE II
contenido específico de cada subcapa empleando las directrices descritas anteriormente. Sólo los
componentes de software de toda la organización se incluirán en el kernel del servidor. En esta
etapa, también será vital preconfigurar apropiadamente la sección de presentación del sistema de
referencia que sirve como el dispositivo de origen antes de la reproducción.
El kernel del sistema incluye la subcapa de presentación. Si TI es un servicio, entonces ésta
es la sección más importante de todo el kernel. Es el único aspecto con el que los usuarios y los
administradores interactuarán a diario. La presentación no se detiene en el escritorio. Todos los
elementos que los usuarios pueden ver en un sistema deben estar estandarizados. La organiza-
ción ahorra mediante reducciones evidentes en capacitación, porque la interfaz de cada sistema
es exactamente igual. Si todos los discos, los escritorios, los menús y las características de des-
pliegue están estandarizadas en todos los servidores, los usuarios finales (aun los administrado-
res y técnicos) siempre podrán realizar rápidamente su trabajo en cualquier servidor o PC dentro
de la red. En el caso de los recién llegados, la organización puede capacitarlos sobre la manera de
usar sus propios sistemas corporativos, no sobre el uso básico de Windows.
La sección de software comercial basado en funciones incluye todas las aplicaciones comer-
ciales que no tienen una función crítica para la misión y que deben instalarse en un servidor, con
base en su función en la red. Esta capa obtiene beneficios del proceso de racionalización y pro-
porciona aplicaciones simples para cualquier tarea determinada de tecnología de la información.
Esta sección, sobre todo la subsección de aplicación comercial especial, puede ahorrar tiempo
y dinero, porque las aplicaciones están agrupadas como familias funcionales de productos que
proporcionan servicios especializados. Por tanto, la implementación de estas aplicaciones puede
realizarse mediante la asignación de la familia de aplicaciones a grupos específicos de servidores
(o funciones de servidor) dentro de la organización.
Aquí, será importante que la presentación de todas las aplicaciones sea similar (que todos los
métodos abreviados de menú estén almacenados de manera coherente en ubicaciones apropia-
das, que los métodos abreviados ajenos se eliminen, que todos los programas estén almacenados
dentro de una estructura de disco unificada y que todos los procedimientos de guardado usen la
misma carpeta predeterminada). Estos elementos forman los estándares de esta sección.
Las aplicaciones comerciales ad hoc son las que deben instalarse en servidores, sin im-
portar la función que desempeñen. Por ejemplo, una aplicación de monitoreo especial tal vez
necesite instalarse cuando está enfrentando problemas con un servidor particular, pero se
eliminaría una vez que el problema esté resuelto. Por tanto, es una aplicación ad hoc. Debido a
que estas aplicaciones aparecen en todas las funciones de servidor, se requiere sólo en servido-
res específicos.
La capa de aplicaciones corporativas basadas en función se concentran en funciones del

negocio críticas para la misión. Una vez más, lo indicado para las subcapas de presentación es
que esta sección de la aplicación se una a todo el sistema. Aquí, los costos de implementación
de la aplicación son considerablemente reducidos, porque las familias de aplicaciones pueden
implementarse en servidores específicos dentro de la red. Debido a que las aplicaciones se
implementan como grupo, el costo de hacerlo es mucho menor que si se implementaran las
aplicaciones de una en una. La principal diferencia entre esta sección y la de capa de software
comercial es el acceso restringido. Los usuarios de aplicaciones corporativas deben tener auto-
rización, porque pueden tener acceso a información confidencial a través de sus aplicaciones,
mientras que los usuarios de aplicaciones comerciales no necesitan el mismo nivel de auto-
rización, porque las aplicaciones comerciales suelen tener licencias para el servidor y no por
usuario.
Las aplicaciones corporativas ad hoc, al igual que las comerciales, se instalan sin importar
la función del servidor, pero a diferencia de las aplicaciones comerciales, están aseguradas por
usuario. Debido a esta diferencia en el modo de licencia (las aplicaciones comerciales tienen
licencias por PC o servidor, y las corporativas se controlan por usuario), las capas de aplicaciones
comerciales se consideran horizontales y las capas corporativas, verticales. Todos los usuarios o
administradores de la organización pueden acceder a las capas horizontales, pero las capas ver-
ticales están controladas fuertemente debido a la información confidencial a la que dan acceso.
Se debe tener en cuenta esta diferencia cuando se diseñan versiones propias del modelo PASS.
Todos los métodos de instalación y administración para la implementación de Windows Server
2008 (físico, virtual) deben usar el modelo PASS y depender de sus principios. Para ello, necesita
concentrarse en dos elementos:
• El kernel del servidor o de todos los elementos que serán comunes a todos los servidores.
• Funciones o configuraciones de servidor: todos los de las aplicaciones o funciones que pueden
consolidarse en grupos similares de servidores.
Diseño del kernel del servidor: almacenes de recursos en comparación

con ofrecimientos de servicios virtuales
El kernel del servidor está diseñado para entregar todos los servicios comunes a todos los servi-
dores. La decisión de incluir un componente está basada en la necesidad organizacional, además
del modo de licencia. Si su organización posee una licencia corporativa para un componente de
servidor, debe incluirse en el kernel. Si su corporación requiere una función específica en todos
los servidores, la tecnología que lo permite debe incluirse en el kernel. El contenido del kernel
también incluye la configuración predeterminada del servidor. La finalización de la configuración
de elementos del kernel del servidor y su captura en una imagen de sistema puede simplificar
enormemente el proceso de implementación. En esta configuración también debe incluir la pre-
paración de la subcapa de presentación. Si se asegura de que todos los nuevos entornos creados
en el servidor tengan acceso inmediato a las herramientas de administración del servidor y a las
utilerías del servidor, también se simplifica el proceso de administración del servidor (consulte la
tabla 3-1). Del mismo modo observará que hay diferencias importantes entre los contenidos del
kernel para servidores físicos y virtuales.
Subcapa Contenido sugerido

Servidor de recursos físicos Ofrecimientos de servicios virtuales
Sistema Proporciona servicios básicos de siste- Proporciona servicios básicos de sistema operativo,
operativo ma operativo, incluidos: incluidos:
Núcleo de Windows Server 2008, ya sea Windows Server 2008 (la edición más adecuada)
la edición Enterprise o Datacenter Service Packs, correcciones actualizadas, o am-
Service Packs, correcciones actualiza- bas, si son aplicables
das, o ambas, si son aplicables Controladores certiicados (video, administración
Controladores certiicados (video, admi- de energía, impresón, etcétera)
nistración de energía, etcétera) DLL (DLL de Visual Studio, ediciones de .NET
Programación de tareas, coniguracio- Framework, otras)
nes de administración de sucesos, Tipos estándar
PARTE II
o ambas Programación de tareas, coniguraciones de admi-
nistración de sucesos, o ambas
Trabajo en red Para aplicar estándares de red: Para aplicar estándares de red:
IPv4, IPv6 o ambos IPv4, IPv6 o ambos
Identiicación de servidor (nombres de Identiicación de servidor (nombres de host, NetBIOS)
host, NetBIOS, equipo) Pertenencia al dominio o grupo de trabajo
Pertenencia al dominio o grupo de Arranque, apagado, inicio de sesión y secuencias
trabajo de comandos de salida
Redes privadas virtuales/componentes de enruta-
miento y acceso remoto
Componentes de cola de mensajes
Nota: también puede ser un hipervisor de terceros.
Almacenamiento Para estandarizar la manera en que se Para estandarizar la manera en que se presenta la
presenta la información: información:
Unidades físicas compartidas (alma- Unidades físicas idénticas: sistema operativo,
cenamiento adjunto a la red, red de datos y registros (si se requieren)
área de almacenamiento) para los Discos lógicos idénticos
sistema operativo y los datos Árbol local: software actual y heredado
Discos lógicos idénticos Árbol local: datos
Árbol local: software actual y heredado Árbol de red (sistema de archivos distribuido o DFS)
Árbol local: datos Parámetros de replicación (replicación de DFS)
Árbol de red (sistema de archivos distri- Requisitos de base de datos
buido o DFS) Mecanismos de protección de sistema operativo
Parámetros de replicación (replicación y datos
de DFS)
Mecanismos de protección de sistema
operativo y datos
Seguridad Para estandarizar el control de acceso: Para estandarizar el control de acceso:
Propietario del sistema Propietario del sistema
Directivas de grupo local Periles de usuario y directivas de grupo local
Local (sistema de archivos de nueva Local (NTFS o sistema de archivos de nueva tecno-
tecnología o NTFS) y derechos y logía) y derechos y permiso de acceso a red
permiso de acceso a red Administración central de control de acceso
Administración central de control de Administración de directiva de grupo
acceso Software antivirus
Administración de directiva de grupo Detección de intrusión y herramientas de auditoría
Software antivirus Cifrado de sistema operativo
Detección de intrusión y herramientas Cifrado de datos
de auditoría Cifrado de transporte
TABLA 3-1 Contenido sugerido para el servidor kernel

Subcapa Contenido sugerido

Servidor de recursos físicos Ofrecimientos de servicios virtuales
Cifrado de sistema operativo (sobre todo
para sitios remotos)
Cifrado de datos
Cifrado de transporte
Comunicaciones Herramientas y procedimientos: Herramientas y procedimientos:
Paquetes de idioma Exploradores (página de inicio, favoritos corpora-
tivos internos, modos protegidos, antiphishing,
controles de proxy/irewall)
Herramientas de comunicación para usuario (men-
saje de la administración, de tecnología de la
información, etcétera)
Herramientas de recolección de datos
Tecnologías de grupo de trabajo/colaboración
Periles predeterminados
Paquetes de idiomas
Herramientas Inclusión de herramientas administrati- Inclusión de herramientas administrativas básicas:
genéricas vas básicas: Herramientas administrativas
Hipervisor (función de virtualización) Herramientas de soporte
Monitoreo y administración de rendi- Herramientas del kit de recursos
miento Monitoreo y administración de rendimiento
Service Packs apropiados Service Packs apropiados
Presentación Controla funcionalidades genéricas: Controla el aspecto del escritorio y funcionalidades
Secuencias de comandos comunes genéricas:
Elemento principal de virtualización Componentes de escritorio
Métodos abreviados de menús y área de Inicio
rápido
Peril de usuario predeterminado y colas de impre-
sión de presentación
TABLA 3-1 Contenido sugerido para el servidor kernel (Continuación)
Una vez que haya configurado la imagen de su sistema, necesitará implementar un proceso
actualizado de administración para asegurarse de que está al día. El mejor programa es uno que
cada trimestre genera una nueva versión de la imagen. Entre tanto, se aplican parches a la ima-
gen implementándola y luego aplicando los parches una vez que la imagen se ha implementado.
La práctica le ayudará a determinar cuál es el mejor programa.
Además, debe usar una estrategia de asignación de nombres para imágenes. Use números
enteros para cada versión importante, y use números con punto para cada actualización/parche
que aplique. Por ejemplo, la imagen 1.02 sería la primera imagen que cree con dos niveles de
parches, y la imagen 2.00 sería la primera reconstrucción completa de una imagen.
Administre imágenes de servidor virtual

Las “imágenes” de servidor virtual son más fáciles de administrar, porque no son más que
copias de los archivos que integran los discos duros virtuales del sistema. Esto significa
que siempre puede mantener el equipo de referencia. En una instalación física, es difícil
mantenerlo, porque necesita el hardware que trabaje con él. Esto significa que precisa
reconstruir el equipo de referencia cada vez que quiera actualizarlo.
Pero en los equipos virtuales puede construir el equipo de referencia, copiar los archivos
que lo integran mientras mantiene el equipo de referencia original como está, despersonali-
zar la copia y usarla para sembrar nuevas instalaciones del sistema. Luego, cada mes, a me-
dida que se lanzan parches, puede actualizar el equipo de referencia y repetir este proceso,
que es más largo en el caso de instalaciones físicas, porque no puede mantener el equipo de
referencia tan fácilmente como en el caso de las instalaciones virtuales.
PARTE II
Conigure funciones de servidor
Ahora que ha creado el kernel de su sistema, puede proceder a la identificación de las funciones
del servidor. Esto se hace al agrupar los tipos de servicios por afinidad. Ciertos tipos de servicios
o funciones no son compatibles, mientras que otros tienden a caer en la misma categoría. Como
resultado, tendrá funciones que se definen por el tipo de servidores de software que se ejecutan y
el tipo de servicio que entregan. Surgen ocho categorías principales (vea la figura 3-6):
• Infraestructura de red y servidores físicos Estos servicios proporcionan funciones
esenciales de la red, como direccionamiento IP o resolución de nombres, incluido el soporte
para sistemas heredados. También proporcionan servicios de red privada virtual (VPN, Virtual
Private Network) y enrutamiento y acceso remoto. Y como son un servicio de nivel básico,
ejecutan la función de virtualización en equipos físicos.
• Servidores de administración de identidad Estos servidores son los administradores de
identidad centrales de la red. Contienen y mantienen toda la base de datos de identidad de la
corporación para todos los usuarios y todo el acceso de usuarios. En el caso de WS08, serían ser-
vidores que ejecutan ADDS. Esta función no debe compartirse con otra, hasta donde sea posible,
a menos que se trate de una función esencial para la red, como la resolución de nombres.
• Servidores de archivo e impresión Estos servidores se concentran en la provisión de al-
macenamiento y servicios de documentos estructurados para la red. Como verá, estas funcio-
nes están muy expandidas en WS08 y forman la base del intercambio de información dentro
de esta tecnología.
• Servidores de aplicaciones Estos servidores proporcionan servicios de aplicaciones a la
comunidad de usuarios. Entre los ejemplos de WS08 estarían Exchange Server, SQL Server,
etcétera; en realidad, cualquier servicio del sistema de Windows Server.
• Servidores de terminal Estos servidores proporcionan un entorno de ejecución central de
aplicaciones para usuarios. Los usuarios sólo necesitan una infraestructura mínima para acce-
der a estos servidores, porque todo su entorno de ejecución reside en el propio servidor.
• Servidores Web dedicados Estos servidores se concentran en la provisión de servicios Web
para comunidades de usuarios. Esta edición Web de WS08 está específicamente diseñada para
cumplir estas necesidades.
• Servidores de colaboración Estos servidores proporcionan la infraestructura para el trabajo
de equipo en la empresa. Entre sus servicios se incluyen Windows SharePoint Services (WSS),
transmisión de flujo en servicios multimedia y comunicaciones en tiempo real.
Servidores de seguridad contra fallas
Servidores de
archivos e impresión Servidores de aplicaciones Servidores de terminal Servidores Web dedicados Servidores de colaboración
Servidores de red centrales
Servidores de Servidores de
infraestructura de red administración de identidad
FIGURA 3-6 Las ocho funciones de los servidores.
• Servidores de seguridad contra fallas Esta octava función se concentra en la redundancia

y proporciona continuidad para el negocio al tener imágenes idénticas de servidores de produc-
ción en modo de espera. Cuando falla un servidor de producción, la versión segura contra fallas
entra en línea. El aspecto más importante de la construcción de este servidor está representado
por las tecnologías de replicación, que aseguran que los servidores de seguridad contra fallas
estén siempre actualizados y que no se pierdan datos. Esta categoría es ahora muy fácil de crear,
porque los servidores virtuales no son más que archivos que necesitan replicarse en otra ubica-
ción. Los servidores físicos también son fáciles de reproducir, porque sólo ejecutan una función.
Además, también entra en juego la ubicación del servidor. La ubicación alude a la proximi-
dad arquitectónica o la ubicación del servidor en un sistema distribuido de extremo a extremo.
Son posibles tres posiciones:
• Dentro de la intranet
• En el perímetro de seguridad, a menudo denominado zona desmilitarizada (DMZ, DeMilitari-
zed Zone), aunque en el caso de organizaciones grandes, el perímetro a menudo incluye más
elementos que sólo la DMZ
• Fuera de la empresa
Cada uno de estos elementos debe tomarse en cuenta durante la elaboración de la solución
que diseñe con Windows Server 2008. Con el advenimiento de la virtualización, la colocación
del servidor tiende a difuminarse, porque los equipos virtuales de un host físico pueden estar en
una zona mientras que otros del mismo host están en otra. Asegúrese de mantener en cuenta la
ubicación del servidor cuando coloque los servidores virtuales para cada zona de su red.
Diseñe la arquitectura de red

Como puede ver, no es necesariamente complicado moverse a Windows Server 2008, pero repre-
senta un proyecto importante. El alcance del proyecto variará, dependiendo del tamaño de su red,
el número de servidores que contiene y el número de usuarios a los que sirve. Pero en todos los
casos, lo considerará un proyecto primordial que requiere una inversión importante. Es una de las
razones por las que no debe tomarse a la ligera. Por supuesto, todos los que participan en un pro-
yecto de actualización del sistema operativo harán lo máximo para entregar un gran producto (la
nueva red), pero no todos estarán necesariamente dispuestos a participar por completo en el nuevo
sistema operativo o en este proyecto, porque puede haber alguna resistencia a este cambio.
Ésta es la razón por la que una de las primeras tareas que debe emprender es definir su
concepto de proyecto. Un concepto le ayudará a identificar los objetivos de la implementación.
También le ayudará a delinear el alcance del cambio que quiere implementar y la dirección que
necesita tomar. Y, junto con las herramientas de administración del cambio descritas antes, le
ayudará a concentrarse en el proyecto para que todos estén en el mismo barco.
Microsoft, mediante el marco conceptual de soluciones de Microsoft, usa el método SMART
para la definición del concepto. SMART (inteligente) son las siglas de Specific, Measurable,
Attanaible, Result-oriented and Timing (específico, medible, alcanzable, orientado a resultados
y a tiempo). La declaración del concepto que defina debe incluir todos estos elementos (debe
PARTE II
especificar lo que quiere hacer en pasos medibles y alcanzables, que estén orientados a resulta-
dos y que especifiquen el tiempo que tomará hacer el cambio). También debe incluir información
acerca de la entrega del servicio, por lo general para los usuarios. Por ejemplo, una visión para
una implementación de WS08 podría ser:
“Diseñar e implementar una red estructurada y estandarizada que se base en las capacidades
inherentes de Windows Server 2008 para mejorar nuestra capacidad de cumplir con las nece-
sidades del negocio y el usuario mediante la implementación de un centro de datos dinámico, y
completar el proyecto dentro del año siguiente.”
Este concepto incluye todos los elementos descritos antes. Además, es corto, fácil de com-
prender y de recordar.
¿Cuál es la razón de que exista un concepto? Asegurar que el proyecto de implementación
se oriente a los objetivos correctos. Una de las grandes fallas de los proyectos tecnológicos es que
no siempre aprovechan por completo las capacidades de la tecnología. Por ejemplo, en el capítulo
1, definimos las características de WS08 y debido a este nuevo conjunto de características, queda
claro que Windows Vista es el cliente de elección para WS08. Por supuesto, WS08 trabaja con
clientes de nivel menor, pero si quiere aprovechar por completo sus capacidades en la red actua-
lizada, debe asegurarse de implementar o usar Windows Vista en su PC cliente.
En resumen, el concepto está allí para asegurar que no olvide que está implementando
una nueva tecnología (una tecnología que supera a la que está reemplazando y que a menudo
proporciona una gran cantidad de nuevas maneras de hacer las cosas). Lo peor que puede suce-
derle a su red es que no tenga esto en cuenta y que siga usando métodos antiguos cuando están
disponibles otros más recientes y eficientes (todo simplemente porque usted no sabe o no quiere
saber que existen). ¡No deje que esto le pase a su proyecto! No adapte la nueva tecnología a sus
métodos antiguos; adapte sus métodos antiguos a la nueva tecnología.
Además, asegúrese de usar un método estructurado para realizar el diseño de su nueva red
de servicios. Una de las mejores maneras de hacer esto consiste en introducir el concepto de
procedimientos operativos estándar (POE), si no los está usando aún.
Un método estructurado: use procedimientos operativos estándar

Los POE ayudan a reducir costos y a mejorar la estabilidad de la red porque aseguran que todos
estén usando los mismos procesos para un procedimiento determinado. Los POE documenta-
dos, aún para procedimientos interactivos o manuales, pueden reducir en gran medida el margen
de error cuando se realiza cualquier procedimiento, sobre todo en un servidor. Un POE bien
diseñado también proporcionará un punto de contacto para referencia si algo sale mal durante su
operación, dejando que su personal entremezcle sus habilidades y dependa de los demás cuando
surjan problemas.
Pero el personal técnico no siempre conoce bien los procedimientos y las operaciones de
documentación y estandarización. A menudo, a los técnicos les resulta más fácil simplemente
mantener todo en mente y saber qué hacer si surge un problema específico. Aunque este méto-
do funciona y ha dado resultados probados, su mayor desventaja recae en la disponibilidad del
personal clave (cuando éste ya no está disponible, el conocimiento desaparece de la empresa).
Por otra parte, a menudo es difícil para las organizaciones asignar un presupuesto para la docu-
mentación de los POE. Es un proceso que consume tiempo y cuyos beneficios no siempre son
evidentes de inmediato para la administración.
Debido su valor probado, los POE se usarán aquí siempre que se pueda. Cada vez que deba
delinearse un procedimiento, se hará a través de un POE. Por tanto, puede ahorrar mucho tiem-
po y esfuerzo con sólo adaptar a la empresa el POE de este libro, de acuerdo con las condiciones
de su situación particular.
Un POE es un conjunto documentado de instrucciones que deben seguirse para completar un
procedimiento determinado. Se concentra en maximizar la eficiencia durante la recolección de los
requisitos de operación y producción. Una vez implementados, los POE apoyan los niveles de
servicio garantizados y se vuelven la base de la elaboración de los acuerdos de nivel de servicio.
Cuando se definen bien, los POE permiten que una organización mida el tiempo que toma rea-
lizar una tarea dada. Estos procedimientos también se usan para simplificar la detección y solución
de problemas, porque todos los procesos son iguales en todos lados. Por último, los POE propor-
cionan redundancia y reducción de costos en administración, porque todos los técnicos y adminis-
tradores de red usan los mismos procesos en cualquier lugar en que se encuentren y no se requiere
volver a capacitarlos. Por tanto, los POE que escriban también se volverán el núcleo de cualquier
programa de capacitación técnica que proporcione al personal administrativo de su empresa.
Mejores prácticas de POE

Varios conceptos que deben tomarse en cuenta cuando se escriben o adaptan POE:
• Incorpore variables de seguridad y entorno en los pasos tradicionales tipo “cómo hacer” que
escriba.
• Todos los POE deben cumplir la definición de un POE (consulte los párrafos anteriores).
• El POE real no debe incluir más de seis a 12 pasos que sean efectivos. Si un POE va más allá
de 10 pasos, considere estas soluciones:
• Divida el POE largo en varios POE de trabajos secundarios lógicos.
• Prepare primero el POE de capacitación completa más largo para obtener una imagen de cuál
es la capacitación que se requiere. Luego decida cómo dividirlo en trabajos secundarios más
cortos.
• Convierta el POE largo en un documento o manual de capacitación para complementar los
POE más cortos de trabajos secundarios.
• Si escribe POE de método abreviado, explique la razón tras ciertos pasos para comprender
la importancia de seguir todos los pasos en el orden apropiado.
• Escriba POE para personas que actúan bajo circunstancias interpersonales diferentes:
• Para personas que trabajan solas.
• Para dos o más personas que trabajan como un equipo.
• Para personas que supervisarán a otras durante un trabajo.

• Para personas que no están familiarizadas con las reglas generalmente comprendidas por
sus empleados.
• Considere la edad, la educación, el conocimiento, la habilidad, la experiencia y la capacitación,
y trabaje en la cultura de los individuos que realizarán los pasos del POE.
• Pronostique los efectos y los pasos futuros en ciertos puntos del POE, para indicar a los lecto-
res cosas que deben saber por anticipado (pasos futuros que requieren precaución, precisión,
oportunidad y atención del personal).
• Una vez que se complete el POE, haga que varios compañeros de trabajo lo prueben y le den
retroalimentación.
• Revise la eficacia de los POE después de unas semanas, y haga los cambios necesarios si las
PARTE II
prácticas de campo sugieren que deben mejorarse las descripciones:
a) Revise y actualice los POE cuando estén cambiando los procesos y el equipo.
b) Cuando esté instalado el nuevo equipo, tome la oportunidad de escribir un nuevo POE, in-
corporando lo bueno del antiguo, y agregando lo que sea necesario para satisfacer el nuevo
equipo.
• Haga que los POE sean lo más cortos posible. Esto asegurará que se puedan seguir.
• Dependa de la experiencia de su personal para crear y probar los POE. Por supuesto, puede
complementar esta experiencia con ayuda externa.
• Asegúrese de que todos los POE tengan un propietario y un operador designados.
• Ilustre los pasos en un POE, cada vez que sea posible. Siempre es más fácil seguir un diagra-
ma que escribir instrucciones.
Aquí, ahora tiene las herramientas organizacionales requeridas para empezar el proceso del
diseño de su nueva red. La estructura de un procedimiento operativo estándar se ilustra en la
figura 3-7.
Para ayudar en el proceso de diseño de la nueva red, en la siguiente sección se describe un
POE de ejemplo. Sirve a dos propósitos. En primer lugar, demuestra la manera en que debe
integrarse un POE. En segundo lugar, delinea los pasos que habrán de seguirse para diseñar la
arquitectura lógica que necesitará para actualizar el nuevo sistema operativo.
El proceso del diseño arquitectónico lógico

Todo proyecto de infraestructura de red debe empezar con el diseño de la arquitectura lógica.
Aquí es donde se toman las decisiones arquitectónicas que afectarán la manera en que usará la
tecnología a la que se está moviendo. Hay que considerar una gran cantidad de elementos y hay
que tomar varias decisiones antes de realizar su primera instalación de producción de WS08.
El diseño de la arquitectura de red es un proceso que debe empezar por revisar la propia or-
ganización para identificar las necesidades de trabajo que orientarán el tipo de servicios que debe
entregar. En realidad, el proceso debe seguir algunos pasos específicos antes de que la instalación
esté lista para implementarse. Tendrá que tomarse en consideración cada aspecto de la red, y de-
berán atenderse todas las necesidades. El esquema de la figura 3-8 delinea el proceso que habrá
de usarse para el diseño de una arquitectura de red. Está concentrado en tres pasos básicos:
• Identificar los requisitos de negocio.
• Identificar los requisitos técnicos.
• Diseñar la solución.
FIGURA 3-7 1. Revise la lista de verificación para preparar la instalación

Un POE estructurado.
2. Seleccione la versión de Windows
3. Revise la hoja de datos del servidor
4. Use la lista de verificación posterior a la instalación
5. Documente los requisitos de configuración y personalización
Sólo para el servidor de referencia:
6. Instale Windows AIK en el sistema de administración
7. Haga una copia de seguridad del servidor de referencia
8. Prepare el archivo de respuesta
9. Cree una imagen .wim (si es necesario)
10. Pruebe el método de implementación
También es importante recordar que la arquitectura lógica de red es un producto y debe tratar-
se como tal. Esto significa que debe ser iterativo. Como en el proyecto de desarrollo, es una buena
idea usar las técnicas de versión cuando se construye esta arquitectura. De esta manera, puede dar
pequeños pasos mientras construye y prepara su entorno. ¡No trate de hacer todo de una vez!
El diseño de la solución debe cubrir los siguientes elementos:
• Planee el diseño lógico de red.
• Prepare y proceda a realizar instalación de servidor.
• Diseñe e implemente la infraestructura de Servicios de dominio de Active Directory.
• Diseñe e implemente la infraestructura de IP.
• Diseñe e implemente la infraestructura de soporte a usuario.
• Diseñe e implemente la estrategia de directiva de grupo.
• Diseñe e implemente el intercambio de recursos y estrategia de interconexión.
• Diseñe e implemente la estrategia de seguridad.
• Prepare lo necesario para la administración de la red.
• Prepare para administración de riesgo.
Con el uso de los ciclos de vida delineados en las figuras 3-1, 3-2 y 3-3, este libro se con-
centra en tres de las cuatro fases del ciclo de vida: planeación, preparación e implementación, y
producción. Aquí se incluye parte de la cobertura y el análisis de la fase de retiro, pero obviamen-
te no se tratará con la solución que diseñe para WS08; se concentrará en el retiro y la eliminación
del sistema operativo Windows más antiguo, o de otros sistemas que tenga actualmente.
Este plano se ha usado en varios de los diferentes proyectos de implementación de redes
empresariales con resultados sorprendentemente buenos. Las primeras dos fases de este plano,
los componentes de análisis, se aplican tanto al diseño de la red como al diseño de los Servicios
de dominio de Active Directory, como verá en los capítulos siguientes.
El plano muestra que el diseño de las soluciones empieza con la actividad de planeación.
Esta actividad lleva a la arquitectura lógica inicial. Debido a que la arquitectura es crucial para el
proyecto (no hay nada que implementar si no tiene una arquitectura), se vuelve valiosa para la
organización en la introducción de su primer procedimiento operativo estándar: el proceso de
diseño arquitectónico. En el POE de ejemplo, algunos elementos de éste se han omitido, porque
varían entre organización y organización.
Análisis Diseño de la solución
Requisitos de Requisitos
Arquitectura de red empresarial
negocios técnicos
1. Modelo de negocio 1. Entorno de TI existente 1. Planeación 7. Recursos de red e

• Modelo de organización o planeado • Revise los requisitos interconexión
• Objetivos de
PARTE II
• Tamaño de la • Revise las nuevas • Carpetas para
organización organización características del compartir
• Productos/servicios • Número de usuarios producto • Impresoras para
• Alcance geográfico • Ubicación de los • Cree la arquitectura compartir
• Procesos de la recursos inicial • Aplicaciones para
organización • Distribución geográfica • Prepárese para la compartir
2. Estructura de la de red y vínculos instalación • Recursos de auditoría
organización • Ancho de banda 2. Instalación • Internet Information
• Modelo de disponible • Preparación Server
administración • Requisitos de • Instalación inicial • Enrutamiento IP
• Estructura de la rendimiento H/S • Instalaciones • Acceso remoto
organización • Patrones de datos automatizadas 8. Infraestructura de
• Relaciones entre • Funciones de red y • Puesta en seguridad
comercializadores/socio/ responsabilidades funcionamiento del • Diseño de directiva de
cliente • Problemas de seguridad servidor seguridad
• Planes de adquisición 2. Impacto de la red 3. Infraestructura de AD • Recursos de seguridad
(negocios) empresarial • Diseño de AD • Seguridad de IIS
3. Estrategias de • Sistemas y aplicaciones • Instalación de AD • Infraestructura de clave
organización existentes • Administración de AD pública (PKI)
• Prioridades del negocio • Actualizaciones/mejoras 4. Infraestructura de IP 9. Administración de
• Crecimiento proyectado planeadas • Configuración de red resistencia
y estrategia • Infraestructura de IP • Administración de • Recuperación de
• Implicaciones legales • Estructura de soporte conexión desastres
• Tolerancia al riesgo a tecnología • Direccionamiento de IP • Estrategia de detección
• Objetivos de TCO • Red planeada y • Resolución de nombres y solución de
4. Administración de TI administración del 5. Estrategia de problemas
• Administración sistema actuales administración de PC • Planeación de
centralizada, • Servicios de • Administración de redundancia
descentralizada, o autentificación objetos con directiva de 10. Administración
ambas 3. Administración de grupo de red
• Modelo de obtención escritorio de • Instalación de software • Diseño de
de fondos cliente/PC • Administración del administración
• ¿Producción interna o • Requisitos de usuario entorno • Administración remota
con proveedores final 6. Infraestructura de • Tareas de rutina
externos? • Soporte a tecnología estructura de usuario • Administración de
• Proceso de toma de para usuarios finales • Administración de rendimiento
decisiones • Entorno requerido de usuario (cuentas, • Administración de
• Proceso de administra- cliente grupos, autentificación) directorios
ción del cambio • Base de cliente interna • Administración del
o externa entorno de usuario
FIGURA 3-8 Esquema para el diseño de una arquitectura de red lógica.

POE de ejemplo: diseño de una arquitectura de red

Título de POE Diseño de la arquitectura de red.
Categoría Planeación y diseño.
Propósito Este procedimiento forma el resultado básico de la fase de planeación y diseño de la
introducción de un nuevo servicio en la red organizacional. Está dirigido a arquitectos, planeado-
res y administradores del sistema.
Se requieren dos tipos de arquitectura cuando se implementa una nueva tecnología: la ar-
quitectura empresarial o lógica, que se concentra en las orientaciones, reglas y estándares para el
servicio, y la arquitectura técnica, que se concentra en los detalles técnicos de la implementación
del servicio. Ambas pueden depender de este procedimiento, con pequeñas variaciones.
Cobertura de la tarea El procedimiento cubre el diseño de la arquitectura. Empieza con la revisión
de la situación existente y de los inventarios existentes y actualizados. Si los inventarios están actua-
lizados, se facilita mucho este procedimiento, porque puede concentrarse en su objetivo en lugar de
distraerse en realizar una recolección de inventario real. La revisión de la situación debe presentar
también una lista de problemas existentes y de otros que pueden atenderse con el nuevo servicio
que se está introduciendo. Asegúrese de que la revisión también se concentre en los elementos posi-
tivos de la situación existente. Esto asegura que lo que está haciendo bien, seguirá haciéndose así.
Herramientas necesarias
Equipo •Un equipo personal
•Un laboratorio tecnológico capaz de reproducir el entorno que habrá de reemplazarse.
•Copias de evaluación o de prueba de la tecnología que permite un servicio.
Materiales de referencia •Los archivos de ayuda de la nueva tecnología.
•Documentos de referencia de la nueva tecnología.
•Acceso a Internet.
Requisitos de Los arquitectos empresariales deben tomar capacitación de introducción a la nueva tec-
capacitación nología. Esto puede darse en la forma de capacitación externa o de autoaprendizaje.
Materiales generales •Información sobre la organización, sus metas y objetivos.
•Datos de inventario en formato electrónico.
Oportunidad •La arquitectura lógica debe realizarse desde el mismo principio del proyecto.
•La arquitectura tecnológica debe realizarse en cuanto se complete la arquitectura lógica
y se haya autorizado que se siga con el proyecto.
Pasos a dar Los pasos que habrán de darse son los siguientes (vea la figura 3-9):
1. Revisión de la situación actual El proceso de diseño arquitectónico empieza con una revi-
sión de la situación actual. ¿Qué está mal? ¿Por qué necesitamos cambiar la situación actual?
¿Cuáles son nuestros objetivos de negocios? ¿Qué problema tratamos de resolver? Ésas son
las preguntas que necesitamos responder en esta etapa. Además, no olvide proyectarse en
el futuro. Si es probable que parte de la información que se reúna en esta fase cambie en el
futuro cercano, asegúrese de incluirla en su informe.
2. Actualice y revise los inventarios Para responder algunas de las preguntas que se plan-
tean en el paso 1, necesita asegurarse de que sus inventarios estén actualizados y de revisarlos.
Asegúrese de que tengan todos los detalles que necesite, de modo que obtenga acceso a toda
la información que requiera.
Revise la situación actual

Actualice y revise los inventarios
Identifique las necesidades del negocio
Revise las tendencias del mercado
Revise las características del producto
Use las mejores prácticas aplicables
Personalice a los requisitos del negocio
Incluya en su proyecto el soporte a requisitos futuros del negocio
Racionalice hardware y software
Trate con la obsolescencia
Resuelva problemas existentes
Pruebe mediante pruebas de concepto
PARTE II
Estandarice y certifique su solución
FIGURA 3-9 Pasos de POE de ejemplo que podrían darse.
3. Identiique las necesidades del negocio Use los resultados de los dos pasos anteriores
para identificar y dar prioridades a las necesidades del negocio de su empresa. Concéntrese
en las que atiende específicamente el servicio que desea implementar.
4. Revise las tendencias del mercado Revise las tendencias de la industria y el mercado en
este campo. Divídalas en categorías como corto y largo plazos. Identifique las que afectan a
su situación. Seleccione la tecnología apropiada que brindará soporte al servicio que desea
implementar.
5. Revise las características del producto Si la solución habrá de basarse en un producto
específico, revise y aprenda sobre las características del producto. Ahora que sabe lo que usará
para dar soporte a su solución, necesita identificar las características específicas en que se
basará. También debe asegurarse de que comprende la filosofía detrás de las características
para que pueda aprovecharlas al máximo. Si la solución está basada en la actualización de un
producto existente, concéntrese en las nuevas características y mejoras.
6. Use las mejores prácticas aplicables Revise las mejores prácticas de la industria y del fabri-
cante de la tecnología que espera implementar. Retenga sólo las mejores prácticas aplicables.
7. Personalice los requisitos del negocio Personalice la solución que cumpla con los requi-
sitos actuales del negocio. Asegúrese de que se cumplan todos los requisitos de la lista que
produjo en el paso 3. Si alguno no se cumple, explique por qué.
8. Incluya en su proyecto el soporte a requisitos futuros del negocio Asegúrese de que su
solución puede evolucionar con el tiempo y, en especial, con las crecientes necesidades del
negocio y las tendencias futuras. No querrá implantar una solución que no pueda cambiarse
con el tiempo.
9. Racionalice el hardware y el software Racionalice el hardware y el software lo más
posible durante el diseño de su solución. Si su inventario le indica que tiene más de un tipo
de objeto que realiza las mismas operaciones, redúzcala a un solo tipo. Esto simplificará la
administración del servicio que desea implementar.
10. Tome en cuenta la obsolescencia Si su equipo, ya sea de hardware o software, es obsoleto,
reemplácelo en cuanto pueda, aunque tenga algo de vida. No tiene sentido instalar algo nuevo
en un equipo que será reemplazado en los próximos seis meses.
11. Resuelva los problemas existentes Asegúrese de que su solución resolverá específica-
mente los problemas existentes que se identificaron en los pasos 1 y 3. Si su entorno actual
tiene problemas de cualquier tipo (técnicos, debidos a la situación, físicos o incluso humanos),
asegúrese de que su solución los tratará apropiadamente.
12. Experimente mediante pruebas de concepto Pruebe todo de manera completa. Realice
ensayos de concepto si no está seguro de algo. Siempre es más fácil probar primero y docu-
mentar después.
13. Estandarice y certiique su solución Estandarice dentro de la solución. Si deben docu-
mentarse algunos procedimientos, asegúrese de que se delineen mediante procedimientos
operativos estándar. También asegúrese de que todos los procesos que recomiende se han
probado. Si está usando software que su fabricante puede certificar, asegúrese de que la certi-
ficación sea parte de su solución.
Comentarios adicionales No olvide el objetivo de la arquitectura: resolver problemas, mejorar ni-

veles de servicio y permanecer dentro del presupuesto. Asegúrese de que incluye a otros grupos,
sobre todo a los que va dirigida la solución, en su proceso de diseño de solución.
Realice una revisión de la situación y un análisis de las necesidades

Como puede ver, el punto de partida de cualquier cambio es la situación actual y el mejor lugar
para empezar una revisión de la situación actual son los inventarios. Como se registró en el plano
de la figura 3-8, el análisis empieza con identificación de la información relacionada con el nego-
cio y luego se pasa a los detalles del entorno técnico para el que necesitará diseñar la solución.
En el caso de la arquitectura lógica de red WS08, su análisis deberá concentrarse más especí-
ficamente en dos áreas adicionales:
• Si trata de realizar una migración a partir de un entorno existente, deberá realizar un inventa-
rio extenso de servidores para identificar cuáles pueden racionalizarse, cuáles pueden retirarse
y reemplazarse, y cuáles servicios requerirán servidores completamente nuevos. También
necesitará un inventario detallado de los servicios y las funciones que cada servidor existente
realiza. Esto significará detallar a los usuarios actuales en cada servidor, la información alma-
cenada en el servidor, los parámetros de seguridad para esa información, etcétera.
• Si está implementando una nueva red, necesitará identificar claramente los requisitos del
negocio para escalar apropiadamente los servidores que usted implementará.
No se contenga en esta actividad, porque es la que orientará la solución que diseñe.
SUGERENCIA Como necesitará moverse a un centro de datos virtual o dinámico, tal vez quiera
aprovechar las posibilidades de las migraciones de servidor físico a virtual. Por ejemplo, el Micro-
soft System Center Virtual Machine Manager (SCVMM, en www.microsoft.com/systemcenter/
scvmm/default.mspx) tiene la capacidad de capturar las imágenes del equipo físico y convertirlas
en equipos virtuales. Esto es muy útil para probar y preparar los nuevos entornos de ofrecimien-
tos de servicios virtuales. Si depende de un hipervisor que no es de Microsoft, como los propor-
cionados por VMware o Citrix, puede usar otras herramientas de migración. VMware ofrece el
VMware Converter (www.vmware.com/products/converter); Citrix puede depender en realidad
de SCVMM, porque es compatible con el mismo formato de equipo virtual que Microsoft.
Cambio en la función de los servidores

Uno de los objetivos principales de cada nueva versión de Windows que Microsoft lanza es dar
soporte a nuevo hardware y a los avances en la tecnología de hardware. En términos de servidores,
estos avances son considerables, sobre todo con el surgimiento de la tecnología de 64 bits. Hoy en
día, el rendimiento de hardware básico para un servidor ya no tiene un límite ni es un problema.
La mayor parte de los servidores de hoy en día son servidores de multiprocesamiento, que pueden
escalarse mediante la adición de más unidades de procesamiento central (CPU, Central Processing
Units) o incluso más microprocesadores. Los servidores de hoy en día también son compatibles
con las características de adición activa, como RAM, unidades de disco e incluso CPU, sin tener que
detener el servidor. Además, las tecnologías de almacenamiento han evolucionado en las redes de
área de almacenamiento (SAN, Storage Area Network) o soluciones de acceso a red (NAS, Net-
PARTE II
work Access Solutions), que son fáciles de escalar de manera transparente. En realidad, su centro de
datos dinámico depende de servidores blade de 64 bits unidos a almacenamiento central y compar-
tido, para reducir la recolección de información del servidor y hacer que su centro de datos sea lo
más ecológico posible, disminuyendo la generación de calor y el consumo de energía.
Microsoft ha ayudado de manera considerable con el lanzamiento de Windows Vista y en
especial de Windows Server 2008. Cada vez son más las situaciones de reinicio que se eliminan
con cada versión de Windows. Vista introdujo el Administrador de reinicio, una aplicación que
detendrá y reiniciará los servicios en lugar de reiniciar el servidor, eliminando aún más estos
escenarios. Las modificaciones de red ya no requieren reinicio y la adición de un poderoso motor
Plug and Play significa la adición de algunos tipos de hardware que ya no requieren un reinicio.
WS08 debe ejecutarse en hardware de 64 bits, que rompe varias barreras de rendimiento
presentes en el mundo de los 32 bits. Las versiones de WS08 soportan el nuevo concepto de ser-
vidor “sin cabeza” (servidores sin vínculos físicos directos con monitores o dispositivos de entra-
da). Server Core es un ejemplo excelente de esto y debe ser la versión que se ejecute en todas las
máquinas físicas. WS08 está diseñado para aprovechar esas nuevas capacidades, porque todas las
versiones de Windows Server 2008 tienen capacidades de multiprocesamiento en cierto grado.
En realidad, Microsoft y los fabricantes de chips Intel y AMD trabajan continuamente de la mano
para desarrollar las directrices para la creación de servidores con cada nueva versión de Windows.
Ambos comercializadores de chips han permitido las extensiones de virtualización en sus proce-
sadores, de las que Hyper-V puede obtener el máximo. Antes de que tome sus decisiones sobre
los servidores, debe leer definitivamente las últimas noticias de este esfuerzo de colaboración.
Microsoft publica esta información en su sitio Web en www.microsoft.com/whdc/default.mspx.
Consolide servidores con Windows Server 2008 mediante almacenes de recursos

Un servidor hoy en día proporciona una función. No es un producto. Muchas organizaciones han
tomado servidores de una sola instancia cuando trabajan con versiones antiguas de Windows.
Este método se inició con Windows NT. Aunque NT en sí era un producto sólido, muchas de las
operaciones o aplicaciones que las organizaciones realizaban con él lo hacían inestable. A menu-
do, la mejor manera de tratar con esta inestabilidad era dedicar el servidor a una función especí-
fica. Otra razón para este método eran las adquisiciones de hardware basadas en proyectos (cada
vez que un proyecto requería un servidor, se adquiriría uno propio y se agregaría a uno o más
nuevos servidores de un solo propósito a la red). Desafortunadamente, el método del servidor
de un solo propósito sirve para aumentar el número de servidores en la organización al punto de
la proliferación. Muchos servidores de Windows nunca se usan a su total capacidad. En muchos
casos, ¡el servidor raramente excede 15% del uso! La llegada Windows Server 2008, y en especial
la introducción de las tecnologías de virtualización del servidor, permiten que las organizaciones
revisen los métodos tradicionales de servidor y busquen una creciente consolidación de los servi-
dores (hasta 80% o más en casi todos los casos).
Las consolidación incluye menos servidores y más grandes. Menos servidores significa una
administración más simple. Puede mejorar los niveles de servicio porque es más fácil mantener
la operación de unos cuantos servidores centralizados que varios servidores distribuidos. Hay
menos tiempo perdido, porque los servidores tienden a estar centralizados y proporcionar acceso
físico más fácil. Las aplicaciones pueden implementarse más rápidamente porque la mayor
parte del código reside en el propio servidor. Es más fácil estandarizar porque participan menos
elementos físicos. Y, con los servidores virtuales, puede fácilmente mover una instancia virtual
de un servidor de un host físico a otro, proporcionando respuestas dinámicas para las crecientes
necesidades de los negocios.
Hay cuatro justificaciones para la consolidación:
• Centralización Reubicación de los servidores existentes en una menor cantidad de sitios.
• Consolidación física Muchos servidores más pequeños se reemplazan con menor cantidad
de servidores más poderosos.
• Integración de datos Varias bases de datos distribuidas se consolidan en un solo depósito
de datos.
• Integración de aplicaciones Varias aplicaciones migran a servidores menores y más pode-
rosos. Las aplicaciones deben tener un cierto grado de afinidad antes de que esta integración
pueda ocurrir.
Mediante el uso de tecnologías como el hipervisor de WS08 (la delgada capa ejecutiva que
virtualiza todo el hardware físico), ESX Server o Virtual Infrastructure de VMware, podrá aprovechar
el hardware de un solo servidor al instalar varias instancias de WS08 dentro de equipos virtuales. Si
se encuentra entre quienes tienen servidores que funcionan a no más de 15% de su capacidad, la
virtualización le ayudará a mejorar la utilización de los recursos. En promedio, podrá ejecutar entre
10 y 20 equipos virtuales por host físico, dependiendo, por supuesto, de la configuración de éste.
Por último, Microsoft WS08 le ofrece funcionalidad de clúster mejorada sobre versiones an-
teriores de Windows Server. Los servicios de clúster ahora son una función que será entregada al
sistema que configura. Cuando activa o modifica los servicios de clúster con WS08, ya no necesita
reiniciar sus servidores. Además, los servicios de clúster de WS08 son compatibles con Active
Directory; es decir, se publican dentro de Active Directory y están disponibles para todos los
usuarios de la misma manera que los servicios que no son de clúster. También son más flexibles,
y ya no tienen un solo punto de falla en el recurso de quórum porque dependen de un File Share
Witness (testigo de recursos compartidos de archivo).
La disposición en clúster y la consolidación del servidor son de los objetivos que debe tener
en mente cuando diseña su arquitectura de red lógica de WS08. Para ello, necesita agrupar servi-
dores por función para ver cuáles agrupamientos lógicos están disponibles para fines de consoli-
dación. Ésa es otra razón para usar el modelo PASS ilustrado en la figura 3-5.
SUGERENCIA El solo desplazamiento de todos sus servidores a la virtualización no hará que se

cumplan los objetivos de la consolidación de su servidor. Piense en esto: si todos sus servidores
existentes están virtualizados, en realidad tendrá más servicios que antes porque debe agregar los
nuevos servidores de host físico. Piense en la consolidación cada vez que virtualice una función.
¿Es posible realizar esta misma función con menos máquinas? Si es así, dependa de las nuevas
características de WS08 para reducir el número de servidores virtuales que ejecuta.
Consideraciones sobre la migración

Además, es importante identificar la ruta de migración que usará para moverse de su red actual a
la red empresarial de WS08. Ponemos varias técnicas para migrar de un sistema operativo de red
a otro, pero también hay directrices que deben tomarse en cuenta. Por supuesto, si se implemen-
ta una nueva red basada en WS08, las consideraciones de migración no son su preocupación más
importante.
La migración de un sistema operativo sería más fácil si la hiciera mientras se encuentra de
PARTE II
vacaciones o durante un cierre anual de operaciones. Desafortunadamente, la mayoría estará
realizando migraciones durante las operaciones normales del negocio. Además, tendrá que hacer
el proceso de migración transparente a los usuarios y al proceso del negocio. ¡Vaya reto!
En realidad, las migraciones deben tomar en cuenta varios factores:
• Debe asegurarse de proporcionar, por lo menos, exactamente los mismos niveles de servicio
que los usuarios están experimentando en su red. Por supuesto, su principal objetivo será
mejorar la experiencia de red del usuario, pero debe asegurar que cualquier cosa que pase no
reducirá los niveles de servicio. Ésta es una de las razones por las que debe incluir represen-
tantes del usuario en el proyecto de diseño de la red. Ellos le ayudarán a mantenerse enfoca-
do. Después de todo, la red está allí como un servicio para ellos.
• También debe asegurarse de que proporciona programas de capacitación completos en todos
los niveles de su organización. Si se está moviendo de Windows NT a WS08, encontrará que
la principal tarea de capacitación es técnica, no orientada al usuario. Mientras los usuarios
experimentan nuevas características, como las mejoras a la interfaz, es principalmente en
capacidad de administración y en confiabilidad que las mejoras de WS08 abundan. El perso-
nal técnico tendrá que emprender una capacitación extensa. También tendrá que prepararse
bien antes de implementar la nueva red. Además, tal vez querrá asegurar que el programa
de capacitación de usuarios que entrega se presenta al mismo tiempo que la migración. En
realidad, los mejores resultados de la migración ocurren cuando la capacitación del usuario
está sincronizada con el programa de migración. Si sus usuarios ya están ejecutando Windows
Vista, la capacitación será reducida, porque ya estarán acostumbrados al uso de la interfaz.
• También querrá asegurar que todas sus aplicaciones se ejecutan apropiadamente en WS08. Si
está ejecutando Windows NT o incluso Windows 2000, necesita probar las aplicaciones por
completo para asegurarse de que operan de manera apropiada bajo el nuevo sistema opera-
tivo. Una de las principales razones para esto es el nuevo modelo de seguridad en WS08. Los
usuarios están mucho más restringidos en WS08 de lo que estaban en versiones anteriores,
debido al nuevo Control de cuentas de usuario introducido con Windows Vista; por tanto, las
aplicaciones que se ejecutan bajo versiones anteriores no necesariamente se ejecutan apro-
piadamente bajo WS08. Pero hay otras ventajas en el uso de éste. WS08 ofrece un modo de
compatibilidad con aplicaciones que es el mismo ofrecido por Windows Vista. Eso es algo que
no estaba disponible en Windows 2000. Las aplicaciones deben ejecutarse mejor en WS08 que
en Windows 2000, e incluso en WS03. No obstante, descubrirá que varias de sus aplicaciones
necesitarán actualizarse o modificarse de otra manera para ejecutarse de manera apropiada.
La racionalización es de gran ayuda aquí porque representa menos actualizaciones. Tanto la
racionalización como la prueba de compatibilidad amplia de las aplicaciones deben ser parte
de su proyecto.
• Querrá determinar si necesita actualizar su sistema o si realiza instalaciones limpias. La
decisión dependerá de una gran cantidad de factores, pero el método más valioso es la nueva
instalación. Las nuevas instalaciones simplemente ofrecen mejor estabilidad y confiabilidad,
porque le dan la oportunidad de limpiar sus sistemas existentes.
• También necesitará considerar la manera de migrar sus servicios de directorio y autentifica-
ción. WS08 incluye una herramienta mejorada para migración de Active Directory. Esa herra-
mienta le permite la migración de cuentas usuario y contraseñas de Windows NT y Windows
2000-2003. Es una buena herramienta para la consolidación y migración de dominios. Ese
tema se analizará más a fondo en capítulos futuros.
Éstas no son las únicas consideraciones que tendrá que tomar en cuenta cuando migre, pero
son un buen punto de partida.
Red con Windows Server 2008

La base de cualquier red es el concepto de comunicación. Hoy en día, nadie puede permitirse
estar sin la ventaja competitiva que una red de tecnología de la información le da a una organi-
zación. A pesar de sus detractores, el protocolo de control de transmisiones/protocolo de Internet
(TCP/IP, Transmission Control Protocol/Internet Protocol), se ha vuelto el estándar de facto para
todas las comunicaciones de red. Y con el advenimiento de la versión 6 de este protocolo, estará
más afianzado que nunca antes.
El principio detrás de TCP/IP es simple: cada componente de red recibe un identificador
específico. En la versión 4 (IPv4), este identificador está en el formato de un número de 32 bits:
cuatro secciones de ocho valores binarios cada uno. Este esquema de dirección genera un total de
más de cuatro mil millones de direcciones IP. Dado el número de direcciones, pensaría que IPv4
podría satisfacer las necesidades de Internet de todo el mundo, pero no es así. Eso se debe a la
propia estructura de direccionamiento de IPv4. Como todas las direcciones están subdivididas en
una clase, y se ha dado a las organizaciones la oportunidad de adquirir clases para uso privado,
aunque en realidad no requieran todas las direcciones dentro de esa clase, las posibles cuatro mil
millones de direcciones han sido asignadas rápidamente y ahora resultan insuficientes. Debido a
esto, el mundo de las redes ha tenido que aplicar maneras innovadoras de usar IPv4 para satisfa-
cer las necesidades y los requisitos de trabajo de un mundo interconectado.
Una de estas soluciones es el uso de la traducción de direcciones de red (NAT, Network
Address Translation). Se trata de una herramienta estupenda, porque permite que una organiza-
ción use un esquema de direccionamiento interno que es diferente del externo que se expone al
mundo exterior. Se han reservado tres rangos de direcciones para uso interno:
• Clase A: 10.0.0.0 a 10.255.255.255 (máscara 255.0.0.0)
• Clase B: 172.16.0.0 a 172.31.255.255 (máscara 255.255.0.0)
• Clase C: 192.168.0.0 a 192.168.255.255 (máscara 255.255.255.0)
Las organizaciones escogen la clase que mejor se amolde a sus necesidades con base en el
número de host que se requieren dentro de la red interna. La clase A permite casi 16 millones de
host por subred, la clase B más de 65 000 y la clase C sólo 254. Cuando se comunican en Inter-
net, NAT traduce la dirección interna en una dirección externa, que a menudo es proporcionada
por un proveedor de servicios de Internet (ISP, Internet Service Provider). NAT usa puertos TCP
y crea un almacén a partir de los 65 000 posibles puertos cuando más de una dirección interna
necesita traducción, que multiplican en gran medida el número de direcciones que las organiza-
ciones pueden usar, aún con las limitaciones del IPv4.
Además, IPv4 no puede asignar automáticamente direcciones de host sin ayuda externa. Si
su red interna incluye varios miles de host, definitivamente querrá aprovechar los mecanismos
de direccionamiento automático. En IPv4, eso se hace a través del protocolo de configuración
dinámico de host (DHCP, Dynamic Host Configuration Protocol).
Aunque todos los host de su red tengan una dirección específica, el uso de este número de 32
bits para comunicarse entre host no es práctico para los seres humanos. Por tanto, necesitamos re-
solver estos números y convertirlos en nombres (que podamos recordar más fácilmente). El sistema
de asignación de nombres de dominios (DNS, Domain Naming System) es el proceso que usa-
PARTE II
mos para resolver una dirección de Internet en un nombre más manejable. Pero si usa tecnologías
heredadas dentro de su red de Windows, también requerirá resolución de nombres heredados. Eso
se realiza mediante el sistema de asignación de nombres de Internet de Windows (WINS, Windows
Internet Naming System). Con el advenimiento de Windows Vista y WS08, WINS es poco nece-
sario. En realidad, una de las nuevas características que WS08 ofrece para IPv4 es la posibilidad de
usar DNS para reproducir el tipo de servicios que ofrece WINS. Eso se hace mediante la inclusión
de una nueva zona de nombres global, que contiene registros estáticos, globales, con nombres de
una sola etiqueta, como los proporcionados mediante WINS. Las organizaciones que se mueven a
WS08 deben revisar el uso de este nuevo tipo de zona y eliminar los servidores WINS de sus redes.
A pesar de estas soluciones temporales, el uso de IPv4 se está volviendo cada vez más difícil,
sobre todo en cuanto al enrutamiento. Los enrutadores de Internet que usan la versión 4 de TCP/
IP están teniendo cada vez más problemas para almacenar tablas de rutas, la ruta que un host
debe usar para alcanzar un destino determinado. Se necesita una solución permanente si todo el
mundo habrá de tener acceso a Internet, sobre todo en las naciones emergentes.
La Internet Engineering Task Force (IETF, fuerza de tarea de ingeniería de Internet) ha estado
trabajando durante algún tiempo en una solución completa para el caso de IPv4. La solución está
incrustada en la versión 6 del protocolo TCP/IP: IPv6. La versión 6 usa un esquema de direc-
cionamiento de 128 bits. Esto da como resultado 340, 282, 366, 920, 938, 463, 463, 374, 607, 431,
768, 211, 456 unidades únicas en Internet, suficientes para el tiempo futuro. IPv6 puede soportar
verdadera comunicación de punto a punto entre hosts y destinos sin el uso de esquemas como
la traducción de direcciones. Además, IPv6 incluye otras mejoras importantes. Por ejemplo, un
host de IPv6 necesariamente requiere DHCP, porque genera su propia dirección a partir del
número único asignado a su tarjeta de interfaz de red, el número de control de acceso a medios
(MAC, Media Access Control). Si el host necesita comunicarse externamente, su dirección IPv6
se generará a partir de la dirección MAC y de la dirección del enrutador al que está conectado,
simplificando en gran medida la dirección y las comunicaciones, porque la dirección del enruta-
dor se vuelve parte de la dirección del host. WS08 incluye soporte completo a IPv6. En realidad,
IPv6 está instalado y habilitado como opción predeterminada. Cada host tiene su propia direc-
ción IPv6 automática junto con su dirección IPv4. WS08 usa una tecnología llamada Teredo para
asignar direcciones IPv4 a IPv6 y viceversa.
Aunque todos los sistemas WS08 y Vista podrán usar automáticamente IPv6, aún hay algu-
nos problemas con su uso. Por ejemplo, los enrutadores necesitan dar soporte a IPv6 para que el
protocolo funcione. La mayoría de los fabricantes de enrutadores han implementado soluciones
de software para soporte a IPv6 para los enrutadores existentes, y los nuevos enrutadores inclu-
Implementación de TCP/IP
La implementación que hace Windows de IPv6 proporciona una dirección automática de
vínculo local. Las direcciones de vínculo local están diseñadas para comunicarse única-
mente en la red de área local (LAN, Local Area Network). Para que pueda comunicarse
con redes de área amplia (WAN, Wide Area Network), necesitará obtener un almacén de
direcciones y asignarlas a su sistema. Este tema se cubrirá en futuros capítulos mientras
analizamos la implementación de sus nuevos servicios de red.
Encontrará más información acerca de funcionalidades de TCP/IP incluidas en WS08
en un documento de Microsoft titulado“Changes in Functionality from Windows Server 2003
with SP1 to Windows Server 2008” (cambios en funcionalidad de Windows Server
2003 con SP1 a Windows Server 2008), en inglés en www.microsoft.com/downloads/de-
tails.aspx?FamilyID=173E6E9B-4D3E-4FD4-A2CF-73684FA46B60&displaylang=en.
yen este soporte como opción predeterminada. Los sistemas de Cisco y otros tienen revisiones
de software que es posible descargar para sus sistemas operativos, que incluye soporte a IPv6.
Nuevos productos de enrutador tienen soluciones de hardware para soporte de IPv6. Pero el
soporte del enrutador no es el único requisito. Las aplicaciones que están basadas en IPv4 hoy en
día no funcionarán automáticamente con IPv6, porque la operación central del protocolo TCP/
IP es diferente. En casi todos los casos, las tecnologías de traducción incluidas en Vista y WS08
harán de manera transparente la transición a esas aplicaciones, pero en todos los casos es mejor
convertirlas para usarlas con su nueva versión del protocolo. Por último, necesitará asegurarse
de que sus mecanismos de protección (firewalls, sistemas de detección de intrusiones, etcétera),
son completamente compatibles con IPv6 antes de que pueda pasar a sus implementaciones.
Todas las organizaciones que planeen moverse a IPv6 tendrán que preparar cuidadosamente sus
implementaciones antes de seguir adelante.
Prepare comunicaciones de red

La mayor parte de las organizaciones utilizan redes de Windows que ya tienen un esquema de
direccionamiento de red complejo incluido para dar soporte al uso de IPv4 dentro de sus redes
internas. En muchos casos, esas organizaciones seguirán usando este esquema con 28. Este es-
quema de direccionamiento incluye los siguientes elementos:
• Direccionamiento IP centralizado, incluida planeación de LAN virtual y física.
• Resolución de nombres, de Internet y heredados
• Administración de alertas
• Equilibrio de carga de servicios
• Multidifusión
Pero mientras prepara la implementación de IPv6, obtendrá beneficios de un esquema de
direccionamiento simplificado, que dependa de sistemas centralizados de direccionamiento IP,
como DHCPv6, para generar automáticamente todas las direcciones IPv6. Además, la Oficina de
Administración y Presupuesto del gobierno de Estados Unidos ha establecido a junio de 2008
“…como la fecha en que todas las infraestructuras de las agencias [gubernamentales]… deben
estar usando IPv6…” Esto hace el tiempo para este movimiento perfecto para muchas organiza-
ciones, no sólo en Estados Unidos sino en todo el mundo.
NOTA Para obtener más información acerca del memorando de la Oicina de Administración y
Presupuesto, consulte www.whitehouse.gov/omb/memoranda/fy2005/m05-22.pdf#search=%22om
b%20ipv6%22.
Windows Server 2008 está completamente basado en el protocolo TCP/IP. En realidad, todo
el funcionamiento del Active Directory de WS08, el núcleo de la red de WS08, está basado en el
direccionamiento TCP/IP y la resolución de nombres. Como tal, el protocolo TCP/IP en WS08 se
PARTE II
vuelve un componente central de cualquier red empresarial WS08. Debido a esto, los capítulos
futuros estarán completamente basados en TCP/IP como protocolo central para la implementa-
ción de servicios de red.
La nueva pila TCP/IP

Como WS08 depende tanto de TCP/IP, Microsoft ha mejorado el protocolo de una manera radical
en relación con lo que se incluía en versiones anteriores de Windows. Entre estas mejoras se
incluyen:
• Arquitectura dual de capa IP para IPv6
• Configuración automática de configuraciones de capa basada en el entorno de red
• Compartimientos de enrutamiento
• Interfaces de programación de aplicaciones (API, Application Programmin Interfaces)
para seguridad y filtrado de paquetes
Cada ayuda aumenta la velocidad de comunicaciones TCP/IP entre equipos que ejecutan
Vista, WS08 o ambos.
Las implementaciones de IPv4 e IPv6 en WS08 comparten las capas comunes de transporte
y encuadre a través de un archivo dual de capa de IP. Debido a esto, ambas implementaciones de
protocolo pueden ejecutarse en el mismo dispositivo sin interferencia, proporcionando funcionali-
dad agregada y simplificando la transición a IPv6 para organizaciones de todos los tamaños.
Con su capacidad para configurar automáticamente sus parámetros de rendimiento claves, la
pila TCP/IP de WS08 percibirá el entorno de red y proporcionará velocidades óptimas a través de
ajustes a la ventana Recibir y otras afinaciones de parámetros. Esto elimina la necesidad de la con-
figuración manual de estos parámetros clave de protocolo y proporcionará mayores velocidades de
transferencia de datos, mejor uso del ancho de banda y menor número de retransmisiones. Esto ayu-
da a acelerar las transferencias de archivos largos y las operaciones de copia de seguridad de la red.
Los compartimientos de enrutamiento se usan para segregar tráfico de diferentes interfaces.
Por ejemplo, si un equipo soporta varias conexiones, como VPN, Terminal Services y conexiones
directas de inicio de sesión, cada sesión puede estar separada, para que las tablas de enrutamien-
to de IP y otras configuraciones de conexión estén aisladas entre sí. Esto sirve para limitar los
posibles peligros de tener un sistema que sirve como puente entre varios tipos de conexiones y
de vincular redes posiblemente inseguras con su entorno corporativo.
La Plataforma de filtrado de Windows (WFP, Windows Filtering Platform) puede filtrar todas
las capas de la pila TCP/IP, proporcionando una sola interfaz para vínculos con la seguridad de
TCP/IP, la Firewall de Windows, el almacenamiento de información de filtrado de paquetes y el
tráfico de host local. Esto proporciona un método más seguro e integrado para control del conte-
nido y permite que comercializadores independientes de software creen vínculos más fácilmente
con esta nueva característica de seguridad.
SUGERENCIA Encontrará más información acerca de WFP en www.microsoft.com/whdc/device/

network/WFP.mspx.
La nueva pila TCP/IP también incluye otras características, como la capacidad de modifi-
car configuraciones de red sin tener que reiniciar el sistema, eliminando la mayor parte de las
situaciones de reinicio, además de dar soporte a diagnósticos en tiempo de ejecución, un registro
y una traza de sucesos más eficientes. En general, esta nueva pila mejora en gran medida las
comunicaciones de red para Vista y WS08, haciendo que este componente básico sea más flexible
y estable. Cualquier persona que haya trabajado con Vista habrá experimentado ya muchas de
estas mejoras a través de una velocidad y un rendimiento mejorados en cualquier comunicación
de red, aun la que se establece con sistemas operativos de menor nivel.
Uso del laboratorio tecnológico como un campo de pruebas

La actividad final para su proyecto de red de WS08 es la preparación e implementación de un
laboratorio tecnológico. Debido a que la prueba de compatibilidad de aplicaciones y las pruebas
de concepto son una parte integral del proceso de diseño y preparación, el laboratorio tecnológi-
co desempeña un papel crucial.
El laboratorio debe contener tecnologías suficientes como para reproducir de manera
apropiada la infraestructura de TI existente en la organización. Debe incluir las tecnologías más
recientes. Con frecuencia, las organizaciones usan equipo recuperado que no es lo mejor ni lo
más reciente. Esto sólo limita los posibles beneficios de este laboratorio, porque su objetivo es
trabajar con nuevas tecnologías. Éstas siempre requieren hardware más poderoso. Si planea com-
prar nuevo equipo para su proyecto de implementación, es una buena idea comprar previamente
unos cuantos sistemas y usarlos para prueba de laboratorio.
El laboratorio también debe incluir estrategias de instalación y recuperación rápidas. Por
ejemplo, si los técnicos están trabajando en un estudio de caso que requiere la puesta en funcio-
namiento de Active Directory e infraestructura de WS08, no querrá que tengan que reconstruirla
desde cero cada vez que regresen al laboratorio. Una de las mejores maneras de proporcionar
esta capacidad consiste en depender de las tecnologías de virtualización. Esto permite a cada
grupo técnico preparar y almacenar sus propios entornos de trabajo. Se ahorrarán un tiempo
considerable cuando regresen. El uso de la virtualización requerirá un poderoso servidor de
almacenamiento porque cada entorno debe almacenarse de manera independiente durante el
tiempo que duren las pruebas.
Además, el laboratorio requerirá estaciones especiales que estén desconectadas de la red del
laboratorio y conectadas a la red interna y a Internet. Estas estaciones sirven para documenta-
ción, investigación y descargas de software. Lo ideal es que estas estaciones estén ubicadas por
todo el laboratorio para que los técnicos tengan fácil acceso a ellas.
El aspecto más importante del laboratorio será su coordinación de actividades y su intercambio
de recursos. Casi ninguna organización podrá invertir todo lo que le gustaría en el laboratorio; por
tanto, casi todas deben usar estrategias de tiempo compartido para asegurar que el personal técni-
Dominio: Organizacion.NET
Modo de dominio: Combinado
Nombre de servidor: WSEE_01
Internet
Dirección IP: 10.22.36.10
Máscara de subred: 255.255.252.0
DHCP: Sí
DNS: Integrado
Estaciones de WINS: Sí
trabajo de Sitio: Matriz
investigación y Catálogo global: Sí
documentación Organización
Dominio: Organizacion.NET Vínculo
Nombre de servidor: WSEE_03 RAS
Dirección IP: 10.22.40.10 Enrutador
DHCP: Sí Vínculo de Windows
puerto serial Hub Vista
DNS: Integrado
PARTE II
WINS: No
Sitio: Regional
Catálogo global: Sí Enrutador DC
local
Hub Servidor
F&P
Windows Windows
Vista Vista
Dominio: Organizacion.NET
Nombre de servidor: WSEE_02
Dirección IP: 10.22.36.11
Servicios: Servidor multipropósitos
FIGURA 3-10 Un laboratorio de prueba debe ser lo más completo posible.
co tenga fácil acceso a los recursos que necesitan para fines de prueba. Sólo mediante una buena
coordinación y métodos estructurados de prueba se pueden asegurar buenos resultados.
En la figura 3-10 se ilustra un laboratorio de prueba de ejemplo. Este laboratorio reproduce
una red interna típica con un mínimo de equipo. Pueden usarse direcciones TCP/IP internas por-
que no conectan con el mundo exterior. Pueden agregarse más servidores para probar la estrate-
gia de migración que idee, pero tal vez se trate de sistemas más antiguos y obsoletos porque no
estará realizando pruebas de rendimiento con ellos.
Use una estrategia de prueba estructurada

Para poner en funcionamiento una red empresarial se necesita 80% de planeación y preparación
y 20% de implementación. Esto significa que el laboratorio es uno de los elementos clave de su
red futura. Para asegurar que su fase de preparación va bien, debe usar estrategias de prueba es-
trictas. La mayor parte de estas estrategias incluye varias etapas diferentes. Cada una se concen-
tra en un tipo específico de prueba. Cuando se construye y prepara la red empresarial, debe usar
los siguientes tipos de prueba:
• Prueba de unidad La primera prueba es siempre un descubrimiento interactivo de una
nueva tecnología. Esta fase le permite identificar cada uno de los elementos de la arquitectura
técnica para el producto. Una vez que se han realizado las primeras etapas de descubrimiento,
se mueve a la automatización del proceso de instalación. Este segundo paso se concentra en la
evaluación del procedimiento automatizado.
• Prueba funcional Una vez que se ha realizado cierto grado de automatización, necesita va-
lidar que opere como se esperaba. Una de las mejores maneras de hacer esto consiste en pedir
a un colega que aplique una revisión de la funcionalidad.
• Prueba de integración La siguiente etapa consiste en integrar una funcionalidad determi-

nada con otras con las que tendrá que coexistir. Esto debe incluir pruebas de implementación
(concentradas en distribución remota de la funcionalidad para asegurar que se comporta
como se esperaba después de la instalación remota). También debe incluir pruebas de desins-
talación (interactivas y remotas) para asegurar que no desestabiliza un sistema.
• Prueba de puesta en funcionamiento Por último, se mueve a un entorno que duplica la
red de producción lo más posible. Esto le permitirá asegurar que el proceso unido a la funcio-
nalidad siempre operará como se espera. Además, querrá realizar pruebas de aceptación (ase-
gurando que la clientela de destino aprueba la funcionalidad, tal como se diseñó y configuró).
Por último, querrá completar todo el aseguramiento de calidad para la funcionalidad. Esto
incluye completar toda la documentación y un chequeo final de todos los procesos antes de
usar el producto en toda la empresa.
• Prueba piloto Esta prueba final es un lanzamiento previo de producción a un selecto grupo
de usuarios. Esta prueba evalúa los procesos técnicos y administrativos unidos al despliegue de
una característica.
Cada fase de prueba es importante. Si, por alguna razón, su producto falla en cualquier etapa
de prueba, debe regresar a la etapa anterior y aplicarse las correcciones (vea la figura 3-11). El
hecho de seguir directrices estrictas y procedimientos de prueba rigurosos hará que su producto
final mejore. Ésta es una de las definiciones de red lista para la empresa.
Construya su almacén de recursos para apoyar

la prueba de laboratorio virtual
Como la estructura de su red se concentrará ahora en almacenes de recursos que ejecutan ofre-
cimientos de servicios virtuales, necesitará empezar a trabajar con esta estructura en cuanto sea
posible. ¿Hay alguna manera mejor de hacer esto que con los laboratorios de prueba virtualiza-
dos? Empezará por construir servidores host de hardware que ejecutarán las tecnologías que ne-
cesita probar para construir su estructura de ofrecimiento de servicios virtual. Luego, cuando esté
listo, estos servidores host pueden formar el almacén de recursos inicial que usará para empezar
la migración a WS08.
Hay una gran cantidad de razones para usar laboratorios virtuales. En primer lugar, puede
virtualizar cualquiera de las funciones de servidor. En la mayor parte de nuestras pruebas, hemos
podido ejecutar funciones de servidor con 512 megabytes (MB) de RAM asignados al equipo vir-
tual. Por supuesto, tendrá que aumentar la cantidad de RAM cuando agregue funciones al servidor,
pero si tiene el host apropiado (uno con capacidad suficiente para ejecutar varios equipos virtuales)
debe tener fácilmente capacidad de ejecutar cualquier función de servidor que necesite.
El trabajo con clientes y servidores de PC mediante equipos virtuales reducirá seriamente el
costo de construir el laboratorio. Como ya se mencionó, puede depender de la tecnología virtual
de Microsoft o VMware, porque ambos ofrecen copias gratuitas de sus herramientas. Ambas ofre-
cen soporte completo para ejecución de servidores o PC con Windows. Además, tal vez quiera
obtener herramientas para la conversión de equipos físicos en instancias virtuales.
SUGERENCIA Si empieza temprano y no se ha lanzado Hyper-V, aún puede empezar a trabajar con
el laboratorio en un entorno virtual. Puede hacerlo con Microsoft Virtual Server (www.microsoft.
com/windowsserversystem/virtualserver) o XenServer (www.citrixxenserver.com/Pages/default.
Piloto/producción
Puesta en
funcionamiento
Integración
Funcional
PARTE II
Salida
Salida
Criterios
Unidad de entrada
Salida
Salida
Criterios
de entrada Leyenda
Salida
Salida
Criterios
de entrada
PC
Salida
Salida
Criterios
de entrada Disco externo
Criterios Equipo virtual

de entrada
Servidor
©2006-2007, Resolutions Enterprises, Ltd.
FIGURA 3-11 Una estrategia de prueba graduada.
aspx) porque las máquinas que crea con cada una de estas herramientas será compatible con los
equipos que ejecutará en Hyper-V.
Sugerimos que compre algunos equipos host muy grandes para empezar su almacén de re-
cursos. El equipo ideal será un servidor x64 procesadores de varios núcleos, gran cantidad de RAM
y mucho espacio en disco. Use Windows Server 2008 x64 Enterprise Edition Server Core como
sistema operativo host para este servidor, porque incluye cuatro licencias para instancias virtua-
les. El costo de unos cuantos servidores con la mezcla correcta de capacidad rebasará el costo de
ejecutar varios equipos de menor capacidad y tener que administrar instalaciones físicas en lugar de
instancias virtuales de los servidores, y le preparará apropiadamente para su nuevo centro de datos
dinámicos. Además, tal vez pueda tomar equipos virtuales construidos por usted en el laboratorio
de pruebas y moverlos directamente a producción si ha hecho su tarea de manera correcta. Esto le
proporcionará inconmensurables ahorros en tiempo y costo durante su implementación.
SUGERENCIA Para conocer una descripción detallada del diseño y la creación de un laboratorio de
pruebas virtual, consulte “Chapter 3: Creating the Migration Test Bed” (Capítulo 3: Creación
del banco de pruebas para la migración) en The Definitive Guide to Vista Migration por Ruest y
Ruest y publicado por Realtime Publishers en www.realtime-nexus.com/dgvm.htm.
Ahora está listo para pasar a la creación de su arquitectura de red y al diseño completo de su
solución. Eso es lo que se le presentará en el siguiente capítulo.
CAPÍTULO
4
Explore los modos de instalación
de Windows Server 2008
W
indows Server 2008 (WS08) ofrece varias mejoras importantes en métodos de instala-
ción, en comparación con Windows 2000, 2003 y, en especial, con Windows NT. Están
disponibles cuatro métodos de instalación con WS08:
• Instalación manual o interactiva
• Instalación desatendida mediante un archivo de respuesta
• Imagen de disco con la Herramienta de preparación del sistema
• Interfaces remotas a través de los Servicios de implementación de Windows (WDS, Windows
Deployment Services)
Todos estos modos de instalación son muy similares. Mientras que en versiones anteriores de
Windows, cada uno de éstos requería diferentes archivos de respuesta y distintos modos de pre-
paración, WS08 ahora depende de la configuración basada en imagen (IBS, Image-Based Setup),
al igual que Vista. Esto significa que los medios de instalación usan un archivo .wim, o de imagen
de Windows, como origen de la instalación. IBS depende de este sistema basado en archivo para
proporcionar la entrada a cualquier configuración de servidor. La edición real que se esté instalan-
do estará determinada por la clave de producto que ingrese en el proceso de instalación.
NOTA Microsoft ofrece guías para instalación (en inglés) en dos formatos. El primero se relaciona
con la automatización de la instalación. Las guías de implementación de Microsoft pueden encon-
trarse en http://technet.microsoft.com/en-us/library/bb945074 aspx. El segundo se relaciona con
todo el diseño de la infraestructura. La información sobre planeación y diseño de la infraestructu-
ra se encuentra en www.microsoft.com/downloads/details.aspx?familyid=ad3921fb-8224-4681-
9064-075fdf042b0c&displaylang=en.
IBS ofrece las siguientes características sobre métodos de instalación tradicionales:

• En lugar de realizar en realidad una instalación, IBS captura el modo de instalación solicitado
por el usuario (actualización o instalación limpia) y luego realiza la instalación al descompri-
mir el archivo INSTALL.WIM en el disco duro y aplicarlo con los parámetros apropiados.
117
• El formato de imagen .wim usa un sólo almacén de instancia (SIS, Single Instante Store) para
almacenar varias ediciones de WS08 en el mismo DVD. SIS guarda sólo una copia de cada
archivo compartido para cada edición, ahorrando espacio y permitiendo que Microsoft incluya
varias ediciones en un DVD.
• Debido a que IBS está basado en archivo, puede realizar una actualización no destructiva de
una versión anterior de Windows Server. Sin embargo, necesita por lo menos 105 gigabytes
(GB) de espacio libre para soportar la descompresión del archivo .wim. Más será mejor.
• Debido a que está basada en archivo, puede generar una imagen .wim en un sistema y luego
aplicarlo a casi cualquier otro, permitiendo el concepto de una sola imagen mundial para las
instalaciones de sus servidores. Esto se debe a que las imágenes .wim ya no son dependien-
tes de la capa de abstracción de hardware (HAL, Hardware Abstraction Layer) del equipo de
referencia que se usó para generarla. La única limitación es la arquitectura del procesador. Por
ejemplo, una imagen de 32 bits no puede instalarse en un servidor de 64 bits, y viceversa.
• Debido a que están basadas en archivo, también pueden montar y desmontar imágenes .wim
como carpetas para agregar componentes como controladores, parches y otras opciones.
• Los archivos de respuesta están en lenguaje de marcado extensible (XML, eXtensible Markup
Language) y se usa un solo archivo de respuesta (UNATTEND.XML) para cada tipo de instalación.
NOTA Esto no es completamente cierto, porque tiene que cambiarse el nombre del archivo a
AUTOUNATTEND.XML, cuando se ejecuta una instalación no atendida al combinar los
medios de instalación con una memoria de bus serial universal (USB, Universal Serial Bus)
o una unidad de disco lexible.
• Todas las herramientas utilizadas para manipular imágenes basadas en archivo son herra-
mientas de línea de comandos, lo que hace posible encadenarlos y colocarlos en archivos de
comando, simplificando la automatización del proceso de instalación.
• Los archivos .wim son de idioma agnóstico, lo que significa que la misma imagen puede reutili-
zarse en cualquier lugar internacional. Todo lo que necesita hacer es aplicar el paquete de idioma
adecuado para la imagen con el fin de personalizarlos para su configuración regional y de idioma.
A pesar del hecho de que se usa un solo archivo de respuesta para configurar WS08, aún
tiene la opción de usar uno de los cuatro métodos de instalación delineados al principio. Esto
se debe a que cada método es apropiado para situaciones específicas; algunos pueden incluso
combinarse para mejorar la eficacia y eficiencia. Pero, antes de que seleccione el método de insta-
lación, necesita determinar cuál método utilizará si está migrando de una red existente. Una vez
más, necesita tomar decisiones arquitectónicas antes de que pase a la instalación.
SUGERENCIA Necesitará dos procesos diferentes de instalación. El primero será para los servidores
que hospedan la función Hyper-V. Este proceso debe ser idéntico para cada servidor que ejecute
esta función. Esto simpliicará en gran medida sus instalaciones de hardware. Una vez más, esto
se simpliicará, porque podrá depender de copias almacenadas de los discos duros virtuales que
integran los servidores virtuales.
Capítulo 4: Explore los modos de instalación de Windows Server 2008 119
El proceso de instalación
Aunque se permiten cuatro modos diferentes de instalación, necesitará empezar con el prime-
ro, la instalación interactiva. Eso se debe a que necesita descubrir cómo ocurrirá la instalación.
Encontrará que es mucho más simple que la de cualquier versión anterior de Windows Server.
En realidad, si ha instalado Windows Vista, ya estará familiarizado con gran parte del proceso. La
única diferencia está en el paso final de la configuración. Pero primero necesita determinar cuáles
requisitos de hardware corresponden a cada edición de WS08 y luego realizar un ejercicio de
asignación de tamaño de servidor para asegurarse de que los suyos tendrán una larga vida una
vez que se han instalado.
PARTE II
Requisitos de hardware
Al igual que con otras versiones de Windows, Windows Server 2008 requiere un nivel mínimo de
hardware. Los requisitos de hardware mínimos, recomendados y óptimos para cada versión de
WS08 se identifican en las tablas 4-1 y 4-2
NOTA Los servidores con varios gigabytes de memoria de acceso directo (RAM, Random Access Me-
mory) requerirán más espacio en disco para el archivo de paginación, la hibernación y los archivos de
volcado. Además, las instalaciones de Server Core no requieren tarjetas gráicas complejas.
Asignación de tamaño al servidor para almacenes de recursos

y ofrecimientos de servicios virtuales
No instalará servidores que cumplen los requisitos mínimos. En realidad, si está planeando
integrar una red empresarial, tampoco estarán en los niveles recomendados por Microsoft. Si es
inteligente, simplemente duplique las recomendaciones de Microsoft y use eso
(Server Core)
Datacenter e
(instalación
Enterprise
completa)
Recomen-
Ediciones
Ediciones
Standard
Itanium
Mínimo
Edición
Óptimo
Óptimo
Web y
dado
Requisitos
Velocidad de CPU 1 GHz 2 GHz 3 GHz o 3 GHz o
(x86) 1.4 más más
GHz (x64)
RAM 512 MB 1 GB 1 GB o 2 GB o
más más
Espacio en disco para 8 GB 40 GB o 80 GB o
instalación más más
Número mínimo 1 2 2 2 8 1 1
de CPU
Número máximo 64 4 8
de CPU
Unidades adicionales DVD-ROM DVD-ROM DVD-ROM DVD-ROM DVD-ROM DVD-ROM DVD-ROM
Modo de video: SVGA o SVGA o SVGA o SVGA o SVGA o SVGA o SVGA o
mínimo superior superior superior superior superior superior superior
TABLA 4-1 Recomendaciones de hardware mínimas, recomendadas y óptimas

Ediciones Web y Ediciones Enterprise y Ediciones Web y Stan- Ediciones Enterprise y

Requisitos Standard de 32 bits Datacenter de 32 bits dard de 64 bits Datacenter de 64 bits
RAM máxima 4 GB 64 GB 32 GB 2 TABLA
TABLA 4-2 Requisitos máximos para WS08
como punto de partida o realice un ejercicio de asignación de tamaño de servidor formal. Este
ejercicio le ayudará a determinar las configuraciones de hardware y software para cada uno de
sus servidores. Le indicará de qué tamaño debe ser su servidor, dónde es necesario y qué servicio
debe entregarse.
SUGERENCIA El ejercicio de asignación de tamaño del servidor diiere ligeramente entre servido-
res físicos y virtuales. Ambos están diseñados para asignar recursos al servidor. Obviamente,
querrá que el host físico tenga muchos recursos más y también asegurarse de que hay espacio para
crecer. Además, tenga en cuenta que la versión R2 de Windows Server 2008 sólo se ejecutará en
hardware de 64 bits. Lo mismo es válido para los servidores virtuales, pero en este caso, como son
virtuales, puede agregar recursos del almacén de recursos conforme descubre la necesidad.
Cuando se realiza un ejercicio de asignación de tamaño, tome en cuenta los siguientes ele-
mentos:
• Identiique las bases del servidor Identifique dónde están las agrupaciones del cliente.
Necesitará colocar sus servidores donde tenga una concentración de sistemas cliente o usuarios.
• Físico o virtual Esta decisión debe ser relativamente fácil. Todos los servidores físicos tienen
que ser servidores host, y todos los ofrecimientos de servicios deben ser virtuales. Cuando decida
crear una instancia virtual de un servidor, aún necesitará recorrer el resto de los pasos del ejerci-
cio, pero algunas de las opciones diferirán debido a la naturaleza de los servidores virtuales.
• Host físico: número de sistemas operativos invitados por servidor Identifique un nú-
mero máximo de sistemas operativos invitados por servidor host. Para proporcionar un nivel
determinado de servicio, necesita asegurar que nunca haya más que un número específico de
invitados, dependiendo de los recursos del servidor. En promedio, las organizaciones ejecutan
entre 10 y 20 equipos virtuales por host.
SUGERENCIA Recuerde que todos los hosts físicos deben ser servidores de 64 bits si quiere ejecutar
Hyper-V en ellos. Si quiere reutilizar servidores de 32 bits como hosts, puede hacerlo, pero nece-
sitará ejecutar Microsoft Virtual Server o VMware Server sobre una versión de 32 bits de WS08
para proporcionar servicios de virtualización.
• Sistema operativo invitado: número de usuarios por servidor Identifique un número

máximo de usuarios por servidor. Para proporcionar un nivel de servicio determinado, nece-
sitará asegurar que nunca haya más que un número específico de usuario, dependiendo de
los servicios del servidor. En promedio, las organizaciones instalan un servidor por cada 250
usuarios, dependiendo, por supuesto, de la función del servidor. Pero con la nueva tendencia
hacia la consolidación, podría considerar la elevación de este valor hasta 1 000 usuarios.
• Máxima carga de servidor aceptable Determina la velocidad de respuesta que desea de
un servidor cuando proporciona un servicio determinado. En el caso de servidores host, esta
carga debe tomar en consideración el uso máximo de la unidad de procesamiento central
(CPU, Central Processing Unit). Por lo general, la CPU y la RAM son los cuellos de botella.
Para el caso de los sistemas operativos invitados, esto tomará en cuenta también el número de
usuarios. Una buena manera de hacerlo es monitorear el rendimiento de entrada y salida (E/S)
de la CPU en el servidor.
• Variación del servidor También es importante considerar la ubicación del servidor, porque
a menudo sirve para determinar su naturaleza. Casi todos los sistemas operativos de invitado
PARTE II
localizados en oficinas centrales de grandes oficinas regionales tenderán a ser servidores de
un solo propósito (realizarán una función u otra, pero no funciones combinadas). En pe-
queñas oficinas regionales, las organizaciones a menudo tienden a usar servidores de varios
propósitos para reducir el costo del hardware. Pero con el advenimiento de los ofrecimientos
de servicios virtuales, ahora puede depender de varios equipos virtuales de un solo propósito
porque los costos de licencia son los mismos. Es mucho más simple recuperar y administrar
los equipos de un solo propósito.
SUGERENCIA El centro de datos virtual ejecutará dos equipos virtuales (si es posible) en regiones
junto con almacenamiento compartido para proporcionar tolerancia a fallas para que el almacén de
recursos ejecute el número apropiado de sistemas operativos de invitado para cubrir la demanda.
• Capacidad mínima del servidor Determina la capacidad mínima de hardware que desee
para sus servidores host. Recuerde que no deberá cambiarlos por algún tiempo. El propósito de
su red es entregar servicios de alta calidad para su base de usuario. Tome esto en cuenta cuan-
do determine la capacidad mínima del servidor. La planeación de la capacidad debe identificar
elementos como número y tamaño de procesadores, cantidad de RAM y tamaño de disco. Cada
elemento está influido por las decisiones que ha tomado antes. ¿A cuántos usuarios cubrirá el
servidor? ¿Dónde se localizará el servidor? ¿Será de un solo propósito o multipropósito?
• Multiprocesamiento y núcleos múltiples Casi todos usarán servidores de multiprocesa-
miento, que tienen más de un solo procesador, además de procesadores de varios núcleos, que
tienen más de un núcleo de CPU. Tendrá que tener cuidado aquí, porque hay una clara demar-
cación entre los requisitos del sistema operativo. Asegúrese de tener en cuenta la tabla 4-1
mientras selecciona el número de núcleos y procesadores para sus sistemas. Esto tendrá efecto
en el presupuesto de su servidor. En la tabla 4-3 se presenta una lista de las recomendaciones
básicas para un servidor host.
• Tamaño de la RAM La regla es simple. Cuanta más RAM tenga, mejor actuará su servidor.
Por tanto, la RAM no es un lugar para hacer ahorros. Todo depende de la función de cualquier
servidor determinado, pero es una buena regla usar el doble de los requisitos mínimos recomen-
dados por Microsoft y empezar todos los servidores físicos a 4 GB de RAM y crecer a partir de allí.
Algunas funciones del servidor ocupan gran cantidad de RAM, como los servidores de
Terminal Services, los hosts de equipos virtuales o los servidores de aplicaciones. Éstos requerirán
más del mínimo que establezca. Además, los tamaños de RAM afectarán al archivo de pagina-
Servidores de 64 bits
Ésta es una excelente oportunidad de moverse a servidores de 64 bits, que proporcionan
una capacidad mucho mayor que sus contrapartes de 32 bits y, por tanto, tendrán un
lapso de vida mucho mayor. Por lo general, los procesadores de 32 bits están limitados a
4 GB de espacio de dirección, reservando 2 GB para los procesos de kernel y asignando
2 GB a aplicaciones. Puede usar interruptores especiales de arranque, como /3GB, para
modificar el comportamiento del sistema, pero este interruptor, en particular, reducirá la
memoria de kernel a 1 GB, lo que puede resultar desastroso cuando se necesitan varios
procesos de kernel. Otro interruptor, el /PAE (de Physical Address Extension, extensión
de dirección física) extiende el direccionamiento de memoria a 36 bits, permitiendo que
el código de las aplicaciones cambie de las extensiones de ventana de direcciones en los
primeros 4 GB, pero que regrese una vez más a los primeros 4 GB de espacio, a los que las
aplicaciones están limitadas.
Los servidores de 64 bits eliminan todos estos rodeos y limitaciones. Pueden tener di-
recciones de hasta 32 GB de RAM y hasta 16 terabytes (TB) de memoria virtual, eliminando
las barreras de la memoria para el futuro. Los sistemas de 64 bits también pueden depender
de la prevención de ejecución de datos (DEP, Data Execution Prevention) para evitar que el
código entre en lugares reservados de memoria, o se ejecute en ellos, asegurando que los
servidores se ejecuten de manera más segura. Además, no necesita ejecutar aplicaciones de
64 bits para aprovechar esas características, puesto que las aplicaciones nativas de 32 bits
tendrán acceso, por primera vez, a 4 GB completos de RAM, porque el sistema ya no nece-
sita reservar espacio para el kernel. El resultado final: las aplicaciones de 32 bits en realidad
se ejecutan mejor y más rápido en sistemas operativos de 64 bits que en los x86.
Por ejemplo, todos sus sistemas de host serán servidores de 64 bits. Para usar un servidor
de 32 bits como host, necesitará cargar WS08 en él y luego instalar software de virtualización,
como Microsoft Virtual Server o VMware Server. La función Hyper-V está sólo disponible
para sistemas de 64 bits, porque proporciona demasiados recursos para los equipos virtuales.
ción. La mejor regla aquí es iniciar el archivo de paginación al doble de tamaño de su RAM y
establecer su tamaño máximo en cuatro veces el tamaño de la RAM. Esta regla cambia cuando
está tratando con cantidades masivas de RAM, como configuraciones de 16 GB, pero al princi-
pio significa que necesitará reservar una cantidad mínima y máxima de espacio en disco para el
archivo de paginación.
SUGERENCIA Cuando se asigna tamaño de RAM a equipos virtuales, puede reducir los requisitos a
la mitad (pero nunca menos del requisito mínimo de RAM), porque los motores de virtualización
pueden maximizar el uso de equipos virtuales. Establezca los equipos virtuales para que empiecen a
la mitad de la memoria que tal vez necesiten y también establezca un máximo. Luego permita que su
motor de virtualización haga su magia y asigne recursos de acuerdo con lo necesario.
• Tamaño del disco El tamaño y el número de discos que asigne a cada servidor dependerá
de varios factores. ¿Cuántas particiones quiere hacer? ¿Cuánto espacio quiere reservar para el
sistema operativo, los programas y los elementos especiales como el archivo de paginación?
¿Cuánto espacio para el almacenamiento de datos? ¿Quiere usar almacenamiento adjunto

directo o remoto? Cualquiera que sea su elección, la mayor parte de los servidores terminará
con tres particiones, o tal vez más: una para las utilerías del servidor del fabricante, una para el
sistema operativo y los programas, y una para los datos. Windows Server 2008 usa sólo las úl-
timas dos particiones. La partición del sistema operativo también debe almacenar un archivo
de paginación. Tenga en cuenta que Windows Server 2008 ofrece mejor rendimiento cuando
lee y escribe en varios discos, de modo que tal vez quiera reproducir el archivo de paginación
en otras unidades de disco. Si ese es el caso, cada unidad necesitará reservar la misma canti-
dad de espacio para este archivo. Las unidades del sistema deben tener un mínimo de 40 GB
y más si planea tener una gran cantidad de RAM en su sistema.
Las particiones de datos siempre deben estar separadas de las del sistema y a menudo
PARTE II
son significativamente más grandes. Tenga en cuenta que si está preparando un servidor de
archivo para almacenar datos de usuario, tendrá que ofrecer un tamaño de almacenamien-
to válido por usuario. Muchas organizaciones no tienen una directiva de almacenamiento
consistente. Ofrecen bajas cantidades de espacio de almacenamiento por usuario, a menu-
do cantidades con las que nadie puede vivir hoy en día, y aún insisten en que ningún dato
almacenado en la PC local del usuario está protegido por la organización. Si planea almacenar
centralmente datos de usuario, tendrá que asignar por lo menos de 200 a 500 MB por usuario
y esperar que crezca mucho más. Todo depende de los tipos de actividades que sus usuarios
realicen. Pero no se preocupe: el espacio en disco es mucho más económico hoy en día y
siempre lo será más.
En el caso de servidores host, use discos compartidos. Éstos le permitirán ejecutar el
sistema operativo junto con unidades de datos. Además, los discos compartidos le permitirán
implementar estrategias de alta disponibilidad para asegurar que sus ofrecimientos de servi-
cios virtuales estén siempre disponibles.
• Protección de hardware para servidores host Todos estos datos necesitan algún nivel de
protección. Las unidades de disco local deben estar protegidas por un conjunto redundante
de discos económicos (RAID, Redundant Array of Inexpensive Disks).
Muchas personas optan por un sitio de espejo de discos (RAID 1) para las unidades del
sistema y los conjuntos de bandas, con paridad (RAID 5) para las particiones de datos. Hay
diferentes opiniones, pero con los rápidos avances de hoy en día en la tecnología de disco, es
muy aceptable optar por un solo sistema RAID 5 y particionarlo en unidades de sistema y de
datos. No olvide la sobrecarga de RAID: se requiere 50% más de espacio en disco para RAID
1, y un mínimo de 20% para RAID 5, que salta a 33% si sólo tiene tres unidades.
Particiones adicionales de disco

Si planea usar cifrado de unidad BitLocker o el entorno de recuperación de Windows
(WinRE, Windows Recovery Environment), necesitará crear dos particiones primarias. En
discos de registro maestro de arranque (MBR, Master Boot Record) las particiones prima-
rias son de tipo 0x27 y en discos de tabla de partición de identificador global único (GPT,
Globally Unique Identifier [GUID] Partition Table), son de tipo GUID: {DE94BBA4-06D1-
4D40-A16A-BFD50179D6AC}.
En el caso de BitLocker, se usa esta partición separada para almacenar la partición de

arranque no cifrada, mientras la segunda guarda el sistema operativo cifrado. El uso de
dos particiones para WinRE le permite recuperar discos de sistema con falla. Si combina
BitLocker y WinRE, entonces necesitará almacenar WinRE en la misma partición que el
sistema operativo porque debe cifrarse para proteger el sistema. En los casos de BitLocker
y WinRE, las particiones en que se almacenan necesitan establecerse como activas. Las
particiones de WinRE también deben establecerse como ocultas para protegerlas de la
eliminación accidental.
Además, si está creando servidores de base de datos, o cualquier servidor que se
ejecutará en una base de datos cliente-servidor, debe crear una partición especial para
almacenar los archivos de registro separados de los archivos de datos.
Dependa de su sistema de almacenamiento compartido para ayudarle a seleccionar la

mejor configuración posible para las unidades.
También debe usar tarjetas de conjunto aleatorio de red económica (RAIN, Random Array
Inexpensive Network). Son similares a un sistema de disco RAID porque están compuestas por
dos tarjetas de red que emplean los mismos recursos. Cuando una falla, la otra toma su lugar au-
tomáticamente empleando la misma dirección de control de acceso a medios (MAC, Media Access
Control). Asegúrese de que los controladores para estas tarjetas sean compatibles con WS08.
• Estrategia de almacenamiento El sistema de protección de hardware que elija también
dependerá de su estrategia de almacenamiento. Si está construyendo un servidor virtual regional
multipropósito, tal vez deba concentrarse en el almacenamiento local. Pero los servidores host
deben compartir unidades. Muchos fabricantes están presentando innovadores gabinetes todo
en uno que incluyen dos servidores host con almacenamiento compartido, todo en un conve-
niente gabinete enfriado para redes regionales. En el caso de servidores centrales, debe imple-
mentar almacenamiento compartido basado en sus necesidades organizacionales. Las organi-
zaciones de tamaño pequeño y mediano optarán con frecuencia por almacenamiento adjunto
de red (NAS, Network Attached Storage), mientras que organizaciones más grandes necesitarán
redes de área de almacenamiento (SAN, Storage Area Network). WS08 trabajará con varios tipos
diferentes de almacenamiento compartido; sólo asegúrese de seleccionar algo que esté en la lista
de compatibilidad de hardware (HCL, Hardware Compatibility List) que publica Microsoft.
• Ubicación física La ubicación física, el espacio físico real que ocupará el servidor, ayuda a
determinar si elegirá una configuración de servidor de rack o de torre. En casi todos los casos,
los servidores regionales son servidores de torre y los centralizados son de rack porque están
concentrados en un solo espacio físico. Si opta por servidores de rack, entonces considere el
servidor blade que ofrece prestaciones mucho más compactas, a menudo ahorrando hasta 70%
de espacio de rack, 50% de consumo de energía, 80% de cableado y 20% de generación de
calor, en comparación con otros servidores de rack.
Recuerde que su ubicación física debe tener la capacidad de bloqueo y ofrecer controles
de temperatura.
• Método de generación de copias de seguridad Una vez más, la ubicación física del
servidor ayudará a determinar el método de copia de seguridad seleccionado. Los servidores
regionales a menudo usaban unidades de cinta para copias de seguridad, pero esto ya no es
soportado por WS08 como opción predeterminada. Dependiendo de la velocidad y el ancho
de banda disponible de su conexión de red de área amplia (WAN, Wide Area Network), tal vez
sólo pueda copiar todos los datos en una ubicación central. WS08 incluye un motor de replica-
ción de compresión delta, que hace que resulte realmente simple crear estrategias de copia de
seguridad centralizadas. Esta táctica también puede usarse para crear copias de datos fuera del
sitio. Aprenderá rápidamente que la estrategia de copia de seguridad de WS08 está orientada
a disco. También tiene la capacidad de hacer instantáneas de copias de seguridad (imágenes
periódicas de las unidades de disco duro que se usan para crear la copia de seguridad, lo que
permite al servidor seguir con otras operaciones). Se cubrirá más sobre este tema cuando se
analicen las estrategias de continuidad del negocio.
PARTE II
• Sistema operativo ¿Hay algunos requisitos especiales para el sistema operativo que
hospedará este servidor? En el caso de Windows Server 2008, es fácil. Todo tiene que estar
certificado (hardware y software). Microsoft ha hecho grandes avances en la estabilidad con
sus sistemas operativos, pero estos avances dependen de que los productos sigan de manera
estricta las directrices. En una red de alta calidad, sólo se permiten productos certificados. Si
tiene hardware que no está certificado, tendrá que ponderar el riesgo de usarlo en un com-
ponente crítico, como un servidor, contra el costo de comprar partes de reemplazo. Si está
comprando nuevo hardware o software, asegúrese de que está certificado por WS08. Debido
a que sus sistemas host estarán ejecutándose en procesadores de 64 bits, debe asegurarse de
que cada componente esté certificado. Luego, en el caso de sistemas operativos invitados, no
tendrá que preocuparse demasiado, porque estarán ejecutándose en hardware virtualizado y
usará los controladores certificados que Microsoft proporciona con WS08.
• Posibilidades de crecimiento Por último, no querrá reemplazar este sistema seis meses
después de que lo empiece a usar, de modo que asegúrese de que tiene mucha capacidad para
crecimiento. Todos los sistemas deben tener la capacidad de agregar más procesadores, me-
moria y espacio en disco. De este modo, necesitará tomar en consideración las expectativas de
vida del servidor (cuándo fue presentado el servidor por el fabricante, cuándo se le retiró, cuál
es la posibilidad de crecimiento proyectado por el fabricante, etcétera). Si planea con cuidado,
podrá implementar servidores que tendrán un rico ciclo de vida que cumpla con sus expectati-
vas. En algunas condiciones, este ciclo de vida puede durar hasta cinco años o más. Haga esto
para servidores host. Pueden proporcionarse sistemas operativos invitados con más recursos a
medida que los necesiten, de modo que debe preocuparse menos por ellos.
SUGERENCIA En el pasado, los servidores basados en procesadores AMD han ofrecido excelente valor,
porque usan el mismo espacio para procesadores de dos y cuatro núcleos. Esto signiica que puede
agregar vida a sus servidores con sólo reemplazar el procesador. Si Intel aún no se ha movido a este
modelo, entonces tal vez los servidores con AMD seguirán ofreciendo una expectativa de vida más
larga porque no necesitan “kits de actualización” para reemplazar el procesador por uno más poderoso.
Este ejercicio le ayuda a identificar el tamaño genérico de cada servidor (vea la figura
4-1). Los ofrecimientos de servicios especiales, como controladores de dominio, Microsoft Ex-
change o SQL Server, requerirán diferentes parámetros de tamaño. Microsoft ofrece herramien-
tas de asignación de tamaño para casi toda su familia de servidores. Todos están disponibles en
el sitio Web de servidores de Microsoft en www.microsoft.com/Servers. Además, Compaq, Dell,
HP e IBM ofrecen herramientas de asignación de tamaño para estos servidores en sus respectivos
sitios Web.
Recomendaciones de tamaño para almacenes de recursos

La configuración más complicada que necesitará conformar es para los sistemas host. Ya sabe que
éstos deben ser sistemas de 64 bits que emplean almacenamiento compartido. También deben
ser servidores blade, si es posible, porque éstos se implementan más rápidamente que los otros
tipos de servidores una vez que se ha configurado el gabinete. Deben incluir varias tarjetas de
interfaz de red (NIC, Network Interface Card) para que proporcionen suficiente capacidad de
transmisión de entrada y salida para los diversos equipos virtuales que ejecutarán. El sistema
operativo debe incluirse en el almacenamiento compartido, porque esto facilitará el aprovisiona-
miento. Los datos (el espacio de almacenamiento para el equipo virtual) también deberán estar
en el almacenamiento compartido y formar la mayor parte del espacio en disco asignado a este
servidor. Debe usarse otra pequeña partición para almacenar las instantáneas que se requerirán
para crear copias de seguridad de los equipos virtuales.
En la tabla 4-3 se presenta un esquema de las recomendaciones de hardware para los servi-
dores host.
SUGERENCIA Si pretende ejecutar grandes cantidades de equipos virtuales en hosts muy gran-
des, entonces use la edición Datacenter de WS08, porque proporciona un número ilimitado de
licencias para equipos virtuales de Windows. Como se mencionó en el capítulo 3, depende de las
calculadoras de virtualización de Windows Server (www.microsoft.com/windowsserver2003/
howtobuy/licensing/calculator.mspx) para determinar cuáles licencias se amoldan mejor a sus
necesidades.
Consideraciones sobre el arranque dual

Muchas organizaciones tienen tendencia a crear varias particiones de arranque en un servidor.
Aunque muchos consideran esto como una mejor práctica, en realidad sólo crea sobrecarga
adicional de instalaciones con pocos beneficios. Puede argumentarse que es adecuado usar una
segunda partición para arranque en un sistema con fines de recuperación, y el concepto tiene
cierta validez: si sus unidades sólo usan el sistema de archivos de nueva tecnología (NTFS, New
Technology File System), como es el caso en cualquier red seria, entonces necesita una segunda
partición para arranque en caso de que los controladores del sistema dejen de funcionar.
Aunque esto podría ser una buena práctica con versiones previas de Windows, no es nece-
sario con WS08 En cambio, las organizaciones deben de instalar el entorno de recuperación de
Windows (WinRE). Esta consola es nueva en Vista y está diseñada especialmente para permitir la
recuperación o reparación de un sistema. Está basado en el entorno de preinstalación de Win-
dows (WinPE, Windows Preinstallation Environment) usado en la instalación de Windows Vista y
WS08 Proporciona varias características, dos de las cuales son:
• Diagnóstico y reparación automáticos de problemas de arranque con la herramienta Repara-
ción de arranque.
• Una plataforma centralizada para herramientas de recuperación avanzadas.
Por otra parte, será difícil manejar una segunda partición para arranque, porque estará inacti-
va mientras no se esté ejecutando. Esto significa que para realizar cualquier actualización o modi-
Planee los requisitos mínimos
Identifique las bases de servidores

Concentración de sistemas cliente
Concentración de usuarios
Decida si serán servidores físicos o virtuales
Físicos para servidores hosts
Virtuales para todos los ofrecimientos de servicios
Determine la capacidad de hardware mínima para los
servidores hosts
Host físico: identifique el número de invitados por servidor
Número máximo de sistemas operativos invitados por
PARTE II
servidor host
Sistema operativo invitado: identifique el número de usuarios
por servidor
Determine la carga de servidores aceptable máxima
Determine la variación de servidores
Un solo propósito
Multipropósito
Determine la capacidad mínima del servidor
Modelo del servidor
Determine el número de:
Procesadores
Núcleos de procesadores
Determine el tamaño de la RAM
Determine el tamaño del disco
Determine la protección del hardware para los servidores host
Determine la estrategia de almacenamiento
Determine la ubicación física
Determine el método de copia de seguridad
Identifique si hay cualquier requisito especial para el sistema
operativo
Determine la posibilidad de crecimiento
FIGURA 4-1 Ejercicio de asignación de tamaño al servidor.
ficación a esta partición, tendrá que apagar su sistema de producción para reiniciar dentro de esta
segunda partición, actualizar la segunda partición y luego reiniciar su partición de producción.
Esta operación da muchos rodeos, y como casi todas las organizaciones que han implementado
esta solución no tienen el tiempo para hacerlo (después de todo, los servidores están diseñados
para ejecutarse las 24 horas del día, los siete días de la semana) terminan con contraseñas ob-
soletas y sistemas no parchados en esas particiones. Es concebible que estas particiones puedan
llegar a dañar los datos si no se mantienen actualizadas mientras el sistema principal evoluciona.
Al final, representan una seria falla de seguridad.
De modo que use WinRE. Y si quiere proteger de manera absoluta su sistema, separe las uni-
dades del sistema y de datos. Si su sistema deja de funcionar a pesar de todas las precauciones
que tome, puede reinstalarlo sin afectar la partición de datos o perder ninguno.
Componente Recomendación
Velocidad de CPU 3 GHz o más
Arquitectura de CPU x64
Número mínimo de CPU de dos o cuatro núcleos 2
RAM 16 GB
Sistema operativo Windows Server 2008 x64 Enterprise
Selección de sistema operativo Server Core
Función de sistema operativo Hyper-V
Ubicación del sistema operativo Almacenamiento compartido
Coniguración del sistema operativo Clúster
Coniguración del disco de datos Dos volúmenes en almacenamiento compartido: masivo
para datos y partición pequeña para copias de seguridad
de instantáneas.
Conexión de almacenamiento compartido iSCSI
NIC 2, mínimo; por lo menos 1 Gbit de velocidad
Tipo de servidor Blade
TABLA 4-3 Recomendaciones de asignación de tamaño para servidores host
SUGERENCIA WinRE es aplicable a instalaciones de hardware y virtuales. Después de todo, un

servidor es un servidor, sea físico o no.
Utilice la documentación de la instalación

Documentar la instalación significa cubrir estos procesos específicos:
• Preparación de la instalación
• Instalación del servidor
• Verificación posterior a la instalación
Cada una requiere un tipo específico de documentación. Este proceso se aplica a instalacio-
nes físicas y virtuales.
La lista de veriicación para preparar la instalación

En cualquier red deberá asegurar que todos realizan las mismas operaciones todo el tiempo. Por
tanto, debe preparar listas de verificación específicas para que los operadores las sigan. En la
figura 4-2 se delinea la lista de verificación recomendada para preparar la instalación. Tome nota
de que es imposible actualizar desde cualquier versión de Windows NT o Windows 2000 a WS08
Las actualizaciones sólo se pueden hacer desde Windows Server 2003. Esta lista de verificación
toma estas consideraciones en cuenta.
Documentación de las instalaciones de servidores

Además, será necesario que documente cada instalación de servidor. La mejor manera de hacerlo
es mediante el uso de una hoja de datos de servidor estándar. Esta hoja debe incluir información
vital como:
• Nombre del sistema

• Función del sistema
• Ubicación del sistema
• Especificaciones de hardware
• Versión del BIOS
• Versión del firmware
• Controladores para hardware integrado o conectado
• Particiones de disco
• Versiones del kernel (incluidas versiones del sistema operativo, service packs
y correcciones activas)
• Estructura de carpetas de disco
PARTE II
• Servicios instalados
• Cualquier comentario adicional o información requerida
El sitio Web que acompaña a este libro en inglés (www.reso-net.com/livre.asp?p=main&b=
WS08) incluye una Server Data Sheet. Esta hoja incluye cada uno de los elementos descritos
antes (en inglés). Puede usarse en papel o en formato electrónico. También puede adaptarse a

Seleccionar el sistema operativo Windows Seleccionar el sistema operativo de Windows
apropiado apropiado
2 CPU: edición Standard 32 bits: edición Estándar o Enterprise
3 o más CPU: edición Enterprise o 64 bits: edición Estándar/ Enterprise/
Datacenter Datacenter
Revisar la compatibilidad de la actualización Hosts: sólo Server Core de 64 bits
Aplicar todas las actualizaciones del sistema ¿Server Core o instalación completa?
Leer las notas de la versión Leer las notas de la versión
Revisar las recomendaciones para actualiza- Revisar las recomendaciones para la instala-
ción del fabricante del hardware del servidor ción del fabricante del hardware de servidor
Realizar el ejercicio de asignación de tamaño Realizar un ejercicio de asignación de tamaño
del servidor al servidor
Revisar el orden de las actualizaciones del Uno o varios sistemas operativos (se
servidor: recomienda uno solo)
Controlador de dominio primero: Usar NTFS para todos los volúmenes
Proporcionar todas las características Decidir sobre la partición
nuevas de ADDS Sistema: mínimo de 40 GB
Solicitar una actualización de esquema Datos: el resto
en el Maestro de esquemas Registros: Sólo si es necesario
adprep /forestprep Si ya tiene un sistema operativo en el servidor
adprep /rodcprep Crear copias de seguridad de los archivos
En el Maestro de infraestructura de datos
adprep /domainprep /gpprep Buscar errores en el registro del sistema
Servidores de miembros primero
Proporcionar nuevas funciones de
servidor
No proporcionar nuevas características
de ADDS
Asegurarse de que todas las particiones usan
NTFS
Deshabilitar el antivirus
Buscar errores en el registro del sistema
Instalar el sistema operativo Instalar el sistema operativo
Realizar una revisión posterior a la instalación Realizar una revisión posterior a la instalación
FIGURA 4-2 Lista de veriicación para preparar la instalación.

Transformaciones físicas a virtuales

Mientras se mueve al centro de datos dinámicos, se dará cuenta de que no estará ejecu-
tando actualizaciones en los servidores host. Lo más probable es que cada servidor host
sea una nueva instalación. Por tanto, los ofrecimientos de servicios que ahora estarán
virtualizados pueden realizar actualizaciones o nuevas instalaciones. Podríamos defen-
der las nuevas instalaciones todo el tiempo, pero obviamente usted es quien decide.
Recuerde que antes de que pueda realizar la actualización de un sistema, necesitará
convertirlo de una instalación física a una virtual (P2V, Physical-to-Virtual). Tanto
Microsoft como VMware ofrecen herramientas P2V, entre otras. La mejor herramienta
P2V de Microsoft se concentra en el Virtual Machine Manager (VMM, administrador
de equipos virtuales) del System Center. La información del VMM puede encontrarse
en www.microsoft.com/systemcenter/scvmm/default.mspx. VMware ofrece VMware
Converter, una herramienta gráfica que convierte equipos físicos en versiones virtuales
y también convierte equipos entre formatos virtuales. Converter es gratuito y puede en-
contrase en www.vmware.com/products/converter/. Por supuesto, si cuenta con Virtual
Infrastructure de VMware, ya tiene la versión Enterprise de Converter, que le permite
capturar equipos en ejecución y virtualizarlos. También hay herramientas P2V de terce-
ros, como las ofrecidas por PlateSpin (www.platespin.com) que le ofrecen mucha más
funcionalidad.
formato de base de datos. Cada hoja debe proporcionar información detallada y actualizada en la
configuración de cada servidor, host o invitado, de su red.
SUGERENCIA Los servidores hosts ejecutarán la edición Enterprise o Datacenter de WS08. Ade-
más, ejecutarán las instalaciones de Server Core sólo para minimizar la sobrecarga del sistema
operativo. Pero los servidores invitados ejecutarán cualquiera de las ediciones más comunes de
WS08 (Web, Standard, Enterprise), aunque lo más probable es que no ejecuten la edición Data-
center, porque ésta es costosa y está diseñada para hardware real y no instancias virtualizadas.
Los sistemas operativos invitados también ejecutarán una selección de Server Core o la instalación
completa, dependiendo de la ubicación y de su función en la red.
Lista de veriicación posterior a la instalación para almacenes

de recursos y ofrecimientos de servicios virtuales
Por último, cuando se haya realizado la instalación, deberá realizar una personalización y una
verificación posteriores a la instalación. Se requieren dos listas de verificación debido a la natu-
raleza del centro de datos dinámico. La primera trata con las instalaciones de servidor host (vea
la figura 4-3). Esta lista de verificación también puede usarse para la instalación de Server Core. La
segunda corresponde a un método más tradicional y trata con ofrecimientos de servicios (vea la
figura 4-4). Ambas presentan las actividades que debe incluir en esta etapa. Use estas listas de
verificación posteriores a la instalación para personalizar su sistema y realizar una verificación
de aseguramiento de calidad de todos los sistemas.
Almacén de recursos, Server Core o ambos
Lista de verificación posterior

a la instalación
Tareas de configuración inicial
Establecer zona horaria (si se requiere)
Configurar trabajo en red
Proporcionar nombre y dominio de equipo
Permitir actualizaciones
Descargar e instalar actualizaciones
Habilitar Escritorio remoto
Configurar firewall
Agregar características
Cifrado de unidad BitLocker
PARTE II
Servicios SNMP (opcional)
Tareas adicionales
Activar el servidor
Cambiar el nombre de la cuenta administrativa
Crear una cuenta de administrador de Copia de
seguridad
Establecer la hora del sistema operativo en 10
segundos
Establecer las opciones de recuperación en 10
segundos
Configurar archivo de página y parámetros de
recuperación
Instalar WinRE (opcional)
FIGURA 4-3 Lista de veriicación del almacén de recursos posterior a la instalación.
Recorra la instalación
Ahora que ha revisado los requisitos previos a la instalación y ha pensado en la manera en que
deben seleccionarse y construirse los sistemas, está listo para el proceso de preparación de la
instalación masiva. Si instala un servidor o varios, debe por lo menos aprender cómo funciona
la instalación automatizada para asegurarse de que las configuraciones de su servidor sean siem-
pre las mismas, con los mismos componentes centrales y la misma configuración básica. Será
más fácil darles soporte de esta manera. También puede usar el método de instalación automati-
zada que elija para recuperar los equipos que fallen, de modo que se vuelve muy útil.
En primer lugar, necesita comprender cómo funciona la instalación interactiva básica. Con
Windows Vista, Microsoft simplificó el proceso de instalación para asegurar que no haya más
bloqueos para que la instalación se complete. En versiones anteriores de Windows, había varias
instancias durante la instalación en que tenía que proporcionar información: claves de CD, zona
horaria, distribución del teclado, configuración regional y de idioma, contraseña administrativa
y más. Ahora, Microsoft ha modificado la instalación para recolectar toda la información desde
el principio del proceso y luego hace que finalice la configuración una vez que se completa la
instalación. Esto significa que puede empezar las instalaciones interactivas múltiples y hacer algo
más mientras se ejecutan, para regresar a ellas una vez que se hayan completado. Debido a que
los equipos están bloqueados, ni siquiera necesita preocuparse de que las configuraciones sean
vulnerables cuando no está allí.
Éste es un buen lugar para un procedimiento operativo estándar (POE), porque siempre es el
mismo, sin importar cuál versión de Windows quiere instalar. Este procedimiento se documenta
(POE) SOP 4-01 y está básicamente delineado como sigue:
Ofrecimiento de servicio virtual y/o instalación completa
Lista de verificación posterior Lista de verificación posterior

a la instalación parte 1 a la instalación parte 2
Asistente para tareas de configuración inicial Escritorio
Configurar red Personalizar el escritorio
Proporcionar nombre y dominio de equipo Área de Inicio rápido
Habilitar actualizaciones Crear accesos directos y tamaño doble
Descargar e instalar actualizaciones de la barra de tareas
Agregar características Administrador del servidor
Visor XPS Configuración | Usuarios y grupos locales
Cifrado de datos BitLocker (opcional) Crear una cuenta de administrador de
Experiencia de escritorio Copia de seguridad
Servicios SNMP (opcional) Panel de control
Copia de seguridad de Windows Server Sistema y mantenimiento | Sistema |
Habilitar escritorio remoto Configuración avanzada del sistema
Configurar Firewall de Windows Establecer la hora del sistema operativo
Cerrar y revisar: no se muestra al inicio de a 10 segundos
sesión Establecer las opciones de recuperación
Tareas administrativas a 10 segundos
Establecer el nombre de cuenta del Tomar como referencia el ejercicio de
administrador asignación de tamaño del servidor para
Administrador del servidor configurar el archivo de paginación
Diagnóstico|Visor de eventos|Inicio de sesión Sitio Web de Microsoft
de Windows Instalar el paquete de administración y
Para revisar/establecer el tamaño para WinRE
todos los registros Panel de control
Diagnóstico|Administrador de dispositivos Sistema y mantenimiento | Sistema |
Para ver/reparar configuraciones de Configuración avanzada del sistema |
dispositivos Rendimiento | Perfiles de usuario
Configuración | Servicios: Actualizar la configuración de usuario
Para habilitar el servicio Tema predeterminado
FIGURA 4-4 Lista de veriicación posterior a la instalación de ofrecimiento de servicios virtual.
• Empiece por elegir la versión de Windows Server que se instalará

• Realice la instalación inicial para descubrir el proceso
• Documente todos los requisitos de configuración (específicamente)
• Elija el método de instalación masiva
• Automatice la instalación
• Implemente el nuevo sistema operativo
Como se mencionó al principio, Windows Server 2008 ofrece cuatro métodos de instalación:
• Interactivo
• Desatendido con un archivo de respuesta
• Creación de imagen del sistema con la herramienta Preparación del sistema
• Instalación remota del sistema operativo mediante los Servicios de implementación de
Windows
Sólo los últimos tres se aplican a implementaciones masivas.
Cada uno tiene sus beneficios y desventajas. Ninguno de estos métodos es realmente nue-
vo para WS08, pero lo que sí es la manera en que trabajan. Debido a que sólo hay un archivo
de respuesta, se genera una vez y puede reciclarse para cualquier método de instalación. El
método que elija estará basado en lo que quiera usar y la manera en que quiera implementar
sus servidores. Pero todo empieza con la instalación y el descubrimiento inicial del proceso de
instalación (vea la figura 4-5). Además, los métodos de instalación de WS08 soportan tres esce-
narios de instalación:
• Actualización, que se orienta a reemplazar el sistema operativo existente sin dañar los datos
o las aplicaciones instaladas.
Elección de un método de instalación masiva
Configuración del sistema de

descubrimiento y referencia
1. Elija la versión de Windows
2. Inicie la instalación inicial (manual)
3. Instalación y configuración de Cree un sistema de
descubrimiento administración
4. Documente el proceso 1. Instale el sistema operativo del
5. Identifique requisitos sistema de administración
6. Construya un sistema de referencia 2. Descargue Windows AIK
7. Aplique el aseguramiento de calidad 3. Instale Windows AIK
8. Cree copias de seguridad del 4. Revise la documentación más
PARTE II
sistema de referencia reciente
9. Revise métodos de implementación 5. Sistema de administración
10. Elija método de instalación preparado
Métodos de instalación
Actualización Actualización completa Reemplazo sistema

Reemplazo del sistema Limpieza y carga nuevo o simple
operativo en el lugar
No atendido Imagen del sistema Instalación remota
Administrador de imagen del ImageX.exe Servicios de implementación

sistema de Windows de Windows
Use SYSPREP.EXE
Cargue imagen OOBE Prepare servidor WDS
Generalice
Elija catálogo Verifique requisitos de PXE
Apague
Agregue componentes y Cree imagen del sistema WDS
Prepare Unattended.XML
características
Cree UNATTEND.XML WDS
Prepare WinPE
Agregue valores de atributos
Sistema de arranque PXE
Capture imagen
Guarde archivo .XML
Seleccionar imagen
Prepare disco
Cambie el nombre de
Cargue sistema
AUTOUNATTEND.XML Aplique imagen
FIGURA 4-5 Proceso de selección de método de instalación masiva.
• Actualización completa, que es un método de limpieza y carga donde el disco del sistema se
limpia, reformatea y se instala un nuevo sistema operativo.
• Reemplazo, donde un sistema nuevo o simple sin sistema operativo se prepara y se instala un
nuevo sistema operativo.
Como se observa en la figura 4-5, cada escenario se cubre con un método específico de ins-
talación masiva.
Estos escenarios son para usarse con instalaciones de equipos físicos. En el centro de datos
dinámico, estos escenarios se aplicarán principalmente a la instalación de servidor host y tal vez
a los pocos ofrecimientos de servicios que no puede virtualizar por alguna razón. Cuando está
ejecutando ofrecimientos de servicios como sistemas operativos invitados, podrá aprovechar un
proceso de instalación diferente porque no necesita capturar imágenes para ejecutar la instala-
ción. En cambio, puede depender de copias de los archivos que integran las unidades virtuales de
disco duro para los equipos y usarlos como lo haría normalmente con una imagen de disco (vea
la figura 4-6). Por supuesto, si decide seguir adelante con la actualización de su sistema, también
podrá ejecutar una instalación básica no atendida dentro del equipo virtual.
Virtualice ofrecimientos de servicios

Existen pocas razones por las que no pueda virtualizar un ofrecimiento de servicios. Por ejemplo,
tiene la opción de decidir que se continúe la ejecución de algunos ofrecimientos de servicios en
hardware de 32 bits más antiguo porque no está listo para alejarse de esos sistemas. Pero tome
en consideración las ventajas de ejecutar equipos virtuales. Debido a que son virtuales, pueden
cargarse en cualquier sistema de hardware. Además, es fácil desplegarlos y protegerlos (sólo
copie los archivos del disco en otra ubicación).
Otra razón para mantener los ofrecimientos de servicios físicos sería usar hardware antiguo
de 32 bits en regiones. Una vez más, debe ejecutar éstos como instancias virtuales siempre que
sea posible. Si encuentra que necesita mantener hardware antiguo y ejecutarlo en su centro de
datos, ¿por qué no hacerlos, de todos modos, sistemas host? Es verdad que Hyper-V no se ejecu-
ta en plataformas de 32 bits, pero aún puede depender de herramientas como Microsoft Virtual
Server o incluso el System Center Virtual Machine Manager. Ambos se ejecutan en sistemas de
Proceso de instalación masiva para ofrecimientos de servicios virtuales
Configuración del sistema de

descubrimiento y referencia
1. Elija la versión de Windows

2. Empiece la instalación inicial (manual)
3. Instalación y configuración de
Cree un sistema de administración
descubrimiento
4. Documente proceso 1. Instale el sistema operativo del
5. Identifique requisitos sistema de administración
6. Construya un sistema de referencia 2. Descargue Windows AIK
7. Realice aseguramiento de la calidad 3. Instale Windows AIK
8. Cree copias de seguridad del sistema 4. Revise la documentación más
de referencia reciente
9. Revise los métodos de implementación 5. Sistema de administración
10. Elija el método de instalación preparado
Métodos de instalación
Reemplazo del sistema
operativo en el lugar Imagen del sistema
No atendido
Copie sistema de referencia
Haga una pausa del sistema de
Servidor P2V existente referencia
Prepare XML no atendido Cargue copia
Realice actualización Prepare XML no atendido
Ejecute SysPrep
OOBE
Generalice
Apague
Copie y cargue la imagen de
SysPrep para todas las nuevas
instancias
FIGURA 4-6 Proceso de instalación masiva para ofrecimientos de servicios virtuales.

32 bits, dándoles más vida como hosts físicos en lugar de entregar en realidad ofrecimientos de
servicios a usuarios. De esta manera, todos sus equipos físicos (32 y 64 bits) son hosts y todos sus
ofrecimientos de servicios están virtualizados.
SUGERENCIA Los equipos virtuales no sólo son para producción. Puede usarlos como soporte de
todos sus procedimientos de prueba y preparación. Sólo P2V el equipo que quiera probar, haga
una copia de seguridad del equipo virtualizado y luego pruebe el contenido.
SOP 4-01: preparación para automatización de la instalación

Incluya los siguientes elementos en su propia versión de este procedimiento operativo estándar (POE):
PARTE II
• Fecha
• Autor
• Número de referencia
• Número de revisión
• Revisado por
Categoría Instalación del sistema
Propósito Este procedimiento operativo estándar está diseñado para cumplir dos objetivos:
• Realizar el descubrimiento de un nuevo sistema operativo
• Preparar un equipo de referencia
Cada uno es un proceso manual que debe realizarse con precaución.
El procedimiento operativo estándar está diseñado para arquitectos, operadores de equipos
e instaladores. Sobre todo, la fase de descubrimiento es para todas las audiencias, pero la fase del
equipo de referencia es más específicamente para operadores e instaladores.
El procedimiento cubre todos los pasos requeridos para realizar una instalación de primera
vez de un nuevo sistema operativo de Windows Server. Debe actualizarse a medida que evolu-
cionan estos sistemas.
Cobertura de tareas Preparar la creación de un servidor de referencia y preparar el propio servi-
dor son dos tareas extremadamente importantes en el proceso de implementación masiva debido
a que son el punto de partida de toda la implementación. Estos pasos deben realizarse con cui-
dado y disciplina si no quiere descubrir situaciones problemáticas más adelante en su red. Use la
regla del 80/20 para preparación del equipo y el servidor.
Herramientas requeridas
Equipo • Medios de instalación de Windows Server 2008
• Hardware de servidor
• Laboratorio de prueba
Materiales de referencia • Sitio Web de Microsoft
• Sitio Web del fabricante de software
• Ayuda y soporte de WS08
Requisitos de capacitación • Instalación avanzada de Windows NT, 2000 o 2003, o cualquier combinación de
éstos
Materiales generales • Ayuda en línea
Herramientas • Lista de veriicación para preparar la instalación

• Hoja de datos del servidor
• Lista de veriicación posterior a la instalación
• Kit de instalación automatizada de Windows (WAIK, Windows Automated Installation
Kit)
Términos y conceptos Aquí se usan dos términos clave:

• Proceso de descubrimiento El proceso de examinar una nueva instalación de sistema
operativo para descubrir nuevas características, nuevas maneras de hacer cosas, componentes
y configuraciones predeterminadas y, sobre todo, modificaciones y configuraciones de perso-
nalización.
• Preparación de referencia La preparación del servidor principal servirá como imagen para
todos los servidores de la organización.
¡Advertencia! Asegúrese de documentar cuidadosamente cada paso del proceso. Los servidores
de referencia se duplican en toda la red. Cualquier error en esta etapa requerirá volver a empezar
todo el proceso. No querrá implementar un servidor de referencia preparado de manera inapropiada.
Figuras Use la gráfica de flujo de la figura 4-7 para recorrer el proceso.
Pasos a realizar
1. Use la lista de verificación de preparación de la instalación para revisar los requisitos de la
instalación.
2. Seleccione la versión de Windows que se instalará.
3. Rellene la hoja de datos del servidor durante la instalación y durante el descubrimiento de la
instalación. Modifique la hoja, si es necesario.
4. Use la lista de verificación posterior a la instalación para realizar descubrimiento del nuevo
proceso de configuración del sistema operativo.
5. Documente todos los requisitos de configuración y personalización. Actualice la hoja de datos
del kernel, a medida que avanza.
6. Instale el Kit de instalación automatizada de Windows (Windows AIK). Obtenga la versión
más reciente de esta herramienta del sitio Web de Microsoft.
7. Cree una copia de seguridad de su servidor de referencia al emplear Copia de seguridad de
Windows. Este paso puede repetirse cada vez que haga una modificación al servidor de refe-
rencia. La imagen de copia de seguridad se usa para restablecer el servidor de referencia en
caso de errores o mala configuración.
8. Prepare un archivo de respuesta. Use el Administrador de imágenes del sistema de Windows
(SIM, System Image Manager) para generar el archivo de respuesta basado en los parámetros
de configuración que desee reproducir.
9. Si ha seleccionado una imagen del sistema o la implementación de Windows como método
de implementación, use ImageX para crear una imagen de formato de imagen de Windows
(.wim) del servidor y almacenar la imagen en un depósito central.
10. Pruebe y vuelva a probar la instalación automatizada que está preparando para implementar.
Use aseguramiento de calidad para garantizar que todo sea exactamente como espera en los
servidores de implementación. Si ocurren problemas, regrese al paso 2.
1. Revise la lista de verificación para preparar la instalación
2. Seleccione la versión de Windows
3. Llene la hoja de datos del servidor
4. Use la lista de verificación posterior a la instalación
5. Documente la configuración y los requisitos de personalización
Sólo para el servidor de referencia:
6. Instale Windows AIK en el sistema de administración
PARTE II
7. Cree una copia de seguridad del servidor de referencia
8. Prepare el archivo de respuesta
9. Cree una imagen .wim (si se necesita)
10. Pruebe el método de implementación
FIGURA 4-7 Flujo de trabajo del procedimiento operativo estándar.
Instalación inicial
SUGERENCIA Los equipos virtuales son ideales para el proceso de descubrimiento de la instalación,
porque es fácil ejecutar una y otra vez mediante la instalación, sin tener que borrar un sistema
completo.
El proceso de descubrimiento es muy importante porque es donde encuentra lo que hace

que funcione la instalación de Windows Server 2008. A diferencia de versiones anteriores, la
instalación de WS08 es completamente gráfica. Esto se debe a que se basa en el entorno de
preinstalación de Windows (WindowsPE) si no hay un sistema operativo en el servidor; si lo hay,
y se permite la actualización, se ejecutará aún en modo gráfico. La primera pantalla en aparecer
le planteará tres preguntas:
• Idioma a instalar
• Formato de hora y moneda
• Método de teclado o entrada
Estos parámetros determinan en qué idioma se realizará la instalación. Como Vista, WS08
usa una instalación básica de idioma general que luego se convierte a cualquier idioma que se-
leccione durante la instalación.
A continuación, se le presenta la pantalla Instalar ahora. Observe que esta pantalla también
incluye dos opciones en la esquina inferior izquierda:
• Qué debe saber antes de instalar Windows
• Repare su equipo
La primera le proporciona información actualizada sobre los requisitos del sistema y los
procedimientos para instalar WS08. Siempre es una buena idea revisar esta información, es-
pecialmente durante el proceso de descubrimiento de la instalación. La segunda se utiliza para

recuperar sistemas que podrían estar dañados. Primero le permite elegir una partición del siste-
ma existente. Luego, cuando hace clic en Siguiente, se le presenta una serie de opciones para la
reparación del sistema, incluidas:
• Restauración de Windows Complete PC: restaura Windows desde una imagen de copia de
seguridad.
• Herramienta de diagnóstico de memoria de Windows: verifica la memoria del sistema.
• Símbolo del sistema: lanza una sesión de Windows PE con un indicador de comandos abierto.
Pero como su objetivo es descubrir la manera en que funciona la instalación, haga clic en
Instalar ahora. Esto le lleva a la siguiente pantalla, donde necesita insertar la clave del produc-
to para usarla en la instalación. Como Vista, WS08 usa un almacén de una sola instancia en el
medio de instalación y la versión que instale será determinada por la clave de producto que
ingrese. Observe que la pantalla de clave de producto también incluye una casilla de verifi-
cación de activación automática. Más adelante se analizarán otros detalles sobre activación y
administración de licencias, pero si sólo está explorando la instalación y puede repetirla varias
veces, tal vez no quiera activar esta opción. También puede seguir adelante sin incluir una clave
de producto. Tendrá 30 días antes de que necesite ingresarla y activar la instalación. Pero, para
descubrimiento, no se requiere una clave porque su instalación probablemente será volátil al
principio.
En la siguiente pantalla es donde decide si instalará Server Core o una instalación completa
de WS08. Si quiere un servidor sin una interfaz gráfica que sólo soporte funciones de servidor
claves, entonces use la instalación Server Core. Si no, use la versión regular. Recuerde que Server
Core se usará para todos los servidores hosts. Acepte el acuerdo de licencia, haga clic en Siguien-
te y luego se le moverá a la pantalla de selección del tipo de instalación. Están disponibles dos
tipos de opciones:
• Actualización Seleccione esta opción si ya hay sistemas operativos soportados en su servidor.
• Personalizada (avanzada) Seleccione esta opción si está instalando un nuevo servidor o
si el servidor que está actualizando no se está ejecutando en un sistema operativo soportado
para actualización.
NOTA Al igual que en Windows Vista, el proceso de actualización en WS08 ¡realmente funciona!
Eso se debe a que cada instalación de WS08 usa una imagen para realizar la instalación. ¿Re-
cuerda IBS? Debido a IBS, la actualización elimina todos los componentes de sistemas operativos
anteriores, protege todos los datos y coniguraciones de aplicaciones, además de todas las aplica-
ciones instaladas, y luego instala WS08 al descomprimir la imagen de instalación y personalizar
el hardware en que lo está instalando. Debe investigar este proceso si trata de actualizar sistemas
que realicen la función de ofrecimientos de servicios.
Si está instalando en un sistema simple o un equipo virtual simple, entonces seleccione

la segunda opción. Esto llevará a una pantalla donde puede seleccionar y crear la partición del
disco que ejecutará el sistema operativo. Esta pantalla también da acceso a las herramientas de
particionamiento y formato, además de darle capacidad de cargar nuevos controladores. Examine
cada opción y luego proceda con la instalación.
SUGERENCIA Particiones de BitLocker: si trata de ejecutar BitLocker y cifrar la partición del

sistema para este servidor, entonces necesitará crear dos particiones. La primera debe tener por
lo menos 2 GB de tamaño, debe formatearse como NTFS y marcarse como activa. Ésta será la
partición de arranque una vez que se active BitLocker. La segunda también debe ser NTFS y, por
lo general, usará el resto del espacio en el disco de sistema del servidor.
SUGERENCIA Partición WinRE sin BitLocker: si trata de instalar un entorno de recupera-

ción en el servidor, entonces necesitará el mismo tipo de partición que usaría para el sistema de
BitLocker. Recuerde que si instala BitLocker y WinRE, entonces necesitará instalar WinRE en la
partición del sistema operativo para proteger el sistema de modiicaciones mediante WinRE.
PARTE II
Una vez que ha creado o seleccionado la partición, Windows empieza el proceso de insta-
lación. A partir de este punto, no hay nada más que hacer hasta que la instalación se complete.
Copiará los archivos de instalación de Windows, los expandirá, instalará las características y las
actualizaciones y luego completará la instalación. Durante este proceso, Windows los instalará y
los restaurará y luego pedirá un cambio de contraseña una vez que ha terminado la instalación.
El proceso de instalación también cubre cinco pasos; observe que el sistema reiniciará varias
veces durante la instalación:
• Copiando archivos
• Expandir archivos
• Instalar características
• Instalar actualizaciones
• Completar instalación
Ya no se muestra información de tiempo para finalización; en cambio, se despliega el por-
centaje de cada paso. Toma alrededor de 40 minutos para la instalación, dependiendo del hard-
ware y las opciones que seleccione.
Instalación de sistemas operativos x64

Si está instalando una versión x64 de WS08, ejecutará el mismo proceso que para WS08,
con pequeñas diferencias. Por ejemplo, el sistema operativo x64 soportará una actualiza-
ción no destructiva de sistemas operativos x86 (es decir, reemplazará el sistema operativo
existente y mantendrá los datos en el sistema) pero el resultado final retendrá todos los
datos, además de las carpetas de aplicaciones, excepto que las aplicaciones no serán fun-
cionales y necesitarán reinstalarse porque la instalación no es una actualización real. La
mejor manera de realizar este tipo de instalación consiste en mover realmente los datos
fuera del sistema, si desea protegerlos, o por lo menos asegurar que los datos no estén
en la partición del sistema operativo, y luego volver a formatear la partición del sistema
operativo e instalar una versión actualizada del sistema operativo x64.
Además, las versiones x64 de WS08 requieren controladores firmados digitalmente y
sólo éstos. Si su proveedor de hardware no ofrece controladores firmados para sus siste-
mas, tal vez tenga que instalar una versión de x86 de WS08 en el sistema hasta que estén
disponibles esos controladores.
Cuando se reinicia el sistema, se requerirá un cambio de contraseña la primera vez que

inicie. La contraseña predeterminada está en blanco. Cambie la contraseña por algo comple-
jo, porque es para la cuenta administrativa predeterminada. La contraseña debe incluir por lo
menos ocho caracteres y caracteres complejos como números, mayúsculas y minúsculas, además
de caracteres especiales. Si tiene dificultad para recordar contraseñas, puede reemplazar letras
con caracteres especiales. Por ejemplo, reemplace la “a” con “@”, reemplace la “e” con “€”, etcé-
tera. Esto dificulta el descubrimiento de las contraseñas. Aun así, si un atacante tiene acceso al
sistema, puede usar herramientas para descubrimiento de contraseñas para desplegar el texto
de la contraseña. Si hay un problema, puede usar una combinación de ALT más un código clave
Unicode de cuatro números para ingresar caracteres en su contraseña (por ejemplo ALT0149). La
ventaja de este método es que estos caracteres suelen desplegarse como un cuadro en blanco o
un rectángulo ( ), cuando se despliega como texto en el software de descubrimiento de contra-
señas. Si está realmente preocupado por la seguridad de las contraseñas, entonces use más de 14
caracteres (las herramientas de descubrimiento de contraseñas se detienen en 14) o implemente
el sistema de autentificación de dos factores para administradores de TI.
NOTA También tiene la oportunidad de crear un disco de restablecimiento de contraseña en este

punto.
Tareas de coniguración posteriores para instalación completa

Las tareas de configuración posteriores a la instalación son similares para instalaciones com-
pletas y para Server Core. En instalaciones completas, WS08 reiniciará el sistema una vez que la
instalación esté completa y, después de generar el perfil inicial, desplegará un asistente: Tareas de
configuración inicial (vea la figura 4-8). Esta pantalla incluye tres categorías de tareas posteriores
a la instalación:
• Proporcionar información del equipo
• Actualizar este servidor
• Personalizar este servidor
A diferencia de versiones anteriores de Windows, la configuración de WS08 reserva todos
estos pasos de configuración para el proceso posterior a la instalación.
Como puede ver, la pantalla Tareas de configuración inicial cubre la primera parte de las
tareas que aparecen en las listas de verificación posterior a la instalación (consulte las figuras 4-3
y 4-4 mostradas al principio de este capítulo). Esto hace que resulte práctico realizar estas tareas
iniciales. También necesitará usar otras herramientas para finalizar su descubrimiento del proceso
de preparación. Asegúrese de documentar todas las modificaciones de configuración que retenga.
Esto será importante para cuando prepare su equipo de referencia para el proceso de puesta en
funcionamiento de la implementación masiva. Esta documentación también forma el corazón
del kernel de cada servidor; debe ser específica, además (es decir, debe detallar específicamente
los pasos que necesita realizar para completar la configuración del sistema central). Este proceso
debe incluir todos los pasos de la lista de verificación apropiada posterior a la implementación,
pero debe prestarse especial atención a lo siguiente:
• Establezca la zona horaria (si es necesario)
• Configure la red
PARTE II
FIGURA 4-8 Asistente Tareas de coniguración inicial.
• Proporcione el nombre y el dominio del equipo

• Habilite actualizaciones y recopilación de información
• Descargue e instale actualizaciones
• Agregue características del sistema central
• Habilite Escritorio remoto
• Configure la Firewall de Windows
• Configure el Registro de eventos
• Configuración de los dispositivos
• Cambie el nombre de la cuenta del administrador
• Cree una cuenta de administrador de copia de seguridad
• Configure el archivo de paginación y la configuración de recuperación
• Instale las herramientas de administración, soporte y kit de recursos
• Instale el Entorno de recuperación de Windows
• Y, para ofrecimientos de servicios que ejecutan la instalación completa:
• Habilite el servicio Temas y la cfg de la interfaz de Windows Vista
• Actualice la configuración del usuario predeterminado
En instalaciones completas, empiece con las tareas del asistente Tareas de configuración inicial.
Empiece por establecer la zona horaria, si es necesario, y pase a la configuración de la red.
Una vez que aparezca la pantalla Conexiones de red, haga clic con el botón derecho en una
conexión para seleccionar sus propiedades o seleccione la que quiera modificar y haga clic en los
comandos del historial desplegados bajo la barra de menús. Para modificar los parámetros, elija
Cambiar configuración, del comando Esta conexión. Como opción predeterminada, WS08 instala
y habilita dos versiones del protocolo TCP/IP: IPv4 e IPv6. IPv4 se establece para recibir una
dirección automática de un servidor que ejecuta el protocolo de configuración dinámica de host
(DHCP, Dynamic Host Configuration Protocol). IPv6 se establece como una dirección de vínculo
local privado, como opción predeterminada.
El cuadro de diálogo Propiedades de red es el mismo que en Windows Server 2003, de modo
que debe estar familiarizado con la mayor parte de los administradores. Use sus directrices cor-
porativas para asignar configuraciones a IPv4 e IPv6. Un parámetro de configuración que tal vez
sea diferente para la configuración IPv4 es el vínculo con un servidor de asignación de nombre de
Internet de Windows (WINS, Windows Internet Naming Service), porque el sistema de nombre de
dominio (DNS, Domain Name System) que se ejecuta en WS08 ahora soporta una característica de
nombre global (GlobalName). Se cubrirá más sobre este tema durante el diseño de la infraestructu-
ra de red en el capítulo 6, pero debe deshacerse de los servidores WINS, hasta donde pueda, porque
proporcionan servicios no actualizados en las redes de hoy en día. Modifique las propiedades de
cada conexión en el servidor. Cierre la ventana Conexiones de red cuando haya terminado.
NOTA Equipo de referencia: sería mejor que deje las propiedades de red del equipo de referencia en
sus valores predeterminados, a menos que tenga valores especíicos que pueda usar para conigu-
raciones predeterminadas. Recuerde que cualquier cosa que se conigure en el equipo de referencia
se retendrá en la imagen del sistema que cree a partir de él.
A continuación, querrá proporcionar un nombre de equipo al sistema. Como opción pre-

determinada, el proceso de instalación genera un nombre de equipo aleatorio. Una vez más,
este cuadro de diálogo no ha cambiado de versiones anteriores. Haga clic en el botón Cambiar,
para modificar el nombre del equipo y unirse a un dominio. Use una convención de asignación
de nombre apropiado para servidores y ubicaciones en su red. Puede elegir que se reinicie más
adelante, porque aún tiene varias opciones por modificar.
También puede activar aquí la opción Escritorio remoto, porque está en el mismo cuadro de
diálogo. Si su organización permite conexiones remotas con servidores para fines administrativos,
entonces haga clic en la ficha Acceso remoto y seleccione la configuración apropiada. La configu-
ración más segura usa autentificación de nivel de red, pero requiere conexiones de sistemas que
ejecuten la actualización de cliente de Conexiones de Escritorio remoto 6.0. Asegúrese de que esta
actualización se ha desplegado en su red antes de implementar sistemas de Vista o WS08.
NOTA Equipo de referencia: es una buena idea asignar un nombre al equipo de referencia, pero
manténgalo en un grupo de trabajo en lugar de unirlo a un dominio, porque se despersonalizará
para generar una imagen de sistema. Lo ideal es que pueda crear un grupo de trabajo que use un
nombre de nivel inferior o NetBIOS para su dominio, de modo que aparezca en las mismas agru-
paciones cuando se vean las redes disponibles. Luego, puede unirlo al dominio durante el proceso
de coniguración de la imagen.
También debe habilitar las actualizaciones de acuerdo con las configuraciones de su orga-
nización. Seleccione Configurar las opciones manualmente, en el cuadro de diálogo Habilitar
comentarios y actualizaciones automáticas de Windows, porque al elegir la opción automática
se instalarán automáticamente las actualizaciones además de enviar comentarios a Microsoft.
Casi todas las organizaciones preferirán diferentes configuraciones. En el cuadro de diálogo

Configurar las opciones manualmente, use el botón Cambiar configuración para establecer las
Actualizaciones automáticas de Windows, de acuerdo con su configuración corporativa. Si no usa
una herramienta corporativa de administración de actualizaciones, entonces establezca que las
actualizaciones se descarguen pero le permitan elegir que se apliquen durante las ventanas de
mantenimiento sin afectar a los usuarios. Además, si elige que se descarguen automáticamente,
ahorrará tiempo cuando las aplique, porque ya estarán disponibles en el servidor. Por último,
seleccione la opción Incluir las actualizaciones recomendadas, para que también las proporcione
para controladores de dispositivos y otro software opcional. Cierre la ventana cuando haya termi-
nado. Las otras opciones de esta sección incluyen informe de error y retroalimentación de cliente.
Modifíquelas de acuerdo con los parámetros recomendados de su organización. El informe de
PARTE II
errores, en particular, puede alimentarse a un servidor de informe de errores centrales dentro de
la red, lo que le permite identificar problemas con su servidor, a medida que ocurren.
Ahora que las actualizaciones están configuradas, puede descargar e instalar cualquier ac-
tualización disponible. Haga clic en el vínculo en Tareas de configuración inicial. Se despliega la
pantalla Windows Update. Antes de que busque actualizaciones, asegúrese de hacer clic en el
vínculo Obtener actualizaciones para más productos. Esto le lleva al sitio Web de Microsoft Update
e instala la utilería que le permitirá obtener actualizaciones de controladores y otro software. Acepte
los términos de uso y haga clic en el botón Instalar. Esto hará que el servidor revise actualizaciones
automáticamente. Instálelas si están disponibles. Cierre las ventanas y regrese a Tareas de configu-
ración inicial cuando haya terminado. Éste es un buen momento para reiniciar el servidor.
SUGERENCIA Si por alguna razón pierde la ventana Tareas de coniguración inicial, simplemente
escriba “oobe” en el cuadro Iniciar búsqueda del menú Iniciar y luego oprima ENTER para desple-
garlo de nuevo.
Una vez que se reinicie, la siguiente tarea en Tareas de configuración inicial es agregar fun-
ciones. Si está realizando un descubrimiento con la intención de crear un equipo de referencia,
no use esta opción aquí. También está disponible en el Administrador del servidor y realmente
debe usarlo una vez que esté completamente configurado el servidor de base. Sin embargo, pue-
de usar la siguiente opción para agregar características. Aquí debe agregar lo siguiente para una
instalación completa:
• Visor XPS bajo .NET Framework 3.0 para ver los documentos de especificación en papel de
XML (XPS, XML Paper Specification) en cualquier servidor.
• Cifrado de unidad BitLocker, pero sólo si el servicio está destinado a una zona físicamente
desprotegida, aunque esta característica puede habilitarse después, siempre y cuando el siste-
ma incluya por lo menos dos particiones NTFS.
• Experiencia de escritorio, porque será necesario habilitar el servicio Tema de Windows Vista
más adelante.
• Servicios de protocolo simple de administración de red (SNMP, Simple Network Management
Protocol), si su organización permite este protocolo en servidores para monitorear su estatus.
Confirme que lo asegura apropiadamente.
• Copia de seguridad de Windows Server para proteger el sistema operativo y los datos del
servidor.
Todas las demás características sólo deben instalarse cuando se haya aprovisionado el servi-
dor y necesite asignársele una función específica en la red.
Por último, verifique la configuración de la Firewall de Windows. En cualquier otra red
corporativa, la configuración de la firewall se controlará centralmente mediante la directiva de
grupo, de modo que sólo necesita un nivel predeterminado de protección en este servidor.
Antes de cerrar la ventana Tareas de configuración inicial, asegúrese de seleccionar la casilla
de verificación No mostrar esta ventana al iniciar sesión, en la esquina inferior izquierda, porque
se han completado las opciones de configuración en esta ventana.
Reinicie el servidor, porque tiene varias operaciones que dependen de un reinicio para
completarse. Una vez que se ha reiniciado, inicie sesión con la cuenta Administrador. Una vez
que la sesión esté abierta, lance el Administrador del servidor. Un icono para éste se encuentra
en el área Inicio rápido, además del botón Iniciar. Lo usará para varios pasos de descubrimiento.
Cuando el Administrador del servidor se abre, verá varias de las opciones que configuró en la
pantalla Tareas de configuración inicial. Primero, revise la configuración de Registro de eventos.
Expanda la sección Diagnóstico en el panel de árbol de la izquierda, luego Visor de eventos y Re-
gistros de Windows. Los registros se usan para registrar información acerca de sucesos en el sis-
tema. Cada registro tiene un tamaño determinado y se establece en un mecanismo de rotación,
por lo general sobrescribiendo eventos más antiguos cuando se llena el registro. Su organización
puede tener una directiva diferente. Como opción predeterminada los registros se establecen en:
• Aplicación: 20 MB con sucesos sobrescritos más antiguos
• Seguridad: 20 MB con sucesos sobrescritos más antiguos
• Configuración: 1 MB con sucesos sobrescritos más antiguos
• Sistema: 20 MB con sucesos sobrescritos más antiguos
• Sucesos reenviados: 20 MB con sucesos sobrescritos más antiguos
NOTA Se usa la opción de sobreescritura de sucesos más antiguos porque los registros detendrán su
servidor cuando se llene.
Haga clic con el botón derecho en el nombre de cada registro, y seleccione Propiedades, para
establecer el tamaño del archivo y determinar su mecanismo de creación de bucles. No olvide
que se crean copias de seguridad todos los días (con base en el calendario de copias de seguridad
de su organización), de modo que sólo necesita el tamaño que será conveniente sin tener que
depender de una copia de seguridad. Observe que no puede cambiar el registro Eventos reenvia-
dos, porque almacena eventos que se reenvían desde otros equipos o ninguno está disponible.
A continuación, pase al Administrador de dispositivos. También puede encontrarlo bajo
Diagnóstico. Úselo para ver cualquier posible problema de hardware. Revise cualquier elemento
que tenga un signo de admiración o uno de detención. Tal vez tenga que instalar nuevos contro-
ladores o actualizar los existentes. Aquí es donde serán de utilidad las notas que adquirió del sitio
Web del fabricante del hardware. Siga hasta que ya no haya conflictos o hasta que no queden
conflictos críticos. Lo que se busca es un sistema donde todos los elementos estén contraídos.
Agregue la característica Experiencia de escritorio y, una vez que se haya reiniciado el sis-
tema, pase al nodo de servicios, bajo Configuración, para habilitar el servicio Temas. Este ser-
vicio está deshabilitado como opción predeterminada, porque usa recursos del sistema. Si está
actualizado y usa Windows Vista en sus escritorios, este servicio deberá estar activado para tener
el mismo aspecto en servidores y estaciones de trabajo. De otra manera, siempre estará yendo
de una interfaz a otra. En realidad, todos los servidores deben tener activado este servicio como
opción predeterminada.
1. Encuentre el servicio Temas, en la lista Servicios que se encuentra en el panel intermedio, haga
clic con el botón derecho en él y seleccione Propiedades. En la lista desplegable de la ficha
General, seleccione Automático, luego haga clic en Aplicar y en Iniciar. Haga clic en Aceptar,
cuando haya terminado.
2. A continuación, minimice el Administrador del servidor, haga clic con el botón derecho en el
escritorio, elija Personalizar y luego seleccione Tema.
3. Elija el tema Windows Vista y haga clic en Aceptar.
PARTE II
Ahora que está usando la interfaz de Vista, personalice el área Inicio rápido. Deberá hacer
esto al asegurar que todos los administradores de su organización tengan la misma experiencia,
o por lo menos una similar, en cualquier lugar que accedan a un servidor para realizar activida-
des en él. Empiece por doblar el tamaño de la barra de tareas. Hágalo así al mover el puntero
del ratón a la parte superior de la barra de tareas junto al botón Iniciar de Windows, hasta que el
puntero tome la forma de una flecha que apunta hacia arriba y hacia abajo. Arrastre hacia arriba
para expandir la barra de tareas.
La barra de tareas incluye los programas en ejecución, además del área Inicio rápido. Cada área
es antecedida por una fila de cuatro series de puntos a la izquierda. Mueva el puntero a la parte su-
perior de esta fila de programas en ejecución hasta que tome la forma de una flecha que señala hacia
la izquierda y la derecha. Arrastre la barra de programas en ejecución a la esquina inferior izquierda
del botón Iniciar. Ahora debe tener programas en ejecución desplegados debajo del área Inicio rápi-
do. Haga clic con el botón derecho en la barra de tareas y seleccione Bloquear la barra de tareas.
A continuación, haga clic en el botón Iniciar, luego en Todos los programas, y recorra los pro-
gramas predeterminados, además de las herramientas administrativas para agregar las que usará
más en el área Inicio rápido. Para agregar cada acceso directo al programa, haga clic con el botón
derecho en él y seleccione Agregar a Inicio rápido. Por ejemplo, podría considerar la adición de
los siguientes elementos:
• Internet Explorer, personalizado de acuerdo con su estándar corporativo
• Bajo Accesorios:
• Símbolo del sistema
• Bloc de notas
• Explorador de Windows
• Bajo Accesorios|Herramientas del sistema:
• Información del sistema
• Bajo Herramientas administrativas:
• Administración de equipos
• Directiva de seguridad local
• Terminal Services|Escritorios remotos
• Configuración del sistema
La barra de tareas resultante debe incluir la mayor parte de las herramientas que todos nece-
sitarán usar para administrar este servidor o incluso servidores remotos. Organice las herramientas
de acuerdo con su orden de uso, de izquierda a derecha (vea la figura 4-9). Su interfaz está lista.
FIGURA 4-9
Ahora, cambie el nombre de la cuenta de
Barra de tareas administrador. Para esto, regrese al Adminis-
de un servidor trador del servidor. Expanda Administrador
bien administrado. del servidor|Configuración|Usuarios y grupos
locales y haga clic en Usuarios. Haga clic con
el botón derecho en Administrador y seleccione Cambiar nombre. Escriba el nuevo nombre y
oprima ENTER. Cuando lo haga, cierre la sesión y vuelva a iniciar porque necesita abrir una nueva
sesión con el nuevo nombre de cuenta.
PRECAUCIÓN Como opción predeterminada, se establece la cuenta de administrador para que las
contraseñas expiren con base en la directiva de cuenta del servidor. Aunque no es una buena prác-
tica, tal vez desee cambiar esta característica. Para ello, haga clic con el botón derecho en la cuenta
para elegir Propiedades y marque La contraseña nunca expira, en la icha General. Haga clic en
Aceptar cuando haya terminado.
Regrese al Administrador del servidor para crear una cuenta de administrador de copia de
seguridad. Esta cuenta puede ser obligatoria o no, de acuerdo con la directiva de seguridad de su
organización, pero es obligatoria, por lo menos temporalmente, para actualizar el perfil de usuario
predeterminado. Expanda Configuración y luego Usuarios y grupos locales; haga clic con el botón
derecho en Usuarios y seleccione Usuario nuevo. Asigne a la cuenta el nombre AdminCS (o use su
estándar organizacional), déle un nombre completo de Administrador de copia de seguridad, agre-
gue una descripción, proporcione una contraseña sólida y asigne el derecho La contraseña nunca
expira. Haga clic en Crear y luego en Cerrar. A continuación, haga clic con el botón derecho en
AdminCU y seleccione Propiedades. Pase a la ficha Miembro de y seleccione Agregar. Una vez que
aparezca el cuadro de diálogo, haga clic en Avanzadas y luego en Buscar ahora. Haga doble clic en
Administradores y luego haga clic en Aceptar para cerrar el cuadro de diálogo. Su cuenta está lista.
Ahora, abra el Panel de control, asegúrese de que está usando la vista Ventana principal del
Panel de control, y haga clic en Sistema y mantenimiento. Seleccione Sistema y, en el panel de la
izquierda, seleccione Configuración avanzada del sistema. Aquí se requieren varias modificacio-
nes. Empiece por establecer las opciones de Inicio y recuperación. Use los siguientes parámetros
en este cuadro de diálogo:
• Mostrar la lista de sistemas operativos por: 10 segundos
• Mostrar opciones de recuperación por: 10 segundos
Haga clic en Aceptar para cerrar el cuadro de diálogo. A continuación, vaya a Rendimiento y
haga clic en la ficha Opciones avanzadas. Haga clic en Cambiar para establecer el archivo de pagina-
ción. El tamaño de éste depende de la cantidad de RAM en el servidor; consulte su ejercicio de asig-
nación de tamaño al servidor para ver la manera de establecer su tamaño de archivo de paginación.
Cierre todos los cuadros de diálogo cuando haya terminado. A continuación, use el Administrador
del servidor para agregar la característica Herramientas de administración de servidor remoto.
Se requieren dos actividades adicionales en la exploración del proceso de instalación. La
primera es la instalación de WinRE. Recordará que se tiene acceso a WinRE desde los medios
de instalación, pero cuando algo sale mal es más práctico tenerlo instalado directamente en el
servidor que tener que buscar los medios de instalación antes de que pueda reparar un servidor.
Como se mencionó en el ejercicio de asignación de tamaño del servidor, necesitará una segunda
partición primaria y activa para instalar y ejecutar WinRE. Pero también necesita depender del Kit
de instalación automatizada de Windows (Windows AIK) para realizar esta instalación. Debido a
que Windows AIK también se requiere para preparar procesos de instalación masiva, el proceso
de instalación de WinRE se describe como parte de esos procesos más adelante en este capítulo.
La operación final del proceso de descubrimiento consiste en actualizar el perfil de usuario
predeterminado. Cada vez que un nuevo usuario inicia sesión en un sistema por primera vez,
Windows genera un nuevo perfil para él al copiar el contenido del perfil de usuario predetermi-
nado. Si personaliza su entorno y luego actualiza este perfil a partir de su entorno personalizado,
puede asegurar que cada vez que un nuevo perfil se genera incluya un conjunto central y mejoras
a la interfaz. En una organización que quiera asegurar que todos sus administradores
y técnicos dependen de procedimientos operativos estándar, la actualización del perfil de usuario
PARTE II
predeterminado es absolutamente esencial.
WS08 no le permite copiar un perfil de usuario abierto en otro, porque muchas de las carac-
terísticas abiertas son volátiles y, por tanto, están almacenadas en RAM y no persisten hasta que
el usuario sale de la sesión. De modo que para actualizar su usuario predeterminado, debe usar la
cuenta administrativa de copia de seguridad creada antes. Use el siguiente procedimiento:
1. Cierre sesión de la cuenta de administrador.
2. Inicie sesión empleando la cuenta de administrador de copias de seguridad. WS08 crea un
nuevo perfil basado en la configuración anterior.
3. Abra el Explorador de Windows y establezca Opciones de carpeta para que se vean archivos
ocultos.
4. En el Administrador del servidor, haga clic en Cambiar propiedades del sistema, en la pantalla
Resumen. Esto le da acceso rápido al cuadro de diálogo que necesita para la siguiente operación.
5. Vaya a la ficha Opciones avanzadas y haga clic en el botón Configuración bajo Perfiles de
usuario. Seleccione el perfil Administrador y haga clic en el botón Copiar a.
6. Use el botón Examinar para ir a la carpeta Usuarios en la unidad C:, seleccione el perfil Prede-
terminado y luego haga clic en Aceptar.
7. Haga clic en Sí para reemplazar archivos existentes.
8. Cierre todos los cuadros de diálogo y cierre la sesión de la cuenta del administrador de copia
de seguridad.
9. Regrese usando la cuenta de administrador principal.
10. Lance el Panel de control, seleccione Sistema y mantenimiento|Sistema|Configuraciones avan-
zadas del sistema y haga clic en el botón Configuración bajo Perfiles de usuario.
11. Seleccione el perfil del administrador de copia de seguridad y elimínelo. Confirme la eliminación.
12. Cierre todos los cuadros de diálogo, vaya al botón Iniciar y use la flecha a la derecha, junto al
candado, para seleccionar Cambiar de usuario.
13. Inicie sesión utilizando la cuenta del administrador de copia de seguridad. Esto probará el
perfil de usuario predeterminado. Observe que ahora tiene una copia del perfil Administrador.
Cierre la sesión de la cuenta AdminCS.
14. Regrese al perfil del administrador.
Ha terminado. El proceso de descubrimiento está completo. Ahora debe repetir el proceso
para crear un nuevo equipo de referencia. Si ha documentado cada uno de estos pasos, debe
tener la posibilidad de repetir este proceso sin errores. Este equipo de referencia será el modelo
que usará para el método de instalación masiva.
NOTA Activación de Windows: No active la instalación mientras esté realizando el descubrimiento.

Tiene 30 días para hacerlo, lo que es tiempo amplio para realizar el descubrimiento. Sin embargo,
puede activar el equipo de referencia, porque será un equipo que mantenga de manera permanente.
Tareas de coniguración posterior a la instalación para Server Core (almacenes de recursos)

Como se mencionó antes, las tareas de configuración posterior a la instalación para Server Core
son similares a las de la instalación completa, pero como no hay una interfaz gráfica de usuario
(GUI, Graphical User Interface), necesita realizar cada acción mediante la línea de comandos
(vea la figura 4-10).
NOTA No tiene que depender de la función Hyper-V para ejecutar su centro de datos dinámico.
Varios fabricantes ofrecen hipervisores, especialmente VMware, Citrix, Virtual Iron y más. Si decide
depender de otro hipervisor porque es más maduro e incluye características no encontradas en Hy-
per-V, entonces busque las siguientes instrucciones como medio para conigurar instalación de Ser-
ver Core para ines diferentes de los del servidor host. Si elige la función Hyper-V, necesitará obtener
o instalar el complemento Hyper-V. Busque el complemento en www.microsoft.com/downloads.
Después de configurar, Server Core le pedirá que inicie sesión y esperará su entrada. Haga
clic en Otro usuario, escriba Administrador como nombre de usuario y use una contraseña en
blanco. El sistema le pedirá ahora que cambie la contraseña. Use una contraseña sólida. Una vez
que haya iniciado sesión, realice las siguientes operaciones:
• Cambie el nombre de la cuenta de administrador
• Configure la red
• Proporcione el nombre de equipo y el dominio
• Cambie la hora y la fecha
• Habilite las actualizaciones
• Descargue e instale actualizaciones
• Habilite el Escritorio remoto
• Configure la Firewall de Windows
• Active el servidor
FIGURA 4-10 Interfaz Server Core (o falta de ella).

• Agregue características centrales del sistema

• Cree una cuenta de administrador de copia de seguridad
• Configure el archivo de paginación y los parámetros de recuperación
• Instale el Entorno de recuperación de Windows
Cada una requiere el uso de una secuencia de comandos diferente de línea de coman-
dos. Recuerde que Windows PowerShell no funciona en Server Core porque depende de .NET
Framework y éste no puede instalarse en Server Core porque tiene dependencias de GUI. Los
comandos para realizar cada actividad aparecen de la siguiente manera.
Para cambiar el nombre de la cuenta de administrador, escriba los siguientes comandos:
wmic UserAccount where Name=”%nombreusuario%” call Rename Name=”NuevoNombre”
PARTE II
Donde %nombreusuario% es la variable que llama a su nombre de cuenta, Administrador, y
NuevoNombre es el nombre que quiere asignar a la cuenta. Si por alguna razón, necesita cambiar
de nuevo la contraseña, use:
net user NuevoNombre *
El asterisco (*) causará que el siguiente comando de usuario despliegue un indicador para
la contraseña. Escriba ésta, oprima ENTER, vuelva a escribir la contraseña y oprima ENTER. Salga y
vuelva a iniciar sesión en el equipo para empezar a usar las nuevas credenciales. La manera más
fácil de hacer esto consiste en oprimir CTRL+ALT+SUPR y usar el comando Log Off. Hágalo aunque
sólo haya cambiado el nombre de usuario. Necesita volver a abrir una sesión con las nuevas cre-
denciales o, de otra manera, su contexto de seguridad ya no funcionará.
Para configurar la red, necesita usar el comando netsh. En primer lugar, encuentre cuáles
interfaces de red existen:
netsh interface ipv4 show interfaces
Esto proporcionará una lista de todas las interfaces que ejecutan IPv4. Observe el número
mostrado en la columna IDX para cada interfaz. Necesitará configurar la interfaz. A continuación,
use el comando netsh una vez más para configurarla.
netsh interface ipv4 set address name=”ID” source=static
address=dirIPestática mask=MáscaraSubred gateway=GatewayPda
Donde ID es el número descubierto en el comando anterior y dirIPestática, MáscaraSubred

y GatewayPda son los valores que necesita asignar a cada uno. Luego agregue la dirección del
servidor DNS para la instancia:
netsh interface ipv4 add dnsserver name=ID address=dirIPDNS index=1
Donde ID es el número de la interfaz y dirIPDNS es la dirección IP del servidor DNS que

está agregando.
NOTA Si quiere agregar más de un servidor DNS, recicle el mismo comando, pero aumente el valor
del número de índice de uno en uno. Esto establece el orden de los servidores DNS en la interfaz.
Si quiere configurar direcciones IPv6, use el mismo comando. Empiece por encontrar el ID
de la interfaz:
Tome nota de los ID en la columna IDX. Luego use los dos comandos siguientes para esta-
blecer la dirección y el servidor o los servidores DNS:
netsh interface ipv6 set address interface=”ID” address=DirIPv6
netsh interface ipv6 set dnsserver name=”ID” source=static
address=DirIPDNS register=both
Repita para cada interfaz que quiera configurar.
NOTA Como opción predeterminada, cada instalación de WS08 incluye IPv6 con direcciones automá-
ticas. Si sólo necesita conectividad de red de área local, no es necesario que conigure el protocolo IPv6.
Enseguida, establezca el nombre de la computadora y del dominio de la computadora deberá

unirse a:
netdom renamecomputer %computername% /newname: NewComputerName
Reinicie el equipo para que estos cambios surtan efecto. Use el siguiente comando:
shutdown /r /t 3
Use el interruptor /t para agilizar el proceso; de otra manera, necesita esperar un minuto
completo para que tenga efecto el apagado. Una vez que se reinicie el sistema, únase al dominio:
nstdom join %nombreequipo& /domain:NombreDominio /userD:CuentaAdministrativa
/passwordD:Contraseña
Donde NombreDominio es el nombre del dominio al que quiere unirse, CuentaAdministrativa

es el nombre de la cuenta con privilegios administrativos de dominio, y Contraseña es la contra-
seña de la cuenta. Tome nota de que la cuenta administrativa debe estar en el formato del nom-
bre de usuario principal, como administrador@tandt.ws. Reinicie de nuevo el equipo una vez que
haya hecho esto; de otra manera, otros comandos no funcionarán.
NOTA Las instalaciones de Server Core en sistemas hosts deben ser parte de un dominio que no sea
parte de sus dominios de ofrecimientos de servicios de producción por razones de seguridad. Pero
deben ser parte de un dominio para obtener una administración de cuenta centralizada. Más de
esto se cubrirá cuando analicemos las estrategias de seguridad del centro de datos dinámico.
Ahora puede cambiar la hora y la fecha, además de la zona horaria:

control timedate.cpl
Esto lanza la applet del Panel de control de fecha y hora donde establece estos valores. Para
ver la hora y la fecha en el indicador de comandos, escriba:
prompt $p$s$b$s$t$s$b$s$d$g
Como opción, puede usar los comandos de fecha y hora para establecer la fecha y la hora en
un archivo de procesamiento por lotes:
time hh:mm:ss
date dd-mm-aa
Estos comandos le permiten automatizar este proceso.

No es posible usar varios comandos únicamente mediante la línea de comandos. Por esto
Server Core incluye una secuencia de comandos personalizada para ayudarle a realizar algunas
de las tareas de configuración que necesita completar. Esta secuencia de comandos configurará
actualizaciones automáticas y habilitará el Escritorio remoto, entre otras cosas. Esta secuencia
de comandos está en la carpeta System32 de su instalación. Para descubrir cómo funciona la
secuencia de comandos, escriba:
cd \Windows\System32
cscript scregedit.wsf /?
Para establecer actualizaciones automáticas y administración remota, escriba:
PARTE II
cscript scregedit.wsf /AU 4
cscript scregedit.wsf /AR 0
Para ver sus cambios, escriba:
cscript scregedit.wsf /AU /v
cscript scregedit.wsf /AR /v
A continuación, configure la Firewall de Windows para asegurarse de que pueda entrar en

el sistema. Utilice el siguiente comando para habilitar administración remota de la firewall del
sistema:
netsh firewall set service remoteadmin enable
Ahora podrá administrar remotamente este sistema.

Para activar el servidor, escriba:
cscript slmgr.vbs –atp
Las características del sistema se controlan a través de los comandos de configuración del
sistema operativo. Para ver lo que está instalado y lo que está disponible, escriba:
oclist
Para obtener información sobre la configuración de las funciones y características del sistema
operativo (vea la figura 4-11), escriba:
ocsetup /?
Por ejemplo, para instalar la característica Copia de seguridad de servidor de Windows, escriba:
start /w ocsetup WindowsServerBackup
El uso del interruptor /w evitará que el indicador de comandos regrese hasta que el comando
esté completado. De otro modo, la única manera de saber si el comando se ha completado con éxi-
to es ejecutar el comando OCLIST de nuevo. Use la misma estructura para las otras características y
funciones que quiere instalar. Por ejemplo, los servidores hosts deben ejecutar la función Hyper-V.
NOTA La función Hyper-V no es parte de la construcción predeterminada de WS08. Necesitará

descargar la actualización para instalar y ejecutar esta función en su instalación de Server Core.
Debido a que el vínculo no estaba disponible al momento de imprimir este libro, tendrá que buscar
“Hyper-V” en su motor de búsqueda favorito para localizar la descarga.
FIGURA 4-11
Opciones del comando
OCSetup.
Dependiendo de sus directivas de seguridad organizacional, tal vez quiera crear una cuenta
administrativa de copia de seguridad en su instalación de Server Core para asegurarse de que
siempre tenga acceso a ella. Use el siguiente comando:
net user nombreusuario contraseña /add
net localgroup administradores nombreusuario /add
Donde nombreusuario y contraseña son los valores que quiere asignar a la cuenta de copia de
seguridad. La configuración final que pueda hacer es para el archivo de paginación y los paráme-
tros de recuperación. Use los siguientes comandos:
wmic pagefileset where name=”ruta/nombrearchivo” set
initialSize=tamañoinicial,MaximumSize=maxsize
Consulte el ejercicio de asignación de tamaño del servidor que se cubrió antes para determinar
cuáles valores debe establecer. Asegúrese de crear una unidad de sistema lo suficientemente grande
como para contener el archivo de página de los sistemas hosts, porque tendrán grandes cantidades
de RAM. Observe que el archivo de página predeterminado esté localizado en C:\PAGEFILE.SYS.
NOTA Para establecer opciones de recuperación con el comando WMIC, siga las directrices del
artículo de la base de datos de conocimientos de Windows número 307973 en http://support.
microsoft.com/kb/307973
Se necesita un elemento más. Como está creando equipos de Server Core para ejecutar ofreci-
mientos de servicios virtualizados, necesitará agregar por lo menos dos discos más al sistema. Como
se mencionó al principio, estos discos deben localizarse en almacenamiento compartido, como sería
el disco de sistema en un escenario ideal. Pero como tal vez no esté seguro de los detalles de estos
discos en este momento, sería más fácil configurar su equipo de Server Core para que pueda admi-
nistrar remotamente discos y otros componentes a través de la consola Administración de equipos en
un equipo con una instalación completa de Windows. Para esto, necesita ejecutar dos comandos más:
net start VDS
winrm quickconfig
El primer comando inicia el servicio de disco virtual (VDS, Virtual Disk Service) y le permite
administrar remotamente sus discos, mientras que el segundo le permite la shell remota de Win-
dows (WinRS) en el sistema. Esto significa que puede ejecutar ahora comandos remotamente en
este sistema con el comando WINRS.
SUGERENCIA Encontrará más información acerca de la instalación y coniguración de Server Core

en la “Server Core Installation Option of Windows Server 2008 Step-By-Step Guide” (Guía paso
a paso de la opción de instalación de Server Core en Windows Server 2008), en http:// technet2
microsoft.com/windowsserver2008/en/library/47a23a74-e13c-46de-8d30-ad0afb1eaffc1033.
mspx?mfr=true.
PARTE II
El último elemento de la lista es la instalación del entorno de WinRE. Como se mencionó
antes, se cubrirá más adelante en este capítulo. Ahora puede ver por qué debe automatizar este
proceso lo más posible. Todas las operaciones de esta lista pueden colocarse en un archivo de
procesamiento por lotes que se ejecute en la instalación. Además, deberá hacer la mayor cantidad
de estos cambios posibles en su instalación base o de referencia de Server Core y capturar esta
instalación como una imagen de sistema que puede reproducirse en otros sistemas de la manera
más simple posible.
NOTA Las instalaciones de Server Core no soportan el comando Ejecutar una vez (que permite
automatizar el proceso posterior a la instalación). Debido a esto, necesita usar un medio espe-
cial de automatización de las operaciones posteriores a la instalación. Por fortuna, el proceso de
instalación de Windows Server ejecuta automáticamente un archivo de comandos al inal de la
instalación, el archivo SETUPCOMPLETE.CMD. Si crea una secuencia de comandos y le asigna
este nombre, entonces póngala en la carpeta %WINDR%\SETUP\SCRIPTS\, que se ejecutará
antes de que aparezca la primera pantalla de inicio de sesión, después de que la instrucción esté
completa. Use esta secuencia de comandos junto con una imagen de sistema para hacer automáti-
ca la construcción de sus hosts de Server Core.
NOTA Hay dos maneras de automatizar coniguraciones de Server Core. En primer lugar, puede
crear una secuencia de comandos que incluya todos los cambios requeridos. En segundo lugar,
puede usar un archivo UNATTEND.XML durante la coniguración. La última opción se anali-
zará en la siguiente sección. Para conocer más detalles acerca de la coniguración de Server Core,
consulte http://technet2.microsoft.com/windowsserver2008/en/library/47a23a74-e13c-46de-8d30-
ad0afb1eaffc1033.mspx?mfr=true.
Automatización de instalaciones
Ahora que ha descubierto la configuración interactiva, además del proceso de configuración, y
que sabe cómo preparar equipos de referencia, está listo para seguir con la automatización de
la instalación. Para esto, necesitará un conjunto personalizado de herramientas del sitio Web de
Microsoft. Entre estas herramientas se incluyen:
• El Administrador de imágenes del sistema de Windows (Windows SIM) se usará para
construir y personalizar archivos de respuesta de instalación automatizada (archivos que pro-
porcionan opciones de instalación y configuración a medida que se realiza la instalación). Los

archivos de respuesta se crean en un equipo de administración y luego se transfieren al equipo
de referencia antes de que se capture su imagen de sistema.
• WinPE, que es un sistema operativo de 32 bits que tiene sólo una duración de 72 horas en
cualquier momento determinado (sólo puede ejecutarse por un máximo de 72 horas a la vez,
aunque pueda reiniciarse cualquier número de veces) e incluye un conjunto limitado de servi-
cios. WinPE está orientado a la preinstalación e implementación de Windows Vista y WS08.
• ImageX, que es una herramienta de línea de comandos que soporta la creación y manipula-
ción de imágenes de sistema para instalación e implementación.
• Sysprep, o la herramienta de preparación del sistema, que se usa para despersonalizar una
imagen de sistema para replicación en varios equipos o servidores.
Sysprep se instala con cada versión de Windows Vista o WS08 y se localiza en la carpeta
%SYSTEMROOT%\SYSTEM32\SYSPREP. Las otras herramientas están contenidas en el Win-
dows AIK, que puede obtenerse del sitio de descarga de Microsoft en www.microsoft.com/
downloads. Asegúrese de obtener la versión más reciente de este kit antes de que empiece a
preparar la automatización de la instalación.
Preparación y prerrequisitos
Las herramientas del sitio Web de Microsoft no sólo son los únicos elementos que necesita para
facilitar la automatización de la instalación de un servidor. También necesita componentes adi-
cionales, entre los que se incluyen:
• El servidor de referencia que ha preparado. Esto puede ejecutarse dentro de un equipo vir-
tual, porque sólo necesitará para crear la imagen del sistema para la automatización.
• El medio de instalación de WS08 para el que desea crear imágenes. Recuerde que las versio-
nes instaladas están controladas por clave de producto, de modo que debe bastar un DVD de
instalación.
• Ya ha descargado el Windows AIK.
• El sistema de administración donde instalará el Windows AIK y creará la imagen del sistema.
Esto también puede ser un equipo virtual.
• Su entorno de construcción debe tener la capacidad de simular una situación de implemen-
tación. Esto significa una red pequeña. Tal vez la configuración ideal sea tener una estación de
trabajo poderosa ejecutándose con, por lo menos, 4 GB de RAM y una unidad de disco duro
externa o separada con espacio suficiente para almacenar varios equipos virtuales, asignan-
do por lo menos 10 GB por equipo. Instale un producto de virtualización (sea de VMware en
www.vmware.com o de Microsoft en www.microsoft.com) y cree equipos virtuales para cada
función. La unidad de disco separada asegurará que su equipo físico no se hará más lento por
la necesidad de ejecutar equipos virtuales y un sistema operativo real a partir del mismo disco
físico. Lo ideal es que este equipo esté ejecutando Windows Vista o WS08.
• También necesitará acceso a una unidad de disco lexible o a un dispositivo lash univer-
sal (UFD, Universal Flash Device), como una unidad USB.
• Su equipo físico necesitará incluir un escritor de DVD y, por supuesto, DVD en blanco para
almacenar la nueva imagen que cree.
Instale el sistema operativo en el equipo host y luego el software de virtualización. Si decide
ejecutar WS08, entonces use la función de servidor Hyper-V. Cree su primer equipo virtual e
instale un sistema operativo invitado en él. Puede ser Windows Vista o WS08. Sería mejor que
instalara Vista, porque ésta debe ser una estación de trabajo. Lo ideal es que agregue dos unida-
des de disco al sistema: una para el sistema operativo y otra para los datos. La unidad de datos
hospedará todas las imágenes que cree. Esto servirá como su sistema de administración.
El Windows AIK es una imagen de CD/DVD. Si está trabajando en un equipo físico, transforme
la imagen en un CD y luego cárguela en la unidad de CD. Si está trabajando con un equipo virtual,
simplemente vincule el archivo ISO con la unidad de CD/DVD del equipo y lance el equipo virtual.
NOTA El Windows AIK está en formato .img. Si no tiene software que entienda las imágenes de CD
en este formato, cambie el nombre del archivo usando la extensión .iso.
PARTE II
Cuando se lanza el CD, se le presentarán varias opciones. Seleccione Windows AIK Setup.
Una vez que esté completo, su sistema de administración está listo.
Ahora puede empezar la automatización de sus configuraciones de WS08. Use el orden
siguiente:
1. Cree un archivo de respuesta automatizado.
2. Cree imágenes del sistema.
3. Implemente las imágenes.
Cada opción se cubrirá de manera detallada en las siguientes secciones.
Use instalaciones no atendidas

En el caso de WS08, es mejor dejar la instalación no atendida que emplea un archivo de respues-
ta para la actualización de un sistema de Windows Server 2003. En realidad, las instalaciones no
atendidas son la única manera de realizar una actualización automatizada porque los otros dos
métodos de instalación masiva reemplazan al sistema operativo.
La ventaja de la actualización es que no se requieren reinstalaciones para el software existente
y compatible. Esto significa que su servidor debe estar ejecutándose de inmediato, una vez que ha
terminado la instalación. Las instalaciones no atendidas presentan un par de desafíos, porque no
reproducen una imagen de lo que se localiza en el disco duro del sistema de referencia. Esto significa
que tal vez necesite incluir en una secuencia de comandos varias de las operaciones posteriores a la
instalación. La mejor manera de determinar si esto se requiere consiste en realizar una validación
posterior a la instalación. Asegúrese de probar por completo la configuración antes de implementarla.
La implementación puede realizarse mediante varios métodos. Después de todo, lo único
que necesita implementar es una secuencia de comandos que ejecute el comando SETUP.EXE del
medio de instalación. Estas actualizaciones pueden realizarse mediante secuencias de comandos
de equipo que se ejecutan de manera remota o mediante un producto de implementación del
sistema, como Microsoft System Center Configuration Manager. Use su laboratorio para asegurar
que todos los métodos de instalación e implementación funcionan en todas las situaciones. No
es una buena noticia encontrarse con un servidor muerto la mañana del lunes cuando 250 usua-
rios están iniciando sesión en él.
Si decide usar las instalaciones no atendidas en lugar de los otros métodos para nuevos siste-
mas, entonces asegúrese de comprar gran cantidad de servidores. De esta manera, puede pedir a su
proveedor que le entregue un archivo UNATTEND.XML en funcionamiento y bien documentado
que incluya todas las particularidades específicas para su sistema. Esto le ahorrará mucho trabajo
fuerte y hará que el proceso de instalación no atendido resulte mucho más práctico. Todo lo que
tendrá que hacer es personalizar el archivo de respuesta no atendido que se proporcione.
En resumen, las instalaciones no atendidas representan una gran cantidad de trabajo. Aun-
que son aceptables para organizaciones pequeñas donde se requieren menos servidores, no tien-
den a proporcionar la ganancia adecuada por la inversión en organizaciones medianas o grandes.
En éstas, las instalaciones no atendidas sólo son prácticas para sistemas de referencia. Y aunque
el proceso de actualización en realidad funciona en WS08, muchas optan por usar el escenario
de actualización completa en lugar de realizar una actualización. Pero aún necesita conocer el
proceso de instalación no atendida.
SUGERENCIA De manera ideal, usará equipos virtuales para sus sistemas de referencia, sobre todo
para los ofrecimientos de servicios virtualizados. Esto signiica que puede construir manualmente
el sistema de referencia (con extremo cuidado, porque no implementará basura en su red) y luego
sólo mantenerlo. Cualquier otro paso de automatización que necesite realizar en este sistema puede
hacerse en una copia del sistema, algo que es difícil de hacer con los sistemas de referencia física.
Cree archivos de respuesta automatizados

La creación de archivos de respuesta en WS08 y Vista es completamente diferente a la manera en
que se hacía en versiones anteriores de Windows. Con Windows NT, puede configurar un siste-
ma y luego sólo capturar sus valores en un archivo de respuesta. Con Windows 2000, XP y 2003,
usaba el Administrador de instalación para recorrer las diferentes opciones del archivo y luego,
cuando se completaba, se generaba un archivo.
Ahora, necesita usar el Administrador de imágenes del sistema de Windows para generar
el archivo de respuesta. Windows SIM es parte de Windows AIK y debe instalarse ahora en su
sistema de administración.
Para trabajar con un archivo de respuesta, necesitará tres elementos:
• Un archivo de respuesta, que es un archivo XML que proporciona respuestas automática-
mente para configurar éstas durante el proceso de instalación. Esto hace automático el proce-
so de instalación para que pueda ejecutarse en un modo no atendido.
• Una imagen de sistema de Windows (.wim), que es un archivo comprimido que contiene toda
la información necesaria para permitir una instalación de Windows Vista o WS08. El formato de
imagen .wim usa un almacén de una sola instancia, que le permite contener varias imágenes
dentro del mismo archivo .wim sin necesidad de duplicar archivos comunes de cada imagen.
• Un archivo de catálogo (.clg), que es un archivo binario que contiene el estado de la configu-
ración y cualquier paquete particular incluido en la imagen del sistema cuando se capturó. El
archivo .clg se requiere para indicar a Windows Setup con cuál instalación dentro de la imagen
del sistema quiere trabajar.
Use las siguientes instrucciones para construir su archivo de respuesta:
1. Inicie sesión en el sistema de administración con una cuenta administrativa.
2. Cree una nueva carpeta en la unidad de datos. Llámela D:\Imagen_sistema. Comparta la car-
peta como Imagen_sistema con permisos Todos y Cambiar. Dependerá de permisos de NTFS,
de modo que es correcto dar permisos compartidos a todos.
3. Vincúlela con los medios de instalación de WS08. Inserte el DVD o vincule la unidad de CD/
DVD del equipo virtual con el archivo ISO apropiado.
4. Abra la unidad de DVD y vaya a la carpeta \SOURCES. Localice el archivo INSTALL.WIM y

cópielo en la carpeta D:\Imagen_sistema.
5. Haga clic en Iniciar|Todos los programas|Microsoft Windows AIK para abrir el Administrador
de imágenes del sistema de Windows.
6. Vaya al menú Archivo y haga clic en Seleccionar Imagen de Windows. Abra D:\Imagen_siste-
ma\INSTALL.WIM.
7. En el cuadro de diálogo Seleccionar una imagen, elija la imagen ServerEnterprise y haga clic
en Aceptar. Si obtiene un mensaje de error que establece que no tiene un archivo de catálogo
válido, haga clic en Sí para crearlo. El sistema lo creará automáticamente. Cada versión de
Windows necesita su propio archivo de catálogo (.clg).
PARTE II
La imagen se abre y queda listo para seguir adelante. Notará que Windows SIM incluye
cinco paneles de ventana (vea la figura 4-12). Son:
• Recurso compartido de distribución, que es el área de la esquina superior izquierda que
incluye el recurso compartido de red que desea usar como punto de distribución para su imagen.
• Imagen de Windows, que está en el área de la esquina inferior izquierda e incluye la imagen
real que acaba de abrir. La imagen incluye el nombre de imagen y dos subentradas: Compo-
nentes y Paquetes.
• Archivo de respuesta, que está en el área intermedia superior e incluirá los detalles de su
archivo de respuesta.
• Propiedades, que es el área de la esquina superior derecha y detallará el contenido de los
objetos que seleccione en el archivo de respuesta.
FIGURA 4-12 Administrador de imágenes del sistema de Windows.

• Mensajes, que está en la parte inferior e incluye información acerca de la configuración que
modifique.
Ahora cree y modifique el archivo de respuesta.
1. Vaya al menú Archivo y elija Nuevo archivo de respuesta. Esto llena el panel Archivo de res-
puesta con un archivo Untitled.
2. Vaya de nuevo al menú Archivo y elija Guardar archivo de respuesta. Asígnele un nombre
apropiado. Debido a que este archivo es para la edición Enterprise, llámelo Enterprise. Haga
clic en Guardar.
La imagen de Windows incluye cada una de las actividades que ha realizado durante la
configuración. Para automatizar estos pasos, necesita insertar comandos personalizados para el
archivo de respuesta. Esto se hace al localizar el comando apropiado en el ciclo adecuado bajo
el panel Imagen de Windows y luego modifique las opciones bajo el archivo de respuesta. Por
ejemplo, si quisiera crear una nueva partición de disco y formatearla, entonces necesita indicarle
a Windows PE que realice estas tareas antes de comenzar la instalación de Windows.
Como verá, hay cientos de opciones y características que puede modificar durante la con-
figuración. Lo ideal es que mantenga esto al mínimo y capture la mayor cantidad posible de
información de su equipo de referencia. Obtendrá más información acerca de esto en el archivo
de ayuda de Windows AIK. Tómese el tiempo para revisarlo y asegúrese de que comprende su
conjunto de características antes de implementar su sistema. La mejor opción es la prueba y el
error. Pruebe cada configuración automatizada, siempre que sea posible, y asegúrese de com-
prender exactamente lo que se hace antes de que implemente la imagen.
En el siguiente ejemplo se le lleva a recorrer los cambios que necesita hacer para elaborar un
archivo de respuesta que sirva para crear una configuración de servidor básica. Esta configuración
realizará lo siguiente:
La estructura de un archivo de respuesta

Tome en cuenta que el archivo de respuesta se despliega automáticamente con forma de
árbol e incluye los elementos Componentes y Paquetes encontrados en el panel Imagen
de Windows. La sección Componentes está expandida, pero la sección Paquetes está
vacía. Eso se debe a que aún no ha personalizado nada.
La sección Componentes está dividida en los ciclos de configuración que Windows
realiza mientras se instala. Incluye:
• WindowsPE
• OfflineServicing
• Generalize
• Especialize
• AuditSystem
• AuditUser
• OOBESystem
Para automatizar los pasos de la configuración necesita agregar elementos al ciclo
apropiado.
• Crear una configuración para un servidor de 32 bits

• Crear una partición de 40 GB para el sistema operativo y formatearlo en NTFS
• Instalar WS08 en la partición
• Proporcionar automáticamente la clave del producto durante la instalación
Use las siguientes instrucciones para hacerlo.
1. Vaya al panel Imagen de Windows y expanda el nodo Componente.
2. En el nodo Componente, localice el nodo x86_Microsoft-Windows-International-Core. (Nota:
El nombre del nodo será seguido por los números que identifican la versión del sistema ope-
rativo.) Haga clic con el botón derecho en el nombre del nodo y seleccione la opción disponi-
ble Agregar configuración al ciclo 4 specialize. Todos los demás componentes sólo ofrecerán
PARTE II
un comando de ciclo. Seleccione el presentado como opción predeterminada.
3. Repita lo anterior con el nodo x86_Microsoft-Windows-International-Core-WinPE.
4. A continuación, bajo el nodo x86_Microsoft-Windows-Setup, agregue los siguientes elementos.
Una vez más, expanda cada uno de los siguientes elementos y haga clic con el botón derecho en
ellos para elegir el comando Agregar disponible. Cada uno se agregará al archivo de respuesta.
• DiskConfiguration | Disk | CreatePartitions | CreatePartition
• DiskConfiguration | Disk | ModifyPartitions | ModifyPartition
• ImageInstall | OSImage | InstallTo
• UserData
5. A continuación, bajo x86_Microsoft-Windows-Shell-Setup agregue OOBE.
6. Ahora vaya al panel Archivo de respuesta y agregue los siguientes parámetros para cada
componente de la lista. Los componentes que no están en la lista no necesitan configuración,
porque usarán la opción predeterminada. Para ello, haga clic en el nombre del componente en
el panel Archivo de respuesta, luego muévase al panel Propiedades, haga clic en la opción y
seleccione el valor apropiado de la flecha desplegable o anote el valor.
• Ciclo 1: International Core WinPE
• InputLocale: 0409:00000409
• LayeredDriver: ninguno
• SystemLocale: es-Es
• UILanguage: es-ES
• UILanguageFallback: ninguno
• UserLocale: es-ES
• Ciclo 1: International Core WinPE | SetupUILanguage
• UILanguage es-Es
• WillShowUI: OnError
• Ciclo 1: DiskConfiguration
• Ciclo 1: DiskConfiguration | Disk
• DiskID: 0
• WillWipeDisk: True
• Ciclo 1: DiskConfiguration | Disk | CreatePartition | CreatePartition
• Order 1
• Size: 40000
• Type: Primary
• Ciclo 1: DiskConfiguration | Disk | ModifyPartition | ModifyPartition

• Active: True
• Extend: False
• Format: NTFS
• Label: DiscoSistema
• Letter: C
• Order: 1
• PartitionID: 1
• Ciclo 1: ImageInstall | OSImage
• Ciclo 1: ImageInstall | OSImage | InstallTo
• DiskID: 0
• PartitionID: 1
• Ciclo 1: UserData
• AcceptEula: True
• FullName: el nombre seleccionado de su organización (por ejemplo, Instalador de servidor)
• Organization: el nombre de su organización
• Ciclo 1: UserData | ProductKey
• Key: su clave de producto
• Ciclo 4: International Core
• InputLocale 0409:00000409
• SystemLocale: es-Es
• UILanguage: es-Es
• UILanguageFallaback: ninguno
• UserLocale: es-Es
SUGERENCIA Esto instala WS08 en español empleando la interfaz de coniguración en español.

WS08 admite muchos idiomas. Si el español no es su idioma preferido, entonces cambie los valores
en International Core. Busque “Paquetes de idioma” en el sitio Web de Microsoft para localizar
los valores apropiados para cada idioma.
• Ciclo 7: OOBE
• HideEULAPage: True
• NetworkLocation: Work
• ProtectYourPC: 3
• SkipMachineOOBE: en blanco (la configuración del servidor no tiene una experiencia de
equipo integrada)
• SkipUserOOBE: True
7. Guarde el archivo de respuesta cuando haya terminado.
8. Ahora, valide el archivo de respuesta para asegurarse de que funciona. Vaya al menú Herra-
mientas y seleccione Validar archivo de respuesta. Si sus entradas son correctas, no debe tener
advertencias de error. De lo contrario, revise los valores indicados y compárelos con los suyos.
Si hay discrepancias, modifique sus opciones. Si no puede modificarlas, elimine el componen-
te del archivo de respuesta al hacer clic con el botón derecho y luego agréguelo de nuevo y
vuelva a aplicar la configuración.
9. Guarde el archivo nuevamente.
SUGERENCIA Primero guarde el archivo con el nombre de la edición que está conigurando, de
modo que pueda regresar a esa edición determinada para hacer cambios especíicos.
10. Ahora guarde una nueva copia del archivo. Asígnele el nombre AUTOUNATTEND.XML. Este
archivo se usará para automatizar su instalación. La instalación de Windows revisa automáti-
camente en las unidades extraíbles, como discos flexibles o USB, en busca de un archivo con
PARTE II
ese nombre durante la instalación. Si lo localiza, lo usará para aplicar configuraciones durante
la instalación. Cierre Windows SIM.
11. Complete el proceso al guardar el archivo en un disco flexible o una unidad de memoria USB.
Ahora está listo para probar la automatización de su instalación. Inserte los medios de insta-
lación en la unidad de DVD (o adjunte el archivo ISO apropiado en un equipo virtual) e inserte el
disco flexible o la unidad USB. Inicie o reinicie el equipo. El programa debe realizar la instalación
sin pedirle información.
SUGERENCIA Uso de discos lexibles: si decide usar discos lexibles para almacenar el archivo
AUTOUNATTEND.XML, debe asegurarse de que el orden de arranque del servidor incluye las
unidades de disco lexible hasta el inal. De otra manera, el servidor tratará de arrancar desde el
disco lexible y fallará su instalación automatizada. Querrá asegurarse de que el servidor arranca
desde la unidad de DVD-ROM para que la coniguración se lance automáticamente.
SUGERENCIA Creación de coniguraciones más complejas: Microsoft proporciona amplia

documentación acerca de Windows SIM. Si quiere aprender más mediante el ejemplo, vaya al sitio
Web de Microsoft y busque “Windows AIK Customatization Walkthroughs” (recorrido por la
personalización de Windows AIK). Esto lo llevará paso a paso por una serie de diferentes esce-
narios de personalización para instalaciones de servidores y estación de trabajo. También puede
buscar más información en el archivo de ayuda de Windows AIK.
Además, si quiere instalar WinRE en sus sistemas, busque “Build a Windows Recovery So-
lution” (Construya una solución de recuperación de Windows) en el sitio Web de Microsoft. Esto
le proporciona amplias instrucciones paso a paso sobre la manera de crear la imagen de WinRE y
aplicarla automáticamente a sus servidores durante la instalación.
Use los archivos de instalación no atendida para actualizaciones

En el ejemplo anterior, usó la configuración no atendida para instalar WS08 en un nuevo servidor
sin un sistema operativo existente. Como ya se mencionó, los archivos no atendidos también
pueden usarse para dar soporte a actualizaciones. Éstas son un poco más complejas porque
retienen parámetros y aplicaciones existentes. En el caso de un servidor, estas aplicaciones son,
en realidad, servicios que proporcionan funcionalidad a una serie de usuarios. Antes de que
decida realizar una actualización, necesita asegurarse de que las aplicaciones o servicios del
servidor seguirán funcionando adecuadamente una vez que se complete la actualización. Una de
las mejores maneras de hacer esto consiste simplemente en probarlo. Mientras está trabajando
con equipos virtuales, puede usar una herramienta de transferencia física a virtual para capturar
la instalación de un equipo físico y transformarlo en un equipo virtual. Luego puede probar la
actualización en la versión virtual del equipo sin efecto en el servidor real.
SUGERENCIA Si elige actualizar sus ofrecimientos de servicios virtuales actuales, usará el pro-
ceso ya descrito. Sólo haga una transformación de físico a virtual del sistema y luego ejecute la
actualización en la instancia virtual. Esto le permite probar una y otra vez hasta que quede bien.
Asegúrese de respaldar las unidades de disco virtuales antes de probar algo más.
Cuando trabaja con actualizaciones, usted asigna al archivo de respuesta el nombre

UNATTEND.XML y usa interruptores de comando con el programa SETUP.EXE para aplicar el
archivo de respuesta mientras realiza la actualización. SETUP.EXE admite diferentes interruptores
(vea la figura 4-13). Use los más apropiados en su línea de comandos. Por lo general, se alma-
cenan los medios de instalación en un recurso compartido de servidor en su red y se aplica la
actualización mediante un comando incluido en una secuencia de comandos que se ejecuta en el
servidor que habrá de actualizarse.
Instalaciones no atendidas de Server Core (almacenes de recursos)

Las instalaciones no atendidas son una buena elección para Server Core. Debido a que éste no
proporciona una interfaz gráfica, su instalación y configuración tiende idealmente a funcionar
con secuencias de comandos, como se analizó antes. Todo está orientado a la línea de comandos
y cualquier cosa relacionada con ésta puede capturarse en una secuencia de comandos. Además,
cuando se selecciona el catálogo de Server Core en Windows SIM, se reduce la lista de compo-
Figura 4-13
Interruptores soportados
por el comando SETUP.EXE.
nentes y características que pueden agregarse y controlarse, presentando una lista de los elemen-
tos que soporta Server Core.
La preparación de una instalación no atendida de Server Core usa el mismo proceso que la ins-
talación completa de WS08. Asegúrese de descubrir por completo el proceso de instalación, realice
y documente sus configuraciones y luego determine exactamente cómo quiere que se vea su insta-
lación de Server Core. Luego, una vez que esté listo, use Windows SIM para preparar el archivo de
respuesta, cree una imagen de sistema de Server Core y pruebe la implementación de su sistema.
Use imágenes del sistema personalizadas

Las tecnologías de creación de imágenes de disco han existido desde hace mucho, pero en el
pasado se han concentrado principalmente en PC. Sin embargo, desde el advenimiento de
PARTE II
Windows Server 2003, Microsoft ha hecho lo posible para dar soporte a la creación de imágenes
de disco de servidores. De manera tradicional, las tecnologías de creación de imágenes de disco
capturan imágenes basadas en sectores, capturando básicamente una imagen del disco que hos-
peda al sistema operativo, sector por sector. Además, tenían que recurrir a comercializadores de
terceros para obtener una herramienta que le permitiera crear una imagen de disco. Pero con el
lanzamiento de Windows Vista, Microsoft ha ingresado en la fraternidad de la creación de imáge-
nes del sistema. Ésta, en oposición, a la de imágenes de disco, se denomina así porque no captura
una copia exacta del disco; en cambio, crea una imagen de archivos que sólo captura los archivos
que conforman el sistema operativo.
Las imágenes de archivos tienen ventajas sobre las de disco. Por ejemplo, antes de capturar
una imagen de disco, necesita desfragmentar el disco para asegurarse de capturar uno que está
usando una estructura optimizada. No necesita preocuparse de eso con las imágenes de archivo,
porque no está copiando una estructura de disco. Además, las imágenes de archivo pueden mon-
tarse como si fueran unidades de disco, lo que le permite modificar su contenido sin tener que
reconstruir el sistema de referencia. En algunas condiciones, esto es más práctico que modificar
el propio sistema de referencia.
SUGERENCIA Las unidades de disco duro virtual también pueden montarse como unidades de dis-
co. Esto signiica que puede actualizar la información en un equipo virtual sin tener que abrirla
en realidad, de la misma manera que lo haría con una imagen de sistema de archivos. Esto es lo
que haría para un ofrecimiento de servicios virtual, en oposición a un host físico. En el caso del
host físico, tendrá que trabajar con la imagen del sistema.
La principal ventaja de las imágenes del sistema es que puede capturar mucho más que la
instalación del sistema operativo. Cualquier proceso de creación de imágenes no sólo incluye el
sistema operativo, sino la personalización, las instalaciones de software adicional y mucho más;
en realidad, todo lo que le hace al sistema de referencia que se capturará. Es correcto: todo. Por
eso debe prepararse el sistema de referencia con mucho cuidado.
Para trabajar con imágenes del sistema, también necesita trabajar con Windows PE. WinPE
es una versión reducida de Windows Vista. Está diseñado para caber en un solo CD. Ocupa casi
120 MB en sistemas x86 y x64 y 220 MB en sistemas Itanium (sistemas personalizados de 64 bits
de Intel). Se trata de una versión de Windows que se ejecuta exclusivamente a partir de sus pro-
pios medios, lo que significa que no requiere un disco duro. Se ejecuta en modo protegido
y proporciona una consola de 32 bits que ofrece las siguientes características:
• Es independiente del hardware en que se ejecuta y requiere una cantidad mínima de RAM.
• Detecta automáticamente las tarjetas de red y proporciona conectividad de TCP/IP.
• Puede funcionar con todos los controladores de almacenamiento masivo que estén habilita-
dos para Windows XP, 2003, Vista o WS08.
• Puede crear, modificar y destruir particiones NTFS.
• Incluye herramientas de diagnóstico.
• Soporta PXE.
Sin embargo, WinPE tiene limitaciones. Como ya se mencionó, sólo se ejecuta por un pe-
riodo de 72 horas, lo que requiere que se reinicie si se ejecuta por periodos largos. Sólo soporta
un máximo de cuatro conexiones de red. Se conectará a otros servidores de su red, pero usted no
puede conectarse remotamente a un equipo que ejecuta Windows PE. Y sólo es compatible con
tarjetas gráficas de Matriz gráfica de video (VGA, Video Graphics Array).
Windows PE está diseñado para reemplazar a DOS. En el caso de implementaciones del
sistema, sobre todo de servidor, es bienvenido, porque le permite iniciar un servidor que no tiene
nada en él y descargar una imagen de servidor para cargar el sistema operativo. Sin Windows PE,
el uso de imágenes de disco en servidores era difícil, si no es que imposible. Windows PE solía
reservarse para clientes especiales (clientes que adquirían licencias por volumen con Microsoft),
pero desde el lanzamiento de Vista, ha quedado disponible para todos. Como tal, ahora se inclu-
ye en el Microsoft AIK.
SUGERENCIA Existen dos versiones de Windows PE: de 32 y 64 bits. Necesita usar la versión
apropiada para instalar versiones de 32 o 64 bits de Windows.
Prepare un archivo Unattend.XML

Ahora que sabe cómo trabajar con archivos de respuesta y automatizar las instalaciones, está listo
para realizar una mayor personalización. La instalación no atendida personaliza y automatiza una
instalación predeterminada de Windows. Esto tal vez no sea suficiente para todas las implementa-
ciones. En algunos casos, deberá agregar componentes adicionales a la imagen de su instalación,
personalizando el archivo INSTALL.WIM al agregar aplicaciones y controladores que no se inclu-
yen como opción predeterminada. Para esto, necesita trabajar con dos herramientas:
• SYSPREP.EXE, que se localiza en la carpeta %SYSTEMBOOT%\SYSTEM32\SYSPREP
• ImageX, que le permite generar una imagen de sistema personalizada a partir del equipo de
referencia
Cerciórese de completar la construcción del equipo de referencia antes de empezar este
proceso. También asegúrese que el equipo de referencia esté funcionando.
SUGERENCIA Puede usar una coniguración no atendida como ayuda para crear su equipo de
referencia. Durante la preparación de éste, tal vez descubra que tiene que volver a crear de manera
repetida un sistema actualizado para asegurarse de que su construcción esté absolutamente lim-
pia. Las interfaces no atendidas pueden ayudar en gran medida durante este proceso.
Sin embargo, cuando esté usando equipos virtuales, puede usar discos que no se pueden desha-
cer para revertirla a una versión prístina de la instalación si algo sale mal, o mejor aún, guardar una
copia prístina de la instalación y regresar a ella cada vez que necesite reiniciar un proceso.
Pero antes de que pueda crear una imagen del sistema, deberá preparar e incluir un archivo
UNATTEND.XML en el sistema. La instalación de Windows rastrea automáticamente el sistema
en busca de ese archivo, y si lo encuentra en el lugar correcto, lo aplica automáticamente duran-
te la instalación. Use el proceso ya descrito para preparar su archivo UNATTEND.XML y luego,
como está trabajando con una imagen de sistema, colóquela dentro de la carpeta %WINDIR%\
SYSTEM32\SYSPREP. Debido a que se ha ubicado en esta carpeta, se aplicará automáticamente
cuando se implemente el sistema.
SUGERENCIA Recuerde que puede montar unidades de disco virtuales e imágenes de sistema de
Windows como unidades de disco. Puede usar esta característica para actualizar el archivo
PARTE II
Unattend.xml, cuando se necesite, para depender de esta imagen para implementar nuevos sistemas.
Trabaje con Sysprep y el formato de imagen de Windows

Ahora que está listo para capturar la imagen, haga una copia de seguridad completa de su equipo
de referencia. Si está usando un equipo virtual, haga una copia de él antes de seguir adelante.
Estas copias de seguridad son necesarias porque usará el comando Sysprep para despersonalizar
la instalación. Esto significa que a partir de este punto la instalación se volverá una instalación de
origen que puede usarse para generar varias instalaciones. El guardado de una copia de seguri-
dad le permite regresar al sistema de referencia sin tener que recurrir a personalizar nuevamente
su instalación. Esto resulta útil cuando quiere actualizar el equipo de red con parches, actualiza-
ciones, nuevos controladores o componentes adicionales.
Una vez que esté protegido su sistema de servidor de referencia, use la herramienta Sysprep
para despersonalizar la instalación.
1. Inicie sesión con credenciales administrativas.
2. Abra el Explorador de Windows y vaya a %SYSTEMROOT%\SYSTEM32\SYSPREP.
3. Lance SYSPREP.EXE.
4. En el cuadro de diálogo Sysprep, seleccione las siguientes opciones (vea la figura 4-14):
• Acción de limpieza del sistema: ingrese Iniciar la Configuración rápida (OOBE) del sistema.
• Seleccione la opción Generalizar.
• Opciones de cierre: Apagar.
5. Haga clic en Aceptar. Sysprep despersonalizará el sistema y lo apagará.
Su sistema de referencia está listo para capturar la imagen del sistema.
SUGERENCIA También puede usar la siguiente cadena de línea de comandos para ejecutar la herra-
mienta Sysprep:
C:\Windows\System32\Sysprep.exe /oobe /generalize /shuhtdown
Cree un CD de WinPE
Para crear una imagen a partir de su sistema de referencia, necesita tener la capacidad de ini-
ciar en una partición diferente. Por esto, necesitará trabajar con WinPE. Una de las acciones
que este entorno le permite completar es la captura de una imagen del sistema a partir de
una instalación en un equipo de referencia. Pero WinPE no incluye el software de captura como
opción predeterminada, de modo que necesita personalizarlo. Para crear la imagen de su sistema,
necesitará realizar las siguientes acciones:
FIGURA 4-14
Uso de la versión gráica
de Sysprep.
• Cree un CD de WinPE que pueda usar para arrancar el sistema.

• Arranque el servidor de referencia con WinPE.
• Capture la imagen de instalación empleando ImageX.
• Almacene la imagen en un recurso compartido de red.
Una vez que se complete esto, podrá usar ImageX para desplegar la imagen en otros equi-
pos. Por ejemplo, éste es el proceso que usaría para crear una imagen de su instalación de Server
Core para servidores hosts.
SUGERENCIA En un equipo virtual, no necesita crear una imagen del sistema. Los archivos que
integran las unidades de disco duro virtual del equipo ya integran la imagen que puede duplicar.
Empiece por crear el CD de arranque de Windows PE:

1. Inicie sesión con credenciales administrativas.
2. Vaya a Iniciar|Todos los programas|Microsoft Windows AIK, y seleccione Símbolo del sistema
de Herramientas de Windows PE.
3. En la nueva ventana de indicador de comandos, use lo siguiente para crear una carpeta de
construcción de Windows PE:
Copype.cmd x86 d:\imagen_sistema\WinPE_x86
4. La estructura del comando es el destino de la arquitectura de comandos, donde la arquitectura
puede ser x86 para sistemas de 32 bits, amd64 para sistemas de 64 bits o ia64 para sistemas
Itanium.
NOTA En el caso de instalaciones de servidor host de Server Core, necesitará usar el interruptor
amd64, porque sólo se ejecuta en hardware de 64 bits. Cambie todas las referencias en este procedi-
miento de x86 a amd64.
5. Una vez que el comando esté completo, necesita copiar la versión correcta de ImageX en la car-
peta de construcción. En este caso, lance el Explorador de Windows y vaya a C:\Program Files\
Windows AIK\Tools\x86. Haga clic con el botón derecho en IMAGEX.EXE y seleccione Copiar.
6. Ahora, vaya a D:\Imagen_sistema\WINPE_X86\ISO y cree una nueva carpeta llamada x86.
7. Vaya a la carpeta x86 y pegue el archivo ImageX.exe.
8. Ahora necesita crear un archivo de configuración para ejecutar la herramienta ImageX. La

mejor manera de usar esto consiste en usar el Bloc de notas. Abra el Bloc de notas y escriba lo
siguiente:
[ExclusionList]
ntfs.log
hiberfil.sys
pagefile.sys
“System Volume Information”
RECYCLER
Windows\CSC
[CompressionExclusionList]
*.mp3
PARTE II
*.zip
*.cab
\WINDOWS\inf\*.pnf
9. Guarde el archivo en la nueva carpeta x86 y asígnele el nombre WIMSCRIPT.INI. Cierre el
Bloc de notas.
10. Ya casi ha terminado. Ahora cree un archivo de imagen ISO. Para eso, regrese a la ventana del
indicador de comandos de WinPE y use los siguientes comandos:
cd..
cd PETools
oscdimg –n –base de datos:\Imagen_sistema\winpe_x86\etfsboot.com d:\Imagen_
sistema\winpe_x86\ISO d:\Imagen_sistema\winpe_x86\winpe_x86 iso
11. Queme el archivo WinPE_x86 ISO en un CD en blanco, de arranque. Incluya el rótulo adecua-
do en el CD.
Está listo para crear su imagen
Capture la imagen
Asegúrese de que el orden de arranque de su equipo de referencia empieza con la unidad de
DVD-ROM. Esto es necesario para asegurar que arranca en WinPE en lugar de WS08. Una vez
hecho esto, está listo para crear su archivo de imagen. Use el siguiente procedimiento:
1. Inserte el CD de WinPE y arranque el servidor.
2. Asigne una unidad a su recurso compartido de red y proporcione las credenciales apropiadas
para acceder a este recurso compartido:
net use s: \\nombreservidor\nombrerecursocompartido /user:nombredominio
\nombreusuario *
donde nombreservidor es el nombre de su sistema de administración y nombrerecursocompar-
tido es el nombre del recurso compartido que asignó a la carpeta D:\Imagen_sistema que creó
al principio. En este caso, debe ser Imagen_sistema. Nombredominio debe ser el nombre del
dominio o servidor en que se encuentra su sistema de administración, y nombreusuario es su
nombre de cuenta, mientras que * le pedirá una contraseña.
3. Escriba su contraseña para completar el comando de uso de red. Debe cifrarse y no debe des-
plegarse.
4. Cambie la carpeta x86 en winPE al escribir el siguiente comando:
D:
cd x86
5. Como opción predeterminada, WinPE se carga en la RAM y crea una unidad X:. Para llegar a
su comando ImageX, necesita regresar a la unidad DVD-ROM real, que en este ejemplo es la
unidad D:.
6. Ahora use el comando ImageX para crear la imagen y almacenarla en un recurso compartido
de red:
Imagex.exe /compress fase /capture C: S:\Servidor_x86 wim “Instalación
personalizada de servidor x86” /verify
7. Este comando capturará la unidad C:, comprimirá la imagen, le asignará el nombre SERVI-
DOR_X86 WIM y llamará al catálogo Instalación personalizada de servidor x86, además de
verificar la imagen durante la captura (vea la figura 4-15).
Una vez que se complete el comando, está listo para proceder a la implementación de la
imagen. Si ha hecho todo de manera correcta, estará listo para usar la imagen para implemen-
tar varios servidores de 32 bits. Pero primero necesita probar la implementación de la imagen y
verificar que obtiene los resultados anticipados.
Implementación de la imagen de prueba

Use el mismo proceso para probar la imagen, pero a la inversa. Arranque un nuevo equipo en
WinPE, prepare el entorno y luego use ImageX para aplicar la imagen.
SUGERENCIA En el caso de ofrecimientos de servicios virtuales, todo lo que necesita hacer es copiar
los archivos del equipo virtual en que se usó sysprep, cambiarles el nombre, agregarlos a la coni-
guración de host y arrancar el nuevo equipo.
El proceso descrito aquí es manual e interactivo, pero puede volverse automático mediante
secuencias de comandos.
1. Prepare el hardware del sistema o el equipo virtual que pretende usar. Asegúrese de que el
orden de arranque del equipo incluye DVD-ROM.
FIGURA 4-15 Uso del comando ImageX para capturar una imagen del sistema.
2. Inserte el CD de WinPE y arranque el equipo desde el CD.

3. En WinPE, ejecute los siguientes comandos para crear la partición de destino y formatearla en
NTFS. Use el comando diskpart para ello de la siguiente manera:
diskpart
select disk 0
clean
create partition primary size=40000 align=64
select partition 1
active
format label=diskname
exit
PARTE II
SUGERENCIA Todos estos comandos pueden almacenarse en una secuencia de comandos que se eje-
cute automáticamente una vez que se arranque WinPE. Necesita actualizar la imagen de WinPE
para incluir esta secuencia de comandos y reconstruir el CD de WinPE antes de que pueda usarlo.
4. Asigne una unidad de red a su recurso compartido de red:

net use s: \\nombreservidor\nombrerecursocompartido /user:nombredominio
\nombreusuario
donde nombreservidor es el nombre de su sistema de administración y nombrerecursocompartido es
el nombre del recurso compartido que asignó a la carpeta D:\Imagen_sistema que creó antes. En
este caso, debe ser Imagen_sistema. Nombredominio debe ser el nombre del dominio o servidor
en que se encuentra su sistema de administración, y nombreusuario es el nombre de la cuenta.
5. Escriba su contraseña para completar el comando net use. Debe cifrarse y no desplegarse.
6. Cambie la carpeta x86 en WinPE al escribir el siguiente comando:
D:
cd x86
7. Aplique la imagen al nuevo servidor:
imagex.exe /apply S:\Servidor_x86 wim “Instalación personalizada de servidor
x86” c:
8. Cuando usa el comando apply, necesita asignar un nombre al archivo .wim de origen, indicar
el nombre de la imagen que creó e indicar la unidad de destino.
9. Cuando el proceso esté completo, retire el CD de WinPE.
10. Reinicie el servidor. Debe lanzarse en WS08.
11. Ejecute el servidor para probar la instalación y configuración, asegurándose de que sea el mis-
mo que el servidor de referencia creó.
Su proceso de implementación está completo. Ahora sabe cómo trabajar con el comando
ImageX para crear e implementar imágenes del sistema .wim.
Servicios de implementación de Windows

La última parte del proceso de implementación consiste en usar una función de servidor para
implementar remotamente imágenes del sistema. En WS08, esta función de servidor son los
Servicios de implementación de Windows (WDS, Windows Deployment Services). WDS funciona
en WS08 y Windows Server 2003, reemplazando una función anterior de WS03 llamada Servicios
de instalación remota (RIS, remote Installation Services).
La instalación remota es el método de instalación automatizada más prometedor para organiza-

ciones de tamaño mediano y grande, porque proporciona la capacidad de reparar un sistema además
de instalarlo y combina el proceso de imagen del sistema con la capacidad de instalarlo remotamen-
te. Windows Server 2008 no sólo soporta el hospedaje de Servicios de implementación de Windows,
sino también la instalación de servidores a través de WDS, pero requiere y depende de tarjetas de
red PXE (tarjetas que pueden iniciarse para arrancar el servidor cuando se oprime la tecla F12). Por el
contrario, puede cambiar el orden de arranque en los parámetros del sistema para iniciar con PXE,
pero tendrá que cambiarlo de nuevo una vez que se haya cargado el sistema operativo del servidor. Si
sus servidores incluyen estas tarjetas, como deberían, entonces WDS es la herramienta que se usará.
NOTA La instalación remota es muy aceptable también para pequeñas organizaciones, aunque hay
más costos relacionados con las instalaciones no atendidas o de imagen de sistema. Tome en cuen-
ta los beneicios cuando decida cuál modelo usar.
RIS y WDS requieren una infraestructura importante para ejecutarse. Necesitan Active Direc-
tory Domain Services en funcionamiento para proporcionar autorización al servicio en un dominio,
Cambios en Sysprep
En versiones anteriores de Windows, la herramienta Sysprep capturaba el estado insta-
lado del equipo y despersonalizaba la imagen sin cambiar nada. En WS08 y Windows
Vista, Sysprep va un poco más allá en los cambios que solía hacer. Por ejemplo, si cambió
el nombre de la cuenta administrativa predeterminada en el sistema de referencia y luego
usó Sysprep para capturar la imagen, Sysprep restablecerá automáticamente el nombre
de cuenta Administrador. Sin embargo, mantendrá la contraseña que aplicó. Esto significa
que necesitará cambiar de nuevo el nombre de la cuenta de administrador, una vez que
se implemente la imagen. Podría considerar la integración de una secuencia de comandos
posterior a la instalación que haría esto automáticamente.
Además, Sysprep incluye un error. Si usó una dirección IPv4 estática en su servidor de
referencia y luego capturó la imagen, Sysprep mantendrá la dirección original asignada a
la interfaz, pero la dirección no aparecerá en la página gráfica Propiedades de la configura-
ción de IPv4 de la interfaz. La dirección sólo aparecerá cuando use el comando ipconfig
/all en un indicador de comandos (vea la figura 4-16). Debe eliminar esta dirección o, de
otra manera, todos los sistemas que genere a partir de la imagen de Sysprep tendrán un
conflicto de dirección IP. Para eliminar la dirección, use el siguiente comando:
Esto proporcionará una lista de las interfaces disponibles que ejecutan IPv4. Observe
el número mostrado en la columna IDX para cada interfaz. A continuación, use el coman-
do netsh una vez más para eliminar la dirección duplicada:
netsh interface ipv4 delete address name=”ID” address=dirIPduplicada
Otra manera más fácil de eliminar esta dirección es evitar el problema por completo al
usar el protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration
Protocol) para asignar una dirección IP dinámica en el servidor de referencia. Debido a que
la dirección es automática, no habrá duplicación cuando vuelva a usar la imagen de Sysprep.
PARTE II
FIGURA 4-16 Direcciones duplicadas aparecen en sistemas generados por una imagen Sysprep.
además de un servidor DHCP para proporcionar direccionamiento IP automático durante el

proceso de instalación del sistema. Debido a que estas funciones son muy completas y requieren
habilidades avanzadas para ponerlas en funcionamiento, aquí no se cubren su instalación ni su
configuración. En cambio, ADDS se cubre en el capítulo 5 y DHCP en el 6. Una vez que estas
dos tecnologías se han descrito e implementado, estará listo para usar WDS. Esto se cubre en el
capítulo 6. Una vez que estos servicios estén instalados, puede depender del proceso WDS para
implementar servidores (vea la figura 4-17).
El proceso WDS está integrado por cuatro etapas principales:
• Preparación del servidor WDS (capítulo 6)
• Preparación de la imagen del sistema en el servidor WDS
• Preparación del archivo de respuesta que habrá de usarse (si se necesita)
• Implementación de la imagen del sistema WDS
Si tiene instalada una red WS03, ya cuenta con la infraestructura requerida para este
servicio. En este caso, busque cómo actualizar sus servidores RIS a WDS en el sitio Web de
Microsoft http://technet2 microsoft.com/WindowsVista/en/library/9e197135-6711-4c20-bfad-
fc80fc2151301033.mspx?mfr=true.
En este punto, podrá soportar implementación remotas de WS08 y Vista.
SUGERENCIA Microsoft ha liberado guías que le ayudan a recorrer el proceso de instalación e

implementación del servidor. Busque esta directriz en el sitio Web de Windows Server 2008 en
www.microsoft.com/windowsserver2008/default.mspx.
NOTA Si se está moviendo a un centro de datos dinámico y estará ejecutará servidores hosts junto
con ofrecimientos de servicios virtualizados, tal vez necesite una instalación completa de WDS,
sobre todo porque sólo se aplicará a las instalaciones de servidores hosts. No debe estar producien-
do en masa servidores hosts, porque un host debe ejecutar más de diez ofrecimientos de servicios
virtuales. Debido a que en raras ocasiones se necesitan hosts, puede ser más que aceptable para
sus necesidades el uso de una imagen de sistema sin un sistema de implementación central. La
FIGURA 4-17
Instalación remota de
1- GUID y solicitud de servicio
servidores con WDS. WDS enviados
2- Dirección IP proporcionada por

el servidor DHCP
3- GUID verificada en AD y
validada por servidor WDS
4- Petición de credenciales
5- Lista de imágenes enviada
6- El usuario elige la imagen
7- La imagen se implementa en
el servidor
implementación de los ofrecimientos de servicios virtuales no dependerá de WDS, de modo que

sus servicios no serán necesarios en este punto.
Ponga el servidor en funcionamiento

Se necesitarán cuidado y atención especiales cuando ponga en funcionamiento los servidores. Si
se trata de un nuevo servidor, puede tomarse su tiempo porque ningún usuario lo está usando.
Pero si está reemplazando un servidor existente, necesitará asegurarse de que tiene un inventario
completo de todos los servicios y las dependencias relacionados con la red en ese servidor antes
de seguir adelante. El reemplazo de cada una de estas dependencias está en el eje del proceso
para poner en funcionamiento un servidor.
Además, ahora que tiene un kernel de servidor en funcionamiento, necesitará empezar a
asignar funciones y características a sus servidores. Estas asignaciones y los procesos que deben
relacionarse con ellos empiezan en el capítulo 6.
III
PARTE
Diseño de funciones CAPÍTULO 5
Prepare su administrador
de servidor de identidad
CAPÍTULO 6
Construya la infraestructura
de red de Windows
E
n esta sección se inicia el proceso de diseño de red. Traza el Server 2008
recorrido para crear redes que ejecutan Windows Server 2008
(WS08). Como tal, cubre el diseño y la implementación de
Active Directory Domain Services y la conectividad básica de red,
además de los Servicios de implementación de Windows. Tome en
cuenta que cubre estos aspectos para el almacén de recursos de
hardware y los ofrecimientos de servicios virtualizados.
CAPÍTULO
5
Prepare su administrador de identidad
A
ctive Directory (AD) es el nombre de marca que Microsoft usa ahora para reagrupar todas
sus soluciones de administración de identidad. Como se delineó en el capítulo 1, la marca
AD incluye cinco componentes:
• Servicios de dominio de AD (ADDS, AD Domain Services), llamado originalmente Active
Directory, que proporciona servicios de autentificación y autorización en una red.
• Servicios de directorio ligero de AD (ADLDS, AD Lightweight Directory Services), que se
conocía antes como Modo de aplicación de Active Directory (ADAM, Active Directory Appli-
cation Mode) y tiene el objetivo de proporcionar un almacén de datos para entornos que no
tienen acceso a un nivel de servicio ADDS completo.
• AD Rights Management Services (ADRMS), que ayuda a controlar el uso apropiado de los
documentos y datos que su organización genera.
• Servicios de certiicado de Active Directory (ADCS, AD Certificate Services), al que antes
se le conocía como infraestructura de clave pública (PKI, Public Key Infrastructure) y se usa
para crear y administrar autoridades de certificación.
• Servicios de federación de AD (ADFS, AD Federation Services), que se usa para proporcio-
nar federación de identidad simplificada y segura, además de servicios de single sign-on para
aplicaciones Web.
Juntas, estas funciones forman la infraestructura de administración de identidad que Micro-
soft proporciona para organizaciones que ejecutan redes. Cada una proporciona un servicio de
administración de identidad, un servicio que está orientado a una parte específica de la red.
• ADDS es el eje de la red de Windows Server 2008. Es el componente central que no sólo sirve
para proporcionar autentificación y autorización, sino también administración, intercambio y
disponibilidad de información. En realidad, ADDS puede definirse de la siguiente manera: Un
entorno virtual seguro donde los usuarios pueden interactuar entre sí o con otros o con componen-
tes de red, todo de acuerdo con las reglas de negocios de la empresa.
• ADLDS, por otra parte, tiene dos usos principales:
• En primer lugar, se usa para integrar aplicaciones a un servicio de directorio, sin tener que
modificar la estructura del directorio ADDS. En este caso, ADLDS forma una extensión del
directorio central en su red, extensión que puede estructurarse por aplicación. Además, esta
extensión se vuelve portátil y puede aplicarse a la aplicación en cualquier lugar donde resida.
175
176 Parte III: Diseño de funciones de servidor
FIGURA 5-1 Red interna

Servicios de
Cada tecnología de AD se inte- dominio de Active
Directory
gra con las demás para formar Servicios de
directorio ligero de Active Directory
una infraestructura completa Active Directory Rights Management
de administración de red. Confianza de servicios Servicios de directorio

de federación de Active ligero de Active Directory
Directory
Servicios de certificado
de Active Directory
Servicios de dominio
de Active Directory
• En segundo lugar, ADLDS se usa en escenarios de la zona desmilitarizada (DMZ, DeMilita-

rized Zone). Pocas organizaciones quieren implementar una estructura de ADDS en DMZ, y
son aún menos las que quieren vincular sus ADDS internas con zonas externas. Aquí es donde
ADLDS entra en juego. Puede servir como un directorio de origen para permisos aplicativos
sin poner en peligro ningún dato que pueda encontrarse en la estructura de ADDS interna.
• ADRMS se usa internamente para proteger su propiedad intelectual. Se vuelve una extensión
de ADDS y forma el núcleo de su sistema de protección de datos.
• ADCS también se usa sobre todo de manera interna, porque está diseñado para proporcio-
nar servicios PKI para usuarios y equipos. Puede usarse para firmar digitalmente software
y controladores de sistema, integrarse con autentificación de tarjetas inteligentes y, por
lo general, proporcionar servicios de no repudio a su comunidad interna. También pue-
de usarse para proporcionar esos servicios a comunidades externas. Pero para ello debe
vincularse con una autoridad de certificación renombrada que indicará a otros que usted es
quien dice ser.
NOTA Para conocer más información acerca de las infraestructuras de PKI y la manera de aplicar-
las en su organización, visite www.reso-net.com/articles.asp?m=8 y busque la sección “Advanced
Public Key Infrastructures” (infraestructuras avanzadas de clave pública).
• ADFS está orientada a extender su estructura de ADDS al mundo externo, a través de puertos
de protocolo de control de transmisión/protocolo de Internet (TCP/IP, Transmisión Control
Protocol/Internet Protocol), como 80 (protocolo de transferencia de hipertexto: HTTP, Hyper-
text Transfer Protocol) y 443 (HTTP seguro o HTTPS). Por tanto, normalmente reside en la
DMZ y se usa para crear sociedades con otras organizaciones.
Como puede ver, cada tecnología AD juega una función importante en proporcionar una
infraestructura de administración de identidad plenamente integrada a su organización (vea la
figura 5-1). Pero, como también puede ver, no se puede empezar nada hasta que haya implemen-
tado su infraestructura ADDS interna. Éste es el eje del capítulo.
NOTA Para conocer más información acerca de las cinco tecnologías de Active Directory, busque el
MCTS Self- Paced Training Kit (Exam 70-640): Coniguring Windows Server 2008 Active
Directory, por Helme, Ruest y Ruest (Microsoft Press, 2008).
Capítulo 5: Prepare su administrador de identidad 177
Ingrese a los Servicios de dominio de Active Directory

Muchas organizaciones ya han implementado el ofrecimiento de servicios de los Servicios de
dominio de Active Directory. Para ellas, este capítulo se concentra en revisar la estructura y el
diseño de su directorio para obtener lo máximo del paso a WS08. Para otras, que tal vez no ten-
gan implementado ADDS o que están creando nuevas redes basadas en ADDS, este capítulo se
concentra en un proceso paso a paso para el diseño de sus estructuras de directorio.
NOTA En este capítulo se perila la manera en que debe conigurar ADDS para su ofrecimiento de ser-
vicios (el servicio que autentiicará a todos sus usuarios inales). Para el almacén de recursos, también
estará usando ADDS, pero en un modo mucho más simple, porque es un servicio de autentiicación
que sólo será usado por administradores y operadores de sistemas. Esta estructura de ADDS más sim-
ple se describirá e implementará en el capítulo 6. Si no está familiarizado con ADDS, tómese el tiempo
para revisar este capítulo de manera más completa porque es el núcleo de cualquier red de WS08.
La primera regla que debe establecer para sí mismo cuando trabaje en diseñar o revisar el
diseño de su estructura de Active Directory es “¡Use en todos lados las mejores prácticas!” No
trate de cambiar el funcionamiento de ADDS, sin importar lo que pudiera pensar. Proporciona
PARTE III
una gran cantidad de oportunidades que descubrirá mientras las implementa, usa y opera. Los
cambios que podrían tener sentido de acuerdo con los conceptos de la tecnología de la infor-
mación hoy en día bien podrían tener un efecto negativo en la operación de su estructura de
directorios mañana.
Por tanto, el primer paso hacia la implementación de su red (podría decirse que el paso más
importante hacia ésta) es el diseño y la implementación de su estructura de ADDS.
NOTA Las directrices de este capítulo han estado en uso durante varios años para ayudar a las
organizaciones a estructurar sus servicios de directorio. Son prácticas probadas que ayudarán
a asegurar que construya la solución de directorios más lexible: una solución que ayudará a su
organización a cubrir sus necesidades de negocios mediante los servicios que ofrece la red.
Los Servicios de directorio de Active Directory están, ante todo, afirmados en una base de
datos jerárquica (vea la figura 5-2). Como tal, la base de datos de directorios contiene un esquema
(una estructura de base de datos). Este esquema se aplica a cada instancia de ADDS. Una instancia
se define como un bosque de Active Directory. El bosque es la partición más grande de cualquier
estructura de base de datos determinada. Todos quienes participan en el bosque compartirán un
conjunto determinado de atributos y tipos de objetos. Esto no significa que el bosque sea el límite
global de Active Directory. Los bosques pueden agruparse para compartir cierta información. Win-
dows Server 2003 introdujo el concepto de conianzas de bosques, que permite que compartan partes
de su base de datos de Active Directory con otros, y viceversa. Este concepto se llevó a WS08.
Si compara el bosque de WS08 con Windows NT, puede ver fácilmente que mientras NT
también incluía una base de datos de administración de identidad (el dominio), su alcance estaba
limitado seriamente en comparación con ADDS. NT podía almacenar básicamente el nombre de
usuario o equipo junto con contraseñas y unas cuantas reglas que afectaban a todos los objetos.
La base de datos ADDS incluye más de 200 tipos de objetos y más de mil atributos, como opción
FIGURA 5-2
Estructura de base de
datos de los Servicios de Bosque
dominio de Active Directory.

Sistema de nombre
de dominio
Dominio raíz
Confianza Confianza transitiva de dos vías

del bosque
&TRVFNB
Información
de todo el
bosque,
incluye
Catálogo catálogo
global Configuración global
Contenido
específico
del dominio
Particiones de
aplicaciones Árbol
Controlador de
dominio (DC)
Dominio
Objetos GPO
de directivas
DC de sólo de cuenta
lectura (RODC)
Sitios Objetos:
r6TVBSJPT
Replicación r&RVJQPT
multimaestra Grupos: r*NQSFTPSBT
r6OJWFSTBM etcétera
r(MPCBM
r-PDBMEF
dominio
6OJEBEFT
organizativas
predeterminada. Por supuesto, puede agregar más tipos de objetos o atributos a esta base de
datos. Los productos de software que aprovechan la información almacenada en el directorio de
ADDS pueden extender su esquema. Microsoft Exchange, por ejemplo, prácticamente duplica el
número de objetos y atributos en el bosque debido a su integración con el directorio.
Como en cualquier base de datos, estos objetos se ordenan en categorías, pero a diferencia
de las bases de datos relacionales, esta estructura de base de datos es jerárquica porque está
basada en la estructura del sistema de nombre de dominio (Domain Name System). Cualquier
persona que tenga experiencia en World Wide Web sabe que todo es jerárquico. Ir a
www.microsoft.com es llegar a la raíz del sitio Web de Microsoft. Todo se dispersa desde esta
página. Si pasa a cualquier otra sección (TechNet o MSDN, por ejemplo) se le envía a páginas
especiales cuyos nombres se basan en la raíz Microsoft.com.
Los bosques actúan de la misma manera. Con la excepción de que en un bosque, el punto
raíz (análogo a la página de inicio) es el dominio de la raíz. Cada bosque de ADDS debe tener por
lo menos un dominio. Los dominios actúan como contenedores de objetos discretos dentro del
bosque. Los dominios pueden reagruparse en árboles. Los árboles se segregan a partir de los demás
mediante su nombre DNS. Microsoft, por ejemplo, tiene un bosque de varios árboles. Su“espacio de
nombres”, el elemento DNS que define los límites del bosque, es Microsoft.com. Como tal, todos los
dominios dentro de este árbol tienen nombres similares a dominio.microsoft.com. Microsoft creó un
segundo árbol cuado incorporó MSN.com dentro de su bosque. El espacio de nombres MSN.com
creó automáticamente un árbol, y todos los dominios bajo él se denominan dominio.MSN.com.
Todo bosque debe incluir por lo menos un árbol y un dominio. El dominio es una directiva
de seguridad y un límite administrativo dentro del bosque. Se necesita para que contenga objetos
como usuarios, equipos, servidores, controladores de dominio (DC, Domain Controllers), impre-
soras, recursos compartidos de archivos, aplicaciones y mucho más. Si tiene más de un dominio
en el bosque, automáticamente se vinculará a todos los demás mediante una confianza de dos
vías transitiva automática. El dominio se define como un límite de seguridad, porque incluye re-
glas que se aplican a los objetos que contienen. Estas reglas pueden estar en forma de directivas
de seguridad o de objetos de directiva del grupo (GPO, Group Police Objects). Las directivas de
seguridad son reglas de dominio globales. Los GPO tienden a ser más discretos y deben aplicar-
se a objetos de contenedor específicos. Mientras los dominios son límites de seguridad discretos,
el bosque siempre será el último límite de seguridad dentro de una estructura de ADDS. El domi-
nio recibe su nombre de los límites administrativos porque, como opción predeterminada, las
directivas que se aplican a sus objetos no cruzan los límites del dominio.
El contenido del dominio puede dividirse aún más en categorías mediante tipos de objeto de
PARTE III
agrupación, como las unidades organizativas (OU, Organizational Units) o los grupos. Las unida-
des organizativas proporcionan agrupamientos que pueden usarse para propósitos administrati-
vos o de delegación. Los grupos se usan principalmente para la aplicación de derechos de seguri-
dad. Entre los grupos de WS08 se incluyen los universales, que pueden abarcar un bosque entero;
los globales, que pueden abarcar dominios; o locales de dominio, que están contenidos dentro de
un solo dominio. Las OU suelen usarse para segregar objetos verticalmente, debido a que objetos
como usuarios y tipos sólo pueden residir dentro de una sola OU, pero los grupos pueden abarcar
varias OU. Debido a esto, los grupos tienden a contener colecciones horizontales de objetos; un
objeto como un usuario puede incluirse en varios grupos pero sólo en una sola OU.
A los usuarios también se les facilita el trabajo con los Servicios de dominio de Active Di-
rectory. El trabajo en un bosque distribuido compuesto por varios árboles y sus dominios puede
volverse confuso para el usuario. ADDS da soporte a la noción de nombre de principio universal
(UPN, Universal Principal Name). El UPN suele integrarse con el nombre del usuario junto con el
nombre raíz del bosque global. Este nombre raíz puede ser el nombre del bosque o un alias especial
asignado por usted. Por ejemplo, en un bosque llamado TandT.net, podría usar nombre.apodo@tandt.
com como UPN, lo que significaría para los usuarios usar su nombre DNS externo para el UPN.
Los usuarios pueden iniciar sesión en cualquier dominio que tengan permitido dentro del bosque
empleando su UPN. En su dominio local, sólo pueden usar su nombre de usuario, si lo prefieren.
Bosques, árboles, dominios, unidades organizativas, grupos, usuarios y equipos son objetos
almacenados dentro de la base de datos ADDS. Como tales, pueden manipularse global o discre-
tamente. Una diferencia importante entre Active Directory y una base de datos estándar es que
además de ser jerárquico, está completamente descentralizado.
La mayor parte de las bases de datos de Active Directory también están distribuidas jerárqui-
camente porque representan la verdadera naturaleza de una organización. Únicamente organi-
zaciones muy pequeñas que tienen un solo sitio tendrán una base de datos que esté totalmente
localizada en un solo lugar.
La administración de una base de datos distribuida por completo es considerablemente más
desafiante que la de una base de datos que está localizada en una sola área. Para simplificar los pro-
blemas de las bases de datos distribuidas, los Servicios de dominio de Active Directory introducen
el concepto de replicación multimaestra. Esto significa que aunque toda la base de datos del bosque
esté integrada por depósitos distribuidos (depósitos que, dependiendo de su ubicación dentro de la
jerarquía lógica del bosque, pueden o no contener la misma información que las otras), la consis-
tencia de la base de datos se mantendrá. Mediante la estructura multimaestra, ADDS puede aceptar
cambios lógicos y asegurar la consistencia al depender de la información o los cambios a todos los
demás depósitos dentro del dominio o el bosque. Ésta es una de las funciones del objeto de controla-
dor de dominio en el directorio. Además de la replicación multimaestra, ADDS da soporte al concepto
de controlador de dominio de sólo lectura (RODC, Read Only Domain Controller). El RODC se
introdujo en WS08 para ayudar a proteger los datos de directorios almacenados en controladores de
dominio remoto e inseguros. A pesar de esto, siempre debe luchar por proteger los DC, cualquier
DC, al máximo, porque son los motores que proporcionan acceso a su red y a todos sus objetos.
Los únicos depósitos que tienen exactamente la misma información dentro de la base de datos
de AD son los dos controladores de dominio dentro del mismo dominio. Cada uno de estos depó-
sitos de datos contiene información acerca de su propio dominio, además de cualquier información
que se haya determinado que sea de interés para los administradores de todo el bosque. En el nivel
del bosque, puede determinar cuál información quedará disponible para todo el bosque al seleccio-
nar los objetos y atributos del esquema de base de datos cuyas propiedades quiere compartir entre
todos los árboles y dominios. Además, otra información de todo el bosque incluye el propio esque-
ma de base de datos y la coniguración del bosque, o la ubicación de todos los servicios de bosque.
La información publicada se almacena dentro del catálogo global (GC, Global Catalog). ADDS
publica algunos elementos como opción predeterminada, como el contenido de grupos universales,
pero también puede agregar o sustraer elementos a su gusto. Por ejemplo, tal vez decida incluir las
fotografías de sus empleados en el directorio y ponerlas a disposición de todo el bosque.
NOTA No todos los elementos son impublicables; algunos son prerrequisitos para la operación
apropiada de los Servicios de dominio de Active Directory.
Cualquier cosa que se publique dentro del catálogo global es compartida por todos los con-
troladores de dominio que desempeñan esa función en el bosque. Lo que sea que no se publi-
que permanece dentro del dominio. Esa segregación de datos controla la individualidad de los
dominios. Cualquier cosa que no se publique puede contener información discreta que podría ser
de la misma naturaleza, incluso usar los mismos valores, que la contenida en otro dominio. Las
propiedades publicadas dentro del catálogo global de un bosque deben ser únicas, al igual que
en cualquier otra base de datos. Por ejemplo, puede tener dos Juan López en un bosque, siempre
y cuando ambos estén dentro de diferentes dominios. Debido a que el nombre del objeto incluye
el nombre de su contenedor (en este caso, el dominio), ADDS verá a cada Juan López como un
objeto diferente. Por supuesto, ambos Juan López no podrán usar el mismo UPN.
El almacén de directorios, o base de datos NTDS.DIT, está localizado en cada controlador de
dominio. Incluye varias particiones que almacenan todos los datos que integran el dominio (vea
la figura 5-3). En cada almacén de directorio hay tres elementos (el esquema, la configuración y
los datos del dominio) y dos son opcionales (el catálogo global y la partición de la aplicación).
Tanto el catálogo global, como el esquema y la configuración, contiene información que se
replica a través del bosque. Los datos del dominio sólo se replican dentro del dominio. La repli-
cación se controla en redes locales y distantes mediante particiones de base de datos regionales.
FIGURA 5-3 Datos

Datos opcionales predeterminados
Estructura del almacén
de directorios. Configuración
Esquema
Catálogo global
Partición de aplicaciones
Datos de dominio
NTDS.DIT
Las organizaciones tienen la opción de crear estas particiones con base en varios factores. Debido
a que el dominio es un límite de directiva de seguridad, las organizaciones de autorización (las
que abarcan varias ubicaciones geográficas que controlan) tal vez quieran crear un solo dominio
que abarque estas ubicaciones. Para segregar cada región y, por tanto, controlar la cantidad y el
tiempo de replicación de la base de datos entre regiones, el dominio se debe dividir en sitios. Los
PARTE III
sitios son particiones físicas que controlan la replicación al crear límites basados en el direcciona-
miento de protocolo de Internet (IP, Internet Protocol).
Las organizaciones que no son de autorización, no tienen administraciones independientes, no
controlan sus ubicaciones regionales o tienen vínculos lentos entre cada ubicación, tal vez deseen
tener mayor control de la replicación mediante la creación de dominios regionales. Éstos reducen
en gran medida la replicación, porque sólo se replica la información de todo el bosque de ubicación
en ubicación. Dicha información rara vez excede 20% de los datos del bosque global. Además, las
organizaciones que sólo tienen el control de una parte del espacio de nombres del bosque serán
propietarias de árboles dentro del bosque. Las organizaciones que no pueden garantizar un nivel
mínimo de consenso o autoridad entre grupos siempre crearán bosques separados.
Hay una partición más de replicación dentro de la base de datos de ADDS. Esta partición
se introdujo con Windows Server 2003. Es la partición de las aplicaciones. Tiene varias caracte-
rísticas, como la capacidad de hospedar varias instancias de la misma aplicación, además de los
mismos componentes COM+, en el mismo equipo físico, pero para fines de replicación, esta
partición puede definirse como un grupo específico de direcciones IP o nombres DNS de con-
troladores de dominio. Por ejemplo, WS08 crea automáticamente una partición de aplicación de
todo el bosque para datos DNS de todo el bosque, de modo que esta información estará disponi-
ble en todos los controladores de dominio dentro del bosque. Si también tienen la función DNS,
entonces cada controlador de dominio puede hacer que esta información quede disponible para
los usuarios.
Eso es todo. Se trata de la base de los Servicios de dominio de Active Directory. Lo que
realmente impresiona de esta base de datos es que una vez que está funcionando, puede permi-
tirle realizar cosas verdaderamente asombrosas. Puede administrar toda una red desde un lugar
central. Todas las interfaces de administración son las mismas en todo el bosque, incluso entre
bosques. Debido a que todo es jerárquico, puede implementar estándares en todo el bosque para
convenciones de asignación de nombres, operaciones, estructura de base de datos y, en especial,
implicaciones de directiva de seguridad. Si lo hace bien, puede implementar estos estándares au-
tomáticamente. Esto debe hacerse antes de que cree cualquier cosa debajo del dominio raíz. Aun-
que es simple de comprender, los Servicios de dominio de Active Directory son muy poderosos.
Nuevas características de Active Directory

Windows Server 2008 presenta varias mejoras en relación con los Servicios de dominio de Active
Directory. Aunque esta tecnología se introdujo en Windows 2000, se ha refinado y mejorado con
Windows Server 2003 y aún más en WS08. En la tabla 5-1 se presentan las nuevas características
encontradas en WS08 para los Servicios de dominio de Active Directory desde WS03. En esta
tabla se identifican primero las nuevas características que pueden operar dentro de un bosque
que combina WS03 y WS08 pero que se ejecuta en un modo funcional de bosque de WS03 y, por
tanto, identifica características que sólo pueden operar en el modo funcional de bosque WS08.
Como puede ver, WS08 soporta varios modos funcionales para Active Directory. Puede eje-
cutar AD en modo nativo de Windows 2000 (W2K), lo que limita la funcionalidad a capacidades
de AD de Windows 2000; puede ejecutarlo en el modo funcional de bosque WS03, que permi-
te varias características de replicación; y finalmente puede ejecutarlo en el modo funcional de
boques WS08. Este último modo evita la inclusión de cualquier controlador de dominio diferente
de WS08 dentro de todos los dominios. Recuerde también que antes de WS03, los modos nativos
o combinados eran específicos del dominio, no del bosque. Un bosque de WS08 también puede
incluir dominios que operan en cualquiera de los tres modos mencionados. En la tabla 5-2 se
identifican las diferencias entre cada modo funcional. Sirve para identificar las limitaciones de
modos antiguos en comparación con un entorno WS08 completo. Para obtener un modo funcio-
nal de bosque WS08, todos los dominios deben ser nativos de WS08.
Esta lista de nuevas características será útil para el siguiente paso, el diseño de la estructura
de Servicios de dominio de Active Directory de su organización.
Característica Descripción
Auditoría de ADDS • Audita ADDS en el registro de eventos: cambios del servicio de directorios.
• Registra valores antiguos y nuevos cuando se hacen cambios.
Recuperar lo eliminado • Capacidad para restaurar objetos eliminados del directorio.
Controlador de dominio de sólo • Capacidad para crear un controlador de dominio que sólo almacene en caché los datos
lectura (RODC) de ADDS.
• Puede usarse en entornos inseguros para proporcionar servicios de inicio de sesión
mientras evita la modiicación de los datos de ADDS.
• También da soporte a un servicio DNS de sólo lectura.
ADDS que es posible reiniciar • El servicio de ADDS puede detenerse y reiniciarse sin tener que apagar el controlador de
dominio.
• Cuando los servicios ADDS se detienen, el controlador de dominio ya no sirve las solici-
tudes ADDS.
Mejoras de la instalación • Los cambios en el asistente para instalación de ADDS atiende errores de versiones
anteriores de Windows, sobre todo la capacidad de crear particiones de aplicaciones
de ADDS y la capacidad de crear la delegación apropiada de DNS cuando se instalan
servicios DNS con la función ADDS.
• Nuevos modos de funcionalidad de bosque que pueden seleccionarse directamente en
la instalación.
Mejoras en la interfaz de adminis- • La consola de administración de ADDS se ha actualizado para administrar nuevas funciones de
tración controlador de dominio, como RODC.
• Se ha mejorado la búsqueda de controladores de dominio mediante la estructura de ADDS.
• Ahora está disponible el control de directivas de contraseña para RODC.
TABLA 5-1 Nuevas características de Active Directory

Característica Descripción
Nuevas características de ADDS de todo el dominio y el bosque (en el modo funcional de bosque WS08)
Replicación de servicio de archivo • Cuando se encuentra en el modo funcional, los controladores de dominio ahora dependen del
distribuidos (DFSR) motor de replicación de compresión delta (DCR, Delta Compression Replication) de DFSR.
Cifrado de Servicios de cifrado • Soporta cifrado avanzado del protocolo de autentiicación de Kerberos.
avanzado de 256 bits
Directivas de cuenta múltiple • Cada dominio puede contener más de una directiva de cuenta.
• Las directivas se asignan a OU o grupos de seguridad.
TABLA 5-1 Nuevas características de Active Directory (Continuación)
La naturaleza de los Servicios de dominio de Active Directory

Un elemento clave final que se debe comprender antes de que pase a la creación de su diseño de
ADDS es la naturaleza del directorio. Ya sabe que un directorio es una base de datos distribuida y,
como tal, debe verse como depósitos de datos distribuidos. Pero las bases de datos y los depósi-
tos de datos incluyen dos componentes básicos:
• El servicio de base de datos El motor que permite operar a la base de datos
• Los datos Los datos contenidos dentro de la base de datos
PARTE III
Característica Modo W2K Modo WS03 Modo WS08
Número de objetos dentro del dominio 1 000 000 Igual que W2K Igual que W2K
Cambio de nombre de controlador de Deshabilitado Habilitado Habilitado
dominio
Actualizar estampa de tiempo de inicio de Deshabilitado Habilitado Habilitado
sesión
Números de versión de clave KDC de Deshabilitado Habilitado Habilitado
Kerbero
Contraseña de usuario en el objeto Deshabilitado Habilitado Habilitado
InetOrgPerson
Grupos universales Habilitado; da soporte a grupos Igual que en W2K Igual que en W2K
de seguridad y de distribución
Anidado de grupos Habilitado; permite anidado Igual que en W2K Igual que en W2K
de grupos completo
Conversión de grupos Habilitado; permite la conversión Igual que en W2K Igual que en W2K
entre grupos de seguridad y de
distribución
Historial de SID Habilitado; permite alcance univer- Igual que en W2K Igual que en W2K
sal para grupos de seguridad y de
distribución
Ainación de replicación de catálogo de Deshabilitado Habilitado Habilitado
grupo
Objetos de esquema de expiración Deshabilitado Habilitado Habilitado
Conianza de bosque Deshabilitado Habilitado Habilitado
Replicación de valor vinculado Deshabilitado Habilitado Habilitado
Cambio de nombre de dominio Deshabilitado Habilitado Habilitado
Replicación mejorada Servicio de replicación de archivo FRS habilitado Replicación de
deshabilitado compresión delta
Clases auxiliares dinámicas Deshabilitado Habilitado Habilitado
TABLA 5-2 Características de modo funcional de bosque

Característica Modo W2K Modo WS03 Modo WS08

Clase de objeto InetOrgperson Deshabilitado Habilitado Habilitado
Cifrado de servicios de cifrado avanzados Deshabilitado Deshabilitado Habilitado
(AES) de 256 bits
Directivas de cuenta múltiple Deshabilitado Deshabilitado Habilitado
TABLA 5-2 Características de modo funcional de bosque (Continuación)
El directorio WS08 es el mismo que en cualquier otra base de datos. La administración

de Servicios de dominio de Active Directory está dividida en dos secciones: administración de
servicio y administración de datos. La administración de ADDS es comparable a la de un sitio
Web de intranet. Se requiere que el personal técnico administre el servicio que respalda ADDS
de la misma manera que el servicio Web para el sitio de una intranet, pero son los usuarios
y los departamentos de usuarios los que deben ser responsables de los datos contenidos en
ADDS, y de administrarlos, como sería el caso de la información contenida dentro de las pági-
nas de intranet.
En el caso de ADDS, es posible delegar la administración de datos contenida dentro de la
base de datos. Los usuarios deben ser responsables de su propia información (número telefónico,
ubicación, posición en el organigrama) y los departamentos deben ser responsables de la infor-
mación de todo el departamento (estructura de la organización, estructura de nivel de autoridad,
etcétera). TI debe ser responsable de la administración de servicio (administración de dominios,
maestros de operación, controladores de dominio, configuración de directorio y operaciones de
replicación). Esto quita presión a este departamento y le permite concentrarse en operaciones
relacionadas con su función dentro del directorio (véase la figura 5-4).
Servicios de federación de Active Directory

ADDS es el núcleo de sus controles de red interna, pero los Servicios de federación de AD
(ADFS, AD Federation Services) serán muy útiles si necesita interactuar con socios u otras
organizaciones que se localizan fuera de su zona de influencia. ADFS depende, básicamen-
te, de su propio directorio interno para proporcionar credenciales a aplicaciones que se
comparten con socios. En realidad, cada socio depende de su propio directorio interno para
tener acceso. Las solicitudes de autorización se envían de modo seguro en puertos TCP/IP
comunes, puertos que suelen estar abiertos en casi todas las firewalls. Las autorizaciones se
basan en directivas de negocios, incluidas las otras organizaciones y usuarios dentro de esas
organizaciones que son de confianza, además de directivas de privacidad. Entre otras carac-
terísticas se incluyen:
FIGURA 5-4 Responsabilidades del departamento

Separación de r%BUPTTVQMFNFOUBSJPTEF"%%4
3FTQPOTBCJMJEBEFTEFMVTVBSJP
responsabilidades en la r%BUPTEF"%%4QFSTPOBMFT
administración de ADDS. Responsabilidades de tecnología de la información
r%BUPTEF"%%4PQFSBDJPOBMFT
r0QFSBDJPOFTEFDPOUSPMBEPSEFEPNJOJP
r&TUSVDUVSBEFEJSFDUPSJP
• Single sign-on (SSO) Web que depende de la Autentificación integrada de Windows en sitios
Web, proporcionando incluso inicios de sesión automatizados para usuarios, si se encuentra
dentro de la directiva.
• Interoperabilidad, porque ADFS depende de un servicio Web (WS, Web Service) que se deno-
mina WS-Federation (Federación de WS). Esto le permite interoperar con cualquier otro servi-
cio de Federación de WS y, por tanto, abre la solución a casi cualquier arquitectura orientada a
servicio (SOA, Service-Oriented Architecture) en el mundo.
• Soporte pasivo o inteligente a clientes, lo que deja que las organizaciones socias usen clientes
pasivos, como exploradores Web, o clientes inteligentes, como clientes de protocolo simple de
acceso a objetos (SOAP, Simple Object Access Protocol), como servidores, teléfonos celulares,
asistentes digitales personales (PDA, Personal Digital Assitants) y aplicaciones de escritorio.
En general, ADFS le permite usar un sistema de administración de identidad simplificado,
cifrado, que se basa por completo en estructuras ADDS internas. Una vez en su lugar, la opera-
ción de ADFS es muy sencilla. ADFS funciona de manera transparente para los usuarios, pero
requiere la presencia de una estructura interna de ADDS para funcionar. En el capítulo 10 se
cubre ADFS con más detalle.
NOTA Se encontrará más información sobre ADFS en www.microsoft.com/windowsserver2003/
PARTE III
techinfo/overview/adfsoverview.mspx.
Diseño de la solución: use el plano de Active Directory

Al igual que el plano de la red presentado en el capítulo 3 (vea la figura 3-8), el plano del diseño
de Servicios de dominio de Active Directory surge de la estructura del examen de certificación de
Microsoft número 70-219:“Designing a Microsoft Windows 2000 Directory Services Infrastructu-
re”(Diseño de una infraestructura de servicios de directorio de Microsoft Windows 2000). También
incluye los mismos prerrequisitos: análisis de los requisitos del negocio y técnicos. La ventaja de usar
la misma estructura de plano para ambas operaciones es que, en este momento, ya debe tener a la
mano la mayor parte de la información de los prerrequisitos. Si no, ahora es el momento de com-
pletarla. Sin esta información, no puede seguir adelante. Simplemente no podrá tener un diseño de
ADDS sólido sin un conocimiento completo de su organización, su propósito, sus objetivos, su mer-
cado, su potencial de crecimiento, sus retos futuros y la participación de los accionistas adecuados.
SUGERENCIA Para conocer más información acerca de la construcción de una arquitectura em-
presarial y la identiicación de los requisitos del negocio, consulte www.reso-net.com/articles.
asp?m=8 y busque la sección “Architecture” (Arquitectura).
Su diseño de ADDS debe ser flexible y adaptable. Debe estar listo para responder a situa-
ciones de la organización que aún no ha anticipado. Recuerde que ADDS crea un espacio virtual
donde realizará y administrará operaciones de red. Debido a su naturaleza virtual, siempre podrá
adaptarse en una fecha posterior, pero si lo que está buscando es la adaptabilidad, necesita to-
marla en cuenta desde el principio del diseño.
Una vez que tenga la información necesaria, pude seguir con el diseño real. Éste se concen-
trará en tres fases: partición, posicionamiento del servicio y plan de implementación. Esto forma
un plano para el diseño de ADDS (vea la figura 5-5).
FIGURA 5-5
Análisis Diseño de soluciones
Plano de diseño
de Servicios de
dominio de Active
Directory. 3FRVJTJUPT 3FRVJTJUPT 1MBOEF
1BSUJDJÓO
EFMOFHPDJP UÊDOJDPT JNQMFNFOUBDJÓOEF"%
1. Modelo del negocio 1. Entorno de TI 1. Estrategia de 1 Plan de

r .PEFMPEFPSHBOJ[BDJÓO existente/planeado bosque/dominio implementación de AD
r 0CKFUJWPEFMB r5BNBÒPEFPSHBOJ[BDJÓO r #PTRVFFTRVFNB r 7BZBBMQMBOPEF
PSHBOJ[BDJÓO r/ÙNFSPEFVTVBSJPT r %PNJOJP JNQMFNFOUBDJÓO
r 1SPEVDUPTZTFSWJDJPT r6CJDBDJÓOEFSFDVSTPT r $POGJBO[BT
r "MDBODFHFPHSÃGJDP r(FPHSBGÎBEFMBSFE 2. Estrategia de
r 1SPDFTPTEFMB r%JTUSJCVDJÓOZWÎODVMPT asignación de nombre
PSHBOJ[BDJÓO r"ODIPEFCBOEB r "MDBODFEF"%
2. Estructura de la EJTQPOJCMF r %JTFÒPEFFTQBDJPEF
organización r)4 SFRVJTJUPTEF OPNCSFEF%/4
r .PEFMPEF SFOEJNJFOUP
r *OUFHSBDJÓOEF%/4
BENJOJTUSBDJÓO r1BUSPOFTEFEBUPT 3. Estructura de OU
r &TUSVDUVSBEF r'VODJPOFTZ r $BUFHPSJ[BDJÓOEFPCKFUP
PSHBOJ[BDJÓO SFTQPOTBCJMJEBEFTEF r 1MBOEFEFMFHBDJÓO
r 3FMBDJPOFT SFE r 1MBOEFBENJOJTUSBDJÓO
DPNFSDJBMJ[BEPS r1SPCMFNBTEFTFHVSJEBE r "ENJOJTUSBDJÓOEF(10
TPDJPDMJFOUF 2. Impacto de AD r %FGJOJDJÓOEFDVFOUBZ
r 1MBOFTEFBERVJTJDJÓO r4JTUFNBTZBQMJDBDJPOFT HSVQP
OFHPDJPT
FYJTUFOUFT r "ENJOJTUSBDJÓOEF
3. Estrategia de la r"DUVBMJ[BDJPOFT EJSFDUJWBEF1$
organización PQDJPOFTEFEFTIBDFS 4. AD y otros directorios
r 1SJPSJEBEFTEFMOFHPDJP QMBOFBEBT r y3FRVJTJUPTEF
r $SFDJNJFOUPZ r%/4 TJODSPOJ[BDJÓO
FTUSBUFHJBQSPUFHJEPT r&TUSVDUVSBEFTPQPSUFB r "%'4
r *NQMJDBDJPOFTMFHBMFT MBUFDOPMPHÎB 5. Posicionamiento del a) Ubicación de los
r 5PMFSBODJBBMSJFTHP r3FEQMBOFBEBZ servicio maestros de operación
r 0CKFUJWPTEF5$0 BENJOJTUSBDJÓOEFM 6. Topología de sitio r .BFTUSPTEFUPEPFM
4. Administración de TJTUFNBBDUVBMFT r &TUSBUFHJBEFSFQMJDBDJÓO CPTRVF
tecnología de la r%PNJOJPTEF8JOEPXT r -ÎNJUFTEFMTJUJP r &TRVFNB
JOGPSNBDJÓO /58,84ZPUSPT 7. Modificación del r "TJHOBDJÓOEF
r "ENJOJTUSBDJÓO EFQÓTJUPTEFEBUPTEF esquema OPNCSFEFEPNJOJP
DFOUSBMJ[BEB JEFOUJEBE r %JSFDUJWBEFDPOUFOJEP r .BFTUSPTDFOUSBEPTFO
EFTDFOUSBMJ[BEB 3. Administración de r %JSFDUJWBEFBENJOJTUSB- EPNJOJP
r .PEFMPEFSFDPMFDDJÓO escritorio de cliente/PC DJÓO r *%SFMBUJWP
EFGPOEPT r3FRVJTJUPTEFVTVBSJP r *OGSBFTUSVDUVSB
r y4VCDPOUSBUBDJÓOP GJOBM r &NVMBEPSEF1%$
USBCBKPFODBTB r4PQPSUFBUFDOPMPHÎB b) Servidores de catálogo
r 1SPDFTPEFUPNBEF QBSBVTVBSJPTGJOBMFT global
EFDJTJPOFT r&OUPSOPSFRVFSJEPEFM c) Controladores de
r 1SPDFTPEFBENJOJTUSB- DMJFOUF dominio
DJÓOEFMDBNCJP d) Servidores DNS
e) RODC
1MBOPEFEJTFÒPEF"DUJWF%JSFDUPSZ
Partición de ADDS
La partición es el arte de determinar el número de bases de datos de Servicios de dominio de Active
Directory que quiere administrar y de segregar los objetos en cada uno. Esto significa que necesi-
tará determinar el número de bosques que creará su organización recordando que cada uno es una
base de datos separada que requerirá mantenimiento y recursos de administración. Dentro de cada
bosque, necesitará identificar el número de árboles, el número de dominios dentro de cada árbol y
la estructura de la unidad organizativa dentro de cada dominio. En general, necesita identificar si
su base de datos de Active Directory necesitará compartir su información con otras bases de datos
del sistema operativo de red que no son de ADDS. Esto se hará mediante la integración de las dos
estructuras de base de datos (si la otra base de datos es compatible con el formato de Servicios de
dominio de Active Directory) o del recurso compartido de información. En este caso, necesitará
identificar la estrategia de recursos compartidos de información que se usará.
Para controlar la replicación de datos y reducir al máximo el efecto en su ancho de banda,
deberá identificar y estructurar sitios, diseñar reglas de replicación e identificar metodologías de
replicación. Éste es un diseño de topología de sitio. Debido a que intenta explotar por completo
la base de datos de ADDS (después de todo, ¿por qué enfrentar todos estos problemas si no la
va a usar por completo?), tendrá que poner en funcionamiento una estrategia de modiicación de
esquema. Debido a que cada modificación de esquema se replica en todos los controladores de
dominio del bosque, deberá asegurarse de mantener un fuerte control sobre ellos.
Posicionamiento del servicio de ADDS

El diseño de la topología del sitio está muy relacionado con el posicionamiento del servicio. Cada
controlador de dominio de Active Directory realiza operaciones importantes que soportan el fun-
cionamiento apropiado de la base de datos general. En realidad, el objetivo del diseño de la topo-
logía de sitio consiste en determinar la manera en que cada uno de estos contenedores de base
de datos se vinculará con los demás. Debido a que ADDS es una base de datos distribuida, los
controladores de dominio pueden y deben posicionarse lo más cerca posible del usuario. Estos
puntos de servicio deben ser convenientes sin volverse excesivamente abundantes e incrementar
PARTE III
su carga de trabajo administrativa.
Los servidores de un solo y flexible maestro de operaciones (FSMO, Flexible Single Master of
Operations) son controladores de dominio especiales que administran operaciones de bosque y de
dominio globales. Los servidores de catálogo global (GC, Global Catalog) son controladores de domi-
nio que mantienen copias de la información de todo el bosque, que actúan como localizadores
de información para el bosque. Pero como los controladores de dominio de WS08 pueden almace-
nar en caché la información global que se solicita con frecuencia, es necesario que los servidores de
GC estén ampliamente distribuidos en los controladores de dominio. Los controladores de dominio
de sólo lectura (RODC, Read-Only Domain Controllers) son los que incluyen una copia de sólo lec-
tura de la base de datos de dominio, lo que le ayuda a proporcionar servicios mientras mantiene la
seguridad. Por último, los servidores DNS son casi obligatorios, porque proporcionan funcionalidad
de administración de espacio de nombres al directorio. Debido a esta integración con el servicio de
directorios, los servidores DNS deben verse como funciones subsidiarias de soporte a directorios
y deben acoplarse a cada controlador de dominio. El posicionamiento apropiado de cada uno de
estos servicios puede mejorar enormemente el rendimiento de los directorios.
Plan de implementación
El último paso del plano es el plan de implementación de ADDS: el procedimiento real que
usará para poner en funcionamiento su diseño de Servicios de dominio de Active Directory. Por
supuesto, aquí es donde entra en juego una estrategia de red paralela, o la capacidad de poner en
escena una nueva red mientras la red de producción original sigue funcionando, y luego migrar
la información de una red a la otra, eliminando la necesidad de comisionar la red de producción
anterior una vez que el proceso esté completo. La red paralela le da libertad para implementar una
nueva estructura de Servicios de dominio de Active Directory sin limitaciones debidas a contenido
heredado. Este directorio puede operar de inmediato en modo funcional de bosque, porque no tie-
ne que compartir espacio de base de datos con versiones anteriores del servicio de directorios. Las
limitaciones de las versiones anteriores de Windows pueden estar contenidas dentro de dominios
Comparación entre diseños de ADDS de almacén de recursos

Si decide depender de Hyper-V de Microsoft para ejecutar sus almacenes de recursos, en-
tonces necesitará dos estructuras diferentes de Servicios de dominio de Active Directory: una
para el almacén de recursos que administra todos los recursos de hardware y otro para los
ofrecimientos de servicios virtuales con los que interactuarán sus usuarios finales. Esto servirá
para segregar los contextos de seguridad de los dos entornos. Los almacenes de recursos no
deben usar el mismo servicio de directorio que los ofrecimientos de servicios virtuales. Si los
usaran, podría ponerse en riesgo toda su infraestructura en caso de que cualquier porción de
su directorio se vea comprometida. La segregación de estas dos infraestructuras las mantiene
completamente separadas y puede servir para proteger el almacén de recursos en el caso de
un compromiso del directorio de ofrecimientos de servicios virtuales.
Los directorios de ofrecimientos de servicios virtuales están en mayor riesgo, como
opción predeterminada, porque los usuarios finales y, por tanto, los posibles usuarios
maliciosos, interactúan directamente con ellos. Los almacenes de recursos, por otra parte,
representan un riesgo menor porque sólo los administradores interactúan con ellos. La
creación de directorios separados para cada uno mejora la protección del almacén de
recursos porque no hay interacción entre los dos contextos de seguridad.
Por supuesto, si decide usar un hipervisor diferente, que no sea de Windows, estará
segregando los contextos de seguridad del almacén de recursos y los ofrecimientos de
servicios virtuales de manera automática porque las infraestructuras que no son de Win-
dows no participan en ADDS, como opción predeterminada.
Por tanto, debe emprender la tarea de mantener su estructura de almacén de recursos
de ADDS lo más simple posible, porque los usuarios finales no pueden participar en ella.
Las directrices incluidas en este plan de implementación cubren muchos aspectos de la
implementación de directorio que necesita para preparar cada entorno, aunque la mayor
parte de estos aspectos se concentran en directorios de ofrecimientos de servicios virtua-
les porque estos servicios interactuarán con los usuarios. Tenga en cuenta esto mientras
revisa los detalles de su plan de implementación.
específicos o pueden incluso excluirse por completo de su bosque de Windows Server 2008. De esta
manera, puede obtener beneficios inmediatos del modo de funcionalidad nativo.
Ponga el plano en funcionamiento

Aunque la información acopiada por necesidades del negocio es la misma que la recolectada para
el plano de red empresarial, su concepto de la información reunida por los requisitos técnicos tiene
que ser ligeramente diferente. Sobre todo la segunda sección, el efecto de la red empresarial, se debe
modificar para que refleje los Servicios de dominio de Active Directory. Aquí, necesita ver cómo los
sistemas y aplicaciones existentes se verán afectados por el arribo de una base de datos central que
contiene principalmente información como nombre de usuarios e identidades de éstos. También
debe ver cómo estos sistemas y aplicaciones pueden integrarse con este nuevo depósito de datos
central, de modo que dependa de una sola fuente de autorización para todas las identidades.
Necesita revisar las actualizaciones y las acciones de revertir al estado anterior que se hayan
planeado para asegurarse de que serán compatibles con ADDS y que estos proyectos no afec-
tarán negativamente la opción de revertir su estructura de ADDS. En cuanto a la infraestructura

de IP, necesita concentrarse en el DNS de la red interna, porque esta función se integra con el
propio directorio. También necesita identificar la manera en que funciona la estructura de soporte
tecnológico dentro de su organización para determinar quién tiene autoridad sobre qué. Esto le
permitirá determinar dónde recaerán sus límites de autoridad de ADDS (bosques, árboles y do-
minios) y dónde podrá delegar (a través de unidades de organización). También necesita revisar
su estructura de administración del sistema, tanto actual como planeada, para ver cuáles funcio-
nes delegará a ADDS o integrará con éstos. Por último, necesita revisar sus depósitos actuales
de administración de identidad, sean de Windows NT, Windows 2000 o Windows Server 2003,
u otros depósitos, como Novell eDirectory Services o incluso sistemas UNIX, para ver cómo se
integrarán o cómo interactuarán con el directorio de WS08.
Una vez que esté completo esto, puede pasar al tercer paso del plano, el diseño de partición.
El ejercicio de partición de un directorio le permite determinar el número y tamaño, la estrategia
de asignación de nombres, la estrategia de unidad organizativa, el modelo de integración, la po-
sición para servicios centrales, la topología y la estrategia de modificación del esquema para cada
bosque de su empresa.
SUGERENCIA Microsoft produjo una excelente guía para la partición: “Best Practice Active Direc-
PARTE III
tory Design for Managing Windows Networks” (Mejores prácticas de diseño de Active Directory
para administración de redes Windows). Puede encontrarse en http://technet.microsoft.com/
es-mx/library/bb727085(en-us).aspx.
Estrategia de bosque/árbol/dominio
El lugar para empezar el ejercicio de partición es determinar el número de bosques, la naturaleza
de los árboles dentro de cada bosque y la de los dominios dentro de cada uno de los árboles que
requerirá su empresa.
Diseñe el bosque
Los bosques son las particiones que contienen:
• El esquema de la base de datos Sólo una estructura de base de datos puede almacenarse den-
tro de un solo bosque. Si alguien en su organización necesita modificar el esquema por una razón
determinada y no quiere compartir esta modificación con los demás miembros de la organización,
debe colocarse a éstos dentro de su propio bosque. Obviamente, no se trata de departamentos que
comparten ubicaciones físicas, pero podría ser una subsidiaria o una organización asociada.
• Los datos de coniguración La estructura del bosque, el número de árboles que contiene y
los dominios dentro de cada árbol, además de la estructura de los sitios de replicación, inte-
gran los datos de configuración del bosque.
• El catálogo global El catálogo global incluye todos los objetos que se pueden buscar en el
bosque. Contiene los valores y propiedades de todos los objetos que son importantes para los
usuarios de todo el bosque.
• Las relaciones de conianza Las relaciones de confianza entre los dominios de un bosque son
también información de todo el bosque. Esto se debe a la naturaleza transitiva de las confianzas
entre bosques o entre dominios de Windows Server 2008. Cada dominio de un bosque se vincu-
Windows NT ADDS
FIGURA 5-6
Naturaleza
de las conianzas.
Confianza
de acceso
directo
lará automáticamente con su dominio principal. Éste, a su vez, se vinculará con su principal, y así
sucesivamente. Debido a que todos los dominios de un bosque incluyen confianzas transitivas
de dos vías, todos los dominios confían en todos los demás dominios del bosque.
En Windows NT, necesitaba crear confianzas específicas entre cada dominio si quería que
los dominios de un grupo confiarán entre sí. Las confianzas no eran transitivas. Eso significa
que el dominio A no confiaría en el dominio C, aunque ambos confiaran en el dominio B.
Para que el dominio A confiara en el dominio C, tenía que crear una confianza explícita. Con
WS08 no necesita crear confianzas directas entre dominios dentro de un bosque. Si el dominio
A y el C confían en el B en un bosque, el dominio A automáticamente confía en el C sin una
confianza explícita. Sin embargo, puede crear confianzas de acceso directo si la ruta jerárquica
entre dos dominios que comparten una gran cantidad de información es demasiado larga o
compleja (vea la figura 5-6).
Los bosques pueden contener millones de objetos. Debido a esto, casi todas las organizacio-
nes pequeñas y medianas, y aun las grandes generalmente requerirán un solo bosque de produc-
ción. La principal razón para la creación de bosques separados es proteger el esquema de base de
datos. Las modificaciones al esquema son complejas y deben controlarse estrechamente si quiere
minimizar sus impactos en los entornos de producción. Además, las modificaciones al esquema
son permanentes (no pueden eliminarse las adiciones, aunque se les puede cambiar el nombre o
desactivarse). Si necesita “jugar” o experimentar con el esquema, debe crear un bosque que esté
separado del de producción. Casi todas las organizaciones medianas y grandes tienen bosques de
desarrollo y prueba, además de por lo menos un bosque de producción.
Una segunda razón para la segregación de los bosques es el nivel de autoridad de la orga-
nización central. Sólo puede incluir divisiones de organizaciones o departamentos sobre los que
tiene control político y económico dentro de su bosque. Esto se debe a la naturaleza jerárquica
del bosque y al modelo de herencia que se deriva de él. La organización en la raíz del bosque
tiene influencia e incluso control de autorización sobre todas las organizaciones o departamentos
que están agrupados en sus árboles y subdominios. Por ejemplo, Ford Motor Company y Volvo
tenían bosques separados antes de la adquisición de Volvo por parte de Ford. Pero después de la
compra, Ford estableció autoridad financiera sobre Volvo. En una estructura de Servicios
de dominio de Active Directory, Volvo se volvería entonces un árbol bajo el bosque de producción de
Ford. Mucho depende de lo bien que el personal de tecnología de la información de Volvo y Ford
se integren y de si Ford impone la unión aunque el personal de Volvo no esté de acuerdo.
Como verá, no importa cuál sea el tamaño de su bosque de producción (si está en una
pequeña organización localizada dentro de un solo sitio o en una corporación multinacional que
abarca todo el mundo), la función del propietario del bosque es importante. Los propietarios
administran servicios de todo el bosque. Esto significa que son:
• Administradores de FSMO de todo el bosque El propietario del bosque es el administra-

dor de los controladores de dominio que ejecutan las funciones de Esquema y asignación de
nombre de dominio de FSMO y tienen autoridad para afectar a todo el bosque.
• Administradores de dominio raíz Cada bosque, aunque tenga un solo árbol y un solo
dominio, incluye un dominio raíz. El primer dominio de un bosque es el dominio raíz, porque
todos los demás dominios dentro del bosque deben crearse como subdominios de este domi-
nio. La operación del dominio raíz es crítica si el bosque habrá de ejecutarse apropiadamente;
por tanto, los propietarios de bosques son responsables de su mantenimiento.
• Propietarios de datos del dominio raíz Debido a que el dominio raíz es la base del bos-
que, el propietario de éste también es el de los datos contenidos dentro del dominio raíz.
• Propietarios de contenedor de esquema y coniguración Debido a que la operación del
bosque se basa en la estructura de sus contenedores de esquema y configuración, el propieta-
rio del bosque es responsable de su integridad.
• Propietarios del grupo de seguridad de todo el bosque El propietario del bosque tam-
bién es responsable de los grupos de seguridad de todo el bosque. Estos grupos deben residir
en el dominio raíz. ADDS crea dos grupos de administración de todo el bosque: Administra-
dores de la organización y Administradores de esquema. La membresía a estos grupos está
limitada porque pueden afectar la operación de todo el bosque.
PARTE III
• Propietarios del grupo de seguridad del dominio raíz Además de los dos grupos de ad-
ministración universales, el dominio raíz contiene su propio grupo administrativo: los Admi-
nistradores de dominio. El propietario del bosque también lo es de este grupo de seguridad.
Si hay más de un dominio en el bosque, el propietario de éste tendrá que comunicarse con
frecuencia con los propietarios de los subdominios para coordinar los esfuerzos de todo el bos-
que. En realidad, determinar el número de bosques en su organización puede resumirse como
la identificación de todos los propietarios. Éste será el nivel más elevado de la administración de
tecnología de la información dentro de la organización de cualquier red determinada. Una vez
que se haga, podrá pasar a la identificación del contenido del bosque.
Los bosques comparten una gran cantidad de elementos. Muchos son elementos obligatorios;
otros son recomendados, con base en el sentido común. Los bosques requieren que se comparta:
• Seguridad Sólo se incluyen personas en las que se confía dentro del bosque. Esto incluiría
empleados, además de personal de administración de tecnología de la información. Debido
a que un bosque está conformado por contenedores de base de datos distribuidos (controla-
dores de dominio), es necesario confiar en las personas que serán responsables de todos los
controladores de dominio, tanto fuera como dentro de su sitio principal.
• Administración Todos quienes participan en un bosque desean usar el mismo esquema y la
misma configuración.
• Resolución de nombres Todos quienes participan en un bosque deben usar el mismo DNS
para resolver nombres en todo el bosque.
Además de los elementos obligatorios, tal vez decida compartir lo siguiente:
• Red Si todas las organizaciones de un bosque confían entre sí, pueden poner en funcio-
namiento una red privada. Aunque no es imposible separar sitios de bosques con firewalls,
se recomienda minimizar la exposición de su información de ADDS al mundo exterior. Si
los miembros del bosque deben usar vínculos de red públicos para transporte de tráfico de
Asegure sus controladores de dominio

Este punto resulta extremadamente importante. Aunque pueda asegurar controladores de
dominio al bloquear el sistema y colocar servidores en cuartos cerrados de cómputo, debe
estar absolutamente seguro de que cualquier controlador de dominio que esté en ubicaciones
remotas se encuentre bajo la responsabilidad de personas en las que confía por completo. Si
no tiene este nivel de confianza, entonces use un controlador de dominio de sólo lectura.
Debido a su modelo de replicación multimaestra, ADDS aceptará cambios a su conte-
nido y estructura de cualquier controlador de dominio, excepto, por supuesto, de los RODC.
Un administrador de dominio falso que tenga acceso físico a un DC puede causar mucho
daño en un bosque. Por ejemplo, puede desconectar el DC y editar el almacén de directo-
rios en modo de depuración, agregando derechos especiales de acceso para ellos mismos.
Una vez que el DC vuelva a conectarse, estos cambios se replicarán en todos los demás
controladores de dominio. Hay maneras de controlar esto al asegurar el directorio, más allá
de las opciones predeterminadas, tema que se analizará en el capítulo 11. Por ahora, use la
función RODC cada vez que sienta la necesidad de colocar un DC para mejorar los niveles
de servicio en una oficina remota pero no puede garantizar su control absoluto.
replicación, pueden optar por bosques separados o, por lo menos, usar vínculos de VPN para
asegurar todas las transferencias de datos.
• Colaboración Si trabaja con otras organizaciones y tiene implementadas confianzas de do-
minio con ellas, muy bien pueden ser candidatas para unirse a su nuevo bosque de ADDS. De
lo contrario, considere el uso de ADFS para vincular sus recursos sin vincular sus estructuras
de ADDS.
• Grupos de TI Si las organizaciones comparten grupos de tecnología de la información, es
una buena idea crear bosques únicos para simplificar la administración de red.
También debe tener en mente que la creación de más de un bosque tendrá efectos adminis-
trativos:
• Los bosques no comparten confianzas transitivas. En WS08, estas confianzas deben crearse
manualmente, pero una vez creadas permitirán que dos bosques completos confíen entre sí. Si
los bosques necesitan interactuar en un nivel de dominio específico, puede utilizar confianzas
de dominio explícitas entre los dos dominios específicos, limitando las relaciones de confianza
entre los bosques.
• El protocolo de seguridad de Kerberos, el protocolo de autorización nativo de Windows Server
2008, sólo funcionará entre bosques que tienen implementadas confianzas de bosques.
• El uso de un nombre de inicio de sesión parecido a correo electrónico (nombre@dom) o un
UPN también servirá si está en funcionamiento una confianza de bosque.
• La replicación de catálogo global está limitada a un solo bosque, a menos que esté funcionan-
do una confianza de bosque.
Ejemplo de diseño de bosque

Ahora que ya se siente cómodo con el concepto de bosque, puede identificar el número de ellos
que necesita. Use los ejemplos siguientes para revisar el proceso de creación de bosques.
NOTA Las organizaciones medianas y grandes deben usar un bosque de varios dominios como se ilus-
tra en este ejemplo. Lo más probable es que las organizaciones pequeñas (las que están principalmen-
te localizadas dentro de un solo sitio o que tienen menos de 500 usuarios) implementen bosques de
un solo dominio. Debido a esto, todos los objetos estarán contenidos dentro del dominio raíz del bos-
que. Aunque siempre es mejor usar varios dominios, resulta una buena práctica usar un solo bosque
de dominio cuando el número de objetos que contiene es tan pequeño. Sin embargo, debe mantener
las prácticas apropiadas de administración y seguridad en relación con el bosque de ADDS.
El primer ejemplo se concentra en una organización de tamaño medio con 5 000 usuarios.
Está distribuida geográficamente en diez regiones, pero cada una se administra desde un lugar
central. La organización opera bajo un solo nombre público y entrega los mismos servicios en
cada región. Debido a que la organización tiene una política tipo “compra, no construyas”, trata
de usar software comercial siempre que es posible, pero aun con esta política, necesita crear có-
digo personalizado o adaptar aplicaciones existentes. Debido a esto, requiere un entorno de de-
sarrollo separado. Además, ha tenido graves problemas en el pasado debido a las fricciones entre
tecnología de la información y sistemas de información. En realidad, este último departamento
se molestó mucho cuando TI creó una red de dominio de un solo maestro con Windows NT.
En su diseño de bosque, esta organización debería crear por lo menos dos, posiblemente tres
PARTE III
o más bosques permanentes:
• Un bosque de producción que reemplaza el dominio de Windows NT de un solo maestro.
• Un bosque de puesta en funcionamiento para probar, analizar y preparar nuevos productos
para integración, sobre todo los que podrían integrarse con Active Directory y modificar su
esquema básico de base de datos.
• Un bosque de desarrollo para permitir la prueba y el desarrollo de aplicaciones corporativas
que aprovechen la personalización del esquema o las implementaciones de ADLDS.
• También puede crearse un bosque aparte para la extranet. Debido a que este bosque está
expuesto a través del parámetro de seguridad de la red, está separado del de producción.
No se puede establecer confianza entre tres de estos bosques: producción, puesta en funcio-
namiento y desarrollo. En este modelo, la falta de confianza está representada por la línea negra
gruesa que separa a cada base de datos de Active Directory (vea la figura 5-7). Sin embargo,
puede establecerse una confianza entre el bosque del perímetro y el de producción, pero como
la naturaleza de esta confianza (una vía, explícita, de dominio a dominio) no es completamente
precisa en este momento, su límite con el bosque de producción es una línea punteada.
Diseño del bosque de producción

Ahora que ha determinado cuántos bosques existirán, pueden pasar al diseño del bosque de
producción, porque ayudará a determinar el contenido de todos los demás bosques. Aquí deter-
minará la estructura del bosque de producción, el que necesita usar para ejecutar la red. Una vez
más, los límites de autoridad determinarán la estructura que cree. Aquí necesita determinar el
número de árboles y de dominios que contendrá su bosque.
Empiece con los árboles. ¿Su organización opera con un solo nombre público? De lo contra-
rio, son buenos candidatos para árboles diferentes. Aunque la estructura de árbol sea completa-
mente interna y rara vez se exponga al mundo exterior, su estructura debe reflejar los nombres
que su organización usa públicamente. Buenos candidatos para árboles son las organizaciones
FIGURA 5-7
Bosques de WS08
Determinación del número
de bosques que deben Perímetro Producción Puesta en Desarrollo Bosque
funcionamiento del esquema de utilerías
crearse. del esquema
Debe
determinarse la
naturaleza de
la confianza
con producción Aún debe determinarse producción
Leyenda: ---- Posible delimitación de dominio del bosque

––––– Delimitación de bosque o dominio
que dependen de otras para completar su servicio, organizaciones que forman una sociedad o
quieren colaborar de cerca, empresas que se fusionan y organizaciones que comparten recursos
de administración de tecnología de la información.
El segundo ejemplo cubre una organización mundial que tiene cuatro subsidiarias. La orga-
nización es una sola empresa, pero a cada una de sus unidades de negocios se le conoce bajo un
nombre público diferente. Comprende la complejidad de la administración entre negocios, pero
quiere implementar estándares operacionales y de seguridad a través de la corporación. Los pre-
supuestos de tecnología de la información están controlados centralmente, pero la mayor parte
del trabajo administrativo es desarrollado por grandes grupos de tecnología de la información de
cada una de las unidades de negocios.
Después de una serie de discusiones, los diferentes grupos de TI se decidieron por un solo
bosque de producción con varios árboles. Se identificó al propietario del bosque y empezaron las
discusiones constantes con cada propietario de árbol, y como grupo se determinaron el nivel de
integración de cada árbol y el nivel de autoridad del dominio raíz del bosque que se admitiría.
Este modelo permitió que la organización estableciera estándares mientras consentía la diversi-
dad regional (vea la figura 5-8).
En caso de que los diferentes grupos de TI no se hubieran puesto de acuerdo, hubieran
creado varios bosques de producción. En este caso, la organización no hubiera cumplido con sus
objetivos para la estandarización. Estos objetivos sólo se hubieran obtenido mediante las medi-
das de imposición de directivas y no mediante la infraestructura operacional de ADDS.
Una organización puede interactuar mediante varios bosques y, por tanto, obtener beneficios
como single sign-on y búsquedas globales entre bosques, pero no puede imponer estándares
mediante ADDS (vea la figura 5-9).
Estrategia de dominio
Lo primero que debe recordar cuando trabaja con dominios de ADDS es que no son como los
dominios de Windows NT. En éste, el límite de la base de datos de identidad más grande era el
dominio. Si quería que varios dominios trabajaran entre sí en una relación maestro-maestro o
maestro-recurso, tenía que habilitar confianzas entre cada uno de los dominios. En WS08, las
FIGURA 5-8
Diseño de una estructura Bosques y árboles de WS08
de árbol mundial. Perímetro Producción Puesta en Desarrollo Bosque
del esquema
Dominio raíz
Árbol A Árbol B Árbol C Árbol D
Debe
determinarse
la naturaleza Se crean los árboles porque las
de la confianza subsidiarias tienen diferentes
con producción nombres públicos

confianzas de dominio de un bosque son transitivas. Aquí, el dominio debe verse como lo que es:
PARTE III
un límite de directiva de seguridad que contiene:
• Reglas de autentiicación Los dominios forman el límite para las reglas usadas para auten-
tificar usuarios y equipos, porque son el contenedor en el que estos objetos deben crearse y
almacenarse. Estas reglas también se denominan directivas de cuenta.
• Directivas de grupo Las directivas están restringidas por los límites del dominio, porque
son objetos que residen dentro del contenedor del dominio.
• Directivas de seguridad para cuentas de usuario Las directivas de seguridad se aplican a
cuentas de usuario y se almacenan dentro del dominio. Pueden diferir de un dominio a otro, o
incluso entre dominios.
• Servicios de publicación para recursos compartidos Todos los recursos que pueden com-
partirse dentro de los dominios se publican mediante Servicios de dominio de Active Direc-
tory. Como opción predeterminada, estos recursos (impresoras y carpetas compartidas) sólo se
publican a miembros del dominio.
El diseño de su dominio dependerá de varios factores: el número de usuarios en un bos-
que y el ancho de banda disponible para replicación desde sitios remotos. Aunque los dominios
pueden contener un millón de objetos cada uno, no significa que tenga que usarlos todos. Podría
decidir que creará varios dominios para reagrupar los objetos en porciones similares. Sin embar-
go, si encuentra que está aplicando las mismas directivas a dos dominios diferentes y no se debe
a que necesita reducir el efecto de la replicación, eso significa que tiene demasiados dominios. En
realidad, tal vez considere la actualización de los vínculos de red de área amplia para eliminar la
necesidad de varios dominios.
Además, puede usar varios modelos de dominio, como en Windows NT. Los bosques de WS08
soportan los modelos de dominio único, de dominio múltiple y combinado. Debido a la naturaleza
jerárquica del bosque, estos modelos no se parecen a sus predecesores de Windows NT. Pocas or-
ganizaciones de hoy en día optan por el modelo de dominio único. Tal vez los negocios pequeños,
con menos de 500 empleados, decidan usar este modelo, pero es raro en organizaciones grandes.
FIGURA 5-9 En un diseño de varios bosques, cada bosque debe confiar en cada uno de los demás.
Bosques separados
deben crear conianzas
les
de bosques para que entra Divis
as c ión B
interactúen. Oficin
raíz
inio Dom
Dom inio
raíz
ol D
Árb Árb
C
Á rbol ol A
Árb
B ol B
Árbol Árb
ol A ol C
Árb Árb
ol D
Organ
A
gocios
Árbol D
Árbo
lA
ización
l B Árbol C
Árbo
Dominio raíz
de ne
lB
Dom
Árbo
Árbol A Árbo
inio ra
C
lC Á
d
Unida
íz
lD rbo
ol D
Árbol C Árb
Árbol B
Árbol A
raíz
Dominio
Depar tamento D
La mayor parte de las organizaciones de cierto tamaño (léase medianas y grandes) decidirán
crear un dominio raíz de bosque protegido. Este método tiene varias ventajas. Un dominio raíz de
bosque protegido suele ser mucho más pequeño que los dominios de producción, porque sólo
contiene grupos y usuarios de administración del bosque. Como tal, sólo es necesario replicar
una cantidad mínima de datos, lo que facilita la reconstrucción en caso de desastres. Contiene un
pequeño grupo de administradores de todo el bosque, lo que reduce la posibilidad de errores que
pudieran afectarlo todo. Nunca se retira, porque no contiene datos de producción. Debido a
que se crean otros dominios debajo del dominio raíz del bosque, la reestructuración organiza-
tiva es más fácil de completar. Debido a que es pequeña y compacta, es más fácil de asegurar. Y
como es obligatoria la transferencia de propiedad, resulta más fácil transferir un dominio relati-
vamente vacío que todo su dominio de producción, que contiene sus varios cientos de usuarios.
Los dominios de producción se crean bajo el dominio raíz de bosque protegido. Cualquier orga-
nización mediana o grande que usaba un dominio de un solo maestro en Windows NT debe crear un
solo dominio secundario global. Este dominio tiene el mismo fin que un solo dominio NT: reagrupar
a todos los usuarios de su red en un solo entorno de producción. Los únicos usuarios que no se en-
cuentran dentro de este dominio secundario son las cuentas de usuario del dominio raíz del bosque.
PRECAUCIÓN El dominio raíz protegido es la característica más subestimada de un diseño ADDS,

aunque cada vez se está volviendo más común. Si su organización tiene varios cientos de usuarios y
puede permitirse el costo de los dos controladores de dominio que requiere el dominio raíz de bosque
protegido (debe usar instancias virtuales de WS08 para esto), se recomienda que lo implemente en
su diseño. Esto le dará mayor nivel de lexibilidad en su diseño y resistirá la prueba del tiempo.
Ahora que tiene una estructura de dominio principal y secundaria, puede expandir el conte-
nido del bosque para incluir otros límites de seguridad. El principal requisito de un solo dominio
secundario global es que los usuarios sean identificables y que se puedan trazar sus acciones
dentro de la red. Como tales, definitivamente querrá excluir las cuentas de usuario genéricas del
dominio de producción. Estas cuentas genéricas (que reciben su nombre de acuerdo con la fun-
ción en lugar de los individuos) se usan para tres actividades: prueba, desarrollo y capacitación.
Puede usar límites de seguridad (dominios) para segregar estas cuentas del dominio de produc-
ción. De esta manera, puede crear otros contenedores de seguridad donde las reglas sean más o
menos estrictas que en el dominio de producción para incluir actividades de prueba, desarrollo
y capacitación. En realidad, no todas las pruebas o desarrollos requerirán modificaciones del
esquema. En casi todas las organizaciones, 95% de todas las pruebas o desarrollos no requerirán
modificaciones del esquema. El uso de dominios separados segrega esas cuentas de producción,
pero no agrega la carga de trabajo que agregaría otro bosque. Además, la creación de subdo-
minios de prueba (o, más bien, de puesta en funcionamiento) y desarrollo se vuelve muy fácil,
porque la estructura principal-secundario ya está funcionando (vea la figura 5-10). Lo mismo se
aplicaría a los dominios de capacitación. Éste es un modelo de diseño de dominio funcional, que
no incluye varios árboles, sino más bien varios dominios secundarios.
También podrían necesitarse los dominios en otras situaciones. Por ejemplo, una organiza-
PARTE III
ción cuyas operaciones abarcan varios países diferentes a menudo requerirá varios subdominios,
debido a las restricciones legales en algunos de esos países. Si hay requisitos legales que difieran
entre país y país, y si incluso se requieren configuraciones de directiva de cuenta contradictorias,
sería más fácil crear límites adicionales de dominio en lugar de administrar estas directivas en el
mismo dominio.
La razón final para la segregación de dominios es el ancho de banda de una WAN. Si su
ancho de banda disponible es inapropiado para permitir la replicación entre dominios, necesitará
crear dominios regionales.
FIGURA 5-10
Dominio de producción de WS08
Generación adicional de
dominios de una relación Perímetro Producción Puesta en Desarrollo Bosque
inicial principal-secundario. funcionamiento del esquema de utilerías
del esquema
Dominio raíz de
bosque protegido
Dominio de Dominio de Dominio de Dominio de

desarrollo producción de puesta en capacitación
un solo dominio funciona-
global secundario miento
Debe La estructura de dominio principal-

determinarse la secundario creada por el dominio raíz
naturaleza de de bosque protegido y un solo dominio
la confianza global secundario permite dominios
con producción funcionales adicionales.

Tenga en cuenta que todos los dominios que cree necesitarán un equipo de administra-
ción. Cada nuevo dominio requiere por lo menos dos controladores de dominio por razones de
redundancia y confiabilidad. Los costos administrativos pueden volverse prohibitivos si se crean
demasiados dominios. Además, cada nuevo dominio significa nuevas relaciones de confianza.
Aunque son transitivas y automáticas, aún es necesario monitorearlas. Por último, cuantos más
dominios cree, más probable será que necesite mover recursos y objetos entre ellos.
Otros diseños de dominio de bosque

Ahora que ha determinado la estructura de dominio que se implementará dentro de su bosque de
producción, puede usarla para derivar la estructura de los otros bosques que creó. El bosque para
puesta en funcionamiento es simple. Debe representar la misma estructura que el bosque de pro-
ducción. Como tal, requiere un dominio principal y uno secundario. Debido a que está diseñado
para representar sólo el entorno de producción, no requiere dominios adicionales para capacita-
ción, desarrollo y otros fines.
El bosque de desarrollo y utilerías necesita un solo dominio raíz y de producción combinado,
porque la prueba del desarrollo del esquema no es dependiente de la estructura de asignación de
nombres principal-secundario que se encuentra en el bosque de producción. Por último, el bos-
que del perímetro estará hecho de un solo dominio, porque la estructura reduce la complejidad
de su administración. Debido a que está expuesto al mundo exterior (mediante una firewall, por
supuesto), su estructura se mantiene lo más simple posible.
¡Aquí vamos! El diseño de su bosque está completo. Ahora necesita llenar el dominio y dise-
ñar su estrategia de replicación.
SUGERENCIA Los bosques de desarrollo se crean cuando la organización quiere integrar sus aplica-
ciones con los ADDS que usan para administrar su red. Aunque esto se analiza más adelante en
el plano, considere hacer que sus equipos de desarrollo dependan de ADLDS en lugar de modiicar
el esquema de ADDS. Esto ayudará a mantener prístino su bosque de producción y facilitará el
transporte de sus aplicaciones, mientras les garantiza todas las características que esperarían de la
integración de ADDS.
Mejores prácticas de diseño de bosques

El proceso de diseño de bosques incluye las siguientes mejores prácticas:
• Identifique el número de bosques y escriba una justificación para cada uno.
• Identifique el número de árboles y cree una justificación para cada uno.
• Cada vez que sea posible, cree un dominio raíz de bosque protegido.
• Limite el número de árboles hasta donde sea posible en su diseño.
• Cada vez que sea posible, cree un solo dominio global secundario para producción dentro de
cada árbol.
• Identifique el número de dominios adicionales requerido dentro de cada árbol.
• Identifique el alcance y contenido de cada dominio.
• Justifique cada dominio.
• Elija el nombre genérico de cada dominio.
• Una vez que esté completa la estructura de dominio para el bosque de producción, diséñela
para los otros bosques que haya creado.
Diseño de la estrategia de asignación de nombres

Una vez que se haya diseñado el bosque, el siguiente paso consiste en definir el espacio de
nombres de ADDS. Éste define el alcance de las estructuras de Servicios de dominio de Active
Directory. Está basado en la naturaleza jerárquica del sistema de nombres de dominio. No sólo
define los límites de la base de datos de ADDS; también define la estructura de la base de datos
y las relaciones entre sus objetos. La convención real de asignación de nombres de objetos para
Servicios de dominio de Active Directory no es DNS. Está basada en el esquema de asignación de
nombres X.500 que identifica contenedores cuando se asignan nombres a objetos. Esto soporta la
creación de objetos duplicados, siempre y cuando estén localizados en diferentes contenedores.
Por ejemplo, cn=Juan Prado,ou=TI,dc=root,dc=com significa que la cuenta de usuario de Juan
Prado está contenida dentro de la unidad organizativa TI en el dominio ROOT.COM.
Como verá, el esquema de asignación de nombres X.500 no es práctico para uso diario, pero
casi todos están familiarizados hoy en día con el sistema de nombres de dominio; como resulta-
do, es el esquema de asignación de nombres que se presenta a usuarios y administradores. Por
ejemplo, los nombres DNS crean árboles dentro del bosque. Debido a su naturaleza jerárquica,
DNS se usa para subdividir el bosque en árboles. Esto se hace mediante la modificación del
nombre raíz de DNS. Recuerde que MSN.com es un cambio del nombre raíz Microsoft.com, que
PARTE III
crea un segundo árbol dentro del bosque Microsoft.com.
Debido a que el nombre de dominio de su bosque es DNS, sólo debe usar nombres DNS
públicamente registrados. Cuando registra un nombre, asegura que tiene propiedad completa
sobre él. Por ejemplo, si usa Microsoft.com como nombre externo, podría usar Microsoft.net
como nombre de red interno. Al comprar los derechos del nombre Microsoft.net, se asegura que
ningún evento externo afectará su red interna. También estará segregando su espacio de nombres
interno del externo. Esto permite identificar el origen de todo el tráfico de manera más fácil y ras-
trear a los intrusos de manera más eficaz en caso de que alguien trate de penetrar su red, porque
nadie sino sus usuarios internos usarán alguna vez la raíz del nombre .net.
Si, por alguna razón, decide usar un nombre que no posee, asegúrese de verificar que no
exista en Internet antes de crear su primer controlador de dominio. Unas cuantas organizaciones
que no realizan este paso a menudo terminan usando un nombre interno que se usa externa-
mente en una organización diferente. Esto llevará a problemas, al tener que cambiar el nombre
del bosque porque no se puede alcanzar el dominio externo desde el interior de la red. Aunque
es posible cambiar el nombre de todo un bosque con Windows Server 2008, no significa que re-
sultará agradable tener que cambiar su nombre interno porque alguien fuera de su organización
lo obliga a hacerlo. Use un nombre DNS real con las convenciones de asignación de nombres de
DNS, con el nombre .gov, .com, .org, .net, .edu, .biz, .info, .name, .cc, .tv, .ws o .museum y regís-
trelo. De esa manera controlará su espacio de nombres.
PRECAUCIÓN Uno de nuestros clientes decidió usar una raíz .intra para su estructura de ADDS
de producción, pero a medida que el proyecto creció, decidió acortarlo a .int. Pero resultó que .int
es propiedad de las Naciones Unidas y, por supuesto, su organización tiene negocios con la ONU.
El error se descubrió cuando el sistema ya estaba en la etapa de producción, cuando un usuario
trató de revisar el sitio Web de la ONU y no pudo. Al inal, el cliente tuvo que cambiar el nombre
de toda su estructura interna de ADDS sólo porque no siguió el consejo simple de comprar un
nombre DNS apropiado y usarlo internamente.
Elija el nombre correcto

Muchas personas utilizan nombres de dominio internos de creación propia (por ejemplo,
interno.local) para sus estructuras de ADDS. Pero tome en cuenta esto. Está construyendo
el motor de autentificación central de su red. ¿Es recomendable usar un nombre de creación
propia, un nombre que cualquier persona decidió usar en su propia red? ¿Qué pasa si se en-
frenta con una fusión o una adquisición en el futuro y ambas organizaciones tienen nombres
raros, de creación propia en su red? Probablemente enfrentará la tarea de cambiar el nombre
de su estructura de ADDS. Aunque es posible, resulta mucho trabajo que no proporciona
grandes beneficios. ¿Por qué no hacer las cosas correctamente desde el principio y comprar
un nombre propio? Su organización, si ha hecho la tarea de manera apropiada, tal vez ya
posea todas las permutaciones posibles de su nombre de dominio público. ¿Por qué no usar
mejor uno de esos? Ya está pagando por ellos; tal vez también podría ponerlos a trabajar.
Asegúrese de que sigue separando los nombres de dominio internos de los exter-
nos. Por ejemplo, si está usando Miempresa.com como nombre de dominio externo,
use Miempresa.net como nombre interno. Reducirá los posibles problemas que podría
enfrentar a largo plazo.
Nunca use el mismo nombre de bosque dos veces, aunque las redes no estén interconecta-
das. Si sabe que su organización hermana le ha asignado el nombre DEVTEST a su bosque de
prueba, use otro nombre. Muchas organizaciones tienen un bosque de prueba que es un dupli-
cado exacto del bosque de producción. Aunque tal vez esto sea práctico, también es peligroso.
Todo lo que se necesita es que alguien cometa un error y vincule las dos estructuras de ADDS (todo
lo que se necesita es conectar el cable equivocado en el conector erróneo y ocurrirá un desastre).
ADDS no permite que dos maestros de operaciones de esquema usen el mismo nombre para
ejecutarse en la misma red al mismo tiempo. Uno de ellos fallará de inmediato. Esté preparado;
nunca use el mismo nombre de bosque dos veces.
También tendrá que ocuparse de los nombres de NetBIOS. Éstos están compuestos por 15
caracteres, con un decimosexto carácter reservado. Deben ser únicos dentro de un dominio. La
primera parte del nombre DNS que elija debe ser el mismo que el NetBIOS. Como los nombres
DNS pueden contener hasta 255 caracteres (en realidad tiene 254 caracteres para elegir; DNS co-
loca un punto final en el nombre, el carácter 255) en el caso de nombres de dominio plenamente
calificados (FQDN, Fully Qualified Domain Name), debe limitar el tamaño de los nombres de
DNS que use. Emplee nombre cortos, distintivos y con significado. Distinga entre nombres de
dominio y equipo. Por tanto, cuando explore la red, verá nombres que signifiquen algo.
También debe identificar su esquema de asignación de nombres de objetos en esta etapa. Todos
los objetos, como servidores y PC, tendrán un nombre DNS distintivo (o nombre de host). Este
nombre, como el nombre de principio universal (UPN, Universal Principal Name) para los usuarios,
tendrá una estructura DNS y usará los nombres raíz de dominio y bosque para completar el propio.
Puede usar un esquema de asignación de nombres estructurado (vea la figura 5-11). Este ejemplo
se basa en el nombre de la corporación T&T. Esta organización usa TandT.com para su nombre
externo y TandT.net para su red interna. En el esquema de asignación de nombres, todos los objetos
usan TandT.net, un nombre DNS registrado, como raíz del bosque. A continuación, usan un esque-
ma de asignación de nombres geográfico para dominios secundarios (código de una sola letra para
FIGURA 5-11
Use un esquema estructurado
AAAAAAxxx .Rxxx .Intranet .TandT.net
Tipo de servicio o Número Nombre de dominio Nombre de bosque registrado.
de asignación de nombres de función basado en una de región común de producción
estructura estable. con base (si se requiere).
objetos. Nota: si hay varias geográfica
instancias de servicio, o nombre
use un esquema de función
adicional de asignación con base
de números de servicio. en función.
regiones y código de número de tres dígitos para cada región) o un esquema por función (nombre
de función, como Intranet.TandT.net). Por último, los servidores y las PC pueden usar hasta cinco
letras para el código de función, junto con tres dígitos para identificar el número de equipos que
ofrecen esta función. Un ejemplo sería ADDSDC001 Intranet.TandT.net para el emulador de PDC
de Active Directory en el dominio secundario de la intranet del bosque TandT.net.
Los nombres de bosque, árbol y dominio deben considerarse estáticos. Encuentre un nombre
que no necesitará cambiar, aunque sabe que lo puede hacer más adelante. El proceso de asigna-
ción de nombres de dominio y controlador de dominio en Windows Server 2008 es complejo y
puede causar caídas del sistema. Los nombres geográficos suelen ser los mejores. En casi todos
los casos, toma mucho tiempo cambiar un nombre geográfico, porque se consideran muy esta-
PARTE III
bles. No use una estructura organizativa para asignar nombres a dominios, a menos que tenga
confianza de que es y será estable.
En la tabla 5-3 se presentan los tipos de objetos que podría colocar dentro de los dominios y que
los contienen para cada objeto. Cada uno de éstos requerirá una estructura de asignación de nombres.
Objetos Producción Desarrollo Capacitación

PC regulares internas X X
Portátiles internas X X
PC externas para desarrollo (proveedores externos) X
PC externas administradas X X
PC externas no administradas X X
PC multimedia X X
Servidores de miembro (servicios: Terminal Services, Web, SQL Server, etcétera) X X
Controladores de dominio X X X
Cuotas: carpetas compartidas X X
Impresoras y colas de impresión X X X
Salas de juntas X
Proyectores, PC compartidas X
Cuentas de servicio X X X
Cuentas de usuario X X
Administradores X X X
Técnicos/instaladores X X
Grupos X X X
Cuentas genéricas X X
Unidades organizativas X X X
Administradores de dominio X X X
Aplicaciones X X X
TABLA 5-3 Objetos de dominio

Mejores prácticas de asignación de nombres

Use las siguientes mejores prácticas para nombrar sus bosques de ADDS:
• Use caracteres estándar de Internet. Si funcionan en Internet, definitivamente funcionarán en su
red. Evite acentos y nombres que sólo contengan números, aunque ahora el espacio de nombres
de DNS permite caracteres Unicode. No lo complique; éste siempre es el mejor método.
• Use 15 caracteres o menos para cada nombre.
• En el caso del nombre raíz, use un nombre corto, simple, que represente la identidad de la
organización.
• Siga los estándares de DNS y asegúrese de que su nombre interno es diferente de su nombre
externo.
• Use nombres diferentes, pero relacionados, para el almacén de recursos y los directorios de
ofrecimientos de servicios virtuales. Por ejemplo, su bosque de almacén de recursos podría
denominarse TandT.ms (de Microsoft), mientras que su bosque de ofrecimientos de servicios
virtuales sería TandT.net.
• Por último, antes de seguir adelante, encuentre si su nombre está disponible y luego cómprelo.
DNS es la piedra angular de los Servicios de dominio de Active Directory. Como está diseñado
para administrar el espacio de nombres de ADDS, Microsoft ha mejorado mucho el servicio DNS de
Windows. Ahora puede integrarse por completo con los Servicios de dominio de Active Directory. En
realidad, debe ser así, porque la operación apropiada de ADDS depende de DNS, porque éste se usa
para localizar el controlador de dominio al inicio de sesión. Además, cuando se ejecutan los servi-
cios de DNS en controladores de dominio, los datos de ADDS se incorporan en la base de datos de
ADDS y se replican de manera segura junto con los demás datos de ADDS. Debido a que éstos están
disponibles para cualquier controlador de dominio, incluso RODC, debe asegurarse de que el servicio
DNS está disponible en el DC, además de que puede proporcionar esta información a los usuarios.
También debe evitar el uso de servidores de DNS de terceros con WS08. Sobre todo si no
son de Windows. Esto es difícil de vender, sobre todo si su espacio de nombres de DNS está ad-
ministrado por administradores que no son de Windows. Lo peor sería hacer una combinación:
todo lo de Windows administrado por DNS de ADDS, y todo lo demás no. WS08 tiene varias
mejoras para el servicio de DNS, siempre y cuando esté integrado con ADDS. Con WS08, el ser-
vicio DNS ha pasado de ser simplemente un servicio de infraestructura de red a uno de Servicios
de dominio de Active Directory basado en Windows. Por tanto, ambas funciones (DC y DNS)
siempre deben acoplarse lo más posible.
Su diseño de bosque ahora puede tener un nombre. Como ya se mencionó, el bosque de pro-
ducción pertenece a la corporación T&T. Su nombre de Internet es TandT.com. Han investigado y
comprado TandT.net. Será el nombre raíz de su bosque. Los subdominios reciben el nombre de su
función. El dominio de producción recibe un nombre que tiene más significado para los usuarios,
como Intranet.TandT.net. Los dominios de desarrollo, capacitación y puesta en funcionamiento
tienen nombre relacionados. El bosque externo encontrado en el perímetro se denomina TandT.com.
El bosque de puesta en funcionamiento es TandT.Lab y el de desarrollo TandT.Dev. Estos bosques no
requieren nombres DNS registrados, porque no son entornos de producción y tienen una naturale-
za volátil. El efecto de recrear o cambiar el nombre de un bosque de puesta en funcionamiento o de
desarrollo siempre es mucho menor que en el caso del bosque de producción. Los bosques volátiles o
de utilería pueden tener nombres, cuando sea necesario. Este modelo se ilustrará con más detalle en
páginas posteriores de este capítulo, cuando se hayan completado más componentes del diseño.
Diseño de la estructura de OU del dominio de producción

Lo que es realmente sorprendente de los Servicios de dominio de Active Directory es la manera en
que una simple base de datos puede usarse para administrar objetos y eventos en el mundo real.
Es correcto; el objetivo de ADDS es administrar los elementos que almacena dentro de su base de
datos. Pero, para administrar objetos, primero debe estructurarlos. Los bosques, árboles y domi-
nios empiezan a proporcionar una estructura al facilitar un posicionamiento general para objetos
mediante la base de datos de ADDS. Este posicionamiento general necesita refinarse de manera
amplia, sobre todo cuando sabe que un solo dominio puede contener más de un millón de objetos.
La herramienta que use para refinar la estructura de los objetos es la unidad organizativa
(OU, Organizativa Unit). Una OU es un contenedor que, como el dominio, está diseñado como
un depósito de objetos. Sin embargo, las OU deben estar contenidas dentro de un dominio.
Pero como pueden actuar como depósitos de objetos, pueden y deben usarse para identificar su
estructura de administración de red. Recuerde también que las OU pueden almacenar otras OU,
de modo que puede crear una estructura administrativa que refleje la realidad.
Una segunda ventaja de una OU es la capacidad de delegar la administración de su conte-
nido a alguien más. Esto significa que cuando diseña la estructura de las unidades organizativas
dentro de los dominios de su estructura de Servicios de dominio de Active Directory, diseña la
PARTE III
manera en que se administrarán los objetos en su red e interactuarán entre sí. Además, identifica
quién administrará cada componente de su red.
Por ejemplo, podría decidir que la información de cuenta para los usuarios de una unidad de
negocio determinada es responsabilidad de la unidad de negocios, delegando la administración y
el manejo de este grupo de cuentas de usuario en un administrador de unidad de negocios local.
De esta manera, la OU en ADDS es comparable al dominio de Windows NT. Mientras que en
Windows NT necesitaba dar derechos de “Administrador de dominio” a cualquier responsable de
grupos de usuarios, en Active Directory delega la propiedad de una unidad organizativa, con lo
que limita estos derechos de control o acceso al contenido de la OU y nada más.
En resumen, la OU está diseñada para ayudar a la compatibilidad con el concepto de datos/ser-
vicio de ADDS. Debido a que las OU contienen objetos de ADDS y sus propiedades, contienen da-
tos. Al controlar el acceso a OU mediante parámetros de seguridad, de manera muy parecida a como
lo haría con una carpeta o un volumen NTFS, puede dar a alguien la propiedad de los datos conte-
nidos en la OU. Esto libera a los administradores de dominio para concentrarse en los servicios que
rigen a ADDS. La nueva función del administrador del dominio consiste en asegurarse de que todos
los servicios de ADDS sean saludables y operen de manera apropiada. En un Active Directory bien
redondeado tiene una serie de nuevas funciones de interacción, como administrador de OU, operador
de dominio y administrador de servicios (funciones que tienen significativamente menos autoridad en
un dominio que su contraparte de Windows NT). Ahora puede limitar al grupo Administrador de
dominio a un conjunto pequeño y selecto de personas en quienes tiene confianza plena. Debido a
que es tan pequeño, ahora es mucho más fácil dar seguimiento a las actividades de este grupo.
El proceso de diseño de OU
En este proceso de diseño, los administradores deben crear una estructura de OU personalizada
que refleje las necesidades de su organización, identificar grupos administrativos (desde el admi-
nistrador de datos que administra elementos como direcciones y puestos de trabajo para cuentas
de usuario hasta la función técnica de llenar las cuentas de usuario y equipo en el directorio) y
seguir adelante con la delegación del contenido de ADDS en los respectivos grupos administra-
tivos. El mejor lugar para iniciar el proceso de diseño es con el solo dominio global secundario.
Debido a que se trata del dominio de producción, será el que tenga la estructura de OU más
compleja. Una vez que la estructura del dominio esté completa, será simple diseñar la estructura
de otros dominios, ambos dentro y fuera del bosque de producción, porque sus necesidades se
derivan de los propios requisitos del bosque de producción.
Hay cuatro razones para crear una unidad organizativa:
• Reagrupar objetos de ADDS
• Administrar objetos de ADDS
• Delegar la administración de objetos de ADDS
• Ocultar objetos en ADDS
Debido a que las OU pueden incluir objetos, su primer objetivo debe ser ordenar en cate-
gorías estos objetos que contiene su red. Una vez que lo haga, encontrará que hay tres tipos de
objetos básicos: personas, PC y servicios. Esto debe formar su primer nivel de OU personali-
zadas. Hay otras categorías de objetos (impresoras, servidores, recursos compartidos de archivos,
servicio distribuido de archivos [DFS, Distributed File Service], espacios de nombres, controladores
de dominio y más), pero están contenidos dentro de una de las tres categorías de objetos de nivel
superior, deben administrarse por su cuenta y ya tienen un contenedor existente, o los objetos que
contienen sólo pueden clasificarse y no califican para los demás objetivos de las OU que cree.
Su siguiente objetivo debe ser reagrupar objetos para fines administrativos. Los sistemas
operativos Windows que ejecutan cualquier versión de ADDS administran objetos mediante la
aplicación de objetos de directiva de grupo (GPO, Group Policy Object). Lo que es importante
comprender aquí es que la manera en que diseña su estructura de unidad organizativa afectará
directamente la manera en que aplica GPO.
WS08 aplica, como opción predeterminada, dos directivas a cada dominio: la de dominio y
la de controlador de dominio. Debe revisar el contenido de estas directivas para asegurar que se
amoldan a sus requisitos de seguridad. Tal vez desee fortalecer estas directivas predeterminadas con
su propia configuración. WS08 también crea varios contenedores predeterminados cuando genera
por primera vez un dominio (vea la figura 5-12). No todos los contenedores son OU. Algunos son
carpetas de sistema que no siguen las reglas de las OU. Dos de estos contenedores son Usuarios y
Equipos. El icono que los representa es diferente de un icono de OU normal porque automática-
mente contendrá objetos de este tipo. Cuando cree una cuenta de usuario o equipo, si no ha toma-
do ninguna medida, estos objetos se crearán en estos contenedores, como opción predeterminada.
Además, estos contenedores no procesan GPO. La única manera de aplicar GPO a objetos en estos
contenedores consiste en aplicarlos al propio dominio, lo que aplicaría de manera natural el GPO
a todos los objetos del dominio. La aplicación de GPO es un arte que debe aprenderse mediante la
práctica, pero una cosa es cierta: la aplicación de todos los GPO en el nivel del dominio no es la me-
jor práctica. En capítulos posteriores se cubrirá más al respecto; por ahora, la regla a seguir consiste
en aplicar GPO a OU separadas en categorías lo más posible. Por último, no puede crear OU dentro
de los contenedores Usuarios o Equipos. Si quiere administrar estos tipos de objetos, las cuentas de
usuario y equipo, necesita crear OU personalizadas para reagrupar estos tipos de objetos.
Mientras esté planeando su estrategia de administración, piense en la tercera razón para
la creación de una OU: delegación de la administración. La delegación debe considerarse de la
mano con la administración para crear las capas secundarias de OU en esta estructura. Para cada
FIGURA 5-12 Estructura predeterminada de un dominio de ADDS.
PARTE III
tipo de OU, debe identificar posibles subtipos de objetos y determinar si son significativamente
diferentes. Cada objeto significativamente diferente, ya sea en el nivel administrativo o de dele-
gación, requerirá una OU separada. WS08 dará soporte a una jerarquía de más de diez niveles de
OU, pero debe tratar de llegar a la estructura de OU que sea lo más plana posible. Será necesa-
rio indizar y asignar una ubicación a los objetos sepultados dentro de varias capas de unidades
organizativas cuando necesite encontrarlos en el directorio. Trate de aplicar una estructura de OU
de cinco capas, como máximo; permita algunas excepciones, si es necesario. Si sólo tiene control
en las capas superiores de la estructura y necesita delegar la finalización de otras subcapas, debe
dejar por lo menos dos capas sin modificar para que los departamentos locales las usen.
La razón final por la que creará OU es ocultar objetos. Debido a que el directorio es una base
de datos que permite la búsqueda, los usuarios pueden consultar cualquier objeto que conten-
ga. Algunos objetos, como las cuentas administrativas y de servicio, además de algunos grupos
de seguridad, son confidenciales y, por tanto, deben ocultarse de la vista. Debido a que las OU
contienen listas de control de acceso, es posible ocultar objetos confidenciales dentro del directo-
rio. Estos objetos se colocan dentro de OU especiales que tienen listas de control de acceso que
están bajo un control férreo. Los objetos contenidos en estas OU se vuelven “invisibles” para los
usuarios no administrativos del directorio, debido a que se ha negado su capacidad para leerlos.
El proceso de diseño de la administración empieza cuando crea tres OU de tipo de objeto
diferente (personas, PC y servicios) y reagrupa objetos bajo ellas. Para esto, necesita identificar cada
objeto administrable en su red y usar procesos de planteamiento de preguntas para cada uno. Por
ejemplo, en la tabla 5-4 se presenta una lista de una serie de objetos que requieren administración
dentro del directorio. Además, define una clasificación y el contenido esperado para cada objeto.
Deben responderse dos preguntas para cada objeto: ¿necesito administrar este objeto? ¿Alguna vez
delegaré este objeto? Cada respuesta “Sí” significa que debe crearse una OU personalizada. En este
proceso, siempre debe tener en cuenta una tercera pregunta: ¿Necesito ocultar este objeto?
Aunque el proceso de diseño de la OU empieza con la división en categorías de los objetos, no
estará completo hasta que haya designado los siguientes componentes estructurales de ADDS:
• Estrategia de administración del objeto de directiva de grupo (capítulo 7)

• Estrategia de administración de PC (capítulo 7)
• Definición y generación de cuenta y grupo (capítulo 7)
• Estrategia de administración de servicios (capítulo 8)
• Diseño de seguridad (capítulo 10)
• Plan de delegación (capítulos 7 y 8)
• Plan de continuidad del negocio (capítulo 11)
• Plan de administración (capítulo 13)
Aunque empiece aquí el diseño de OU, no estará completo hasta que considere todos los
elementos de la lista. Cada uno tendrá efecto en el diseño general de la OU. No cometa el error
de crear su estructura de OU sin tomar cada uno en cuenta.
La estructura de la OU del objeto PC

El primer paso para empezar es la división en categorías de las PC porque tiende a ser la estruc-
tura más simple que creará. En la tabla 5-4 se identifican seis tipos posibles de PC dentro de la
organización. Casi todas las organizaciones tienen sus propias PC además de PC de orígenes
externos, como las de consultores o socios. Esto significa que las PC se dividen primero en dos
categorías: de propiedad interna y externa. Las primeras son PC administradas, pero que tal vez
requieran una división más profunda en categorías. Las portátiles tienen directivas diferentes que
las de escritorio (por ejemplo, la firewall y la configuración de energía deben ser diferentes). En-
tre las PC de escritorio, encontrará más PC básicas, además de estaciones de trabajo multimedia
y compartidas. Entre las PC externas, encontrará sistemas administrados y no administrados. Las
PC externas que están en el sitio para el desarrollo de código o proyectos a largo plazo deben te-
ner un control férreo y deben usar la misma imagen que las PC internas para asegurar la calidad
del código. Otras PC de consultores pueden estar presentes sólo para fines de productividad. Las
PC que se utilizan sólo para producir documentación no deben ser responsabilidad de la organi-
zación, siempre y cuando cumplan con una directiva básica. Esto significa que necesitan segre-
garse dentro de la estructura de la OU (vea la figura 5-13). Por supuesto, esta estructura supone
que las PC son administradas centralmente. Si no, la estructura de OU de la PC se parecerá a la
de OU Persona delineada más adelante.
La estructura de la OU del objeto Ofrecimientos

A continuación, organice los ofrecimientos de servicios virtuales en su red. Esto significa la
creación de OU para delegar servidores de aplicaciones, como los de la familia del sistema de
servidores de Microsoft: SQL Server, Exchange, Host Integration Server, etcétera. También de-
berá incluir más funciones estándar, como un servidor de archivos o de impresoras, uno de red
privada virtual, etcétera. Al colocar los objetos de servidor dentro de estas OU, puede delegar su
administración y manejo sin tener que otorgar derechos administrativos globales. Cada uno de
estos servidores debe ser de miembro. Ninguna de estas funciones de servidor requiere estatus
de controlador de dominio. En WS08 siempre debe estar al pendiente cuando alguien quiera
instalar una aplicación u otro servicio en un controlador de dominio. Cada uno de estos servi-
cios debe crearse dentro de la OU raíz de ofrecimientos de servicios virtuales. De esta manera, si
necesita aplicar una directiva a todos los objetos del servidor miembro, puede aplicarla en el nivel
de la OU raíz.
Objetos Clasiicación Contenido ¿Delegación? ¿GPO? ¿Oculto?

Estaciones de trabajo OU de recursos Administradores locales X
Usuarios estándar
PC multimedia
Portátiles OU de recursos Administradores locales X
Usuarios estándar
PC externas OU de recursos PC para proyectos de desarrollo X
(administrada)
PC externas OU de recursos PC de consultor (administrada) X
PC y portátiles externas OU de recursos PC de consultor (no administrada)
Servidores de miembros OU de recursos Servicios: servidor de archivos, SQL X X
Server, Exchange…
Controladores de OU de servicios Servicios: autentiicación, administra- X
dominio ción de identidad, seguridad
Cuotas: carpetas OU de recursos Recursos compartidos de información X
compartidas
Impresoras OU de servicios Colas de impresora delegadas X X
Salas de juntas OU de recursos Sistema de reservación X
Proyectores, PC OU de recursos Sistema de reservación X
compartidas
PARTE III
Cuentas de servicio OU de servicios Rastreo del proceso del sistema X X
Usuarios OU de datos Similar a la estructura organizativa X X
Administradores OU de datos OU maesta en una OU delegada X X
Administradores de OU de servicios Localizada en la OU predeterminada X X
dominio
Técnicos/instaladores OU de servicios Derechos de delegación globales pero X X X
limitados
Grupos de búsqueda OU de servicios Global X X
Grupos técnicos OU de servicios Dominio universal, local X X X
Cuentas genéricas OU de datos Dominios diferentes del de producción X X
Aplicaciones OU de servicios Objetos COM+, MSMQ X X
TABLA 5-4 Objetos administrables dentro de ADDS
NOTA En la estructura de OU de ADDS para los ofrecimientos de servicios virtuales debe crear una
OU de ofrecimientos de servicios que se denomine Ofrecimiento de servicios virtuales. En el almacén
de recursos de ADDS, debe llamar a esta OU Ofrecimientos de servicios de host. No requerirá las
OU PC o Persona en el Almacén de recursos, porque los usuarios no interactúan con ella.
Esta OU también debe incluir todas las cuentas de servicio (cuentas administrativas especia-
les que se usan para ejecutar servicios en la red de Windows Server 2008). Todas son objetos del
mismo tipo, todas son cuentas confidenciales y todas deben usar las mismas configuraciones de
directiva; debido a esto, deben almacenarse en un solo contenedor. Por último, los grupos subad-
ministrativos (grupos que no tienen derechos administrativos pero tienen derechos más eleva-
dos que los usuarios normales) como los técnicos de soporte técnico o los instaladores de dominio
pueden localizarse en la OU Instalador/Técnico, lo que hace más fácil asignarles derechos a otros
objetos en el dominio. Además, una OU especial debe contener grupos técnicos (grupos que se
usan para proporcionar servicios pero que no contienen usuarios, sólo otros grupos). A estos gru-
pos se les considera técnicos, porque su única función es proporcionar servicios que no contienen
información de interés para los usuarios. A esta OU debe denominarse Grupos técnicos.
La ventaja adicional que esta OU Ofrecimientos de servicios virtuales otorga es que todos los
objetos de tipo del sistema que se usan para proporcionar al servicio de tecnología de la informa-
ción están localizados dentro de la misma estructura de OU (vea la figura 5-13).
La estructura de la OU del objeto Persona

La última estructura de OU que debe llenarse es Persona. Esta estructura de OU debe contener
todas las cuentas de usuario, los grupos de bosque o los que contienen datos que son relevantes
para los usuarios, o una combinación de éstos. Es también la estructura de OU que más se parecerá
a su organigrama. En realidad, el organigrama es una buena fuente de información para reagrupar
personas de su empresa dentro del directorio. Como el organigrama, la estructura de la OU Persona
define una categoría de opciones distintivas. La diferencia es que las dos están invertidas. El organi-
grama define una jerarquía de autoridad (quién controla a quién), mientras que la estructura de OU
Persona define de la más común a la más distintiva. En el organigrama, la mayoría de los empleados
se encuentra en la parte inferior; en la estructura de la OU Persona, se encuentra en la parte superior.
PRECAUCIÓN Muchas organizaciones deciden crear una estructura separada para grupos que
permiten la búsqueda. Esto tiene sus méritos, pero es realmente innecesario. Si crea su estrategia
de delegación de la manera apropiada, la misma persona debe estar administrando a los usuarios y
a los grupos en ciertas ubicaciones de su red. Si ambos se encuentran en la misma OU, sólo tiene
que crear una. De lo contrario, no sólo tendrá dos OU, sino también dos reglas de delegación.
Evite la redundancia en su estructura de OU. Haga que sea lo más simple posible.
Cuando quiera administrar todos los tipos de objeto de Persona, puede hacerlo al aplicar
una directiva de grupo en el nivel superior de la OU. El segundo nivel de esta estructura de OU
debe reflejar la estructura de la unidad de negocios de la organización. Esto no significa necesa-
riamente la estructura del organigrama. Recuerde que no debe crearse la OU, si no es necesa-
rio. Aunque tal vez haya excelentes razones para la creación de unidades administrativas en la
estructura administrativa de la organización, no significa que esto se reflejará en la estructura de
OU. Muchas organizaciones sólo usan líneas de negocios en el segundo nivel de las OU para el
objeto Persona.
Este nivel de OU también tiene agrupamientos especiales de equipos (equipos de negocios
cuyo objetivo es proporcionar soporte administrativo a unidades de negocios en toda la organi-
zación). También debe contener agrupamientos regionales si su organización abarca un amplio
territorio geográfico. En este caso, los agrupamientos regionales son esenciales, porque debe
delegar la propiedad de objetos regionales a representantes administrativos regionales.
En casi todos los casos, generará tres niveles generales de OU dentro de la estructura de OU:
• Nivel raíz Se usa para administrar todos los objetos de Persona (cuentas de usuario y gru-
pos que permite el bosque). Este nivel contiene sólo otros OU y grupos administrativos que
soportan la estructura.
• Nivel de línea de negocios Se usa para administrar todas las cuentas de usuario que se en-
cuentran dentro de esta línea de negocios y están localizados en las oficinas centrales, además
FIGURA 5-13 Dominio

Una estructura de Nivel raíz
OU de producción Servicios
completa. predeterminados
Administración
de recursos
Nivel de línea de
negocios
PARTE III
Regiones de nivel
administrativo
Servidores
miembros
Nota: Sólo se usan tres

niveles en esta etapa. Los Servicios
grupos especiales tienen la personalizados
libertad de usar más niveles
para segregar aún más los
objetos de los que son Contenedores
responsables. de objeto ocultos
de todos los grupos para búsqueda de toda la línea de negocios. Los grupos administrativos a
los que este nivel está delegado se localizan dentro de la OU Root.
• Nivel regional Se usa para administrar oficinas regionales. Esto incluye cuentas de usuario
para cada línea de negocios localizada dentro de la oficina regional, además de los grupos
regionales que permiten la búsqueda. La OU principal de las OU regionales contiene todos
los grupos administrativos regionales.
El nivel de línea de negocios también puede contener grupos especiales o servicios adminis-
trativos. Por ejemplo, TI y SI se encontrarán dentro de la línea de negocios administrativa de la
organización, pero puede estar seguro de que no tendrán las mismas directivas ni derechos; por
tanto, están segregadas en el tercer nivel de OU. Sobre todo, lo más probable es que TI esté más
segregado en subniveles adicionales, pero hay más posibilidades de que esto se haga mediante
un proceso interno en el departamento de tecnología de la información. La estructura final para

TI se delegará al grupo TI.
Esto completa la estructura de la OU (vea la figura 5-13).
Replique la estructura de OU a otros dominios

Ahora que ya tiene una estructura de OU sólida y completa, puede replicarla en otros dominios.
En la tabla 5-5 se identifica la estructura de OU en otros dominios. Esto completa el bosque, el
árbol, los dominios y la estructura de OU (vea la figura 5-14).
NOTA El dominio de desarrollo sólo debe incluir estructuras de OU predeterminadas, a menos que
la estructura de la OU Producción se requiera para prueba. En este caso, se replicará aquí.
Mejores prácticas de diseño de la OU Producción

Mantenga las siguientes reglas en mente cuando cree estructuras de OU:
• Piense en el equipo y los objetos del directorio.
• Determine cómo implementará el proceso de delegación administrativa.
• Identifique los estándares de todas las categorías administrativas dentro de la organización.
• Use el servicio administrativo, o la función o la línea de negocios para asignar un nombre a las
OU. Esto tiende a ser más estable que la estructura organizacional.
• Elija nombres estables de OU; deberá cambiar lo menos posible los nombres de OU.
• Limite su estructura a cinco niveles, o tres si no es responsable de la finalización de la estruc-
tura. Se recomienda un máximo de cinco niveles, aunque son posibles diez. Esto le da algo de
espacio y mejora el rendimiento.
Bosque Dominio OU PC OU Servicio Ou Persona

Capacitación Sólo un nivel; todos los Misma estructura bási- Igual que los dos
objetos en la raíz ca que Producción primeros niveles en
Producción
Puesta en Sólo un nivel; todos los Misma estructura bási- Puesta en funciona-
funcionamiento objetos en la raíz ca que Producción miento Sólo un nivel;
todos los objetos en
Producción la raíz
Desarrollo Igual que los prime- Misma estructura bási- Igual que los dos
ros dos niveles en ca que producción primeros niveles en
Producción Producción
Raíz de bosque Sólo OU predetermi- Sólo OU predetermi- Sólo OU predetermi-
protegida nadas nadas nadas
Perímetro Perímetro Sólo OU predetermi- Sólo OU predetermi- Sólo OU predetermi-
nadas nadas nadas
Puesta en funciona- Raíz de bosque Sólo OU predetermi- Sólo OU predetermi- Sólo OU predetermi-
miento protegida nadas nadas nadas
Producción Igual que Producción Igual que Producción Igual que Producción
Prueba de desarrollo Raíz de bosque Sólo OU predetermi- Sólo OU predetermi- Sólo OU predetermi-
nadas nadas nadas
Bosques de utilerías Raíz de bosque Deinida como se Deinida como se Deinida como se
necesite necesite necesite
TABLA 5-5 Estructura de OU en otros dominios

FIGURA 5-14
Bosque, árbol y dominio
Una estrategia completa de bosque WS08
completos, y diseño de Perímetro Producción Puesta en Desarrollo Bosque
OU de T&T. del esquema
TandT.lab TandT.dev Prueba.xxx
Dev.TandT.net El bosque de
Secundario.TandT.lab Secundario.TandT.dev
utilería se necesita
para:
Intranet.TandT.net
• Necesidades
Capacitación.TandT.net temporales
• Necesidades
Este bosque se puntuales
Debe usa como un • Pruebas de
determinarse entorno de “caída”
la naturaleza aceptación y un No se necesita
de la confianza Se crean los árboles porque las subsidiarias límite entre prueba estructura de
con producción tienen diferentes nombres públicos y producción. subdominio

• Recuerde las cuatro razones para la creación de OU: división en categorías, administración,
PARTE III
delegación y aislamiento.
• Cada OU que cree debe agregar algo al sistema.
• Nunca cree una OU que no contenga objetos.
• Nunca cree una OU que no tenga un objetivo específico.
• Si una OU alcanza un estado vacío, considere su eliminación. Tal vez esto no sea necesario
porque sólo esté vacía de manera temporal. De lo contrario, elimínela.
• Identifique un propietario para cada OU que cree. Si no puede identificarse ningún propieta-
rio, elimine la OU.
• Justifique todas las OU que cree.
• Si encuentra que dos OU tienen el mismo objetivo, combínelas. Esto significa que la combina-
ción de propietario más GPO más estrategia de delegación es la misma entre OU.
• Use OU predeterminadas para administrar todo el esquema. Los controladores de dominio
deben mantenerse en la OU de DC.
• Coloque cuentas de administrador de dominio, PC y grupos en una OU oculta.
• Use la estrategia de OU del dominio Producción para definir la estrategia de OU para otros
dominios y bosques.
• No olvide definir y poner a funcionar los estándares para la creación y eliminación recurrente
de OU. Esto ayudará a controlar la proliferación de OU en su directorio.
Su estrategia de OU debe basarse en la información de las tablas 5-4 y 5-5. Aunque su seg-
mentación en categorías puede diferir con respecto a los resultados finales de su propio ejercicio
de división en categorías del objeto, es evidente que estas diferencias serán menores. Variarán de-
bido a factores como diferencias fundamentales. Tenga en cuenta que su diseño de OU no será la
respuesta a todos los procesos de administración en el directorio. Es sólo un primer componente
de su estrategia de administración de objetos dentro del directorio.
El proceso de diseño de OU debe dar como resultado los siguientes elementos:
• Un diagrama de jerarquía de OU
• Una lista de todas las OU

• Una descripción del contenido de cada OU
• El objetivo de cada OU
• Una lista de grupos que tienen control sobre cada OU
• Una lista de los tipos de objeto que cada grupo puede controlar en cada OU
• Las reglas para la creación y eliminación de OU dentro de operaciones regulares
ADDS y otros directorios

Como ha visto hasta ahora, los Servicios de dominio de Active Directory proporcionan mucho
más que un sistema simple de autentificación y autorización. Proporciona un sistema central de
administración de identidad. Como tal, interactuará con otros sistemas de su red, algunos de los
cuales tal vez ya tengan datos de identidad. Por ejemplo, como ADDS proporciona un sistema
central de administración de la identidad, otros sistemas que pueden integrarse con ADDS no
requerirán componentes de administración de identidad. Microsoft Exchange es un ejemplo
excelente de este nivel de integración. En la versión 5.5, Exchange requería su propia infraestruc-
tura completa de administración de identidad. En la 2000 y versiones posteriores, se integra por
completo con Servicios de dominio de Active Directory y usa las funciones de éstos para admi-
nistrar todos los componentes de identidad.
De esta manera, ADDS es comparable con el propio Windows. Cuando los programadores
preparan software para Windows, no es necesario que se preocupen de la manera en que impri-
mirá la aplicación o cómo interactuará con un dispositivo de despliegue; Windows administra
todos estos componentes. Por tanto, el desarrollador sólo necesita asegurarse de que el nuevo
código funcionará con Windows y concentrarse en las funciones que se construirán dentro de la
propia aplicación. ADDS proporciona las mismas características de integración a las aplicaciones.
Los desarrolladores de aplicaciones ya no necesitan preocuparse acerca de la administración de
identidad y seguridad; ADDS proporciona todas las demás funciones.
Ahora pueden concentrarse en características más ricas específicas del producto, y Exchange
Server 2007 es un ejemplo excelente de esto, ya que proporciona mensajería unificada mientras
depende de ADDS para la integración de sistemas y servicios. Además, los desarrolladores pue-
den depender de los Servicios de directorio ligero de Active Directory para integrar extensiones de
objetos. Por ejemplo, si quiere incluir un hash de huella digital en su esquema de autentificación
pero no quiere modificar su estructura de directorio ADDS, puede agregar esta funcionalidad a un
directorio ADLDS y vincularlo a su directorio ADDS. Esto evita extensiones de esquema persona-
lizadas que deben replicarse en toda la organización y mantener la portabilidad de la solución. Si,
más adelante, quiere moverse de estos hashes a un rastreo de rutina, entonces tiene que cambiar su
aplicación de ADLDS sin efecto en el directorio ADDS o los servicios que proporciona.
Además, tal vez ya tenga sistemas (sistemas de recursos humanos, aplicaciones corporativas
personalizadas, sistemas de planeación de recursos empresariales, software de terceros) que no
se integran directamente con ADDS. Para cada uno de estos sistemas, necesitará determinar cuál
depósito de datos, el sistema original de Servicios de dominio de Active Directory, será la fuente
primaria para registros específicos de datos. Por ejemplo, si ADDS puede almacenar toda la es-
tructura organizativa mediante las propiedades de información que puede agregar a cada cuenta
de usuario (ubicación, función, administrador, etcétera), ¿no debería ser ADDS la fuente principal
de esta información, porque también es la fuente primaria de autentificación?
Éstos son los tipos de decisiones que necesita tomar cuando determine la manera en que
ADDS interactuará con otros directorios. ¿Será la fuente primaria de información? Si es así, nece-
sita asegurar que la información se alimenta y mantiene dentro del directorio. Esta alimentación
de información debe ser parte de su proceso de implementación inicial de AD. También necesi-
tará considerar los cambios que debe hacer a sus sistemas corporativos para que obtengan datos
primarios de estos ADDS; de otra manera, necesitará mantener varias fuentes de autorización
para los mismos datos. Si éste es el caso, debe considerar el uso del Microsoft Identity Lifecycle
Manager (MILM, administrador del ciclo de vida de identidad de Microsoft).
Microsoft Identity Lifecycle Manager

MILM es una aplicación especial diseñada para revisar varios servicios de directorio y sincronizar
los cambios entre ellos, además de proporcionar la administración de ciclo de vida de los certifi-
cados de infraestructura de clave pública (PKI, Public Key Infrastructure). Esto proporciona servicios
de metadirectorios, aprovisionamiento de usuario y administración de certificados en un empa-
que. Como metadirectorio, MILM supervisa las operaciones de varios directorios para asegurar la
integridad de los datos. Si instala MILM con ADDS e identifica ADDS como la fuente principal de
información, MILM modificará automáticamente los valores de otros servicios de directorio cuando
modifique valores en ADDS y asegurará que todos los datos de usuario sean consistentes entre
PARTE III
directorios. En su función de administración de certificados, MILM puede ayudar a simplificar la
administración de los sistemas de autentificación de dos factores, como las tarjetas inteligentes.
NOTA Encontrará más información acerca del Microsoft Identity Lifecycle Manager en
www.microsoft.com/windowsserver/ilm2007/default.mspx.
Microsoft también ofrece el Identity Integration Feature Pack (IIFP, paquete de característi-
cas de integración de identidad). Este paquete de características ofrece menos funcionalidad que
MILM, pero proporciona algunas características que resultan útiles cuando se trata de integrar
varios directorios diferentes. IIFP administra identidades y coordina detalles de usuario entre
ADDS, ADLDS y Microsoft Exchange Server (versión 2000 y posterior). IIFP proporciona una
sola vista lógica de todas las propiedades del usuario o el recurso y proporciona automáticamen-
te datos de identidad para estos tipos de objetos. Como paquete de características, IIFP es gratis
para propietarios de licencias de Windows Server.
Si necesita expandir más allá del soporte que proporcionan los productos de IIFP, entonces
concéntrese en MILM, porque no sólo proporciona mucha más funcionalidad, sino que también
administrará datos entre depósitos heterogéneos. La implementación de MILM es más compleja
que la de IIFP, pero ambos se ejecutan en servidores miembro y tienen un proceso de instalación
simple. Debido a la necesidad de almacenar valores integrados de datos, ambos requieren una
base de datos de SQL Server como soporte de los servicios que proporcionan.
Las implementaciones de MILM o IIFP son adicionales y están separadas de las implementa-
ciones adicionales de ADDS, pero las ventajas son evidentes. Si necesita integrar varios directorios,
como bases de datos internas, aplicaciones de software de terceros e incluso bosques, MILM es la
mejor manera de asegurar que los datos se extiendan de una fuente de información a las demás.
Será de ayuda administrar el proceso de mover/agregar/cambiar empleados, porque proporciona
una sola vista integrada de todos los datos de empleados. La integración de ADDS, ADLDS, ADCS
y MILM o IIFP proporciona un conjunto claro de funcionalidad (vea la figura 5-15).
Sistemas de planea-
FIGURA 5-15
Directorios ción de recursos Directorios
Integración de ADDS, de terceros empresariales personalizados
ADLDS, ADCS y otros
directorios con IIFP o
MILM.
Aplicaciones integradas para directorios de sistema operativo de red

Microsoft introdujo un nuevo programa de certificación de aplicaciones con Windows 2000:
el programa Windows Logo. Este programa sigue en Windows Server 2008. Las aplicaciones
aprobadas por Logo se integrarán con Active Directory para usar su administración de identidad
y sus capacidades de autentificación, además de proporcionar soporte completo a todas las carac-
terísticas de WS08. Hoy en día, varias aplicaciones caen dentro de esta categoría. Para conocer
una lista actualizada y completa de aplicaciones certificadas por Logo para Windows Server 2008,
vaya a www.windowsservercatalog.com.
Es inevitable la integración de unas cuantas aplicaciones en el directorio, sobre todo las apli-
caciones de administración o extensión de directorios. Un buen ejemplo es la familia del sistema
de servidores de Windows. Varios de éstos se integran directamente con los Servicios de dominio
de Active Directory y mediante esta integración, traen las modificaciones o, más bien, extensio-
nes al esquema de base de datos de ADDS. Estas extensiones son necesarias porque cada aplica-
ción agrega funcionalidad, lo que no suele requerirse dentro de una estructura básica de ADDS.
Entre algunos de los ejemplos de aplicaciones de la familia del sistema de servidores de Windows
que cambian el esquema de ADDS se incluyen:
• Exchange Server Exchange, en realidad, duplica el tamaño del esquema de ADDS, agre-
gando el doble de clases de objetos y el doble de propiedades.
• Internet Security and Acceleration Server ISA (servidor de seguridad de Internet y acele-
ración) modifica el esquema para agregar objetos especiales de ISA. Esta integración mejora la
seguridad, autentificación y administración de procesos de ISA.
• Host Integration Server Si requiere acceso integrado entre un entorno heredado y Win-
dows Server 2008, requerirá HIS (servidor de integración de host). También extiende el esque-
ma de ADDS para mejorar la administración de HID y la autentificación.
Las razones por las que es importante identificar la manera en que su estructura de ADDS se
integrará con otras aplicaciones o fuentes de información radican en las extensiones de esquema. Si
ésta es su primera implementación de una estructura de Servicios de dominio de Active Direc-
tory, debe agregar toda la modificación al esquema cuando instale el dominio raíz de su bosque.
De esta manera, limitará la cantidad de replicación en su red de producción. Es correcto: cada
vez que haga una modificación al esquema, se replicará en todos los controladores de dominio
del bosque. Si tiene controladores de dominio que se replican en líneas WAN, las modificaciones
masivas pueden llevar a la falta de prestación del servicio. La extensión del esquema dentro del
dominio raíz del bosque antes de instalar dominios secundarios contendrá replicación y la limita-
rá al proceso de instalación de cada servidor.
WS08 permite el llenado de un controlador de dominio desde medios de copia de seguridad
en la instalación. Esto significa que mientras tenía que construir todos los controladores de dominio
PARTE III
cuando estaban conectados a una red de alta velocidad con Windows 2000, en WS08, al igual que
en WS03, puede reconstruir y reparar controladores de dominio remotamente, siempre y cuando
haya creado una copia fuera de línea del directorio con la herramienta Copia de seguridad de Win-
dows. Los controladores de dominio aún deben construirse en un área de puesta en funcionamien-
to, empleando una red de alta velocidad durante la implementación de ADDS, si es posible.
PRECAUCIÓN Otra razón por la que es importante tomar en consideración tan cuidadosamente las
extensiones de esquema es porque no pueden eliminarse. Una vez que agrega una extensión de
esquema, puede modiicarla, pero nunca podrá eliminarla. Así que sea cuidadoso con lo que agrega
a su directorio porque se quedará con usted durante mucho tiempo. La mejor regla es agregar sólo
las extensiones necesarias. En casi todos los casos, las extensiones que se pueden agregar de mane-
ra más segura son las proporcionadas por el fabricante del sistema operativo de red (en este caso,
Microsoft). Si necesita agregar extensiones de esquema, siempre debe pensar primero en el uso de
los Servicios de directorio ligero de Active Directory.
Mejores prácticas de integración de ADDS

En la etapa de integración de ADDS debe realizar cinco actividades:
• Coloque la estructura de Servicios de dominio de Active Directory como servicio de directorio
central dentro de la organización.
• Coloque la función de Servicios de directorio ligero de Active Directory, si se requiere, en su
organización.
• Coloque la relación que otros directorios corporativos tendrán con ADDS.
• Identifique el modelo de interacción entre los servicios de directorio, y coloque la función
que representará en su organización el Identity Integration Feature Pack o Microsoft Identity
Lifecycle Manager.
• Determine cuáles aplicaciones operacionales se integrarán en su estructura de directorio.
Durante este proceso, use las siguientes mejores prácticas:

• Los Servicios de dominio de Active Directory deben formar el servicio de directorio central.
Los ADDS pueden modificarse mediante una interfaz gráfica. También puede usar secuencias
de comandos para realizar modificaciones masivas en ADDS. Éstos también permiten un mo-
delo poderoso de delegación. Por último, es compatible con administración de PC, algo que
pocos servicios de directorio pueden realizar.
• Use ADDS como punto único de interacción. Las estructuras de ADDS proporcionan un solo
punto de interacción porque se sustentan en bases de datos distribuidas que usan un proceso
de replicación multimaestra. Los usuarios pueden modificar datos en cualquier oficina regio-
nal y hacer que se actualice automáticamente en todo el directorio.
• Si necesita mantener la integridad de los datos entre varios directorios, use el Microsoft Iden-
tity Lifecycle Manager, con ADDS como su fuente de datos principal.
• Si necesita instalar aplicaciones relacionadas con sistemas operativos de red que modifiquen
el esquema, agréguelas al dominio raíz del bosque antes de crear los dominios secundarios.
• Si necesita integrar aplicaciones desarrolladas internamente que modifiquen el esquema, use los
Servicios de directorio ligero de Active Directory. Esto no tendrá efecto en el directorio de ADDS.
• Integre sistemas operativos de red y otras aplicaciones a ADDS sólo si es absolutamente ne-
cesario. Las modificaciones al esquema pueden retirarse y reutilizarse, pero sólo mediante un
proceso complejo que incluirá la replicación en todo su directorio ADDS distribuido.
• En primer lugar y ante todo, mantenga su estructura de ADDS como un directorio de sistema
operativo de red. Esto limitará la cantidad de replicación en el bosque y facilitará la actualiza-
ción a versiones futuras de los sistemas operativos de Windows Server.
Posicionamiento del servicio

Ahora que ha identificado el número de bosques, árboles y dominios en su Active Directory, que
ha diseñado su estructura de OU e identificado la manera en que actuará el servicio de directorio
dentro de su organización, puede pasar al posicionamiento del servicio. Éste se relaciona con la
posición y la función que los controladores de dominio tendrán dentro de cada bosque y domi-
nio. Estos controladores son los proveedores de servicio central para los Servicios de dominio
de Active Directory. Proporcionan replicación multimaestra en todo el bosque. Algunos tipos de
información no pueden mantenerse en formato multimaestro. Para almacenar y administrar
esta información, algunos controladores de dominio tienen una función especial, el maestro
de operaciones (FSMO, Flexible Single Master of Operations). Otra función especial es el Catá-
logo global; este servidor permite la investigación y el indizamiento de información de todo el
bosque. Los Servicios de dominio de Active Directory centrales caen en tres categorías: maestro
de operaciones, catálogos globales y controladores de dominio genéricos. Una cuarta categoría
también debe considerarse si Active Directory habrá de permanecer saludable: el servidor DNS.
Posicionamiento del maestro de operaciones

Los maestros de operaciones (FSMO) son sistemas de ADDS que administran solicitudes de
cambios específicos de información en el nivel del bosque o el dominio. Sin estos sistemas,
ADDS no puede operar. Caen en dos grupos: funciones FSMO de todo el bosque y centradas en
el dominio. Las funciones de maestro de operaciones se consideran flexibles, porque sólo puede
existir una sola instancia en el bosque o el dominio, pero esta instancia no se encuentra en un
servidor determinado; puede transferirse de un controlador de dominio a otro. Es flexible y único

porque no debe haber otro dentro de su alcance de influencia.
Las funciones de maestro de operaciones de todo el bosque son:
• Maestro de esquema El sistema maestro que mantiene la estructura de la base de datos del
bosque y autoriza cambios al esquema.
• Maestro de nombre de dominio El sistema maestro que controla y autoriza la asignación
de nombres dentro del bosque.
Sólo puede existir una instancia de cada sistema en el bosque en un momento determinado.
Ambos sistemas pueden localizarse en el mismo controlador de dominio, si se requiere. En bos-
ques más grandes, estos sistemas se distribuyen en dos controladores de dominio separados.
Además de las funciones de FSMO de todo el bosque, están las centradas en el dominio. Si
sólo tiene un dominio en su bosque, tendrá una instancia de cada una de estas funciones, pero
si tiene más de un dominio, cada uno tendrá una instancia de cada uno de estos sistemas. Entre
ellos se incluyen:
• Maestro de ID relativo (RID) El sistema maestro que es responsable de la asignación de
ID relativos a otros controladores de dominio dentro del dominio. Cada vez que se crea un
nuevo objeto (usuario, equipo, servidor o grupo) dentro de un dominio, el controlador de do-
PARTE III
minio que está realizando la operación asignará un número de ID único. Éste consta del nú-
mero de identificación del dominio, seguido por un número de identificación relativo, que se
asigna a la creación del objeto. Cuando un controlador de dominio se ejecuta en su almacén
de ID relativo, se solicita un almacén adicional del Maestro de RID. La función de ID relativo
también es el marcador de posición para el dominio. Si necesita mover objetos entre dominios
en el mismo bosque, debe iniciar el movimiento desde el Maestro de RID.
• Emulador de controlador de dominio principal (PDC) El servicio maestro que propor-
ciona compatibilidad con Windows NT. Si hay controladores de dominio de Windows NT o
clientes de red de Windows NT dentro del dominio, este servidor actúa como el controlador
de dominio principal para el dominio. Administra toda la replicación de los controladores de
dominio de copia de seguridad.
Si no hay clientes Windows heredados (lea anteriores a Windows 2000) en la estructura
del bosque, entonces éste puede operar en modo funcional completo. En este caso, el Emu-
lador PDC se concentra en sus otras dos funciones: sincronización de tiempo en todos los DC
y replicación de modiicación preferencial de cuenta con otros DC. Todos los controladores de
dominio en el dominio establecerán su reloj de acuerdo con el Emulador PDC, al igual que
con todos los servidores miembros y las PC. Además, cualquier modificación de la cuenta que
sea crítica (modificación de contraseña, desactivación de cuenta) se replicará de inmediato en
el Emulador PDC desde el servidor que lo origina. Si falla un intento de inicio de sesión en un
DC determinado, éste revisa el Emulador PDC para rechazar el intento antes de que pueda
recibir cambios recientes a contraseñas. El Emulador PDC es compatible con dos protocolos
de autentificación: Kerberos V5 (Windows 2000 y posterior) y NTLM (Windows NT).
La función final del Emulador PDC es la administración preferencial de la directiva de gru-
po. Como opción predeterminada, todos los GPO se almacenan primero y antes que nada en
el Emulador PDC. Si no está disponible, se almacenarán en otros servidores.
• Maestro de infraestructura El sistema maestro que administra dos tareas críticas:
• La actualización de referencias de objetos de su dominio con objetos de otros domi-

nios Ésta es la manera en que el bosque sabe a cuál dominio pertenece un objeto. El Maestro
de infraestructura tiene una relación cercana con el catálogo global (GC, Global Catalog). Si en-
cuentra que alguno de sus objetos no está actualizado en comparación con el GC, debe solicitar
una actualización desde éste y enviar la información actualizada a otros DC dentro del dominio.
PRECAUCIÓN Ni el servicio Catálogo global ni el sistema del Maestro de infraestructura deben

almacenarse en el mismo DC, a menos que sólo haya un servidor en el bosque o que el dominio
raíz del bosque sea muy pequeño. Pueden surgir problemas si están en el mismo equipo, porque
el Maestro de infraestructura comparte la misma base de datos que el Catálogo global. No podrá
saber si está actualizado o no. Por tanto, nunca solicita actualizaciones. En un bosque grande,
esto puede causar que otros DC carezcan de sincronización con el contenido del GC.
• La segunda función que cumple es la actualización y modificación de miembros de grupo

dentro del dominio. Si un grupo incluye objetos de otro dominio y estos objetos cambian de
nombre o se mueven, el Maestro de infraestructura mantendrá la consistencia del grupo y lo
replicará a todos los demás controladores de dominio. Esto asegura que los usuarios manten-
drán derechos de acceso, aunque realice operaciones de mantenimiento en sus cuentas.
Estas funciones de maestro centradas en el dominio deben estar separadas, si es posible.
Esto depende, por supuesto, del tamaño de cada dominio. Cualquiera que sea su tamaño, cada
dominio debe tener por lo menos dos controladores de dominio para redundancia, equilibrio de
carga y disponibilidad.
Posicionamiento del servidor de Catálogo global

El Catálogo global también es una función especial de controlador de dominio. Cualquier con-
trolador de dominio puede operar como catálogo global. El GC es el servidor que contiene una
copia del contenido de la base de datos en todo el bosque dentro de cada dominio. Como opción
predeterminada, incluye casi 20% de los datos del bosque (todo lo que se ha marcado dentro del
esquema de base de datos del bosque como si tuviera interés para todo el bosque).
El GC tiene tres funciones:
• Buscar objetos El GC contiene información acerca de los usuarios y otros objetos en su
dominio. Las consultas de usuarios sobre objetos se envían automáticamente al número de
puerto TCP 3268 y se enrutan al servidor de GC.
• Permitir inicio de sesión de UPN Los usuarios pueden iniciar sesión en otros dominios
en todo el bosque empleando su nombre de principio universal (UPN). Si el controlador de
dominio que valida al usuario no conoce a éste, hará referencia al Catálogo global. Debido a
que el GC contiene información acerca de cada usuario en el bosque, completará el proceso
de inicio de sesión si lo permiten los derechos de usuario.
• Apoyo a grupos universales Todos los grupos universales se almacenan en el Catálogo
Global para que puedan estar disponibles en todo el bosque. Si el Catálogo Global no está
disponible al iniciar sesión, éste se rechaza debido a que el grupo universal del usuario no se
puede numerar. Dado que este agrupamiento puede negar el acceso, el inicio de sesión es
negado.
Los bosques nativos de WS08 han mejorado la funcionalidad de GC porque ganan las carac-
terísticas de un bosque completamente funcional de WS03. Por ejemplo, sólo pueden replicar las
modificaciones de grupo universal en lugar de todo el grupo universal cuando se hacen cambios.
Además, los DC nativos de WS08 pueden almacenar en caché los datos de pertenencia universal
del usuario, al eliminar la necesidad de consultar constantemente el GC, para que el servicio GC
no necesite estar extendido como en las redes de Windows 2000.
Sin embargo, el servicio GC no debe estar ampliamente disponible. Si su red abarca varias
regiones, debe colocar al menos un DC de GC por región. Si no es práctico colocar localmente un
GC, entonces debe habilitar el Caché de pertenencia al grupo universal (UGM, Universal Group
Membership) para todos los DC de la región. La colocación del servidor GC en la región asegu-
rará que las solicitudes de inicio de sesión de grupo universal no se envíen en la WAN. Ésta se
requiere para el primer intento de inicio de sesión si no hay un GC presente en la región, aunque
esté habilitado el Almacenamiento en caché de UGM, porque el DC de inicio de sesión debe
localizar un servidor GC. Los servidores GC locales también son útiles para aplicaciones que
usan el puerto 3268 para solicitudes de autentificación. Considere los posibles inicio de sesión de
dominio cruzado cuando determine dónde colocar servidor GC.
Posicionamiento de controladores de dominio
PARTE III
El posicionamiento de las funciones de PSMO y de Catálogo global es el de los controladores de
dominio, porque cada uno de estos servicios o sistemas sólo operará en un controlador de domi-
nio. Como se mencionó antes, en un solo bosque de dominio, todas las funciones de PSMO y el
GC pueden ejecutarse en un solo DC. Aun así, la regla de la mejor práctica es siempre tener dos
DC. Pero en una red mediana o grande, estas funciones suelen distribuirse entre varios.
Además de realizar estas funciones, los controladores de dominio soportan autentificación
y replicación multimaestra. Esto significa que cuantos más usuarios tenga, más DC necesitará,
si quiere mantener corto su tiempo de inicio de sesión. Los servidores grandes de multiprocesa-
miento que ejecutan el servicio DC pueden manejar millones de solicitudes al día. Sin embar-
go, los servidores regionales tienden a tener varias funciones adicionales, porque a menudo se
vuelven servidores de varios propósitos. Los servidores regionales también tienden a mostrar una
capacidad mucho menor que los servidores centralizados. Si además hay servidores de varios
propósitos, considere la adición de DC cada vez que la carga exceda los 50 usuarios por servidor.
Si alguno de sus sitios regionales tiene menos de diez usuarios, no coloque un controlador de
dominio en el sitio. En cambio, use Terminal Services para crear sesiones de terminal para los usua-
rios en el sitio más cercano que contiene un DC. Todos los inicios de sesión se realizarán en el sitio
remoto. Pero si puede permitírselo, coloque un DC en cada sitio que tiene más de diez usuarios.
Use la función de DC de sólo lectura cada vez que no pueda garantizar la seguridad física del
DC. Los RODC no participan en el esquema de replicación multimaestra, porque sólo reciben da-
tos y no pueden usarse para iniciar una replicación. Esto protege su directorio de modificaciones.
La mejor manera de determinar cuántos DC debe colocar en su red consiste en evaluar el
rendimiento de la red. En muchos casos, es cosa de juicio. Defina una regla basada en el rendi-
miento de su red y apéguese a ella. También puede predecir el número de DC durante el ejercicio
de topología del sitio.
Posicionamiento del servidor DNS

El rendimiento de la red es la razón exacta por la que el servicio DNS es el cuarto servicio de
ADDS que necesita posicionamiento para operaciones óptimas con directorios. Como parte
de la estructura de ADDS está basada en el sistema de nombres de dominio, y como todos los
inicios de sesión deben resolver el nombre y la ubicación de un controlador de dominio antes de
validarse, el servicio DNS se ha vuelto esencial para ADDS. Cuando se posicionan servicios para
ADDS, aprenderá rápidamente a acoplar el servicio DNS con el de controlador de dominio.
En Windows Server 2008, como en Windows 2000 y 2003, cada controlador de dominio de
cada dominio de cada bosque también debe ser un servidor de nombres de dominio. ¿Por qué?
Porque ADDS usa DNS para localizar objetos en la red y porque los datos de DNS pueden inte-
grarse con el directorio. Si DNS está configurado para integrarse con ADDS, puede asegurarse
por completo. Puede tener la seguridad de que sólo los objetos y los orígenes de red de confianza
actualizarán la información en la partición DNS de los Servicios de dominio de Active Directory.
La integración del directorio también significa replicación segura. Como los datos de DNS están
integrados en el directorio, se replicarán con él en todos los controladores de dominio.
Los datos de DNS también pueden almacenarse en particiones de aplicaciones, que son
particiones de directorio que designan en cuáles controladores de dominio se almacenará la in-
formación. Por ejemplo, en un bosque multimedia, WS08 crea automáticamente una partición de
aplicaciones de datos DNS de dominio raíz del bosque que abarca todo el bosque. Esto significa
que debido a que los datos se replican en todos los controladores de dominio del bosque, la reso-
lución de nombres del dominio raíz siempre funcionará en todos lados.
ADDS agrega muchos conceptos nuevos al sistema de nombres de dominio. Por eso DNS
debe cambiar de un servicio IP simple a un servicio ADDS integrado.
SUGERENCIA En un diseño inicial de ADDS, una irma decidió tener DC localizados en cada uno
de sus diez sitios regionales, pero el servicio DNS sólo estuvo disponible dentro de los DC locali-
zados en los dos sitios centrales. Esto signiica que en cada inicio de sesión, los usuarios necesita-
ban conectarse a la WAN de los sitios centrales, a pesar del hecho de que los datos de DNS estaban
disponibles localmente en su DC. La adición del servicio DNS a DC regionales redujo 75% el
tiempo de inicio de sesión y produjo muchos usuarios felices.
Mejores prácticas de posicionamiento del servidor

Use las siguientes reglas para diseñar su escenario de posicionamiento del servicio:
• En estructuras grandes de ADDS, coloque las funciones de FSMO de todo el bosque en un
dominio raíz de bosque protegido.
• Si su bosque abarca varios sitios, coloque el Maestro de esquema en un sitio y el Maestro de
nombre de dominio en otro.
• Proteja cuidadosamente el acceso a la función Maestro de esquema.
• En estructuras de ADDS más pequeñas, coloque las funciones Maestro de RID y Emulador
PDC en el mismo DC.
• Cree un Emulador PDC dedicado en dominios que tienen más de 50 000 usuarios.
• Separe catálogos globales y maestros de infraestructura, si puede.
• Coloque por lo menos dos controladores de dominio en cada dominio.
• Si un dominio pequeño abarca dos sitios, use por lo menos dos controladores de dominio,
uno para cada sitio.
• Coloque un servidor de Catálogo global en cada sitio geográfico que contenga por lo menos
un controlador de dominio.
• Habilite Caché de pertenencia al grupo universal en cada sitio geográfico que no incluya un
GC local.
• Use DC de sólo lectura cada vez que aplique almacenamiento en caché de UGM.
• Use RODC cada vez que no pueda garantizar la seguridad del DC, pero es obligatorio un DC
local para mejorar el rendimiento.
• Coloque un controlador de dominio en todos los lugares en que haya más de diez usuarios,
a menos que la velocidad de vínculo de la WAN permita de manera adecuada los intentos de
inicio de sesión remoto.
• Agregue un controlador de dominio regional en todos los lugares en que haya más de 50 usua-
rios por controlador de dominio, sobre todo si se trata de un servidor con varios propósitos.
• Instale el servicio de nombre de dominio en todos los controladores de dominio.
• Use particiones de aplicaciones para designar alcances de replicación de DNS.
Escenario de posicionamiento del servidor

La mejor manera de aprender a realizar el posicionamiento del servidor es usar escenarios. En
este escenario, la corporación T&T emprende la tarea de crear y llenar su estructura de ADDS.
Tiene más de 10 000 usuarios, y ha decidido usar un bosque de producción de varios dominios.
Sus oficinas centrales están en una sola ciudad, pero en edificios separados. Los edificios están
PARTE III
vinculados a través de una red de área metropolitana (MAN, Metropolitan Area Network) que
opera a alta velocidad. Además, tiene 15 oficinas regionales (algunas en otras áreas metropolita-
nas que tienen un tamaño considerable, como se ve en la figura 5-16). En estas áreas metropoli-
tanas, las sucursales usan vínculos locales para “saltar” a la red de área amplia.
T&T necesita posicionar sus controladores de dominio, catálogos globales, DNS y funciones
FSMO. En la tabla 5-6 se describe la posición de cada dominio dentro de cada región.
NOTA En la tabla 5-6, entre los usuarios de desarrollo se incluyen a los propios desarrolladores,
además de cuentas de prueba, mientras los usuarios del dominio de capacitación sólo representan
cuentas genéricas.
Como se observa, el primer paso de T&T consiste en identificar el diseño geográfico de sus
oficinas. Una vez hecho esto, T&T puede pasar al posicionamiento del servidor. Con el uso de
las reglas delineadas, T&T empezará el proceso de posicionamiento. Necesita actuar sistemática-
mente; por ello, colocará servidores en el siguiente orden:
1. Los primeros servidores en posicionarse son las funciones FSMO de todo el bosque. Se
encontrarán dentro del dominio raíz de bosque protegido: Maestro de esquema y Maestro de
nombre de dominio.
2. Luego serán las funciones FSMO centradas en el dominio, del dominio raíz de bosque pro-
tegido: Maestro de RID, Emulador PDC y Maestro de infraestructura. Deben posicionarse de
acuerdo con las mejores prácticas delineadas antes.
3. El tamaño (número de usuarios) y la ubicación del dominio raíz de bosque protegido ayuda-
rán a determinar el número de controladores de dominio requerido para operar ese dominio
raíz.
4. Si los DC de dominio raíz de bosque protegido están separados físicamente, el servicio Cáta-
logo global debe agregarse en cada ubicación que incluya por lo menos un DC.
FIGURA 5-16 Sucursal Sucursal Sucursal Sucursal

Mapa de ubicación de 1 2 3 4
las oicinas de T&T.
Región Región Región

2 5 11
Oficinas Oficinas
centrales 1 centrales 2
Región
Región 15
1
Región
Región 14
3 Región
Región
Región 13
4 Región
Región Región Región Región 12
6
7 8 9 10
Número de usuarios Sucursal

5
5. A continuación están los DC de dominio secundario. Empiece con el dominio de producción

porque es el más complejo. Los primeros servicios en posicionarse son las funciones FSMO
centradas en dominio: Maestro de RID, Emulador PDC y Maestro de infraestructura.
6. Ahora que están posicionadas las funciones centrales, posicione los controladores de dominio.
Un DC debe posicionarse en cada región con 50 usuarios como mínimo. Las regiones con
más de 50 usuarios deben tener más de un DC. Las regiones con menos de 50 usuarios deben
ampliarse a medida que se necesite. Establezca una regla para posicionamiento de DC en
sitios grandes: un controlador de dominio por 1 000 usuarios (recuerde que los DC centrales
tienden a ser servidores más poderosos que los DC regionales).
NOTA Puede usar una herramienta que es posible descargar de Microsoft, el AD Sizer, para cal-
cular cuántos usuarios manejará un DC. En realidad, le indicará que puede administrar más de
40 000 usuarios por DC. Sin embargo, esto puede ser muy optimista, porque los DC tienen otras
funciones, aparte de simplemente administrar los inicios de sesión de usuario. Realice pruebas y
determine si la regla de los 1 000 usuarios es apropiada para su red.
7. Cada región que tiene por lo menos un DC también alberga por lo menos un Catálogo global,
si es posible. De lo contrario, use el almacenamiento en caché de UGM del sitio. También use
DC de sólo lectura en estos sitios.
8. A continuación, posicione funciones FSMO, GC y DC para los otros tres dominios: desarrollo,
capacitación y puesta en funcionamiento. Esta última es fácil, porque está localizada en un
Región Dominio Número de usuarios

1 Oicina central Raíz dedicado 7
2 Oicina central Producción 3 000
3 Oicina central Desarrollo 200
4 Oicina central Capacitación 300
5 Oicina central Puesta en función 20
6 Sitio 2 de oicinas centrales Producción 2 200
7 Sitio 2 de oicinas centrales Desarrollo 250
8 Sitio 2 de oicinas centrales Capacitación 200
9 Región 1 Producción 500
13 Región 5 Producción 2 100
PARTE III
24 Sucursal 1 (Región 2) Producción 10
Total 10 750
TABLA 5-6 Información del escenario de posicionamiento del servidor de bosque de producción
solo sitio geográfico; dos servidores son más que adecuados. La capacitación también puede
realizarse con dos DC: uno en cada oficina central. El posicionamiento de los DC de desarro-
llo dependerá del nivel de actividad. No es poco usual que se usen los DC de desarrollo para
análisis de prueba de tensión. En esas situaciones, el DC de desarrollo necesita albergar tantos
usuarios como todo el dominio de producción.
9. Lo más fácil se deja para el final. Coloque el servicio DNS en cualquier lugar donde haya un DC.
10. Use particiones de aplicación para determinar cómo debe compartirse la información de DNS
de dominio en dominio.
11. Además, es seguro posicionar la función GC con la función Infraestructura en el dominio raíz
de bosque protegido porque el dominio raíz mantiene muy pocos objetos y no afectará la
replicación.
12. Una aplicación entre dominios se usa entre los de producción y desarrollo. Los usuarios del
dominio de desarrollo suelen requerir información del de producción. Debido a la partición, la
información queda automáticamente disponible para ellos.
13. Una partición de aplicaciones de dominio local para datos de DNS se usa en el dominio de
desarrollo porque son raras las consultas del dominio de desarrollo a otros dominios. Lo mis-
mo se aplica a los dominios de capacitación y puesta en funcionamiento.
El resultado se describe en la tabla 5-7. Tenga en cuenta que la estrategia de DNS se describe
de manera más detallada en el capítulo 6.
Como observará, la etapa de posicionamiento del servidor requiere la aplicación de un con-
junto determinado de reglas a los datos que ha recolectado en su organización para producir un
resultado que funcione. La corporación T&T, por ejemplo, implementará los servidores y las fun-
ciones identificadas en la tabla 5-7. Tendrá tres modelos de servidor: uno para regiones donde los
servidores están protegidos, uno para regiones donde los servidores no están protegidos (RODC)
y uno para oficinas grandes (DC dedicados).
Región Dominio Usuarios Servidores Función
Oicinas centrales Raíz dedicado 7 1 Primer DC en el bosque:

principales • FSMO del bosque: Maestro de esquema
• FSMO de dominio: PDC y RID
• Catálogo global
• DNS integrado: partición de aplicaciones de todo el
bosque
Sitio dos oicinas Raíz dedicado 7 1 Segundo DC del bosque:
centrales • FSMO del bosque: Maestro de nombre de dominio
• FSMO de dominio: Infraestructura
• DNS integrado: partición de aplicaciones de todo el
bosque
Oicinas centrales Producción 3 000 3 Primer DC de dominio:
principales • FSMO de dominio: PDC
• DNS integrado: partición de aplicaciones entre dominios
Segundo DC de dominio:
• FSMO de dominio: RID
Otros DC:
• DC de sólo lectura
• DNS integrado
Sitio dos oicinas Producción 2 200 3 DC de dominio de FSMO:
centrales • FSMO de dominio: Infraestructura
DC de dominio de GC:
Otros DC:
• DC de sólo lectura
• DNS integrado
TABLA 5-7 Resultados del posicionamiento del servidor de T&T

Región 1 Producción 250 2 DC de dominio GC:

Región 2 300 2 • Catálogo global
Región 3 100 2 • DNS integrado: partición de aplicaciones entre domi-
Región 4 125 2 nios
Región 5 2 100 2 Otros DC:
Región 6 75 1 • DC de sólo lectura
Región 7 80 1 • DNS integrado
Región 8 140 2
Región 9 80 1
Región 10 150 2
Región 11 575 2
Región 12 250 2
Región 13 90 1
Región 14 110 1
Región 15 40 1
Sucursal 1 Producción 10 0 n/a
(Región 2) 5
Sucursal 2 8
(Región 5)
PARTE III
Sucursal 3
(Región 5)
Sucursal 4 Producción 50 1 DC de sólo lectura:
(Región 11) 35 1 • Caché de pertenencia al grupo universal
Sucursal 5 • DNS integrado
(Región 12)
Oicinas centrales Desarrollo 200 1 Primer DC de dominio:
principales • FSMO de dominio: PDC y RID
• DNS integrado: partición de aplicaciones de dominio
local
Sitio dos oicinas Desarrollo 250 1 Segundo DC de dominio:
centrales • FSMO de dominio: Infraestructura
local
Oicinas centrales Capacitación 300 1 Primer DC de dominio:
principales • FSMO de dominio: FDC y RID
• DNS integrado: partición de aplicaciones
de dominio local
Sitio dos Capacitación 200 1 Segundo DC de dominio:

oicinas • FSMO de dominio: Infraestructura
centrales • Catálogo global
local
TABLA 5-7 Resultados del posicionamiento del servidor de T&T (Continuación)

Oicinas centra- Puesta en 20 2 Primer DC de dominio:

les principales funciona- • FSMO de dominio: PDC y RID
miento • Catálogo global
• DNS integrado: partición de aplicaciones de
dominio local
Segundo DC de dominio:
• FSMO de dominio: Infraestructura
• DNS integrado: partición de aplicaciones de
dominio local
Total 10 750 40
TABLA 5-7 Resultados del posicionamiento del servidor de T&T (Continuación)
NOTA Con el advenimiento de los ofrecimientos de servicios virtuales, sus DC regionales pueden y
deben volverse equipos virtuales. En este caso, no necesita crear DC de varios propósitos porque
es más difícil de administrar. Cuando use equipos virtuales, no cuesta más crear un DC regional
dedicado y luego crear otro equipo virtual para ejecutar otras funciones que suelen compartirse en
el DC de varios propósitos como servicios de archivo o impresión.
T&T también deberá vigilar el rendimiento de estos servidores para asegurar que los tiempos
de respuesta del servicio se ejecutan como se esperaba. De lo contrario, necesitará refinar su mo-
delo. Si ése es el caso, deberá actualizar la tabla 5-7 para asegurar que siempre refleje la realidad.
La estrategia de posicionamiento del servidor de la corporación T&T se ilustra en la figura 5-17.
Para mayor simplicidad, esta figura sólo incluye los dominios raíz y de producción.
Otro factor que afectará esta evaluación es la velocidad de red a la que cada oficina se vincula
con las demás. El análisis de las velocidades de red y el ajuste de la replicación de directorios es la
siguiente etapa, el diseño de topología de sitio.
Topología de sitio
El diseño de Active Directory está casi completo; sólo se requieren dos etapas adicionales: diseño
de topología de sitio y estrategia de modificación del esquema. El diseño de topología de sitio
se relaciona con el análisis de la velocidad de todos los vínculos WAN que unen el bosque y la
identificación de la estrategia de replicación del bosque. Un sitio es una partición de replicación
física. La replicación es la clave de la operación apropiada de ADDS.
Los DC de Windows Server 2008 replican la información de manera continua porque son
de autorización para ciertas partes de la información del bosque, excepto, por supuesto, para los
RODC. Este entorno multimaestro requiere replicación constante si los DC de bosque distribuido
habrán de mantenerse actualizados. WS08 puede realizar dos tipos de replicación: dentro del
sitio y entre sitios. La replicación dentro del sitio es a alta velocidad porque usa la red de área
local. Los servidores locales suelen ser vínculos de alta velocidad para asegurar transferencia de
Bosque WS08
Intarnet.TandT.net
Sucursal Sucursal Sucursal Sucursal

1 2 3 4
Región Región Región

2 5 11
Emulador Oficinas Oficinas

PDC ID centrales 1 centrales 2
relativo Infraestructura
- Maestro de - Dominio raíz de

esquema bosque protegido
- ID relativo - Infraestructura
- Emulador PDC - GC
PARTE III
- GC - DNS
- DNS
Región Región Región Región

1 14 12 15
Sucursal
5
FIGURA 5-17 Escenario de posicionamiento del servidor para T&T.
información más rápida entre ellos. La replicación dentro del sitio ocurre constantemente porque
la velocidad del vínculo puede darle soporte. Debido a que es constante y a que la velocidad del
vínculo puede permitirlo, la replicación dentro del sitio no está comprimida.
La replicación entre sitios ocurre a una velocidad inferior porque debe cruzar un vínculo WAN
a otras oficinas. La replicación entre sitios debe calendarizarse y comprimirse: de otra manera,
usará más del ancho de banda disponible. El proceso de crear sitios ADDS es el de identificar si la
replicación entre servidores se hace dentro del sitio o entre sitios. Un sitio es una reagrupación
física de servidores. Suele definirse como una subred TCP/IP. Puede ser una red de área local
virtual (VLAN, Virtual Local Area Network) (un grupo de nodos de red que están unidos a una
sola subred dentro de una ubicación geográfica) o una subred regional. La replicación entre sitios
ocurre en intervalos de 15 minutos. Se permiten dos modos de transporte: protocolo de Internet
(IP, Internet Protocol) y protocolo simple de transferencia de correo (SMTP, Simple Mail Transfer
Protocol). ¡Nunca considere SMTP para replicación entre dominios! Es más complicado configu-
rarlo que IP, y es un método de replicación asincrónico porque los cambios se envían en mensajes
discretos que podrían llegar en desorden. ¿Quién no ha enviado un mensaje a alguien sólo para
tenerlo de regreso una semana después diciéndole que la persona nunca lo recibió? ¡No es de
sorprender que nunca le hayan respondido! No puede darse la oportunidad de que esto suceda
con datos de replicación de directorio. La replicación de SMTP sólo debe considerarse en las
situaciones más extremas, aun para aplicación entre sitios.
IP usa llamadas a procedimientos remotos (RPC, Remote Procedure Call) para enviar cam-
bios a otros DC. Usa el revisor de consistencias del conocimiento (KCC, Knowledge Consistency
Checker) para determinar las rutas automáticas entre socios de replicación. Para que esto ocurra
entre sitios, debe crearse un vínculo entre cada sitio que contiene un controlador de dominio. El
vínculo de sitio incluye información de costos. El KCC puede usar esta información cuando se
determina el momento de replicar, cómo replicar y el número de servidores con que se replicará.
Los valores especiales, como cambios de contraseñas o desactivaciones de cuentas, se replican de
inmediato al Emulador PDC en el dominio, a pesar de los calendarios específicos de sitios. Los
datos de replicación entre sitios también se comprimen. ADDS comprime datos de replicación a
través de un algoritmo de compresión. Los datos se comprimen automáticamente cada vez que
se alcanza cierto umbral. Por lo general, cualquier cosa mayor de 50 kilobytes (KB) se comprimirá
automáticamente cuando se replica entre sitios.
En un bosque que se ejecuta en modo funcional de WS08, debe habilitar la replicación de
valor vinculado. Esta opción reduce en gran medida la replicación al enviar sólo los valores que
han cambiado para cualquier atributo de varios valores, como grupos. Cada vez que se hace un
cambio a un miembro de grupo, como la adición de un nuevo miembro, sólo el valor cambiado
(el nuevo miembro) se replica en lugar de hacerlo con todo el grupo. Además, este modo funcio-
nal depende de la replicación de DFS, replicando sólo los cambios delta de cualquier contenido.
Diseño de la topología del sitio

Para realizar el diseño de la topología del sitio, necesita los siguientes elementos:
• Un mapa para todas las ubicaciones del sitio.
• La topología de WAN y las velocidades del vínculo de cada ubicación. La configuración del
enrutador también es importante. Además, los puertos TCP/IP que se requieren para repli-
cación suelen estar cerrados, como opción predeterminada. Estos puertos se identifican en el
capítulo 6.
• El número de DC en cada sitio.
El diseño de sitio es simple: debe seguir el diseño de red TCP/IP empresarial. Los sitios son
subredes IP; por tanto, tienen la misma estructura que los que ya están en funcionamiento para
TCP/IP. Ahora puede seguir adelante con el diseño. Esto dará como resultado la creación de:
• Límites de sitio de cada ubicación geográfica.
• Vínculos de replicación de sitio.
• Vínculos de replicación de copia de seguridad.
• Esquema de costos de cada vínculo.
Los sitios son dependientes de la estructura de dominio. Esto significa que puede tener va-
rios dominios dentro de un sitio y varios sitios dentro de un dominio, además de varios sitios
y varios dominios dentro de una red de área amplia.
La replicación del bosque está dividida en tres categorías: todo el bosque, partición de apli-
caciones y replicación centrada en el dominio. Las dos primeras abarcan dominios. Por fortuna,
los datos replicados a través de estas particiones son relativamente escasos. No es lo mismo en
el caso de los dominios. Los de producción, sobre todo, contienen grandes cantidades de infor-
mación. Ésta es la razón básica del diseño de la topología de sitios: disponibilidad de datos entre
sitios separados en el mismo dominio.
Los dominios de producción deben dividirse si se replicarán a velocidades de vínculo de 56
kilobits (Kbit) por segundo o inferiores. Los dominios de producción muy grandes requieren
vínculos de WAN de alta velocidad, si abarcarán oficinas regionales, aunque los datos estén com-
primidos y la replicación esté calendarizada. Si deben enviarse grandes cantidades de datos, la
“canalización” que envían debe ser lo suficientemente grande para el tiempo permitido. En sitios
muy grandes con vínculos de baja velocidad, es posible tener una situación donde la replicación
nunca se complete. La ventana de replicación se abre a intervalos que son más pequeños que el
tiempo que se toma para replicar todos los datos cambiados.
Las rutas del vínculo del sitio deben parecerse a la estructura básica de IP de su WAN. El
PARTE III
costo de cada vínculo debe reflejar la velocidad del vínculo: cuanto menor sea el costo, mayor
será la velocidad. Los costos inferiores también significan replicación más rápida. Tenga en cuen-
ta que los costos son simplemente valores que se usan para indicar a la replicación de ADDS que
un vínculo es mejor que otro. En la tabla 5-8 se identifican ejemplos de costos de vínculos para
anchos de banda determinados.
Cree puentes de vínculos de sitio

En algunos casos, es necesario puentear la replicación. Si crea vínculos de sitios que se superpo-
nen, debe crear un puente de vínculo de sitio (vea la figura 5-18). Esto permitirá que la repli-
cación use el sitio de puenteo para crear una conexión directa con el sitio de destino. Si quiere
mayor control de replicación entre sitios dentro de los sitios dados, puede designar el servidor
cabeza de puente preferido del sitio. El servidor cabeza de puente administra toda la replicación
Ancho de banda disponible Costo sugerido de vínculo Costo sugerido de vínculo de copia
principal de seguridad
56 Dominio separado n/a
64 750 1000
128 500 750
256 400 500
512 300 400
1024 150 300
T1 100 150
TABLA 5-8 Costo recomendado (en dólares) de vínculo por ancho de banda disponible
Puente de vínculo de sitio

FIGURA 5-18
Puente de vínculo de sitio con
servidor cabeza de puente.
Vínculo de sitio Vínculo de sitio
(vínculo WAN) (vínculo WAN)
Servidor cabeza Servidor cabeza Servidor cabeza

de puente de puente de puente
entre sitios dentro del sitio. Todas las actualizaciones se reciben y envían a través del servidor
cabeza de puente. Por tanto, ningún otro DC del sitio necesita dedicar recursos a la replicación
entre sitios. Sin embargo, si designa servidores de cabeza de puente, el KCC ya no podrá calcu-
lar automáticamente las rutas de replicación. Tendrá que monitorear de cerca la replicación para
asegurar que todos los sitios están actualizados.
Es buena idea calcular la latencia de la replicación (el tiempo entre una modificación en un
DC y la recepción de la modificación en todos los demás DC) de la topología del sitio. Esto le
permitirá identificar cuál será la demora de replicación más larga posible dentro de su red. La
latencia de la replicación se calcula con base en el intervalo de replicación (el tiempo que puede
tomarse para replicar los datos) y el número de saltos requerido para realizar la replicación. Por
ejemplo, si la topología de su sitio incluye dos saltos, su intervalo de replicación es de 180 minu-
tos y toma 30 minutos en completarse un cambio de replicación, su latencia de replicación será
de 420 minutos (180 minutos por 2, más 30 minutos por 2). Además, recuerde basar todos sus
cálculos de replicación en el ancho de banda disponible, no el global. Si sólo 10% del ancho de
banda está disponible para la replicación de ADDS, eso afectará sus cálculos.
Por último, como ya se mencionó, la opción Habilitar Caché de pertenencia al grupo uni-
versal está asignada a sitios dentro de un bosque nativo de WS08. Esta opción debe establecerse
para todos los sitios que no tienen un GC. Los DC en estos sitios podrán almacenar en caché de
pertenencia al grupo universal de los usuarios que las soliciten, reduciendo la cantidad de comu-
nicaciones con el servidor que hospeda el Catálogo global.
Mejores prácticas para la siguiente topología del sitio

Use las siguientes mejores prácticas para diseñar la topología de su sitio:
• Use la configuración predeterminada para replicación entre sitios.
• No deshabilite el revisor de consistencia de conocimiento.
• No deshabilite las confianzas transitivas.
• No especifique servidores cabeza de puente.
• Calcule la latencia de replicación entre sitios.
• Cree sitios de acuerdo con la topología de red; los vínculos de sitio y de WAN deben corres-
ponder.
• Asegúrese de que ningún sitio individual está conectado a más de 20 sitios adicionales.
• Cada sitio debe albergar por lo menos un DC.
• No use SMTP para replicación centrada en el dominio.
• No use replicación SMTP, si es posible.

• Use 128 Kbps como circuito WAN mínimo para un vínculo de sitio.
• Asocie cada sitio con por lo menos una subred y un vínculo de sitio; de otra manera, no será
posible usarlo.
• Cree vínculos de sitio de copia de seguridad para cada sitio. Asigne costos más elevados a
vínculos de sitio de copia de seguridad.
• Cree puentes de vínculo de sitio cada vez que haya dos o más saltos entre sitios para reducir la
latencia de la replicación.
• Si el ancho de banda disponible para su red lo permite, ignore los calendarios de replicación
en todos los sitios. Con esta opción, la replicación se realizará cuando se requiera, pero de-
mandará ancho de banda de WAN.
• Habilite Caché de pertenencia al grupo universal en todos los sitios que no hospeden un GC.
• Use servidores cabeza de puente preferidos si la replicación debe cruzar una firewall.
• Asigne un tamaño correspondiente a sus DC, porque la replicación afecta el rendimiento.
• Monitoree el tráfico de replicación una vez que su bosque esté en funcionamiento para deter-
minar el efecto en sus vínculos WAN.
Escenario de la topología de sitio de la corporación T&T
PARTE III
La topología de sitio de T&T (vea la figura 5-19) está, una vez más, basada en la información
desplegada en la figura 5-17, además de la velocidad del vínculo WAN de cada sitio. Empleando
esta información, T&T produjo la cuadrícula esquematizada de la tabla 5-9.
T&T usa algunas configuraciones globales en su diseño de topología de sitio. Entre éstas se
incluye:
• Abrir calendarios para todos los sitios.
• KCC como opción predeterminada en todos los sitios.
• Todos los costos de vínculos de sitio disminuyen a medida que se acerca más a las oficinas
centrales 1, de modo que la replicación de éstas tiene prioridad.
• La replicación sólo se realiza con RPC sobre IP.
• Los calendarios predeterminados están habilitados en todos los sitios (replicación cada 180
minutos).
• La replicación de alta prioridad puede ocurrir de inmediato.
• Cada sitio tiene una ruta de replicación de copia de seguridad a un costo mayor.
• Todo se basa en el ancho de banda disponible calculado.
Por supuesto, T&T necesitará monitorear el rendimiento de la replicación de AD durante la
operación del directorio para asegurar que los valores de esta tabla son apropiados para satisfacer
niveles de servicio. Si no, es necesario actualizar la tabla y los vínculos de sitio.
NOTA El bosque del perímetro también se incluye en la tabla 5-9 y la igura 5-19 para demostrar el
posible uso de los servidores cabeza de puente. Si no tiene un bosque de perímetro, entonces tal vez
no necesite un servidor cabeza de puente. Si usa ADFS, entonces no debe colocar DC en la DMZ.
Estrategia de modiicación de esquema

Ahora que ya ha hecho el diseño de su bosque, puede ponerlo en funcionamiento. El proceso
final que necesita completar consiste en delinear la estrategia de modificación del esquema. La
operación de la estructura de Servicios de dominio de Active Directory representa la adminis-
tración de una base de datos distribuida. La adición de clases de objetos o atributos de clases de
objetos debe hacerse con cuidado y de manera controlada. La adición de componentes siempre
Velocidad: 128
Sucursal Sucursal Sucursal Costo: 500 Sucursal
1 2 3 4
Velocidad: 512
Costo: 300
Región Región Velocidad: T1 Región

2 5 Costo: 100 11
Velocidad: T1
Costo: 150
Oficinas Velocidad: LAN Oficinas Velocidad: T1

centrales 1 Costo: 1 centrales 2 Costo: 100
Perímetro de seguridad de las
oficinas centrales y perímetro
de seguridad
Velocidad: LAN con firewall
Costo: 50
Velocidad: 128
Velocidad: 256 Costo: 500
Costo: 400
Región
Región
15
1
Velocidad: 256
Velocidad: 512 Región
Región Costo: 400
Velocidad: 256 Velocidad: 256 Costo: 300 14
3 Costo: 400 Costo: 400 Región
Región Velocidad: 256
Velocidad: 256 4 Región Región 13
Región Región Costo: 400
Costo: 400 6 Región Región 12
7 8 9 10 Velocidad: 256
Velocidad: 256 Costo: 400
Costo: 400 Velocidad: 256 Velocidad: 256
Costo: 400 Costo: 400
Ancho de Costo por vínculo de

banda copia de seguridad Sucursal Velocidad: 128
Costo: 500
5
Leyenda
Puente de vínculo de sitio
Vínculo de sitio de copia
de seguridad
Servidor cabeza de puente preferido Vínculo de sitio
FIGURA 5-19 Diseño de la topología de sitio de T&T.

implica replicación agregada en el momento de la modificación. Tal vez también signifique repli-
cación agregada recurrente, dependiendo del contenido de la adición. El retiro de componentes
también conlleva replicación agregada en el momento de la modificación. Puede significar que se
reduzca la replicación constante porque está eliminando un elemento de la misma. Los bosques
que operan en el modo funcional de WS08 permiten el reciclaje de ciertos tipos de clases o atri-
butos de objeto desactivados. Pero tal vez resulte difícil implementar este reciclaje. Lo mejor es
estar siempre seguro y proceder de manera cuidadosa cuando se requiere la modificación.
Espere que su esquema de base de datos de ADDS experimente modificaciones. Incluso
herramientas simples, como un software de copia de seguridad empresarial, en ocasiones modifi-
cará el esquema para crear objetos de copia de seguridad dentro del directorio. Sin duda, algu-
Velocidad de vínculo con Tipo de vínculo Costo de vínculo

Nombre de vínculo de sitio oicinas centrales de sitio de sitio Opciones
Oicinas centrales LAN VLAN 1 • Vínculo de sitio disponible
principales (VLAN para conexiones de
servidor)
• KCC activo (coniguración
PARTE III
predeterminada para todos
los sitios)
• Vínculos de sitio con todos
los sitios
• Puente de vínculo de sitio con
Sucursal 5 y Región 11
Oicinas centrales LAN con irewall VLAN 50 • Servidor cabeza de puente
principales para períme- preferido
tro de seguridad
Perímetro de seguridad
para oicinas centrales
principales
Oicinas centrales Sitio 2 T1 VLAN 100 • Vínculos de sitio con Oicinas
Región 5 centrales 1 y Región 11
• Vínculos de sitio de copia de
seguridad con todos los sitios
Sucursal 4
Región 1 256 Regional 400 • Vínculo de sitio con oicinas
Región 3 centrales 1
Región 4 • Vínculo de sitio de copia
Región 6 de seguridad con oicinas
Región 8
Región 9
Región 10
Región 13
Región 14
TABLA 5-9 Topología de sitio T&T

Velocidad de vínculo con Tipo de vínculo Costo de vínculo

Nombre de vínculo de sitio oicinas centrales de sitio de sitio Opciones
• Vínculo de sitio de copia
de seguridad con oicinas
centrales 2
Región 11 T1 VLAN 150 • Vínculo de sitio con oicinas
centrales 2
oicinas centrales 1
centrales 1
centrales 1
centrales 2
Sucursal 1 (Región 2) 64 n/a n/a n/a
Sucursal 2 (Región 5)
Sucursal 3 (Región 5)
Sucursal 4 (Región 11) 128 Regional 500 • Vínculo de sitio con Región 11
Sucursal 5 (Región 12) • Puente de vínculo de sitio
de una vía con oicinas cen-
trales 2
centrales 2
TABLA 5-9 Topología de sitio T&T (Continuación)
nas de las herramientas comerciales de servidor que adquiera (aunque sea Microsoft Exchange)
modificará su esquema de ADDS de producción.
Además, tal vez quiera aprovechar las extensiones de esquema para sus propios fines. Defi-
nitivamente acortará los tiempos de desarrollo de aplicaciones si decide almacenar en un direc-
torio información que se solicita con frecuencia. ADDS replicará automáticamente la información
en toda su empresa si es parte del directorio. Tenga cuidado con la información que incluye en el
directorio. Debido a sus modelos multimaestro y jerárquico, ADDS no está diseñado para pro-
porcionar consistencia inmediata de datos. Siempre hay latencia de replicación cuando se incluye
más de un DC. Use el directorio para almacenar información estática que se requiere en cada
sitio pero que es improbable que cambie a menudo. También puede depender de los Servicios
de directorio ligero de Active Directory. Como su nombre lo indica, éstos proporcionan medios
ligeros para usar la funcionalidad de un directorio, incluida la replicación, pero sin la pesadez de
modificar su esquema ADDS.
Sin embargo, si decide usar su directorio, una cosa es segura. Siempre debe tener cuida-
do con las modificaciones dentro del directorio de producción. La mejor manera de hacerlo es
formar una directiva de modificación de esquema. Esta directiva es propiedad de un tenedor de
directiva de cambio de esquema al que se presentan para aprobación todos los cambios al esque-
ma. La directiva no sólo delineará quién tiene la función de tenedor, sino también cómo deben
probarse, prepararse y desplegarse las modificaciones al esquema. La asignación de la función
de tenedor de directiva de cambio de esquema para administrar el esquema asegura que las mo-
dificaciones no serán hechas de manera ad hoc por parte de grupos que no se comunican entre
sí. Debido a que el tenedor de directiva de cambio de esquema debe aprobar todas las modifica-
ciones, en primer lugar, el proceso es evidente para todos.
Además, la estructura X.500 de la base de datos de AD se basa en un esquema de numera-
ción de objetos que es globalmente único. Una autoridad central tiene la capacidad de generar
identificadores de objeto para nuevos objetos de X.500: la International Standards Organization
(ISO). Los números también pueden obtenerse por parte del American National Standard Ins-
titute (ANSI). La numeración X.500 puede obtenerse en www.iso.org o www.ansi.org. Microsoft
también ofrece numeración X.500 en un árbol de clase de objetos que adquirió con el fin de
soportar Servicios de dominio de Active Directory. Puede recibir ID de objeto de Microsoft al
enviar un correo electrónico a oids@microsoft.com. En su correo electrónico, incluya el prefijo
PARTE III
de asignación de nombres de su organización y la siguiente información de contacto: nombre,
dirección y número telefónico del contacto.
Los identificadores de objeto son cadenas en una notación con punto similar a las direccio-
nes IPv4. Las autorizaciones que emiten pueden asignar un identificador de objeto en un subni-
vel a otras autoridades. ISO es la autoridad raíz. ISO tiene un número de 1. Cuando se asigna un
número a otra organización, ese número se usa para identificar a esa organización. Si se le asignó
a T&T el número 488077, y T&T asignó un 1 a un desarrollador, y ese desarrollador asignó 10 a
una aplicación, el número de la aplicación sería 1.488077.1.10.
Para crear su estrategia de modificación de esquema, debe dar tres pasos:
• Identificar los elementos de la directiva de modificación del esquema.
• Identificar al propietario y al transportista para la función de tenedor de directiva de cambio
de esquema.
• Identificar el proceso de administración de cambio de esquema.
La directiva de modificación de esquema incluye varios elementos:
• Lista de los miembros del grupo de administradores empresariales universales.
• Estrategia de seguridad y administración del grupo de administradores de esquema univer-
sales. Este grupo debe mantenerse vacío todo el tiempo, agregando miembros sólo cuando se
requieren modificaciones. Dichos miembros deben eliminarse en cuanto la modificación esté
completa.
• Creación de la función Tenedor de directiva de cambio de esquema.
• Documentación de la estrategia de administración de cambio de esquema, incluidos:
• Preparación de documentación de soporte para solicitud de cambio, con descripción y
justificación de la modificación.
• Análisis de efecto del cambio. Efectos de replicación a corto y largo plazos. Costos del cam-
bio solicitado. Beneficios a corto y largo plazos del cambio.
• Identificador de objeto globalmente único de la nueva clase o atributo, obtenido de una

fuente válida.
• Descripción oficial de la clase, incluido tipo y localización de la clase en la jerarquía.
• Resultados de prueba de estabilidad y seguridad del sistema. Diseñe un conjunto de prue-
bas estándar para todas las modificaciones.
• Método de recuperación de modificaciones. Asegúrese de que cada propuesta de modifica-
ción incluya una estrategia de regreso a la última configuración buena conocida.
• Proceso de autorización de modificaciones; estructura de reunión para recomendaciones de
modificaciones.
• Proceso de implementación de modificaciones que delinea cuándo debe realizarse el cambio
(fuera de áreas de producción), cómo debe realizarse y quién la debe hacer.
• Documentación de informes de modificaciones. ¿La modificación alcanza a todos los DC?
¿La replicación regresa a los niveles esperados?
Este proceso debe documentarse al principio de su implementación para asegurar la

integridad continua de su esquema de producción. Si esto se hace bien, en raras ocasiones
encontrará a su personal realizando restauraciones a medianoche del esquema que tenía ayer en
producción.
Use los Servicios de directorio ligero de Active Directory

El propósito de ADLDS es ofrecer un servicio de directorio puro de protocolo de acceso a directo-
rio ligero (LDAP, Lightweight Directory Access Protocol). Ofrece almacenamiento y recuperación
de datos para aplicaciones habilitadas por directorio sin las dependencias o los estrictos requisi-
tos de preparación que requiere una estructura de ADDS.
Las aplicaciones habilitadas por directorio dependen de directorios en lugar de una base
de datos estándar, archivo plano u otra estructura de almacenamiento de datos para contener
sus datos. Debido a que ADLDS depende de una estructura de base de datos jerárquica, ofre-
ce mejoras importantes de rendimiento sobre bases de datos relacionales para ciertos tipos de
búsquedas de datos. Los directorios de LDAP están optimizados para procesamiento de lectura,
en oposición al procesamiento transaccional para el que están optimizadas las bases de datos
relacionales. Esto significa que si un usuario necesita derechos de acceso de lectura para una
aplicación habilitada por directorio, los directorios LDAP lo regresarían más rápido que una base
de datos relacional.
La ventaja de trabajar con ADLDS es que está basado en el mismo código base que ADDS,
pero sin que sea obligatoria la presencia de dominios o controladores de dominio. A pesar de
esto, ADLDS ofrece replicación multimaestra, programación de Interfaz de servicios de Active
Directory (ADSI, Active Directory Services Interface), particiones de directorio de aplicaciones y
la capacidad de usar la capa de conectores segura (SSL, Secure Sockets Layer) para comunica-
ciones seguras. Una principal diferencia con ADDS es que ADLDS no almacena principios de
seguridad de Windows. Sin embargo, puede llamar a principios de seguridad que están alma-
cenados dentro de un directorio de ADDS, como cuentas de usuario de dominio, por ejemplo,
para controlar acceso a objetos en el directorio ADLDS. Puede almacenar cuentas de usuario en
ADLDS, pero no podrán interactuar con Windows, porque éste no reconoce las cuentas de alma-
cenes ADLDS. Estas cuentas pueden ser útiles en un directorio ADLDS. Esto proporcionaría una
FIGURA 5-20
La naturaleza diferente de
las modiicaciones del
esquema en comparación
con directorios de ADLDS. ADLDS
Adiciones al esquema
ADDS
estructura de acceso mucho más segura que colocar un directorio ADDS en la DMZ y arriesgarse
a que se vea comprometida.
Siempre considere un ADLDS, aún en la red interna, en lugar de hacer una modificación
personalizada al esquema. Las modificaciones del esquema son permanentes y en realidad ex-
panden el tamaño de un directorio de ADDS, mientras los directorios de ADLDS interactúan con
las estructuras de directorio de ADDS, pero no las afectan (vea la figura 5-20).
PARTE III
Mejores prácticas de la estrategia de modiicación del esquema
Use las siguientes mejores prácticas de modificación del esquema:
• No haga sus propias modificaciones al esquema, a menos que sean absolutamente necesarias.
• Use ADDS principalmente como un directorio de sistema operativo de red.
• Use ADLDS para integrar aplicaciones con ADDS.
• Use el Identity Integration Feature Pack para vincular varias estructuras de ADDS y Exchange.
• Use Microsoft Identity Lifecycle Manager para vincular ADDS con directorios de terceros y
administrar infraestructuras de ADCS.
• Asegúrese de que todos los productos comerciales que modificarán el esquema están aproba-
dos por Windows Logo.
• Limite sus modificaciones iniciales a las hechas por software comercial.
• Cree una función de Tenedor de directiva de cambio de esquema en las primeras etapas del
proceso de implementación.
• Documente la directiva y el proceso de modificación del esquema.
Plan de implementación de ADDS

La primera etapa de la preparación de ADDS está completa. Ha diseñado su estrategia de ADDS.
Ahora necesita implementar el diseño. Para ello, requiere un plan de implementación de ADDS.
Este plan delinea el proceso de migración de ADDS. Básicamente, este plan identifica los mismos
pasos que el proceso de diseño, pero sólo está concentrado en los que tratan con la implementa-
ción. Como tal, se reduce a cuatro pasos principales:
• Instalación de bosque, árbol y dominio.
• Diseño de OU y grupo.
• Posicionamiento de servicio.
• Implementación de topología de sitio.
Una vez que estos cuatro pasos estén completos, su ADDS podrá funcionar. Estos cuatro
pasos integran el plano de implementación de ADDS (vea la figura 5-21).
Este plano está diseñado para cubrir todos los pasos principales en una nueva implementa-
ción de ADDS. Usa el concepto de red paralela delineado antes para crear una nueva red separa-
da que puede aceptar usuarios, como se migra a partir de la red de producción existente. Debido
a que este proceso está relacionado de cerca con las implementaciones de la infraestructura de
red IP, de una nueva estructura de Servicios de dominio de Active Directory y de la infraestruc-
tura de red de IP, se cubrirán en el siguiente capítulo. Sin embargo, si ya tiene una estructura de
Active Directory en el lugar, lo más probable es que use un proceso de actualización. Este proceso
de actualización también se perfila en el siguiente capítulo.
Funciones de TI de ADDS nuevas y revisadas

Un aspecto final del diseño de ADDS es la creación de nuevas funciones de TI. Si está migrando
de Windows NT a Windows Server 2008, todas estas funciones serán completamente nuevas. Si
ya está usando Active Directory, entonces ya sabe que todas estas funciones son necesarias. Las
nuevas funciones de TI se delinean en la tabla 5-10. Una vez más, dependiendo del tamaño de su
organización, puede combinar funciones. Lo importante aquí es que cada función sea identificada
dentro de su grupo de TI.
Todas estas funciones necesitarán interactuar entre sí durante las operaciones continuas. Una
discusión de mesa redonda regular es una manera excelente para que las personas que reali-
zan estas funciones lleguen a conocerse entre sí y empiecen el proceso de comunicación. No es
necesario que la frecuencia de estas reuniones sea especialmente alta. Determine el número de
reuniones que necesite por año de acuerdo con los objetivos que establezca para su directorio.
Pueden ser hasta dos por año.
El proceso de diseño de ADDS continuo

En resumen, el proceso de diseño de ADDS es complejo sólo porque incluye muchas etapas
más que el proceso de diseño de Windows NT. Una de las cosas que necesita recordar es que
la creación de una estructura de ADDS de producción es crear un espacio virtual. Debido a que
es virtual, puede manipular y cambiar su forma a medida que evolucionan sus necesidades y su
comprensión de los Servicios de dominio de Active Directory. WS08 facilita aún más esto al per-
mitir la funcionalidad de arrastrar y colocar dentro de las consolas de administración de ADDS:
Usuarios y equipos de Active Directory, Dominios y confianzas de Active Directory y Sitios y ser-
vidores de Active Directory. WS08 también permite varios cambios de atributos de objetos (por
ejemplo, si necesita cambiar el mismo atributo en varios objetos).
Para ayudar a simplificar el proceso de diseño de ADDS para usted, las herramientas de
trabajo de ejemplo aparecen en una lista en el sitio Web que sirve de complemento a este libro.
Una herramienta es un glosario de los términos de Active Directory. Puede usarlo junto con la
figura 5-2 para asegurar que todos tienen una comprensión común de cada característica. Otros
perfilan el plano de diseño de ADDS ilustrado en la figura 5-5. Es una forma de controlar el pro-
ceso en funcionamiento que le permite seguir el proceso de diseño de ADDS, etapa por etapa, y
marcar las tareas completadas. Ambos le ayudarán a diseñar el ADDS que se amolde mejor a las
necesidades de su organización.
¿Bosque? Sí Un bosque No Varios bosques Criterios para varios bosques

Plan del
bosque
- Administración de red dividida entre grupos

No Sí Sí individuales sin confianza
- Unidades de negocios políticamente
Criterios de dominio: independientes
- Cumple necesidades de directiva de - Mantener unidades de negocios separadas
¿Dominio? seguridad - Necesidad de aislar esquema y contenido
- Cumple necesidades de administración de configuración o GC
- Optimiza tráfico de replicación - Necesidad de limitar el alcance de la
- Capacidad y disponibilidad de vínculo confianza entre dominio y árboles de
No - Tráfico de replicación con otro tráfico dominio
- Vínculos de pago por uso
- Sólo vínculos SMTP La regla AGLP
- Retiene estructura de dominio de Acceso a dominio
Windows
Asignación de contenedor
Dominio Permisos de
- Dominio WS08 plenamente funcional Grupo Local directorio
¿Unidad Criterios de OU: Permisos de

organizativa? - Delegación Cuentas Grupo global Grupo Local extremo
- Localización Acceso de bosque

Grupo universal
- Funciones de negocios Usado para acceso a
todo el bosque
- Tipos de objeto
PARTE III
No - Objetos ocultos y acceso a límites Acceso a dominio
- Administración de directiva de grupo

Dominio Permisos de
- Local Grupo Local directorio
- Sitios
- Dominios
Servicios de directorio de espacio
Permisos de
- Unidades organizativas Cuentas Grupo global Grupo Local extremo
¿Grupo? Sí
Criterios de posicionamiento de servicio de directorio
de nombres y de núcleo
¿DNS?
central:
- DC En cualquier lugar hay Posicionamiento de servidor FSMO:
Sí - GC por lo menos un DC - Funciones FSMO de todo el bosque:
- DNS - Maestro de esquema
- Autentificación - Maestro de nombre de dominio
Posicionamiento - FSMO - Funciones FSMO centradas en el
del servicio - Sincronización de tiempo (Emulador PDC) dominio:
- Identificación relativa (RID)
¿Replicación? Criterios de posicionamiento de DC - Emulador PDC
- Instalación de más de 50 usuarios - Maestro de infraestructura
Replicación
- Instalación con ancho de banda de 56 Kbit o más

Controlador
- DC de Windows NT 4 existente en el sitio hoy
de dominio
- 10% ancho de banda libre
Vínculo de sitio ¿Puente Crear puentes DMZ o control
No Sí de replicación Sí obligatorio? Sí de vínculo de sitio Sí de tráfico No
Sí
Depende un
proveedor externo Crear servidores
cabeza de puente
Diseño de plano de Active Directory Leyenda: Proceso Criterio o regla Fin del proceso
FIGURA 5-21 Plano de implementación de AD.

Función Departamento Tipo de función Responsabilidades

Propietario de bosque Planeación de TI y ar- Administración de servicio • Asegura que todos los estándares
quitectura empresarial del bosque se mantengan dentro
de éste
• Identiica y documenta nuevos
estándares
Administrador de Grupo de TI Administración de servicio • Asegura que el bosque opere apro-
bosque piadamente
• Impone todos los estándares del
bosque
Propietario de dominio Grupo de TI/Capacita- Administración de servicio • Asegura que todos los estándares
ción/SI de dominio se mantienen dentro del
dominio
• Identiica y documenta nuevos
estándares
Administrador de Grupo de TI Administración de servicio • Asegura que el dominio está operan-
dominio do apropiadamente
• Impone todos los estándares de
dominio
Administrador de DNS Grupo de TI Administración de servicio • Asegura la operación apropiada del
espacio de nombres del bosque
• Administra y maneja intercambios
de DNS internos y externos
Administrador de Grupo de TI Administración de servicio • Monitorea y analiza replicación del
topología de sitio bosque
• Modiica la topología del sitio y
mejora la replicación del bosque
Tenedor de direc- Toda la organización Administración de servicio • Monitorea todos los cambios de
tiva de cambio de esquema
esquema • Autoriza los cambios de esquema
después de la revisión
• Controla la directiva de cambios de
esquema
Propietario de dominio Planeación de TI y ar- Propietario de datos • Responsable de grupos administrati-
raíz quitectura empresarial vos universales
• Marcador de posición para todo el
bosque
Propietarios de OU Toda la organización Propietario de datos • Responsable de toda la información
delegada dentro de la OU
TABLA 5-10 Nuevas funciones de TI de AD
NOTA El sitio Web que acompaña este libro puede encontrarse en www.reso-net.com/livre.
asp?p=main&b=WS08.
Estas herramientas sólo pueden ayudarle en el proceso de diseño. El éxito o la falla del
proceso de diseño de Servicios de dominio de Active Directory que complete dependerán en su
totalidad de los elementos en que invierte su organización. Recuerde que ADDS es el núcleo
de su red. Su diseño debe responder a las necesidades de la organización. La única manera de
asegurar esto es reunir a todos los accionistas de ADDS y hacer que participen en el proceso de
diseño. En otras palabras, la calidad del equipo que integra para crear su diseño de ADDS influirá
en gran medida en la calidad de los resultados que obtiene.
CAPÍTULO
6
Construya la infraestructura de red
de Windows Server 2008
A
hora que comprende Active Directory, está listo para empezar la implementación de los
servicios que Windows Server 2008 (WS08) proporcionará en su red. Aquí, puede encon-
trarse en una de tres situaciones:
• Tiene una red y quiere migrar a una infraestructura de centro de datos dinámica.
• No tiene una red y quiere implementar un nuevo centro de datos dinámico para proporcionar
servicios a una organización determinada.
• Tiene un centro de datos y simplemente quiere actualizar sus ofrecimientos de servicios a
WS08.
En cada caso, necesita determinar cómo va a migrar a los ofrecimientos de servicios, pero
en los primeros dos, también necesita preparar el almacén de recursos que le permitirá crear los
ofrecimientos de servicios virtuales para proporcionar funcionalidades a la organización. Esto sig-
nifica que necesita pensar acerca de la manera en que construirá esta infraestructura de base que
ejecutará servicios de hosts. Luego, una vez que esté listo, considere el método que usará si está
migrando de una red a un ofrecimiento de servicios virtual. Si está usando éste, entonces debe
pasar a la segunda parte de este capítulo, que revisa el diseño de los ofrecimientos de servicios
de servicio. En cualquier caso, necesitará tomar decisiones arquitectónicas antes de moverse a la
propia implementación.
Construya su infraestructura de almacén de recursos

Cuando piense en la arquitectura del almacén de recursos, aunque es demasiado importante por-
que dará soporte a toda su infraestructura orientada a servicios, es relativamente simple debido
al hecho de que nunca necesita interactuar con usuarios finales. Esta infraestructura, debido
a su propia naturaleza, estará completamente bajo la responsabilidad del departamento de
operaciones de tecnología de la información. Los almacenes de recursos se vuelven similares a
la infraestructura de red que usa. Los usuarios finales obtienen beneficios de estos dispositivos,
pero es el personal de operaciones de TI el que interactúa directamente con ellos. Lo mismo es
cierto para el almacén de recursos.
241
Además, debido a que el almacén de recursos es una infraestructura en sí misma, estará

contenido dentro de un bosque propio de Servicios de dominio de Active Directory (ADDS) que
estarán separados y serán independientes de la estructura del bosque que usará para sus ofreci-
mientos de servicios virtuales. Este bosque de “utilería” le ayudará a proporcionar autentificación
centralizada y entornos de autorización para administrar equipos virtuales, además de proporcio-
nar una plataforma central para administración de servicios mediante la directiva de grupo. Esto
también asegurará la plataforma de hardware y la mantendrá separada de otros sistemas.
Ya que se trata de una infraestructura de servidor, querrá implementar una red de área local
virtual (VLAN, Virtual Local Area Network) para proporcionar comunicaciones de alta velocidad
entre dispositivos. Una vez más, esto significa que la infraestructura de protocolo de Internet
(IP, Internet Protocol) del almacén de recursos será independiente de la de los ofrecimientos de
servicios virtuales. Es una buena idea implementar una infraestructura IPv6 de los almacenes de
recursos, porque sus comunicaciones podrían ser más seguras que otros sistemas. Estos servido-
res sólo se comunican entre sí y con consolas de administración. Como estas consolas ejecutan
Windows Vista, puede depender de IPv6 tal como lo haría de IPv4.
Lo ideal es que el almacén de recursos se construya con servidores blades sin disco, adjuntos
a almacenamiento compartido de servidor (vea la figura 6-1). Las configuraciones blade variarán
de acuerdo con las necesidades de la organización, pero si trata de ejecutar un promedio de 16
máquinas virtuales por blade, deberá tener el correspondiente a las líneas de una configuración
típica (vea la tabla 6-1).
En el capítulo 4 se cubrió la manera en que podría construir y preparar imágenes del sistema
para estas máquinas. En realidad, debido a que se estarán ejecutando a partir de almacenamien-
to compartido, se vuelve muy fácil servir a estos sistemas, porque todo lo que necesita hacer es
copiar una unidad de almacenamiento lógico para generar otro disco de sistema. Esto acelerará
aún más el proceso de aprovisionamiento. Cada sistema debe ejecutar un programa antivirus
centralmente controlado, además de incluir otros mecanismos de protección estándar.
NOTA El almacén de recursos sólo ejecutará las ediciones Enterprise o Datacenter de WS08 porque
éstas incluyen varias licencias gratuitas para versiones virtualizadas de WS08. Esto también
simpliicará el aprovisionamiento.
Ofrecimientos de servicios virtuales

FIGURA 6-1
Los almacenes de recursos C:
utilizan servidores host D:

Servidor blade
blade con almacenamiento E:
compartido.
Almacén de recursos
Red de área de almacenamiento
Leyenda: Volumen de unidad
de almacenamiento
Disco duro Máquina virtual lógico
Capítulo 6: Construya la infraestructura de red de Windows Server 2008 243
Componente Descripción
Procesadores Mínimo: dos procesadores de doble núcleo
Recomendado: dos procesadores de cuatro núcleos o cuatro de dos
núcleos
RAM Mínimo: 8 GB
Recomendado: 16 GB
Conectividad de almacenamiento Adaptador de bus de host (HBA, Host Bus Adapter) para ibra óptica o
iSCSI
Volumen C: 40 GB más espacio para el archivo de paginación (mínimo el doble de
la RAM)
Volumen D: Permita un promedio de 50 a 100 GB para cada máquina virtual
Ejemplo: 16 x 100 GB = 1.6 TB
Volumen E: 20 GB por instantánea de volumen
Estructura de volumen de máquina virtual Discos expansibles para hacer el mejor uso del espacio en disco
Coniguración de red Mínimo: 2 x 1 Gbit Ethernet
Recomendado: 4 x 1 Gbit Ethernet
TABLA 6-1 Coniguración típica de servidor blade de host
PARTE III
Debido a la naturaleza de la función Hyper-V, cada servidor host necesitará ejecutar una par-
tición de administración (vea la figura 6-2). Como observará, Hyper-V está basado en una capa
de hipervisor delgada que se ejecuta directamente sobre el hardware certificado por Windows
Server. Luego, la partición principal proporciona la interfaz para la administración de máquinas
virtuales, mientras que éstas utilizan las extensiones de cliente de máquina virtual para interac-
tuar con el bus de la máquina virtual que está expuesto a través del hipervisor. Estas extensiones
Partición principal Partición nativa Partición heredada Partición Linux

Proceso de trabajador Sistema operativo
de máquina virtual
Hyper-V
Proceso de trabajador
deVM
máquina
Workervirtual
Process ISV/IHV/OEM
Proceso de trabajador XenServer de Microsoft/Citrix
de máquina virtual Aplicaciones Aplicaciones Aplicaciones
Proveedor de WMI
Servicio de
máquina virtual
Modo de usuario
Windows Server 2008 Windows Server 2003 Sistema operativo Kernel de Linux
x64 Server Core o que no reconoce compatible con Xen
Windows Server 2008 hipervisores
(Windows NT, Extensiones de
cliente de máquina
Kernel de Windows Kernel de Windows Windows 2000 o virtual de Linux
Windows XP)
Máquina virtual Extensiones de cliente Adaptador de
principal
p p de máquina
q virtual hiperllamada
Bus de máquina Bus de máquina Bus de máquina

Emulación
virtual (VMBus)
( ) virtual (VMBus)
( ) ( )
virtual (VMBus)
Modo de kernel
Hipervisor de Windows (Hyper-V)
Hardware de servidor “diseñado para Windows”
FIGURA 6-2 Estructura de recursos de Hyper-V.

de cliente están construidas en WS08. Esto significa que cualquier instancia virtualizada de WS08
podrá contender apropiadamente por los recursos físicos y será un cliente virtual“bien portado”.
Y debido a la sociedad de Microsoft con Citrix, las distribuciones de Linux compatibles con Xen
también pueden aprovechar el VMBus a través de las extensiones especiales de cliente propias.
Además de la partición principal, tendrá que cargar la función Controlador de dominio (DC,
Domain Controller) en los dos últimos servidores hosts. Éstos deben identificarse y configurarse
apropiadamente, porque desempeñarán una función adicional junto con Hyper-V. Dos controla-
dores de dominio deben de ser suficientes para este bosque, porque sólo utilerías como servidores
hosts estarán conectadas a este dominio. Además, debe ser este número pequeño, porque agrega
sobrecarga al servidor, limitando el número de máquinas virtuales que puede hospedar.
PRECAUCIÓN No haga de estos controladores de dominio máquinas virtuales. Si necesita empezar

con los equipos hosts y los controladores de dominio se detienen, tendrá diicultades para ingresar
en el dominio. El problema se complica cuando los controladores de dominio detenidos están en
hosts que están detenidos. Ejecute esta función en máquinas reales, físicas, y asegúrese de que
están activos todo el tiempo.
Estos servidores deben incluirse en clústeres, siempre y cuando sea posible proporcionar alta
disponibilidad para los ofrecimientos de servicios virtuales a los que darán soporte. También deben
ejecutar los servicios de replicación del sistema de archivos distribuidos (DFS, Distributed File
System) para ayudar a proteger a los equipos virtuales que hospedan. Estas configuraciones de alta
disponibilidad se cubren en el capítulo 11, donde se analiza la estrategia de continuidad de nego-
cios. Para protección inmediata, debe configurar el Servicio Instantáneas de volumen para asegurar
que tiene una instantánea local de cada máquina virtual. Para fines de administración, necesitará
un número apropiado de consolas para gestionar cada uno de los nodos del almacén de recursos.
Lo ideal es que se realice desde las PC de operador que ejecutan la función de administración de
Hyper-V o que ejecutan el System Center Virtual Machina Manager (SCVMM) de Microsoft.
NOTA SCVMM es una adición excelente a cualquier centro de datos dinámico que ejecuta una
infraestructura virtual. Encontrará información sobre SCVMM en www.microsoft.com/
systemcenter/scvmm/default.mspx.
Por tanto, necesita hacer lo siguiente cuando prepare el almacén de recursos:

1. Proporcione un servidor host inicial.
2. Configure IP y otras opciones para personalizar el servidor.
3. Instale/configure sistemas de seguridad en el host.
4. Agregue la función Controlador de dominio y cree el bosque de utilería.
5. Proporcione un segundo servidor host.
6. Configure IP y otras opciones para personalizar el servidor.
7. Instale/configure sistemas de seguridad en el host.
8. Agregue la función Controlador de dominio y una el bosque de utilería.
9. Configure alta disponibilidad para los dos hosts. Configure el Servicio Instantáneas de volu-
men (VSS, Volume Shadow Copy Service).
10. Instale consolas para empezar a administrar el almacén de recursos.
Luego, una vez que ha hecho esto, puede empezar a agregar servidores hosts adicionales y
unirlos como servidores miembros al bosque del almacén de recursos.
Cree el bosque de utilerías

Para crear el entorno centralizado para autentificación de almacén de recursos, necesita construir
dos controladores de dominio. Este bosque será uno de un solo dominio, porque es un bosque de
utilerías con el que sólo interactuará TI. Por esto no tiene las mismas opciones que tendría el bosque
de ofrecimientos de servicios virtuales que creará más adelante. En el primero, los usuarios finales
interactuarán con el directorio. Por ello, deberá crear un dominio secundario que elimine el acceso a
las funciones administrativas empresariales encontradas en el dominio raíz de cualquier bosque.
Debido a que este dominio se hospedará en instalaciones de Server Core, estará ejecutan-
do la utilería de línea de comandos de ADDS (DCPROMO.EXE) en modo automático con su
archivo de respuestas no atendido. Aunque se trata de un bosque de utilería, aún debe seguir las
directrices delineadas en el capítulo 5 y recibir un nombre y una configuración apropiados. Por
ejemplo, si tiene sitios remotos que ejecutarán servidores del almacén de recursos, deberá decidir
si quiere ejecutar la función DC en uno de ellos para asegurar la autentificación en caso de que
rompan los vínculos con la red de área amplia (WAN, Wide Area Network).
PARTE III
PRECAUCIÓN No instale la función DC de sólo lectura (RODC, Read Only DC) en estos servidores.
RODC no almacena credenciales administrativas y necesita hacer una llamada a WAN en busca de
un controlador de dominio de lectura-escritura para iniciar sesión como administradores. La función
RODC es sólo para ofrecimientos de servicios virtuales. Tal vez, en realidad, no necesite tener DC
remotos en este bosque. Las credenciales de inicio de sesión y arranque se almacenan en la caché local
en servidores miembros, una vez que se recuperan del DC, de modo que los vínculos WAN no siem-
pre son obligatorios. Además, si no tiene personal administrativo en estos sitios remotos, de todos
modos deberá tener una conexión WAN para trabajar en estos sistemas. Si tiene una conexión WAN
para realizar trabajo, tiene una conexión WAN con el DC que le permitirá iniciar sesión.
Las propiedades de este bosque deben identificarse en el archivo de respuesta. Compre un

nombre apropiado para este bosque, como lo haría con cualquier otro. Un buen nombre es uno
que termine con la extensión .ws, porque son las iniciales de Windows Server, pero debe hacer
lo que tenga más sentido para usted. Éste es el ejemplo usado aquí. Usa la corporación T&T
como organización de ejemplo. Cree un archivo de respuesta con las siguientes entradas.
[DCINSTALL]
InstallDNS=yes
NewDomain=forest
NewDomainDNSName=TandT.WS
DomainNetBiosName=TANDTWS
ReplicaOrNewDomain=domain
ForestLevel=3
DomainLevel=3
RebootOnCompletion=yes
SafeModeAdminPassword=contraseña
Esto instalará un bosque en el modo funcional de bosque y dominio de WS08. Llámelo Tan-
dT.WS, asígnele el nombre NetBIOS TANDTWS, instale el sistema de nombre de dominio (DNS,
Domain Name System) y haga del servidor un Catálogo global. También instalará las bases de
datos y otras carpetas ADDS en ubicaciones predeterminadas. Debido a que este dominio sólo
tiene dos DC y unos cuantos servidores miembro, no requiere ninguna consideración especial en
cuanto a los aspectos de configuración de los archivos que integran el directorio.
Para aplicar la función, use los siguientes comandos en su sistema Server Core:
dcpromo /unattend:rutadearchivoderespuesta
SUGERENCIA Encontrará más información sobre coniguraciones de archivos de respuesta no aten-

dida en http://technet2 microsoft.com/windowsserver2008/en/library/fb7bf6dd-6940-4744-9028-
323fdc073ad71033.mspx?mfr=true.
Use un archivo similar en ambos DC. Por supuesto, el segundo archivo debe indicar al DC
que se una al dominio existente. Lo siguiente debe usarse en esta segunda instalación:
[DCINSTALL]
InstallDNS=yes
ReplicaOrNewDomain=replica
ReplicationSourceDC=HostDCOne.TandT.WS
RebootOnCompletion=yes
SafeModeAdminPassword=contraseña
Como verá, esta segunda instalación es más simple porque el controlador de dominio está
uniéndose a un dominio existente. Todos los otros sistemas serán servidores miembros que se
unirán a este dominio.
Ahora que ya está creado el bosque, debe transferir las funciones Maestro de operaciones,
de modo que puedan compartirse entre los dos controladores de dominio. Ésta es una mejor
práctica que se recomendó en el capítulo 5. Una vez más, necesita usar la línea de comandos para
realizar esta operación. Transferirá el Maestro de nombre de dominio y el Maestro de infraestruc-
tura al segundo DC. Para ello, inicie sesión en el segundo DC y escriba los siguientes comandos:
ntdsutil
roles
connections
connect to server nombreservidor
quit
transfer naming master
transfer infrastructure master
quit
quit
Donde nombreservidor es el nombre DNS del segundo DC. El comando NTDSUTIL es una inter-
faz de comando y le permite escribir comandos a medida que los necesita. Ahora están listos los DC.
Conigure el servicio Instantáneas de volumen

Una de las características más estimulantes que surgieron en Windows Server 2003 es el servi-
cio Instantáneas de volumen (VSS), que también está disponible en Server Core. Lo que es más
impresionante de esta característica es que resulta realmente rápido y fácil implementarla, y pro-
porciona una solución inmediata a la protección de archivos compartidos. El servicio VSS toma
automáticamente una “instantánea” de los archivos localizados en cualquier carpeta compartida
donde se ha habilitado el servicio. Estas instantáneas incluyen una imagen del contenido de la
carpeta en un momento determinado. Dependiendo del espacio que tenga disponible (cada ins-
tantánea de VSS es de 100 megabytes, o MB), podría tener hasta 512 instantáneas en un volumen
de disco. Y debido a que Microsoft fabrica un componente de cliente para VSS, el cliente Versiones
anteriores, disponible junto con VSS, los usuarios y los administradores pueden tener acceso a
estas instantáneas, mientras que en Windows XP tenía que desplegar el cliente Versiones anterio-
res, integrado a Windows Vista y WS08.
En servidores de archivo regulares, esto significa que una vez que se ha implementado VSS,
los usuarios pueden recuperar muy bien cualquier archivo que hayan perdido, en la privacidad
de su propio escritorio, sin tener que preocuparse de nada y sin la vergüenza de tener que decir a
alguien que han perdido un archivo una vez más. Eso es porque el servicio Instantáneas de volu-
men está diseñado para ayudar en el proceso de recuperación de versiones anteriores de archivo
sin tener que depender de respaldos. De esta manera, VSS es muy parecido a “revertir la elimi-
nación” de un servidor. En términos de administración de una máquina virtual, esta herramienta
es muy útil, porque protege a los archivos que integran cada máquina virtual y les da acceso
inmediato a ellos en caso de que ocurra un suceso indeseable.
Como opción predeterminada, Windows Server 2008 crea instantáneas dos veces al día: a las
7:00 a.m. y al mediodía. Este calendario puede cambiarse si no cumple con sus necesidades. Las
PARTE III
instantáneas no reemplazan a las copias de seguridad porque no se crean éstas últimas, de modo
que si ya no está disponible una instantánea, no se podrá usar. Eso se debe a que dependen de
un procedimiento de escritura hacia adelante. Cuando el disco escribe un nuevo archivo, en lugar
de reemplazar el existente, lo escribe en una nueva ubicación vacía. VSS crea un punto en la
ubicación original, y siempre y cuando no se sobrescriba esta ubicación original, VSS puede recu-
perar el archivo original. Como verá, VSS sólo trabaja bien si tiene una gran cantidad de espacio
libre en sus discos, pero no obstante es una buena solución y requiere muy poco trabajo adicional
para que se ejecute. Por tanto, debe implementarlo hasta donde sea posible.
SUGERENCIA Si está usando un almacenamiento adjunto de red (NAS, Network Attached Storage)
o una red de área de almacenamiento (SAN, Storage Area Network) para hospedar almacena-
miento compartido para sus almacenes de recursos, tal vez ya tenga una característica de instan-
tánea dentro del entorno de almacenamiento compartido. De ser así, dependa de la característica
integrada en lugar de VSS.
He aquí cómo implementarlo. VSS almacenará las instantáneas en E:, la unidad que ha con-
figurado para su sistema. Cuando esta unidad se llene, simplemente sobrescribirá las versiones
más antiguas de las instantáneas.
1. Prepare su servidor host. Éste ya tiene tres volúmenes diferentes. El primero, unidad C:, está re-
servado para el sistema operativo y el archivo de paginación. El segundo, unidad D:, es su unidad
de datos; será la que hospedará las unidades de disco duro de la máquina virtual y los archi-
vos de configuración. La tercera unidad, E:, está reservada para almacenar las instantáneas. Use
el comando DISKPART para crear y asignar los dos discos adicionales. DISKPART es una interfaz
de comando. Debe empezar por ingresar la interfaz y luego escribir comandos. Una vez que
haya terminado, puede salir de la interfaz de comandos. Use los comandos siguientes. Asegúrese
primero de adjuntar los discos a este servidor en su tecnología de almacenamiento compartido.
NOTA Tal vez primero tenga que reasignar la letra a la unidad de DVD para asignar apropia-
damente la unidad D: a un disco. Esto se releja en esta secuencia de comandos. Empieza por
seleccionar la unidad de DVD y reasignar su letra a Y:. Luego pasa a preparar los demás discos.
Esto supone que el disco 2 es la unidad D: y el disco 3 es la unidad E:. No asigna tamaños porque
el tamaño total del disco está formateado como opción predeterminada.
diskpart
list volume
select volume 2
assign letter=Y
list disk
select disk 2
create partition primary align=64
assign letter=D
format quick label=VMdata
select disk 3
create partition primary align=64
assign letter=E
format quick label=VSSdata
list disk
exit
2. Habilite el Servicio Instantáneas de volumen. VSS es una propiedad de un volumen de disco
en Windows Server. Debido a que se trata de una instalación de Server Core, necesitará la
línea de comandos para habilitarlo. Debe crear instantáneas de la unidad D: y almacenarla
en la unidad E:. Vea cuáles volúmenes existen, asigne la instantánea y luego cree su primera
instantánea. Use los siguientes comandos:
vssadmin list volumen
vssadmin AD shadowstorage /for=VolumenFor /on=VolumenOn
Donde VolumenFor es la unidad D: y VolumenOn es la unidad E:, la línea de comandos debe
tener este aspecto:
vssadmin AD shadowstorage /for=D: /on=E:
vssadmin create shadow /for=D:
3. Administre carpetas compartidas. Ahora VSS está habilitado, pero no necesita compartir nin-
guna carpeta para usarla. Esto se debe a que todos los servidores tienen recursos automáticos
compartidos para fines administrativos llamados letraunidad$. Por ejemplo, el recurso com-
partido administrativo de la unidad D: es \\nombreservidor\D$. Estas carpetas compartidas
pueden aprovechar automáticamente el servicio VSS.
4. Use el cliente Versiones anteriores para acceder a las instantáneas. Ésta es probablemente
la parte más fácil del proceso. Para ver versiones anteriores de un archivo o carpeta, abra el
Explorador de Windows en una máquina remota, conéctese al recurso compartido administra-
tivo, localice el archivo o, si ya no se encuentra, la carpeta en que se almacenó, haga clic con el
botón derecho en él para seleccionar Propiedades, vaya a la ficha Versiones anteriores, selec-
cione la versión que necesita, y haga clic en Restaurar. Cierre el cuadro de diálogo Propiedades
cuando termine. También puede copiar y comparar archivo (vea la figura 6-3).
5. Monitoree el uso de VSS para determinar si el calendario predeterminado es apropiado. Revise
la manera en que puede usar el servicio VSS en servidores hosts para ver si necesita modificar
PARTE III
FIGURA 6-3 Acceso a versiones anteriores de máquinas virtuales.
el calendario predeterminado. Tal vez quiera más de dos copias al día. Mida lo que necesita y
modifique el calendario, de acuerdo con lo apropiado.
Eso es todo. Tal vez quiera agregar esto a su consola remota para administración de servidor
host. Empiece por instalar las herramientas administrativas de Hyper-V en PC administrativas
(lo ideal es que ejecuten Vista). A continuación, puede usar la consola Administración de equipos
para administrar remotamente el servicio Instantáneas de volumen en sus servidores de host. Ya
está listo para trabajar con sus ofrecimientos de servicios virtuales.
NOTA En esta etapa, debe construir una o dos máquinas de administración que ejecuten la insta-
lación completa de WS08 con la función Hyper-V. Estas máquinas la ayudarán en la adminis-
tración del almacén de recursos y la creación y coniguración de los ofrecimientos de servicios
virtuales. Este procedimiento se delinea en el capítulo 13.
Construya sus ofrecimientos de servicios virtuales

Ahora que su infraestructura de servidor host está lista para recibir los ofrecimientos de servicios
virtuales, puede empezar a trabajar de manera más amplia en ellos. Cuando los mueva a una red
de WS08, como cualquier otra red de Windows, deberá trabajar con tres categorías principales
de sistemas:
• Servidores de administración de identidad Entre éstos se incluyen controladores de
dominio o los sistemas que contienen y mantienen la base de datos de identidad corporativa
para usuarios y otros objetos de red.
• Servidores miembro Todos los otros servidores de la red caen en esta categoría. Entre éstos
se incluyen servidores de aplicación, de archivos e impresoras, Web, etcétera.
• Equipos personales Abarcan todas las estaciones de trabajo, incluidos los equipos portátiles.
En el caso de Windows Server 2008, le preocupará principalmente la construcción de las
primeras dos categorías, pero a pesar del hecho de que WS08 es un sistema operativo de servi-
dor, la implementación en su red también requiere algunas operaciones en la PC. Todo depende de
la estrategia de migración que elija. De hecho, necesita tomar algunas decisiones críticas antes de
que empiece la instalación de sus servidores en sus ofrecimientos de servicios virtuales.
Necesita elegir la manera en que migrará y, en especial, qué deberá migrar en primer lugar
antes de seguir adelante. Una vez que haya cubierto estas consideraciones, puede pasar a cons-
truir su red.
Elija el método de migración

Una de las decisiones más importantes que tomará antes de migrar es cómo quiere migrar.
¿Realizará nuevas instalaciones o actualizaciones? Nuestra recomendación: si está pasando de
Windows NT a Windows Server 2008, o si está pasado de una red de Windows Server 2000/2003
que se actualizó desde Windows NT, debe aprovechar esta oportunidad para realizar nuevas ins-
talaciones en todos los lugares. Si tiene algo en su red que le gustaría revisar y reordenar, enton-
ces realice instalaciones nuevas. Pero si ya las realizó cuando migró de Windows NT a Windows
2000/2003 (por ejemplo, si usó las mejores prácticas cubiertas en nuestros libros anteriores en
WS03) puede simplemente realizar actualizaciones en el lugar de sus sistemas de Windows 2003.
PRECAUCIÓN Recomendamos nuevas instalaciones debido a la acumulación de actualizaciones de

sistema. Lo más probable es que los servidores que han estado activos desde hace mucho tiempo
hayan cambiado de manera importante a partir de su instalación básica. Las construcción de nue-
vos servidores siempre es la mejor apuesta, aunque es más trabajo que realizar una actualización,
porque le permite empezar de cero y se ahorrará muchos posibles dolores de cabeza más adelante.
La respuesta a la primera pregunta influirá en gran medida en las decisiones que tome durante
su migración. Si necesita realizar nuevas instalaciones, simplemente actualice los servidores existentes,
porque será difícil diseñar un método de migración que no interrumpa las operaciones normales. Sin
embargo, hay métodos que podrían simplificar el proceso de migración. Por ejemplo, podría poner
en funcionamiento un nuevo servidor empleando una red separada, darle el nombre de un servidor
existente en su red y reemplazar el antiguo con el nuevo. Pero este método tiene algunos problemas.
Aunque el nuevo servidor tenga el mismo nombre, no se verá como el mismo equipo dentro de su
red porque WS08 no usa el nombre del equipo para comunicarse con un servidor e identificarlo. En
cambio, usa el identificador de seguridad (SID, Security ID), un número aleatorio de identidad que se
genera en la instalación. Este identificador nunca se duplicará en una red determinada y nunca será el
mismo entre dos equipos que estén instalados empleando uno de los cuatro métodos de instalación.
Hay algunas consideraciones, y habrán de tomarse en cuenta a medida que sigamos adelante.
Si quiere aprovechar WS08 para implementar una nueva red, el uso de nuevos principales y
una nueva arquitectura, debe considerar el método de red paralela. Es el método más seguro por-
que incluye el menor riesgo. Se concentra en la implementación de una nueva red paralela que
Los servidores hosts centrales se forman a partir de nuevas adquisiciones
Se construye el núcleo de la nueva red con máquinas virtuales
Se activan los servicios de red centrales
Red heredada Nueva red de Windows Server
Puesta en
funcionamiento
del servidor
A medida que los servicios Se vuelven a comisionar los
entran en línea, se dejan de servidores como servidores hosts
comisionar servidores y se agregan nuevas máquinas
específicos
Almacén de virtuales
migración
Los servidores se reconstruyen
como hosts, si es aplicable
PC y usuarios migran como

avances de proyectos
La red heredada deja de comisionarse cuando todas las PC, todos los
usuarios y todos los servicios de red migran a Windows Server 2008
FIGURA 6-4 Método de migración de red paralela.
PARTE III
no toca o afecta el entorno existente. Las operaciones activas no se ven afectadas porque la red
existente no se elimina o modifica. El método de la red paralela se basa en la creación de nuevas
máquinas virtuales que se usan para crear un almacén de migración. Este almacén se convierte
en el núcleo de la nueva red. Luego, a medida que echa a funcionar los nuevos sistemas para re-
emplazar a los servicios existentes, recupera sus máquinas de la red existente o heredada y cam-
bia su función antes de agregarlas a la nueva red (vea la figura 6-4). Si la máquina tiene recursos
suficientes, puede convertirse en un host de servidor virtual y unirse al almacén de recursos.
SUGERENCIA Reciclaje de hardware más antiguo. Hyper-V también se ejecuta en hardware

x64. Si tiene hardware más antiguo que incluye recursos suicientes para ejecutar máquinas vir-
tuales, pero sólo está basado en hardware x64, aún puede agregarlo al almacén de recursos. Para
ello, instale una copia apropiada de Windows Server 2008 en el nuevo host y luego, en lugar de
usar Hyper-V, instale Microsoft Virtual Server para ejecutar las máquinas virtuales.
La red paralela tiene varias ventajas. En primer lugar, proporciona un entorno continuo para
revertir al último estado correcto conocido. Si, por alguna razón, la nueva red no funciona de
manera apropiada, puede regresar rápidamente al entorno heredado porque aún estará funcio-
nando. A continuación, puede migrar grupos de usuarios y máquinas de acuerdo con su propio
cronograma. Debido a que la red existente aún se está ejecutando, puede tomar como destino
grupos específicos sin afectar a otros. Además, como la red existente aún se está ejecutando, pue-
de tomarse el tiempo para dominar por completo nuevas tecnologías y servicios antes de poner-
los en funcionamiento. Y, como los nuevos servicios están basados en máquinas virtuales, puede
probar y equivocarse hasta que operen exactamente de la manera que le gusta.
Sin embargo, tiene algunas desventajas. Implica más tiempo que hacer una actualización en
el lugar. Pero si quiere un mejor rendimiento por inversión al final de su proyecto, deberá to-
marse el tiempo para rediseñar su red para aprovechar por completo las nuevas características de
Red paralela Actualización

Ventajas
Proporciona un entorno continuo de regreso al último Costos menores.
estado correcto conocido. Más simple de diseñar, porque ya existen todos los
Migra grupos y usuarios “de acuerdo con lo necesario” servicios.
(aún grupos administrativos y de soporte). Sólo se administra una red.
Migra a su propia velocidad. Los métodos de soporte dual desaparecen más rápido.
Aprovecha de inmediato las nuevas características del
sistema.
Implementa características en el modo “nativo”.
Puede tratar con problemas existentes y repararlos.
Ganancia sobre inversión más rápida.
Desventajas
Costos más elevados al principio. No hay un método “simple” para regresar al último esta-
El diseño es más complejo porque es una red completado correcto conocido.
mente nueva. Debe migrar todos los usuarios a la vez cuando actualiza
Hay que administrar dos redes. los servicios de autentiicación (PDC).
Los métodos de soporte dual duran más. Sólo gana las nuevas características que funcionan en un
modo “combinado”.
Lleva los problemas existentes a la nueva red.
La ganancia sobre inversión es más lenta.
TABLA 6-2 Comparación entre red paralela y actualización
WS08. La red paralela es más difícil de vender en un proyecto de migración, pero tiene ventajas
que sobrepasan sus desventajas en la mayor parte de las situaciones. Debido a que está migrando
a ofrecimientos de servicios virtuales, la red paralela tiene sentido porque le permite dominar el
concepto de ofrecimientos de servicios virtuales antes de poner en funcionamiento los servicios.
En la tabla 6-2 se compara la actualización de la red paralela. El proceso de implementación
de la red paralela se delinea en el capítulo 12.
Elija qué migrar primero

Por supuesto, si su red está basada en Windows 2000/2003 y se ha tomado el tiempo de realizar
una migración apropiada a este sistema operativo, su ruta de migración a WS08 será mucho más
simple que la red paralela. Lo que deberá determinar es cuál sistema migrará primero: ¿servido-
res de identidad, servidores miembros o PC? Para una categoría de sistemas, PC, la respuesta es
fácil. Si ya está usando Windows XP Professional o Windows Vista, no tendrá que tocar las PC
hasta que haya migrado los servidores a los que están vinculadas. Pero la pregunta aún sigue
entre los servidores de identidad y miembros: ¿qué hacer primero?
Debido a que Windows Server 2008 soporta varios modos de sistema operativo y es com-
patible con Windows NT, y también con Windows 2000/2003, puede elegir la migración de cada
categoría de servidor en cualquier orden. En la figura 6-5 se ilustra la “regla de cálculo” de la
migración. Este concepto muestra que los servidores de identidad, servidores miembros y PC
pueden migrarse en cualquier orden. También despliega los cronogramas relativos de migración de
cada tipo de sistema, demostrando gráficamente la duración de cada proceso de migración com-
parado con los demás. La regla de cálculo se usa para demostrar que cada proceso de migración
Cronogramas relativos del proyecto
Migración del controlador de dominio a ADDS
Inicio Final
Migración del servidor miembro
Inicio Final
Migración de PC
Inicio Final
Inicio del proyecto Final del proyecto
Sistema de la regla de cálculo
PARTE III
FIGURA 6-5 La regla de cálculo de la migración.
puede moverse de un lugar a otro en el cronograma del proyecto, permitiéndole empezar con el
proceso que se amolda mejor a su organización.
Primero los servidores de identidad

En Windows Server 2008, migrar los servidores de identidad significa trabajar con Servicios de
dominio de Active Directory. Si ya está ejecutando Windows 2000/2003, este paso debe realizarse
con relativa facilidad, porque puede actualizar un controlador de dominio de Windows 2000/2003
y ejecutar un entorno “combinado” de Windows 2000/2003 y controladores de dominio de WS08.
Luego, cuando todos sus servidores hayan migrado a WS08, puede activar el modo de direc-
torio completamente funcional de esta versión de Windows. WS08 tiene cuatro modos de Active
Directory:
• Modo combinado con 2000, 2003 y WS08, que es el modo nativo de Windows 2000.
• Dominio de modo combinado con Windows Server 2003 y WS08, que es el modo de dominio
funcional para WS03.
• Bosque de modo combinado con Windows Server 2003 y WS08, que es el modo funcional de
bosque de WS03.
• Modo de bosque funcional de WS08.
Cambiar al modo funcional completo es algo que no se puede hacer a la ligera. Sólo pue-
de hacerlo cuando haya verificado que los controladores de dominio heredados se actualizan o
dejan de comisionarse y que todas las demás condiciones se cumplen. Pero si tiene experiencia
con Servicios de dominio de Active Directory, también se dará cuenta de que, a pesar de que no
se haga a la ligera, cambiar los modos funcionales no es una operación muy compleja.
Si actualmente está ejecutando una red de Windows NT, migrar primero los servidores de
identidad significa implementar Servicios de dominio de Active Directory. Tendrá que asegurarse
de estar listo antes de dar este paso. ADDS es al Administrador de cuentas de seguridad de Win-
dows NT (SAM) lo que un equipo handheld es a una notebook con todas las funciones. Puede
hacer muchas cosas con la handheld, pero podrá hacer muchas cosas más con un equipo real. Y
si su experiencia es con una handheld, necesitará una gran cantidad de entrenamiento antes de
descubrir todo lo que puede hacer con la notebook.
Lo mismo se aplica a Servicios de dominio de Active Directory. Si está pasando de NT a
WS08, necesitará emprender una importante capacitación y tener una comprensión plena de
sus necesidades antes de que pueda implementar ADDS. Pero, en cualquier caso, hay ventajas
significativas en hacer primero la migración del servidor de identidad:
• Todas las versiones de Windows, a partir de 98, pueden participar en Active Directory, aunque
versiones más antiguas requieren la instalación de un paquete cliente.
• Los servidores miembros que ejecutan Windows NT y Windows 2000/2003 también funcionan
en una estructura ADDS de WS08.
• El número de máquinas requeridas para operar el entorno de identidad suele ser significativa-
mente menor que para los demás propósitos.
• Cada máquina a partir de Windows NT 4 debe unirse a una red de Windows. Este proceso de
unión debe realizarse cada vez que los servidores miembro o las PC se instalen, si habrán de
controlarse centralmente. Este proceso también es único para cada entorno de identidad. Si
migra primero el entorno de identidad, sólo necesitará unir las máquinas al nuevo entorno de
directorios una sola vez.
• Servicios de dominio de Active Directory es la base de una red de WS08. Tiene sentido echarlo
a funcionar primero. De esa manera, puede asegurar que habrá muy poca o ninguna “basura”
en su base de datos de directorios.
Cada una de estas justificaciones deben tomarse en cuenta antes de decidir.
NOTA Trate de elegir una instalación desde cero de ADDS, hasta donde sea posible. Aunque los
ADDS existen desde hace varios años, muchas organizaciones han tenido complicaciones con
ellos: directivas de grupo, estructuras de unidades organizativas (OU, Organizacional Units),
grupos duplicados o no usados, incluso desastres tras la replicación. La reconstrucción de todo el
directorio le permite poner en juego las últimas mejores prácticas para diseño de ADDS y limpiar
todos los datos contenidos dentro de su directorio.
Servidores miembro primero

Si está trabajando con una red de Windows NT, es posible que tenga muchos más controladores de
dominio de los que necesita. Windows NT tiene serias limitaciones en cuanto a servicios de miem-
bros. A menudo tiene que instalar un servidor como controlador de dominio sólo para facilitar la
administración o porque las aplicaciones requieren acceso directo a la base de datos de seguridad
del dominio. Los servidores miembro son significativamente diferentes en Windows Server 2008.
Ahora puede hacer uso completo de la función Miembro y reducir de manera importante el núme-
ro de servidores de identidad en su red. En realidad, una de las preguntas que tendrá que respon-
derse cuando reemplaza servicios de red es: “¿Éste debe ser sólo un servidor miembro?”.
Hasta ahora, hemos identificado seis categorías de servidores miembro: de aplicaciones, de

archivos e impresión, Web dedicados, de colaboración, de infraestructura de red y de terminal. Cada
uno de ellos debe tomar su propia ruta de migración a Windows Server 2008. Debido a esto, siempre
debe migrar los servidores miembro primero si tiene una infraestructura de red mínima y ya ha
empezado el proceso de migración a aplicaciones corporativas de servidor. Si, por ejemplo, tiene
muy pocos servidores miembro que tienen una carga mínima, sería apropiado migrarlas primero
y simplemente obtener las mejoras de rendimiento y estabilidad de Windows Server 2008. Si las
aplicaciones de su corporación están basadas en productos de software comercial que ya se han
diseñado para la certificación de Logo de Windows Server 2008, tal vez también deba hacer esto
primero. O, si inició un nuevo esfuerzo de desarrollo de una aplicación corporativa para adaptarlos a
Windows Server 2008 y ya lo completó, podría considerar la migración del servidor de aplicaciones
primero. Pero éstas son las únicas condiciones en que deberá migrar servidores miembro primero.
Además, debe asegurarse de que cada servidor que migra sea compatible con WS08. Incluso tal vez
quiera aprovechar esta oportunidad para reasignar requisitos de servidor como memoria de acceso
aleatorio (RAM, Random Access Memory), procesadores o espacio en disco.
NOTA Para conocer más información acerca de las certiicaciones de Logo de WS08, vaya a
www.microsoft.com/whdc/winlogo/downloads.mspx.
PARTE III
Aunque no tenga la escala de un proyecto de implementación de ADDS, la migración de los
servidores miembro también requerirán tiempo para la reflexión y la consideración. Por ejem-
plo, es más fácil migrar los servidores de archivo e impresión que los de aplicaciones, pero aun
aquéllos requerirán considerable preparación. Debido a que los servicios de archivo e impresión
están controlados mediante derechos de acceso, necesitará hacer un inventario completo de
todos los derechos de acceso si está reemplazando un servidor existente con uno nuevo. Incluso,
podría decidir que quiere tomarse el tiempo de redefinir los derechos de acceso a sus servicios
de archivo e impresión (realizar una limpieza) para asegurar que sus niveles de seguridad son
apropiados, sobre todo en relación con la información confidencial.
Sin importar lo que haga, tendrá que depender de algunas herramientas de migración para
que este proceso sea más suave. Estas herramientas de migración le permiten poner en funcio-
namiento un nuevo servidor de archivos, impresión, o ambos, duplicar la información y los datos
entre un servidor existente y el nuevo servidor, y luego migrar de manera remota los usuarios y
PC al nuevo servidor para que pueda quitar la comisión del sistema antiguo.
NOTA Todas estas consideraciones de la migración se cubren en el capítulo 12.
A continuación, deberá considerar los métodos de migración de servicios de aplicación. Estos

servicios caen en dos categorías principales: servicios de aplicación comerciales y corporativos. En
el caso del software comercial, necesitará identificar si se requieren actualizaciones del producto
y si están disponibles. En el caso de aplicaciones comerciales, necesitará identificar cuáles partes
necesitan modificarse para operar apropiadamente en una plataforma WS08. Para mejorar la es-
tabilidad, Microsoft modificó la infraestructura de ejecución de aplicaciones de Windows. Windo-
ws NT tenía varios problemas de inestabilidad; uno de los más importantes era que el entorno de
ejecución de las aplicaciones en Windows NT permitía que las aplicaciones escribieran en partes
críticas del disco de su sistema. También, se permitía que las aplicaciones escribieran en WINNT
y WINNT\System32 y, por supuesto, en las carpetas Archivos de programa. Lo peor era que se
daba a los usuarios cierto acceso a la carpeta WINNT porque sus perfiles estaban almacenados
allí.
Microsoft cambió toda la infraestructura con Windows 2000/2003. Windows Server 2008
sigue basándose en esta nueva infraestructura y también incluye mejoras de Windows Vista. Las
aplicaciones no escriben en ninguna de estas carpetas. Cada archivo que debe modificarse mien-
tras un usuario está usando una aplicación se almacena ahora en el peril de usuario. Este perfil
está ahora localizado en la carpeta Usuarios. Los datos de aplicaciones están ahora en la carpeta
ProgramData. De esta manera, cualquier persona que dañe estos perfiles no afectará a nadie más
que use el sistema. Las carpetas Windows (WS08 instala en la carpeta Windows y no en WINNT)
y Archivos de programa están bloqueados y en modo de sólo lectura para las aplicaciones (vea
la figura 6-6), los mismos cambios se han incluido en el registro. Sólo las secciones de usuario
se modifican durante la operación de la aplicación. Si las aplicaciones no están diseñadas para
WS08, se le presentarán los indicadores de Control de cuentas de usuario a medida que la aplica-
ción trata de modificar áreas que se encuentran bajo su control.
Las aplicaciones comerciales que se modifican para usar esta nueva arquitectura también
suelen modificarse para aceptar todos los aspectos del programa Logo, de Microsoft. Los medios
que proporcionarán están integrados en el mecanismo de instalación basado en el servicio Ins-
talador de Windows y a menudo se corrigen a sí mismos. Las aplicaciones de usuario que no se
han modificado para trabajar con esta estructura simplemente no operarán apropiadamente en
Windows Server 2008, a menos que todos le den una cuenta con privilegios administrativos, algo
que ningún administrador de red debe permitir.
Si debe ejecutar aplicaciones heredadas en Windows Server 2008, deberá ejecutarlas en
modo de compatibilidad. WS08 incluye el Asistente para compatibilidad de programas, que
vigila a las aplicaciones que no se comportan apropiadamente y proporciona información sobre
los modos de compatibilidad que debe usar para la aplicación. O, peor aún, no podrá ejecutar
la aplicación en modo compatible y tendrá que cambiar el registro y los derechos de acceso de
archivo para que se ejecuten. Aunque esto sería aceptable para aplicaciones que están orientadas
a usuarios, es totalmente inaceptable para aplicaciones que están diseñadas para soportar su en-
torno de red. Productos como administradores de cuota, copias de seguridad, antivirus y software
de monitoreo de terceros deben estar certificados por Logo.
El mejor método consiste en tener aplicaciones de usuario que sean compatibles con la es-
trategia de seguridad en WS08, de modo que no necesite comprometer la seguridad de ninguna
manera. Cualquier cosa que haga, necesita sentarse y examinar cada una de sus aplicaciones para
asegurar que todas y cada una de ellas esté probada usando una cuenta que sólo tiene privilegios
de usuario estándar. Esto evitará cualquier sorpresa desagradable durante la implementación.
Como debe probar todas las aplicaciones, podría pensar en volver a empaquetar sus instala-
ciones para que sean compatibles con el servicio Instalador de Windows. Esta operación propor-
ciona automáticamente capacidades de autocorrección para todas las aplicaciones, sin mencionar
que cualquier aplicación que use dicho servicio también podrá desplegarse mediante Active
Directory. En el capítulo 7 se cubrirá más sobre esto. Las aplicaciones comerciales y corporativas
necesitarán tratarse como subproyectos durante su migración. Una vez más, puede usar la red
paralela para instalar nuevos servidores de aplicaciones y luego migrar sus servidores miembro a
esos nuevos servidores. Necesitará planear con cuidado cada migración de servicio. Microsoft Ex-
Windows NT Windows 2000/2003 Windows Server 2008
FIGURA 6-6 Estructura de carpeta de ejecución de aplicaciones de WS08.
change, por ejemplo, proporciona un servicio de correo electrónico centralizado que no se migra
fácilmente y que es difícil atender mediante una simple actualización de software. Lo mismo es
cierto para las aplicaciones de línea de negocios. El efecto de la migración de una versión de una
aplicación de uso amplio a otra siempre es importante y debe administrarse.
SUGERENCIA Para conocer información sobre la manera de administrar los proyectos de migra-
ción de operaciones bajo el nuevo modelo de seguridad de Vista, lea la Definitive Guide to Vista
PARTE III
Migration (Guía deinitiva de la migración de Vista) de Ruest y Ruest, publicada por Realtime
Publishers, y disponible en www.realtime-nexus.com/dgvm.htm.
Dadas estas consideraciones, es más probable que deba migrar primero los servidores miem-
bro. Pero si lo hace, deberá usar un cronograma (vea la figura 6-7). Puede empezar la migración
de cualquier tipo de servidor cada vez que quiera, pero necesitará un subproyecto para cada tipo
de servidor. Tal vez decida empezar con aplicaciones corporativas, porque, como puede ver, ne-
cesitará tiempo para convertir aplicaciones existentes antes de que se realice la migración y, para
ello, necesita poner en funcionamiento servidores de desarrollo.
SUGERENCIA Nuestra recomendación: empiece con servidores de identidad. Es fácil integrarlos a

entornos existentes o nuevos y formar el núcleo del servicio de red.
Prepare inventarios detallados

Cualquier cosa que migre primero, los servidores de identidad o de miembros, lo primero que
necesitará es un inventario detallado de todo lo que hay en cada servidor. En el capítulo 3 se
detallaron los inventarios generales que necesita construir en una red lógica. Uno de estos
inventarios se relaciona con los propios servidores. Cada uno incluye listas de control de acce-
so, archivos y carpetas, aplicaciones instaladas, servicios instalados y cuáles se necesitarán en la
nueva configuración. Este inventario debe realizarse en dos fases. La primera irá al principio del
proyecto. Este inventario es menos detallado. Se usa para darle una imagen general de los servi-
cios y puntos de servicio que se requieren en la nueva red.
El segundo es mucho más preciso y debe realizarse lo más cerca posible del momento en
que migrará el servidor. Los servidores son entornos complejos que cambian constantemente,
sobre todo si hay usuarios asignados a ellos. Un buen lugar para empezar es la documentación
del servidor. Si ya está usando procedimientos de documentación estándar para cada uno de sus
Cronograma relativo del proyecto
Servidores de aplicaciones comerciales
Preparar Inicia el Termina el Inicia la Final

servidor inicial desarrollo desarrollo migración
Servidores de aplicaciones comerciales
Inicio Final
Servidores de archivos
e impresión
Inicio Final
Inicio del proyecto Final del proyecto
Cronograma de migración
FIGURA 6-7 Cronograma de migración del servidor miembro.
servidores, probablemente querrá actualizarlos para tomar en cuenta las modificaciones debidas a
Windows Server 2008. Si está usando métodos estándar de documentación del servidor, ahora es
buen momento para iniciar.
SUGERENCIA Hay una hoja de datos de Windows Server completa en www.reso-net.com/articles.

asp?m=8 (busque “data sheet”). También podrá aprender a trabajar con esta hoja de datos en
http://searchwincomputing.techtarget.com/originalContent/0,289142,sid68_gci1245531,00.html.
Úsela para documentar la construcción de un servidor paralelo y de red.
También necesitará revisar otros inventarios durante su proyecto, especialmente el inventa-

rio de servicios de red. Este último será esencial para la construcción de una red paralela. Ahora
comienza a ver el valor de mantener inventarios continuos, porque la realización de todos estos
inventarios desde cero al principio del proyecto de migración realmente lo retrasa más. Es sorpren-
dente cuántas empresas están exactamente en esta situación cada vez que empiezan ese proyecto.
Consideraciones de seguridad
La hoja de datos del servidor también será útil en el soporte de sus esfuerzos para construir una
red segura. Uno de los primeros principios de las implementaciones de seguridad es “¡Conozca
sus servidores!”. Demasiadas personas tienen servidores que no son seguros, simplemente por-
que no saben lo que hay instalado en ellos. Además, asegúrese de que sólo instala exactamente
lo que necesita en el servidor. Si un servicio no es requerido por una función del servidor, enton-
ces manténgalo fuera de él. Un servicio que no está instalado es mucho más seguro que uno que
simplemente está deshabilitado.
PRECAUCIÓN Sea especialmente cuidadoso aquí. La eliminación de servicios indeseables puede

acabar fácilmente con los equipos. Asegúrese de que ha estudiado cuidadosamente la función
y las dependencias de cada servicio antes de eliminarlo.
FIGURA 6-8
Cuadro de diálogo
Sistema de eventos
COM+ Propiedades.
PARTE III
Una vez más, use la hoja de datos del servidor para detallar cada servicio y su función. Win-
dows Server 2008 ofrece una característica más útil (originalmente de Windows 2000/2003) que
es la capacidad de desplegar las dependencias de un servicio (vea la figura 6-8). Puede identificar
cuándo se requiere un servicio simplemente para dar soporte a otro. Para ver la información,
despliegue las propiedades de cualquier servicio empleando la Consola de administración de
Microsoft (MMC, Microsoft Management Console) del Administrador del servidor.
Además, puede exportar la lista de servicios para completar su documentación. Esta lista se
exporta en formato delimitado por comas o tabuladores y puede verse y manipularse con herra-
mientas como Microsoft Excel. Es una excelente idea completar su documentación en la hoja de
datos del servidor con la lista de servicios exportados.
Consideraciones sobre licencias

Como se mencionó en capítulos anteriores, el sistema operativo que ejecuta en el servidor host
determinará el número de licencias a las que tiene acceso para sus ofrecimientos de servicios
virtuales. Cada copia de la edición Enterprise le permite ejecutar hasta cuatro ofrecimientos de
servicios virtuales con cada versión de Windows. Cada copia de la edición Datacenter le permite
ejecutar un número ilimitado. Datacenter tiene licencias por procesador, mientras que Enterprise
las tiene por servidor. Si quiere que más de cuatro ofrecimientos de servicios virtuales se ejecuten
sobre la edición Enterprise, compre otra licencia de esta edición. Al final, dependerá de la licencia
de host que tenga mayor sentido para usted; luego, deberá elegir la edición apropiada de WS08,
dependiendo de la función que el servidor jugará y del número de usuarios que permitirá. Apó-
yese en el ejercicio de asignación de tamaño del servidor en el capítulo 4 para determinar cuál
versión se amolda mejor a la función.
Tal vez tenga que implementar un servidor de administración de claves para administrar
licencias en su organización. Todo depende de su tamaño y del número de equipos que ejecute
en su red. Si lo hace, podrá agregarlo como parte de los servicios de infraestructura de red que
implemente en la nueva red.
Elija la arquitectura del procesador

El tema de las arquitecturas de procesador de 32 o 64 bits se ha cubierto antes, pero necesita re-
visarse en esta etapa. Eso se debe a que está a punto de empezar a construir su nueva red y a que
necesita tomar esta decisión ahora. WS08 es el último sistema operativo de servidor que Win-
dows lanzará en su plataforma de 62 bits. Esto significa que si decide poner su red en funciona-
miento mientras depende de una arquitectura de 32 bits, va a ser obsoleta antes de que empiece.
Debido a la tendencia a los procesadores de 64 bits, y dado que Microsoft está moviéndose
en esta dirección (Exchange Server 2007 sólo está disponible para plataformas de 64 bits) debe
considerar el paso a una plataforma de 64 bits lo antes posible. Ya sabe que siempre que pueda, el
hardware debe ser de 64 bits, pero ¿qué hay con los ofrecimientos de servicios virtuales? ¿Deben
ser de 32 o de 64 bits? Para decidir, considere lo siguiente:
• Las herramientas de sistema de archivo de bajo nivel tienen que ser compatibles con x64. Los
elementos como el software antivirus o las herramientas de defragmentación del disco deben ser
compatibles con versiones x64 de WS08. Esto no debe ser algo para detener a nadie, porque ne-
cesitará actualizar estos componentes de todos modos para WS08, porque el sistema de archivos
en WS08, al igual que el de Windows Vista, no es compatible con versiones anteriores.
• Es necesario asignar el tamaño al servidor de acuerdo con cada sistema. Las máquinas de
64 bits tienen una vida más larga que las de 32 bits. Por tanto, deberá asegurarse de que le
asigna el tamaño a su servidor de manera apropiada y que le otorga la suficiente capaci-
dad de actualización para ese tiempo de vida en su red. Recuerde que es fácil modificar los
recursos asignados a un equipo virtual. Sólo deténgalo, agregue el recurso y empiece con él
de nuevo.
Desafortunadamente, casi nadie estará en una situación en que pueda construir una red con
servidores totalmente nuevos, aunque use el método de red paralela. Esto significa que tendrá
que hacer unas cuantas cosas.
En casi todos los casos, terminará construyendo una red de ofrecimientos de servicios virtua-
les combinados que incluya sistemas x84 y x64. No se preocupe: la administración de cada ver-
sión de WS08 es similar, de modo que no tendrá sobrecarga adicional cuando administre ambas.
Pero tendrá que identificar cuáles sistemas mantendrá en plataformas x86 y cuáles moverá a x64.
En la tabla 6-3 se presentan algunas opciones relacionadas al recomendarle cuáles funciones de
servidor se adecuan mejor a los modelos x86 y x64.
Asignación de recursos a ofrecimientos de servicios virtuales

Además de determinar la arquitectura del proceso, deberá definir cuántos recursos asignarles.
En algunos casos, las funciones requieren cantidades masivas de recursos. Esto incluye fun-
ciones como Terminal Services, Exchange Server 2007 y algunos servidores de aplicaciones.
Esto significa que necesita introducir una nueva función de máquina virtual: el host de una sola
MV. En la tabla 6-4 se presenta una lista de las recomendaciones para virtualizar la función
del servidor. Observe la correspondencia con la tabla 6-3: cada función que es más adecuada
a la arquitectura del procesador x64 también es adecuada para una sola máquina virtual en un
sistema.
Funciones del servidor x86 x64 Comentarios

Servicios de infraes- X X Los servidores de infraestructura de red son adecuados para cargas de trabajo de 32
tructura y servidor bits, en casi todos los casos.
de red Considere servidores de 64 bits sólo para servidores de redes privadas que deben
administrar miles de conexiones.
Los servidores hosts deben ejecutar hardware de 64 bits porque esta función utiliza
gran cantidad de recursos.
Servidores de adminis- X Casi todos los servidores de identidad (controladores de dominio) son muy adecua-
tración de identidad dos para arquitecturas de 32 bits porque la propia naturaleza de ADDS consiste en
agregar varios servidores para redundancia. Si un servidor no puede manejar la carga,
otro lo hará.
Considere servidores de 64 bits si el dominio ADDS contiene más de 50 000 objetos.
Servidores de archivos X Las cargas de archivos no usan mucho el procesador, de modo que 32 bits son sui-
e impresión cientes. Si sus clientes están ejecutando Vista, entonces están preprocesando todos
los trabajos de impresión, reduciendo la carga de trabajo del servidor de impresión y
haciéndolo compatible con 32 bits. Además, tal vez sea difícil obtener controladores
de impresora de 64 bits.
Servidores de aplica- X Los servidores de aplicaciones son idealmente adecuados para arquitecturas de 64
ciones bits porque sus cargas de trabajo requieren mucha memoria y trabajo del procesador.
Servidores de terminal X Los servidores de terminal son idealmente adecuados para las arquitecturas de 64
bits porque requieren grandes cantidades de RAM y otros recursos.
PARTE III
Servidores Web dedi- X Los servidores Web dedicados, debido a su propia naturaleza, son adecuados para las
cados arquitecturas de 32 bits. Si se necesitan más recursos, sólo agregue otro servidor.
Sin embargo, si tiene miles de conexiones con sus servidores, entonces considere
hardware de 64 bits. Debido a que tienen acceso a más RAM, los servidores x64
pueden manejar muchas conexiones TCP/IP más.
Servidores de colabo- X Los servidores de colaboración son ideales para hardware de 64 bits porque ejecutan
ración procesos que requieren gran cantidad de memoria.
Servidores de seguri- X X Estos servidores necesitan coincidir con la arquitectura de servidor que habrán de
dad contra fallas reemplazar.
TABLA 6-3 Comparación entre aspectos de hardware de 32 o 64 bits por función del servidor
SUGERENCIA Monitoree estos hosts “de una sola máquina virtual” para determinar el uso de los
recursos. Si éstos están disponibles, agregue nuevos ofrecimientos de servicios virtuales a estos
hosts.
Muy bien: ¿cómo aplicará las recomendaciones de la tabla 6-4? La mejor manera consiste
en revisar los siguientes pasos. Está a punto de generar su nueva red paralela. Cada uno de los
servidores de esta red necesitará asignaciones de una máquina virtual única, compartida o física.
En la tabla 6-5 se presenta una lista de cuál debe ser cuál. Otras funciones se cubrirán en tablas
similares en cada uno de los siguientes capítulos. Los datos de la tabla 6-5 siguen las recomenda-
ciones para generación de bosques y ubicación de servidores delineadas en el capítulo 5. Sólo se
identifican aquí los servidores suficientes para sembrar la red.
Debido a que todas las máquinas son virtuales, excepto para los propios hosts, no hay ne-
cesidad de indicar en su nombre si son únicas o compartidas. Recuerde que los usuarios verán
el nombre del servidor, de modo que use nomenclatura estándar. Sin embargo, puede agregar la
información en la descripción de un servidor para que los administradores sepan rápidamente en
cuál modo se está ejecutando una máquina.
Máquina virtual Máquina virtual

Función de servidor Físico compartida única Comentarios
Servicios de infraes- X Los servidores de servicios del servidor,
tructura y servidor como los de hosts, deben ser físicos y
de red ejecutarse en hardware de 64 bits, pero
puede ejecutarse en hardware de 32 bits
con Microsoft Virtual Server.
X Los servidores de infraestructura de red,
como los servidores del protocolo de
coniguración dinámica de host (DHCP),
pueden ejecutarse en máquinas virtuales
compartidas.
X Sólo considere los servidores de máquina
virtual única para servidores de red priva-
da virtual que debe administrar miles de
conexiones.
Servidores de X Considere los servidores de máquina
administración de virtual únicos si el dominio de ADDS
identidad contiene más de 50 000 objetos.
X Ejecute más DC en el modo de máquina
virtual compartida.
Servidores de X Los servidores de archivos deben unirse
archivos e impresión a almacenamiento virtualizado.
Los servidores de impresión no tienen
una carga pesada, porque toda la gene-
ración se hace en el cliente de Vista. Si
tiene clientes heredados, considere un
servidor de una sola máquina virtual.
Servidores de apli- X X Los servidores de aplicaciones depende-
caciones rán de su carga. Empiece con un servidor
de una máquina virtual única y monitoree
el rendimiento para ver si puede pasar al
modo de máquina virtual compartida.
Servidores de X Los servidores de terminal son idealmen-
terminal te adecuados para el modo de máquina
virtual única.
Servidores Web X Los servidores Web dedicados, debido a
dedicados su propia naturaleza, son adecuados para
el modo de máquina virtual compartida.
Servidores de X Los servidores de colaboración deben ser
colaboración de una sola máquina virtual, pero deben
monitorearse.
Servidores de segu- X Estos servidores son los primeros en
ridad contra fallas considerar la máquina virtual compartida
que suele requerirse como de seguridad
contra fallas.
TABLA 6-4 Recomendaciones de máquina virtual física, compartida y única

Función de Máquina virtual Máquina virtual

Bosque y dominio servidor Host compartida única Comentarios
Raíz de bosque Primer DC Host01 X Host01 es un sitio de oicinas
de producción Segundo DC Host02 X centrales 1.
Host 02 es un sitio de oicinas
centrales 2.
Dominio secun- Primer DC Host01 X Host03 está en oicinas cen-
dario global único Segundo DC Host02 X trales 1 y Host04 en oicinas
de producción Tercer DC Host03 X centrales 2.
Cuarto DC Host04 X
Bosque de pues- Todos los DC Host05 X Todos los DC son máquinas
ta en funciona- virtuales compartidas. Se crea
miento un nuevo host para separar
este bosque de producción.
Bosque de capa- Todos los DC Host05 X Si se permite la asignación
citación de tamaño, este bosque debe
compartir el mismo host que el
de puesta en funcionamiento.
Bosque de desa- Todos los DC Host06 X Estos DC deben estar en el
rrollo modo de máquina virtual com-
PARTE III
partida en un host separado.
TABLA 6-5 Recomendaciones para máquina compartida y única de una red paralela
Implemente la red paralela

Las oportunidades presentadas por la red paralela son muy abundantes y beneficiosa. Por algo,
puede recrear su red de producción desde cero utilizando un diseño que capitaliza las caracterís-
ticas centrales del nuevo sistema operativo. Es una oportunidad ideal para revisar cada concepto
de red y detallar cómo puede mejorar para que cubra más su objetivo básico: entrega del servicio de
información y soporte a las comunicaciones dentro de la organización.
Por supuesto, cada parte del proceso de implementación de la red paralela debe probarse
por completo en un laboratorio antes de implementarse en la realidad. La red paralela también
le da la oportunidad de reestructurar los dominios si considera que su estructura de dominio de
Windows necesita modificarse, sobre todo a la luz de la información proporcionada en el capítulo
5 y del plano de implementación de los Servicios de dominio de Active Directory delineados en
la figura 5-21. La reestructuración puede hacerse de tres maneras:
• Todo puede crearse desde cero. Esto significa que no puede recuperarse nada de la red exis-
tente. Todos los principales se crean desde cero.
• La red de producción existente se usará como fuente de información para la nueva red.
Durante el proceso de transferencia, los administradores pueden realizar filtrado adicional de
datos para “limpiar” información como la base de datos de identidad de la organización. Si
la existente está en dominio de Windows NT o Windows 2000/2003, hay dos opciones para
recuperar la información. La primera se relaciona con la integración de los dominios existentes
de Windows NT en un bosque de Windows Server 2008 como subdominio, creando un nuevo
dominio de producción en modo nativo de WS08, y luego realizando un transferencia dentro

del bosque. El comando MOVETREE se usa para realizar esta transferencia de información
de dominio en dominio. También puede usarse en este momento para filtrar información de
un dominio al otro. Cuando se vacía, el dominio de Windows NT se deja de comisionar y se
elimina del bosque.
• El tercer modo consiste en realizar una transferencia dentro del bosque. Esto significa que un
nuevo bosque de WS08 se crea dentro de la red paralela mientras la estructura del dominio
heredado permanece como está. Las herramientas de migración de los datos dentro del bosque
se usan para realizar la transferencia. Esto puede realizarse con la Herramienta de migración de
Active Directory (ADMT, Active Directory Migration Tool). ADMT puede transferir objetos de
datos, como las cuentas de usuario, del dominio heredado al bosque de WS08, incluidas las con-
traseñas. También están disponibles herramientas comerciales de migración de datos. Mientras
que ADMT ofrece capacidades de filtrado comerciales, las herramientas comerciales ofrecerán
filtrado complejo y creación de informes, además de la capacidad completa de revertirse a la úl-
tima configuración correcta conocida. ADMT realiza bien la migración de unos cuantos miles de
objetos, o menos. Pero si desea consolidar decenas de miles de objetos y docenas de dominios
de Windows, sería aconsejable obtener una herramienta comercial de migración.
De las tres opciones de reestructuración, es probable que sean pocas las que realizan la primera,
porque es extremadamente raro encontrar una red en la que no haya nada que recuperar. La segun-
da limita el crecimiento de la red de Windows Server 2008 durante el tiempo que dura la migración.
Debe recordar que un bosque de WS08 no puede operar en modo funcional de bosque hasta que
todos los dominios estén en modo funcional de dominio. La inclusión de un dominio heredado en
el bosque limitará su posible crecimiento hasta que la migración esté completa. Las migraciones
toman tiempo, que se evalúa de manera proporcional con base en el número de usuarios de la red y
en la estrategia de implementación: implementaciones paralelas (varias implementaciones en varias
regiones al mismo tiempo) o implementaciones secuenciales (una después de la otra).
La estrategia de migración recomendada es la tercera. Se aplica si está migrando de Win-
dows NT o Windows 2000/2003 y necesita reestructurar el bosque. Su mayor ventaja es que el
bosque puede operar de inmediato en modo funcional completo, obteniendo beneficios a partir
de su nivel de funcionalidad desde el día uno. También puede filtrar todas las entradas de datos
en el nuevo bosque. Esto significa que puede iniciar desde su red de WS08 con un entorno que
rechina de limpio. Además, es una oportunidad apoyada en el desplazamiento a ofrecimientos de
servicios virtuales. El hecho de mantener la red existente separada le da una estrategia clara de
regreso a la última versión correcta conocida en caso de que lo necesite.
La implementación de una red paralela y el diseño de un nuevo bosque están basados en el
plano de implementación de ADDS (vea la figura 5-21), pero esta implementación es un proceso
complejo que debe darse paso a paso. Las primeras etapas de esta implementación empiezan
aquí, pero no estará completa hasta que el proceso de migración de datos se haya terminado.
Esto se hará en todos los capítulos futuros.
Para implementar la red paralela y realizar el ejercicio de reestructuración, debe empezar con
las siguientes actividades:
• Prepare la red paralela.
• Cree los Servicios de dominio de Active Directory de producción.
• Conecte la red paralela.
Todos los servidores:

Servidor de infraestructura de red Puesta en funcionamiento con un
Dos servidores kernel del servidor actualizado
Servidores miembro con servicios Satisface los requisitos de asignación
Red paralela
Máquinas
de DHCP virtuales de tamaño del servidor
Tiene estrictas revisiones de control
Servidor de administración de identidad de calidad
Cuatro servidores Atención especial a la resolución de
Controladores de dominio con servicios DNS conflictos antes de seguir adelante
Dos para el dominio raíz de Materiales:
bosque protegido Prepare documentación antes de
Dos para el dominio de proceder a la implementación de la red
producción secundario Máquinas virtuales
Use el plan de Active Directory
global Si se usa la infraestructura de IP,
cambie todas las direcciones de IP
Criterios de servicios de DNS Use la hoja de cálculo de instantánea
Directory de producción
El DNS existente debe ser compatible con del servidor

Requisitos de Active
Software DNS BIND versión 8.1.2 o posterior

La zona DNS permite actualización dinámica
(RFC 2136) y registros SRV (RFC 2782)
DNS de WS08 más DNS existente Funciones de servidor
DNS de WS08 para bosque de ADDS y Maestro de esquema
todos sus objetos Maestro de nombres de dominio
DNS existente para los servicios DNS Emulador de PDC
tradicionales de host Maestro de ID relativo
Servicios de reenvío de DNS de WS08 sólo a Maestro de infraestructura
PARTE III
DNS existentes de WS08 Servicio de catálogo global
Para toda la resolución de nombres en todos
los DC
Segunda instalación de servidor
Instalación del primer servidor Instalación y configuración del
Instalación y configuración del servidor servidor
bosque de producción
Promoción de DC Instalación de DNS

Finalización de la configuración de DNS Configuración de administración de
Creación del
Modo de licencia de bosque alertas

Configuración de servicio de hora Transferencia de función de Maestro
Configuración de administración de alerta de operaciones
Personalización de la directiva de grupo Configuración de replicación de
predeterminada dominio
Primer DC en la instalación del dominio de Segunda instalación de DC en el dominio

producción secundario global de producción secundario global
Crear delegación de DNS Promoción de DC
Promoción de DC Instalación de DNS
Finalización de configuración de DNS Transferencia de función de Maestro
infraestructura de red
de operaciones
Servidores de
Primer servidor de infraestructura de red

Instalación y configuración de servidor Segundo servidor de infraestructura de
Configuración de valor de DHCP red
Definición de clase de usuario Instalación y configuración de
Configuración de opciones de WINS servidor
(si es aplicable) Configuración de valor DHCP
Definición de clase de usuario
Configuración de opciones de WINS
Diseño de plano de red paralela
FIGURA 6-9 Plano de red paralela.
Los detalles de cada procedimiento se delinean en este capítulo. Siguen los pasos delineados
en el plano de la red paralela (vea la figura 6-9). Si, por otra parte, simplemente necesita actuali-
zar su bosque existente de Windows 2000/2003 a WS08, puede usar el procedimiento del final del
capítulo. Es todavía una buena idea, sin embargo, revisar el contenido del proceso de creación de
la red paralela para asegurar que el bosque actualizado usa los conceptos y las características más
recientes de WS08.
Prepare la red paralela

En el capítulo 3 se delinearon diferentes funciones de servidor de red, incluido el servidor de segu-
ridad contra fallas (vea la figura 6-10). Dos de éstas son obligatorias para la implementación inicial
de la red de ofrecimiento de servicios virtual: los servidores de administración de infraestructura de
red y de identidad. Necesitará asegurar que tiene suficientes servidores hosts para ejecutar la infra-
estructura de red básica de ofrecimiento de servicios virtual. Como ya se vio, puede hacer esto con
un mínimo de dos servidores, pero cuatro serían mejor, porque le darían algo de espacio mientras
sigue agregando servicios a la nueva red de ofrecimientos de servicios virtuales. Las nuevas máqui-
nas virtuales que necesitará para esto incluyen por lo menos dos servidores de infraestructura de
red y por lo menos cuatro servidores de administración de identidad: dos para el dominio raíz de
bosque protegido y dos para la creación del dominio de producción secundario global. Se requieren
dos servidores para cada función en la red paralela inicial para proporcionar redundancia completa
de servicio desde el principio. Una vez que sus servidores hosts estén listos, todo lo que necesita
hacer es trabajar con los ofrecimientos de servicios virtuales.
En el ofrecimiento de servicios virtual, los servidores de infraestructura de red ejecutarán
servicios como DHCP, mientras que los servidores de administración de identidad serán con-
troladores de dominio con un servicio DNS integrado. No es obligatorio que los servidores de
infraestructura de red sean controladores de dominio: sólo deben ser servidores miembro cuando
sea posible. Podría decidir que se combinen las funciones de controlador de dominio raíz con
las funciones de infraestructura de red. Esto es aceptable en redes más pequeñas, pero no se
recomienda en entornos más grandes, aunque la carga del servidor en el DC del bosque raíz sea
muy ligera. Surgen varios problemas cuando trata de integrar el servicio DHCP del dominio de
FIGURA 6-10
Funciones del servidor
de infraestructura de
Servidores de seguridad contra fallas
red de ofrecimiento de
servicios virtual.
Servidores de archivos Servidores de Servidores de Servidores Web Servidor de

e impresión aplicaciones terminal dedicados colaboración
Servidores de infraestructura de red de ofrecimiento de servicios virtual
producción con los controladores de dominio del dominio raíz. Entre éstos se incluyen problemas
de seguridad y de configuración. Si es posible, mantenga estas funciones en diferentes servidores
virtuales. El costo no debe ser una objeción, porque estos equipos son virtuales.
NOTA No debe terminar con una gran cantidad de equipos, pero se trata de funciones importantes
en la red y deben dedicarse a servidores especiales.
Todos los servidores de red paralela deben ponerse en funcionamiento con un kernel de
servidor actualizado, de acuerdo con las prácticas de puesta en funcionamiento delineadas en
el capítulo 4. Debido a que se trata de máquinas virtuales, esto significa copiar el origen creado
con Sysprep y luego personalizarlo. Asigne cada máquina al host apropiado, como aparece en la
lista de la tabla 6-5. Empiece cada servidor con un solo procesador y 512 MB de RAM. Monitoree
su avance y luego ajuste la RAM de acuerdo con lo necesario. Una vez que esté preparado, cada
servidor debe tener revisiones estrictas de control de calidad para asegurar que esté listo para
producción. Estas revisiones deben asegurar que todo se ejecuta adecuadamente en el servidor.
Si tiene varios sitios grandes dentro de su organización, tal vez sea mejor que separe física-
mente cada función de servidor doble, colocando un servidor para cada función en cada uno de
los dos sitios físicos. Esto proporciona redundancia de red y crea una copia de seguridad automá-
PARTE III
tica de servicio en caso de desastres. Éste es el método que se usa aquí. Debido a que las máqui-
nas son virtuales, con el tiempo podrá replicar su contenido de un sitio a otro, lo que le permite
mantener siempre una copia completa de la infraestructura dentro de cada sitio.
También necesitará tener documentación preparada antes de seguir adelante con la im-
plementación de la red. Lo más probable es que el diseño existente de su infraestructura IP sea
adecuado para la implementación de la red paralela. Sin embargo, necesitará cambiar todas las
direcciones IP, porque las redes nueva y antigua necesitarán coexistir por algún tiempo. También
necesitará implementar IPv6 en esta red. Debe tener esta información a la mano antes de seguir
adelante con la creación de la red.
Además, también necesitará su plan de Servicios de dominio de Active Directory. Para esto, debe
haber realizado el ejercicio de planeación delineado en el capítulo 5. Este plan servirá como mapa de
directorios para que lo siga durante la implementación del Active Directory de WS08. Con estos docu-
mentos a la mano, puede preparar la red paralela. Recuerde que todo se hace primero en el laborato-
rio. Aquí puede documentar de manera específica cada paso que se necesite para la creación real de la
red empresarial de producción. Cuanta más documentación tenga, menos probable será que cometa
errores cuando cree la nueva red. Ésta no es una etapa en que se permitan errores.
SUGERENCIA Debido a que las máquinas que crea durante el laboratorio de pruebas son virtua-
les, en realidad puede crear su ofrecimiento de servicios virtual completo en el laboratorio y
luego copiarlo (o simplemente conectarlo) a producción una vez que esté listo para ponerlo en
funcionamiento. Además, debido a que las máquinas son virtuales, puede simplemente corregir
cualquier máquina que no sea prístina y empezar el proceso una vez más con gran facilidad. No
coloque las máquinas en producción hasta que esté completamente feliz con los resultados.
Una vez que esté funcionando su red paralela, podrá crear una relación de confianza entre
el nuevo dominio de producción y sus dominios heredados. Esta relación de confianza durará el
FIGURA 6-11
Uso de una red paralela para Red paralela
migrar datos entre bosques.
Dominio raíz
Las cuentas de bosque
protegido
migran “cuando
Dominio es necesario”
heredado
Confianza
de dos vías Dominio de
producción
secundario
global
Migración entre bosques mediante redes paralelas
tiempo que tarde la migración en proporcionar servicios en todos los bosques a todos los usua-
rios. Luego puede migrar usuarios, equipos y servicios a voluntad usando ADMT o una herra-
mienta comercial de migración (vea la figura 6-11). Esto será su primer paso hacia el ofrecimiento
de servicios virtual y una administración más fácil de servicios.
Empecemos con la primera etapa: la implementación de Active Directory en producción.
Cree el Active Directory de producción

La creación de una nueva estructura de Servicios de dominio de Active Directory es un proceso
sencillo. Requiere la creación de por lo menos cuatro controladores de dominio de acuerdo con
la estrategia de posicionamiento del servidor identificada en la figura 5-16 del capítulo 5. Dos
de estos controladores de dominio pertenecen al dominio raíz de bosque protegido. Cada uno
hospedará una función de maestro de operaciones de todo el bosque: Maestro de esquema o de
nombre de dominio. Estos dos DC también hospedarán las funciones de maestro de operaciones
centradas en el dominio: Emulador de PDC, ID relativo y Maestros de infraestructura. Además,
estos DC hospedarán el servicio Catálogo global.
SUGERENCIA El Maestro de infraestructura y el Catálogo global pueden hospedarse en el mismo

DC en el dominio raíz del bosque porque, como el dominio del bosque de utilerías, el dominio raíz
contiene muy pocos objetos. Éste no será el caso en el dominio de producción.
Deben realizarse tareas adicionales durante la creación de estos servidores. Debido a que el
primer DC es el primer servidor en la red paralela, debe hospedar unas cuantas funciones adicio-
nales. Entre éstas se incluyen:
• Hospedaje del servicio de hora Tal vez necesite que toda su red esté sincronizada con una
fuente de hora externa, como un reloj atómico. No importa si lo necesita o no, debe asegurar-
se de que la sincronización de la hora esté implementada en su red. Ésta es esencial, porque
Kerberos, el protocolo de autentificación preferido de Windows Server 2008, es sensible a la
hora. En ADDS, toda la sincronización de hora se realiza a través de vínculos con el Emulador
de PDC del dominio al que pertenece en cada sistema de miembros. Al vincular del primer
Emulador de PDC del bosque con un origen de tiempo seguro se vincularán automáticamente
todos los demás emuladores PDC de los dominios secundarios.
• Administración de alertas Si depende de una comunidad de administración de alertas
para administración de servidores, entonces también debe configurarse en este servidor. Tam-
bién será necesaria la resolución de nombres. El primer DC de una red necesita un servidor
DNS para funcionar apropiadamente. Podría usar un servidor DNS existente para este fin,
pero Windows Server 2008 tiene requisitos especiales para el servicio DNS. Si decide usar un
servidor DNS diferente del de WS08, este servidor debe soportar los siguientes criterios:
• Los servidores DNS del dominio de nombres de Internet de Berkeley (BIND, Berkeley
Internet Name Domain) deben ejecutar la versión 8.1.2 o posterior del software BIND para
cumplir con los requisitos para el soporte a Active Directory.
• La zona DNS debe permitir actualizaciones dinámicas (RFC 2136).
• El servidor DNS que hospeda esa zona debe dar soporte al registro de recursos de ubica-
ción de servicios (SRV) (RFC 2782) para anunciar el servicio de directorios.
• Nuestra recomendación Si hay problemas (por lo general políticos) y no puede mover
servicios DNS existentes a WS08, entonces trate de crear un equilibrio. Use DNS de WS08
para el bosque de AD y todos sus objetos y use el otro servicio DNS para hospedar servicios
PARTE III
DNS tradicionales. Incluya reenvíos en sus servidores DNS de WS08 para realizar resolución
de nombres de objetos que no son de AD a través de sus servidores DNS heredados.
Si no hay problemas, políticos o de otra forma, use el servicio DNS de WS08 para todas las
resoluciones de nombre. WS08 usa el directorio para operaciones DNS, así que los servicios DNS
están disponibles automáticamente para todos los objetos que sean parte del dominio. Para ob-
jetos que no son parte del dominio, simplemente diríjalos a uno o ambos servidores de dominio
DNS raíz del bosque. El servicio DNS de WS08 incluye características adicionales:
• Carga de zona en segundo plano Las zonas DNS se cargan en segundo plano cuando
inicia el servidor, dejándole responder más rápidamente a las solicitudes.
• Compatibilidad con IPv6 DNS permite el formato de dirección larga de IPv6, además de
su soporte original a todo IPv4.
• Soporte a RODC DNS da soporte a las transferencias de zona primaria de sólo lectura para
controladores de dominio de sólo lectura.
• Nombres globales únicos Estas zonas de nombre de etiqueta único eliminan la necesidad
de servicios heredados, como el sistema de nombres de Internet de Windows (WINS, Windo-
ws Internet Naming System).
Estas características proporcionan justificación adicional para depender del servicio DNS de
Windows en redes de Windows.
También necesitará identificar si la resolución de clientes se realizará a través de sugerencias
de raíz o agentes de reenvío. Esto definirá el mecanismo de resolución de nombre de los clientes.
Como opción predeterminada, todos los servidores DNS de WS08 incluyen sugerencias de raíz, de
modo que puede orientarse a mantener la opción predeterminada y usar sugerencias de raíz, si es
posible.
Una de las operaciones críticas permitidas por DNS es el proceso de inicio de sesión. Cuan-
do un usuario inicia sesión desde un cliente Windows 2000/XP/Vista, el servicio NetLogon reúne
la información de inicio de sesión requerida para el dominio al que el usuario está tratando de
conectarse y envía una consulta DNS a sus servidores DNS configurados. Esta consulta incluye
las siguientes características:
• Tipo de consulta SRV (registro de recursos de localizador de servicio)
• Nombre de característica _ldap._tcp.nombre_dominio
El servidor DNS responde con el nombre del controlador de dominio más cercano a la ubi-
cación del cliente dentro de la estructura del sitio ADDS. La solicitud de inicio de sesión se envía
al DC, y si el nombre de usuario y la contraseña son válidos para ese dominio, el usuario inicia
sesión en el dominio (vea la figura 6-12).
Cuando WS08 almacena zonas DNS dentro de Active Directory, simplifica la replicación
y afirma la seguridad de estos registros. La seguridad es importante aquí, porque los sistemas
Windows 2000/XP/2003/Vista que usan DHCP también usarán la característica dinámica del
servicio DNS para actualizar sus propios registros dentro de él. Si su red incluye objetos que no
son de Windows y que requieren resolución de nombre, necesitará ingresar nombres canónicos
estáticos para esos objetos dentro de su servidor DNS de WS08, a menos, por supuesto, que
sus direcciones IP se asignen a través del servidor DHCP de Windows. Por último, cuando el
servicio DNS está integrado con el directorio, WS08 ya no requiere el uso de zonas secundarias
para proporcionar información de un dominio DNS a otro. WS08 usa particiones de datos de
aplicación como particiones de replicación que pueden abarcar varios dominios para asegurar
que sus datos estarán disponibles para todos dentro del bosque, en la ubicación correcta de la
estructura del bosque. Estas particiones se crean automáticamente cuando integra DNS con
Active Directory.
Por esto, el servicio DNS debe acoplarse con el servicio DC en Windows Server 2008. Esto
asegurará que el servicio de resolución de nombres siempre esté disponible en el mismo lugar
que el controlador de dominio y el servicio de inicio de sesión. También asegurará que las zonas
DNS estén aseguradas y se repitan a través del mecanismo de replicación de directorios. Éste es
el método recomendado y se usa en todo el libro.
FIGURA 6-12
Proceso de inicio de
Proceso de inicio de sesión de WS08
sesión de WS08.
1. Los usuarios inician una sesión al escribir su

nombre de usuario y contraseña
2. Windows envía el nombre de dominio y la
ubicación del cliente a un servidor DNS
3. El servidor DNS devuelve el nombre del DC
más cercano (podría ser él mismo)
4. El cliente de Windows envía solicitudes de
autentificación
5. DC verifica las credenciales de usuario y
autentifica al usuario si las credenciales son
correctas
Actividades para la puesta en funcionamiento del bosque

La puesta en funcionamiento del nuevo bosque requiere de un conjunto determinado de ac-
tividades, cada una de las cuales incluye varios pasos. Estas actividades aparecen en la lista de
verificación de la creación de bosques de producción (vea la figura 6-13). Como verá, esta lista
de verificación está dividida en cuatro actividades principales: creación del bosque y el dominio
raíz, creación del dominio de producción, creación de la infraestructura de IP y finalización del
sistema.
Lista de verificación de los Servicios

de dominio de Active Directory
Creación del bosque raíz

Instalar y asignar nombre al primer servidor de la red. Primero instale este servidor en
un grupo de trabajo
Promover el primer servidor a ADDS creando el dominio raíz del bosque
Configurar el servicio DNS
Configurar el servicio de hora para este servidor
Configurar la administración de alertas para este servidor, además de la
administración de licencias
PARTE III
Instalar y asignar nombre al segundo servidor del dominio raíz del bosque. Este
servidor puede ser un miembro del dominio raíz del bosque
Promover el segundo servidor a ADDS dentro del dominio raíz del bosque
Instalar y configurar el servicio DNS
Transferir las funciones de Maestro de operaciones a este servidor
Verificar que el dominio esté operando apropiadamente
Creación del dominio secundario de producción

Instalar y asignar nombre al primer servidor del dominio de producción secundario
global. Instalar este servidor en un grupo de trabajo al principio
Depender de la delegación de DNS
Promover este servidor a ADDS creando el dominio de producción
secundario global
Incluir el servicio DNS durante esta promoción
Finalizar la configuración del servicio DNS
Instalar y asignar nombre a los otros tres servidores para la operación central de la red
paralela. Instalar cada servidor como miembro del dominio de producción.
Promover cada uno de los servidores a ADDS dentro del dominio de
producción
Instalar y configurar el servicio DNS
Actualizar la delegación de DNS
Transferir las funciones de Maestro de operaciones de acuerdo con lo
necesario
Creación de la infraestructura de IP
Proceder a la configuración de los servidores de infraestructura de red.
Finalización del sistema

Mover los servidores a su sitio final y luego configurar la replicación de dominio.
Verificar que todos los dominios están operando de manera apropiada.
Finalización del bosque

Mover los servidores a su sitio final y luego configurar la replicación de dominio.
Proceder a la creación de los otros bosques, de acuerdo con lo necesario.
FIGURA 6-13 Lista de veriicación de la creación del bosque de producción.

Instale el primer servidor en un bosque

El primer lugar para empezar es el primer servidor del bosque de ofrecimientos de servicios
virtuales. Este servidor tendrá varias características. Será un DC con servicio DNS integrado, es
el Maestro de esquema para el bosque, también el Emulador de PDC y el Maestro de RID para el
dominio raíz del bosque, hospeda el servicio Catálogo global y sincroniza la hora del bosque.
Instalación y coniguración del servidor

Empiece con la instalación del kernel del servidor siguiendo el procedimiento delineado en el ca-
pítulo 4. Lo ideal es que tenga que construir una plantilla de máquina virtual personalizada con
el uso de Sysprepped y lista para reciclar la generación de servidores. Puede utilizar esta máquina
germinal para generar todas las demás al copiar los archivos que integran la máquina virtual de
origen, cambiarles el nombre y arrancándolos.
Una vez que se ha lanzado el sistema, configure los siguientes elementos, si no se incluyen
en su archivo Unattend.XML:
• Nombre del equipo
• Dirección IPv4 y configuración
• Dirección IPv6 y configuración
En IPv4, para la configuración del cliente DNS de este servidor, debe establecer el servidor
para que primero apunte a sí mismo. La segunda dirección del servidor DNS debe ser la de uno
de los servidores que trató de usar como agente de reenvío, si lo que trata de usar son agentes; de
otra manera, tiene que ser la dirección IPv4 del segundo DC que planea instalar, aunque no lo
haya instalado aún. Lo ideal es que dependa de las sugerencias de raíz predeterminadas de las
que depende el servicio DNS de WS08 para los requisitos de resolución de nombres.
Por último, este servidor debe pertenecer a un grupo de trabajo que use el mismo nombre
NetBIOS que usará para su bosque. Por ejemplo, si trata de usar TandT.net como nombre de bosque
raíz del ofrecimiento de servicios virtual, el nombre de su grupo de trabajo debe ser TANDT. Esto
simplificará el proceso de comunicación entre el servidor y el siguiente servidor que cree.
SUGERENCIA Recuerde que el bosque de host tiene el nombre TandT.ws y su nombre de nivel infe-
rior TANDTWS para evitar conlictos de nombre con este nuevo bosque de producción.
Realice la promoción del DC

La mejor manera de realizar esta primera promoción de DC es mediante el Administrador del
servidor. Esta herramienta se lanza automáticamente al arranque del sistema. Si no, puede
iniciarla con el acceso directo localizado en el área Inicio rápido. Luego use el siguiente procedi-
miento para crear su primer controlador de dominio de bosque.
1. Haga clic en Agregar funciones en el panel de detalles. Esto lanzará el Asistente para agregar
funciones. Haga clic en Siguiente.
2. Windows Server 2008 mostrará las funciones existentes en el servidor.
3. Seleccione Servicios de dominio de Active Directory (ADDS) y luego haga clic en Siguiente
4. Revise la información de la función y haga clic en Siguiente.
5. Confirme su selección al hacer clic en Instalar. Esto instala los archivos binarios de ADDS.
Haga clic en Cerrar cuando haya terminado.
PARTE III
FIGURA 6-14 Adición de la función ADDS.
SUGERENCIA No es necesario que acceda a los medios de instalación para WS08 con el in de
agregar cualquier función o característica. WS08 guarda en la caché local automáticamente los
archivos binarios de todas las funciones y características durante la instalación. Esto facilita la
adición o eliminación de funciones y características, aun en el modo desconectado. Estos binarios
se actualizan automáticamente en el caso de actualizaciones de seguridad de paquetes de servicio.
6. A continuación, haga clic en la nueva función ADDS en el Administrador del servidor. Obser-
ve la información desplegada en la parte superior del panel de detalles. Haga clic en el vínculo
proporcionado para empezar la promoción del controlador de dominio. Como opción, podría
usar el mismo procedimiento que con el bosque de utilerías usado antes. Esto lanza el Asis-
tente para la instalación de los Servicios de dominio de Active Directory. Asegúrese de selec-
cionar Modo avanzado y luego haga clic en Siguiente. Esto asegura que tendrá la oportunidad
de controlar todas las opciones de este bosque.
7. Seleccione Crear un dominio nuevo en un bosque nuevo y luego haga clic en Siguiente.
8. Ingrese el nombre completo de DNS para el nuevo dominio raíz del bosque. Haga clic en
Siguiente.
9. El asistente verificará el nombre de NetBIOS del bosque. Verifique el nombre de NetBIOS y
haga clic en Siguiente.
10. Elija el nivel funcional del bosque (en este caso, Windows Server 2008) y haga clic en Siguien-
te. Entonces el sistema examinará la configuración DNS.
11. Elija opciones adicionales para este controlador de dominio. Asegúrese de seleccionar Ser-
vidor DNS, y haga clic en Siguiente. Observe que el Catálogo global está seleccionado como
opción predeterminada, porque es el primer DC del bosque, y que RODC no está disponible
porque iniciará por lo menos con un DC de escritura-lectura en cualquier bosque.
12. Si obtiene un mensaje de error relacionado con la delegación, haga clic en Sí. Puede crear más
adelante una delegación manual. Las delegaciones hacen que esta zona pueda autorizar los
registros que contiene.
13. Seleccione la ubicación de la base de datos y registro carpetas y la carpeta SYSVOL (carpeta
de replicación) y luego haga clic en Siguiente. Debido a que este dominio no contiene muchos
datos, la base de datos y los registros pueden residir en el mismo disco.
14. Asigne la contraseña del administrador del modo de restauración de servicios de directorio,
y luego haga clic en Siguiente. Esta contraseña es extremadamente importante, porque es la
usada para realizar restauraciones autorizadas o restauraciones que sobrescriben información
del directorio existente durante la recuperación del sistema. Guárdela con cuidado.
15. El servicio de promoción de DNS desplegará sus opciones. Revíselas con cuidado y, cuando
esté listo para seguir adelante, haga clic en Siguiente. Si ve errores en sus elecciones, use el
Sugerencia rápida
Si planea usar IPv6 (y así debe ser porque las redes WS08 dependen de este nuevo protocolo
de comunicaciones) necesitará obtener el alcance de direcciones IPv6, de su proveedor de
Internet o para uso propio. IPv6 está habilitado y configurado como opción predeterminada
en todas las instalaciones de Windows Vista. Pero esta configuración se establece para obtener
una dirección automática mediante DHCPv6. Si no hay disponible un servidor DHCPv6,
usará una dirección de vínculo local con el prefijo de dirección predeterminado fe80::/64. Las
direcciones de vínculos locales sólo se usan para alcanzar nodos del entorno y no se registran
en DNS. La conectividad IPv6 más útil debe configurarse manualmente o a través de un ser-
vidor DHCPv6. Las direcciones de alcance de IPv6 pueden obtenerse de registros de Internet
regionales (RIR). Los RIR más comunes son:
• American Registry for Internet Numbers (ARIN) para Estados Unidos (www.arin.net).
• RIPE Network Coordination Centre (RIP NCC) para Europa, Oriente Medio y Asia
Central (www.ripe.net).
• Asia-Pacific Network Information Centre (APNIC) para la región de Asia y el Pacífico
(www.apnic.net).
• Latin American and Caribbean Internet Address Registry (LACNIC) para la región de
América Latina y el Caribe (www.lacnic.net).
• African Network Information Centre (AfriNIC) para África (www.afrinic.net).
Una vez que obtenga su alcance, puede usarlo para configurar sus servidores. La configu-
ración de los valores de IPv6 es similar a la de IPv4. Necesita configurar los siguientes valores:
• Dirección de transmisión única de IPv6.
• Longitud de prefijo de subred (como opción predeterminada, es 64).
• Puerta de enlace predeterminada (una vez más en formato de transmisión única de IPv6).
• DNS preferido (una vez más, una dirección de transmisión única).
• Servidor DNS alterno.
Puede usar la configuración avanzada para agregar varias direcciones IPv6 o servidores
DNS adicionales. No hay servidores WINS para IPv6 porque no usa nombres NetBIOS.
botón Atrás para corregirlos. Al hacer clic en Siguiente se lanza el Asistente para instalación de
Active Directory. Realizará una serie de tareas, incluida la replicación de parámetros de seguri-
dad en los discos del servidor, y lanzará el proceso de instalación de DNS. Seleccione la casilla
de verificación Reiniciar al completar. Esto asegurará que los servicios se inicien y estén listos
para operar una vez que se cree una copia de seguridad del sistema.
El proceso de instalación de Active Directory se completa una vez que se instala el servidor
DNS. Proceda a la finalización del proceso de creación del primer servidor de la manera siguiente.
Finalización de la coniguración de DNS

La instalación del servicio DNS de ADDS prepara el servidor DNS para operar con los Servicios
de dominio de Active Directory, pero no realiza una configuración completa de DNS. Se requie-
ren varios elementos para completar la configuración:
• Establecer la caducidad/borrado de todas las zonas.
• Verificar las particiones de aplicaciones para replicación DNS.
• Finalizar la configuración de resolución de nombres de bosque invertida.
La configuración del servidor DNS se realiza mediante el Administrador del servidor. Use el
siguiente procedimiento para configurar su servidor.
PARTE III
1. Localice y expanda el elemento Funciones, en el panel de la izquierda de la consola.
2. Localice y expanda el elemento Servidor DNS en el panel de la izquierda.
3. Expanda el elemento DNS en el panel de la izquierda. Luego haga clic en el nombre del servidor.
4. Empiece con los parámetros de caducidad/borrado. Para ello, haga clic con el botón derecho
en el nombre del servidor y seleccione Establecer caducidad/borrado para todas las zonas, del
menú contextual.
5. Seleccione Borrar registros de los recursos obsoletos, para habilitar la función. Acepte el inter-
valo predeterminado de actualización (siete días) y haga clic en Aceptar. Esto asegurará que su
base de datos DNS no contenga datos obsoletos.
6. También le dará la oportunidad de establecer el modo de borrado para todas las zonas futuras
integradas de Active Directory. Asegúrese de seleccionar Aplicar esta configuración a las zonas
integradas de Active Directory existentes, y luego haga clic en Aceptar.
7. A continuación, verifique las particiones de aplicaciones de la información DNS del bosque
y el dominio raíz. Windows Server 2008 separa la información de DNS del bosque de la del
dominio raíz. Automáticamente establece el alcance de la partición de la aplicación para cada
conjunto de datos de DNS. Las particiones de aplicaciones son de replicación especial que
pueden almacenar cualquier información que no está relacionada con los principales de segu-
ridad. Estas particiones están compuestas por un conjunto de direcciones IP o nombres DNS
que definen el alcance de la partición de aplicaciones. El empleo de una partición de aplicacio-
nes para almacenar información DNS le evita tener que crear copias de zonas DNS dentro de
dominios secundarios como zonas DNS secundarias de sólo lectura. Esto confirma que toda
la replicación DNS estará asegurada y controlada mediante los Servicios de dominio de Active
Directory (vea la figura 6-15).
8. Para verificar que se han creado las particiones de aplicaciones apropiadas para los datos DNS,
haga clic con el botón derecho en cada nombre de zona de búsqueda directa y seleccione Pro-
piedades, del menú contextual. WS08 incluye una sección Replicación, bajo la sección de Tipo,
de la ficha General de las propiedades de zona. Esta sección Replicación controla el alcance de
la partición de aplicaciones. WS08 establece automáticamente los datos de DNS del bosque
(_msdcs.nombrebosque) para usar una partición de aplicaciones de todo el bosque. Establece
datos específicos del dominio para usar una partición de aplicaciones sólo del dominio. Veri-
fique que sea el caso y cierre el cuadro de diálogo cuando haya terminado.
9. A continuación, seleccione la zona nombrebosque y verifique que sólo se está replicando en el
dominio raíz.
10. Por último, configure su zona de búsqueda inversa. Para ello, haga clic con el botón derecho
en el elemento Zonas de búsqueda inversa en el panel de la izquierda y seleccione Zona
nueva. Esto lanza el Asistente para crear zona nueva. Haga clic en Siguiente para empezar el
proceso de creación de la zona.
11. Seleccione el tipo de zona (en este caso, una zona principal) y asegúrese de seleccionar Alma-
cenar la zona en Active Directory. Haga clic en Siguiente.
12. Defina la partición de aplicaciones para la replicación de datos de zona. Debido a que se trata
de información específica del dominio, seleccione Para todos los servidores DNS en este bos-
que (vea la figura 6-16). Haga clic en Siguiente.
13. Seleccione si se trata de una zona IPv4 o IPv6 y haga clic en Siguiente.
14. Identifique los parámetros para la zona de búsqueda inversa que desee crear y haga clic en
Siguiente.
SUGERENCIA Para que el Asistente para crear zona nueva proporcione automáticamente el nombre
de la zona inversa, seleccione Id de red y escriba la dirección de red de la zona (por ejemplo,
192.168.1). El Asistente para crear zona nueva proporcionará automáticamente el valor para la
zona de búsqueda inversa, aunque no esté seleccionada. Para limpiar el cuadro Id de red, seleccio-
ne la opción Nombre de la zona de búsqueda inversa.
15. A continuación, seleccione Permitir sólo actualizaciones dinámicas seguras y luego haga clic
en Siguiente. Haga clic en Finalizar para crear la zona.
Es todo; su servidor DNS está listo. Puede pasar a la siguiente etapa.
FIGURA 6-15
ADDS separa los datos de DNS
de todo el bosque de los datos
especíicos del dominio.
FIGURA 6-16 Alcance de replicación de la zona de Active Directory.
PARTE III
NOTA Al igual que Windows Vista, WS08 también es compatible con el protocolo de resolución de
nombre de igual a igual (PNRP, Peer Name Resolution Protocol). Se trata de una característica
que puede agregar a sus servidores DNS. Para conocer más información, vaya a http://technet.
microsoft.com/en-ca/library/bb726971.aspx.
Coniguración del servidor de hora

Las redes son muy sensibles a la sincronización de hora. Por eso WS08 incluye un sistema inte-
grado. En un bosque WS08, el servicio Hora de Windows se configura automáticamente, apro-
vechando el servicio de hora que está disponible en controladores de dominio. Un controlador
de dominio especial, el Emulador de PDC, sirve como fuente autorizada de la hora dentro de un
dominio. En un bosque, los emuladores PDC se sincronizan con las fuentes de hora en dominios
principales. Al final, sólo un servidor necesita sincronización de hora manual. Suele ser el primer
controlador de dominio del bosque.
Debe decidir si desea sincronizar su bosque AD con una fuente de hora externa, si quiere
usar una fuente interna, o si quiere dejar que el bosque se sincronice con este servidor, aunque su
configuración de hora no sea exacta. Cada uno tiene sus propios problemas. Si no se establece el
origen de la hora se crearán eventos de ID 12 en el Registro de eventos del sistema (vea la figura
6-17).
Puede sincronizar con cualquiera de varias fuentes. Por ejemplo, Microsoft proporciona
una fuente de hora en time.windows.com. Si no quiere usar ésta, encontrará una lista de varias
fuentes de hora exactas proporcionadas por los relojes maestros del observatorio naval de Esta-
dos Unidos en http://tycho.usno.navy.mil. Use el parámetro apropiado de acuerdo con la zona
horaria a la que pertenece su servidor.
Para establecer un servidor de hora, use la herramienta de línea de comandos w32tm. Por
ejemplo, el comando para establecer su reloj con el servicio de hora de Windows sería:
FIGURA 6-17 Id de evento número 12.
w32tm /config /manualpeerlist:”time.windows.com” /update
Esto establecerá el primer DC para que sincronice la hora con el sistema de origen incluido.
Recuerde que para esto necesitará tener abierto el puerto activo (123) del protocolo de datagra-
ma de usuario (UDP, User Datagram Protocol) en su firewall para permitir tráfico de protocolo
simple de hora de red (SNTP, Simple Network Time Protocol).
PRECAUCIÓN Será necesario que reestablezca este valor cada vez que mueva la función Emulador
de PDC de este DC a otro.
Coniguración de administración de alertas

Casi todas las redes empresariales usan una herramienta de administración de alertas de todo el
sistema. Esto se realiza mediante el protocolo simple de administración de red (SNMP, Simple
Network Management Protocol). Esta característica debe estar instalada en todos los servidores
y equipos si habrá de funcionar el sistema de administración de alertas. Debido a que hay riesgos
de seguridad en la ejecución de este servicio sin una configuración rígida, debe personalizarse su
configuración. Verifique que los servicios SNMP están instalados. De lo contrario, use el Asistente
para agregar características para instalarlos, y luego proceda a su configuración de seguridad.
1. Para ello, necesita expandir el panel de la izquierda Configuración | Servicios.
2. Luego encuentre el elemento Servicios SNMP en el panel de detalles. Haga doble clic en él
cuando lo localice.
3. Aquí es necesario configurar tres elementos: información de agente, destinos de capturas y
propiedades de seguridad de SNMP. Seleccione la ficha Agente y escriba el nombre del opera-
dor y la ubicación física.
4. Seleccione la ficha Capturas e identifique el nombre de la comunidad y los destinos de cap-
turas válidas. Los destinos deben ser normalmente sus dos servidores de bosque raíz u otros
servidores si tiene servidores de administración.
5. Por último, seleccione la ficha Seguridad y establezca los nombres aceptados de comuni-
dad. Agregue la comunidad de su organización en modo de sólo lectura. Seleccione Aceptar
paquetes SNMP de estos hosts y agregue los nombres de hosts válidos. Haga clic en Aceptar
cuando termine.
Aquí va. El primer servidor de su red ya casi está listo. Es necesario realizar una operación
final.
Conigure el servidor de administración de claves

Las organizaciones que cuentan con acuerdos de licencias por volúmenes con Microsoft nece-
sitarán la implementación de un servicio de administración de claves (KMS, Key Management
Service) para activar y mantener PC de Vista y WS08 en su red. Cualquier persona que use las
claves de activación de volumen (VAK, Volume Activation Key) necesitará la activación y reactiva-
ción para mantener un nivel apropiado de experiencia de usuario con sus sistemas. Esto protege
las claves de activación de volumen de modos que nunca antes habían sido posibles. Las orga-
nizaciones que utilizan claves múltiples de activación (MAK, Multiple Activation Key) también
pueden depender de KMS para proporcionar servicios de activación. La principal diferencia entre
MAK y VAK es que la primera requiere sólo activarse una vez. La segunda requiere reactiva-
ción constante (cada 180 días). Además, la MAK requiere la comunicación con Microsoft, por lo
PARTE III
menos mediante el servicio proxy, si no es que de máquinas que usan una MAK, mientras que las
VAK nunca requieren acceso al sitio Web de activación de Microsoft.
Si está usando MAK, entonces no necesita un servidor KMS. Si está usando VAK, entonces
necesita instalarlo.
NOTA Descargue KMS de http://www.microsoft.com/downloads/details.aspx?displaylang=es&Fam

ilyID=81d1cb89-13bd-4250-b624-2f8c57a1ae7b.
Si decide usar servidores KMS, entonces configúrelo en este servidor. Para conocer instruc-
ciones sobre la manera de configurar el servidor KMS, vaya a http://technet.microsoft.com/en-us/
windowsvista/bb335280.aspx. Para conocer más información acerca de la activación por volumen
en general, vaya a www.microsoft.com/licensing/resources/vol/default.mspx.
Directiva de grupo predeterminada y personalización de seguridad

El primer DC de un bosque incluye dos objetos de directiva de grupo (GPO, Group Policy
Object): la directiva de dominio predeterminada y la directiva de controlador de dominio
predeterminada. Aunque no existe algo parecido a una herencia recurrente de directiva de
grupo entre los dominios en un bosque, sí hay un proceso de herencia de GPO de una sola vez
durante la instalación del controlador de dominio. Esto significa que todo controlador de do-
minio posterior que cree en cualquier parte del bosque heredará la configuración de estos dos
GPO. Se trata de una excelente oportunidad para asegurar que un conjunto determinado de
estándares está implementado dentro de su bosque. Para ello, debe personalizar ambos GPO
predeterminados.
Tal vez quiera cambiar la configuración, como forzar el cambio de nombre de la cuenta de
administrador, imponer contraseñas sólidas en todo el bosque, fortalecer los parámetros de se-
guridad del controlador de dominio y mucho más. Los parámetros sugeridos para ambas direc-
tivas se delinean en el capítulo 10, que cubre seguridad. Asegúrese de revisar estos parámetros y
modificar los que parezcan apropiados para su entorno.
Una vez que esto quede completo, su primer servidor estará listo. Asegúrese de que verifica
cada aspecto de la configuración de este servidor antes de seguir adelante. Luego estará listo para
pasar a la creación del segundo controlador de dominio para el dominio de raíz de bosque.
Cree el segundo DC en el dominio raíz del bosque

Es mucho más simple crear el segundo controlador de dominio en el dominio raíz del bosque
que el primero. Necesita realizar la instalación del servidor, instalar Active Directory con DNS, re-
visar la configuración del servidor DNS, instalar opcionalmente SNMP y luego migrar dos de las
funciones de Maestro de operaciones. Una vez que esto se haya terminado, necesitará configurar
y verificar la operación apropiada del sistema de replicación de AD. Luego estará listo para pasar
a la creación del dominio de producción secundario global.
Instalación y coniguración del servidor

Proceda con el proceso de instalación del servidor virtual estándar. Asegúrese de que el kernel
del servidor está actualizado, y realice una verificación de control de calidad en él. Este servidor
puede configurarse para ser un servidor miembro del dominio TandT.net porque está destinado
a volverse un controlador de dominio para este dominio. Si decide instalarlo en un grupo de
trabajo, asegúrese de que, por lo menos, es parte del grupo de trabajo TANDT. Esto facilitará el
proceso de comunicación con el dominio TandT.net porque usa el mismo nombre NetBIOS.
Además, recuerde que debe configurar las propiedades de cliente del protocolo de control de
transmisión/protocolo de Internet (TCP/IP Transmission Control Protocol/Internet Protocol) de la
misma manera que configuró el primer servidor de la red. Sin embargo, aquí hay una variación.
Puede configurar la dirección DNS para que sea la primera dirección y que el primer DC sea la
segunda dirección.
Promoción de DC
A continuación, instale los archivos binarios de ADDS y promueva este servidor a controlador de
dominio. Use el mismo procedimiento que con el primer controlador de dominio en el dominio
raíz del bosque, con las siguientes variaciones:
1. En la primera pantalla del Asistente para la instalación de los Servicios de dominio de Active
Directory, seleccione Bosque existente y luego Agregar un controlador de dominio a un domi-
nio existente. Haga clic en Siguiente.
2. Escriba el nombre del dominio raíz, seleccione Credenciales alternativas y luego haga clic en
Establecer.
3. Escriba las credenciales apropiadas para crear el DC en el dominio existente. Esta cuenta debe ser
miembro de un grupo Administradores empresariales. Haga clic en Aceptar y luego en Siguiente.
4. A continuación, seleccione el dominio al que se habrá de unir y haga clic en Siguiente.
5. Seleccione un sitio para el nuevo dominio. Seleccione el nombre predeterminado del primer
sitio, por ahora. Haga clic en Siguiente.
6. Si aún no están seleccionados, seleccione Servidor DNS y Catálogo global. No seleccione
RODC. Haga clic en Siguiente y luego en Sí como respuesta al mensaje de delegación.
7. Debido a que está en la misma red, seleccione Replicar datos en la red desde un DC existente,
y haga clic en Siguiente.
8. Seleccione Cualquier DC que permita escritura y haga clic en Siguiente.

9. Por último, localice la base de datos y los registros, además del volumen del sistema, en los
mismos lugares que el primer DC. Haga clic en Siguiente.
10. Establezca su contraseña de modo de restauración, haga clic en Siguiente, revise el resumen,
haga clic en Siguiente y seleccione Reiniciar al completar.
Use las consolas de AD para verificar la operación apropiada del DC después de los reinicios.
NOTA El cuadro de diálogo de resumen le permite exportar estos datos a un archivo de respuesta
para permitir la automatización del proceso cuando tenga que agregar una gran cantidad de servi-
dores a los controladores de dominio.
El Asistente para promoción de DC interactivo instaló automáticamente el servicio DNS en

el controlador de dominio cuando realizó la instalación de ADDS. No necesita hacer nada para
configurar zonas en DNS porque se cargarán desde el directorio. Sin embargo, debe darse el
tiempo de revisar la configuración de DNS y asegurarse de que todo funciona apropiadamente.
Realice las mismas operaciones en este servidor que en el primer DC para configurar el ser-
vicio SNMP. Asegúrese de que se han ingresado los nombres de comunidad apropiados y que los
PARTE III
mensajes se reciben y envían a las fuentes apropiadas. Esto creará un SNMP y una configuración
de administración de alertas seguros.
Operación de transferencia del Maestro de operaciones

A continuación, transfiera las funciones de Maestro de operaciones a este servidor. Se trata de un
proceso delicado. Algunas funciones son muy sensibles. El Maestro de esquema, en particular,
debe transferirse con cuidado, porque sólo puede existir un Maestro de esquema por bosque y
el esquema de bosque puede corromperse debido a la existencia simultánea de dos maestros.
La función Maestro de operaciones se presenta en dos situaciones: durante la instalación de un
bosque o dominio y durante las fallas de servicio. Debe ser muy cuidadoso en ambos casos.
Tome, por ejemplo, la siguiente situación. El servidor Maestro de esquema falla. Se apaga
para reparación. Un administrador toma la función Maestro de esquema y lo aplica a otro DC en
el bosque. Se repara el servidor original y se reinserta en la red sin eliminar la función Maestro de
esquema. La consecuencia: dos maestros de esquema en el bosque y un esquema corrupto. La
base de datos ADDS debe volverse a cargar a partir de copias de seguridad. Como verá, debe ser
cuidadoso con la función Maestro de esquema al igual que con el propio esquema. Sólo procesos
y procedimientos estrictos ayudan a asegurar la operación apropiada de la red empresarial.
Se requieren varias herramientas diferentes para migrar las funciones de Maestro de opera-
ciones:
• Maestro de esquema Usa la MMC Esquema de Active Directory.
• Maestro de nombre de dominio Usa la MMC Dominios y confianzas de Active Directory.
• Emulador de PDC, Maestro de RID, Maestro de infraestructura Usa la sección Usuarios
y equipos de Active Directory en el Administrador del servidor.
Debido a que necesita transferir los Maestros de nombre de dominio y de Infraestructura,
deberá usar dos consolas para realizar la tarea. La operación también puede realizarse desde la lí-
nea de comandos empleando el comando NTDSUTIL. Pero como sólo tiene que hacerse una vez,
puede usar las consolas. Es más fácil y se familiarizará con el contenido de ADDS. Empiece con
el Maestro de nombre de dominio.
1. Abra la consola Dominios y confianzas de Active Directory en el segundo DC. Puede encon-
trarse en Herramientas administrativas.
2. Haga clic con el botón derecho en Dominios y confianzas de Active Directory, justo arriba del
nombre del dominio, y seleccione Maestro de operaciones del menú contextual.
3. Haga clic en Cambiar, para mover la función a este servidor, y luego en Sí. Haga clic en Acep-
tar cuando esté terminada la transferencia de la función. Haga clic en Cerrar cuando haya
terminado. Cierre esta consola.
4. A continuación, vaya a Usuarios y equipos de Active Directory en la sección Funciones, del
Administrador del servidor, localizado bajo ADDS.
5. Haga clic con el botón derecho en el nombre del dominio, y seleccione Maestro de operacio-
nes del menú contextual.
6. Seleccione la ficha Infraestructura, y haga clic en Cambiar, para mover la función a este DC.
7. Haga clic en Sí como repuesta a la advertencia de seguridad. Haga clic en Aceptar y luego en
Cerrar cuando la operación esté completa.
Es adecuado transferir esta función a este Catálogo global porque se trata de un dominio
pequeño. La operación está completa. Ahora se ha creado y configurado su segundo DC. Rea-
lice una revisión de calidad para asegurarse de que todo esté operando normalmente dentro de
ambos DC. Una vez que todo ha pasado el control de calidad, proceda a la creación del dominio
de producción secundario global.
NOTA Si decidió usar un servidor KMS, entonces establézcalo también en este DC. Esto propor-
cionará un servicio redundante a la red. También es un buen momento para crear cuentas de
administrador con nombre.
Cree el primer DC en el dominio de producción de dominio

secundario global
El DC de dominio de producción es ligeramente diferente de la raíz del bosque y otros controla-
dores de dominio, porque es en el dominio de producción donde se almacenará la información
masiva del dominio. Una de las diferencias en la configuración consiste en crear discos especia-
les en el servidor para almacenar registros de base de datos de ADDS. Es una práctica estándar
de servidor de base de datos almacenar registros de transacciones y bases de datos en discos
separados cuando el volumen de las bases de datos es elevado. Esta práctica debe aplicarse a
controladores de dominio que almacenarán cantidades masivas de datos. Éste es el caso de los
controladores de dominio de producción. Esto significa que estas máquinas virtuales deben tener
tres discos: C, D y E. El tamaño de las particiones D y E se basa en el número de usuarios de sus
dominios. En casi todos los casos, 30 GB es suficiente para la unidad de datos y 10 GB para la
unidad de registro. Es muy fácil expandir discos virtuales, de modo que no puede cometer errores
graves. Monitoree el tamaño del disco para asegurarse de que no se queda sin espacio una vez
que el dominio esté ejecutándose.
De otra manera, la instalación de este DC es similar a la instalación del DC anterior. En reali-
dad, todas las operaciones son iguales, excepto por lo siguiente:
• Coniguración TCP/IP del servidor Los servidores DNS deben establecerse en este servi-
dor, y luego en uno de los servidores de dominio raíz.
• Promoción de DC Éste será el primer DC en un nuevo dominio. Además, instala el servicio
DNS.
• Finalización de la coniguración de DNS Es necesario finalizar la configuración del servi-
cio DNS.
• Creación de la cuenta Es necesario cambiar el nombre de la cuenta Administrador. También
necesitará una cuenta especial para el servicio DHCP que habrá de instalarse después.
Los siguientes procedimientos destacarán esas diferencias. Aún será necesario aplicar todas
las modificaciones normalmente requeridas para las configuraciones del servidor.
Realice la promoción de DC
En el primer DC para el dominio secundario, use el mismo procedimiento que con el primer DC
en el bosque, con las siguientes modificaciones:
1. Instale los archivos binarios de ADDS y luego lance el Asistente para la instalación de los Ser-
vicios de dominio de Active Directory. Asegúrese de seleccionar Usar la instalación en modo
avanzado en la primera pantalla.
PARTE III
2. En la primera pantalla, seleccione Bosque existente y luego Crear un dominio nuevo en un bos-
que existente, porque este dominio usará la misma estructura de nombre que el dominio raíz.
3. A continuación, escriba el nombre del dominio raíz del bosque al que se unirá, y haga clic en
Establecer, para escribir las credenciales apropiadas para crear el DC en el bosque existente.
Esta cuenta debe ser un miembro del grupo Administradores de empresas.
4. En la siguiente pantalla, escriba el nombre del dominio raíz del bosque una vez más y luego el
nombre del nuevo dominio. Éste debe ser la intranet.
5. A continuación, verifique el nombre NetBIOS del dominio secundario. Después de eso,
confirme que Nombre predeterminado del sitio principal es el sitio en que desea colocar el
controlador de dominio.
6. Asigne las funciones Servidor DNS y Catálogo global. Después de eso, seleccione Cualquier
controlador de dominio en que se pueda escribir como origen de la replicación.
7. Localice la base de datos y los registros, además del volumen del sistema. Observe que la
base de datos de AD debe estar en D: y los registros en la unidad E:. El volumen del sistema
también debe estar en la unidad D:. Utilice las carpetas predeterminadas para almacenar cada
elemento.
8. Asigne la contraseña para restauración.
9. Verifique la información del resumen. Observe que esta vez se creará una delegación apropia-
da de DNS.
10. No olvide seleccionar Reiniciar al completar, porque así se finalizarán las operaciones.
Use las consolas de AD para verificar la operación apropiada del DC después de que reinicie.
Puede pasar a la siguiente operación, con lo que finaliza la configuración de DNS.
NOTA Las delegaciones DNS son importantes en esta etapa, porque al tener una delegación a este
DC se almacenará automáticamente la información de DNS en una partición de aplicaciones que
reside en este dominio. Windows Server 2003 no hacía esto y, por tanto, requería la creación de
delegaciones manuales antes de que pudiera realizar esta operación.
Finalice la coniguración de DNS

Debido a que el servicio DNS está instalado, todo lo que necesita hacer aquí es finalizar su con-
figuración. Realice los mismos pasos delineados en la sección “Finalización de la configuración
de DNS” descrita durante la creación del primer DC del bosque. Una vez que esté completa la
configuración del servicio, puede seguir adelante con la modificación de la cuenta Administrador.
También requiere una cuenta adicional en este dominio. Esta cuenta se usará como credenciales
para la interacción DHCP/DNS. Será una cuenta de servicio con privilegios de administración
de dominio. Use un nombre y una contraseña complejos, asegúrese de que el usuario no pueda
cambiar las contraseñas y que éstas nunca expiren. Anote esta cuenta porque se requerirá cuando
configure el servicio DHCP en servidores miembro.
NOTA No es necesario que indique el nivel de funcionalidad de este dominio porque realizará esta
acción para el bosque durante la creación del primer DC. Los bosques WS08 nativos sólo permiti-
rán que se creen dominios secundarios WS08 nativos. Ahora está listo para completar la prepara-
ción del dominio secundario.
Cree el segundo DC en el dominio de producción secundario global

Esta instalación será similar a la del segundo DC en el dominio raíz del bosque. La principal
diferencia es la migración de las funciones Maestro de operaciones. Debido a que se trata de un
dominio secundario, no incluye ninguna función de Maestro de operaciones de todo el bosque.
Además, los tres servicios restantes (este DC y los dos servidores de infraestructura de red)
pertenecerán al dominio de producción; por tanto, los tres pueden ponerse en funcionamiento
al mismo tiempo e instalarse como servidores miembro para este dominio. Una vez que los tres
servidores estén en funcionamiento, aparte los dos servidores de infraestructura de red para el
futuro, debe completar la configuración del segundo DC de este dominio. Este DC será igual que
el primero en este dominio, pero con las siguientes diferencias:
• Cliente de coniguración de TCP/IP Los servidores DNS deben establecerse en este servi-
dor, y luego los otros DC para este dominio.
• Promoción de DC Éste será un DC adicional en un dominio existente.
• Instalación y coniguración de DNS Una vez más, sólo se requiere el servicio DNS. AD
replicará la información de zona.
• Transferencia de la función Maestro de operaciones Migre la función Maestro de infraes-
tructura a este servidor.
Realice la promoción del DC

Promueva este servidor a controlador de dominio. Use el mismo procedimiento que con el pri-
mer controlador de dominio en el dominio secundario, con las siguientes variaciones:
1. Instale los archivos binarios de ADDS y luego lance el Asistente para la instalación de los Ser-
vicios de dominio de Active Directory. Asegúrese de seleccionar Usar la instalación en modo
avanzado en la primera pantalla.
2. En la primera pantalla, seleccione Bosque existente y luego Agregar un controlador de domi-
nio a un dominio existente.
3. A continuación, escriba el nombre del dominio raíz del bosque al que se unirá, y haga clic en
Establecer, para escribir las credenciales apropiadas para crear el DC en el bosque existente.
Esta cuenta debe ser miembro del grupo Administradores de empresas.
4. En la siguiente pantalla, seleccione el dominio Intranet.

5. A continuación confirme que el nombre predeterminado del primer sitio es el sitio en el que
desea colocar el controlador de dominio.
6. Asigne la función Servidor DNS, pero no seleccione Catálogo global, porque este servidor
hospedará la función Maestro de operaciones de infraestructura. En la pantalla de error, se-
leccione Transferir la función Maestro de infraestructura a este controlador de dominio (vea la
figura 6-18).
7. En la siguiente pantalla, ADDS se ofrecerá a actualizar la delegación de DNS para incluir este
DC. Seleccione Sí. Esto asegurará que este servidor también incluirá la partición de aplicacio-
nes que hospeda la información de DNS de este dominio.
8. Después de eso, seleccione Un controlador de dominio existente, como la fuente de la replica-
ción y, luego, Cualquier DC en que se pueda escribir.
9. Localice la base de datos y los registros, además del volumen del sistema. Observe que la base
de datos de AD debe estar en D: y los registros en la unidad E:. El volumen del sistema tam-
bién tiene que estar en la unidad D:. Utilice las carpetas predeterminadas para almacenar cada
elemento.
10. Asigne la contraseña para restauración.
11. Verifique la información del resumen.
PARTE III
12. No olvide seleccionar Reiniciar al completar, porque así se finalizarán las operaciones.
Está listo para pasar a las otras operaciones, una vez que el sistema se reinicie.
Otras consideraciones sobre la creación de DC

No necesita mover ninguna otra función del Maestro de operaciones en este momento, pero
tal vez pueda hacer crecer este dominio a su tamaño pretendido. Si espera tener más de 50 000
usuarios en su dominio de producción, necesitará crear un Emulador de PDC dedicado. Pero esto
no es necesario por el momento, porque los objetos de directorio aún no se han creado. Y como
está realizando una migración de objetos de dominios antiguos de Windows al nuevo bosque
WS08, no requerirá esto hasta que se hayan migrado suficientes objetos.
Pueden usarse dos estrategias para la migración de datos:
• Cree primero todos los controladores de dominio Implemente los DC una vez que la red
paralela se esté ejecutando, y luego migre usuarios y otros objetos. Para que esta estrategia
funcione, necesitará suficientes máquinas virtuales nuevas para crear todos los DC.
FIGURA 6-18
Transferencia automática
de la función de infraes-
tructura a este DC.
• Migre usuarios y cree DC al avanzar En este caso, use su juicio, pero tiene la opción de
agregar nuevos DC cada 500 usuarios migrados (dependiendo de si se trata de un DC central
o regional). Por supuesto, necesitará agregar por lo menos un DC en cada región remota que
tiene más de un número determinado de usuarios (10 o más, si el hardware de servidor puede
tener más máquinas host). Los DC regionales son candidatos ideales para la función RODC.
No es necesario que el segundo DC sea un servidor de Catálogo global (GC, Global Catalog),
porque estará agregando más DC (que también serán GC) a medida que crece. Por tanto, puede
garantizar que el sitio que contiene este DC tendrá por lo menos uno más que puede actuar como
servidor de Catálogo global de este sitio. De esta manera, no enfrentará posibles problemas que po-
drían ocurrir a partir de la cohabitación de una GC y el Maestro de infraestructura.
Por último, cuando cree cantidades masivas de controladores de dominio, lo más probable
es que quiera automatizar este proceso. Como en la configuración del bosque de utilerías, la pro-
moción de DC en este dominio puede crear una secuencia de comandos con archivos de texto
para instalación no atendida. Mediante secuencias de comandos, esta versión también puede
instalar automáticamente el servicio DNS. Una de las mejores maneras de hacerlo es realizar una
instalación más de DC con el asistente y, en la página Resumen, capturar el archivo de respuesta
de instalación no atendida para la creación de todos los demás DC.
Además, puede reparar DC y evitar replicación de red con WS08. Para ello, requiere una
copia de seguridad de ADDS. Esto puede hacerse en un CD o DVD o incluso a un recurso com-
partido de red (vea la figura 6-19). Luego, si necesita reconstruir un DC remoto, puede usar el
siguiente comando:
dcpromo /adv
Esto desplegará una pantalla inicial de datos, que le permite ingresar datos de la copia de
seguridad, reduciendo la cantidad de replicación requerida. Una vez que se reconstruya el DC, la
replicación normal multimaestra de AD tomará el control y actualizará el contenido de este DC.
Aunque elija una ubicación de red para copia de seguridad de datos, puede descargar informa-
ción adicional y limitar la transferencia de datos al nuevo DC durante su creación. Considere que
este método es poco práctico para la puesta en funcionamiento del DC, porque casi todos los DC
entrarán en funcionamiento en un área central con conexiones de alta velocidad.
Ahora, está listo para seguir adelante en la preparación de los dos servidores de infraestruc-
tura de red.
Conecte la red empresarial

Su red paralela está casi lista. Necesita preparar dos servicios más (uno obligatorio y otro opcio-
nal) para que la red paralela pueda aceptar equipos y usuarios cliente. Estos dos servicios son
parte de la función de servidor de infraestructura de red:
• Direccionamiento IP centralizado.
• Resolución de nombres heredada, porque el servicio de directorios realiza la resolución de
nombres de Internet.
Ambas funciones deben ser realizadas por un mínimo de dos servidores localizados en diferentes
sitios, si es posible. La configuración de ambos servidores será casi idéntica pero, por supuesto, cada
una tendrá algunas ligeras modificaciones porque se encuentran en diferentes ubicaciones físicas.
FIGURA 6-19 Uso de los datos sin conexión para crear un DC.
PARTE III
Actividades para la puesta en funcionamiento de la infraestructura de red
Las actividades que deben realizarse para instalar ambos servidores de infraestructura de red se
detallan en la lista de verificación de configuración del servidor de infraestructura de la figura
6-20. Se incluyen cuatro actividades: preparación del servidor, configuración DHCP, configura-
ción WINS (opcional) y verificación del sistema. Las primeras tres actividades se repiten para
cada uno de los dos servidores.
Ambos servidores de infraestructura de red deben ser sólo servidores miembro. Ambos deben
pertenecer al dominio de producción porque es aquí donde se necesitará más sus servicios. Pocas
operaciones heredadas ocurrirán en el dominio raíz del bosque, de modo que es rara la resolución
de nombres heredada. El dominio raíz del bosque tendrá muy pocos objetos, como usuarios y equi-
pos; por tanto, no será necesario asignar dinámicamente dirección IP a esos objetos.
Ambas máquinas virtuales usan el kernel básico de servidor y pueden ponerse en funciona-
miento ahora. Además, realice una verificación de control de calidad en los propios servidores
antes de dar el siguiente paso.
Conigure el primer servidor de infraestructura de red

Casi todas las mejoras en DHCP se encuentran en la integración de IPv6. Otros cambios presen-
tados con Windows Server 2003 es la característica Configuración de cliente alterno para clientes
que usan DHCP y una función Copia de seguridad y restauración mejorada para la base de datos
de DHCP. Ahora puede crear una copia de seguridad y restaurar una base de datos de DHCP
directamente desde la consola DHCP.
Desde Windows 2000, el servicio DHCP se integra de cerca con el servicio DNS. Este servicio
puede habilitar actualizaciones dinámicas en el espacio de nombres de DNS para cualquier clien-
te que da soporte a estas actualizaciones. En el caso de clientes que no permiten las actualizacio-
nes, DHCP puede realizar su actualización. Además, el servidor DHCP debe autorizarse ahora en
Lista de verificación del servidor de infraestructura de red
Preparación el servidor de infraestructura de red

Instalar y asignar nombre a estos servidores miembro del dominio
de producción
Instalar y configurar el servicio DHCP
Configuración de DHCP
Configurar las opciones globales de DHCP
Configurar los alcances de DHCP y las opciones de alcance
Configurar los ID de clase de usuario (si son necesarios)
Configurar la reserva de direcciones para cada alcance en este servidor
(si es necesaria)
Activar los alcances de DHCP y autorizar el servidor DHCP
Repetir en el segundo servidor usando la regla 80/20
Asignación de nombre de una sola etiqueta
Zona de nombres globales de DNS (preferida)
Crear GNZ en un dominio de raíz de bosque
Crear GNZ en cada servidor DNS del bosque
Agregar CNAME de una sola etiqueta
WINS (opcional)
Instalar el servicio WINS en ambos servidores de infraestructura de red
Configurar el servicio WINS
Activar copias de seguridad de WINS
Configurar replicación de WINS
Verificación del sistema
Verificar la operación de los servicios DHCP y de nombres de etiqueta
únicos en la red
FIGURA 6-20 La lista de coniguración del servidor de infraestructura de red.
Active Directory, asegurando que sólo los servidores DHCP oficiales pueden operar en cualquier
red empresarial determinada.
Si ya tiene una estrategia de DHCP y WINS, es probable que no necesite modificarla, a
menos que sienta esa necesidad. Recuerde que un servidor DHCP de WS08 puede administrar
fácilmente 1 000 alcances y 10 000 clientes dados los recursos de sistema apropiados.
NOTA DHCP usa mucho espacio en disco. Debido a esto, los servidores DHCP deben incluir más
RAM. Los archivos de paginación también tienen que establecerse a los valores máximos.
Algunas redes aún dependen de nombres de etiqueta únicos, que antes eran proporcionados
por el servicio WINS. Si no quiere implementar WINS, entonces puede depender de la zona de
nombres globales (GNZ, GlobalNames Zone) disponible en DNS de WS08. Como opción, puede
implementar WINS en los mismos servidores que el servicio DHCP. De ser así, dos servidores
WINS para redundancia son más que suficientes para su red de producción.
Instalación y coniguración del servicio

Una vez más, usará la consola Administrador del servidor para agregar la función DHCP a su
servidor.
1. Construya el servidor y únalo al dominio de la intranet. Inicie sesión con las credenciales del
Administrador de dominio.
2. Lance el Administrador del servidor y vaya a la sección Funciones. Haga clic en Agregar fun-
ciones.
3. En la página Seleccionar funciones de servidor, seleccione Servidor DHCP y luego haga clic en
Siguiente.
4. Revise sus selecciones y luego haga clic en Siguiente. Seleccione las tarjetas de red a las que
quiera unir el servicio, y haga clic en Siguiente. WS08 empezará el proceso de configuración
del servicio DHCP.
5. Seleccione el dominio principal (Intranet.TandT.net), pero no ponga los servidores DNS prefe-
ridos en este momento. Esta página configura las opciones globales de DHCP y, debido a que
quiere que los usuarios se conecten a su servidor DNS local, lo agregará en sus parámetros de
alcance de dirección específico. Haga clic en Siguiente.
6. Si decidió instalar WINS, entonces seleccione Se requiere WINS y agregue la dirección de los
servidores WINS. No es necesario que los instale en esta etapa. Si está usando una zona de
nombres globales, seleccione No se requiere WINS. Haga clic en Siguiente.
7. No agregue un ámbito en este momento. Los ámbitos se crearán más adelante. Haga clic en
Siguiente.
8. Como también debe usar DHCPv6, selecciónelo ahora. Haga clic en Siguiente.
9. Seleccione el dominio principal (Intranet.TandT.net), pero no le ponga en este momento los
PARTE III
servidores preferidos DNS. Haga clic en Siguiente.
10. Seleccione Usar credenciales actuales, para autorizar este servidor. Haga clic en Siguiente.
11. Confirme sus selecciones y haga clic en Instalar.
12. Haga clic en Cerrar una vez que el proceso de instalación esté completo.
Ahora puede pasar a crear los valores DHCP.
Conigure los valores de DHCP

Se requieren varios pasos para configurar apropiadamente DHCP. En primer lugar, debe empe-
zar por configurar las opciones de ámbito global. Estas opciones incluyen todo lo que es igual
para cada cliente DHCP. Las opciones de ámbito global son elementos específicos de un ámbito
determinado. Por ejemplo, las opciones de ámbito local ahora incluirán el servidor DNS, porque
DNS está ahora integrado con Active Directory y lo más probable es que cada cliente encontrará
un servidor DNS que sea local a su red (sobre todo en regiones).
Entre las opciones globales a menudo se incluyen:
• 003 Enrutador
• 006 Servidores DNS
• 015 Nombre de dominio DNS
• 044 Servidores WINS/NBNS (opcional)
• 046 Tipo de nodo WINS/NBT (opcional)
Debe configurar servidores DNS en opciones globales (use los dos servidores DNS que creó
para el dominio secundario) sólo en caso de que no estén disponibles otros servidores DNS.
Entre las opciones de ámbito local se incluye:
• 006 Servidor DNS
Los ámbitos locales también incluyen todos los detalles del ámbito, como el almacén de
direcciones de éste, las concesiones de direcciones en uso y las reservas.
También deberá configurar opciones de clases de usuarios, si necesita usarlas. Un ejemplo

de una clase de usuario útil es una clase especial de usuarios móviles. Eso le permite diferenciar
usuarios móviles y establecer la duración de sus concesiones por un periodo más corto que para
las estaciones de trabajo de PC en su red. Por tanto, cuando el usuario móvil va de un sitio a
otro, las direcciones se liberan automáticamente cuando deja el sitio.
A continuación, configure los ámbitos de DHCP y las opciones específicas del ámbito. Si usa
la regla 80/20 para la redundancia del ámbito (creación de un ámbito en dos servidores y habi-
litación de 80% del ámbito en uno y 20% en el otro), necesitará crear cada ámbito y excluir el
rango apropiado de cada servidor. Una vez que se hayan creado todos los ámbitos, debe unirse a
ellos en un rango apropiado en un superámbito. Se trata de agrupaciones de ámbitos que permi-
ten al servidor DHCP servir a más de una subred. Se requieren cada vez que se trabaja con varias
redes; por tanto, son obligatorios en una red empresarial. Use el superámbito para incluir todos
los ámbitos de un conjunto de rangos de servidor. Los superámbitos deben ser iguales en ambos
servidores que creará.
Cada uno de los dos servidores que configure debe incluir las mismas reservas de dirección,
sobre todo si éstas son para servidores como controladores de dominio. De esta manera, la reser-
va se mantendrá sin importar cuál servidor DHCP responde a la solicitud DHCP. Los servidores
que usan asignación de dirección dinámica también deben tener su conjunto de configuración
alterna para los mismos valores que la reserva.
En Windows Server 2008, los servicios DHCP estarán autorizados y los ámbitos deben estar
activados. Esto es muy útil, porque puede configurar su servidor, revisar todos los ámbitos y
corregir posibles errores antes de poner el servidor en servicio. Además, la activación del ámbito
puede actuar como un mecanismo de seguridad contra fallas, donde los ámbitos sobrantes se
preparan antes de que realmente se necesiten y sólo se activan cuando es necesario.
El mejor lugar para empezar a trabajar con los servicios DHCP es la consola Administrador
del servidor. Necesitará configurar los ámbitos IPv4 e IPv6.
1. Para empezar a configurar el servidor DHCP, lance la consola Administrador del servidor.
2. Localice el nodo Servidor DHCP y empiece por establecer las propiedades del servidor. Esto se
logra al hacer clic en IPv4 e IPv6 y seleccionar Propiedades. Vaya a la ficha DNS y establezca la
configuración de actualización de DNS que requiera. Debido a que se trata de una red paralela
que sólo actualiza clientes de Windows, la configuración predeterminada es correcta. Si debe per-
mitir clientes de menor nivel, entonces elija que el servidor DHCP actualice los registros A y PTR.
A continuación, pase a la ficha Opciones avanzadas y haga clic en Credenciales. Esto le permitirá
ingresar la cuenta que creó antes para asegurar que siempre puede dar seguimiento a las opera-
ciones de DHCP dentro de los servidores DNS. Haga clic en Aceptar cuando haya terminado.
3. Éste es un momento ideal para establecer las clases de usuario, si desea usarlas. Luego pueden
asignarse como opciones de servidor. El procedimiento para crear y usar clases definidas por
el usuario se delinea en la siguiente sección.
4. A continuación, ingrese sus otras opciones de servidor. Haga clic con el botón derecho en
Opciones de servidor y elija Configurar opciones del menú contextual.
5. Configure las siguientes opciones como mínimo: Enrutador, Servidor DNS y Nombre de
dominio DNS. Haga clic en Aceptar cuando haya terminado. Esto establecerá las opciones
globales para todos los ámbitos en este servidor. Los servidores DNS están establecidos glo-
balmente aunque sean sobrescritos por valores de ámbito local. De esta manera, un servidor
DNS ya está disponible para todos los clientes. Si usa WINS, entonces Tipo de nodo WINS/
NBT debe establecerse en nodo-H. La resolución de nodo-H es mejor, aún en redes de área
amplia, porque reducen en gran medida la cantidad de datos transmitidos en cada red.
6. A continuación, cree su primer ámbito DHCP. Haga clic con el botón derecho en el elemento
IPv4 o IPv6, y seleccione Ámbito nuevo del menú contextual. DHCP lanzará el Asistente para
ámbito nuevo. Este asistente le permite ingresar todos los valores del ámbito: nombre de éste,
dirección de inicio, dirección de final, exclusiones e incluso opciones específicas del ámbito.
Aunque el asistente despliega opciones que no se requieren localmente, como servidores
WINS, simplemente omita estas pantallas al hacer clic en Siguiente. Puede elegir que se active
el ámbito o no al final. Es mejor omitir la activación en esta etapa. Esto le permite revisar todas
sus configuraciones antes de la activación.
7. Repita el paso 6 para cada ámbito que requiera. Recuerde excluir 80 o 20% del ámbito, depen-
diendo de dónde quiere que se hospede la parte principal del mismo.
NOTA Los superámbitos no pueden crearse hasta que se haya creado por lo menos un ámbito
en el servidor DHCP.
8. Una vez que se han creado todos los ámbitos, haga clic con el botón derecho una vez más en
IPv4 o IPv6 y seleccione Superámbito. Esto lanzará el Asistente para superámbito nuevo. Haga
PARTE III
clic en Siguiente, para seguir adelante. Asigne un nombre al superámbito y luego seleccione
los ámbitos que serán parte de éste. Cierre el cuadro de diálogo cuando haya terminado. Una
vez que se haya creado un superámbito, pueden agregarse nuevos ámbitos de una de dos ma-
neras: puede crearse dentro del superámbito al hacer clic con el botón derecho en el nombre
del superámbito y seleccionar Ámbito nuevo; o puede crearse fuera del superámbito y agre-
garse a éste una vez que se haya creado. Para esto, haga clic con el botón derecho en el ámbito
y luego seleccione Agregar a superámbito.
9. Si necesita reservas, seleccione el ámbito apropiado para crear reservas dentro de él. Una vez
más, haga clic en las reservas en el panel de la izquierda. Luego haga clic con el botón derecho
en Reservas y elija Reserva nueva, del menú contextual. Llene los detalles de la reserva. Reque-
rirá la dirección de Control de acceso a medios (MAC, Media Access Control) para cada una de
las tarjetas de las que quiere reservar una dirección IP. Las direcciones MAC se desplegarán al
escribir IPCONFIG /All en el indicador de comandos del sistema para el que se requiere esta
reserva. Cierre el cuadro de diálogo al hacer clic en Agregar. Repita las veces que sea necesario.
Las reservas aseguran que la tarjeta de interfaz de red cuya dirección MAC escribió siempre
tenga la misma dirección IP. Son similares a las direcciones IP estáticas, pero se benefician de
una consola de administración central.
10. Por último, después de que haya revisado sus parámetros de DHCP, puede activar los ámbitos.
Una ventaja de usar superámbitos es que puede activarlo todo en un solo paso. Haga clic con
el botón derecho en el nombre del superámbito y seleccione Activar, del menú contextual.
Su primer servidor DHCP está listo. Puede pasar a configurar el servicio de nombre de una sola
etiqueta. Como verá, este servicio es fácil de configurar. Pero primero defina las clases de usuario.
Deina las clases de usuario

Como se mencionó antes, las clases de usuario son muy útiles cuando quiere designar asignacio-
nes especiales de DHCP a clases específicas de equipos en su red. Por ejemplo, puede usar una
clase de usuario para definir equipos móviles y, una vez definida, asegurar que la duración de su
concesión sea más corta que la de las estaciones de trabajo. También puede asegurar que cada vez
que el equipo móvil esté apagado, libere la concesión de la dirección IP que se otorgó. Esto lo hace
más efectivo para usuarios que se mueven con frecuencia de un sitio a otro. Las clases de usuario se
definen dentro de DHCP.
1. Haga clic con el botón derecho en IPv4 o IPv6, en el Administrador del servidor, y seleccione
Definir clases de usuario.
2. Haga clic en Agregar, en el cuadro de diálogo Clases de usuario DHCP.
3. En el cuadro de diálogo Nueva clase, escriba el nombre de despliegue de la clase y la descrip-
ción, y luego coloque su cursor directamente debajo de la palabra “ASCII”. Escriba el nombre
de la clase. Observará que el cuadro de diálogo Nueva clase ingresa los valores ASCII mientras
escribe caracteres (vea la figura 6-21). ¡No modifique estos caracteres! Recuerde que los nombres
de clase son sensibles al uso de mayúsculas y minúsculas. Necesitará tomar nota de la manera
en que deletreó el nombre de la clase. Repita el proceso para cada clase que necesite agregar.
4. Asegúrese de que se hayan agregado sus clases y luego cierre el cuadro de diálogo Clases de
usuario DHCP.
5. A continuación, haga clic con el botón derecho en el elemento Opciones de servidor y se-
leccione Configurar opciones. Vaya a la ficha Opciones avanzadas y seleccione Opciones de
Microsoft Windows 2000 como Clase de proveedor y Usuarios móviles como Clase de usuario.
Establezca el valor del número 02, Concesión de DHCP de la versión Microsoft en la opción
de apagado, al seleccionar la casilla de verificación correspondiente.
6. A continuación, cambie Clase de proveedor a Opciones estándar de DHCP para establecer la
opción 51, Concesión. El valor está en 0xsegundos, donde segundos es el número de segundos que
durará la concesión. Por ejemplo, 0x86400 significa 24 horas. Cierre todos los cuadros de diálogo.
7. Ahora necesitará establecer la clase de usuario en sistemas móviles. Para ello, necesita usar el
comando IPCONFIG en cada equipo. Esta configuración puede realizarse durante la puesta
en funcionamiento de la PC y podría estar dentro de una imagen de sistema. La estructura del
comando es como sigue:
ipconfig /setclassid nombre_adaptador id_clase
Por ejemplo, si su ID de clase es “MóvilTandT,˝ su comando sería:
ipconfig /setclassid Local Area Connection MóvilTandT
FIGURA 6-21
Creación de una nueva
clase de usuario.
PRECAUCIÓN Recuerde que los ID de clase son sensibles a mayúsculas y minúsculas. Debe escribir
el ID de clase con exactitud para que funcione adecuadamente.
SUGERENCIA Las opciones de clase deinidas por el usuario pueden asignarse a cualquier opción
de servidor o ámbito, dependiendo de si se aplican a los sistemas en todos los ámbitos o sólo a
sistemas en ámbitos especíicos.
SUGERENCIA Las clases deinidas por el usuario también son útiles para la asignación de nom-
bres de dominio a sistemas que están localizados en las mismas ubicaciones físicas. Por ejemplo,
si tiene usuarios en la misma ubicación física que usan diferentes dominios, como Intranet y
Desarrollo, puede usar una clase deinida por el usuario para asegurar que los sistemas registran
valores DNS en el controlador de dominio DNS apropiado. Asegúrese de usar la clase deinida
por el usuario para el menor número de sistemas. Esto facilitará la puesta en funcionamiento y la
administración del sistema.
Conigure zonas de nombre global en DNS

Se requiere una sola zona de nombre global para todo el bosque. Esto se hace en cada servidor
PARTE III
DNS del bosque, y la GNZ se define para replicar todos los servidores DNS en el bosque. Básica-
mente, el proceso de crear esta zona es muy simple. Requiere cinco pasos:
• Crear la zona de búsqueda directa NombresGlobales.
• Establecer su ámbito de replicación para todos los servidores del bosque.
• No habilitar actualizaciones dinámicas para esta zona.
• Habilitar soporte a GNZ en cada servidor DNS.
• Agregar nombres de etiqueta únicos a DNS.
Como verá, es una operación muy simple.
1. Inicie sesión en el primer DC del dominio raíz del bosque.
2. Abra el Administrador del servidor y vaya a la sección Funciones para expandir Servidor DNS
hasta que vea la sección Zonas de búsqueda directa. Haga clic en esta sección.
3. Ahora haga clic con el botón derecho en esta sección para seleccionar Zona nueva del menú
contextual.
4. Elija una zona principal y asegúrese de seleccionar la opción Almacenar la zona en Active
Directory.
5. En la siguiente pantalla, seleccione que la replicación ocurra para todos los servidores DNS en
este bosque.
6. Use NombresGlobales como nombre de zona.
7. No permita actualizaciones dinámicas, y termine la configuración.
8. A continuación, habilite soporte a GNZ en este servidor DNS. Necesitará hacerlo mediante la
línea de comandos:
dnscmd /config /EnableGlobalNamessupport 1
Este comando necesita ejecutarse en cada servidor DNS del bosque. Tal vez quiera hacerlo
parte de su configuración de servidor DNS estándar. Colóquelo en un archivo de comandos y
ejecútelo cada vez que construya un DC con el servicio DNS.
9. Reinicie el servicio DNS. Seleccione el nombre del servidor en el árbol DNS, haga clic con el
botón derecho en él, vaya a Todas las tareas y seleccione Reiniciar.
10. Ahora agregue nombres de etiqueta únicos. Recuerde que, al igual que los nombres WINS,
no pueden tener más de 15 caracteres (en realidad usan 16, pero el sistema reserva el último).
Puede usar el comando de Nuevo alias (CNAME) en la zona de nombres globales (vea la
figura 6-22) o puede usar la línea de comandos para hacerlo.
dnscmd nombreservidordns /recordadd NombresGlobales nombreetiquetaunico CNAME
nombreDNScorrespondiente
Donde nombreservidordns es el nombre del servidor DNS al que está agregando el nombre,
nombreetiquetaunico es el nombre de 15 caracteres que quiere agregar y nombreDNScorrespon-
diente es el nombre DNS del servidor cuyo nombre GNZ está agregando.
Tal vez quiera crear una secuencia de comandos de esto si tiene una gran cantidad de nom-
bres por agregar. ¡Ya habrá terminado!
Instale WINS (opcional)

Si, por alguna razón, insiste en la instalación de WINS (tal vez tenga aplicaciones que lo
requieren obligatoriamente) entonces utilice este procedimiento para ello. No configure GNZ
con WINS, porque son servicios redundantes. WINS no ha cambiado desde Windows Server
2003, y aun entonces no cambió mucho de versiones anteriores. Sin embargo, puede aceptar
socios de replicación, dándole más control sobre las fuentes de replicación. Dos buenas carac-
terísticas también se agregaron en Windows 2000: conexiones persistentes y verificación de
registros. Las conexiones persistentes aseguran que un vínculo esté siempre abierto entre los
socios de obtención de replicaciones. Esto proporciona capacidades de replicación en tiempo
real para servidores WINS.
FIGURA 6-22
Adición de un nombre
de GNZ. ¡No permite
actualizaciones!
La verificación de registros realiza una comprobación de consistencia en nombres registra-

dos, replicando sólo registros válidos de la base de datos. De otra manera, la configuración que
usó con WINS en su red actual debe funcionar con WINS en WS08.
WINS no es una función de servidor, sino una característica.
1. Empiece por instalar la característica. Abra el Administrador del servidor y haga clic en Agre-
gar característica en la pantalla de inicio.
2. Seleccione la característica Servidor WINS e instálela. Una vez instalada, puede configurarla.
3. Use la consola de Administración de equipos para administrar WINS. Lance Administración
de equipos (debe estar en el área Inicio rápido), expanda Servicios y aplicaciones y luego haga
clic en WINS. Haga clic con el botón derecho en el elemento WINS y seleccione Propiedades,
del menú contextual.
4. Revise las propiedades del servidor WINS y asegúrese de que se modifiquen, si se requiere.
Para establecer copias de seguridad automáticas de WINS, simplemente escriba la ubicación
del archivo de copia de seguridad. También puede seleccionar la opción Hacer copia de la base
de datos con el servidor inactivo. Cierre el cuadro de diálogo cuando haya terminado.
5. A continuación, agregue un asociado de replicación. Este asociado es el segundo servidor que
preparará a continuación. Haga clic con el botón derecho en Asociados de replicación y selec-
cione Nuevo asociado de replicación. Escriba el nombre del otro servidor. Si no está disponi-
PARTE III
ble, obtendrá un mensaje de error. Escriba la dirección IP del servidor.
6. Ahora haga clic con el botón derecho en Asociados de replicación, para establecer las propie-
dades. Asegúrese de marcar la opción Replicar sólo con asociados, que se encuentra bajo la
ficha General y luego pase a la ficha Insertar replicación. Seleccione todas las opciones de esta
ficha. Esto habilitará la replicación en tiempo real.
7. Configure la extracción de replicación en la ficha apropiada, y luego seleccione la opción
Habilitar la configuración automática de asociados, en la ficha Opciones avanzadas. WINS usa
multidifusión para proporcionar parámetros de configuraciones a sus asociados de replicación.
Esto asegura configuraciones consistentes. Cierre el cuadro de diálogo.
Es todo; su primer servidor de infraestructura de red está completo.
Conigure el segundo servidor de infraestructura de red

La configuración del segundo servidor de infraestructura de red es igual que la del primero, pero a
la inversa. Necesita instalar DHCP y WINS (si lo hizo en el primer servidor). Cree todos los alcances
de DHCP en el servidor DHCP, asegúrese de que estos ámbitos sean lo inverso de la configuración
80/20 que realizó en el primer servidor, active todos los ámbitos y autorice el servidor DHCP. No
olvide establecer las credenciales del servidor DHCP para tener actualizaciones seguras de DNS.
Si decidió usar WINS, configure sus propiedades y cree el asociado de replicación de WINS.
Ahora que ya existe el primer servidor, no debe tener ningún mensaje de error durante esta
configuración. Consulte las hojas de cálculo de configuración del servidor para conocer los pasos
completos de configuración del servidor.
Conectividad de WINS (opcional)

Dependiendo de su estrategia de migración, tal vez necesite configurar sus servidores WINS de
Windows Server 2008 para compartir información con la red heredada que está reemplazando. Si
éste es el caso, cree sólo asociados de replicación de una vía: de la red de WS08 a la heredada. No
querrá que sus nuevas bases de datos de WINS se llenen con objetos que no tienen nada que ver
con su nueva red.
Además, DNS puede vincularse con WINS para soporte a resolución de nombres adicional.
Si ha hecho su tarea y ha convencido a la organización de que se mueva a una red completa de
Windows Vista o WS08, esta conexión no será necesaria. Aunque muchas redes de Microsoft aún
requieren resolución de nombres de NetBIOS en algún grado, las fallas en la resolución de nom-
bres de DNS, sobre todo las que pueden resolverse con WINS, deben ser raras.
Mueva servidores y conigure replicación de dominio

Ahora que todos sus servidores están listos, puede moverlos a un nuevo sitio físico. Cuando
mueve un DC a otro sitio, necesita asegurar que la replicación de ADDS opera apropiadamente.
Para esto, necesita trabajar con la consola Sitios y servicios de Servicios de dominio de Active
Directory. Es probable que tenga que modificar algunas propiedades de los DC y el servidor
de infraestructura de red que mueve. Ahora que tiene DC localizados en una ubicación física
diferente, necesita configurar replicación de dominio. Entre las actividades que debe realizar se
incluyen las siguientes:
• Crear un nuevo sitio en ADDS.
• Agregar subredes al sitio.
• Crear un vínculo de sitio para el sitio.
• Crear un vínculo de copia de seguridad de este sitio.
• Modificar las propiedades para cada vínculo de sitio.
• Instalar o mover DC en el sitio.
Como puede ver, los primeros cinco pasos son preparatorios. Es sólo cuando alcanza el sex-
to, colocar el DC en el sitio, que realmente empieza la replicación. Para configurar la replicación,
requerirá el Informe de topología del sitio del ejercicio de planeación de la topología del sitio
que realizó durante su ejercicio de diseño de Active Directory. Un ejemplo del contenido de este
informe se encuentra en la tabla 5-9 del capítulo 5. Puede configurar la replicación del sitio antes
de mover físicamente los DC de la ubicación del sitio, pero si lo hace así, el servicio Verificador de
la consistencia del conocimiento (KCC, Knowledge Consistency Checker) generará errores den-
tro de la parte de Servicio de directorios en el Registro de eventos. Es mejor mover los servidores
primero y luego configurar la replicación.
La configuración de replicación se hace mediante la sección Sitios y servicios del Administra-
dor del servidor.
1. Expanda Sitios y servicios de Active Directory.
2. Haga clic con el botón derecho en Sitios y seleccione Nuevo sitio, del menú contextual.
3. Asigne un nombre al sitio y seleccione un vínculo para él (en este caso, IP).
4. Haga clic en Aceptar, para cerrar el cuadro de diálogo y crear el sitio.
5. A continuación, agregue una subred al sitio. Haga clic con el botón derecho en Subnets y
seleccione Nueva subred, del menú contextual.
6. Escriba el prefijo IP en formato IPv4 o IPv6. Seleccione el sitio que asociará a esta subred.
Haga clic en Aceptar para crearla.
7. A continuación, cree el vínculo para este sitio. Un vínculo de sitio siempre incluye por lo me-
nos dos sitios. Pase a Inter-Site Transports y haga clic con el botón derecho en el transporte de
IP. Seleccione Nuevo vínculo a sitios, del menú contextual.
8. Asigne el vínculo al sitio e identifique los dos sitios en él. Haga clic en Aceptar para crear el
vínculo del sitio.
9 Repita el procedimiento para crear la copia de seguridad del vínculo del sitio.
10. Como verá, WS08 asigna automáticamente un costo y un intervalo de replicación a cada vínculo
de sitio. El costo predeterminado es 100 (un valor apropiado para vínculos T1). El intervalo de
replicación predeterminado es 180 minutos. Si su vínculo físico es T1, entonces no necesita
cambiar el costo del vínculo del sitio para su principal vínculo de replicación. De lo contrario,
consulte la tabla 5-8 del capítulo 5 para conocer los valores recomendados para los costos del
vínculo del sitio. Como recordará, no es necesario que modifique el intervalo de replicación del
sitio o la programación del vínculo del sitio para que KCC realice su trabajo de manera óptima.
11. Sin embargo, deberá agregar una descripción del vínculo del sitio principal que acaba de
crear. Para ello, haga clic con el botón derecho en el vínculo del sitio y seleccione Propiedades.
Escriba la descripción y cambie el costo del vínculo del sitio, si necesita hacerlo. Haga clic en
12. Escriba una descripción y cambie el costo del sitio también para el vínculo de copia de seguridad.
13. Ahora, necesita mover el DC al nuevo sitio. Pase a Default-First_Site-Name y haga clic con el
botón derecho en el servidor que quiera mover. Seleccione Mover del menú contextual. Selec-
cione el sitio de destino y haga clic en Aceptar.
PARTE III
Ahora su replicación está configurada. Asegúrese de que diseñó un servidor de Catálogo
global en el nuevo sitio, si no lo hizo en la promoción de DC. El GC es una función del servicio
de directorios de NT (NTDS, NT Directory Service) para el servidor que desee usar como GC. Si
necesita designar manualmente un GC, use de nuevo Sitios y Servicios.
1. Expanda la información del sitio del panel de la izquierda hasta que vea los nombres de ser-
vidores en el sitio. Seleccione el servidor que desee hacer un GC (en este caso, el servidor de
dominio raíz del bosque).
2. Haga clic con el botón derecho en las opciones de NTDS.
3. Seleccione la casilla de verificación Servidor de catálogo global y haga clic en Aceptar. Realice
esto por lo menos una vez para cada sitio que cree.
SUGERENCIA También puede usar la Caché de pertenencia a grupo universal en algunos sitios y
tener menos usuarios. De esta manera, no necesita replicar todo el contenido de un GC en esos
sitios.
SUGERENCIA Podría considerar la coniguración del rastreo de ubicación de impresora en este

momento, porque se hace en esta consola y debe prepararse en DC. Para ello, vaya al capítulo 7
y revise los pasos requeridos para conigurar esta opción.
Ya habrá terminado. Ahora, necesita comprobar esos trabajos de replicación de manera apro-
piada. Para probar la replicación entre sitios, realice algunas modificaciones de AD en la consola
Usuarios y equipos de Active Directory y pruébelos desde el DC remoto. Puede usar Terminal
Services en el modo Administrativo para ello. También verifique la parte de Servicio de directo-
rios del Registro de eventos para asegurar que no haya errores.
PRECAUCIÓN Ahora su red paralela está lista para debutar. En los capítulos restantes se le mostra-
rá cómo llenarla y asegurar su elasticidad. Sin embargo, antes de seguir adelante, cerciórese que
ha probado por completo cada parte de ella. Es la base de su nueva red de infraestructura de red.
Debe asegurar que todo se ejecute suavemente. No es demasiado tarde en esta etapa para empezar
de nuevo y repita el proceso de creación de la red. Será demasiado tarde una vez que haya empezado
a llenarla.
Trabaje con los servicios de implementación de Windows

Los servidores de infraestructura de red pueden ejecutar la función Servicios de implementación
de Windows porque también es una función de infraestructura. Los Servicios de implementación
de Windows (WDS, Windows Deployment Services) son un conjunto de servicios que funcionan
junto con el nuevo soporte de Windows de la nueva configuración basada en imagen. Estos ser-
vicios le permiten capturar imágenes del sistema y luego implementarlos de manera remota en
los extremos, que son PC o servidores. Como sabe, en realidad no necesita que WDS implemen-
te servidores, porque las únicas instalaciones reales de WS08 en el hardware que utiliza es para
servidores hosts. Todas las demás instalaciones están basadas en máquinas virtuales y, por tanto,
no dependen de WDS. Pero WDS puede ser útil para implementaciones de PC y, debido a esto,
tal vez necesite aplicarlo. Use la siguiente estrategia para ello.
Instale WDS
Debido a que es un servicio de infraestructura de red, WDS requiere que ciertos componentes
estén presentes antes de que puedan instalarse y configurarse. Esto incluye:
• Servicios de dominio de Active Directory, que ya está instalado.
• DNS, que es parte de la instalación de cada DC en su red.
• DHCP, que ya también está instalado.
• Particiones de sistema de archivos de nueva tecnología (NTFS, New Technology File System),
que deben ser el único tipo de partición que usa en sus servidores.
Como otras funciones, WDS está instalada mediante el Administrador del servidor.
1. Agregue la función Servicios de implementación de Windows.
2. En la siguiente pantalla, seleccione los servicios para la función. WDS incluye dos servicios:
Servidor de implementación y Servidor de transporte, El Servidor de implementación incluye
la funcionalidad completa de WDS. El Servidor de transporte incluye sólo un subconjunto y es
útil para redes grandes, donde necesita transportar datos de una ubicación central a oficinas
centrales. Este servicio estaría disponible en la oficina remota para soportar la implementación
de imagen del sistema a través de WAN. Debido a que es el primer servidor de la red, seleccio-
ne ambos servicios.
3. Haga clic en Instalar para realizar la instalación.
Está listo para empezar el trabajo con WDS. Si quiere servicios redundantes, entonces confi-
gúrelos en el segundo servidor de infraestructura de red.
PRECAUCIÓN Los servidores WDS hospedan imágenes del sistema para implementación. Estas
imágenes suelen ser de varios gigabytes de tamaño. Asegúrese de crear una unidad D: para este
servidor y asigne espacio suiciente para el almacenamiento de estos archivos.
NOTA Para conocer más información acerca de la implementación de esta función vaya a
http://go.microsoft.com/fwlink/?linkid=84628
Trabaje con WDS

Puede trabajar con WDS de una de dos maneras: con el Asistente para configuración de los
servicios de implementación de Windows o mediante el comando WDSUTIL. Cuando configure
WDS, necesita:
• Crear una carpeta compartida que contenga los siguientes archivos:
• Archivos necesarios para el arranque del entorno de ejecución previo al arranque (PXE,
Preboot eXecution Environment).
• Archivos para el arranque de Windows PE en un disco RAM.
• Las imágenes de arranque de Windows PE.
• Imágenes del sistema para Windows Vista o Windows Server 2008.
PARTE III
• Cargue las imágenes del sistema de Windows Vista, Windows Server 2008, Windows Server
2003 o Windows XP en el formato de imágenes de Windows (VIM).
• Configure las opciones para que el oyente PXE controle cómo solicita el arranque del cliente
de servicios de servidor entrantes.
Procedamos:
1. Empiece por lanzar la consola de WDS. Elija Iniciar | Herramientas administrativas | Servicios
de implementación de Windows.
2. Expanda los nodos del panel de la izquierda, una vez que la consola esté abierta, y haga clic
con el botón derecho en el nombre del servidor para seleccionar Configurar servidor, del
menú contextual.
3. En la página Ubicación de carpeta de instalación remota, escriba la ruta a la carpeta comparti-
da que contiene las imágenes del sistema (por ejemplo, D:\RemoteInstall).
4. Como éste también es un servidor DHCP, debe seleccionar las dos opciones en la siguiente
pantalla: No escuchar en el puerto 67 y Configurar la opción 60 DHCP como ‘PXEClient’.
5. A continuación, configure sus opciones de oyente de PXE. Lo ideal es que seleccione Res-
ponder sólo a los equipos cliente conocidos. Esto significa que necesitará poner en funciona-
miento previamente todas las cuentas de equipo en ADDS antes de que pueda usar WDS para
implementar imágenes del sistema para ellos. Quite la marca de la opción Agregar imágenes y
haga clic en Finalizar.
Su servidor está listo. Puede agregar imágenes y aprender a usar WDS cuando necesite
trabajar con la implementación de imágenes del sistema de la PC. ¡Sus servidores estarán listos
para debutar!
Actualice un Active Directory existente a WS08

La actualización a un bosque WS08 nativo desde un Active Directory existente es un proceso
mucho menos complejo que migrar de Windows NT a WS08. La ventaja de tener AD es que todo
está ya en funcionamiento. Tal vez no necesite planear una infraestructura de IP nueva o paralela.
Quizás no necesite realizar un diseño de AD, aunque sea necesario revisar el diseño a la luz de
las nuevas características de WS08. Aunque esta revisión podría indicar una infraestructura de
bosque, es una tarea mucho menos compleja que crear un bosque WS08 completamente nuevo.
PRECAUCIÓN Sólo realice una actualización de Windows 2000/2003 a Windows Server 2008 si
realizó una instalación limpia de Windows cuando migró desde Windows NT. Si realizó una ac-
tualización desde NT a Windows 2000/2003, éste podría ser el momento preciso para revisar sus
necesidades y usar la red paralela para moverse a una red empresarial nativa de WS08.
Aunque sienta que está listo para la actualización, asegúrese de revisar la información pre-
sentada previamente en este capítulo para habilitar nuevas características de WS08 en su bosque.
La actualización de una red de producción a Windows Server 2008 es una empresa mayor que
afectará a toda la red. Por esto es por lo que tiene que avanzar con cuidado. Es especialmente en esta
etapa donde descubre la utilidad de los procesos de prueba y puesta en funcionamiento delineadas
en el capítulo 3. Asegúrese de probar por completo su actualización antes de seguir adelante.
El proceso de actualización
Los pasos recomendados para una actualización a WS08 están detallados en la lista de verifica-
ción de actividades para la puesta en funcionamiento del bosque ilustrada en la figura 6-23. Está
dividida en cuatro etapas:
• Preparación para la actualización
• Realización de la actualización
• Tareas posteriores a la actualización
• Administración continua del bosque
Varias subtareas se derivan de cada etapa. Asegúrese de que todo se pruebe y documente en
el laboratorio antes de seguir adelante con esta operación en su red de producción.
Prepárese para la actualización

Lo primero que debe preparar para actualizar es realizar una revisión de la consistencia del
bosque. Esta actividad incluye básicamente una revisión de las opciones que se realizaron cuando
planeó su Active Directory original. ¿Aún son válidos a la luz de lo que ha aprendido de Servi-
cios de dominio de Active Directory y de las nuevas características de Windows Server 2008? No
le reste importancia a este paso. Nunca hay una mejor oportunidad de implementar cambios
estructurales que un proyecto de infraestructura. Debido a que ejecutará una actualización a lo
ancho del sistema, tal vez también se tome el tiempo de revisar la manera en que se están dando
las cosas y vea si puede hacer cualquier mejora posible.
El segundo paso consiste en asegurarse de que su DC está listo para actualizar a WS08. Use
las opciones del sistema recomendadas para realizar esta verificación. Haga cualquier modifica-
ción de hardware requerida antes de seguir adelante.
Lista de verificación de actividades

de puesta en funcionamiento de un bosque
Preparar la actualización
Realizar una revisión de consistencia del bosque
Verificar la compatibilidad de WS08 con cada DC
Realizar las conversiones P2V requeridas
Preparar una lista de tareas de actualización
Obtener autorización para modificar el esquema
Realizar la actualización
Preparar el bosque Actualizar DC
Preparar los dominios Autorizar la actualización
Tareas posteriores a la actualización

Verificar la compatibilidad del bosque funcional de WS08
Migrar dominios al modo funcional de WS08
Migrar el bosque al modo funcional de WS08
Actualizar las funciones de servidor del bosque
Modificar la función DC (agregar/eliminar el Catálogo global)
Modificar las funciones del Maestro de operaciones
Revisar la estrategia de DNS
Agregar el servicio DNS en todos los DC
Crear/modificar particiones de aplicaciones
PARTE III
Revisar la replicación de Servicios de dominio de Active Directory
Replicación dentro de sitios
Replicación entre sitios
Crear/modificar sitio ADDS
Crear/modificar reglas de replicación entre DC
Reestructurar comentarios (si es necesario)
Actualizar estructura de dominio (comando movetree)
Crear/modificar unidades organizativas (OU)
Crear/modificar estructura de OU
Implementar confianzas de bosque (si es necesario)
Crear/modificar confianza
Administración continua del bosque

Monitoreo de cobertura del sitio Modificaciones del esquema
Replicación del directorio Seguimiento y mantenimiento
de operaciones de AD
FIGURA 6-23 Lista de veriicación de actualización de ADDS de Windows 2008.
SUGERENCIA Si se moverá a un centro de datos dinámico, entonces probablemente deberá realizar

conversiones de física a virtual (P2V, Physical-to-virtual) de estos sistemas. Es mucho más fácil
actualizar discos y otros recursos en estos DC una vez que se han virtualizado.
Es necesario dar tres pasos antes de que pueda seguir con la actualización de WS08:
• Realice una preparación de Active Directory para el bosque.
• Realice una preparación de Active Directory para cada dominio.
• Además, si usó un concepto de kernel de servidor, como se describió en el capítulo 4, e instaló
las Herramientas de administración de Windows 2003 en cada DC, necesitará eliminarlos
antes de seguir adelante.
Esto debe traer sus DC a niveles compatibles con WS08. Lo último que debe revisar es el es-
pacio libre. Dependiendo del tamaño de su directorio, requerirá un mínimo de 10 GB de espacio
libre en los discos que hospedan los recursos compartidos de la base de datos y SYSVOL en cada
DC para realizar la actualización.
También es una buena idea preparar una lista de tareas de actualización. Esta lista debe deta-
llar cada actividad que necesita realizar para actualizar su Active Directory de Windows Server
2003 a Windows Server 2008 en un formato paso a paso. Defínalo como una lista de verificación,
y revise cada elemento mientras avanza con su actualización. Los pasos básicos de esta lista de-
ben incluir todos los pasos de la lista identificada en la figura 6-23, pero tal vez también incluyan
algunas actividades personalizadas basadas en los requisitos de su organización.
El último paso para la preparación es obtener autorización para una modificación de esque-
ma. Debido a que está usando Active Directory, tómese el tiempo de poner en funcionamiento
una estructura de administración de cambio de esquema. Esta autorización debe incluir una
ventana de tiempo que perfila cuándo será posible actualizar.
PRECAUCIÓN Asegúrese de que los controladores de dominio que actualice incluyan grandes canti-
dades de espacio libre en disco en las unidades donde reside el archivo NTDS.DIT. Debe tener por
lo menos espacio suiciente para doblar el tamaño del archivo NTDS.DIT.
Actualice a WS08
Está listo para seguir adelante. Recuerde que debe probar y volver a probar primero en un
laboratorio. Use el siguiente procedimiento. Necesitará los medios de instalación de WS08 para
realizar esta operación.
1. Inicie sesión en el Maestro de operaciones de esquema empleando la cuenta Administrador
de empresa (también debe ser un administrador de esquema y dominio).
2. Cargue el DVD de instalación para WS08 y localice la carpeta \SOURCES\ADPREP. Copie el
contenido en una carpeta del Maestro de esquema.
3. Abra una ventana de línea de comandos y vaya a la carpeta \SOURCES\ADPREP que acaba
de crear. Escriba el siguiente comando:
adprep /forestprep
4. Acepte la actualización al escribir C y oprimir ENTER. Esto lanzará el proceso de preparación
del bosque. En realidad, este proceso consiste en la importación de varios objetos diferentes
para extender el esquema del bosque. Este proceso es muy rápido, pero como opción prede-
terminada no le da mucha retroalimentación cuando se ejecuta. Tenga paciencia. No lo deten-
ga a la mitad porque parezca “suspendido”.
5. A continuación, prepare el bosque de los DC de sólo lectura, pero sólo si piensa que los usará.
Ejecute el siguiente comando.
adprep /rodcprep
6. Confirme su comando y espere a que termine el proceso.
7. Una vez que la preparación esté completa, debe esperar hasta que los cambios se hayan repli-
cado en todo el bosque. Si realizó un cálculo de retraso para la replicación del bosque durante
su migración a Active Directory, sabrá exactamente cuánto necesita esperar, porque la latencia
de replicación es el tiempo más largo posible para completar el proceso de replicación de todo
un bosque.
Una vez que el cambio al bosque esté completo, puede realizar la preparación del dominio
para cada dominio del bosque. Use el siguiente procedimiento:
1. Inicie sesión en el Maestro de infraestructura de cada dominio con credenciales de Adminis-
trador del dominio (Administrador de empresa en el dominio raíz).
2. Cargue el DVD de instalación para WS08 y localice la carpeta \SOURCES\ADPREP. Copie su
contenido en una carpeta del Maestro de infraestructura.
3. Abra una ventana de línea de comandos, y navegue a la nueva carpeta \SOURCES\ADPREP
que acaba de copiar. Escriba el siguiente comando.
4. Confirme el comando y espere que el proceso termine. Como antes, necesita esperar a que se
complete la replicación del dominio.
Ahora puede actualizar cada DC a WS08. Éste propondrá automáticamente una actualiza-
ción cuando conecte el medio de instalación a su servidor. El proceso de actualización es simple.
Todo el proceso puede automatizarse, como se delineó en el capítulo 4.
Tareas posteriores a la actualización

Una vez que se han actualizado todos los DC, puede migrar su bosque a un modo funcional de
bosque de WS08. Pero antes de hacerlo, debe verificar que todos los dominios del bosque dan
PARTE III
soporte a este modo. Windows Server 2008 ofrece dos modos funcionales: dominio y bosque. El
modo de dominio funcional requiere que todos los controladores de dominio se estén ejecutando
en WS08. El modo funcional del bosque requiere que todos los dominios del bosque estén en el
modo funcional de WS08. Use el siguiente procedimiento:
1. Abra la consola Dominios y confianzas de Active Directory. Realice esta operación para cada
dominio de su bosque, incluido el dominio raíz. Asegúrese de que todos los DC se han actua-
lizado primero.
2. Haga clic con el botón derecho en el nombre del dominio.
3. A partir del menú contextual, seleccione Elevar el nivel funcional del dominio. Seleccione
Windows Server 2008.
4. Haga clic en Elevar. Acepte todos los mensajes de alerta.
5. Espere a que ocurra la replicación del dominio. Repita para cada dominio del bosque.
6. Una vez que todos los dominios se hayan elevado a funcionalidad de WS08, proceda con el
nivel funcional del bosque.
7. Haga clic con el botón derecho en la raíz de la consola (Dominios y confianzas de Active Di-
rectory).
8. A partir del menú contextual, seleccione Elevar el nivel funcional del bosque.
9. Seleccione Windows Server 2008.
10. Haga clic en Elevar. Acepte todos los mensajes de alerta y espere a que ocurra la replicación de
todos los DC dentro del bosque antes de usar las funciones de bosque nativas de WS08.
Otras operaciones que podría considerar en esta etapa son la actualización de las funciones
de servidor del bosque y revisión de la estrategia de DNS. Si decide modificar las funciones de
DC, encontrará que las operaciones son muy parecidas a las de Windows 2003. Las operaciones
que podría realizar en esta etapa son:
• Modificar la función de DC (Agregar/eliminar el Servicio catálogo global.
• Modificar la estructura del sitio (Habilitar la caché de pertenencia al grupo universal).

• Modificar las funciones del Maestro de operaciones.
Hasta donde se considera DNS, debe estar en cada DC. De lo contrario, agregue el servicio
DNS en todos los DC. No genera muchas sobrecargas y facilita la ubicación de DC. A conti-
nuación, puede crear o modificar particiones de aplicaciones para contener los datos DNS. El
Asistente de DNS creará automáticamente estas particiones. Puede hacerlo en todo el bosque
o centrado en dominio. La ventaja de las particiones de aplicaciones en este caso es que ya no
necesita crear zonas DNS secundarias en ningún lugar de su red.
Sus tareas de migración finales deben cubrir una revisión de la replicación de Active Direc-
tory. Asegúrese de que toda la replicación funciona apropiadamente. Esto incluirá replicación
dentro de un sitio y entre sitios. Tal vez necesite crear o modificar sitios AD o modificar sus reglas
de replicación para que coincidan con las mejores prácticas.
Tal vez también esté interesado en reestructurar dominios. Si encuentra que su bosque origi-
nal de Windows 2003 y la estructura del dominio no satisfacen sus necesidades, puede reestruc-
turar los dominios. WS08 ofrece varias herramientas para este paso. El comando MOVETREE le
permite mover equipos y usuarios de dominio a dominio. Este comando se usará en el Maestro
de infraestructura. Podría también usar la Herramienta de migración de Active Directory. Puede
migrar usuarios y contraseñas de un dominio o bosque a otro. También puede usar herramientas
de migración de terceros. Recuerde que para reestructurar dominios, primero debe actualizar
la estructura de su dominio, luego crear o modificar su estructura de unidad organizativa y por
último migrar usuarios y equipos.
La operación de actualización final es la implementación de las confianzas del bosque. Ahora
que tiene sus bosques de WS08, puede decidir que se implementen las confianzas de bosque glo-
bal. Esto vinculará varios bosques. ¡Sin embargo, tenga cuidado! Puede encontrar fácilmente las
mismas dificultades en confianzas de bosques que encontró en dominios de Windows NT. Los
bosques están diseñados para proteger esquemas. A menos que haya requisitos importantes para
implementaciones de confianza del bosque, debe evitar su creación.
Administración continua del bosque

La administración continua del bosque no será muy diferente con WS08 que con Windows 2000.
Aun usará las mismas herramientas de antes: Sitios y servicios de Active Directory, Dominios y
confianzas de Active Directory y Usuarios y equipos de Active Directory. Pero todo tendrá mayor
funcionalidad. Cada una se examinará cuando le llegue su turno mientras avanzamos en este
libro en la implementación de WS08 delineada en el plano lógico de red de la figura 3-8, que
vimos en el capítulo 3. Además, las operaciones administrativas para directorios se examinarán
en el capítulo 13, mientras revisamos las tareas administrativas comunes.
¡Está listo para seguir adelante! Ahora empezará a trabajar con el directorio para administrar
objetos y servicios en su red de ofrecimiento de servicios virtual.
IV
PARTE
Administre objetos con CAPÍTULO 7
Prepare la administración
Windows Server 2008 de objetos

CAPÍTULO 8
Construya la infraestructura
de ofrecimientos de servicios
virtuales: servidores
E
n esta sección se empieza a revisar la manera de administrar de archivos e impresión
a los usuarios finales o las infraestructuras de ofrecimientos CAPÍTULO 9
de servicios virtuales con Windows Server 2008 (WS08). Por Construya la infraestructura
tanto, trata de la administración de PC, usuarios y servidores. Se de ofrecimientos de servicios
cubre el diseño de la infraestructura para fines de administración, virtuales: servidores
además de la realización de las operaciones reales de adminis- orientados a aplicaciones
tración. Esta sección resulta esencial para cualquier persona que
necesite administrar la entrega de servicios a los usuarios finales.
CAPÍTULO
7
Prepare la administración de objetos
E
n el capítulo 6 se describió cómo preparar su almacén de recursos y poner en funcionamiento
una red paralela de ofrecimientos de servicios virtuales. Con el tiempo, esta red empezará a
ofrecer servicios estructurados mientras migra usuarios de su red existente a la nueva infra-
estructura de ofrecimientos de servicios virtuales. Pero antes de que empiece la migración, necesita
finalizar la infraestructura de red que ha empezado a poner en funcionamiento. Deben completarse
varias actividades antes de que pueda asegurar que su nueva red está lista para aceptar usuarios. Una
de ellas es la finalización de su infraestructura de unidad organizativa (OU, Organizational Unit).
En el capítulo 5 se identificaron los tres tipos de objetos que deben administrarse mediante una
infraestructura de OU: PC, Persona y Ofrecimientos de servicios. En este capítulo se inicia la crea-
ción de la infraestructura de OU con los contenedores de PC y usuario, o los que están diseñados
para interactuar de manera directa con los usuarios finales y los sistemas con los que trabajan. Para
ello, hay que finalizar tres elementos clave relacionados con la PC y tres más con los usuarios:
• La estrategia de administración de la directiva de grupo de PC
• La estrategia de delegación de PC
• La estrategia de administración de PC
• La estrategia de administración de la directiva de grupo de usuario
• La estrategia de delegación de usuario
• La estrategia de administración de usuario
La primera de estas actividades es el diseño de una infraestructura de administración de PC
dentro del nuevo directorio. Con ello empieza el diseño de su infraestructura de administración
general para todos los objetos contenidos en los Servicios de dominio de Active Directory (ADDS,
Active Directory Domain Service). Este diseño se completa al final del capítulo 10, cuando diseñe
su estrategia de seguridad. Su red de ofrecimientos de servicios virtuales estará lista para hospedar
nuevos objetos de cada tipo y para ofrecer un conjunto completo de ofrecimientos de servicios. Una
vez que esté diseñada la estructura de PC, revisará las estrategias de delegación. Después de todo,
con la capacidad de hospedar varios tipos de objetos y almacenar información adicional acerca de
esos objetos, ADDS ofrece mucho control a una red de Windows. Pero no puede administrar cada
aspecto de esta red por su cuenta. De modo que necesitará delegar actividades administrativas
mediante una procuración apropiada de la estrategia de autoridad, otorgando sólo los derechos que
son absolutamente necesarios para realizar las tareas administrativas que está delegando. Por últi-
mo, debe echar un vistazo a la manera en que debe administrar PC en una organización mediante
las capacidades inherentes en ADDS.
307
308 Parte IV: Administre objetos con Windows Server 2008
A continuación, pasará a la administración de usuarios. Una vez más, deberá crear una infra-
estructura central para las actividades de administración de usuarios. Luego tendrá que revisar la
estrategia de delegación para esos objetos (una estrategia que es ligeramente más compleja que
con las PC porque ADDS puede contener información de usuario adicional, que deben adminis-
trar los usuarios finales, no los administradores). Por último, revisará una estrategia de adminis-
tración de usuarios estructurada muy parecida a la que usa en una PC.
Una vez que se hayan definido estas estrategias y que se pongan en funcionamiento, deberá
revisar la manera en que puede migrar usuarios y equipos masivamente de su red existente al
entorno paralelo. Esto ocurre en el capítulo 12.
Administre objetos con Servicios de dominio de Active Directory

Uno de los muchos propósitos de Servicios de dominio de Active Directory es administrar ob-
jetos. ADDS proporciona una sola infraestructura para la integración de los objetos con los que
interactúan las personas cuando usan una infraestructura de Windows. Además, ADDS propor-
ciona una infraestructura centralizada para la administración de esos objetos. Ésta se basa en la
directiva de grupo y en los objetos de directiva de grupo (GPO, Group Policy Objects). Un GPO
es un objeto de directorio que está diseñado para definir la manera en que un sistema (servidor
de escritorio) aparece y se comporta. Esto incluye elementos como el contenido del menú Iniciar,
iconos del escritorio y la capacidad de modificar éste, la posibilidad de ejecutar varios produc-
tos de software, y más. Los GPO pueden usarse para administrar PC, servidores y usuarios. En
Windows Server 2003 Service Pack 1, Microsoft incluía 1 671 parámetros de sistema diferentes
que podría manejar y administrar con la directiva de grupo. WS08 ahora incluye más de 2 450.
Esto hace que los GPO no sólo sean la infraestructura de administración más poderosa para los
sistemas Windows, sino que también sean el motor de elección para la administración de obje-
tos, porque afecta y toca cualquier objeto que sea parte de un dominio dentro de un bosque de
ADDS. Por esto, debe emprender la tarea de trabajar con GPO y comprenderlos lo más posible.
Conceptos de directiva de grupo

Los GPO se presentaron por primera vez en Windows 2000 y estaban diseñados para reemplazar
a las complicadas directivas de sistema usadas en Windows NT. Un GPO puede administrar los
siguientes elementos:
• Parámetros de usuario y equipo WS08 incluye plantillas administrativas que permiten a
los GPO escribir parámetros específicos para las colmenas del registro del usuario (HKEY_
CURRENT_USER o HKCU) y el equipo (HKEY_LOCAL_MACHINE o HKLM).
• Secuencias de comandos Los clientes y servidores Windows pueden ejecutar secuencias de
comandos de arranque y apagado, además de inicio y cierre de sesión. Se administran me-
diante GPO.
• Administración de datos WS08 puede redirigir las carpetas de usuario a una ubicación de
servidor central, permitiéndole disponibilidad completa de esas carpetas desde cualquier PC,
además de copia de seguridad centralizada de la información del usuario.
• Ciclos de vida del software WS08 puede implementar software para escritorios y servi-
dores, siempre y cuando el producto de software esté integrado con el servicio Instalador de
Windows.
Capítulo 7: Prepare la administración de objetos 309
• Parámetros de seguridad WS08 puede administrar centralmente los parámetros de seguri-

dad para PC, servidores y usuarios mediante GPO. WS08 también puede restringir el acceso a
aplicaciones de software a través de directivas de restricción de software.
Todo equipo que ejecute Windows XP, Windows Vista o Windows Server incluye un GPO local
como opción predeterminada. Los parámetros de este archivo se aplican a cada equipo en todos
los arranques. Las organizaciones que quieran estandarizar ciertos elementos del escritorio y otros
comportamientos del equipo deben configurar este objeto de directiva con los parámetros orga-
nizativos predeterminados y asegurarse de que este archivo sea parte del conjunto de instalación
de cada equipo. Debido a que estos GPO son locales, pueden ser diferentes en cada equipo. Para
obtener lo máximo de los GPO locales, debe definir un conjunto determinado de parámetros para
cada tipo de equipo (PC, servidores y controladores de dominio) y cambiarlos lo menos posible.
El GPO local está localizado en la carpeta %SYSTEMROOT%\SYSTEM32\GROUP POLICY.
Para ver esta carpeta, habilite dos parámetros en las opciones de la vista Carpeta (Explorador de
Windows | menú Herramientas | Opciones de carpeta | ficha Ver):
• Mostrar archivos y carpetas ocultos
• Ocultar archivos protegidos del sistema operativo (recomendado)
La deshabilitación de la última generará un cuadro de diálogo de advertencia. La mejor prác-
tica al respecto consiste en habilitar la configuración para capturar una copia del GPO local que
quiera implementar y luego deshabilitar los parámetros.
Los equipos que ejecutan Windows NT, Me o 9x no contienen GPO locales y no se verán
afectados por los GPO implementados mediante los Servicios de dominio de Active Directory.
Por esto, la red paralela de ofrecimientos de servicios virtuales sólo debe incluir versiones actua-
lizadas de Windows para todos los sistemas cliente. Lo ideal es que sea Windows Vista, porque
este sistema operativo trabaja mejor con WS08.
PARTE IV
NOTA Windows Vista y WS08 permiten varios GPO locales. Esto se hace al asignar diferentes
descriptores de seguridad para cada GPO local. Esto es útil cuando tiene sistemas de exhibición
continua que requieren una fuerte seguridad cuando los usuarios inician sesión, pero que requie-
ren menos seguridad cuando lo hacen los administradores. Para conocer instrucciones paso a
paso sobre la manera de trabajar con estos GPO locales, vaya a http://technet2.microsoft.com/
WindowsVista/en/library/5ae8da2a-878e-48db-a3c1-4be6ac7cf7631033.mspx?mfr=true.
Además de los objetos de directiva local, las redes que ejecutan Servicios de dominio de Active
Directory tendrán GPO centralizados. En comparación con los locales, los GPO centralizados son
de administración, porque puede modificarlos en un lugar central y hacer que afecten a cualquier
grupo de objetos. Como opción predeterminada, todas las redes ADDS incluyen dos directivas:
• La directiva de dominio predeterminada
• La directiva de controlador de dominio predeterminada
Una directiva de dominio predeterminada específica se aplica a todos los dominios de una
red de Windows Server 2008. En el caso del ejemplo usado en los capítulos 5 y 6, la red TandT
tendrá varias directivas de dominio predeterminadas porque hay varios dominios en su bosque
de producción. En el caso de su red paralela de ofrecimientos de servicios virtuales, tendrá dos
versiones diferentes de la directiva porque sólo los dominios raíz y de producción se han creado
hasta este punto. Lo mismo se aplica a la directiva de DC predeterminada, excepto que en lugar
de aplicarse en el nivel del dominio, esta directiva se aplica específicamente a una unidad organi-
zativa de controladores de dominio y, por tanto, a cada controlador de dominio que contiene.
Las directivas no siguen las rutas jerárquicas de un bosque de ADDS porque no atraviesan
los límites del dominio. Si diseña una nueva directiva dentro del dominio raíz del bosque, no se
aplicará automáticamente a los dominios secundarios que se encuentran debajo del bosque raíz
en la jerarquía. Si define una directiva personalizada que quiere aplicar a cada dominio en su
bosque, tendrá que copiarla de dominio en dominio. Hay una excepción, como se mencionó en
el capítulo 6. En la creación de cualquier dominio secundario, ADDS copia automáticamente el
contenido de las dos directivas predeterminadas del dominio principal. Así, de la misma manera
en que ajustaría el GPO antes de implementar sistemas, debe ajustar el GPO predeterminado en
el dominio raíz del bosque antes de crear cualquiera de los dominios secundarios. Esto asegu-
rará que un conjunto básico de estándares se aplicará a dominios y DC en cuanto se creen. Las
modificaciones recomendadas para estas dos directivas predeterminadas se cubren en el capítulo
10, porque se analizan las estrategias de seguridad.
PRECAUCIÓN Tiene la opción de vincular directivas de dominio en dominio, pero no es un método

recomendado porque el cliente debe recorrer la conianza entre dominios para leerlas, lo que toma
más tiempo y puede agregar tensión a sus comunicaciones WAN.
Procesamiento de directivas de grupo

Las directivas de grupo se aplican en el siguiente orden:
• Los parámetros del equipo se aplican primero.
• Los parámetros de equipo se aplican después.
Tiene sentido, porque el equipo empieza antes de que un usuario inicie sesión. En una red
WS08, el equipo tiene su propia cuenta de ADDS y debe negociar un inicio de sesión dentro del
directorio antes de permitir a los usuarios iniciar y abrir una sesión.
Además, los GPO local y central tienen un orden específico de precedencia:
• El GPO local se aplica al arranque de un equipo.
• Si están disponibles, se aplican los GPO del sitio después.
• Los GPO de dominios se aplican después de los de sitio.
• Los GPO de unidad organizativa se aplican al final. Si el objeto (equipo o usuario) está localizado
dentro de una unidad organizativa secundaria y contiene un GPO adicional, éste se aplica al final.
A este proceso suele denominársele L-S-D-OU por el orden de aplicación Local-Sitio-Do-
minio-OU (vea la figura 7-1). Si surgen conflictos entre directivas, la configuración de la última
sobrescribe todas las demás. Por ejemplo, si niega el acceso a un elemento en el menú Iniciar, en la
directiva de dominio, pero se permite en una de OU, el resultado será que se permitirá el acceso.
Herencia (y bloqueo) de GPO

Además del orden de aplicación, puede controlar los parámetros de herencia para GPO. Esto
significa que si asigna un valor en el nivel del dominio o cualquier otro nivel más elevado, puede
asegurar que su parámetro es el que se propaga a ese objeto, haya o no parámetros en conflicto
en un nivel inferior de la jerarquía de aplicación. Esto se logra al imponer la herencia de GPO.
FIGURA 7-1
Orden de aplicación
del GPO. 3 Dominio GPO
4 GPO de OU principal
5 GPO de OU secundario
2 GPO de sitio
1 GPO local
Por lo general, los GPO se heredan automáticamente a través del orden de aplicación de GPO.
Si se habilita una configuración en el nivel del dominio y no se configura en el nivel de OU, se aplica
la configuración de dominio. Si una configuración no está configurada en el nivel del dominio y está
deshabilitada en el nivel de OU, se aplica la configuración de OU. Si una configuración está desha-
bilitada en un OU principal y se asegura una configuración de GPO de nivel superior, sin importar
PARTE IV
cuál, puede asignar el atributo Forzar al GPO. Esto significa que, aunque las configuraciones estén
en conflicto en el extremo inferior de la jerarquía, se aplicará la configuración con el atributo Forzar.
Los GPO se administran mediante la consola Administración de directivas de grupo (GPMC,
Group Policy Management Console), que es una característica de WS08. Instálela en los servi-
dores que quiera que dependan de la administración de GPO; de preferencia, esta consola se
instalará en estaciones de trabajo (lo ideal es que sea Vista) porque este sistema operativo es el
único de cliente que le da acceso a una gama completa de GPO de WS08. GPMC le permite ver
toda la estructura de dominio, además de controlar la manera en que trabaja con GPO en sitios,
dominios u OU. El proceso es simple:
1. Empiece por crear un GPO y asignarle un nombre. Esto se hace mejor con el contenedor de
objetos de directiva de grupo en GPMC (vea la figura 7-2). Dependa de la acción confiable de
hacer clic con el botón derecho para obtener el menú contextual apropiado. Este contenedor
sólo presenta una lista de los GPO que están disponibles en el dominio seleccionado, porque
los GPO están restringidos por límites de dominio.
2. Una vez que haya creado el GPO, edítelo al hacer clic con el botón derecho y seleccionar
Editar. Esto abre el Editor de administración de directivas de grupo (GPEdit) y le permite ver
todos los parámetros que puede controlar en la directiva (vea la figura 7-3). Como se observa,
cada directiva está dividida en dos secciones. La primera se relaciona con parámetros de todo
el equipo y se aplica a cada equipo afectado.
FIGURA 7-2 Interfaz GPMC.
FIGURA 7-3 Edición de un objeto de directiva de grupo.
La segunda se relaciona con parámetros de usuario y se aplicará a los usuarios afectados sin
importar en qué equipo hayan iniciado sesión. Cuando haya terminado con las modificacio-
nes, cierre el Editor de directivas de grupo. Observe que no hay una opción Guardar en este
editor. Cada parámetro que cambie, se modificará directamente dentro de la directiva.
SUGERENCIA Debido a que los GPO están divididos en parámetros de equipo y de usuario, es una
buena práctica crear GPO para usuario o equipo únicamente y luego deshabilitar la sección que
no se está usando. Esto ayuda a agilizar el procesamiento de GPO.
Además de la división entre equipos y usuarios, cada sección de un objeto de directiva de

grupo incluye dos subsecciones. La primera, Directivas, incluye el contenido de la directiva
real. La segunda, Preferencias, controla los parámetros específicos de cliente y puede usarse
para reducir configuraciones posteriores a la instalación. Entre las preferencias se incluyen dos
subsecciones: Configuración de Windows y Configuración del Panel de control. Cada una se
usa para configurar remotamente los parámetros del sistema en Windows XP Service Pack 2,
Windows Server 2003 Service Pack 1, Windows Vista y, por supuesto, Windows Server 2008.
Todos, excepto el último, requieren extensiones de cliente actualizadas para procesar la sec-
ción Preferencias de un GPO. El contenido de la sección Preferencias se describe en la tabla
7-1. Las principales diferencias entre la sección Directivas y Preferencias de un GPO es que
los usuarios pueden modificar parámetros que se hayan aplicado mediante la segunda, pero no
Subsección
Preferencias Parámetro Aplicación
Coniguración Aplicaciones Le permite conigurar varios parámetros especíicos de la aplicación mediante
de Windows plugins personalizados. Por ejemplo, hay plugins disponibles de Microsoft en http://
go.microsoft.com/fwlink/?LinkId=90745. Un kit de desarrollo de directivas de grupo
está disponible en http://go.microsoft.com/fwlink/?LinkId=144.
Asignaciones Crea, modiica, elimina u oculta asignaciones dinámicas de unidad empleando las
de unidad credenciales de usuario o credenciales alternas.
Entorno Crea, modiica o elimina variables de entorno de usuario o sistema. Las variables
también pueden usarse como condiciones para otras preferencias.
PARTE IV
Archivos Copia, modiica o elimina un archivo de un sistema. También modiica los atributos de
un archivo.
Carpetas Copia, modiica o elimina una carpeta en un sistema. Puede depender de condiciones.
Por ejemplo, sólo puede eliminar una carpeta si está vacía.
Archivos .ini Agrega, reemplaza o elimina parámetros en archivos .ini o .inf existentes, o incluso
elimina archivos completos.
Recursos Crea, modiica o elimina un recurso compartido de archivo. También puede modiicar
compartidos los límites de los usuarios, parámetros de Enumeración basados en Access o comen-
de red tarios en un recurso compartido.
Registro Crea, reemplaza o elimina entradas del Registro. También puede copiar varios pará-
metros de un sistema y agregarlos a otros. Depende de un asistente para crear varias
entradas.
Accesos Crea, modiica o elimina un acceso directo.
directos
Coniguración Orígenes de Crea, modiica o elimina orígenes de datos.
del Panel de datos
control
Dispositivos Habilita o deshabilita diferentes clases de dispositivos o tipos de hardware especíicos
en sistemas de destino. Por ejemplo, puede usarse para controlar clases de dispositi-
vos USB.
TABLA 7-1 El contenido de la sección Preferencia de un GPO

Subsección
Preferencias Parámetro Aplicación
Opciones de Conigura opciones de carpeta y asociaciones de archivos.
carpeta
Coniguración Conigura parámetros de IE. Es compatible con IE 5, 6 y 7.
de Internet (IE)
Usuarios y gru- Controla el contenido de los usuarios y grupos locales contenidos en servidores miem-
pos locales bro y PC que pertenecen al dominio.
Opciones de Conigura conexiones de red privada virtual (VPN, Virtual Private Network) o de marca-
red do telefónico.
Opciones de Conigura opciones de energía en Windows XP o Windows Server 2003. Para conigurar
energía opciones de energía para Vista o WS08, use la sección Plantillas administrativas |
Sistema | Administración de energía, de los parámetros Directiva de equipo o Directiva
de usuario.
Impresoras Conigura varias conexiones de impresora para un sistema.
Coniguracio- Coniguración regional de control.
nes regionales
Tareas progra- Crea, modiica o elimina tareas programadas. Puede usarse para ejecutar coman-
madas dos. En cuanto se actualizan los GPO, se vuelven automáticas tareas recurrentes, se
reactivan equipos o incluso se lanzan procesos cuando los usuarios inician sesión sin
necesidad de una secuencia de comandos.
Servicios Modiica la coniguración de servicios existentes.
Menú Inicio Controla la estructura y las opciones del menú Inicio. También puede usarse para
agregar secciones de sólo lectura del menú Inicio mientras deja que los usuarios
controlen las secciones de lectura-escritura. Es compatible con la estandarización del
menú Inicio.
TABLA 7-1 El contenido de la sección Preferencia de un GPO (Continuación)
mediante la primera. Como su nombre lo indica, la sección Preferencias sólo aplica preferencias
administrativas y no se trata de parámetros necesariamente absolutos. Sin embargo, es mucho
más fácil, después de todo, usar la sección Preferencias que escribir una secuencia de comandos
de Visual Basic o PowerShell.
3. Para aplicar el GPO, necesita vincularlo con un contenedor. Esto se realiza mediante una ope-
ración de arrastrar y colocar el GPO a una carpeta de destino, sea un sitio, un dominio o una
OU. Si el contenedor de destino es una OU y no existe, la GPMC le permitirá crearla (una vez
más, mediante el menú contextual).
SUGERENCIA Los GPO no están “vivos” (es decir, no afectan a ningún objeto) hasta que se vincu-
lan con un contenedor de destino. Esto signiica que puede crear GPO en el contenedor Objetos
de directiva de grupo en la GPMC, editarlo a su gusto y cuando sienta que es correcto, vincularlo
con su destino inal. Esto proporciona una forma de cambiar el control sobre los GPO que cree.
4. Los GPO y los vínculos con GPO tienen atributos. Cada tipo de objeto se identifica fácilmen-
te, porque el vínculo usa un icono en la forma de un acceso directo en lugar de un objeto real.
Si quiere hacer un cambio a los atributos del GPO que afectan a cada contenedor donde el
GPO está vinculado, entonces cambie los archivos reales del GPO. Si quiere hacer un cam-
bio que afecte sólo a un contenedor con el que está vinculado el GPO, entonces cambie los
atributos del vínculo mismo. Entre los cambios se incluye la aplicación del atributo Forzado,
deshabilitando las secciones Equipo y usuario del GPO y otras operaciones de control.
5. Los GPO no son los únicos objetos que pueden incluir atributos de directiva de grupo. Las
OU también pueden incluir atributos que afectan a la plantilla de GPO. Por ejemplo, los admi-
nistradores de OU pueden determinar cuándo quieren bloquear la herencia. El bloqueo de la
herencia es útil cuando quiere almacenar objetos en su directorio y darles diferentes valores,
los que puede establecer globalmente. Por ejemplo, en el diseño de la OU PC ilustrada en la
figura 5-13 del capítulo 5, hay un contenedor Externo en el segundo nivel. Está diseñado para
almacenar equipos que no pertenecen a su organización, como las PC de los asesores. En
algunos casos, deberá administrar algunos parámetros en los sistemas de los asesores, sobre
todo en el caso de desarrolladores que están trabajando en proyectos a largo plazo y que crea-
rán código que se desplegará dentro de su red. Pero hay otros casos donde no querrá adminis-
trar los sistemas externos. Por esto es por lo que hay dos OU en el tercer nivel dentro de la OU
externa: Administrada y No administrada. La OU No administrada es un ejemplo excelente
de dónde aplicaría el parámetro Bloquear herencia. Esto, por supuesto, se haría mediante el
menú contextual de la OU en la GPMC.
Como puede ver, al principio la administración de directivas de grupo parece fácil. Pero tiene
que ser muy cuidadoso con parámetros como Forzar y Bloquear herencia. Cuando las dos están
enfrentadas, Forzar siempre gana, pero si ambas se aplican con abandono, le será difícil determi-
nar los parámetros finales que habrán de aplicarse a cualquier objeto determinado. Por fortuna,
la GPMC le permite crear conjuntos de directivas resultantes que proporcionarán una lista de
parámetros finales de GPO aplicado a cualquier objeto de su dominio.
Es muy fácil aplicar cualquier cantidad de GPO a objetos. También es fácil confundirse con
ellos. La estructura de unidad organizativa tiene un impacto directo en la manera en que se apli-
PARTE IV
can los GPO como opción predeterminada. Al resultado final de la aplicación de GPO se le llama
conjunto resultante de directivas. La GPMC incluye una herramienta de conjunto resultante de
directivas que le permite depurar su aplicación para que pueda identificar el resultado de varias
directivas en un objeto específico. También hay herramientas comerciales que proporcionan
opciones de administración de GPO mucho más completas, como administración completa de
cambios, creación extendida de informes y depuración de GPO, pero casi todas las organizacio-
nes funcionarán bien con la GPMC si aplican directivas de administración de GPO estrictas.
La aplicación de directivas empieza en cuanto se enciende el equipo. Usa un proceso de 10
pasos (vea la figura 7-4). Este proceso depende de varias técnicas para completarse: DNS, ping,
el protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol) y las
extensiones de cliente del dispositivo de grupo de Windows. Los vínculos lentos pueden afec-
tar el procesamiento de GPO; WS08 considera que un vínculo lento es todo lo que funcione a
menos de 500 kilobits por segundo (Kbps), aunque esta configuración puede cambiarse me-
diante una directiva. El proceso también está vinculado con el contenedor de directivas de grupo
(GPC, Group Policy Container), que es evidente en la GPMC, pero que está oculto como opción
predeterminada en Usuarios y equipos de Active Directory. Para ver el GPC, necesita habilitar las
características avanzadas en el menú Ver. El GPC se usa para identificar la ruta a cada una de las
Plantillas de directiva de grupo (GPT, Group Policy Templates) que deben aplicarse. Estas planti-
llas se localizan en el recurso compartido SYSVOL del controlador.
La PC envía una consulta DNS para

localizar el DC más cercano.
Servidor DNS
Se identifica el DC.
La PC crea un vínculo seguro.
DC
La PC hace un ping con DC. Si el vínculo es
lento, sólo los valores críticos de GPO se
aplicarán como opción predeterminada. GPO críticos
La PC se conecta a Active Active

Directory mediante LDAP. Directory
OU principal
La PC consulta todos los GPO
vinculados con su OU y su OU OU
principal.
La PC consulta todos los GPO

vinculados con su dominio. Una vez que este proceso está
completo, la PC permitirá el
Dominio inicio de sesión y desplegará
la pantalla correspondiente.
La PC consulta todos los
GPO vinculados con su sitio. Todo, excepto los pasos 1 a
Sitio 3, se vuelve a aplicar cuando
Directivas
el usuario inicia sesión. Los
La PC consulta el GPC para pasos del 4 al 10 son
identificar la ruta a cada GPT exactamente los mismos, a
que debe aplicar. menos que esté habilitado el
Equipo
Usuario regreso en ciclo de GPO.
La PC lee el archivo GPT.INI
localizado en la carpeta de GPT
para cada GPO que debe aplicar.
Si el número de versión de la GPT ha Regreso en ciclo

cambiado, o si el GPO está establecido
para actualizarse siempre, las extensio- Si está habilitado, combinará o
nes del lado del cliente procesan todos reemplazará los parámetros de
GPO de usuario con los de PC.
los GPO aplicables.
FIGURA 7-4 Proceso de aplicación de GPO de equipo y usuario.
El proceso de aplicación de un GPO depende del archivo GPT.INI localizado en la carpe-

ta GPT de cada GPO. El archivo presenta una lista del número de versión actual de GPT; este
número aumenta cada vez que se edita el GPO. Como opción predeterminada, el cambio de
número hace que se vuelva a aplicar el GPO. Si el número no ha cambiado, entonces los objetos
no se actualizan en la directiva de grupo cuando procesan la aplicación del GPO; sin embargo,
una vez más, puede cambiar este comportamiento mediante un GPO. Una vez que éste se aplica,
se ejecutará cualquier secuencia de comandos que pueda aplicarse. Como estas secuencias de
comandos se ejecutan sin una interfaz de usuario, se establece un máximo de tiempo (600 se-
gundos, como opción predeterminada) de ejecución, en caso de que deje de funcionar mientras
se ejecuta. Después de la ejecución de las secuencias de comandos, el equipo permite inicios de
sesión y despliega la interfaz correspondiente. Se vuelven a aplicar los pasos 4 al 10 cuando un
usuario inicia sesión.
Windows XP y Vista usan un proceso de aplicación de directivas asincrónico. Por su parte,

las versiones de Windows Server usan un proceso sincrónico. Esto significa que, en el caso de
los servidores, la sesión del equipo no se abrirá hasta que todo el GPO esté procesado, incluida
cualquier secuencia de comandos a la que se haga referencia en el GPO. Sin embargo, en sistema
cliente de Windows, el procesamiento de GPO se demora para agilizar el proceso de apertura
de la sesión. A esto se le denomina optimización de inicio de sesión rápido (FLO, Fast Logon
Optimization). Esta demora tendrá un impacto en la manera en que se aplican las directivas a los
sistemas cliente. Más adelante se ampliará la información sobre el tema.
Bucle invertido de la directiva

Hay una opción más para la aplicación de GPO. El modo de procesamiento de bucle invertido
puede usarse en escenarios especiales de cómputo, como exhibiciones, escuelas, áreas de recep-
ción, u otras zonas donde es importante que, sin importar quién inicie sesión, los parámetros del
equipo siempre permanezcan en el mismo estado de seguridad. Debido a que los parámetros
de usuario se aplican después de los del equipo en el orden de aplicación, los GPO le permiten
habilitar un parámetro de bucle invertido para asegurar que los parámetros del equipo se vuelvan
a aplicar en lugar de los del usuario, o junto con éstos.
El modo de procesamiento de bucle invertido de la directiva de grupo puede establecerse en
dos modos:
• Combinar Esta configuración adjunta los parámetros del equipo al final de los del usuario
durante la aplicación de los GPO en el inicio de sesión de usuario. Por tanto, se agregan a los
parámetros de usuario. Si los parámetros del equipo entran en conflicto con los del usuario, se
sobrescriben los últimos.
• Sustituir Esta configuración reemplaza los parámetros de usuario en un GPO con los pa-
rámetros del equipo. Por tanto, al inicio de la sesión, se aplican los parámetros del equipo, en
PARTE IV
lugar de los del usuario.
El bucle invertido se establece en GPO bajo Configuración del equipo | Directivas | Plan-
tillas administrativas | Sistema | Directiva de grupo. Al hacer doble clic en los parámetros de la
directiva, se permite configurarla. La habilitación de los parámetros de bucle invertido le permite
elegir entre las opciones Combinar y Sustituir. Haga clic en Aplicar o en Aceptar. La ventaja de
usar Aplicar es que si tiene que cambiar una gran cantidad de parámetros, sólo necesitará cerrar
el cuadro de diálogo hasta que haya terminado. Puede usar el botón Siguiente o Anterior para
recorrer todos los parámetros sin tener que cerrar el cuadro de diálogo hasta que haya terminado.
Si no usa la configuración de bucle invertido, asegúrese de crear un GPO especial y vincu-
larlo con una OU especial que se usará para contener las cuentas de equipo a las que se aplicará
este GPO.
Filtrado de directivas
Como ya se mencionó, el diseño de OU está fuertemente unido a la estrategia de GPO que trata
de usar. Uno de los factores que debe recordar siempre durante esta etapa de diseño es que
los objetos sólo pueden colocarse dentro de una sola OU. Además, debe asegurarse de que su
diseño de OU es lo más simple posible. Por tanto, tal vez llegue a encontrarse en situaciones en
que debe crear un diseño complejo de OU, con demasiadas unidades, sólo porque quiere asignar
diferentes GPO a objetos específicos.
No. No será así, porque Windows Server 2008 también incluye el concepto de filtrado de
directivas. Este concepto alude a la aplicación de derechos básicos de lectura y ejecución a la propia
directiva. Al usar filtrado, puede aplicar cualquier cantidad de directivas a un contenedor específico
y asegurar que sólo la directiva apropiada afectará a los objetos para cuya administración está dise-
ñado. WS08 soporta dos tipos de filtrado de directiva: filtrado de directiva de seguridad y filtrado de
Instrumentación de administración Windows (WMI, Windows Management Instrumentation).
Filtrado de directiva de seguridad

El filtrado mediante los parámetros de seguridad se hace al asignar derechos o permisos de acce-
so a un objeto de directiva de grupo. Para ello, necesita crear grupos de seguridad y asignar, a los
grupos apropiados, los objetos que cada directiva habrá de administrar. Luego tiene que asignar
el objeto de directiva a los grupos apropiados.
Por ejemplo, si tiene dos grupos de usuarios dentro del mismo contenedor (Usuarios
comunes y Usuarios avanzados) y necesita aplicar diferentes objetos de directiva a cada grupo,
simplemente cree dos objetos de directiva y establezca uno para leer y aplicar al grupo Usuarios
comunes y el otro a Usuarios avanzados.
La aplicación de filtrado de seguridad a GPO es muy simple. Asegúrese de que ya ha creado
el grupo de seguridad en ADDS. Luego, en la GPMC, vaya al contenedor Objetos de directiva
de grupo y seleccione la directiva que desee modificar. En el panel de detalles, dentro de la ficha
Ámbito, verá los detalles de Filtrado de seguridad. Haga clic en Agregar para seleccionar los
grupos apropiados. Esto aplica automáticamente los parámetros Leer y aplicar directiva de grupo
al grupo seleccionado. Si Usuarios autentificados aparece en la sección Filtrado de seguridad para
este GPO, elimínelo. Esto asegurará que sólo los grupos incluidos podrán aplicar la directiva.
Tenga cuidado de la manera en que usa el filtrado de directiva de seguridad. Lo ideal es que
no lo necesite y que dependa, en cambio, de la estructura apropiada de OU.
Filtrado WMI
La instrumentación de administración de Windows es una infraestructura de administración
en Windows que permite el monitoreo y control de recursos del sistema mediante un conjunto
común de interfaces y proporciona un modelo consistente y lógicamente organizado de ope-
ración, configuración y estatus de Windows. WMI es la respuesta de Microsoft a la Desktop
Management Interface (DMI) de la Desktop Management Task Force (www.dmtf.org). La DMTF
diseñó DMI para permitir que las organizaciones administren remotamente aspectos del sistema
de cómputo, como configuraciones de sistema dentro del BIOS, reemplazo o actualizaciones del
BIOS y encendido y apagado del sistema. Pero como no existe ninguna herramienta estándar de
administración individual para todas las marcas de equipos (cada fabricante tiende a crear sus
propias herramientas para administrar sus propios sistemas), era necesaria una interfaz genérica.
Microsoft ha intentado proporcionar ésta mediante WMI.
En el caso del filtrado de GPO, WMI puede usarse para identificar aspectos específicos del
equipo antes de aplicar un GPO. En cierta manera, esto es similar a las clases de usuario utilizadas
en el protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol),
porque el filtrado WMI sólo puede aplicar parámetros que cumplen con las condiciones del filtro.
Hay varias aplicaciones de ejemplo en los archivos de ayuda de WS08. Tome, por ejemplo, una
directiva de administración de sistema que sólo debe aplicarse a sistemas que ejecutan Windows
Server 2008. Para ello, puede crear el siguiente filtro:
Root\CimV2; Select * from Win32_OperatingSystem where Caption = “Microsoft
Windows Server 2008 Enterprise Edition”
Luego puede aplicar este filtro al objeto de directiva de grupo que creó para la directiva de
monitoreo.
Otro ejemplo es cuando necesita aplicar una directiva a un conjunto específico de siste-
mas de cómputo. Si tiene una serie de sistemas de cómputo que no cuentan con la capacidad
de hospedar directivas específicas, puede crear un filtro WMI que los identifique y que niegue
la aplicación de la directiva a este grupo de equipos. Por ejemplo, si los equipos fueran Toshiba
Satellite Pro, ese filtro incluiría las siguientes instrucciones:
Root\CimV2; Select * from Win32_OperatingSystem where manufacturer = “Toshiba”
and Model = “Satellite Pro 4200” OR Model = “Satellite Pro 4100”
Los filtros WMI también pueden guardarse en archivos especiales, lo que facilita su adminis-
tración. Los filtros WMI son, en esencia, archivos de texto que tienen una estructura especial
y que usan la extensión de archivo MOF.
La aplicación de filtros WMI se hace de manera muy parecida al método empleado para los
filtros de seguridad. En este caso, primero debe crear los filtros. Guárdelos en una carpeta espe-
cial, y asígneles un nombre que tenga la extensión MOF. Luego importe sus filtros en la GPMC
al moverlos al nodo Filtros WMI y seleccione Importar del menú contextual. Vaya a la carpeta
apropiada y seleccione los archivos que habrán de importarse. También puede crear los filtros di-
rectamente en la GPMC al usar el comando Nuevo. Una vez que se han creado o importado los
filtros, puede seleccionar la directiva que quiera modificar y una vez más vaya a su ficha Ámbito.
Filtrado WMI está en la parte inferior de esta ficha. Simplemente seleccione el filtro apropiado de
la lista desplegable. Sólo puede aplicarse un filtro a cualquier GPO.
PRECAUCIÓN Tenga cuidado con el modo en que usa el iltrado de directivas WMI, en especial
PARTE IV
cuando elimina iltros WMI. Eliminar un iltro no eliminará la asociación que tiene con todos los
GPO a los que se ha asignado. Debe eliminar estas asociaciones desde cada una de las directivas a
las que se ha aplicado; de otra manera, las directivas no procederán, porque el iltro ya no existe,
pero aún es una condición para la aplicación. Asegúrese de que documenta por completo todos los
GPO y todas sus propiedades en todo momento.
Optimización de inicio de sesión rápido

Como ya se mencionó, los clientes modernos de Windows, como XP y Vista, usan Optimización
de inicio de sesión rápido para acelerar el proceso de apertura de una sesión de usuario. Esta
opción alude a una característica que soporta la aplicación asincrónica de algunos parámetros de
directivas. Estos parámetros están relacionados con tres categorías específicas de directivas:
• Instalación de software
• Redireccionamiento de carpetas
• Perfiles de roaming de usuario
Todos los demás parámetros de directivas se aplican sincrónicamente. Recuerde también que
los GPO sólo se aplican si han cambiado, a menos que se especifique de otra manera en sus pa-
rámetros de aplicación de directiva de grupo. Esto también ayuda a acelerar el proceso de inicio
de sesión.
FLO e instalación de software

Como es imposible instalar, o más bien desinstalar, software de manera sincrónica, porque
es posible que el usuario esté utilizando la aplicación mientras empieza la desinstalación, se
requerirían hasta dos inicios de sesión antes de que el software que se está entregando a través
del directorio se instale en equipos de Vista usando Optimización de inicio de sesión rápido. La
primera vez que el usuario inicia sesión, el equipo identifica que un paquete de software está listo
para entregarse. Luego establece una marca para la instalación de software en el próximo inicio
de sesión. Esto significa que cuando el usuario inicia sesión por segunda vez, los GPO se aplica-
rán de manera sincrónica para permitir que la instalación de software siga adelante. Una vez que
el producto de software esté instalado, los GPO se restablecen a la aplicación asincrónica.
FLO y redireccionamiento de carpetas

Por redireccionamiento de carpetas se alude al redireccionamiento de las carpetas de usuario,
como Documentos, Imágenes, menú Inicio y escritorio. En Windows XP, pueden redireccionarse
cinco carpetas. En Windows Vista, esto ha aumentado a diez. El redireccionamiento de carpetas
está diseñado para reemplazar el antiguo concepto de directorio de inicio que se encontraba en
redes de Windows NT. El redireccionamiento de carpetas es compatible con dos modos: Básico y
Avanzado. El Básico envía las carpetas de todos a la misma ubicación y crea subcarpetas especia-
les para cada usuario. El Avanzado le permite establecer rutas de redireccionamiento de carpeta
para grupos específicos de seguridad.
Es obvio que si redirecciona una carpeta Documentos del usuario, no puede hacerlo mientras
se está usando. Si usa redireccionamiento de carpetas, puede tomar hasta tres inicios de sesión
antes de que la directiva se aplique, sobre todo si están usando parámetros avanzados. Esto se
debe a que el redireccionamiento avanzado está basado en el filtrado de directivas. El primer
inicio de sesión se requiere para actualizar la pertenencia al grupo de seguridad de usuario. El
segundo detecta el cambio en la directiva y establece la marca para aplicación de GPO sincrónica
en el siguiente inicio de sesión. El tercero aplica el cambio y restablece el modo de procesamiento
del GPO como asincrónico.
FLO y periles de roaming de usuario

La optimización de inicio de sesión rápido acelera el proceso de inicio de sesión al incluir en
caché todos los inicios de sesión de usuario. Esto significa que si hace un cambio a las propieda-
des de usuario, como cambiar su perfil de local a roaming, no se aplicará hasta después de dos
inicios de sesión de usuario. El primero se necesita para actualizar el objeto de usuario en caché
y el segundo para aplicar el cambio. Si un usuario tiene un perfil de roaming, la Optimización de
inicio de sesión rápido se deshabilita para ese usuario.
Desactive la Optimización de inicio de sesión rápido

Es probable que algunos administradores decidan desactivar FLO porque están preocupados
de que los GPO no se apliquen apropiadamente o de que se necesiten unos cuantos inicios de
sesión para que se apliquen las configuraciones específicas de GPO. No se recomienda desactivar
esta característica. Sólo desactívela si siente que debe hacerlo. Piense en ello. La desactivación de
esta característica hará que todos los inicios de sesión tomen más tiempo en todos los equipos
XP y Vista cuando, en realidad, sólo dos o más aspectos de GPO se ven afectados. En cambio,
siga estas recomendaciones para FLO:
• Si no usa instalación de software habilitados para directorio, no desactive FLO.

• Si trata de redireccionar carpetas, haga que sus usuarios realicen un doble inicio de sesión
antes de empezar a trabajar con sus sistemas. Esto puede incluirse en su programa de capaci-
tación o en su hoja de actividad de migración.
• Si usa perfiles de roaming, FLO está desactivado automáticamente.
Como puede ver, hay poca justificación para desactivar el comportamiento predeterminado
de Windows.
Diseño de directivas
El proceso de aplicación de directivas delinea una clara división entre los parámetros de equipo
y de usuario. Esto es por diseño. Las directivas se dividen de manera correspondiente en dos
partes: configuración de equipo y de usuario. Debido a que ambas partes están diseñadas para
atender configuraciones específicas para un equipo o un usuario, puede y debe deshabilitar las
partes no usadas de los GPO. Puede usar las propiedades de un GPO para deshabilitar la parte
del equipo o del usuario. Una vez más, depende del menú contextual para hacerlo. También pue-
de deshabilitar todos los parámetros. Esto tiene el efecto de deshabilitar todo el GPO.
Debido a que las directivas tienen una separación natural entre configuraciones de usuario y
equipo, puede usarlas para definir cómo administrará ambos tipos de objetos. Sin embargo, hay
ciertos parámetros de GPO que se aplican en el nivel del dominio y que los GPO de menor nivel
no pueden sobrescribir, como los encontrados en unidades organizativas. Las directivas que sólo
deben definirse en el nivel del dominio se concentran en directivas de cuenta e incluyen:
• Directiva de contraseña Incluye configuraciones como historial de edad máxima y mínima,
longitud mínima y requisitos de complejidad, además de cifrado reversible para contraseñas.
• Directiva de bloqueo de cuenta Incluye duración, umbral (el número de intentos fallidos
de inicio de sesión antes del bloqueo) y cronómetro de restablecimiento de bloqueo.
PARTE IV
• Directiva de Kerberos Incluye la imposición de restricciones de inicio de sesión de usuario,
como bloqueo de cuentas, tiempo máximo de vida para servicios y boletos de usuario, tiempo
máximo de vida para renovaciones de boletos de usuario y tolerancia máxima para sincroniza-
ción del reloj del equipo. La autentificación de Kerberos funciona mediante la expedición de
boletos de acceso para servicios y usuarios. Estos boletos están basados en tiempo, de modo
que la sincronización del reloj es muy importante dentro de un dominio.
Hay otras directivas que podría establecer en el nivel del dominio para asegurar que se
apliquen de manera global, pero las tres mencionadas sólo deben establecerse en el nivel del do-
minio. Los parámetros que debe usar para sus directivas en el nivel del dominio están delineadas
en el capítulo 10.
Diseño de la estrategia de GPO

Puede ver que la aplicación de directivas o la estructura de administración que quiere aplicar
dentro de su dominio de producción afectarán la manera en que diseña su estructura de OU.
Aunque tiene la opción de deshabilitar los parámetros de equipo o usuario en un GPO, no
querrá que un objeto de usuario lea GPO relacionados con equipos mientras inicia sesión para
acelerar el proceso de inicio de sesión y aplicación de GPO. Ésta es una razón para la estrategia
de OU delineada en el capítulo 5.
GPO de directiva
FIGURA 7-5 Estrategia de grupo
estructurada de GPO.
GPO de controladores
de dominio
GPO de PC
GPO de Ofrecimientos
GPO de Persona
Los GPO relacionados con el equipo se aplicarán en las OU PC y Ofrecimientos de servi-

cios, además de los predeterminados de controladores de dominio. Y los GPO relacionados con
el usuario se aplicarán a la OU Persona. Además, su estrategia de GPO debe incluir GPO en el
nivel del dominio y del sitio. Casi seguramente usará GPO en el nivel del dominio, pero los del
nivel del sitio son más inusuales. Resultan útiles en algunas circunstancias, porque un sitio puede
hospedar más de un dominio. Si quiere que un conjunto predeterminado de parámetros se apli-
que a objetos dentro de un sitio, aunque sean de diferentes dominios, puede crear un GPO en el
nivel del sitio para forzar estándares. Ésta debe ser su estrategia básica de definición de ámbitos
de GPO (vea la figura 7-5).
NOTA Recuerde que los contenedores predeterminados User y Computers en ADDS no son unida-
des organizativas y, por tanto, no permiten la aplicación de objetos de directivas de grupo, excepto
en el caso de objetos dentro del dominio.
Aplicación de GPO y velocidad de procesamiento

Tenga cuidado con la manera en que diseña su estrategia de GPO. Muchas organizaciones eligen
crear diseños de OU regionales. En este tipo de diseños, cada región se crea como OU de nivel
superior. Luego, dentro de cada región, se crean dos OU: una para PC y la otra para Persona. En
algunas de las peores implementaciones, a esos contenedores incluso se les llama User y Com-
puters, como los contenedores predeterminados que no son OU. El problema con esta estrategia
es que cuando necesita aplicar un GPO a todas las PC, tiene que usar una de tres estrategias (vea
la figura 7-6):
• Crear el GPO y vincularlo a cada OU PC.
• Crear un GPO aparte para cada OU PC.
• Crear un GPO PC global, asignarlo al dominio y filtrarlo con un grupo de seguridad PC
especial.
La última opción, aplicar el GPO en el nivel del dominio con filtrado, es por mucho la más
fácil de implementar y especialmente de administrar después de eso. Pero no causa problemas,
porque al asignarlo en el nivel de dominio, cada PC, servidor, DC y usuario tratará de leer el
GPO, aunque sólo sea para descubrir que de acuerdo con la lista de control de acceso al GPO,
son derechos denegados. Si su dominio incluye varios GPO que cada objeto debe revisar, afecta-
rá la velocidad de procesamiento de GPO en sus sistemas.
FIGURA 7-6 Diseño de

OU regional. GPO PC
filtrado
GPO PC global al dominio y filtro con
3 un grupo de seguridad PC especial.
GPO 1
1 Vínculos de GPO.
GPO 2
2 GPO separados para cada OU.
GPO 3
SUGERENCIA Al crear OU de tipo de objeto en el nivel superior, puede asegurar que sus GPO sólo
se apliquen a los tipos de objeto para el que están diseñados y sólo sean leídos por éstos. Por tanto,
los GPO PC sólo son leídos por las PC, los GPO de usuario por los objetos de usuario, los GPO de
DC por los DC y los GPO de servidor por los servidores. El único GPO que es leído por todos es el
GPO de cuenta, que se establece en el nivel de dominio. Esto facilita la administración de GPO y el
proceso de administración, y también acelera el proceso de aplicación de GPO en el inicio del equipo
o el inicio de sesión de usuario. Después de todo, el problema que desea evitar a toda costa es la proli-
feración de GPO (demasiados GPO complicarán su estrategia de administración).
NOTA Microsoft proporciona una herramienta de analizador de mejores prácticas de diagnóstico de

directivas de grupo. Dependa de ella para validar su estrategia de GPO una vez que esté en funcio-
namiento. Obtendrá la herramienta en http://support.microsoft.com/Default.aspx?kbid=940122.
PARTE IV
Cree un diseño de OU para ines de administración de PC
Como la administración de usuarios y equipos no se concentra en las mismas actividades, se tra-
tan por separado. La administración de servidor se trata en los capítulos 8 y 9, mientras que la de
controladores de dominio se revisa en el capítulo 10, porque se consideran parte de la estrategia
de seguridad de la organización. Empiece con la administración de PC. Debe incluir la configura-
ción de GPO para tres tipos diferentes de equipos:
• PC de escritorio
• Equipos portátiles
• PC externas
El diseño de OU que use para estos tipos de equipos dependerá de una gran cantidad de
factores (tamaño de la organización, número de PC que se administrarán, diferenciación entre
sus PC y, sobre todo, su estrategia de administración: centralizada o descentralizada). Ambas
estrategias se examinan en las siguientes secciones.
Administración centralizada de PC
El diseño de la OU PC del capítulo 5 es un ejemplo de una estrategia de administración de PC
centralizada. En este escenario de ejemplo, la corporación T&T tiene una administración de
usuario descentralizada, pero una estrategia de administración de PC centralizada. Si éste es el
caso de su organización, simplificará en gran medida su estrategia de OU para PC.
GPO PC
global Aplica a todas las PC
GPO de Filtrado de directiva para permitir derechos locales elevados

escritorio global
GPO de exhibición
genérica Bucle invertido habilitado
GPO externa Sólo categorización

global
Bloquear herencia
GPO portátil
global
FIGURA 7-7 Aplicación de GPO en una estructura de OU PC administrada.
En este escenario se usaron tres niveles de OU. Cada uno se usa para segregar aún más el tipo
de objeto de PC. El nivel uno se utiliza para reagrupar todas las PC. Aquí es donde se aplica el GPO
PC global. En el nivel dos se inicia la segregación de objetos. Si se requiere un GPO global para
todos los escritorios o todos los equipos portátiles, o incluso todas las PC externas, se aplican en
este nivel. Por último, el nivel tres se usa para aplicar GPO a tipos específicos de PC dentro de cada
agrupamiento. Por ejemplo, las PC de escritorio cuyos usuarios tienen algunos derechos adminis-
trativos locales aún requieren cierta administración, pero una administración más ligera que PC,
cuyos usuarios son más genéricos. Debido a esto, tal vez requiera un GPO especial para usuarios
avanzados. No se requiere GPO especial para PC de usuarios normales, porque deben cubrirse con
los GPO generales establecidos en los niveles uno y dos (vea la figura 7-7).
PRECAUCIÓN Debe esforzarse por eliminar derechos administrativos de la mayor cantidad de

usuarios que pueda en su red. En realidad, cada usuario debe iniciar sesión con una cuenta de
usuario normal. Si se necesitan derechos administrativos, entonces deben usarse derechos elevados
mediante el comando Ejecutar como administrador. De esta manera, si surge un problema de
seguridad, cada contexto de seguridad de usuario tiene privilegios menores y no puede dañar a los
sistemas como si se otorgaran privilegios administrativos elevados.
PRECAUCIÓN Cuando cree OU en WS08 mediante la sección Usuarios y equipos de Active Directory,
del Administrador del servidor, tiene la opción de proteger el contenedor de la eliminación accidental.
Esto signiica que, por lo general, no podrá mover o eliminar el objeto si comete un error o quiere
reestructurar su directorio. Para eliminar estos parámetros de un objeto creado, necesita seleccionar
Características avanzadas del menú Ver y luego ver las propiedades del objeto. Esta opción se muestra
en la icha Objeto que aparece en la hoja de propiedades cuando se habilita Características avanzadas.
La OU de escritorio
La segregación aplicada en el nivel secundario de la OU Escritorio pudo haberse realizado direc-
tamente en la propia OU empleando filtrado de GPO, pero la creación de un nivel secundario
también le da las ventajas de ordenar objetos en categorías. Esto le facilitará la búsqueda de cada
tipo de PC.
Además, la OU Escritorio incluye una OU especial para PC de exhibición. Estos sistemas

se colocan en zonas públicas y dan a las personas acceso a su red, debe asegurar que estarán
siempre muy seguras. Se trata de un lugar ideal para usar la característica de bucle invertido para
asegurar que no importa quién inicie sesión en esos equipos, el GPO seguro que aplicará a esos
equipos siempre estará aplicado. Para administrar esos sistemas, necesita tener la capacidad de
reabrir el entorno seguro para realizar actualizaciones y correcciones al sistema. Esto podría ser
una situación ideal para usar varios GPO locales.
SUGERENCIA Si está ejecutando Vista en la PC, entonces la OU Escritorio también es un buen

lugar para directivas “verdes” o de administración de energía. Estas directivas le ayudarán a
reducir los costos de electricidad al poner “a dormir” los equipos cuando no están en uso.
La OU Sistemas móviles
La OU Sistemas móviles está diseñada para ayuda a aplicar GPO especiales a equipos portátiles.
Por ejemplo, debido a que éstos son sistemas de cómputo que suelen dejar la red segura que
proporciona su organización, debe asegurarse de que siempre se apliquen ciertas directivas a
esos sistemas. Podría incluir la imposición del cifrado de archivos en el equipo portátil y el uso de
firewalls personales cada vez que la PC se conecta a cualquier sistema mediante su módem, una
conexión de red inalámbrica, una conexión de red o incluso el puerto infrarrojo. Estas directivas
se aplican directamente a la OU Sistemas móviles. Si está usando Vista en el escritorio, podría
asignar cifrado de unidad del sistema BitLocker mediante este GPO.
Además, hay un segundo nivel de segregación para los usuarios comunes de equipos portá-
tiles y usuarios avanzados. Los mismos tipos de directivas aplicados a estos OU secundarios en la
OU de escritorio se aplican aquí. Esto puede hacerse mediante el uso de un objeto GPO separa-
do o mediante la vinculación de los GPO de escritorio apropiados a esas OU.
PARTE IV
La OU Externas
La OU Externas está creada para asegurar que las PC externas siempre se reagrupen. Las di-
rectivas que se aplican especialmente a todas las PC externas se aplican en el nivel superior de
esta OU. Una vez más, un nivel secundario se incluye para ayudar a ordenar en categorías los
sistemas administrados en comparación con los no administrados. Si éstos últimos lo son por
completo, puede establecer la OU No administrada en Bloquear herencia. De lo contrario, puede
filtrar directivas en esta OU.
Los sistemas externos administrados no suelen ser los mismos que sus propios sistemas
administrados. La razón es que a menudo es muy difícil asegurar que los sistemas de los asesores
sean exactamente iguales que los propios. Las firmas de asesoría a menudo tienden a comprar
sistemas clonados que son menos costosos que los corporativos y que no son compatibles por
completo con su entorno de sistemas administrados. Debido a esto, algunos de los parámetros
que aplica a sus propios sistemas serán diferentes de los que necesita aplicar a este grupo de
equipos heterogéneos (sobre todo si tiene más de una firma de consultoría en el sitio).
Los sistemas administrados tienden a ser principalmente equipos de escritorio, aunque los
sistemas no administrados a menudo son portátiles. Esto se debe a que los asesores que usan sis-
temas administrados suelen ser programadores, y ellos prefieren tener equipos de escritorio por-
que por el mismo precio pueden obtener mucho más velocidad y poder en el sistema. Esto les da
una segregación natural entre equipos de escritorio y portátiles en la estructura de OU externa.
En la tabla 7-2 se delinea el uso de cada uno de los OU en esta estrategia administrativa de PC.
NOTA Tiene la opción de decidir que no se use bloquear herencia en la OU No administrada. Tendrá
que determinar y negociar con los asesores para deinir su propia directiva para PC de asesores no
administrada.
Contenido de las directivas de equipos

Como ya se mencionó, los objetos de directiva de grupo están integrados por dos categorías de
parámetros: configuraciones de equipo y de usuario. Como todos los GPO que estará diseñando
para la estructura de OU PC están relacionados con equipos, lo primero que debe hacer cuando
crea un GPO para esta estructura de unidad organizativa es deshabilitar la parte Configuración
de usuario del GPO. Recuerde que se trata de un atributo de GPO y que se configura mediante el
menú contextual del GPO.
Ahora que su GPO está estructurado para equipos, puede empezar a examinar la configu-
ración que puede administrar con este GPO. La sección Configuración del equipo está dividida
en varias subcategorías. En la tabla 7-3 se presenta una lista de estas categorías y las posibles
aplicaciones en su red.
OU Nivel Objetivo GPO Notas

PC Uno Agrupar todas las PC de la organización GPO PC global Se aplica a todas las PC
Escritorios Dos Agrupar todos los equipos de escritorio GPO Escritorio global Incluye sólo las diferencias con el GPO
de la organización PC global
Usuarios avanzados Tres Agrupar los equipos de escritorio cuyos Filtrado de directivas para permitir
usuarios tienen derechos administrati- derechos administrativos locales
vos locales
Usuarios genéricos Tres Agrupar los equipos de escritorio con Sólo para ordenar en categorías
derechos de usuario comunes
PC de exhibición Tres Agrupar PC de alto riesgo especiales GPO PC de exhibición Bucle invertido habilitado. Grupo de
especial exclusión especial para reparaciones
(se niega la lectura al GPO PC de
exhibición)
Sistemas móviles Dos Agrupar todos los equipos portátiles de GPO Sistemas móvi- Incluye sólo las diferencias con la GPO
la organización les global PC global
Usuarios avanzados Tres Agrupar los equipos de escritorio cuyos Filtrado de directivas para permitir
usuarios tienen derechos administrati- derechos de administración locales
vos locales
Usuarios genéricos Tres Agrupar los equipos de escritorio sólo Sólo para ordenar en categorías
para ordenar en categorías con derechos
de usuario comunes
Externas Dos Agrupar todas las PC externas de la GPO Externas global Incluye sólo las diferencias con la GPO
organización PC global
Administradas Tres Agrupar todas las PC externas adminis- Sólo para ordenar en categorías
tradas en la organización
No administradas Tres Agrupar todas las PC externas no admi- Bloquear herencia
nistradas en la organización
TABLA 7-2 Estructura de OU de administración centralizada de PC

NOTA Diferentes coniguraciones se aplican a distintos sistemas operativos. De un total de 2 450

parámetros posibles, más de 800 sólo se aplican a Vista. Asegúrese de revisar cuáles parámetros de
sistema operativo se aplican antes de asignarlos a sus PC. El sistema al que se aplica un paráme-
tro de despliega en la explicación de éste.
Sección del GPO Comentario Aplicable

Coniguración de Esta sección trata con instalaciones de software. Si quiere asignar un pro- Consulte más adelante la
software ducto de software a un equipo en lugar de un usuario a través de la entre- estrategia de administración
ga de software de Windows Server 2008, establezca aquí los parámetros. de PC
Coniguración de Esta sección trata con la coniguración general de Windows e incluye ele- Parcialmente
Windows mentos como secuencias de comandos y coniguraciones de seguridad.
Scripts Controla el acceso a secuencias de comandos de arranque y apagado. Si es necesario
Coniguración de Incluye directivas de cuenta, directivas locales, Registros de eventos y Parcialmente
seguridad más. Por ejemplo, aquí es donde coniguraría los parámetros de la irewall
de Windows.
Directiva de cuenta Controla todas las directivas de cuenta. Establece el nivel del dominio
Directivas locales Especíica de cada equipo o del dominio. Directiva de auditoría y algu-
Incluye directivas de auditoría, asignaciones de derechos de usuario y nos derechos de usuario
opciones de seguridad.
Casi todas las asignaciones de derechos de usuario se establecen en
el nivel del dominio, pero algunas, como la modiicación de valores de
entorno de irmware y realización de tareas de mantenimiento de volumen,
deben asignarse en el nivel de PC para permitir a los grupos técnicos los
derechos necesarios para mantener las PC.
Registro de eventos Controla el tamaño de cada Registro de eventos. Sí
Grupos restringidos Controla quién pertenece a los grupos de seguridad elevada, como los Parcialmente
Administradores de dominio.
Se establece en el nivel del dominio para grupos administrativos de nivel
elevado (Administradores de dominio y de empresa).
Se establece en el nivel de la PC para administradores locales como
PARTE IV
grupos técnicos.
Servicios del sistema Determina cómo se comportarán determinados servicios en un equipo. Sí
Registro Permite establecer derechos de acceso a colmenas del registro. No
Sistema de archivos Permite establecer derechos de acceso a archivos y carpetas. No
Directivas de red cablea- Controla el acceso asegurado a redes y coniguraciones de single sign-on. Sí
da (IEEE 802.3)
Firewall de Windows con Controla las reglas de entrada y salida de la irewall. Sí
seguridad avanzada Controla el estado de la irewall, cuando está conectado a la red interna y
cuando usa roaming fuera de la oicina.
Directiva de red inalám- Le permite establecer directivas para conexiones de red inalámbricas Para equipos portátiles
brica (IEEE 802.11)
Directivas de clave Controla todos los parámetros de infraestructura de clave pública (PKI), Para equipos portátiles
pública incluido el cifrado del sistema de archivos.
Directivas de restricción Permite determinar cuáles aplicaciones se permiten ejecutar en su red. En el nivel de dominio
de software
Network Access Controla el acceso a redes basado en estado de salud. Para equipos portátiles y para
Protection Permite establecer la imposición de clientes, deine los parámetros de roaming de cualquier equipo
interfaces de usuario e identiica grupos de servidores coniables.
Directiva de seguridad Le permite establecer el comportamiento de la PC cuando se usa la seguri- Para equipos portátiles
IP dad del protocolo de Internet (IPSec).
TABLA 7-3 Categorías y contenido de las directivas de equipo


QoS basada en directiva Deine los parámetros de calidad del servicio (QoS, Quality of Service) para lujo de video Sí
y audio.
Plantillas administrativas Las plantillas administrativas con componentes de calidad del servicio que pueden incluirse Sí
en secuencias de comandos para controlar una amplia variedad de coniguraciones, como
elementos del Panel de control, componentes de Windows, sistema, redes e impresoras.
Panel de control Control de las opciones regionales y de idioma, además de que permite modiicar las Se establece
imágenes predeterminadas del inicio de sesión de usuario. únicamente en el
nivel de usuario
Red Controla las coniguraciones relacionadas con la red, como Servicio de transferencia inte- Sí
ligente en segundo plano (BITS), Cliente DNS, Detección de topología de nivel de vínculo,
Servicios de redes de igual a igual de Microsoft, archivos sin conexión, Conexiones de
red, Programador de paquetes QoS, protocolo simple de administración de red (SNMP),
Opciones de coniguración SSL y Windows Connect Now.
La coniguración de archivos sin conexión debe establecerse para que los usuarios no
puedan conigurarlos por sí solos.
Las conexiones de red deben establecerse de modo tal que las conexiones inalámbricas
deben usar autentiicación de equipo.
SNMP no suele conigurarse para PC.
Impresoras Controla primordialmente la manera en que se usan las impresoras con Servicios de En el nivel del
dominio de Active Directory. dominio
Sistema Controla las coniguraciones de todo el sistema, como Periles de usuario, Scripts, Inicio Sí
de sesión, Cuotas de disco, Directiva de grupo (Bucle invertido, por ejemplo), Asistencia Compartido
remota, Restaurar sistema, Informe de errores, Protección de archivos de Windows, con el nivel de
Llamada a procedimiento remoto, Servicio de hora de Windows y más. usuario
Esta sección controla el comportamiento de cada una de las características de la lista.
La sección Scripts, por ejemplo, determina el comportamiento de las secuencias de
comandos, no sus nombres.
Asistencia remota debe establecerse para facilitar las tareas de escritorio de ayuda,
sobre todo, la coniguración Ofrecer asistencia remota.
Informe de errores debe establecerse para aplicaciones críticas. Esto les permitirá enviar
cualquier informe de error a un recurso compartido empresarial sin que lo sepan los
usuarios.
También controla la irma del controlador de un dispositivo. Esto debe habilitarse para
todas las PC implementadas.
Además, controla el comportamiento de los periles de usuario en PC. Debe modiicar
este comportamiento si trata de trabajar con periles de roaming y redireccionamiento de
carpetas.
Use Instalación de dispositivos para controlar si los usuarios pueden o no insertar dispo-
sitivos como unidades de bus serial universal (USB).
Use Servicios locales, que le permite cambiar automáticamente los parámetros de PC para
que coincidan con los parámetros de idioma de un empleado.
La Administración de energía ayuda a reducir el consumo de energía de las PC en la
organización.
Use Control de cuentas de usuario para que todos se ejecuten con una icha de usuario
estándar.
Componentes de Controla parámetros como NetMeeting (para el Escritorio remoto), Internet Explorer, Sí
Windows Programador de tareas, Servicios de Terminal Server, Instalador de Windows, Windows
Messenger y Windows Update.
Aquí se usan varios parámetros.
Terminal Server (TS) determina cómo la sesión de TS se establece entre los sistemas
local y remoto.
Windows Update, en particular, le permite asignar una ubicación de servidor interno para
la recolección de actualizaciones.
Aquí también se controlan las coniguraciones de Internet Explorer.
Además controla todo, desde Movie Maker hasta Windows Sidebar.
TABLA 7-3 Categorías y contenido de las directivas de equipo (Continuación)


Todos los valores Presenta una lista de todos los valores que están disponibles bajo Sí
Plantillas administrativas. Puede ordenarlos mediante cada uno de los
encabezados en el panel de detalles, dándole un acceso más fácil a cada
uno de estos parámetros.
TABLA 7-3 Categorías y contenido de las directivas de equipo (Continuación)
NOTA Los derechos de acceso a las claves del Registro y a los archivos y carpetas deben establecerse
mediante el comando Secedit con Plantillas de seguridad. Pueden aplicarse mediante objetos de
Directiva de grupo. Se analizará más sobre este tema en el capítulo 10.
Las secciones Sistema y Componentes de Windows de las Plantillas administrativas incluyen

la mayor parte de los parámetros que puede controlar mediante GPO. Con Vista, esta sección se
mejoró mucho. Hay una cantidad importante de parámetros en estas secciones. Tómese el tiempo
de revisar todas y de determinar cuáles deben establecerse. Debe documentar todos los GPO que
cree. También debe usar una estrategia de asignación de nombres estándar para todos los GPO y
asegurarse de mantener un registro completo de GPO.
SUGERENCIA Microsoft proporciona una hoja de cálculo de Excel útil para la documentación
de GPO en www.microsoft.com/downloads/details.aspx?familyid=7821C32F-DA15-438D-
8E48-45915CD2BC14&displaylang=en. También proporciona una buena herramienta para
inventario de directivas de grupo, que se encuentra en www.microsoft.com/downloads/details.
aspx?FamilyID=1d24563d-cac9-4017-af14-8dd686a96540&DisplayLang=en.
PARTE IV
SUGERENCIA Para obtener una guía sobre la implementación de directivas de grupo con Vista,
vaya a http://technet2.microsoft.com/WindowsVista/en/library/5ae8da2a-878e-48db-a3c1-
4be6ac7cf7631033.mspx?mfr=true.
Plantillas administrativas en Vista

Las plantillas administrativas son, por mucho, la parte más importante de las directivas de grupo.
En esencia, le permiten controlar cualquier parte del registro del sistema al crear el archivo de texto
apropiado e importarlo en una directiva de grupo. Antes de Windows Vista, todas las plantillas
de definición de GPO usaban un formato de archivo ADM (archivos de texto simple que están
organizados de manera estructurada). Con Vista, Microsoft introdujo el formato ADMX (un formato
basado en el lenguaje de marcado extendido (XML, eXtended Markup Language), que proporciona
un contenido mucho más rico para las plantillas de GPO. Las plantillas ADMX ahora son indepen-
dientes del idioma, lo que internacionaliza los parámetros de las directivas de grupo. Cada archivo
ADMX está acompañado de uno o más archivos ADML que incluyen contenido específico del idio-
ma. Las organizaciones internacionales deben incluir un archivo ADML para cada idioma con el
que trabajen sus administradores. Además, los archivos ADMX pueden almacenarse centralmente,
en oposición al método distribuido que se usa con los archivos ADM (uno en cada controlador de
dominio en un dominio ADDS determinado). Y debido al número creciente de configuraciones
de dispositivos en Vista, en la versión de WS08 se incluyen 143 archivos ADMX.
Debido a los cambios a las directivas de grupo en Vista, el formato ADMX es incompatible
con el ADM, lo que significa que los entornos que administran una combinación de Windows
2000 y XP con Vista necesitarán traducir sus plantillas existentes al formato ADMX o crear
nuevas. Las organizaciones que administran una combinación de clientes Windows necesitarán
aplicar una estrategia que permita la traducción de ADM a ADMX y viceversa, pero, por supues-
to, sólo para los parámetros que se aplican a cualquier versión de Windows.
SUGERENCIA Obtenga la ADM/ADMX Conversion Tool. Microsoft tiene licencia de una herra-
mienta de conversión de ADM a ADMX de FullArmorCorporation. Esta utilería gratuita está
disponible en www.fullarmor.com/ADMX-download-options.htm.
En versiones anteriores de Windows, cada vez que se creaba una nueva plantilla ADM, se
copiaba del sistema local al recurso compartido SYSVOL en el controlador de dominio. Luego
se copiaría a cada DC del dominio. Con Vista, se hace referencia localmente a las plantillas
ADMX en el sistema del que se generaron, pero si varios administradores de PC están trabajando
en estas plantillas, será mejor que cree un contenedor de almacenamiento central al que todos
hagan referencia cuando trabajen en plantillas nuevas o existentes. Para crear el almacén central:
1. Inicie sesión en cualquier sistema conectado con derechos administrativos en el dominio.
2. Localice el controlador de dominio Emulador de PDC en su red. La manera más fácil de ha-
cerlo es abrir Servicios de dominio de Active Directory en el Administrador del servidor, hacer
clic con el botón derecho en el nombre del dominio para elegir Maestro de operaciones, luego
hacer clic en la ficha Controlador principal de dominio para encontrar el nombre del DC. Lue-
go use Explorador de Windows para ir a su carpeta de recurso compartido SYSVOL. Debe usar
el Emulador de PDC porque es el motor que controla los cambios de GPO en la red.
3. Vaya a SYSVOL\NOMBREDOMINIO\POLICIES donde nombredominio es el nombre DNS de
su dominio.
4. Cree una nueva carpeta llamada PolicyDefinitions.
5. Copie el contenido de la carpeta C:\WINDOWS\POLICYDEFINITIONS de cualquier sistema
WS08 a la nueva carpeta que creó en el paso 4. Use WS08 porque tiene más archivos ADMX
que la versión final de Vista.
6. Incluya las carpetas ADML, por ejemplo los sistemas en español (de España) usarían la
carpeta es-Es.
7. Lance el Editor de directivas de grupo. Automáticamente hará referencia al nuevo almacena-
miento central, además de todos los editores en cualquier sistema Vista o WS08 de su dominio.
Haga esto una vez para asegurar que todas las plantillas están almacenadas en una ubica-
ción central.
NOTA No hay una interfaz de Directiva de grupo para cargar archivos ADMX en un GPO. Si
quiere agregar nuevos parámetros con base en un archivo ADMX, cree el archivo y cópielo a su
almacén central. Aparecerá en el objeto de directivas de grupo en cuanto abra de nuevo el Editor
de directivas de grupo.
Administración descentralizada de PC
La estructura de OU definida antes es útil si todas las operaciones de PC están centralizadas,
aunque su organización incluya oficinas regionales. Pero si incluyen un gran número de sistemas
de cómputo, tal vez necesitará tener la capacidad de permitir que los técnicos regionales realicen
algún grado de operaciones en la PC regional. Si éste es el caso, deberá tener la capacidad de
diseñar una estructura de OU que soporte la delegación de la administración. Para ello, necesita
la capacidad de crear contenedores geográficos para todas las PC.
Una vez más, sigue siendo útil segregar su tipo de objeto en el primer nivel de OU. La diferencia
recae en la estructura de OU de segundo nivel. Aquí necesitará crear una estructura geográfica para
almacenar PC. Debido a que tal vez aún tendrá PC externas en esta estructura, deberá crear tam-
bién una OU Externas. Casi todas las organizaciones que contratan asesores lo harán así en oficinas
centrales o grandes. Esto significa que su OU Externas no necesariamente necesita estar dividida en
regiones. Sin embargo, sus equipos de escritorio y portátiles necesitarán distribución regional.
Aunque cree unidades regionales, aún requerirá alguna forma de segregación para los dos tipos
de equipos. Debido a que sabe que crear una estructura regional seguida por las OU secundarias
Escritorio y Sistemas móviles sólo complicará la aplicación de GPO (porque necesitan GPO indivi-
duales para cada contenedor o se tienen que vincular las GPO de un contenedor a otro), deberá usar
una estrategia diferente. En este caso, la mejor estrategia es usar filtrado de directivas de grupo.
Cree dos niveles de OU principales, la PC, y luego las OU secundarios regionales. Luego cree gru-
pos de seguridad globales para cada tipo de PC: de escritorio o portátil. Aplique todos los objetos de
directiva de grupo a la OU PC, y fíltrelos a través del uso de sus grupos de seguridad. De esta manera,
todos los objetos de PC recibirán los GPO, aun las PC localizadas en las OU secundarias regionales.
Debido a que está habilitado el filtrado de GPO, las directivas que se aplican a equipos de escritorio
sólo se aplicarán a éstos y las directivas que se aplican a equipos portátiles sólo aplicarán a éstos.
En casi todos los casos, la OU PC contendrá las siguientes directivas (vea la figura 7-8).
PARTE IV
• Directiva PC global Aplicable a todas las PC; no se aplica filtrado.
• Dispositivo Escritorio global Filtrado con el grupo de seguridad global Escritorio.
• Directiva Sistemas móviles global Filtrada con el grupo de seguridad global Sistemas
móviles.
• Directiva PC de exhibición global Filtrada con un grupo de seguridad global PC de
exhibición.
Directiva PC global (sin filtrado) FIGURA 7-8

Directiva Escritorio global (sólo Escritorio) Estrategia de OU PC
Directiva Sistemas móviles global (sólo Sistemas móviles)
descentralizada.
Directiva PC de exhibición global (Opcional sistema
operativo existen PC de exhibición)
Grupo de seguridad o filtrado de directiva WMI
Directiva PC Externas global
Bloquear herencia
Esta estructura de directiva es un poco más difícil de administrar que la de administración

centralizada PC, porque debe hacerse mediante pertenencias a grupos, pero le permite dise-
ñar una estrategia que mantiene control central además de admitir la delegación a técnicos
regionales.
Diseñe para delegación

La estrategia de OU descentralizada delinea la necesidad de la delegación de la administración.
En este caso, significa que debe permitirse a los técnicos regionales que realicen actividades
específicas relacionadas con administración y manejo de PC. Estas actividades pueden ir de la
simple administración de usuarios, como restablecimiento de contraseñas de usuario, a muchas
tareas administrativas completas más. Los usuarios de Windows NT probablemente no estarán
familiarizados con el concepto de delegación, porque en este sistema operativo, para delegar au-
toridad, básicamente tenía que dar algunos derechos de administración de dominio. Había, por
supuesto, productos de terceros que permitían alguna forma de delegación dentro de Windows
NT, pero eran costosos y tomaba tiempo implementarlos.
No es el caso en Windows Server 2008. En realidad, como Windows 2000, el concepto de
delegación está incrustado en el sistema operativo. ADDS ofrece derechos de delegación y
permisos predeterminados. Esto se debe a que cada objeto del directorio puede contener propie-
dades de seguridad. Puede asignar derechos de usuario a cualquier objeto, usuario, equipo, sitio,
dominio, unidades organizativas… cualquier objeto. La delegación es inherente a un diseño de
Servicios de dominio de Active Directory.
En cuanto a los objetos de directivas de grupo, puede delegar la administración, creación,
vinculación, modificación y mucho más. Pronto aprenderá a ser cuidadoso con lo que delega en
cuanto a GPO, porque cuanto más delegue, más compleja será la administración de su GPO. Por
ejemplo, si toda la creación y administración de GPO está centralizada, nunca habrá necesidad
de que se aplique la opción Forzada a un GPO, porque está en control de todo y nadie tratará de
bloquear la aplicación de un GPO o reemplazarlo con otro. Si delega derechos de GPO, entonces
lo más probable es que deberá de considerar el uso de la opción Forzada, porque definitivamente
querrá asegurar que siempre se apliquen los parámetros globales de GPO.
Delegación dentro de ADDS

La delegación en Servicios de dominio de Active Directory se realiza mediante el uso de un
asistente. La herramienta que utilice para realizar la delegación depende del objeto que desee
delegar. Si es un sitio, necesita usar Sitios y servicios de Active Directory. Si es un dominio o una
OU, use Usuarios y equipos de Active Directory. La delegación es simple. Haga clic con el botón
derecho en el objeto que quiera delegar y elija Delegar control para lanzar el asistente.
Windows Server 2008 incluye una serie de tareas preasignadas. Entre éstas se incluyen:
• Crear, eliminar y administrar cuentas de usuario.
• Restablecer contraseñas de usuario y forzar el cambio de contraseña en el próximo inicio de
sesión.
• Leer toda la información del usuario.
• Crear, eliminar y administrar grupos.
• Modificar la pertenencia de un grupo.
• Administrar vínculos de directiva de grupo.

• Generar conjuntos resultantes de directivas (planeamiento).
• Generar conjuntos resultantes de directivas (registro).
• Crear, eliminar y administrar cuentas inetOrgPerson.
• Restablecer las contraseñas de inetOrgPerson y forzar el cambio de contraseña en el siguiente
inicio de sesión.
• Leer toda la información de InetOrgperson.
Por otra parte, tal vez decida que desea delegar una operación específica que no está incluida
en la lista predeterminada. Para ello, necesita elegir Crear una tarea personalizada para delegar, en
la ventana del Asistente para delegación de control. Esto le llevará a una nueva ventana con la
lista de tareas personalizadas que puede delegar.
Hay más de 60 objetos o combinaciones de objetos diferentes que se pueden elegir para
delegar bajo la ventana de objetos para delegar de Active Directory. Por último, puede asignar
varios permisos a los objetos personalizados. Todo, desde control completo hasta leer o escribir
todos los objetos, puede asignarse en los niveles general, específico de la propiedad y/o creación/
eliminación de objetos secundarios específicos.
Delegación a través de pertenencia a grupos

Además, algunos derechos globales de delegación pueden asignarse de manera más tradicional:
mediante pertenencias a grupos. Grupos especiales, como Propietarios creadores de directivas de
grupos, Administradores de dominios, Operadores de impresión, Operadores de servidor, Opera-
dores de copia de seguridad y más permiten la delegación de ciertas tareas en el nivel de domi-
nio, simplemente mediante sus pertenencias a grupos. Sin embargo, tiene que ser más cuidadoso
con este tipo de delegación, porque le da derechos de delegación en todo el dominio. Esto puede
otorgar más autoridad de la que se pretendía originalmente.
PARTE IV
Cree consolas personalizadas de administración de Microsoft
Uno de los impactos de la delegación dentro de Servicios de dominio de Active Directory es la
necesidad de que consolas personalizadas permitan el acceso a objetos delegados para grupos
con derechos y permisos delegados. Esto significa que puede crear una versión personalizada de
una consola de administración de Microsoft (MMC, Microsoft Management Console) que sólo
contiene los objetos a los que ha delegado el acceso y distribuir esta consola a miembros del
grupo con derechos de delegación.
NOTA Debe instalar las Herramientas de administración remota de servidor (RSAT, Remote Server
Administration Tools) en la máquina de destino antes de que pueda crear estas consolas.
1. Para crear consolas predeterminadas, debe empezar el programa de la consola en modo de

autoría. Para ello, ejecute el siguiente comando:
mmc /a
2. Esto lanza una MMC vacía. Entonces debe agregar los complementos apropiados a la consola.
Para ello, vaya al menú Archivo y seleccione Agregar o quitar complemento. En el cuadro de
diálogo Agregar o quitar complementos, haga clic en el botón Agregar. Seleccione el com-
plemento que necesita (por ejemplo, Usuarios y equipos de Active Directory). Muchos comple-
mentos incluyen extensiones. Debe ver éstas para saber si son obligatorias para el grupo al que
pretende delegar esta consola. Si no, quite todas las extensiones que no sean necesarias.
3. Haga clic en Aceptar cuando haya terminado. Guarde su consola y déle un nombre apropiado.
4. Una vez que se haya agregado el complemento, vaya a la OU que desee delegar.
5. A continuación, necesita crear una vista de Cuadro de tareas para la consola. Esto le permite
modificar la manera en que se presenta la información a los usuarios. Para ello, vaya al menú Ac-
ción y elija Nueva vista del cuadro de tareas. Esto lanza su Asistente, lo cual le permite elegir el
modo de presentación para la consola. Entre las buenas opciones se incluyen Lista horizontal y
Recuadro informativo para descripciones de elementos. Aplique el Cuadro de tareas al elemento
de árbol seleccionado. Asígnele un nombre y, luego, cuando el asistente termine, asegúrese de
que la opción Agregar nuevas tareas esté seleccionada y agregue tareas al Cuadro de tareas.
6. Agregue comandos al menú. Elija el nodo del árbol como origen del comando, y agregue
comandos como Nuevo usuario, Nuevo grupo, Propiedades, etcétera. Asegúrese de seleccio-
nar la opción para ejecutar de nuevo el asistente cuando haya terminado de agregar tareas. Si
lo pasa por alto, utilice el comando Acción | Editar vista del cuadro de tareas y vaya a la ficha
Tareas para agregar más tareas.
NOTA Asegúrese de que haya elementos en esta OU; de otra manera, no tendrá acceso a todos los
comandos de las tareas que quiera delegar.
7. A continuación, necesita establecer el enfoque para esta consola. Para ello, seleccione el objeto
que desee delegar (por ejemplo, una unidad organizativa). Haga clic con el botón derecho en
este objeto y seleccione Nueva ventana desde aquí. Se desplegará la información apropiada
para los usuarios de la consola. Minimícela, cierre la otra ventana y luego maximice de nuevo
la nueva ventana.
8. Ahora necesita establecer las opciones de vista para esta ventana. Debido a que los usua-
rios de la consola no requerirán la capacidad de crear consolas, puede eliminar varios de los
elementos, como el árbol de la consola, el menú estándar, la barra de herramientas estándar,
etcétera. Para ello, vaya al menú Ver y seleccione Personalizar. Limpie todos los elementos
que no parezcan necesarios para los usuarios de la consola. Este cuadro de diálogo está vivo.
Cuando limpia un elemento, de inmediato verá el resultado en la consola tras el cuadro de
diálogo. Haga clic en Aceptar cuando haya terminado.
9. Por último, necesita personalizar la consola. Vaya al menú Archivo y seleccione Opciones.
Aquí, puede escribir una descripción de consola, asignar un nuevo icono y determinar el modo
de operación. Hay cuatro modos:
• Modo autor.
• Modo usuario, acceso completo: igual que el modo autor, pero los usuarios no pueden
agregar complementos, cambiar opciones y crear favoritos o Cuadros de tareas.
• Modo usuario, acceso limitado, varias ventanas: le da acceso sólo a los elementos seleccio-
nados cuando se guardó la consola. Los usuarios pueden crear nuevas ventanas, pero no
pueden cerrar ninguna ventana guardada antes.
• Modo usuario, acceso limitado, una ventana: igual que el modo anterior, pero los usuarios
no pueden crear nuevas ventanas.
Para consolas de un solo propósito, el último parámetro es apropiado.
NOTA Asegúrese de seleccionar la opción No guardar los cambios en esta consola; de otra manera,
se pedirá a los usuarios que guarden la consola cada vez que la usen.
10. Guarde la consola de nuevo cuando haya terminado. Pruebe la consola para asegurar que
opera de la manera diseñada. Para ello, ciérrela y vuélvala a abrir en modo de operación (en
oposición al modo autor) al hacer doble clic en su icono.
SUGERENCIA El archivo %WINDIR%\System32\SHELL32.DLL contiene varios iconos que

pueden usarse para personalizar MMC.
Puede guardar la consola y distribuirla entre usuarios mediante la directiva de seguridad

usando distribución de software. Para ello, necesitará empaquetar consolas, incluido cualquier
complemento que se requiera para que operen. Recuerde que los complementos deben registrar-
se en el equipo de destino para que la consola funcione. La mejor manera de distribuir consolas
es empaquetarlas como ejecutables del Instalador de Windows. Puede usar una herramienta de
reempaquetamiento para ello.
Otra manera de distribuir consolas es mediante los servicios de Terminal Server. La ventaja
de usar éstos para distribuir consolas es que sólo se necesita una instalación del complemento
(en el servidor host). Además, como todos los usuarios acceden a la misma consola en el mismo
equipo, las modificaciones globales son simples: cambie una sola consola en un solo lugar. Por
último, la distribución es simple. Todo lo que necesita hacer es enviar el icono de la consola a
los usuarios que la solicitan. En el capítulo 9 se cubre más información acerca de los servicios de
Terminal Server. Las consolas predeterminadas son una parte importante de cualquier estrategia
PARTE IV
de delegación de WS08 (vea la figura 7-9).
Diseñe una estrategia de delegación

La estrategia de delegación que requiera tendrá un impacto directo en su estrategia de unidad
organizativa. Este diseño tendrá que tomar en cuenta la estrategia de objeto de directiva de
grupo que diseñó. Cuando se diseña para delegación, necesita tomar en cuenta varios factores.
Comience por identificar las necesidades del negocio que influyen en la delegación. Muchas de és-
tas tendrán una buena comprensión de su estructura organizacional de TI. Además, necesita revisar
la manera en que puede cambiar ahora sus prácticas administrativas a las que tiene acceso a una
tecnología que soporta por completo la delegación. Más sobre esto se cubrirá en el capítulo 10.
Si decide delegar, necesitará formalizar el proceso de delegación. Esto incluye una serie de
actividades como:
• Identificar todos los oficinistas delegados.
• Identificar la función para cada oficinista.
• Identificar las responsabilidades para cada oficinista.
• Identificar el nombre del oficinista delegado de copia de seguridad para cada oficinista.
• Presentar una lista de cualquier consola especial que tal vez haya creado para cada nivel de
delegación.
FIGURA 7-9 Consola predeterminada de administración de Microsoft.
• Identificar de manera específica todos los derechos y permisos que se han delegado.
• Preparar y entregar un programa de capacitación de delegación para asegurar que todos los
oficinistas delegados estén completamente familiarizados con sus responsabilidades.
Otro aspecto requerido es la identificación de propietarios de objetos y la adición de adminis-
tradores de objetos dentro de las propiedades de cada objeto en el directorio (vea la figura 7-10).
Esto le permitirá usar el directorio para soportar la documentación de su programa de delegación.
NOTA En la igura 7-10 se despliega un nombre de usuario genérico. En el capítulo 5 se explicó que
esos nombres de cuenta genéricos no se permiten en el dominio Producción, y no deben permitirse.
Un nombre genérico se usa aquí para ilustrar el tipo de usuario que identiicaría como propietario
de una OU.
FIGURA 7-10
Asignación de propiedad
de OU.
Por último, lo más probable es que su plan de delegación necesitará la creación de una nueva
posición dentro de sus actividades administrativas: el administrador de delegación. Esta función
concentra todas las actividades de delegación dentro de una función centralizada. El adminis-
trador de delegación es responsable de supervisar todas las delegaciones y de asegurarse de que
toda la información que está relacionada con este proceso se mantiene y está actualizada.
Administración de PC
La última parte de su estrategia de diseño de unidad organizativa para PC es la de administra-
ción de PC que pretende usar. La administración de PC en una organización se relaciona con una
gran cantidad de actividades, que incluyen las siguientes, pero que no están limitadas a ellas:
• Inventario de hardware
• Inventario de software
• Control remoto y Asistencia remota
• Administración del ciclo de vida del software
• Medición del uso del software
Como opción predeterminada, Windows Server 2008 ofrece varias de estas opciones. En
realidad, Asistencia remota y Administración del ciclo de vida del software son características que
ahora se encuentran integradas en Windows.
SUGERENCIA Más información acerca de la administración de PC se encontrará en nuestro libro

electrónico gratuito: The Deinitive Guide to Vista Migration, que puede descargarse de
www.realtime-nexus.com/dgvm.htm. Para conocer información acerca de la implementación y
la administración de PC, busque Deploying and Administering Windows Vista Bible, de Cri-
PARTE IV
bbs, Ruest, Ruest y Nelly, publicado por Wiley.
Instalación de software con WS08

Windows Server 2008 incluye un conjunto de objetos de directivas de grupo que pueden usarse
para entregar software a usuarios y equipos. Este GPO está muy unido al servicio Instalador de
Windows, que se encuentra disponible para PC y servidores. El Instalador de Windows es un
servicio que se ha diseñado para ayudar a tomar control del ciclo de vida del software. Esto no
sólo significa instalación remota de software, sino, más específicamente, actualizaciones, parches,
correcciones de mantenimiento de software y algo que con mayor frecuencia se pasa por alto: la
eliminación de software. El servicio Instalador de Windows administra varios aspectos diferentes
del ciclo de vida del software (vea la figura 7-11).
La instalación de software basado en directivas suele funcionar con archivos de instalación
que son soportados por el Instalador de Windows. Estos archivos tienen extensión MSI. Un
Instalador de Windows ejecutable es, en realidad, una base de datos de instalación que se copia
al sistema del equipo junto con el programa que instala. Ésta es una razón por la que el Instala-
dor de Windows soporta corrección automática de software, además de eliminación limpia del
mismo. Una vez que se instala un programa en un sistema, el Instalador de Windows realizará
una revisión de consistencia del programa cada vez que se lance. Si hay inconsistencias entre el
estado real del programa y el contenido de la base de datos de instalación, el Instalador de Win-
dows lanzará automáticamente una fase de reparación de software.
Evaluación Planeación/preparación
• Características • Requisición
• Tecnología • Obtención
• Visión/estabilidad del fabricante • Entrega
• Servicio/soporte
• Costo
• Recomendación
Proceso de
• Obsolescencia compra • Descubrimiento/mejores prácticas
• Eliminación del software • Reempaquetamiento o
transformación
Ciclo de • Combinación de módulos/
Retiro Implementación
personalización
vida del
• Sistema de distribución
software • Ámbito de implementación
• Instalación con derechos elevados
Mantenimiento de • Redireccionamiento del componente
la producción • Regreso de la instalación a la última
versión correcta
Instalador de Windows • Corrección automática

• Software/paquetes de servicio
• Parches/correcciones activas
• Actualizaciones
• Infraestructura de soporte (rendimiento,
administración, mantenimiento)
FIGURA 7-11 Administración del ciclo de vida con el Instalador de software.
Durante la fase de reparación, el Instalador de Windows se conectará, como opción predeter-

minada, con la fuente de la instalación original del programa de software y reinstalará componen-
tes faltantes o dañados. Esto significa que si va a funcionar la corrección automática, tienen que
mantenerse de manera permanente los archivos de origen de instalación. Se trata de un cambio
importante en relación con los métodos tradicionales, que se concentran en la implementación de
software y luego eliminan los archivos de origen de instalación una vez que se completa la im-
plementación. Las organizaciones que desean usar las capacidades de corrección automática del
Instalador de Windows deben mantener depósitos permanentes de instalación de software.
La base de datos de consistencia del Instalador de Windows se usa para realizar elimina-
ciones limpias de software de un sistema. Cualquier persona que haya tenido experiencia con
eliminación de software en versiones anteriores a Windows 2000 (o sistemas anteriores que
tienen el servicio Instalador de Windows) sabrá que en el caso de esos sistemas, el concepto de
una instalación limpia no es nada más que un mito. No es el caso con el software habilitado por
el Instalador de Windows. En realidad, una de las principales funciones de éste es administrar
conflictos de software y asegurar que los componentes compartidos del sistema no estén daña-
dos por instalaciones de software. Si se agregan componentes en conflicto durante una instala-
ción de un producto de software, el Instalador de Windows asegurará automáticamente que esos
componentes estén instalados en un directorio especial llamado %SYSTEMROOT%\WINSXS o
lado a lado para evitar posibles conflictos. Es una definición simplista de esta función, pero basta
para ayudarle a comprender que cualquier aplicación instalada con el Instalador de Windows se
desinstalará de manera limpia porque este servicio aísla sus componentes. La desinstalación de
software tiene poco o nulo impacto sobre el resto de un sistema de cómputo cuando el software
es administrado por el servicio Instalador de Windows.
Como el archivo de instalación del Instalador de Windows es, en realidad, una base de datos,
puede modificarse a voluntad para diferentes tipos de instalación. A éstos se les denomina archi-
vos de transformación y tienen la extensión MST. Por ejemplo, puede crear un archivo MSI global
que incluya todos los archivos del programa Microsoft Office y usar archivos de transformación
personalizados para instalar sólo Access o sólo Word, Excel, PowerPoint y Outlook, o sólo Front-
Page, o FrontPage y Access, etcétera. Por último, los archivos MSI también permiten parches. Los
archivos de parche tienen una extensión MSP y permiten la aplicación de correcciones activas y
paquetes de servicio al software instalado.
SUGERENCIA Para conocer una revisión detallada del servicio Instalador de Windows, descargue
“Working with Windows Installer”, un artículo gratuito, de www.reso-net.com/articles.asp?m=8.
Activos de software
Dado que las instalaciones de software de Windows Server 2008 mediante directivas de grupo
requieren programas habilitados por el Instalador de Windows, y dadas las importantes ventajas
que puede obtener del uso de estos tipos de instalaciones al sólo integrarlas con el servicio Insta-
lador de Windows, debe considerar seriamente la migración de todos sus programas de software
y aplicaciones a versiones que estén integradas con este servicio. Por supuesto, casi ninguna
corporación podrá lograr esto mediante actualizaciones, por varias razones. En primer lugar,
es posible que algunos programas, sobre todo los desarrollados internamente, no se puedan
actualizar con facilidad. En segundo lugar, la corporación promedio (más de 1 000 usuarios) tiene
alrededor de 300 diferentes aplicaciones de software dentro de su red. La actualización de todos
estos productos sería prohibitiva y, a menudo, innecesaria. En tercer lugar, algunas aplicaciones
simplemente no ofrecen actualizaciones. En cuarto lugar, algunos fabricantes, desafortunada-
mente, aún no integran sus productos de software con el servicio Instalador de Windows.
En casi todos los casos, tendrá que considerar el reempaquetamiento de las instalaciones de
software para aprovechar las diversas características del servicio Instalador de Windows. Hay en
PARTE IV
el mercado diversas herramientas para el proceso de reempaquetamiento. Si toma con seriedad el
empaquetamiento de la instalación, debe tomar en consideración el Wise Package Studio de Altiris
(www.wise.com) o Macromedio AdminStudio (www.macromedia.com). Ambas son soluciones muy
completas de empaquetamiento. No son los únicos productos en el mercado, como descubrirá cuan-
do busque reempaquetamiento del Instalador de Windows en Internet, pero uno de los requisitos
previos para una solución estructurada es una herramienta que proporcione la misma funcionalidad
para el software comercial de reempaquetamiento y las aplicaciones corporativas de empaqueta-
miento que desarrolle internamente. Estos dos productos proporcionan esta funcionalidad.
SUGERENCIA Un recurso excelente para el empaquetamiento de MSI es la página de recursos de

MSI en App.Deploy.com en www.appdeploy.com/techhomes/windowsinstaller.asp.
Con mayor frecuencia, sus activos de software caerán en varias categorías:

• Software nativo del Instalador de Windows Este software incluye cualquier producto que
soporte el logotipo diseñado para Windows. Parte del requisito para el programa Logo es la
integración con el servicio Instalador de Windows. Lo más probable es que actualice una parte
del software de su red en este nivel. Esto debe incluir el software más popular en su red.
• Aplicaciones corporativas integradas con MSI Nuevas versiones de sus aplicaciones
corporativas deben estar integradas con el servicio Instalador de Windows.
• Software comercial reempaquetado Todos los productos que no están actualizados deben
reempaquetarse. En casi todas las organizaciones que emprenden este proceso, 99% del soft-
ware se ha reempaquetado para aprovechar el Instalador de Windows. Sólo productos como
controladores de dispositivos o aplicaciones que instalan controladores de dispositivos se
resistirán a la integración con el Instalador de Windows.
• Aplicaciones corporativas reempaquetadas Aplicaciones corporativas que no requieren
registro o actualizaciones que pueden reempaquetarse de la misma manera que el software
comercial.
Esta tarea requerirá esfuerzos considerables, pero es uno de los procesos de migración que
proporciona la mejor y más inmediata recuperación de la inversión.
SUGERENCIA Hoy en día, muchas organizaciones usan aplicaciones de virtualización en lugar

de integrar sus herramientas con el servicio Instalador de Windows. La virtualización de apli-
caciones proporciona una capa de protección que sirve como caja de arena para cada producto de
software cuando se implementa en un sistema. El software todavía se ejecuta e interactúa con el
sistema operativo, pero no hace cambios en el sistema de archivos ni en el registro, a diferencia del
software que se instala con el Instalador de Windows. En realidad, a menudo el software se inclu-
ye en la caché local con todas las ventajas que otorga la administración de ésta. Varios fabricantes
proporcionan herramientas de virtualización de aplicaciones. Tal vez la mejor fuente de infor-
mación sobre este método de administración de software se encuentra en los capítulos 6 y 7 de la
Deinitive Guide to Vista Migration en www.realtime-nexus.com/dgvm.htm.
Entrega de software en la red

El conjunto de servicios conocido antes como IntelliMirror incluía servicios de instalación de
software. Pero la instalación de software en la organización requiere mucho más de lo que puede
proporcionar la directiva de grupo. Un programa completo de instalación de software debe in-
cluir elementos como:
• Garantía de entrega Para garantizar que una instalación de software ha ocurrido antes de
un tiempo determinado. Esto es útil en implementaciones corporativas cuando versiones de
aplicaciones de software deben coincidir con depósitos de datos centrales.
• Calendarización Para controlar los tiempos de entrega en horas no laborales.
• Control de ancho de banda Para controlar el uso del ancho de banda y comprimir datos
cuando se envían en una red de área amplia (WAN, Wide Area Network).
• Inventario Para evaluar si los sistemas de destino tienen los recursos necesarios para insta-
lar y operar el software y mantener constancia del lugar en que se ha instalado el software.
• Estatus Para poder determinar el estatus de un trabajo de entrega de software a través de la
WAN a muchas regiones geográficas.
• Creación de informes Para poder generar informes completos de actividades.
• Medición de software Para poder determinar si los usuarios a los que envía software real-
mente lo necesitan.
Ninguna de estas características está disponible con entrega de software basada en directivas.
SUGERENCIA Ninguna de estas características está disponible como opción predeterminada con la
entrega de software basado en directivas, pero un fabricante, Special Operations Software (www.
specopssoft.com), ofrece extensiones de directivas de grupo que traen todas estas características
a la administración de software en ADDS, además de servicios completos de inventario. Aunque
estas características realmente son importantes por sí mismas, y deinitivamente debe investigar
sobre ellas si decide ejecutar instalaciones en sus sistemas, también ofrecen extensiones libres de
directivas de grupo. Por ejemplo, una de sus descargas gratuitas le permite activar los equipos
cuando están inactivos mediante el uso de las características Wake-on-LAN de sus sistemas.
Conceptos de implementación de software

Como GPO no da soporte a estas características, y como una organización no debe usar varios
procedimientos de entrega de software (recuerde la regla de procedimiento operativo estándar del
capítulo 3), tendrá que integrar un sistema de administración de software completo con sus Servi-
cios de dominio de Active Directory. La entrega de software en red significa tener la capacidad de
asegurar que un proceso sea repetible y que siempre dé el mismo resultado (vea la figura 7-12). En
un entorno operativo estándar, el proceso de entrega de software incluye los pasos siguientes:
1. Se preparan los nuevos paquetes de software y, una vez listos, se integran al depósito de acti-
vos de software. Este registro es la lista de origen único de todo el software autorizado. Todos
los archivos dentro del registro están en formato MSI.
2. El paquete de software se asigna a un grupo. Puede tratarse de usuarios o equipos. Con mayor
frecuencia, asignará software a equipos (sobre todo si su organización promueve PC asigna-
das a usuarios). La asignación de software a usuarios, especialmente en entornos donde los
usuarios van de una PC a otra, habilitará instalaciones y eliminaciones de software constantes.
Si es posible, asigne software a sistemas primarios de usuarios.
PARTE IV
SUGERENCIA La asignación de PC a usuarios: Windows hoy en día promueve la asignación de PC
a usuarios mucho más que los sistemas operativos heredados. Esto se debe a que todas las versio-
nes son compatibles ahora con el Escritorio remoto. El uso extenso de éste reduce en gran medida
la carga de trabajo de implementación de software porque sólo necesita instalar software en un
equipo principal del usuario. Luego, si el usuario necesita usar otro sistema, en lugar de entregar
el mismo producto de software a este sistema, puede habilitar Escritorio remoto en la PC primaria
del usuario. Por tanto, el usuario puede conectarse remotamente al sistema primario del otro sis-
tema. El Escritorio remoto le da al usuario acceso a todo en su sistema principal, usa poco ancho
de banda (porque es lo mismo que los servicios de Terminal Server) y reduce en gran medida la
necesidad de instalar varias veces el mismo producto.
3. El paquete se asigna a un depósito central de paquetes.

4. Se establece el calendario de entregas.
5. Se inicia la implementación del software.
6. El origen de la instalación se distribuye a todos los depósitos de instalación. Es un buen lugar
para usar el Sistema distribuido de archivos (DFS, Distributed File System), porque le permi-
te emplear un solo alias para todos los depósitos, dondequiera que estén. En el capítulo 8 se
cubrirá más sobre esto.
Actividades de implementación
Los paquetes de software se preparan e integran en

el depósito de activos de software de la corporación. Paquete
El paquete de software se asigna a un grupo

(usuarios o equipos).
El paquete se asigna a un depósito central de Depó-

paquetes. sito
Se establece un calendario de entregas.
Se inicia la implementación del software.
El origen de la instalación se distribuye a todos los

depósitos de instalación.
El código de instalación se almacena en la caché

local del sistema de destino.
El producto de software se instala en el sistema a

partir de la versión en caché.
La instalación de software actualiza un archivo de
registro de instalación local para el Escritorio de
ayuda y fines de rastreo de software.
La instalación de software devuelve un código de

terminación al sistema central de entrega de
software para validar una instalación correcta.
FIGURA 7-12 Proceso de entrega de software.
7. El código de instalación se incluye en la caché local del sistema de destino.

8. El producto de software se instala en el sistema a partir de la versión en caché. Se usa una
variable de entorno especial en el archivo MSI para asegurar que la corrección automática
funcionará sin importar dónde se localice el archivo de origen: en el sistema local, en un servi-
dor local o en un servidor remoto como una copia de seguridad.
9. La instalación del software actualiza un archivo de registro de instalación local para el escrito-
rio de ayuda y para fines de seguimiento de software.
10. La instalación de software devuelve un código de terminación al sistema central de entrega de
software para validar que se ha instalado de manera correcta.
Tenga en mente esto cuando diseñe su método de entrega de software.
Asignación de software
En cualquier organización, debe administrar software mediante asignaciones a usuarios o equi-
pos. Debe tener el objetivo de usar sistemas de entrega que se integren con el directorio lo más
posible, sobre todo con los grupos de seguridad global de ADDS. De esta manera, cualquier cam-
bio a los grupos globales realizado en Servicios de dominio de Active Directory se reflejará dentro
de su herramienta de entrega de software.
Además, WS08 le permite tratar las cuentas de máquina de modos muy parecidos a como
trata las de usuario. Uno de estos modos es la asignación de pertenencia a ciertos grupos, es-
pecialmente a los de seguridad global. Puede usar esta característica para administrar software
en sus PC. Para ello, necesita realizar de antemano unas cuantas actividades. Entre las que se
incluyen las siguientes:
• Inventario de todo el software en su red.
• Uso del concepto de kernel de software definido en el capítulo 3 para sus PC (el modelo PASS).
• Identificación de todo el software que no es de kernel.
• Reagrupación del software que no es de kernel en categorías: agrupamientos de software que
son los mismos para funciones dadas de TI dentro de la organización. Por ejemplo, los desa-
rrolladores Web siempre requieren FrontPage, Visio, CorelDRAW y Adobe Acrobat, además del
kernel. Estos cuatro productos se deben incluir en una categoría Desarrollador Web, pero no
en el kernel de la PC. Realice esto para todas las funciones de TI dentro de su organización.
• Creación de grupos de seguridad global para cada función dentro de Servicios de dominio de
Active Directory (el dominio Producción, por supuesto).
• Asignación de máquinas principales a cada usuario.
• Creación de un inventario que una a usuario, máquina principal y categoría de software para
cada usuario.
• Asignación de equipos en Servicios de dominio de Active Directory para grupos globales
apropiados.
Ahora está listo para administrar las entregas con base en ADDS.
Otro factor crítico para que este proceso funcione son las instrucciones de desinstalación
dentro del paquete de entrega del software. Esto es vital. El objetivo de este proceso es asegurar
que pueda mantener un estatus legal para todo el software que implementa. Si no incluye insta-
laciones de desinstalación en sus paquetes de entrega de software, el software que implemente
PARTE IV
no se eliminará automáticamente cuando una PC se elimine de un grupo que autorice la insta-
lación y el uso del software. Consulte la documentación de administración de sus sistemas para
instrucciones específicas de eliminación. La entrega basada en GPO de software lo elimina como
opción predeterminada cuando sale del ámbito de la administración.
Ahora está casi listo. Asegúrese de que sus colecciones de entrada están vinculadas con
grupos globales que creó en ADDS. Asegúrese de que son colecciones dinámicas, lo que signifi-
ca que siempre se actualizará y reasignará software a cualquier nuevo miembro de la colección.
Luego asigne paquetes de instalación de software a las colecciones apropiadas. Eso es todo.
Ahora su sistema de administración de software está listo. A partir de este momento, todo lo que
necesita hacer para entregar el software apropiado a un sistema es asegurar que se trata de un
miembro del grupo apropiado dentro de ADDS. Luego, si cambia la vocación de la PC, sólo debe
cambiar sus pertenencias de grupo. El sistema desinstalará automáticamente el software que ya
no es necesario e instalará el que pertenezca a una nueva vocación (vea la figura 7-13).
Legalidad y asignaciones de PC regionales

Esta estrategia es muy útil, sobre todo si tiene oficinas remotas. En muchas organizaciones, la ad-
ministración de asignaciones de PC en oficinas remotas es difícil porque no hay un proceso oficial
de asignación de PC. Por ejemplo, cuando se entrega una nueva PC poderosa para que la usen los
empleados con menos jerarquía, a menudo sucede que es “reasignada”por el personal local a otro
miembro del personal con más jerarquía. El empleado al que esta PC se destinó originalmente
FIGURA 7-13
Uso de grupos globales El equipo pertenece al grupo
para asignar software. global “Diseñador”
Configuración
de diseñador
La PC cambia de vocación
Diseñador Desarrollador Web
El técnico local cambia la

pertenencia de la PC
Configuración
de Diseñador
Técnico local
El sistema percibe que el grupo

cambia. Elimina las aplicaciones
de “Diseñador” y asigna
aplicaciones de “Diseñador Configuración de
Web” Desarrollador
Web
recibe otra PC que no tiene el software apropiado. Aunque hay problemas con este proceso, el prin-
cipal es que el hecho de que ninguna PC tiene cargado el software apropiado. Es una de las razones
por las que las organizaciones no siempre se amoldan a las directrices de uso del software legal.
La solución recae en el proceso de administración del software delineado antes. Vinculado con
el proceso de delegación, este sistema asegurará que aunque las vocaciones de PC se cambien, el
software apropiado siempre permanecerá en cada PC. Para resolver el problema, debe implementar
un proceso de asignación de PC. Debe incluir varios elementos diferentes, pero principalmente:
• La implementación del proceso de administración de software basado en los grupos de cate-
gorización de PC.
• La creación de una estructura de OU que coloque objetos regionales de PC dentro de una
unidad organizativa regional.
• La delegación de derechos específicos sobre objetos de PC para el personal técnico local. Estos
derechos deben incluir la capacidad de modificar las pertenencias de grupo de un equipo.
• La documentación del proceso de asignación de PC oficial.
• Un programa de capacitación formal para todo el personal técnico regional.
Ahora que el proceso es oficial, no hay razón para que se encuentren copias de productos de
software en sistemas que se han reasignado.
Complete la estrategia de OU
Allá vamos. Ahora está listo para completar su diseño de OU para la administración y el manejo de
la PC. Ha revisado los requisitos para la aplicación de directivas de grupo. Ha revisado los requisitos
para la delegación dentro de su organización. Y ha revisado los requisitos para la administración y el
manejo de PC. Debe tener todo a la mano para seguir adelante y finalizar su diseño de OU para la
administración de PC. Una vez que haya finalizado, puede implementarlo. En la siguiente sección
se le da un ejemplo basado en una estrategia de administración centralizada de PC.
SUGERENCIA Hay varios complementos gratuitos de los que puede depender para simpliicar la
administración de la PC. Un buen ejemplo es Specops Gpupdate, que es un complemento gratuito
para Usuarios y equipos de Active Directory que le permite reiniciar, apagar y reactivar los obje-
tos de equipos de LAN directamente mediante esta consola. Obtenga esta herramienta de: www.
specopssoft.com/products/specopsgpupdate.
Ponga en funcionamiento la infraestructura de la OU PC

La Corporación T&T está lista para implementar su infraestructura de unidad organizativa PC. Han
determinado que necesitan usar una estrategia de administración centralizada con delegación sólo
para técnicos centrales para tareas específicas, como asignación de pertenencias de grupo a PC para
entrega de software. En realidad, desean implementar el diseño de OU de PC que se delinea en la fi-
gura 7-7 en páginas anteriores de este capítulo. Para ello, necesitan realizar las siguientes actividades:
• Crear y documentar toda la estrategia de OU/GPO/delegación/administración para PC.
• Crear la estructura de OU usando Usuarios y equipos de Active Directory.
• Crear y documentar los GPO apropiados para cada equipo.
• Asignar la propiedad Bloquear herencia a las OU apropiadas.
• Delegar el nivel adecuado de autoridad para el personal técnico.
• Crear los grupos necesarios para la entrega de software.
Una vez que se haya completado cada una de estas tareas, la infraestructura para recibir
nuevas PC en la red paralela se pondrá en funcionamiento.
Para la primera actividad, puede usar las cuadrículas de información presentadas en el
PARTE IV
capítulo 5. Le ayudarán a documentar toda su estrategia de OU/GPO/delegación/administración
para PC. En el caso de su propia red, no proceda con los demás pasos hasta que haya completado
estas cuadrículas. No debe empezar a usar ninguna de estas características hasta que las haya
planeado por completo.
Para la segunda actividad, asegúrese de que está dentro del dominio Intranet.TandT.net e
inicie sesión con derechos de administración del dominio. Luego proceda de la siguiente manera:
1. Abra Usuarios y equipos de Active Directory en el Administrador del servidor.
2. Coloque el enfoque del cursor en el dominio. Luego haga clic con el botón derecho para crear
una nueva unidad organizativa a partir del menú contextual, o use la barra de herramientas de
la consola para hacer clic en el botón Nueva Unidad organizativa. Ambas opciones desplega-
rán el cuadro de diálogo Nuevo objeto - Unidad organizativa.
3. Escriba el nombre de la OU y haga clic en Aceptar. Use la opción de protección de eliminación
si tiene confianza en que su diseño es definitivo.
4. Las OU que debe crear aparecen en la lista de la tabla 7-2, en páginas anteriores de este capí-
tulo. Repita el proceso hasta que se haya creado cada OU. No se preocupe si crea una OU en
el lugar equivocado: todo lo que necesita hacer es arrastrarla al lugar correcto, porque WS08
permite la opción de arrastrar y colocar. Recuerde usar la hoja de propiedades de OU para
dejar de seleccionar la protección de eliminación, si necesita moverla y la activó al crearla. La
estructura resultante se ilustra en la figura 7-14.
FIGURA 7-14
Estructura de OU
de administración de PC.
Se requieren cinco GPO relacionadas con PC para la Corporación T&T. He aquí cómo crearlas:
1. Empiece por descargar la hoja de cálculo de GPO que Microsoft proporciona en su sitio Web.
2. Identifique todos los parámetros que necesita para cada GPO usando la información de la
tabla 7-3.
3. Documente por completo cada GPO.
4. Cuando esté listo, inicie sesión con credenciales de administrador de dominio, y lance la
GPMC. Haga clic con el botón derecho en la OU PC y seleccione Crear un GPO en este do-
minio y vincularlo aquí.
5. Asigne un nombre a la directiva, una vez más usando la información de la tabla 7-2. A esta
directiva se le llama GPO PC global. Haga clic en Aceptar.
6. Haga clic en el vínculo y luego en Aceptar como respuesta al mensaje de advertencia. Vaya a la
ficha Detalles en el panel de detalles y cambie el estado del GPO a Configuración de usuario
deshabilitada. Confirme su decisión.
7. Haga clic con el botón derecho en el vínculo de GPO para elegir Editar. Esto lanza el Editor de
directivas de grupo (GPEdit).
8. Use la tecla * de su teclado para expandir todas las subsecciones del objeto de directiva de
grupo. Regrese a la parte superior y recorra la directiva para modificar los parámetros apro-
piados. Por ejemplo, en este GPO deberá establecer los parámetros de Windows Update para
todas las PC. También puede establecer las características de administración de energía. Cierre
GPEdit cuando haya terminado.
9. Repita este proceso para cada GPO que necesite crear. Esto incluye GPO Escritorio global,
GPO Sistemas móviles global (en especial para configuraciones de seguridad), GPO Externas
global y el GPO PC de exhibición global (si es necesario agregue una mayor seguridad y habi-
lite bucle invertido).
10. A continuación, use la GPMC para seleccionar la OU PC | Externas | No administradas. Haga
clic con el botón derecho en esta OU y seleccione Bloquear herencia. T&T ha decidido dejar
todos los sistemas externos no administrados sin ninguna asignación de GPO importante.
Se requieren dos tareas más para completar la configuración de la OU PC: delegación de
autoridad y creación de grupos de consulta de software. Ambas son relativamente simples.
T&T ha decidido que la única tarea que delegará a técnicos es la capacidad de modificar
pertenencias a grupo para PC. Esto asegurará que podrán modificar la vocación de una PC cuan-
do se reasigne a un nuevo usuario. Una vez más, esto se hace mediante Usuarios y equipos de
Active Directory en el Administrador del servidor.
1. Lo primero que debe hacer es crear un grupo al que pueda delegar autoridad. No importa si
aún no sabe quién estará en él; todo lo que necesita es el grupo con los derechos de delega-
ción apropiados. Puede asignar miembros más adelante. Cree un grupo de seguridad global
llamado Técnicos de PC (local). Coloque éste en el nivel superior de la OU PC. Para ello, haga
clic con el botón derecho en la OU PC y seleccione Nuevo | Grupo. Asegúrese de que la op-
ción Global esté seleccionada (es la opción predeterminada), al igual que Seguridad y escriba
el nombre del grupo. Haga clic en Aceptar para crear el grupo.
2. Ahora, haga clic con el botón derecho en la OU PC y seleccione Delegar control del menú
contextual.
3. Siga los pasos proporcionados por el asistente. Agregue el grupo Técnicos de PC (local) y lue-
go haga clic en Siguiente.
4. Delegue una tarea personalizada y luego haga clic en Siguiente.
5. En la ventana Tipo de objeto de Active Directory, seleccione Sólo los siguientes objetos en la
carpeta, y seleccione la casilla de verificación Equipo objetos y luego haga clic en Siguiente.
6. Quite la marca de la casilla de verificación General y seleccione Específico de la propiedad.
Luego recorra la vista hacia abajo para seleccionar los valores apropiados. Los técnicos requieren
el derecho de leer casi todas las propiedades de objetos y el derecho de escribir pertenencias de
grupo. Use su juicio para aplicar derechos apropiados. Por ejemplo, sería útil que los técnicos
pudieran escribir descripciones para equipos que cambian de vocación, pero no sería buena idea
dejarlos cambiar el nombre del equipo. Tome nota de cada propiedad de seguridad que asigne.
7. Haga clic en Siguiente cuando haya terminado. Haga clic en Finalizar una vez que haya revi-
sado la lista de tareas del asistente.
La delegación está ahora completa, pero aún necesita crear una consola de delegación para
los técnicos. Use las instrucciones delineadas antes para la creación de la consola, y asegúrese de
establecer el enfoque para la consola en la OU PC. Almacene también la consola en la OU PC.
PARTE IV
Por último, use los servicios de Terminal Server para distribuir la consola entre los técnicos.
La actividad final para la estrategia de OU PC es la creación de grupos de seguridad finales
que corresponden a las categorías de software de su organización. Puede tener varias de éstas, pero
casi todas las organizaciones tratan de mantenerlas al mínimo. Si ha diseñado su kernel de PC
apropiadamente, entonces debe tener la capacidad de satisfacer una clientela grande con ella: todos
los usuarios genéricos o comunes, en realidad. Luego, sus categorías de software sólo incluyen los
sistemas que requieren software adicional. Este software debe agruparse por necesidades comunes.
Una organización que tiene más de 3 000 usuarios, por ejemplo, sólo usa nueve categorías de soft-
ware por arriba del kernel. Otra con 12 500 usuarios tiene 15 categorías, sobre todo porque están
distribuidas en todo el mundo y se requieren productos de software especiales en diferentes regio-
nes geográficas. Para crear sus grupos de categoría de software, use el siguiente procedimiento:
1. Lo primero que necesita hacer es crear los grupos. No importa si no sabe cuáles máquinas
estarán en este grupo aún; todo lo que necesita es el propio grupo. Puede asignar miembros al
grupo más adelante. Cree grupos de seguridad globales porque es más fácil trabajar con ellos
y permitir otras características.
2. Para ello, haga clic con el botón derecho en el objeto OU PC en el directorio, y seleccione
Nuevo | Grupo. Asegúrese de que están seleccionadas las opciones Global y Seguridad, y
luego escriba el nombre del grupo. Use nombres significativos para ambos nombres. Haga clic
en Aceptar para crear el grupo.
3. Repita todas las veces que sea necesario.
Su estructura de PC ahora estará en funcionamiento. Los grupos de equipos han creado

directamente en la OU PC, de modo que estarán sujetos a directivas de máquina.
Ahora, lo único que necesita es asegurar que las máquinas están colocadas dentro de la OU
apropiada y el grupo de categoría de software correcto cuando los integra en la red paralela.
La preparación de la estructura de OU antes de integrar nuevas máquinas en la red también
asegura que se administrarán en cuanto se unan a ella. Los errores se minimizan cuando se usa
este procedimiento, porque todo está listo antes de que la PC se integre a la red. A continuación,
puede empezar a revisar la manera de usar este mismo método para preparar la administración
de usuario dentro de su red.
Administre objetos de usuario con Servicios de dominio de Active Directory

Los objetos de usuario son especiales dentro del directorio. Después de todo, si no fuera por los
usuarios, no serían muy necesarias las redes, ¿verdad? En las redes tradicionales, como Win-
dows NT, los objetos de usuario se administran principalmente mediante los grupos a los que
pertenecen. Los grupos también están presentes en Servicios de dominio de Active Directory. En
realidad, es esencial tener una estrategia de administración de grupo completo dentro de su red
de WS08 si quiere tener la capacidad de administrar eventos relacionados con usuarios dentro de
él. Pero la administración de grupos no es ya el único requisito.
Como los equipos, los usuarios también se ven afectados por las directivas de grupo. La
estrategia de GPO que diseñe para usuarios complementará la estrategia de pertenencia a grupo
que pretenda usar. Al igual que con las PC, deberá tomar en consideración cómo y a quién dele-
gará algunas tareas administrativas, porque la administración de usuario es, por mucho, la carga
de trabajo más pesada del directorio. Cada una de estas estrategias sirve como entrada para el
diseño de su infraestructura de unidad organizativa de usuario.
Como se delineó en el capítulo 5, un objeto de usuario sólo puede estar contenido dentro de una
sola OU.Y ahora también sabe cómo la localización de una OU puede afectar al objeto de usuario
mediante la aplicación jerárquica de los objetos de directivas de grupo. También sabe ahora cómo
los GPO pueden filtrarse mediante el uso de grupos de seguridad. Aunque la cuenta de usuario sólo
puede estar dentro de una sola OU, puede incluirse dentro de una multitud de grupos. Debido a
esto, las OU suelen verse como medios para proporcionar administración de usuario vertical, mien-
tras que los grupos proporcionan administración horizontal. Lo ideal es que su estrategia de admi-
nistración de usuario tome en cuenta esta estructura de administración cruzada (vea la figura 7-15).
El objeto de usuario de Servicios de dominio de Active Directory

El objeto de usuario de Windows Server 2008 es muy parecido a su contraparte de Windows 2000,
pero muy diferente de su contraparte de Windows NT. Esto se debe a la naturaleza de un servicio
de directorio. Una de las funciones básicas de un servicio de directorio es almacenar información en
orden para ponerla a disposición de los usuarios, administradores e incluso aplicaciones. Mientras que
el objeto de usuario de Windows NT almacenaba básicamente el nombre del usuario, la contraseña y
las particularidades de la cuenta, el objeto de usuario de WS08 puede almacenar más de 200 propie-
dades. Muchas se generan automáticamente. No obstante, hay casi 100 propiedades que se pueden
establecer interactivamente para cada usuario. Los usuarios o las aplicaciones pueden emplear estas
propiedades para determinar quién más está en su organización y cuál debe ser su función. Determine
cuáles propiedades se administrarán y quién será responsable de cada una de ellas dentro de su red.
FIGURA 7-15
Relación de administración
cruzada entre OU y grupos.
Unidad organizativa:
Ámbito vertical
Grupo 1 Grupo 2
Grupos:
Ámbito horizontal
Intranet. TandT.net
Por fortuna, podrá delegar unas cuantas de estas propiedades en otro personal. Debido a que
muchas de las propiedades de usuario tienen que ver con su ubicación dentro de la organización,
tiene sentido dejar que los usuarios administren muchas de sus propiedades particulares dentro
del directorio. También es probable que tenga varios niveles administrativos dentro de su organi-
zación. Los relacionados con el sistema se cubrirán en los capítulos 8 y 9. Los relacionados con el
usuario se cubren aquí. Las tareas administrativas se cubrirán en el capítulo 13.
SUGERENCIA Como opción predeterminada, los usuarios tienen acceso a varias propiedades de su
objeto de usuario en el directorio. La mejor manera de encontrar cuáles son éstas consiste en revisar
el directorio de su propia cuenta desde su escritorio y luego ver cuáles propiedades puede cambiar y
cuáles no. Mientras que en XP busca Active Directory mediante la herramienta general Buscar, en
Vista el motor de búsqueda de Active Directory está ahora localizado en el Centro de redes.
PARTE IV
Comparación entre User e InetOrgPerson
Servicios de dominio de Active Directory incluye dos clases de objeto de usuario: User e InetOrg-
Person. El objeto de clase User es el objeto de usuario tradicional que suelen emplear las orga-
nizaciones cuando se diseñan infraestructuras de red de Windows. En la parte de la intranet de
su red, debe concentrarse en el objeto de usuario. Si migra los objetos de usuario de una red
existente de Windows a WS08, las cuentas de usuario se crearán con la clase de objeto User.
InetOrgPerson es una clase de objeto que se encuentra en las implementaciones estándar
del protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol). Y
se ha agregado a ADDS para proporcionar mejor compatibilidad con estas implementaciones.
En LDAP, se usa para representar personas que están relacionadas de alguna manera con una
organización. En WS08, es casi exactamente lo mismo que el objeto de clase User porque deriva
de esta clase. En realidad, en el modo funcional del bosque de WS08, el objeto InetOrgPerson se
vuelve un principal completo de seguridad, habilitando el objeto que habrá de relacionarse con
una contraseña, de la misma manera que un objeto de usuario estándar. InetOrgPerson se usa en
varias implementaciones de directorio de LDAP y X.500 de terceros y se proporciona en WS08
para facilitar migraciones de estos directorios a Servicios de dominio de Active Directory.
Las implementaciones de Windows Server 2008 tienden a concentrarse en el objeto de
usuario en lugar del objeto InetOrgPerson. Pero si necesita integrar una aplicación de directorio
que requiera el uso de este objeto, o si trata de usar Servicios de dominio de Active Directory
dentro de su extranet con socios que hospedan otros servicios de directorio, le resultará muy útil
la adición de este objeto de clase.
PRECAUCIÓN En implementaciones iniciales de Servicios de dominio de Active Directory con

Windows 2000 o Windows Server 2003, las personas implementaban ADDS en extranets o redes
perimetrales. Con Windows Server 2008, debe depender de los Servicios federados de Active
Directory (ADFS, Active Directory Federated Services) para dar a las personas acceso a las
extranets. ADFS usa partes comunes de Internet para depender de los directorios internos de cada
socio para autentiicación. Esto es mucho más seguro que implementar ADDS en una zona que
no puede comprometerse. ADFS se cubre en el capítulo 10.
Ambos tipos de objetos, User e InetOrgPerson, se crean del mismo modo. Interactivamente,
pueden crearse mediante el uso del comando Nuevo en el menú contextual o los botones de la
barra de herramientas dentro de la parte Usuarios y equipos de Active Directory del Administra-
dor del servidor. Debido a que ambos tipos de objeto son muy similares, se debe concentrar en la
clase de objeto del usuario.
El objeto de clase contacto

Existe un tercer objeto parecido al usuario dentro de ADDS. Es la clase de objeto de contacto. Este
objeto es una subclase del objeto de usuario. Sin embargo, no es un principal de seguridad. Se usa,
sobre todo, como una dirección de correo electrónico y puede, por tanto, usarse para fines de comu-
nicación. El objeto de contacto incluye menos de la mitad de las propiedades del objeto de usuario.
Los contactos pueden incluirse dentro de grupos en el directorio, pero como no son prin-
cipales de seguridad no se les pueden asignar permisos o derechos de usuario. La creación
de contactos es igual a la de objetos User o InetOrgPerson. La creación se realiza dentro de la
consola Usuarios y equipos de Active Directory, y se hace principalmente con un clic con el botón
derecho y el comando Nuevo.
Los contactos se usan principalmente para almacenar información acerca del personal fuera de
su organización, porque necesita un medio para ponerse en contacto con ellos, pero no requieren
acceso a recursos internos. Es posible administrar más de 30 parámetros para cada contacto.
Hojas de propiedades del objeto User

Como ya se mencionó, el objeto de usuario de WS08 incluye más de 200 propiedades diferentes;
de ellas, es posible administrar casi 100. Una de las actividades que necesitará realizar durante la
fase de planeación de su directorio WS08 es identificar cuáles de estas propiedades quiere admi-
nistrar, quién será responsable de la administración de los valores para cada propiedad y cómo se
integrarán estas propiedades con sus otras bases de datos de administración de identidad dentro
de su organización. Si determina que ADDS será la base de datos host para algunos valores de
datos primarios relacionados con el usuario dentro de su organización, debe asegurar que estos
valores siempre estén actualizados y protegidos y sean recuperables.
En realidad, es muy posible que decida que ADDS es el origen principal de los datos de
usuario dentro de la organización, porque se replica de manera constante y está disponible para
todos los miembros de la organización en todas las ubicaciones. Sin embargo, recuerde que la
replicación de ADDS incluye la latencia. Esto significa que no debe almacenar datos que sean de
naturaleza temporal dentro del directorio. Por ejemplo, puede almacenar el número telefónico de
la oficina en el directorio, porque es posible que otros usuarios dentro de su red no lo necesiten
de inmediato si cambia. Pero no debe almacenar la lista de precios de la empresa en el directorio,
sobre todo si la latencia de replicación es importante, porque significa que cuando cambia un
precio, algunos usuarios tendrán acceso al precio anterior (aún no ha ocurrido la replicación) y
algunos tendrán acceso al nuevo precio (ya ocurrió la replicación). En el mejor de los casos, esto
llevaría a clientes insatisfechos. En el peor, llevaría a posibles pérdidas para la empresa.
Además, es probable que decida que el directorio es el lugar apropiado para almacenar
direcciones y números telefónicos de empleados, pero no la dirección de la casa del empleado ni
otra información personal, porque los usuarios pueden buscar en el directorio. Usted mismo tal
vez no quiera que otros empleados le telefoneen a casa para molestarlo con preguntas sobre el
trabajo. Por otra parte, su organización debe tener esta información, pero como es de naturaleza
privada, lo más probable es que se administre dentro de la base de datos de recursos humanos.
La primera base de datos puede tener un vínculo con ADDS para permitirle compartir informa-
ción con el directorio. De manera similar, las bases de datos de administración de activos ten-
drían un vínculo con ADDS para compartir información de los recursos del equipo.
En la tabla 7-4 se muestra una lista completa de los atributos predeterminados que se pro-
porcionan para el objeto de usuario. También presenta una lista de recomendaciones de atributos
que deben considerarse como valores principales dentro de su organización. Se identifican tres
niveles de responsabilidad para la administración de atributos:
• Usuario (U) El usuario debe ser responsable de actualizar esta información en el directorio.
• Representante de usuario (RU) Debe asignarse un representante de usuario para actuali-
zar información para grupos de usuarios. En sitios más pequeños, un administrador puede ser
responsable de estos valores.
• Administrador (A) Los valores administrados en este nivel son parte de las tareas de admi-
nistración normal del sistema.
PARTE IV
Si no es necesaria la administración de atributos, ya sea porque el sistema los administra au-
tomáticamente o porque no es un valor importante que se deba incluir en el directorio, también
se indica (marcado como NN, de no necesaria).
Por último, muchos de los campos del cuadro de diálogo Usuario vienen de Windows NT y
se proporcionan para ayudar a los administradores a hacer la migración a Windows Server 2008.
Muchos de ellos están diseñados para requerir modificaciones específicas por usuario. Pero en
una red que cuenta con varios miles de usuarios, la administración por usuario de atributos como
Ubicación del perfil de usuario u Opciones del servicio Terminal Server es complicado, por decir
lo menos. En esta tabla también se identifican cuáles valores pueden administrarse mediante
GPO en lugar de la hoja de propiedades del usuario.
NOTA Para ver cada uno de los valores de la tabla, debe habilitar la opción Características avanza-
das, en el menú Ver de la consola.
Como se observa, varios de los campos están en formato de texto libre. Cuando permite que
los usuarios actualicen sus propios datos, verá que no hay control de calidad sobre la entrada
de datos en ADDS. Los usuarios pueden ingresar números telefónicos usando puntos, pueden
olvidar la adición de su código de área, incluso pueden ingresar más de un número en el campo,
¿Valor ¿Equivalen- Responsa- Comentarios

Ficha Elemento Tipo de campo primario? te de GPO? bilidad adicionales
General Nombre Texto libre Sí RU
Iniciales Texto libre Sí RU
Apellidos Texto libre Sí RU
Nombre para mostrar Texto libre Sí RU
Descripción Texto libre Sí RU
Oicina Texto libre Sí U
Número de teléfono Texto libre Sí U Más de un valor posible
Correo electrónico Texto libre Sí RU
Página Web Texto libre Sí RU Más de un valor posible
Dirección Calle Texto libre Sí U
Apartado postal Texto libre Sí U
Ciudad Texto libre Sí U
Estado o provincia Texto libre Sí U
Código postal Texto libre Sí U
País o región Cuadro de lista Sí U
Cuenta Nombre de inicio de Texto libre Sí RU Asociado con el suijo
sesión de usuario UPN
Nombre de inicio de Texto automá- Sí RU Asociado con el nombre
sesión de usuario tico (modiica- de dominio NetBIOS
(anterior a Windows ble)
2000)
Horas de inicio de Botón RU Otro cuadro de diálogo
sesión
Iniciar sesión en Botón RU Otro cuadro de diálogo
Opciones de cuenta: Cuadro de lista RU/A Aunque todas las opcio-
El usuario debe cam- nes tienen casillas de
biar la contraseña en veriicación, algunas de
el siguiente inicio de estas opciones son mu-
sesión tuamente excluyentes
El usuario no puede
cambiar la contraseña
La contraseña nunca
caduca
Almacenar contrase-
ña utilizando cifrado
reversible
Cuenta deshabilitada
La tarjeta inteligente
es necesaria para
iniciar sesión
La cuenta es impor-
tante y no se puede
delegar
Usar tipos de cifrado
DES de kerberos para
esta cuenta
TABLA 7-4 Propiedades de objeto de usuario


Esta cuenta admite ci-
frado AES de Kerberos
de 128 bits
Esta cuenta admite ci-
frado AES de Kerberos
de 256 bits
No pedir la autentii-
cación de Kerberos
previa
La cuenta caduca: Botones de RU Se usa para establecer la
Nunca opción fecha de término de una
Fin de cuenta
Peril Peril de usuario: Texto libre Sí RU La asignación de una
Ruta de acceso al ruta de peril convierte
peril automáticamente el peril
Script de inicio de de usuario en uno de
sesión roaming
Carpeta particular: Botón de Sí RU El uso del valor %nom-
Ruta de acceso local opción y texto breusuario% con el UNC
Conectar libre apropiado creará auto-
Botón de máticamente la carpeta
opción, cuadro personal
de lista y texto
libre
Teléfonos Números de teléfono: Texto libre Sí, pero no U Puede asignarse más de
Domicilio para casa un valor a cada atributo
Localizador
PARTE IV
Móvil
Fax
Telef IP
Notas Texto libre U
Organiza- Puesto Texto libre Sí RU
ción
Departamento Texto libre Sí RU
Organización Texto libre Sí RU
Administrador: Otro cuadro de Sí RU Se usa para construir un
Nombre diálogo organigrama virtual dentro del
Cambiar directorio
Propiedades
Borrar
Supervisa a Texto automático Sí RU Asociado con el administrador
Entorno Iniciando el programa: Casilla de veri- Sí RU Relacionado con los servicios
Iniciar el programa si- icación y texto de Terminal Server
guiente al iniciar la sesión libre
Nombre del archivo de
programas
Iniciar en
TABLA 7-4 Propiedades de objeto de usuario (Continuación)

Tipo de ¿Valor ¿Equivalen- Respon- Comentarios

Ficha Elemento campo primario? te de GPO? sabilidad adicionales
Dispositivos de cliente Casilla de Sí RU
Conectar las unidades veriicación
del cliente al iniciar la
sesión
Conectar la impresora
del cliente al iniciar la
sesión
Establecer impresora
principal del cliente
como predeterminada
Sesiones Finalizar una sesión Cuadro de lista Sí RU Relacionadas con los ser-
desconectada vicios de Terminal Server
Límite de sesión Cuadro de lista Sí RU
activa
Límite de sesión Cuadro de lista Sí RU
inactiva
Cuando se alcanza el Botones de Sí RU
límite de una sesión o opción
se pierde la conexión
Desconectar de la
sesión
Terminar la sesión
Permitir volverse a Botones de Sí RU
conectar opción
De cualquier cliente
Sólo del cliente
creador
Control Habilitar el control Casilla de Sí RU Relacionado con los servi-
remoto remoto veriicación cios de Terminal Server
Requerir el permiso Casilla de Sí RU
del usuario veriicación
Nivel de control
Ver la sesión del
usuario
Interactuar con la
sesión
Peril de Peril de usuario de Texto libre Sí RU Relacionado con los servi-
servi- los Servicios de Termi- cios de Terminal Server
cios de nal Server
Terminal Ruta de acceso al
Server peril
Carpeta principal de Botones de Sí RU
Servicios de Terminal opción, texto
Server libre y cuadro
Ruta de acceso local de lista
Conectar


Denegar permiso de Casilla de Sí RU
inicio de sesión en veriicación
Terminal Server a este
usuario
COM+ Conjunto de particio- Cuadro de lista A Relacionado con la parti-
nes ción de COM+
Certiica- Emitido por Sí A Relacionado con certiica-
dos publi- Emitido para ines dos X509
cados determinados
Caducidad
Ver certiicado
Agregar del almacén Otro cuadro de A
Agregar desde archivo diálogo
Quitar
Copiar a archivo
Miembro Miembro de Texto auto- RU Asociado con el nombre
de Agregar mático y otro de dominio o del bosque
Quitar cuadro de
diálogo
Grupo principal RU Relacionado con clientes
Establecer grupo Macintosh o aplicación
principal compatibles con POSIX
Marcado Permiso de acceso a Botones de Sí A Relacionado con el acce-
redes opción so de marcado telefónico
Permitir acceso a redes y protección de
Denegar acceso acceso a redes; debe
Controlar acceso a combinarse con la directi-
PARTE IV
través de la directiva va de acceso a redes.
de red NPS
Comprobar el Id. de Casilla de Sí A Requiere equipo especial
quien llama veriicación y
texto libre
Opciones de devolu- Casillas de Sí A Para tener una conexión
ción de llamada veriicación y más segura
Sin devolución de texto libre
llamada
Establecido por quien
llama (sólo Servicios
de enrutamiento y
acceso remoto)
Siempre devolver la
llamada a
Asignar direcciones IP Casilla de Sí A Se usa si no está disponi-
estáticas veriicación y ble DHCP para RAS
Direcciones IP está- otro cuadro de
ticas diálogo


Aplicar rutas estáticas Casilla de Sí A
Deinir rutas para veriicación y
habilitar en esta co- botones de
nexión de marcado opción
Objeto Nombre canónico de Texto automá- Sí NN Asociado con el dominio
objeto tico
Clase de objeto Texto automá- Sí NN
Creado tico
Modiicado
Números de secuen-
cias actualizadas
(USN)
Actual
Original
Protejer Casilla de veriicación Establece una política de
objeto de no cambio al objeto
elimina-
ción acci-
dental
Seguridad Nombres de grupos o Cuadro de lista A Controla los permisos de
usuarios y otro cuadro acceso a este objeto
Agregar de diálogo
Quitar
Permisos de Usuarios Cuadro de lista A No modiique las opciones
autentiicados y otro cuadro predeterminadas, a me-
Opciones avanzadas de diálogo nos que sea necesario
Replica- Controladores de do- Cuadro de lista A Presenta una lista de las
ción de minio de sólo lectura y otro cuadro ubicaciones en que se
contrase- Propiedades de diálogo almacena en caché la con-
ña traseña de este usuario en
controladores de dominio
de sólo lectura (RODC), si
existen en su directorio.
Editor de Editar Cuadro de lista A Se usa para editar cual-
atributos Filtro y otro cuadro quier valor que esté unido
de diálogo a una cuenta de usuario
pero que no tiene un equi-
valente de interfaz gráica.
y ADDS aceptará la entrada. El soporte a este tipo de modificación no lleva al tipo de entrada de
información de estandarización requerida en su red.
Una de las mejores maneras de permitir que los usuarios administren sus propios datos
consiste en proporcionarles una página Web de intranet que les dé la posibilidad de localizar
su nombre en ADDS y modificar elementos como su dirección y número telefónico, números
telefónicos adicionales y otra información personal (vea la figura 7-16). Esta página Web puede
PARTE IV
FIGURA 7-16 Página de intranet de administración de datos de usuario.
autentificarlos a medida que llegan (usando las capacidades de single sign-on de WS08 e Inter-
net Information Server), validar que la información que ingresan está en el formato apropiado y
actualizar automáticamente el directorio cuando se complete. Esta página Web puede diseñarse
fácilmente empleando la Interfaz de servicios de Active Directory (ADSI, Active Directory Servi-
ces Interface) y reglas simples de validación de contenido para asegurar que todos los valores se
ingresaron en un formato estándar. Observe que toda la parte de la dirección puede controlarse
aún más mediante el uso de listas desplegables, porque pueden presentarse las opciones para
cada dirección y otros campos, como estado o provincia, código postal, etcétera, pueden llenarse
automáticamente cuando se selecciona la dirección. Esto elimina la posibilidad de errores cuando
los usuarios actualicen su propia información.
La administración de valores y atributos es parte de la evolución de su red, una vez que su
estructura de Servicios de dominio de Active Directory opere por completo.
SUGERENCIA Namescape ofrece una versión gratuita para la comunidad de su producto rDirec-
tory, que le permite construir páginas para servicio propio como la ilustrada aquí. Descárguelo de
www.namescape.com.
Cree objetos de usuario

La creación de una cuenta de usuario es simple. Use el comando Nuevo en el menú contextual o
use el icono Nuevo usuario en la barra de herramientas de la consola Usuarios y equipos de Ac-
tive Directory. Una vez que se activa el usuario, se despliegan dos paneles principales. El primero
trata con los nombres de cuenta. Aquí establece el nombre completo y el nombre para mostrar
del usuario, su nombre de inicio de sesión o su nombre principal de usuario (UPN, User Principal
Name) y su nombre de inicio de sesión de nivel inferior.
NOTA El UPN usa el mismo formato que una dirección de correo electrónico. Al nombre de inicio
de sesión de nivel inferior también se le denomina “nombre anterior a Windows 2000”. Es, en
realidad, el nombre usado por el Administrador de cuentas de seguridad de Windows Server 2008
y proporciona compatibilidad de bajo nivel o hacia atrás para sistemas operativos anteriores a
Windows 2000.
En la siguiente pantalla se trata de las restricciones de contraseña y cuenta. Escriba la con-

traseña predeterminada del usuario y seleccione la casilla de verificación El usuario debe cambiar
la contraseña en el siguiente inicio de sesión. Si el usuario no está listo para tomar posesión in-
mediata de la cuenta, entonces también debe seleccionar la opción La cuenta está deshabilitada.
También puede establecer una contraseña que nunca expire, además de establecer que el usuario
no puede cambiar la contraseña. Ambas suelen establecerse para cuentas que no son de usuario
(diseñadas para operar servicios o cuentas del sistema).
Windows Server 2008 soporta dos tipos de nombres de inicio de sesión: el UPN y el
nombre de inicio de sesión de nivel inferior. El primero se relaciona con el nombre de inicio de
sesión de Windows NT que da a sus usuarios. Si está migrando del entorno de Windows NT,
asegúrese de usar la misma estrategia de nombre de nivel inferior (a menos que haya razones
de peso para cambiar esta estrategia). Los usuarios estarán familiarizados con ella y podrán se-
guir usando el nombre de inicio de sesión con el que estén más familiarizados. Los nombres de
inicio de sesión de nivel inferior suelen usarse con más frecuencia dentro del mismo dominio
de WS08.
Nombres principales de usuario

Si sus usuarios deben navegar de dominio a dominio o de bosque a bosque debe hacer que se
acostumbren a usar su nombre principal de usuario. El UPN suele estar compuesto por el nom-
bre de usuario y un sufijo integrado por el dominio o bosque en que iniciaron sesión. Muchas
organizaciones tienden a usar la dirección de correo electrónico del usuario como UPN. Por
supuesto, su directorio interno no estará usando el mismo nombre ni la misma extensión que
su presencia externa Web. Por ejemplo, tal vez tenga un nombre de bosque que esté basado en
una extensión NET y su nombre externo puede estar basado en una extensión COM. Si éste es el
caso, necesita modificar el sufijo UPN predeterminado que se despliega cuando se crean cuentas
para que puedan coincidir con el nombre externo en la red interna.
FIGURA 7-17
Uso de otros suijos
UPN.
Esto se hace mediante la consola Dominios y confianzas de Active Directory.

1. Lance la consola Dominios y confianzas de Active Directory. Use el menú Iniciar|Herramientas
administrativas.
2. Haga clic con el botón derecho en Dominios y confianzas de Active Directory y seleccione
Propiedades.
3. En la ficha Sufijo UPN, escriba el nuevo sufijo y haga clic en Agregar.
PARTE IV
4. Escriba todos los sufijos que sean necesarios. No necesita más que uno si su bosque sólo tiene
un árbol. Si tiene más de un árbol en su bosque, requerirá más sufijos. Haga clic en Aceptar
5. Cierre la consola Dominios y confianzas de Active Directory.
6. Ahora se desplegará el nuevo sufijo en el cuadro de diálogo Nombre de inicio de sesión de
usuario y puede asignarse a usuarios (vea la figura 7-17).
Tenga cuidado con la manera en que usa los sufijos UPN. La eliminación de un sufijo UPN
que está en uso causará que los usuarios no puedan iniciar sesión en él. Pero WS08 le dará un
aviso cuando realice esta operación.
Cuentas predeterminadas de WS08

WS08 instala varias cuentas predeterminadas cuando crea su primer controlador de dominio.
Esto es similar a las cuentas predeterminadas creadas en cualquier estación de trabajo o servido-
res miembros, con la excepción de una cuenta en particular. Incluyen:
• Administrador Es la cuenta global de administración para el dominio. Debe cambiarse el
nombre mediante un GPO y bloquearse. Asigne una contraseña fuerte a esa cuenta. Todas las
actividades de administración de dominio deben realizarse mediante cuentas que sean copias
de la principal. Otras tareas de administración deben realizarse mediante cuentas que tengan
permisos específicos para los servicios que deben administrar.
• Invitado Esta cuenta está deshabilitada, como opción predeterminada, y no es parte del
grupo Usuarios autentificados. Está diseñada para permitir el acceso a los invitados a su red.
Sin embargo, el acceso a los invitados ya no es popular. Siempre es mejor crear cuentas de
acceso limitado y habilitarlas de acuerdo con las necesidades.
• krbtgt Es la Cuenta del servicio del centro de distribución de claves. Está deshabilitada
como opción predeterminada y sólo se usa cuando pone una PKI en funcionamiento dentro
de su dominio.
Estas cuentas también se encuentran en sistemas locales, excepto la krbtgt, porque una
infraestructura de clave pública de Windows requiere un dominio para que funcione. Observe
que la cuenta de administrador integrada está deshabilitada como opción predeterminada en
Windows Vista.
Estas cuentas predeterminadas están localizadas dentro del contenedor Users en ADDS.
Ficha del cuadro de diálogo Valores retenidos

de propiedades de usuario
General Ninguno
Dirección Todo, excepto el domicilio
Cuenta Horas de inicio de sesión
Iniciar sesión en
El usuario debe cambiar la contraseña en el siguiente inicio de sesión
Cuenta deshabilitada
La contraseña nunca caduca
El usuario no puede cambiar la contraseña
Peril Todo, excepto la ruta del peril y la carpeta de inicio, ha cambiado para rele-
jar el nuevo nombre de usuario
Teléfonos Ninguno
Organización Todo, excepto el puesto
Entorno Ninguno; la cuenta se restablece a los valores predeterminados
Sesiones Ninguno; la cuenta se restablece a los valores predeterminados
Control remoto Ninguno; la cuenta se restablece a los valores predeterminados
Peril de servicios de Terminal Server Ninguno; la cuenta se restablece a los valores predeterminados
COM+ Ninguno
Certiicados publicados Ninguno
Miembro de Todo
Marcado Ninguno; la cuenta se restablece a sus valores predeterminados
Seguridad Todo
Replicación de contraseña Ninguno
FIGURA 7-5 Retención de atributos en cuentas de plantilla.

Use cuentas de plantilla

La manera ideal de crear una cuenta es mediante una plantilla. Las cuentas de plantilla han
tenido soporte en redes de Microsoft desde las primeras versiones de Windows NT y lo tienen en
Windows Server 2008. Sin embargo, hay algunas diferencias importantes.
Para crear una cuenta de plantilla, debe usar el proceso de cuenta de usuario estándar, pero
debe asignar diferentes propiedades a la cuenta. Por una cosa, la cuenta de plantilla siempre debe
estar deshabilitada: no está diseñada para uso regular; está diseñada para que sea la base de la
creación de otras cuentas. Para ello, simplemente necesita copiar la cuenta de la plantilla. WS08
lanza el Asistente para cuenta nueva y le permite asignar un nuevo nombre y una nueva con-
traseña mientras retiene varias de las propiedades de la cuenta de la plantilla. Las propiedades
retenidas se delinean en la tabla 7-5.
NOTA Los elementos de la página de propiedades del peril sólo se retendrán apropiadamente si la
coniguración usada para crear la ruta del peril y la carpeta de inicio de la cuenta de la plantilla
se realizó con la variable %nombredeusuario% (es decir, utilizando un UNC más la variable, por
ejemplo: \\servidor\nombrederecursocompartido\%nombredeusuario%).
Además, como puede ver, muchas opciones están restablecidas a sus valores predeterminados.
Ésta es una excelente justiicación para el uso de GPO que controlen estos parámetros, porque
tiene que modiicarlos cada vez que una nueva cuenta se crea a partir de la cuenta de la plantilla.
Las cuentas de plantilla son idealmente adecuadas para delegar la creación de cuentas. El
diseño de una cuenta de plantilla para un representante de usuario y la delegación del proceso de
creación de cuenta basada en copias de ésta en lugar de la creación de una nueva desde cero ase-
gura que sus estándares corporativos se mantengan aunque delegue esta actividad.
PARTE IV
Administración masiva de usuarios
Windows Server 2008 ofrece varias mejoras en relación con la capacidad de administrar varios
objetos a la vez. Por ejemplo, puede seleccionar varios objetos y arrastrarlos y colocarlos de un
lugar a otro dentro del directorio debido a que esta funcionalidad es soportada en las consolas
ADDS.
PRECAUCIÓN Siempre recuerde proteger los atributos de la eliminación accidental. Si no puede

mover un objeto, es porque está protegido.
También puede seleccionar varios objetos y modificar algunas de sus propiedades al mismo
tiempo. Por ejemplo, puede seleccionar varios objetos de usuario y modificar su descripción en un
paso. Use este procedimiento para mover varias cuentas a la vez, habilitarlas o deshabilitarlas, agre-
garlas a un grupo, enviarlas por correo electrónico y usar funciones estándar de cortar y pegar.
Pero cuando necesita realizar tareas de administración masiva de usuarios (es decir, modi-
ficar los parámetros para gran cantidad de usuarios), es mejor que use secuencias de comandos.
WS08 es compatible con el conjunto de herramientas Windows Scripting Host (WSH) y el entorno
PowerShell (excepto en Server Core). WSH incluye la capacidad de crear y ejecutar secuencias de
comandos en Visual Basic Script (VBS) o Java Script. Además, con el uso de ADSI y WMI puede
crear trabajos verdaderamente poderosos que realicen modificaciones masivas. PowerShell también
ofrece importantes capacidades de creación de secuencias de comandos, pero su uso es más simple
que el de WSH. Se cubre más sobre la creación de secuencias de comandos en el capítulo 13. Pero
por ahora es importante que comprenda que para las tareas de administración masiva de usuarios,
lo más probable es que quiera usar herramientas de creación de secuencias de comandos.
SUGERENCIA El TechNet Scripting Center proporciona información útil y ejemplos de código para
generar secuencias de comandos para diversos propósitos. Para generar secuencias de comandos
con ADSI, se ofrece una interfaz gráica gratuita para creación de comandos, ADSI Scriptomatic,
que se encuentra en www.microsoft.com/technet/scriptcenter/tools/admatic.mspx.
Cuando se trata de crear una gran cantidad de usuarios, encontrará que hay varias herra-
mientas diferentes que pueden usarse para ayudarle en estas situaciones. Algunas de las más
importantes son:
• ClonePrincipal Una serie de secuencias de comandos de VBS que copia cuentas de NT a
WS08.
• AddUser Una secuencia de comandos de VBS que agrega usuarios encontrados en una hoja
de cálculo Excel al directorio.
• Herramienta de migración para Active Directory (ADMT) Migra usuarios de directorios
heredados de Windows a WS08. Incluye migración de contraseñas.
También hay herramientas de terceros que proporcionan esta funcionalidad. Su ventaja es
que proporcionan capacidades completas de creación de informes mientras migran o crean gran-
des cantidades de usuarios.
Administre y maneje grupos

Los objetos de usuario se crean dentro del directorio por diversas razones. Una de las más importan-
tes es la asignación de permisos dentro del directorio, además de permisos para acceder a objetos fue-
ra del directorio, como colas de impresión y carpetas de archivos. Los permisos se asignan mediante
el uso de grupos. En realidad, una de las primeras mejores prácticas que aprende en cualquier entorno
de red es que nunca debe asignar permisos a usuarios individuales; siempre asígnelos a grupos.
Es simple; la asignación de permisos es una tarea compleja. Si asigna permisos a un usuario
y al día siguiente surge otro usuario que requiere los mismos permisos, tiene que empezar desde
cero porque no puede copiar los permisos de una cuenta de usuario a otra. Pero si asigna permi-
sos a un grupo, aunque sólo haya una persona dentro del grupo, y otro usuario llega solicitando
los mismos permisos, todo lo que necesita es colocar al nuevo usuario dentro del grupo.
Por otra parte, esta estrategia sólo funciona si tiene documentación completa acerca de
cada uno de los grupos que conforman su directorio. Es fácil incluir usuarios en un grupo exis-
tente si creó el grupo ayer y hoy alguien requiere los mismos derechos. Pero si creó el grupo el
año pasado y algunos requieren los mismos derechos hoy, hay posibilidades de que recuerde
que existía el grupo original. Este problema se vuelve más complejo cuando la administración
de grupos está distribuida. Podría recordar por qué creó un grupo, pero otros administra-
dores de grupo dentro de su organización no tendrán ni idea de que existe el grupo a menos
que encuentre una manera de indicárselos. Además, pueden producirse ID de seguridad (SID,
Security ID) huérfanos, cuando los usuarios se eliminan de ADDS y sus fichas aún se aplican
individualmente a objetos de seguridad.
Eso suele llevar a la proliferación de grupos dentro de la organización. He aquí por qué:
Admin 1 crea un grupo para un fin específico. Admin 1 coloca usuarios dentro del grupo. Admin
2 viene un poco después con otra solicitud de los mismos derechos. Admin 2 no sabe que ya se
ha creado el grupo Admin 1. Así, sólo para estar seguros, Admin 2 crea un nuevo grupo para el
mismo fin, y así se sigue. Casi toda las organizaciones que no tienen un método estructurado
para la administración de grupos encontrarán que cuando migran a Windows Server 2008, deben
realizar una racionalización extensa del grupo (inventariar todos los grupos, descubrir quién es
responsable del grupo, saber el objetivo del grupo, conocer si aún es necesario, etc.). Si no se
encuentran respuestas a estas preguntas, entonces el grupo es un buen candidato para la racio-
nalización.
La mejor manera de evitar este tipo de situación es documentar todos los grupos todo
el tiempo y asegurarse de que esta documentación se comunica a todo el personal afectado.
ADDS proporciona la solución ideal. La administración del grupo ADDS está simplificada
porque el objeto del grupo da soporte a varias propiedades que ayudan al proceso de adminis-
tración del grupo:
• Descripción Este campo estaba presente en Windows NT, pero apenas se usaba. Úselo en
su totalidad en Windows Server 2008.
• Notas Este campo se usaba para identificar el proceso completo de un grupo. Esa informa-
ción proporcionará gran ayuda en la administración de grupos a largo plazo. Ni Descripción ni
Notas se encuentran en la ficha General del cuadro de diálogo Propiedades del grupo.
• Administrado por Este campo se usa para identificar al administrador del grupo. Un
administrador del grupo no es necesariamente el responsable del grupo, como se pone en
evidencia con la casilla de verificación. El administrador puede actualizar la lista de pertenen-
PARTE IV
cia. Seleccione esta casilla si tiene instaladas reglas de delegación y la persona que administra
el grupo es también la responsable de su grupo. Esta página completa de propiedades está
dedicada a asegurar que sabe quién es el responsable del grupo todo el tiempo.
El llenado de estos campos es esencial en cualquier estrategia de administración del grupo.
Tipos de grupos y ámbitos de grupos de WS08

Windows Server 2008 presume de dos tipos principales de grupo:
• Seguridad Grupos que se consideran objetos de seguridad y que pueden usarse para asig-
nar derechos de acceso y permisos. Estos grupos también pueden usarse como dirección de
correo electrónico. Los correos electrónicos enviados al grupo son recibidos por cada usuario
individual que es un miembro del grupo.
• Distribución Grupos que no están habilitados para seguridad. Se usan sobre todo junto con
aplicaciones de correo electrónico, como Microsoft Exchange, o aplicaciones de distribución de
software.
Los grupos dentro de bosques de WS08 completamente funcionales pueden convertirse de
un tipo a otro en cualquier momento.
Además del tipo de grupo, WS08 es compatible con varios ámbitos de grupo diferentes. Los
ámbitos de grupo están determinados por la ubicación del grupo. Si el grupo está localizado en un
equipo local, su ámbito será local. Esto significa que sus miembros y los permisos que le asigna sólo
afectarán al equipo en que está localizado el grupo. Si el grupo está contenido dentro de un domi-
nio en un bosque, tendrá un dominio o un ámbito de bosque. Una vez más, los modos de dominio
y bosque tienen un impacto en una funcionalidad de grupo. En un bosque de WS08 completamen-
te funcional, podrá trabajar con los siguientes ámbitos del grupo (vea la figura 7-18):
• Dominio local Los miembros pueden incluir cuentas (usuarios y equipos), otros grupos de
dominio local, grupos globales y grupos universales.
• Global Los miembros pueden incluir cuentas y otros grupos globales desde el interior del
mismo dominio.
• Universal Los miembros pueden incluir cuentas, grupos globales y grupos universales,
desde cualquier lugar del bosque.
Aunque cambie el alcance el ámbito del grupo una vez que su bosque sea completamente
funcional, he aquí algunas restricciones:
• Los grupos globales no pueden volverse grupos si ya pertenecen a otro grupo global.
• Los grupos universales no pueden volverse globales si están incluidos en otro universal.
• Los grupos universales pueden volverse de dominio local en cualquier momento porque éstos
pueden contener cualquier tipo de grupo.
• Los grupos de dominio local no pueden volverse universales si contienen otro dominio local.
• Todos los demás cambios de ámbito del grupo son permitidos.
Los grupos pueden anidarse en WS08. Eso significa que un grupo puede incluir otros grupos
del mismo ámbito. Por tanto, puede crear “súper” grupos que están diseñados para contener
otros subgrupos del mismo tipo. Como puede ver, sin algunas directrices básicas, el uso de gru-
pos en WS08 puede volverse muy confuso. Sin embargo, en primer lugar necesita comprender la
manera en que los grupos predeterminados han sido definidos dentro del directorio.
FIGURA 7-18
Ámbitos del grupo dentro
de un bosque.
Grupo universal
Grupo global
Grupo de
dominio local
Grupos predeterminados
WS08 incluye dos categorías de grupos predeterminados: local y grupos de dominio o de bosque.
En el caso de los grupos de dominio o de bosque, WS08 incluye otras dos categorías: los consi-
derados grupos integrados y los considerados grupos de usuarios. En la tabla 7-6 se delinea cada
uno de los grupos predeterminados, si se encuentran localmente o dentro de ADDS, su objetivo
y su ámbito. Sólo incluyen la lista de los grupos locales o los encontrados dentro de un bosque
nativo de WS08. También presenta una lista de grupos especiales que son parte del sistema
operativo Windows. Los grupos se identifican como tales: DL para dominio local, L para local, G
para global, y U para universal. Los grupos especiales se identifican como no aplicables (n/a).
Nombre de grupo Ubicación Ámbito Propósito Comentarios

Operadores de ADDS: DL Puede crear cuentas y grupos Este grupo no tiene miembros, como
cuenta Built-in en cualquier lugar del dominio, opción predeterminada. Los Operado-
excepto en la carpeta Bulit-in y la res de cuenta no pueden modiicar los
OU Controladores de dominio. grupos Administrador o Admins. de do-
minio, ni pueden modiicar las cuentas
de miembros de estos grupos.
Administradores ADDS: Built- DL o L Acceso completo y sin restric- Es el grupo más poderoso en el equi-
in local ciones al dominio o al equipo, po; debe administrarse con cuidado.
dependiendo del alcance. Se encuentra en el primer DC de un
dominio, y se vuelve parte del grupo
Admins. de dominio y es la cuenta más
poderosa en el dominio.
Es la función más coniable en la red y
la membresía debe limitarse fuerte-
mente.
PARTE IV
Grupo de ADDS: DL Permite la replicación de contra- Si usa RODC, debe asegurarse de que
replicación de Users seña para controlador de dominio cualquier usuario que puede estar en
contraseña RODC de sólo lectura. una ubicación administrada por un RODC
permitida debe ser un miembro de este grupo.
Debe incluir otros grupos aquí, en lugar
de usuarios individuales.
Usuarios autentii- Grupo n/a Incluye todos los usuarios y equi- Este grupo no puede modiicarse.
cados especial pos que se han autentiicado.
No incluye Invitado.
Operadores de co- ADDS: Buil- DL o L Puede crear copias de seguridad No incluye miembros, como opción
pia de seguridad tin local y restaurar archivos en cualquier predeterminada.
lugar de un equipo. Es la función predeterminada en la
Puede iniciar sesión localmente y red.
apagar un equipo.
Procesamiento por Grupo n/a Incluye todos los usuarios que Este grupo no puede modiicarse.
lotes especial inician sesión a través de proce-
sos de procesamiento por lotes,
como trabajos del programador
de tareas.
TABLA 7-6 Grupos predeterminados dentro de WS08

Publicadores de ADDS: DL Se usa para publicar certiicados No incluye miembros como opción
certiicados Users en ADDS. predeterminada.
Esto no se usa sin PKI.
Es una función de conianza en la red.
Certiicate Servi- ADDS: DL o L Se usa para conectar a autorida- No incluye miembros como opción
ces DCOM Access Built-in des de certiicación dentro del predeterminada.
bosque. Es una función de conianza en la red.
Propietario creador Grupo n/a Incluye cualquier usuario autenti- Este grupo no puede modiicarse.
especial icado que ha creado un objeto.
Grupo creador Grupo n/a Se usa para soportar herencia de Este grupo no puede modiicarse.
especial permiso.
Operadores cripto- ADDS: DL Se usa para realizar operaciones No incluye miembros como opción
gráicos Built-in criptográicas. predeterminada.
Grupo de repli- ADDS: DL Las contraseñas no se incluyen Incluye la mayor parte de los grupos
cación de RODC Users en caché de RODC. administrativos, como opción predeter-
denegada minada.
Esto protege la organización al asegu-
rar que ninguna contraseña se almace-
nará alguna vez en la caché de RODC y
que siempre debe obtenerse de DC de
lectura-escritura asegurados.
Marcado Grupo n/a Incluye todos los usuarios que Este grupo no puede modiicarse.
especial han iniciado sesión mediante
acceso remoto.
Usuarios COM ADDS: DL o L Se usa para ejecutar objetos No incluye miembros como opción
distribuidos Built-in COM distribuidos en equipos. predeterminada.
DNS Admins ADDS: DL Otorga todos los derechos al No incluye miembros, como opción
Users servicio DNS. predeterminada.
DNS UpdateProxy ADDS: G Otorga derechos para actuali- Este grupo está vacío, como opción
Users zar registros a nombre de otra predeterminada.
entidad. Sólo se usa si incluye equipos que eje-
cutan sistemas diferentes de Windows
2000 o posterior en su red.
Admins. de do- ADDS: G Otorga derechos globales a todo Incluye a los administradores del
minio Users el dominio. dominio.
Es una función de conianza elevada
en la red y la pertenencia debe limitar-
se fuertemente.
Equipos del ADDS: G Otorga derechos para operar Incluye todas las estaciones de tra-
dominio Users dentro del dominio. bajo y servidores que se han unido al
dominio.
TABLA 7-6 Grupos predeterminados dentro de WS08 (Continuación)

Controladores de ADDS: G Otorga derechos para administrar Incluye todos los DC en el dominio.
dominio Users operaciones de dominio del nivel
del sistema.
Invitados de ADDS: G Otorga derechos de invitado al Incluye todas las cuentas de invitado.
dominio Users dominio. De uso limitado hoy en día.
Usuarios del ADDS: G Otorga derechos de uso de domi- Incluye todas las cuentas de usuario en
dominio Users nio común. el dominio, aún los administradores.
Administradores ADDS: U Otorga derechos globales a todo Incluye a los administradores del
de empresas Users el bosque. dominio raíz.
Es una función muy coniable en la
red y la pertenencia debe limitarse
fuertemente.
Controladores de ADDS: U Otorga el derecho a almacenar Incluye todos los RODC en el bosque.
dominio de sólo Users contraseñas en una caché de
lectura sólo lectura.
Lectores del regis- ADDS: DL o L Se usa para leer registros de No incluye usuarios como opción
tro de eventos Built-in eventos de los equipos. predeterminada.
Todos Grupo n/a Incluye Usuarios autentiicados Este grupo no puede modiicarse.
especial e Invitados, pero no Usuarios
anónimos.
Propietarios del ADDS: G Otorga derechos para crear y Incluye al administrador como opción
creador de directi- Users modiicar GPO. predeterminada.
vas de grupo Es una función de conianza en la red.
Invitados ADDS: Built- DL o L Contiene la cuenta Invitado. Este grupo tiene un uso limitado.
PARTE IV
in local
IIS_IUSRS ADDS: DL o L Se usa para IIS. No incluye miembros como opción
Built-in predeterminada.
Creadores de con- ADDS: DL Se usa para crear conianzas de No incluye miembros como opción
ianza de bosques Built-in bosque. predeterminada.
de entrada Es una función de conianza en la red.
Interactivo Grupo n/a Incluye todos los usuarios que Este grupo no puede modiicarse.
especial inician sesión localmente o me-
diante el Escritorio remoto.
Red Grupo n/a Incluye todos los usuarios que Este grupo no puede modiicarse.
especial inician sesión a través de la red.
Operadores de ADDS: Built- DL o L Otorga derechos de coniguración Éste es un grupo técnico especial
coniguración de in local de red de cliente que puede usarse para dar soporte a
red actividades de detección y solución de
problemas de red en clientes.

Usuarios Local L Incluido para compatibilidad con Este grupo está diseñado para dar a
avanzados sistemas antiguos. los usuarios más autonomía sobre sus
Puede crear cuentas de usuario y sistemas sin tener que otorgarles dere-
modiicar y eliminar esas cuentas. chos administrativos completos.
Puede crear grupos locales y Los usuarios también pueden ejecutar
modiicar esos grupos. aplicaciones heredadas, en este caso,
Puede crear recursos compartidos este grupo se compara con el grupo
y administrar impresoras locales. Usuarios en Windows NT.
Usuarios del regis- ADDS: DL Se usa para dar seguimiento al No incluye miembros como opción
tro de rendimiento Built-in rendimiento en los sistemas. predeterminada.
Usuarios del moni- ADDS: DL Se usa para acceder a los datos No incluye miembros como opción
tor de sistema Built-in de rendimiento. predeterminada.
Acceso compatible ADDS: Built- DL Otorga acceso de lectura a Sólo se usa si equipos de Windows NT
con versiones in local todos los usuarios y grupos del 4.0 están presentes en el dominio.
anteriores de dominio.
Windows 2000
Operadores de ADDS: Built- DL o L Puede administrar impresoras e Este grupo se utiliza para delegar
impresora in local imprimir colas. administración de impresora y de cola
de impresión.
Usuarios de Escri- ADDS: Built- DL o L Otorga a los usuarios el derecho Los administradores no necesitan ser
torio remoto in local de iniciar sesión remotamente en parte de este grupo porque tienen
un equipo. inherentemente este derecho.
Se usa para delegar tareas de soporte
remoto.
Servidores RAS ADDS: DL Otorga derechos para acceder a Sólo contiene servidor.
e IAS Users propiedades de acceso remoto Está vacía como opción predetermi-
del usuario nada.
Todo servidor que se use para propor-
cionar acceso remoto o acceso a red
privada virtual debe ser miembro de
este grupo.
Controladores de ADDS: G Otorga el derecho a almacenar Incluye todos los RODC en el dominio.
dominio de sólo Users contraseñas en una caché de
lectura sólo lectura.
Duplicadores ADDS: Built- DL o L Soporta replicación de Este grupo debe contener sólo cuentas
in local directorios. de servicio o cuentas que están dise-
ñadas para representar servicios y no
usuarios reales.
Administradores ADDS: U Otorga derechos para modiicar Incluye a los administradores del
de esquema Users la estructura de la base de datos dominio raíz.
de ADDS. Es una función de conianza elevada
en la red y debe limitarse la pertenen-
cia a él fuertemente.

Operadores de ADDS: DL Puede iniciar sesión en servidor, Este grupo se usa para delegar tareas
servidor Built-in administrar recursos comparti- de administración del servidor.
dos, crear copias de seguridad de Es una función de conianza en la red.
archivos y restaurarlas, formatear
el disco duro y apagar el sistema.
Servicio Grupo n/a Incluye todos los usuarios Este grupo no puede modiicarse.
especial que han iniciado sesión como Controlado por el sistema operativo.
servicio.
Servidores de ADDS: DL Se usa para administrar licencias No incluye miembros como opción
licencias de Termi- Builtin de TS en la red. predeterminada.
nal Server
Usuarios de ser- Grupo n/a Incluye todos los usuarios que Este grupo no puede modiicarse.
vicios de Terminal especial han iniciado sesión en una Termi-
Server nal Server que opere en modo de
compatibilidad TS4.
Usuarios ADDS: Built- DL o L Se usa para soporte a tareas Incluye Usuarios autentiicados y
in local comunes de uso de equipos. miembros del grupo Interactivo.
Puede crear grupos locales y En un dominio, también se incluye el
modiicarlos. grupo Usuarios del dominio.
Es el grupo más común en su red.
Grupo de acceso ADDS: DL Se usa para acceso universal y Incluye controladores de dominio
de autorización de Built-in ichas de atributo global. empresariales.
Windows
PARTE IV
Como puede ver, WS08 proporciona un amplio número de grupos predeterminados. Varios
de éstos deben usarse para la delegación de actividades administrativas dentro de la red. Pero a
medida que examina estos grupos, se dará cuenta de que hay cierta lógica en la manera en que
se usan. Esta lógica integra la base de su estrategia de administración de grupos.
Mejores prácticas para administración

y creación de grupos
Las prácticas de administración de grupo pueden volverse muy complejas. Por eso, una estrategia
de administración de grupo es esencial para la operación de una red estructurada. Esta estrategia
empieza con reglas y directrices de mejores prácticas. Se complementa con un uso estratégico
de grupos globales o grupos que están diseñados para contener usuarios. Ambos elementos se
delinean en las siguientes secciones.
Mejor práctica: la regla AGLP

Los diversos ámbitos de todos los grupos dentro de Servicios de dominio de Active Directory no
ayudarán a sus actividades de administración de grupos si no implementa directrices básicas para
uso de grupo. Por fortuna, hay una regla de mejor práctica para uso en grupos. Es la regla cuenta-
global grupo-local permisos-grupo, o AGLP (Account-Global Group-Local Group-Permissions).

Esta regla delinea cómo se usan los grupos.
Empieza con la colocación de cuentas (usuarios o equipos). Todas las cuentas se colocan
dentro de grupos globales y sólo dentro de grupos globales. A continuación, los grupos globales
se colocan dentro de grupos locales y principalmente en grupos locales. Los permisos se asignan
a grupos locales y sólo grupos locales. Cuando los usuarios necesitan acceder a objetos en otros
dominios, su grupo global se incluye dentro del grupo local del dominio de destino. Cuando los
usuarios necesitan acceder a objetos localizados dentro de todo el bosque, su grupo global se
inserta en un grupo universal (vea la figura 7-19).
En breve, esta regla se resume de la siguiente manera:
• Los grupos globales son los únicos que contienen usuarios.
• Los grupos de dominio local o locales sólo contienen otros grupos (globales o universales).
• Los permisos sólo se asignan a grupos de dominio local o locales.
• Los grupos universales sólo contienen grupos globales.
Esta regla se apoya en las siguientes pautas adicionales:
• Todos los nombres de grupo están estandarizados.
• Todos los grupos incluyen descripciones detalladas.
• Todos los grupos incluyen notas adicionales.
• Todos los administradores de grupos están claramente identificados.
• El personal de administración de grupo está entrenado para comprender y usar estas reglas.
• Las actividades de verificación del propósito del grupo se realizan de manera regular.
• Una herramienta de informe de uso de grupos está en funcionamiento para proporcionar
actualizaciones regulares de contenido del grupo.
La regla AGLP
FIGURA 7-19
Regla AGLP. Acceso a dominio
Dominio Permisos de
Grupo local directorio
Permisos de
Cuentas Grupo global Grupo local extremo
Acceso de bosque
Grupo universal
Usado para acceso a
todo el bosque
Acceso a dominio
Dominio Permisos de
Grupo local directorio
Permisos de
Cuentas Grupo global Grupo local extremo
Grupos de dominio local

Los grupos de dominio local deben usarse con cuidado porque llenan el directorio y
tienen efecto en la replicación de directorios. Sólo deben usarse si los permisos que ne-
cesita asignar son de ADDS o están puestos sobre objetos de ADDS. Cuando se orienta a
recursos que son locales a un equipo o servidor, asegúrese de que depende de los grupos
locales a esos sistemas cuando asigna permisos a recursos. De esta manera, puede usar
una regla AGLP sin proliferación de grupos de dominio local.
Muchas organizaciones han duplicado el número de grupos de su directorio porque
cada vez que necesitan asignar un permiso, crean dos grupos: uno global y uno de domi-
nio local. Sin embargo, si el recurso es local a un sistema de cómputo, no hay ninguna ra-
zón en absoluto para otorgar permisos a un grupo que estaría contenido en el directorio,
en lugar de su base de datos de administración de cuentas de seguridad (SAM, Security
Account Manager), que está localizada en el servidor local.
Los nombres de grupo estándares y el manejo del administrador del grupo son dos áreas que
requieren mayor análisis antes de que pueda finalizar su estrategia de administración de grupo.
Asignación estándar de nombre a grupos

En Windows NT, muchas organizaciones implementaban una estrategia estándar de asignación
de nombres para grupos globales y locales. Era simple; colocaban una “G_” o una “L_” al principio
del nombre de cada tipo de grupo. Pero en redes ADDS, los grupos pueden tener nombres más
complejos. En realidad, los grupos tienen tres nombres:
PARTE IV
• El nombre del grupo WS08 Éste es, en realidad, el nombre que usará para administrar el
grupo.
• El nombre del grupo de nivel inferior Es similar al nombre que usó en Windows NT.
• La dirección de correo electrónico del grupo Es cómo se comunica con los miembros de
un grupo.
Debido a esto, debe reconsiderar la manera en que nombra a sus grupos para hacer un mejor
uso del directorio. En realidad, debe tomar en cuenta la posible delegación de la administración
de pertenencia a grupos. Por ejemplo, si en su departamento de relaciones públicas quieren que
cree un grupo especial para ellos, que usarán para asignar permisos de archivos y carpetas y para
comunicarse con los administradores del departamento dentro de la red, podría decidir que una
vez que se cree el grupo, no quiere añadirle la carga de la administración cotidiana del contenido
de este grupo. Como tal, podría delegar la administración del contenido de grupo en alguien del
departamento de relaciones públicas. Esto podría hacerse para un gran número de grupos en su
organización.
Y como sólo los grupos globales deben contener usuarios, únicamente necesita considerar la
delegación de grupos globales. También, al retener la administración de grupos locales, retiene el
control sobre permisos y derechos que asigne a cualquier usuario de la organización.
Además, recuerde que los usuarios pueden buscar en el directorio. En una red estructurada,
deberá mantener un control férreo sobre la creación y multiplicación de grupos. Su estrategia
central tiene que concentrarse en combinar funciones de grupo. Por ejemplo, si integra Microsoft
Exchange con su directorio, necesitará administrar muchos grupos de distribución más. Pero si
su estrategia de grupo de seguridad está bien definida, entonces varios de sus grupos existentes
tendrán la doble función de grupos de distribución. Por tanto, debe tener una cantidad conside-
rablemente menor de grupos de distribución que de seguridad. Tal vez ni siquiera tenga que crear
ningún grupo de distribución si ha hecho su tarea.
SUGERENCIA No cometa el error de duplicar grupos de distribución y de seguridad. La prolifera-

ción de grupos tiene un impacto directo en la replicación de la red.
Si considera que delegará la administración de pertenencia a grupos globales, por lo menos

en el caso de algunos de estos grupos, o si cree que tal vez un día necesite tener grupos de segu-
ridad, por lo general grupos de seguridad global, con la función doble de grupos de distribución,
debe reconsiderar su estrategia de asignación de nombres de grupo. Los usuarios comunes no se
sentirán cómodos con grupos llamados G_ADMRP o L_MANDOM.
Una estrategia sólida de asignación de nombres de grupo debe tomar en cuenta las siguien-
tes directrices:
• Los grupos globales y universales deben recibir su nombre sin identificar su ámbito. La iden-
tificación de ámbito se despliega automáticamente dentro del directorio, de modo que éste no
es un problema para los administradores.
• Debido a que los usuarios deben acceder a ellos para comunicación, o los representantes del
usuario deben hacerlo para la administración de pertenencia, los grupos globales y universales
deben recibir un nombre en lenguaje común.
• Los grupos universales deben incluir el nombre de la organización para identificar que son
grupos de todo el bosque.
• Los nombres de nivel inferior no deben incluir el ámbito para grupos globales y universales,
porque los usuarios también pueden acceder al nombre de nivel inferior.
• Los grupos de dominio local, si se usan, deben recibir un nombre que incluya el identificador
“(Local)” al final del nombre. Esto permite a los administradores buscar más fácilmente todos
los grupos de dominio local.
• Los nombres de nivel inferior para grupos locales deben antecederse con una “L_” para sim-
plificar su identificación en el directorio.
• Todos los grupos de dominio local deben estar contenidos dentro de OU que nieguen dere-
chos de lectura a usuarios comunes. Esto asegurará que los resultados de consulta del direc-
torio de usuario nunca incluirán grupos del dominio local y siempre incluirán sólo grupos a
los que tienen acceso. Los grupos especiales, como Admins. de dominio, Administradores de
empresa, Administradores de esquema y Administradores deben moverse a contenedores
que nieguen derechos de lectura a usuarios, de modo que no puedan localizar las funciones
especiales de seguridad en su organización.
• Los grupos locales pueden tener nombres como grupos de dominio local porque se encuen-
tran en equipos locales y los usuarios no tienen acceso a ellos.
En la tabla 7-7 se presenta una lista de nombres de ejemplo para diferentes grupos.
Ámbito del grupo Ejemplo de nombre

Grupo universal Administradores de relaciones públicas de T&T; Técnicos
de T&T; Auxiliares administrativos de T&T
Nombre de nivel inferior de grupo universal Administradores de RP de T&T; Técnicos de T&T; Auxilia-
res admin. de T&T
Grupo global Administradores de relaciones públicas; Técnicos de
Región 1; Auxiliares administrativos de Región 1
Nombre de nivel inferior de grupo global Administradores de RP; Técnicos R1; Auxiliares admin. R1
Grupo de dominio local o grupo local Administradores de relaciones públicas (Local); Técnicos
de Región 1 (Local); Auxiliares administrativos de Región
1 (Local)
Grupo de dominio local o grupo local con nombre de nivel L_ADMR_RP; L_R1_Técnicos; L_R1_AuxAdm
inferior
TABLA 7-7 Ejemplos de nombres de grupo
El uso de este tipo de estrategia de asignación de nombres reducirá en gran medida los do-
lores de cabeza administrativos. Esta estrategia, junto con las directrices delineadas antes, deben
producir los siguientes resultados:
• Los grupos universales y de dominio local son los menos numerosos. Sólo se usan para fines
muy especiales.
• Los grupos de seguridad globales deben ser los más abundantes en su bosque. Desempeñan
la doble función de grupos de seguridad y distribución.
• Los grupos de distribución globales deben ser menos numerosos que los de seguridad globa-
PARTE IV
les. Los grupos de distribución sólo deben usarse si no hay un grupo de seguridad que pueda
servir para el mismo fin.
Apéguese a estas reglas. La administración de grupos requiere controles férreos, sobre todo
si se trata de una tarea delegada. Use un proceso de creación de grupos estándar para simplificar
sus actividades de administración de grupos (vea la figura 7-20).
Administración de propiedad de grupos

Uno de los aspectos de la administración de grupos que es crucial para su estrategia es la asig-
nación de administradores de grupo. Se trata de individuos que están localizados dentro de su
directorio. Por tanto, cuando identifica a un administrador de grupo, localiza una cuenta del
usuario en su directorio y le asigna la función de administrador a este usuario. Cuando el admi-
nistrador cambia, debe modificar la propiedad de cada grupo. ADDS proporciona una manera
automática de hacer esto.
Mientras que las personas trabajan con el usuario a partir de nombres de cuenta, ADDS no
lo hace. Identifica todos los objetos mediante números especiales: el identificador de seguridad
(SID, Security Identifier) o el identificador globalmente único (GUID, Globally Unique Identifier).
Los principales de seguridad (cuentas de usuario) se identifican mediante su SID. Si, cuando un
administrador cambia, desactiva la cuenta del anterior administrador y crea una nueva cuenta,
tendrá que reasignar todos los permisos y derechos de usuario de la cuenta anterior.
Crear grupo Grupo
Sí Ámbito de grupo Global

¿Contiene
usuarios o Todo el bosque Sí Universal
equipos?
No Ámbito de grupo Sólo PC o servidor Sí Local
Sólo dominio Sí Dominio local

Tipo de grupo
Seguridad Sí
¿El grupo permitirá
asignación de permisos?
Distribución No
FIGURA 7-20 Diagrama de lujo de la creación de grupos.
Si, por otra parte, trata las cuentas de usuario como funciones de usuario dentro de su
organización en lugar de tratarlas como individuos, puede aprovechar las características de
ADDS para facilitar su trabajo. Para ello, necesita desactivar y cambiar el nombre de las cuentas
en lugar de volverlas a crear. Por ejemplo, Raquel Pérez, administrador del grupo de seguridad
global de relaciones públicas, deja la empresa. Como sabe que su organización no operará sin
alguien en la función de Raquel, no eliminará su cuenta; sólo la desactivará. Días después,
contratan a Juan Gómez para reemplazar a Raquel. Ahora puede reactivar la cuenta antigua de
Raquel, cambiarle su nombre a Juan Gómez, restablecer la contraseña y forzar un cambio de
contraseña en el siguiente inicio de sesión. Automáticamente, Juan tendrá todos los derechos y
permisos de Raquel o, más bien, todos los derechos y permisos incluidos en su nueva función
en la organización.
Esto es viable incluso si una persona sólo cambia de puesto dentro de la organización. Una
vez más, como las personas trabajan con nombres y ADDS trabaja con ese SID, el uso de una
nueva cuenta o el cambio de nombre de una es completamente transparente. Por otra parte, el
administrador del sistema obtendrá grandes ventajas del cambio de nombre de la cuenta, porque
sólo tiene que realizar unas cuantas tareas y habrá terminado.
En algunos casos, los empleados de seguridad estarán en contra de esta práctica porque
temerán que no podrán dar seguimiento a la actividad del usuario dentro de la red. Tienen
razón en este sentido. Como ADDS lleva registro de los usuarios mediante sus SID, es el único
valor que se garantiza cuando se ven informes de auditoría. Cuando cambia un nombre de
usuario, estará usando continuamente el mismo SID. Si no mantiene registros estrictos que
ayuden a seguir la pista cuando se modifica el nombre de usuario para un SID, no podrá saber
quién era el propietario del SID antes del usuario actual. Peor aún, no sabrá cuándo el usuario
actual se volvió propietario del SID. Esto podría causar problemas al usuario, especialmente si
el propietario anterior realizó algunas acciones poco honestas antes de irse.
Una vez más, el mantenimiento de registros estrictos es una parte importante de cualquier
estrategia de administración de usuarios. Además, necesita realizar un proceso de identificación
del administrador de grupo antes de que pueda seguir adelante con la creación de cualquier
grupo dentro de su red paralela de ofrecimientos de servicios virtuales.
Mejor práctica: administre grupos globales

Los grupos globales son los que se usan para contener usuarios. En casi todas las redes, los gru-
pos globales caerán en cuatro categorías específicas:
• Funciones de TI Este tipo de función identifica la función de tecnología de la información
de una persona dentro de la organización. Entre las funciones de TI se incluyen diversas acti-
vidades. Algunos ejemplos de estos tipos de grupo son los siguientes:
• Usuario genérico
• Trabajador de la información
• Administración y Soporte administrativo
• Profesionales
• Desarrollador de usuario final
• Editor Web o de intranet
• Desarrollador del sistema
• Administrador de sistemas o de seguridad
• Soporte de sistemas y usuarios
• Etcétera
• Estas funciones de tecnología de la información le permiten crear agrupamientos de usuario
horizontales que abarcan a su organización y le permiten administrar personas que realizan
tareas similares, sin importar dónde estén ubicadas en el interior de la organización y de su
estructura del ADDS. Estas funciones se relacionan con las de vocación del equipo identifi-
PARTE IV
cadas antes, en la estrategia de administración de PC. Trate de mantener el número de estas
funciones abajo de 20. Por ejemplo, una organización que tiene más de 4 000 usuarios sólo
tiene nueve funciones de tecnología de la información definidas dentro de la red.
• Grupos de línea de negocios En casi todos los casos, también deberá tener la capa-
cidad de administrar verticalmente a los usuarios. Por ejemplo, si el departamento de
finanzas quiere ponerse en contacto con todos sus miembros, se necesitará un grupo
global Finanzas. Muchas de estas agrupaciones tendrán que crearse con la estructura de
unidad organizativa en su dominio, pero no puede usar una OU para enviar mensajes
de correo electrónico; sólo puede hacerlo con un grupo. Además, muchos departamentos
tendrán personal distribuido en una gran cantidad de OU, sobre todo si su organización
incluye oficinas regionales y necesita delegar actividades de administración regional. Trate
de mantener esas agrupaciones al mínimo, también. En muchas organizaciones, la regla
“Departamentos menos 1” es todo lo que se necesita. Eso significa que sigue la estructura
jerárquica de la compañía a un nivel abajo del de los departamentos. En el departamento
de finanzas, se incluiría el grupo Finanzas, luego Tesorería, Nómina, Compras, etc. Sin
embargo, es probable que también necesite una división más detallada de sus grupos
dentro del departamento de TI.
• Grupos basados en proyecto Las organizaciones están constantemente llevando al cabo

proyectos. Cada uno está integrado por distintas personas de diferentes secciones de la orga-
nización. Los proyectos son volátiles y duran sólo periodos definidos. A diferencia de los dos
tipos de grupos anteriores, los basados en proyectos no son permanentes. Debido a ello, este
tipo de grupo es el que le da más trabajo y el que tal vez requiera la creación de otros ámbitos
del grupo, no sólo para la inclusión de usuarios, sino también para la asignación de permisos
a recursos de proyecto. Una vez más, trate de mantener bajo control el número de grupos que
cree.
• Grupos administrativos especiales El último tipo de grupo global es el administrativo
especial. Como los primeros dos tipos de grupo, éste es más estable que los grupos de pro-
yecto. Se requiere para permitir la aplicación de derechos administrativos especiales a grupos
de usuarios. Por ejemplo, si necesita filtrar una directiva de grupo o asignar características
específicas de directivas de grupo mediante el uso de grupos de seguridad, lo haría mediante
un grupo administrativo especial.
Sin importar cuál sea el tipo de grupo que cree o administre, recuerde que la clave para una
estrategia de administración de grupos que tenga éxito es la documentación, ya sea dentro o fue-
ra del directorio. Documente sus grupos dentro del directorio empleando las estrategias delinea-
das antes. Y documente sus grupos fuera del directorio mediante bases de datos externas y otros
métodos de documentación.
Otros tipos de grupo

Aunque existen cuatro categorías especiales para grupos globales, los demás grupos caerán en
una sola categoría: grupos operativos. Esta categoría incluye grupos de dominio local, universal
y local. Se denomina “operativos” a estos grupos por dos razones. La primera es que sólo están
diseñados para contener otros grupos. La segunda es que están diseñados para proporcionar
acceso a recursos.
Debido a que estos grupos son operativos, no estarán almacenados dentro de la estructura
básica de la OU Persona. En realidad, deben estar ocultas de los usuarios comunes; es decir, los
usuarios no deben tener la capacidad de encontrar estos grupos cuando buscan en el directorio.
Esto significa que puede usar una estrategia de asignación de nombres más compleja para estos
grupos, y que también debe almacenarlos dentro de una estructura de OU que suela estar oculta
de los usuarios. Ésta es la estructura de OU Ofrecimientos de servicios virtuales, que se detallará
en los capítulos 8 y 9.
Cree un diseño de OU para ines de administración

de usuarios
Ahora que tiene una buena comprensión de los grupos y lo que pretende hacer con ellos, puede
pasar a la finalización de su diseño de OU para administración de usuarios. En primer lugar,
necesita revisar la estructura de la OU Persona que se proporcionó en el capítulo 5. Una OU Per-
sona se usa aquí porque el contenedor User en ADDS no es una OU. Por tanto, no puede usarlo
para crear una subestructura de OU ni para aplicar una directiva de grupo a sus objetos
de persona.
La estructura de la OU Persona
En el capítulo 5 se delineó la estructura de OU para los objetos de persona. Esta estructura se
desplegó en la figura 5-13, junto con otros dos tipos principales de OU: PC y Ofrecimientos de
servicios virtuales. La estructura de la OU Persona se usa para reagrupar objetos específicos den-
tro de una sola estructura de OU. Ésta debe permitir la aplicación de directivas de grupo basadas
en usuarios, además de parte de delegación de tareas administrativas. Y, como los Servicios de
dominio de Active Directory dependen de una base de datos que debe ser estática hasta donde
sea posible, deberá asegurar que su estructura de OU Persona sea lo más estable posible. Cada
vez que realice cambios masivos a la estructura de OU, se reemplaza el controlador de dominio
dentro del dominio de producción.
Por esto es por lo que no querrá incluir la estructura de su organización (como se despliega
en su organigrama) dentro de la estructura de la OU Persona. Muchas organizaciones tienden a
modificar su estructura de autoridad jerárquica varias veces al año. La replicación de esta estruc-
tura dentro de su diseño de OU Persona sólo significará más trabajo, porque estará modificando
constantemente su estructura de OU para reflejar los cambios a su organigrama.
Su estructura de OU aún necesita representar la estructura de su organización en algún gra-
do. Por esto es por lo que la estructura OU Persona se basa principalmente en tres conceptos:
• Unidades de negocios Al basar la estructura de su OU en unidades de negocios, se asegura

de que atiende los requisitos de su base de usuarios mediante la estructura de negocios lógica
de su organización. Las unidades de negocios son menos volátiles que los organigramas. Las
organizaciones crean nuevas unidades de negocios con menos frecuencia que con la que asig-
nan nuevos centros de responsabilidad.
• Distribución geográica Si su organización está distribuida e incluye oficinas regionales, es
posible que necesite delegar algunas tareas administrativas a estas oficinas. La mejor manera
de permitir la delegación es crear unidades organizativas que reagrupen los objetos que desea
PARTE IV
delegar.
• Grupos de intereses especiales Lo más probable es que su organización incluya grupos
de usuarios que tienen requisitos especiales, que no satisfacen ningún otro grupo. Por tanto,
necesita crear OU que contengan estos agrupamientos de usuario especiales. Por ejemplo, el
departamento de tecnología de la información es un representante excelente de un grupo de
interés especial.
También recordará que la mejor estructura de OU no se extiende más allá de cinco niveles
secundarios. Esta estructura básica incluye tres niveles principales, pero ofrece la posibilidad de
delegar aún más la creación de subniveles a grupos de intereses especiales. El resultado final de
su diseño de OU Persona se orienta a satisfacer todas las necesidades del usuario. Como tales, es
posible que necesite realizar alguna operación de prueba y error. Se vuelve a usar la estructura de
la OU Persona propuesta en el capítulo 5, pero ahora ha evolucionado para tomar en cuenta una
visión refinada de sus necesidades (vea la figura 7-21).
Una estructura de OU relacionada con grupos

Muchas organizaciones crean una estructura especial de OU para incluir grupos, además de la
estructura de OU Persona. Aunque la adición de este tipo de estructura tiene sus méritos, tendrá
más trabajo si lo hace así. Recuerde que lo más probable es que quiera delegar parte de la admi-
FIGURA 7-21
Estructura propuesta
de una OU Persona.
nistración del grupo o las actividades de administración; tal vez no la creación de grupos, pero
seguramente sí la administración de la pertenencia a grupos. Para ello, necesita implementar
delegación en dos lugares: la estructura de OU Persona y la de OU Grupo. Al final, es mejor
hacer que la estructura de OU Persona realice la doble tarea e incluir objetos de grupos y de
usuario.
Además, el único ámbito de grupo que necesita incluirse aquí es el que contiene realmen-
te los objetos de usuario. Es el ámbito del grupo global. Esto significa que su estructura de OU
Persona hospedará grupos globales, pero que todos los demás grupos (dominio local y universal)
estarán hospedados en otro lugar. En realidad, debido a que los primeros ámbitos de grupo son
de naturaleza operativa (proporcionan acceso a objetos o a bosques) deben almacenarse den-
tro de la estructura de OU Ofrecimientos de servicios virtuales. Como tales, debe controlarse su
acceso de lectura, haciendo que sólo los grupos globales estén disponibles para los usuarios, con
el fin de investigar ADDS.
Delegación dentro de la OU Persona

Hay dos categorías principales de delegación que son necesarias en una OU Persona. La
primera se relaciona con los representantes de usuario. Éstos son responsables de las activi-
dades básicas de administración de usuarios. Debe incluir, por lo menos, restablecimiento de
contraseñas y administración de pertenencia a grupos de usuarios y, cuando mucho, creación
de cuentas de usuario basada en cuenta de plantilla. A los representantes de usuario no debe
permitírseles la creación de grupos. Debe tener operadores de cuentas globales para proporcio-
nar este servicio.
A diferencia de la delegación personalizada utilizada antes en la administración de vocación
de PC, las tareas de delegación de representantes de usuarios son tareas de delegación estándar
que se incluyen como opción predeterminada dentro de los Servicios de dominio de Active Di-
rectory. Cuando delega el control de una OU Persona secundaria a un representante de usuario

(por supuesto, sería el grupo de representantes de usuario y no el individuo), puede seleccionar
las siguientes tareas de delegación estándar:
• Crear, eliminar y administrar cuentas de usuario.
• Restablecer contraseñas de usuario e imponer cambio de contraseña en el siguiente inicio de
sesión.
• Leer toda la información de usuario.
• Modificar la pertenencia a un grupo.
Debido a que se trata de tareas de delegación estándar, la asignación de derechos de delega-
ción a grupos de representantes de usuario es una actividad muy simple.
El segundo tipo de delegación es para grupos de intereses especiales. Como se mencionó
antes, pueden incluir equipos especiales de intervención inmediata dentro de su organización o
departamento, como el propio departamento de tecnología de información. La que desea delegar
aquí es la creación de una estructura de OU secundaria. La OU Persona ilustrada antes sólo des-
pliega tres niveles de OU:
• El primero es el tipo de OU: Persona. Reagrupa a todos los usuarios comunes en la organiza-
ción.
• El segundo cubre unidades de negocios, grupos de interés especial y proyectos.
• El tercero reagrupa servicios de distribución geográfica o administrativos.
Es dentro del último que encontrará grupos de intereses especiales que requerirán mayor
segregación de OU. El uso de una estructura de OU principal de tres capas le da a esos grupos
dos niveles más que puede usar para realizar esta segregación adicional.
Aquí, delegación alude al proceso de delegación más que a la tarea real de delegación dentro
de ADDS. Es necesario que delegue el proceso para que estos grupos particulares puedan identi-
PARTE IV
ficar sus propias necesidades en relación con la creación de una OU secundaria. Por esto, nece-
sita proporcionar asesoría a esos grupos para que puedan determinar por qué necesitan mayor
segregación y decidan qué tipo de reagrupación desean usar. Al proporcionarles una sesión de
asesoría preliminar quedará libre para seguir con otras tareas de diseño mientras debaten entre
ellos sobre el modelo que necesitan. Luego, una vez que hayan decidido, pídales que presenten
su propuesta de estructura secundaria de OU y determine con ellos si sus necesidades se cum-
plen. Una vez que ambos estén de acuerdo en el diseño, puede implementarlo y proporcionarles
el mismo tipo de tareas de delegación que dio a los representantes de usuario.
La delegación en ambas situaciones sólo funcionará si ha identificado antes en quién de-
legará. Como en el proceso de identificación del administrador del grupo, la delegación de OU
necesita un proceso completo de identificación del representante del usuario antes de que pueda
empezar la implementación de su diseño de OU Persona dentro de la red paralela de ofrecimien-
to de servicios virtuales.
Conceptos de GPO relacionado con el usuario

En la sección de administración de PC de este capítulo, se identificó la operación general de ob-
jetos de directiva del grupo, además de que se cubrió por completo. En ella también se presentó
una lista de las configuraciones de GPO. Debido a que la estructura de OU Persona hospedará
objetos de usuario, ahora es necesario detallar los valores de GPO de usuario.
En la estructura de OU PC, se desactivaron las partes del usuario del GPO. Esta vez, las par-
tes del equipo de GPO deben desactivarse, porque sólo los usuarios están vistos como destino en
la OU Persona.
En la tabla 7-8 se detalla la parte del usuario de una GPO y los valores aplicables para la red.
Como verá, hay una amplia variedad de parámetros de configuración disponibles mediante
las GPO de usuario. Los detalles de todas y cada una están más allá del alcance de este libro,
pero algunos elementos importantes se delinean en las siguientes secciones. La configuración
que aplique dependerá principalmente del tipo de ambiente que desee crear. Tómese el tiempo
de revisar y comprender cada configuración. Luego decida cuál necesita aplicar. Una vez más,
la documentación completa es la única manera en que podrá asegurarse de que mantiene una
estrategia de GPO de usuario coherente.
Sección de GPO Comentario Aplicable
Coniguración de Esta sección trata de instalaciones de software. No

software Si quiere asignar un producto de software a un usuario en lugar Si usa esto para
de un equipo usando la entrega de software de WS08, aquí debe entrega de soft-
establecer los parámetros. ware, envíelo a PC
Coniguración de Esta sección trata de coniguraciones generales de Windows e En parte
Windows incluye elementos como secuencias de comandos y parámetros
de seguridad.
Servicios de instala- Esta directiva se relaciona con las opciones de instalación de RIS En parte
ción remota (RIS) que ofrece a los usuarios.
Scripts Controla el acceso a secuencias de comandos de inicio y cierre de Obligatorio
sesión.
Coniguración de Incluye directivas de clave pública y restricciones de software. En parte
seguridad
Directivas de clave Controla las directivas de renovación de certiicados (más informa- Obligatoria para
pública ción en el capítulo 10). todos los usuarios
También controla las conianzas en la empresa para la inclusión
de listas de conianza certiicadas.
Directivas de restric- Le permite determinar a cuáles aplicaciones se les permite ejecu- Obligatorio para
ción de software tarse en su red (más información en el capítulo 10). todos los usuarios
comunes
Redireccionamiento de Le permite redireccionar carpetas locales a ubicaciones de red. Obligatorio para
carpeta Reemplaza el directorio principal y el peril de roaming de usuario. casi todos los
Soporta protección de datos al localizar carpetas de usuario en usuarios
servidores centrales.
AppData (Roaming) Incluye dos parámetros: Básico y Avanzado. Redirecciona para
Básico redirecciona todas las carpetas a la misma ubicación. protección de
Avanzado permite diferentes ubicaciones de redireccionamiento datos
con base en los grupos de usuarios.
TABLA 7-8 Categorías y contenido de las directivas de usuario

Escritorio Igual que AppData. Redirecciona para

protección de
datos
Menú Inicio Igual que AppData. Redirecciona para
protección de
datos
Documentos Igual que AppData. Redirecciona para
Puede incluir la carpeta Mis imágenes. protección de
datos
Imágenes Se establece para seguir a Documentos. Redirecciona si su
directiva de usua-
rio lo permite
Música Se establece para seguir a Documentos. Igual que
Imágenes
Videos Se establece para seguir a Documentos. Igual que
Imágenes
Favoritos Igual que AppData. Redirección para
protección de
datos
Contactos No protege. Los usuarios de-
ben depender
de Outlook
Descargas No protege. Los archivos pue-
den ser demasiado
PARTE IV
grandes
Vínculos Igual que AppData. Redirecciona para
protección de
datos
Búsquedas Igual que AppData. Redirecciona para
protección de
datos
Juegos guardados No protege. No es obligatorio
QoS basada en Deine los parámetros de calidad de servicio (QoS, Quality of Servi- Para PC
directiva ce) para lujo de video y audio. solamente
Mantenimiento de Controla la interfaz de usuario, la conexión, los URL, la seguridad y Es obligatorio para
Internet Explorer los programas del explorador. todos los usuarios.
Controla los parámetros de IE de su organización (logos, página de Puede personali-
inicio, soporte a URL, etcétera). zarse aún más en
Los programas se derivan de los parámetros del escritorio o del subniveles
servidor usado para crear el GPO.
Muchos de estos parámetros pueden reemplazar la coniguración
en el Kit de administración del administrador de conexión.
TABLA 7-8 Categorías y contenido de las directivas de usuario (Continuación)

Plantillas administra- Las plantillas administrativas son componentes de GPO que pue- Sí
tivas den incluirse en secuencias de comandos y que pueden usarse
para controlar una amplia variedad de parámetros, como com-
ponentes de Windows, menú Inicio y barra de tareas, escritorio,
Panel de control, carpetas compartidas, red y sistema.
Panel de control Controla opciones regionales y de idioma, además de permitirle En entornos
modiicar las imágenes predeterminadas de inicio de sesión. multilingües o
corporativos
Escritorio Controla el comportamiento de los elementos de escritorio. Sí
Red Controla los parámetros relacionados con la red, como conexiones Establece sólo
de red, archivos fuera de línea y Windows Connect Now. un nivel de PC
Carpetas compartidas Controla el comportamiento del sistema de archivos distribuidos; Sí
se cubre en el capítulo 8.
Menú Inicio y barra de Controla el comportamiento de los elementos del menú Inicio. Sí
tareas
Sistema Controla los parámetros de todo el sistema, como las opciones de Sí
CTRL+ALT+SUPR, instalación de controladores, redireccionamiento Compartido con
de carpeta, directiva de grupo, administración de comunicación el nivel PC
en Internet, servicios locales, inicio de sesión, rendimiento, Panel
de control, administración de energía, acceso a almacenamiento
extraíble, secuencias de comandos, periles de usuario y Windows
HotStart.
Esta sección controla el comportamiento de cada característica
incluida.
La sección Scripts, por ejemplo, determina el comportamiento de
las secuencias de comandos, no sus nombres.
También controla el comportamiento de los periles de usuario en
PC; debe modiicar este comportamiento si trata de trabajar con
periles de roaming y redireccionamiento de carpeta.
Use acceso de almacenamiento extraíble para controlar si los
usuarios pueden o no conectar dispositivos como unidades USB,
Use servicios locales, que le permiten cambiar automáticamente
parámetros en PC para coincidir con los valores de idioma de un
empleado.
La administración de energía debe establecerse en el nivel de PC.
Componentes de Controla parámetros como NetMeeting (para asistencia remota), Sí
Windows virtual de Internet Explorer, Centro de ayuda y soporte técnico,
Explorador de Windows, Consola de administración de Windows,
Programador de tareas, servicios de Terminal Server, comporta-
miento del Instalador de Windows, Windows Messenger, Windows
Update, Reproductor de medios de Windows y mucho más.
Aquí son útiles varios parámetros.
Los parámetros del Centro de ayuda y soporte técnico ayudan
a limitar la información de Internet que se proporciona a sus
usuarios.

MMC ayuda a permitir las MMC personalizadas que entregue a

empleados delegados.
Los servicios de Terminal Server se establecen entre los sistemas
local y remoto.
Esta sección debe usarse para evitar que se tengan que estable-
cer parámetros para cada cuenta de usuario.
Windows Update, sobre todo, le permite controlar el acceso de
usuarios a esta característica.
Todos los valores Presenta una lista de todos los parámetros disponibles bajo Plan- Sí
tillas administrativas; puede establecerlos mediante cada uno de
los encabezados en el panel de detalles, dándole un acceso más
fácil a cada uno de estos parámetros.
Administre datos de usuario

Si está acostumbrado a una red heredada, se habrá vuelto adepto a la generación de nuevas
cuentas de usuario que administren automáticamente todos los depósitos de datos del usuario.
No son pocos los administradores de hoy en día que usan cuentas de plantilla que crean auto-
máticamente un directorio de inicio de usuario o un directorio de perfil de roaming de usuario, si
estos perfiles se encuentran en uso. Por ejemplo, en NT, es muy simple aplicar estos parámetros a
una cuenta de plantilla de usuario. Ambos están basados en una estructura de recursos compar-
tidos de convención de asignación de nombres universal (UNC, Universal Naming Convention)
PARTE IV
junto con la variable de nombres de usuario (%nombredeusuario%). Debido a que NT está basa-
da en el estándar de asignación de nombres NetBIOS, es necesario que todo esté en mayúsculas
para que la operación funcione.
La administración de los datos de usuario es muy simple en NT: cree un directorio de inicio,
cree un directorio de perfil (si es necesario), implemente una tecnología de administración de
cuotas e inicie la copia de seguridad de los datos. Si esto es lo que está acostumbrado a hacer,
verá que todas estas operaciones funcionan en Windows Server 2008, pero muchos de los con-
ceptos ya no se usan.
Con la introducción de IntelliMirror en Windows 2000, Microsoft redefinió la administración de
datos de usuario en la plataforma Windows. En WS08, los directorios de inicio ya no son necesarios.
Mucho de lo mismo se aplica al perfil de roaming. Y en una red paralela, una en donde se lucha por
evitar la transferencia de procedimientos heredados, deberá volver a meditar seriamente sus estra-
tegias de administración de datos de usuarios si quiere obtener lo máximo de su migración.
Originalmente, el directorio de inicio estaba diseñado para proporcionar una manera simple
de asignar los recursos compartidos de usuario en una red. En Windows NT, el uso de la varia-
ble %nombredeusuario% generaba automáticamente la carpeta y aplicaba de la misma manera
los parámetros de seguridad apropiados, dando al usuario completa propiedad sobre la carpeta.
Además, en las estaciones de trabajo de Windows NT se asignaba automáticamente la unidad de
red apropiada al inicio de la sesión. Debido a que la carpeta estaba en una unidad de red, podía
fácilmente crear copias de seguridad y proteger los datos de todos los usuarios. En Windows
Server 2008 y Windows Vista, ya no es necesario utilizar unidades asignadas. Windows Server
2008 ofrece una tecnología mucho más interesante, basada en el concepto de UNC, para admi-
nistrar todos los recursos compartidos de red. Éste es el sistema de archivos distribuido (DFS,
Distributed File System). Está diseñado para proporcionar un sistema de recursos compartidos
de archivo unificado que sea transparente para los usuarios sin la necesidad de asignar unidades.
Por supuesto, puede suceder que necesite algunas unidades asignadas, porque lo más probable
es que aún estará hospedando algunas aplicaciones heredadas, sobre todo las que han sido desa-
rrolladas en casa. Pero para las carpetas de usuario, las unidades asignadas ya no son necesarias.
Desde Windows 2000, Microsoft se ha concentrado en el uso de la carpeta Documentos
como el hogar de todos los documentos de usuario. Esta carpeta es parte de la estrategia de se-
guridad para todas las ediciones de Windows posteriores a Windows 2000. Está almacenada den-
tro de un perfil de usuario y se protege automáticamente de todos los demás usuarios. Lo mismo
es válido para todos los parámetros de aplicación del usuario. Ya no están almacenados dentro
de ninguna de las aplicaciones o el directorio del sistema. Las aplicaciones que están diseñadas
para dar soporte al programa Windows Logo almacenan sus parámetros que un usuario puede
modificar dentro del perfil de éste.
La parte de redireccionamiento de la carpeta de una directiva de grupo del usuario puede
administrar varias carpetas críticas y aceptar recursos compartidos de red para cada una. Cuando
el redireccionamiento se activa mediante la directiva del grupo, el sistema crea una carpeta es-
pecial basada en el nombre de usuario (de manera parecida al antiguo proceso de directorios de
inicio) y aplica los parámetros de seguridad apropiados. Cada una de estas carpetas se crea den-
tro de la carpeta principal del usuario. Los datos en esas carpetas se redireccionan desde la PC de
escritorio a las carpetas de red. Debido al proceso de optimización rápida de inicio de sesión, se
requiere que un usuario inicie sesión dos veces antes de que todos los datos se redireccionen.
Reemplace el directorio de inicio

El redireccionamiento de carpetas es completamente transparente para el usuario. Mientras con-
sideran que están usando la carpeta Documentos localizada en su escritorio, en realidad están
utilizando una carpeta localizada en la red. De esta manera, puede asegurar que todos los datos
de usuario están protegidos.
SUGERENCIA Asegúrese de que sus usuarios están al tanto de que deben almacenar sus datos
dentro de la estructura de la carpeta Documentos; de otra manera, no estarán protegidos.
Con el uso de esta estrategia de redireccionamiento de carpetas en lugar del de un directorio

de inicio, se simplifica el proceso de administración de los datos de usuario y se permite aprovechar
las características avanzadas de la red WS08. Por ejemplo, aunque los datos estén almacenados en
la red, se almacenan en la caché local mediante archivos fuera de línea. Las carpetas redireccio-
nadas se incluyen en caché automáticamente mediante el aprovechamiento de caché de lado del
cliente cuando se activan mediante un GPO, siempre y cuando el equipo cliente sea de Windows
XP o posterior (como sería el caso en una red paralela ideal). Eso significa que los archivos de esta
carpeta estarán en la caché local y quedarán disponibles para los usuarios, ya sea que estén co-
nectados a la red o trabajen desconectados. Hay problemas con el almacenamiento en caché de
archivos en el lado del cliente. Esto se cubre en el capítulo 8, porque los archivos fuera de línea son
una característica de recursos compartidos de red más que de la directiva de grupo.
Los datos de estas carpetas también pueden cifrarse mediante el cifrado de sistema de
archivos (EFS, Encrypting File System). Si el cliente es de Windows XP o posterior, pueden
cifrarse los archivos fuera de línea. Pero si decide seguir usando la estructura del directorio de
inicio y redirecciona los documentos al directorio de inicio, no podrá activar el cifrado de datos
en un archivo de usuario, porque el usuario no podrá descifrar los datos almacenados en la
carpeta redirigida; una razón más para evitar el uso de directorios de inicio. EFS se cubre en el
capítulo 10.
Remplace el peril de roaming

El redireccionamiento de carpetas se usa para almacenar una parte considerable del perfil de
usuario; es decir, todos los parámetros específicos de la aplicación del usuario, el contenido del
escritorio del usuario, Favoritos, el menú Inicio personalizado del usuario y más. El redireccio-
namiento de estas carpetas mediante la directiva del grupo es muy parecido al uso del perfil de
roaming de usuario. La mayor diferencia es el tiempo que se toma en activar un perfil.
Cuando usa un perfil de roaming y ha iniciado sesión en la estación de trabajo, Windows
Server 2008 copia todo el contenido del perfil de roaming a la estación de trabajo. Esto puede
tomar una cantidad considerable de tiempo. Sin embargo, es práctico, porque el usuario puede
encontrar su propio entorno sin importar en cuál equipo inicie sesión. Además, cuando el usuario
cierra la sesión, todo el perfil se copia de regreso al servidor. El uso de perfiles de roaming tiene
un impacto considerable en el rendimiento de la red, porque todo el contenido del perfil de un
usuario se copia al iniciar y cerrar sesión.
También es difícil imponer cuotas cuando se establecen los perfiles de usuario para usarse con
roaming, porque los usuarios encontrarán errores en caso de que cierren su sesión y estén usando
más espacio en su perfil del que se les permite en la red. En algunos casos, organizaciones que
usaban redes heredadas y perfiles de roaming se vieron forzadas a eliminar cuotas para asegurar
que los perfiles funcionaran todo el tiempo. Esto permitía que los usuarios tuvieran perfiles cuyo
PARTE IV
tamaño era simplemente excesivo. Imagine cuánto se tomaría un inicio de sesión en un sistema si
tuviera un perfil mayor de 1 GB. Incluso en la mejor de las redes, estaría justificado irse a tomar un
café por la mañana mientras se espera a que se complete el proceso de inicio de sesión.
Los perfiles de roaming ya no se requieren en la red de WS08 debido a tres razones principales:
• Es posible redireccionar la parte central del perfil de usuario mediante directivas de grupo, lo
que permite que quede disponible para el usuario todo el tiempo.
• Si la copia de seguridad del perfil es la justificación para implementar perfiles de roaming,
entonces los perfiles locales deben respaldarse de manera regular con la User State Migration
Tool (USMT). Esta herramienta puede utilizarse para crear una tarea recurrente que copie de
manera regular todos los perfiles de usuario locales a una ubicación central, de la que luego
puede crearse una copia de seguridad.
• Windows Vista y Windows Server 2008 dan soporte al Escritorio remoto. Cuando se adminis-
tra adecuadamente, éste permite a los usuarios tener acceso a su propio escritorio local desde
cualquier ubicación de la red. Esto elimina casi por completo la necesidad de los perfiles de
roaming de usuario.
Si encuentra que aún necesita perfiles de roaming de usuario, asegúrese de tomar en cuenta
las siguientes reflexiones:
• No use almacenamiento en caché del lado del cliente en recursos compartidos del peril
de roaming El mecanismo del perfil de roaming tiene su propio sistema de caché, que entra
en conflicto con el sistema de archivos fuera de línea.
• Maneje adecuadamente el tamaño de las cuotas que establece para los usuarios con per-
iles de roaming Si la cuota del disco es demasiado baja, la sincronización del perfil fallará
al cerrar la sesión.
Lo mejor que puede hacer es empezar a usar la nueva estrategia de red y concentrarse en el
redireccionamiento de carpetas en lugar de los directorios de inicio o los perfiles de roaming.
SUGERENCIA Para conocer un esquema de la estrategia detallada de la manera en que puede com-
binar los periles de roaming y el redireccionamiento de carpetas para obtener lo mejor de ambos
mundos, lea el capítulo 8 de The Deinitive Guide to Vista Migration, una descarga gratuita
de www.realtime-nexus.com/dgvm.htm.
Otros tipos de peril

Un tipo especial, el perfil obligatorio, también se usaba en las redes heredadas. Se trata de un
perfil bloqueado que impone los parámetros de escritorio en el sistema cuando un usuario
inicia sesión. Una vez más, aunque este tipo de perfil tiene soporte en Windows Server 2008,
en realidad ya no se requiere. Al igual que el directorio de inicio y el perfil de roaming, el perfil
obligatorio debe inscribirse dentro de las propiedades de cuenta del usuario. Es poco prácti-
co tener que inscribir configuraciones específicas por usuario. Por eso es que las directivas de
grupo deben ser su método favorito. Los GPO proporcionan un lugar central para la aplicación
de cambios.
En la sección de administración de PC de este capítulo se trató la manera en que podría
usarse la característica de bucle invertido de las directivas del grupo para asegurar que pudieran
protegerse los equipos expuestos a riesgos de seguridad, como los de una exhibición. El bucle
invertido es un dispositivo que protege a los equipos que tienen funciones genéricas. El personal
temporal al que tienen que darse un entorno de PC de escritorio seguro y controlado debe caer
en esta categoría. Si necesita crear y mantener perfiles obligatorios, pregúntese primero si puede
asegurar el escritorio mediante una configuración de equipo tipo PC de exhibición.
Secuencias de comandos de inicio y cierre sesión

Las secuencias de comandos también se administran mediante directivas de grupo y ya no
mediante las propiedades de cuenta de usuario. La compatibilidad con Windows NT es la única
razón por la que aún es posible escribir una secuencia de comandos de inicio de sesión como
propiedad de una cuenta de usuario. Desde Windows 2000, las ediciones de Windows aceptan
secuencias de comandos de arranque, apagado, inicio y cierre de sesión. Eso significa que mien-
tras la secuencia de comandos se ha vuelto una herramienta mucho más popular y poderosa
dentro de Windows, ya no se aplica a usuarios individuales.
Además, también ha cambiado la naturaleza de la secuencia de comandos de inicio de
sesión. Muchas organizaciones la usaban para asignar unidades e impresoras de red. Las impre-
soras ahora pueden asignarse mediante directivas de grupo. También los nombres de impresoras
se almacenan dentro de ADDS y es posible buscarlas directamente, lo que hace mucho más fácil
para los usuarios encontrar las impresoras de red. Lo mismo es cierto para los recursos com-
partidos de red mediante las características de DFS. La imposición de asignación mediante una
secuencia de inicio de sesión se está volviendo cosa del pasado.
Tal vez sea necesario habilitar ciertas asignaciones de unidad de red para proporcionar
soporte a aplicaciones heredadas que aún no se han actualizado para aprovechar por completo
características como DFS, pero en casi todos los casos será una medida temporal. Si esto es lo
que sucede, puede asignar secuencias de comandos de inicio de sesión en la parte Configuración
de usuario de la directiva de grupo.
Lo cierto es que necesita volver a pensar su estrategia de secuencia de comandos de inicio
de sesión, para asegurarse de que no duplica esfuerzos que pueden proporcionarse mediante la
configuración de directivas del grupo. Lo que también es cierto es que cuando configura y crea
cuentas de usuarios, ya no necesita el uso de la ficha Perfil de la cuenta del usuario.
Las secuencias de comandos están ahora ubicadas en el recurso compartido SYSVOL, bajo el
identificador de objeto de directiva de grupo en el que están activadas.
PRECAUCIÓN Las secuencias de comandos de inicio y cierre de sesión siempre se ejecutan en un

contexto de usuario. Tenga esto en mente cuando las diseñe. Si quiere que las secuencias de co-
mandos realicen tareas administrativas en la PC (tareas para las cuales el usuario no cuenta con
permisos de ejecución) necesita establecerlas como secuencias de comandos de arranque o apagado,
porque operan en un contexto elevado.
Complete la estructura de la OU Personas

Ahora que tiene una mejor comprensión de las principales opciones dentro de WS08 para la
administración y el manejo de usuarios, está listo para empezar la etapa de terminación de la
infraestructura de su OU Persona. La manera más fácil de hacerlo es detallar los requisitos para
PARTE IV
cada OU en una tabla, de manera muy parecida a como lo hicimos con el diseño de la OU PC.
Persona Uno Agrupar a todos los usuarios GPO Persona Aplica a todos los usuarios
de la organización global Es principalmente una OU marcadora de
posición
Incluye todos los grupos globales de la
función de TI
Unidad de ne- Dos Agrupar a todos los usua- Es posible, Segrega a los usuarios por unidad de
gocios 1 a x rios, de acuerdo con las pero no nece- negocios
unidades de negocios de la sariamente Sólo incluye usuarios para oicinas
organización obligatoria. centrales
Evítese, si es Incluye grupos globales para la unidad de
posible negocios
Creación de usuarios (a partir de cuentas
de plantilla) y administración de perte-
nencia a grupos se delega a representan-
tes de usuarios
FIGURA 7-8 Estructura de OU de administración de Persona

Región 1 a x Tres Agrupar a todos los usuarios Posible, no Creación de usuarios (a partir de cuentas
dentro de una región requerido de plantilla) y administración de pertenen-
Se crea bajo la unidad de absolutamen- cia a grupos. Se delega a representantes
negocios de operaciones te. Evitar en lo de usuarios
regional posible Incluye grupos administrativos regionales
especiales
Grupo de tra- Dos Agrupar a todos los usuarios GPI SIG El GPO se concentra la coniguración de
bajo especial como el equipo de interven- los servicios de Terminal Server
ción inmediata Todos los usuarios tienen acceso a su
propio Escritorio remoto, además de las
operaciones regionales
Proyectos Dos Agrupar todas las OU Pro- Sólo para categorización
yectos Contiene principalmente otras OU
Puede contener un grupo de adminis-
tración si se delega la administración y
creación de OU basadas en proyectos
Proyecto 1 a x Tres Agrupar todos los grupos La administración de pertenencia a
de usuarios que están grupos se delega al representante del
relacionados con cualquier usuario del proyecto
proyecto determinado
Administrativo Dos Agrupar todos los grupos La administración de pertenencia a
globales y OU secundarias grupos se delega al representante del
para la unidad de negocios usuario
de administración
Recursos Tres Agrupar todos los usuarios Segrega a los usuarios por servicio
humanos, de acuerdo con el servicio Incluye sólo usuarios para oicinas
Recursos administrativo organizacional centrales
materiales, Incluye grupos globales para el servicio
Finanzas, Co- La creación de usuarios (a partir de
municaciones, cuentas de plantilla) y la administración
Contabilidad de pertenencia a grupos se delega a
representantes de usuario
TI y SI Tres Agrupar todos los usuarios Es posible, Segrega usuarios por servicio
de acuerdo con el servicio pero no obliga- Sólo incluye usuarios para oicinas
administrativo organizacional torio centrales
Incluye grupos globales para el servicio
La creación de usuarios (a partir de
cuentas de plantilla) y la administración
de pertenencia a grupos se delega a
representantes de usuario
La creación de OU secundarias también
es posible aquí y puede delegarse
TABLA 7-9 Estructura de OU de administración de Persona (Continuación)

En la tabla 7-9 se delinea una posible estructura para la OU Persona de la corporación T&T.
Como se mencionó antes, T&T tiene varias oficinas principales donde la creación de usuario se
delega en cada unidad de negocios. Además, tiene varias oficinas regionales que cuentan con
oficinas de seguridad locales que realizan muchas de las tareas de administración del usuario.
Como los objetos sólo pueden estar contenidos dentro de una OU, varios usuarios de diferentes
unidades de negocios se localizan dentro de las OU regionales. Por tanto, la OU de unidad de
negocios real debe contener usuarios de las oficinas centrales además de los grupos globales que
se utilizan para reagrupar a todos los usuarios de la unidad de negocios, sin importar dónde está
localizada la cuenta del usuario dentro del directorio. T&T también tiene grupos de intereses es-
peciales, sobre todo un equipo tipo intervención directa que se usa para proporcionar reemplazo
de emergencia para el personal que está ausente por una razón u otra. Debido a que los miem-
bros de este grupo deben tener capacidad para jugar una función de usuario operativo dentro de
la organización, se reagrupan en una OU especial. Por último, T&T maneja las operaciones me-
diante proyectos. Por tanto, su estructura de OU Persona debe incluir administración de grupos
basada en proyectos. Estas necesidades se toman en cuenta, y la estructura de OU resultante se
delinea en esta tabla.
NOTA Mantenga un férreo control sobre el proceso de creación de OU secundarias, porque debe
asegurarse de que el rendimiento del directorio no sea afectado debido a una estructura de OU
demasiado compleja.
Al seguir las directrices de la tabla se le da una estructura de OU Persona completa (vea la

figura 7-22).
Ponga en funcionamiento la infraestructura de la OU Persona
PARTE IV
Puede proceder a la creación de esta infraestructura de OU porque ha diseñado su matriz de in-
fraestructura de la OU Persona (consulte la tabla 7-9). Para esto se supone que ha realizado todas
las actividades de identificación que aparecen en la lista anterior, como preparar una matriz de
propósito del grupo, identificar a todos los administradores del grupo y a todos los propietarios
de OU y representantes de usuario.
Una vez hecho esto, puede proceder a la creación de la infraestructura. Las actividades que
necesita realizar para crear esa estructura son:
• Crear cada OU.
• Crear el GPO Persona global y modificar sus parámetros (consulte la tabla 7-8).
• Crear la estructura de grupo requerida para asignar derechos y delegar administración; esto
debe incluir:
• Grupos globales para cada unidad de negocios (dirección menos 1).
• Grupos de proyecto para cada OU del proyecto.
• Grupos administrativos especiales para redireccionamiento de carpetas y representantes de
usuario (para delegación).
• Grupos globales de función de TI (deben almacenarse en la OU Persona de nivel superior).
• Grupos operativos para asignación de derechos. Éstos no están almacenados en la in-
fraestructura de la OU Persona, sino más bien en la de la OU Ofrecimientos de servicios
virtuales (consulte el capítulo 8). Para momentos futuros, estos grupos pueden almacenarse
• Grupos de la función de
usuarios de TI • Grupos globales para la unidad de
• Aplicable a todos los usuarios GPO
negocios
• Delegación a representantes de usuario
• Sólo usuarios para las oficinas

centrales
• Grupos globales para la unidad
de negocios
• Delegación a representantes
• Posible creación de OU secundarias
del usuario
• Sólo usuarios para oficinas centrales

• Grupos globales para la unidad de
negocios
• Delegación a representantes de usuarios
• Delegación al representante del usuario

• Grupos administrativos especiales
regionales
• Sólo para categorización
• Contiene sobre todo otras OU
• Delegación a representantes del
usuario del proyecto
• Aplicable a todos los usuarios

GPO
FIGURA 7-22 Aplicación de GPO y delegación en la estructura de la OU Persona.
en una OU temporal. Luego pueden moverse a la OU Ofrecimientos de servicios virtuales

cuando esté preparado.
• Todos los grupos deben de estar completamente documentados y cada uno debe tener un
administrador asignado.
• Asigne derechos de delegación a cada OU.
• Cree consolas de administración de Microsoft para cada OU que incluya derechos de de-
legación.
Regrese a la sección “Administración de PC” para ver cómo se realiza cada actividad. Como
verá, la creación de esta infraestructura de OU es una de las operaciones más intensas que tendrá
que realizar mientras prepara la red paralela de ofrecimientos de servicios virtuales. Tómese su
tiempo y asegúrese de hacerlo de manera correcta. Ahora es momento de pulirla, porque estará
viviendo con esa estructura por algún tiempo en el futuro. Ya está casi listo para migrar los usua-
rios a la red paralela, pero no lo haga aún. La migración de usuarios no debe ocurrir hasta que
todo se haya preparado en su red paralela. Aún necesita implementar su infraestructura de servi-
cios, definir las medidas de seguridad estructurada y preparar sus estrategias de administración
de riesgos. Hasta que lo haga (en los siguientes cuatro capítulos se le mostrará cómo hacerlo), no
podrá empezar a hospedar números masivos de usuarios dentro de su red.
La migración masiva de usuarios no ocurrirá hasta el capítulo 12, porque esa actividad está
muy relacionada con las actividades recurrentes de administración de usuarios y grupos.
CAPÍTULO
8
Construya la infraestructura de
ofrecimientos de servicios virtuales:
servidores de archivos e impresión
E
l principal propósito de una red es la entrega de ofrecimientos de servicios a una comuni-
dad de usuarios. Una de las tareas más importantes que emprenderá cuando diseñe la red
paralela de ofrecimientos de servicios virtuales será la implementación de la infraestructura
que dará soporte a estos ofrecimientos. Esta implementación incluirá dos pasos principales: la
creación de los servidores que hospedarán cada tipo de ofrecimiento de servicios y la creación de
la infraestructura unidad organizativa (OU, Organizational Unit) que dará soporte a la adminis-
tración de servicios dentro del directorio.
En el capítulo 3 se identificaron ocho funciones de servidor dentro de la empresa. Dos de
ellas ya se han cubierto con cierta amplitud: los servidores de administración de identidad (con-
troladores de dominio) y los de infraestructura nativos. Otro tipo, el servidor de recuperación de
fallas, es en realidad un duplicado de servidores existentes, y con la virtualización de todos los
ofrecimientos de servicios, esta función se concentra en la duplicación de las máquinas virtuales
que integran sus ofrecimientos de servicios virtuales. Dicha función se cubrirá en la parte de este
capítulo en que nos concentraremos en las tecnologías de replicación (el motor que permite la
duplicación de archivos que integran una máquina virtual).
Ello deja cinco funciones clave cuando se diseña su infraestructura de servicio:
• Servidores de archivos e impresión Servidores que proporcionan servicios de almacena-
miento e impresión estructurada de documentos a la red.
• Servidores de aplicaciones Servidores que proporcionan servicios de aplicación con base
en aplicaciones comerciales, como SQL Server, Comerse Server, etc., o en aplicaciones corpo-
rativas personalizadas. También incluye aplicaciones basadas en .NET Framework.
• Terminal Servers Servidores que proporcionan un entorno central de ejecución de aplica-
ciones; todo el entorno de ejecución reside en el propio servidor.
• Servidores Web dedicados Servidores que proporcionan servicios Web.
• Servidores de colaboración Servidores que proporcionan la infraestructura de colaboración
dentro de la empresa. Entre sus servicios se incluyen SharePoint Team Services, delineación de
servicios de medios, servicios de correo electrónico y comunicaciones en tiempo real.
391
Además, será importante completar la cobertura de los servidores de infraestructura de red,

porque sólo se han cubierto hasta ahora unas cuantas de sus funciones.
NOTA La función de servidor Web dedicado se cubrirá en el capítulo 9, junto con la función del
servidor de aplicaciones.
La estructura para la cobertura de cada una de estas funciones de servidor incluye:

• Requisitos funcionales Análisis de la manera en que debe diseñarse el servicio para la red
de la empresa y la racionalización del servicio.
• Características Dan soporte a la función o el ofrecimiento de servicios dentro de Windows
Server 2008 (WS08), incluidas las nuevas características.
• Instrucciones de implementación La manera de proceder con la preparación de la función
del servidor dentro del entorno de la red paralela.
Cada función de servidor estará basada en el modelo de construcción de servidores delinea-
do en el capítulo 3, el modelo PASS, y el proceso básico de construcción de servidores detallado
en el capítulo 4, el diseño del kernel del servidor. En realidad, aquí sólo agrega funciones perti-
nentes para el diseño del servidor central.
Además, cada vez que una función afecte al almacén de recursos, se describirá en detalle.
Por ejemplo, la función de servicios de archivos afecta a los almacenes de recursos debido a las
características que pueden usarse para proporcionar continuidad a los ofrecimientos de servicios
virtualizados. De manera similar, cuando se analiza la continuidad del negocio, se cubrirán en
detalle las características que ofrecen redundancia a los servidores host. Todo, por supuesto, con-
centrado en la instalación de Server Core que ejecuta el motor de virtualización que da soporte a
los ofrecimientos de servicios virtuales.
Todas las funciones mencionadas aquí suelen asignarse a servidores miembros. Los contro-
ladores de dominio están reservados para una de dos funciones: servidores de administración de
identidad y de varios propósitos (servidores que combinan más de una función por el tamaño de
la base de usuario a la que dan soporte). Estos últimos suelen encontrarse en oficinas regionales
más pequeñas. Deben construirse con cuidado debido al riesgo de seguridad que se relaciona
con el ofrecimiento de varios servicios de usuario en un controlador de dominio.
PRECAUCIÓN Con el advenimiento de los ofrecimientos de servicios virtuales, tal vez decida recu-
rrir al uso de servidores de varios propósitos, debido a los riesgos de seguridad y la complejidad de
su coniguración. Como ahora puede virtualizar cada servidor que ofrece un servicio determinado
a los usuarios, tal vez sea mejor usar una máquina virtual para cada servicio que debe ofrecer a
las regiones. Aunque esto aumentará el número total de servidores que debe administrar, será
más simple administrar cada uno de ellos, porque su coniguración estará más enfocada. Al inal,
necesitará equilibrar la simplicidad de la administración con el número general de servidores y las
licencias que debe comprar. Por supuesto, con el nuevo modelo de licencias para servidores virtua-
les, se vuelve mucho más fácil usar una sola licencia para varios equipos virtuales.
También será importante cubrir temas específicos de continuidad del negocio para todos los
tipos de servidor, como el del equilibrio de carga de red y los servicios de clúster de recuperación
Capítulo 8: Construya la infraestructura de ofrecimientos de servicios virtuales 393
de fallas. Ambos ofrecen poderosas características que reducen el riesgo dentro de la empresa. Estos
temas se analizarán con mayor detalle en el capítulo 11. Además, en cada capítulo se tratarán los
ofrecimientos de servicios que incluyen una tabla en que se delinean los requisitos de negocios para
construir la función del servidor. Esto funcionará como guía para la construcción del servidor.
Por último, una vez que se haya cubierto la base de los servicios empresariales, será el
momento de diseñar la estructura del OU Ofrecimientos de servicios virtuales dentro del
directorio. Al igual que para las estructuras de OU Persona y PC, este diseño incluirá objetos
de directiva del grupo (GPO) y principios de delegación, pero también incluye de manera
única el diseño de un plan de administración de ofrecimientos de servicios virtuales. Como en
las versiones anteriores de Windows, WS08 ofrece la capacidad de concentrarse en derechos
administrativos específicos, con base en la tarea de la que el administrador es responsable. Esto
significa que ya no necesitará otorgar derechos de administración de dominio a todos y cada
uno para que realicen su trabajo, como lo hacía en Windows NT. Este plan de administración
de ofrecimientos de servicios virtuales será un elemento clave de su infraestructura de seguri-
dad para la red que está construyendo.
La estructura de ofrecimientos de servicios virtuales será construida a medida que cada
servicio se agregue a la red. Es en este punto cuando debe identificarse el contenido de la OU.
Una vez que cada ofrecimiento de servicios se haya cubierto, se cubrirán de manera detallada los
requisitos administrativos, de delegación y de directiva del grupo para cada uno.
Prepare los servidores de archivos e impresión

El servidor de red más básico es el de archivos e impresión. Ambos servicios son una de las prin-
cipales razones por la que los grupos de personas tienden a integrar redes. El almacenamiento
central de archivos proporciona la capacidad de compartir información además de protegerla, y
también da un solo lugar para operaciones de respaldo y recuperación. Los servidores de impre-
PARTE IV
sión permiten reducir los costos de impresoras de hardware al compartir menos impresoras entre
más usuarios. Además, los servidores de almacenamiento central de archivos pueden indizar el
contenido para todos los usuarios, facilitando el reciclaje de la información.
Windows Server 2008 ofrece varias características para dar soporte a ambas operaciones. En
realidad, compartir archivos e impresión en WS08 se ha vuelto algo muy complejo.
Comparta archivos y carpetas

Uno de los aspectos clave de cualquier red es la estandarización del servidor. Cuando se ponen
en funcionamiento y se preparan los servidores para compartir archivos y carpetas, debe empezar
por identificar el objetivo o, más bien, el tipo de intercambio de archivos que pretende realizar.
Después de años de existencia, el intercambio de archivos se ha concentrado en unas cuantas
funciones clave. Los tipos de archivos que la mayor parte de las organizaciones necesitan com-
partir hoy en día son los siguientes:
• Datos de usuarios Los archivos que integran la información personal del usuario y el perfil
de éste. Es un recurso compartido privado.
• Datos públicos La información que se pone a disposición de todo el personal de la corpo-
ración, aunque con el advenimiento de las tecnologías Web, este intercambio de archivos se
está volviendo cada vez menos útil.
• Datos departamentales La información que queda disponible para todo un departamento

y para todos los servicios que se localizan dentro del mismo. Una vez más, este recurso com-
partido de archivos se está volviendo menos frecuente debido a las tecnologías Web.
• Datos de proyectos Información que se comparte entre los integrantes de un proyecto.
• Aplicaciones de software Aplicaciones que operan desde una ubicación central.
• Orígenes de instalación Archivos de origen del software instalado en servidores o PC.
• Administración del sistema Archivos especiales de administración del sistema usados por
personal técnico y de operaciones.
• Máquinas virtuales Servidores hosts que a menudo utilizarán carpetas compartidas para
hospedar máquinas virtuales debido a las ventajas de redundancia que ofrece el intercambio
de archivos. Sin un recurso compartido de archivos, las características automáticas de copias
de seguridad y replicación de archivos no están disponibles. En muchos casos, el recurso del
que puede depender para este servicio es el recurso compartido administrativo especial que
se genera automáticamente durante la instalación de Windows. Este recurso especial toma
el formato nombreunidad$ donde el nombre del recurso compartido es el de la unidad (C, D,
E, etc.) y el signo de pesos ($) se agrega para ocultarlo, de modo que los usuarios no puedan
encontrarlo cuando exploran entornos de red.
Como podrá ver, tecnologías Web, en especial Windows SharePoint Services, están reempla-
zando varios de estos recursos. La mayoría de los usuarios se sienten cómodos con el intercam-
bio tradicional de archivos y siguen usándolo aunque estén disponibles tecnologías más innova-
doras para reemplazar esta función.
El intercambio de archivos e impresión es permitido mediante dos características centrales:
el propio sistema de archivos y su capacidad para la administración de discos, y el subsistema de
recursos compartidos de Windows. El primero es el más importante en cuanto al almacenamien-
to de información.
Acerca de discos y volúmenes

Todos los discos con los que trabaja, sean físicos, lógicos o virtuales, deben formatearse con el
sistema de archivos de nueva tecnología (NTFS, New Technology File System). Éste es el úni-
co sistema de archivos que debe usar, porque es el que permite el control completo sobre las
características del disco, en especial las de seguridad. Como está ejecutando un sistema operativo
inteligente, necesita depender de un sistema de archivos que también lo sea.
Además, mientras que Windows Server 2008, como sus predecesores, permite la capacidad
de administrar mecanismos de protección de discos, como el grupo aleatorio de discos inde-
pendientes (RAID, Random Array of Independent Disks), mediante el sistema operativo, debe
depender de componentes de hardware para administrar discos en este nivel, porque el uso del
sistema operativo para hacerlo reduce el rendimiento de sus servidores.
En Windows, encontrará varios términos diferentes para las tecnologías de almacenamiento.
Los más comunes son:
• Discos Los discos son los componentes reales de hardware que almacenan los datos.
• Volúmenes Los volúmenes son estructuras lógicas de disco que delimitan un área de alma-
cenamiento en un disco duro.
• Particiones Las particiones son partes de discos duros y funcionan como si fueran discos
físicos separados.
• Discos básicos Los discos básicos son particiones que sólo atienden un disco físico. Cuando
usa RAID de hardware, la estructura de RAID puede verse en Windows como un disco básico,
aunque esté integrado por varios discos físicos.
• Discos dinámicos Los discos dinámicos se crean en Windows para permitir que el sistema
operativo administre particiones que abarcan más de un disco físico. Los discos dinámicos
sólo deben usarse si trata de administrar redundancia de discos mediante el sistema operativo
de Windows, lo que no es recomendado.
• Unidades de disco Las unidades de disco se usan para atender volúmenes de discos me-
diante la interfaz de Windows.
Hay otros términos relacionados con discos en uso en Windows, pero son los que utilizará
cuando trabaje con almacenes de recursos y ofrecimientos de servicios virtuales.
El hecho innegable del almacenamiento de archivos es que siempre aumenta y raramente se re-
duce. Por fortuna, los discos son ahora muy económicos, pero como sabe que es probable que deba
expandir el sistema de almacenamiento en discos en algún momento, tiene sentido usar un subsis-
tema que acepte fácilmente las expansiones físicas con poco o nulo impacto sobre las particiones ló-
gicas. Por ello es importante usar sistemas RAID de hardware, ya que liberan al sistema operativo de
las tareas de administración de discos de bajo nivel. Hoy en día, hay sistemas RAID disponibles para
discos de interfaces pequeñas de sistemas de cómputo (SCSI, Small Computer System Interface) y
datos adjuntos seriales de tecnología avanzada (SATA, Serial Advanced Technology Attachment), de
modo que casi cualquier organización puede adquirir la infraestructura de almacenamiento apropia-
da y usar sus capacidades de hardware para proteger los datos en el nivel del disco.
Estructure volúmenes de discos para almacenamiento de recursos

Cada vez que hable de intercambio de archivos, necesita hablar acerca de estructuras de discos.
Y, con el advenimiento de Hyper-V y la división asociada de infraestructuras de tecnología de la
PARTE IV
información en almacenes de recursos y ofrecimientos de servicios virtuales, la estructura de dis-
cos que construya se volverá cada vez más importante. Los almacenes de recursos tratarán con
discos físicos porque actúan en el nivel del hardware. Pero los ofrecimientos de servicios virtuales
tratarán con unidades de discos virtuales, que son archivos que residen en los discos físicos usa-
dos por el almacén de recursos. Esto significa que debe empezar por construir y crear su almacén
de recursos de discos físicos y luego, una vez que estén listos, puede construir los servidores de
archivos virtuales que hospedarán.
Ya ha iniciado este proceso, pero es necesario un análisis más a profundidad, que se concen-
tre en el uso del almacenamiento de recursos compartidos por parte de los servidores hosts. El
almacenamiento compartido es esencial para los almacenes de recursos, si quiere construir conti-
nuidad del negocio y tener alta disponibilidad en su infraestructura de TI. Cuando los servidores
hosts comparten recursos de discos, puede mover cargas de trabajo de un host a otro, porque
ambos tienen acceso al recurso de discos donde residen las unidades de discos virtuales que inte-
gran la máquina virtual. Por supuesto, también debe incluir las características de unión en clúster
para recuperación de fallas en sus servidores hosts, pero eso se cubrirá en el capítulo 11, donde
analizaremos las prácticas de continuidad del negocio.
Almacenamiento compartido significa el uso de almacenamiento adjunto de red (NAS, Net-
work Attached Storage) o de redes de área de almacenamiento (SAN, Storage Area Network).
Windows Server 2008 puede conectarse al almacenamiento de recursos compartidos mediante
SCSI, canal de fibra o interfaces pequeñas de sistemas de cómputo de Internet (iSCSI, Internet
Small Computer System Interface). Cada uno requiere que funcione su propio componente de
hardware. Pero una vez que el almacenamiento compartido esté vinculado al servidor, empezará a
trabajar con las unidades de disco creadas y estructuradas dentro de su entorno de almacenamiento
compartido. Estas unidades podrán aprovechar las características de redundancia disponibles en su
infraestructura de almacenamiento compartido. Empiece por preparar esas estructuras y luego siga
adelante para que Windows trabaje con sus interfaces de administración de discos.
Debido a que los servidores host ejecutan la implementación de Server Core de WS08, no
tiene acceso a las mejoras de la interfaz gráfica de la instalación completa de WS08 para la ad-
ministración del almacenamiento compartido. En cambio, debe utilizar herramientas de línea de
comandos. Una de estas herramientas es el comando DISKPART.EXE, que le permite controlar
el almacenamiento adjunto directo y el compartido. También le permite crear configuraciones
iniciales de disco, además de expandir volúmenes de disco una vez que se hayan creado. Pue-
den usarse ya sea interactivamente, mediante su propio entorno de comandos o pueden crearse
secuencias de comandos al crear listas de ellos en un archivo de texto y llamar después a este
archivo cuando se ejecute el comando.
Debe crear una estructura de disco estándar para todos los servidores físicos en el almacén
de recursos. Esta estructura debe incluir lo siguiente:
• Unidad C: Es el disco del sistema.
• Unidad D: El disco de almacenamiento de datos compartidos. Este disco hospedará todas
las unidades de disco duro virtuales que integran los ofrecimientos de servicios virtuales.
• Unidad E: Un disco compartido secundario que se usa para proporcionar servicios de copia
de seguridad para el contenido de la unidad de datos.
• Unidad Y: La unidad del servidor de DVD/CDRW.
Todos sus servidores hosts deben usar esta estructura de discos. Debido a que los volúmenes
de discos pueden expandirse, no será necesaria ninguna otra letra de unidad.
Cuando trabaja con el comando DISKPART, primero debe seleccionar el disco, el volumen o
la partición con que quiere trabajar, y luego aplicar los comandos al objeto seleccionado. Debido
a que es un entorno de ejecución, la mejor manera de obtener ayuda de este comando consiste
en escribir primero DISKPART en el indicador de comandos; luego, una vez que esté abierto el
entorno de ejecución, escriba HELP. Escriba EXIT para cerrar el entorno de ejecución de DIS-
KPART y regresar al indicador de comandos.
Consulte al fabricante de su almacenamiento para determinar la manera en que debe confi-
gurarlo y conectarlo a sus instalaciones de Server Core.
NOTA También debe almacenar la unidad C: en su infraestructura de discos compartidos; de esta

manera, sus servidores blade tendrán la capacidad de contar únicamente con memoria de acceso
directo (RAM, Random Access Memory), procesadores e interfaces de red. El uso de infraestruc-
turas de discos compartidos para almacenar unidades de arranque facilita realmente el funciona-
miento de los servidores, porque se puede capturar una instalación, copiarla mediante las herra-
mientas de infraestructura de discos compartidos, ejecutar SYSPREP en ellas y luego usarlas
para sembrar otras instalaciones, como lo haría con una unidad de disco duro virtual. La principal
diferencia aquí es que se trabaja con una partición de almacenamiento dentro de su infraestruc-
tura de discos compartidos, pero obtiene las ventajas que proporciona la abstracción de discos
cuando se utilizan servidores.
Estructure volúmenes de discos para ofrecimientos de servicios virtuales

También debe crear una estructura de discos estándar para cada servidor del ofrecimiento de ser-
vicios virtuales. Es similar al creado para los almacenes de recursos, pero incluye algunas diferen-
cias menores. Esta estructura debe incluir lo siguiente:
• Unidad C: Es el disco del sistema.
• Unidad D: El disco de almacenamiento de datos.
• Unidad E: Un disco opcional para que los servidores almacenen aplicaciones de bases de
datos, además de hacerlo para los servidores de archivos. En el mundo de Microsoft, esto
incluye servidores que hospedan bases de datos de Servicios de dominio de Active Directory
(controladores de dominio), SQL Server y Exchange. Para que los servidores ejecuten aplica-
ciones de bases de datos, este disco se usa para almacenar diarios de transacciones. En el caso
de servidores de archivos, esta unidad se usa para compatibilidad con copias de seguridad
frecuentes.
• Unidad Y: La unidad del servidor de DVD/CDRW.
No importa la manera en que esté construido su servidor, debe usar esta estructura para su
aspecto lógico. Debido a que todas las unidades de disco duro pueden extenderse, aun las unida-
des virtuales, no se necesita ninguna otra letra de unidad.
En un servidor de archivos, el disco que requiere la mayor parte de la estructura es la unidad
D:, porque es el que almacena los datos y los documentos compartidos del usuario y el grupo.
Este disco debe incluir una carpeta maestra para cada uno de los tipos de datos diferentes iden-
tificados antes. Además, es una buena idea estructurar las carpetas del disco, de acuerdo con el
contenido (vea la figura 8-1).
Puede depender de los siguientes principios cuando cree las carpetas en la unidad D:
• En primer lugar, agrupe la información de acuerdo con el contenido. Esto significa que se
PARTE IV
requieren tres carpetas de nivel superior: Datos, Aplicaciones y Administración. Cada una se
usará para reagrupar carpetas que almacenarán contenido similar.
• En segundo lugar, use nombres de carpetas representativos. Si una carpeta se usará para
almacenar datos de usuario, llámela DatosUsuario.
• En tercer lugar, use palabras combinadas. Es decir, no incluya espacios ni caracteres especiales
entre palabras. Si el nombre de su carpeta es Datos de usuario, escríbalo como DatosUsuario.
Desafortunadamente, aún hay vestigios de NetBIOS en WS08. NetBIOS prefería cadenas de
palabras que no usaban espacios ni otros caracteres especiales. Incluso las tecnologías Web los
prefieren. Los espacios también complican cualquier ruta de archivos a la que necesite hacer
referencias en secuencias de comandos o herramientas de línea de comandos porque requie-
ren comillas al principio y al final.
• En cuarto lugar, asigne a sus carpetas los nombres con los que querrá que aparezcan sus
recursos compartidos. Un buen ejemplo aquí es el uso del signo de pesos ($) al final de un
nombre de carpeta. Recuerde que cuando comparte una carpeta con el signo de pesos al final,
se vuelve un recurso compartido “oculto”; por ejemplo, no puede verse mediante los mecanis-
mos de exploraciones de red.
Vista pública de las

Vista administrativa de la estructura del disco carpetas compartidas
Disco de datos
Carpeta principal para los archivos del
sistema y las herramientas de soporte
Los recursos compartidos ocultos se

identifican claramente
Carpeta principal para las aplicaciones

compartidas
Carpeta principal para el almacenamiento
de datos
Recurso compartido oculto para datos de
usuarios
Carpeta principal para los datos de
departamentos
Carpetas individuales de departamentos
Pueden incluirse carpetas por centro de
costos o por servicio
Carpeta principal para todos los proyectos
Carpetas de proyectos
Almacenamiento de datos públicos
FIGURA 8-1 Estructura de carpeta y recursos compartidos de la unidad D:.
• En quinto lugar, cree la misma estructura de carpetas en todos los servidores que tengan una
vocación de archivos e impresión, aunque deberá compartir cada una de las carpetas en cada ser-
vidor. Esta estrategia le permitirá activar rápidamente un recurso compartido de carpetas cuando
deje de funcionar un servidor de archivos. Debido a que cada servidor tiene la misma estructura
de carpetas, la activación de la carpeta compartida en un caso de emergencia es rápida y fácil.
Empleando estas pautas, las carpetas deben crearse de acuerdo con los detalles delineados
en la tabla 8-1.
Permisos NTFS
Windows Server 2008 es similar a versiones anteriores de Windows en que los permisos de las
carpetas compartidas se basan en una combinación de NTFS y permisos de carpeta comparti-
dos. Como tales, se aplican las mismas reglas. Esto significa que, debido a que resulta complejo
administrar permisos de archivos y de recursos compartidos, se vuelve mucho más fácil concen-
trarse en permisos NTFS, porque son los permisos finales aplicados cuando los usuarios acceden
a archivos mediante recursos compartidos de red (vea la figura 8-2).
La combinación de los permisos de carpetas compartidas con permisos NTFS puede volverse
confusa y difícil de detectar en caso de problemas, si los combina y los correlaciona. Para simpli-
ficar el proceso, sólo debe usar permisos NTFS en casi todos los casos, debido a que siempre se
aplican los permisos más restrictivos.
En Windows Server 2008, hay dos maneras principales de compartir una carpeta. La primera
consiste en hacer clic con el botón derecho en la carpeta y seleccionar Compartir. Ese comando
abre un cuadro de diálogo Archivos compartidos, que presenta una lista con el creador de la
Nombre de Permisos de
Nombre de recurso Configuración recursos
carpeta compartido fuera de línea Permisos NTFS compartidos Comentario
Aplicaciones Aplicaciones Disponible Usuarios: Leer más Leer y Todos: Lector Esta carpeta comparte
automáticamente Ejecutar Administradores: aplicaciones localizadas en
y optimizado para Control total un lugar central.
rendimiento
Departa- Departamento n Seleccionado por Departamento: Leer Todos: Colabo- Los datos pueden cifrarse,
mento n el usuario Representante del usuario: rador pero no deben compri-
Modiicar mirse.
Administradores: Control Es la carpeta principal del
total departamento; sólo los
representantes del usuario
pueden escribir en ella y
crear subcarpetas.
Proyecto n Proyecto n Seleccionado por Integrantes del proyecto: Todos: Colabo- Los datos pueden cifrarse,
el usuario Modiicar Administradores: rador pero no deben compri-
Control total mirse.
Público Público No se almacena Todos: Modiicar Todos: Colabo- Los datos no deben cifrar-
en caché Administradores: Control rador se ni comprimirse.
total Los documentos o subcar-
petas especíicos pueden
establecerse como sólo
lectura para la mayoría de
los usuarios.
DatosUsua- DatosUsuario$ Disponible Todos: Modiicar Adminis- Todos: Colabo- Los datos pueden cifrarse,
rio$ automáticamente tradores: Control total rador pero no deben comprimir-
y optimizado para se. Esta carpeta se usará
rendimiento para dar soporte al redirec-
cionamiento de carpetas
para todos los usuarios.
PARTE IV
Correccio- CorreccionesAc- No se almacenan Todos: Leer más Leer y Todos: Leer Los datos no deben cifrar-
nes Activas$ tivas$ en caché Ejecutar se ni comprimirse.
Administradores: Control
total
ServicePac- ServicePacks$ No se almacenan Todos: Leer más Leer y Todos: Leer Los datos no deben cifrar-
ks$ en caché Ejecutar se ni comprimirse.
total
Orígenes$ Orígenes$ No se almacenan Todos: Leer más Leer y Todos: Leer Los datos no deben cifrar-
en caché Ejecutar se ni comprimirse.
total
Herramien- Herramientas- No se almacenan Todos: Leer más Leer y Todos: Leer Los datos no deben cifrar-
tasSoporte$ Soporte$ en caché Ejecutar Equipo de ad- se ni comprimirse.
Administradores: Control ministradores:
total Colaborador
TABLA 8-1 Estructura de carpetas y recursos compartidos
carpeta como propietario. La lista desplegable incluye dos elementos: Todos y Buscar. En casi
cualquier caso, puede asignar derechos de recursos compartidos al grupo Todos, porque dedicará
más tiempo a controlar el acceso mediante la seguridad o los permisos NTFS de la carpeta. Si
FIGURA 8-2 Permisos NTFS

Proceso de permisos
de archivo. El usuario ingresa mediante la tarjeta de red
(se aplican los permisos de recurso compartido)
El usuario accede a los archivos en el disco
(se aplican los permisos de NTFS)
NTFS son los permisos finales compartidos
necesita localizar otro grupo, seleccione Buscar y escriba el nombre del grupo para localizarlo en
los Servicios de dominio de Active Directory (ADDS, Active Directory Domain Services). Una vez
que haya seleccionado el grupo correcto, haga clic en el botón Agregar. Windows Server asignará
automáticamente la función Lector al grupo que agregue. Para cambiar la función, haga clic en el
menú desplegable para seleccionar otro (vea la figura 8-3). Puede asignar la función Colaborador,
porque controla los permisos de manera más estricta dentro de la ficha Seguridad de las propie-
dades de la carpeta. Para completar el proceso de compartir, haga clic en el botón Compartir. Un
indicador de Control de cuentas de usuario se desplegará. Apruebe el cambio y haga clic en Listo
cuando haya completado la operación.
NOTA El uso del cuadro de diálogo Archivos compartidos no le permite cambiar el nombre de la
carpeta compartida.
FIGURA 8-3 Asignación de permisos de carpeta compartida.

La segunda manera de compartir una carpeta consiste en hacerlo mediante el cuadro de diá-
logo Propiedades de la carpeta. Haga clic con el botón derecho en la carpeta y seleccione Propie-
dades. Haga clic en la ficha Compartir y luego haga clic en Uso compartido avanzado. Apruebe el
indicador del Control de cuentas de usuario. Esto despliega un nuevo cuadro de diálogo, que le
permite controlar cada una de las características de la carpeta compartida en una sola ubicación.
Seleccione la casilla de verificación Compartir esta carpeta. Ahora puede cambiar el nombre del
recurso compartido, los permisos de control y manejar los permisos y las configuraciones de al-
macenamiento en caché. Observe que cuando comparte carpetas de esta manera, Windows Server
2008 asigna automáticamente los mismos permisos básicos a cada nueva carpeta compartida: Todos
Leer. ¡Esto es diferente de todas las versiones anteriores de Windows! Si los usuarios necesitan escribir
en una carpeta compartida, estos permisos deben modificarse a Todos Cambiar. De lo contrario, se
aplicarán los permisos más restrictivos y nadie tendrá derecho a escribir en una carpeta compartida.
PRECAUCIÓN Será importante que se asegure de darse un tiempo para comprobar los permisos
para compartir carpetas antes de inalizar el proceso. De otra manera, recibirá varias llamadas de
ayuda relacionadas con recursos compartidos que no funcionan.
Es correcto asignar permisos Todos (o Colaborador) Cambiar a casi todo, porque se aplicarán
permisos NTFS, aunque sus permisos no sean restrictivos. Microsoft establece el comportamien-
to predeterminado del proceso de carpetas compartidas en sólo lectura con el fin de proporcionar
mejor seguridad para las empresas que no preparan de antemano su configuración de NTFS.
Para estar a salvo de usuarios indiscretos cuando comparte sus carpetas, siempre debe aplicar
permisos NTFS antes de que se habilite un recurso compartido.
La mejor práctica, en cuanto a permisos de carpetas compartidas, consiste en establecer los
permisos de acuerdo con lo siguiente:
PARTE IV
• Establecer Todos Leer (o Lector) para todas las carpetas de aplicaciones compartidas, de insta-
lación, de herramientas de soporte, etcétera.
• Establecer Todos Cambiar (o Colaborador) para todas las carpetas de datos compartidas, y
establecer permisos apropiados de NTFS por carpeta.
Es raro que se necesite establecer el permiso Todos Control total (o Copropietario).
PRECAUCIÓN Es importante establecer Todos Cambiar como permisos de carpeta compartida para
las carpetas compartidas que hospedan el redireccionamiento de datos de usuario. De otra manera,
el proceso de creación automático de carpetas que se habilita cada vez que se aplica la directiva a
un nuevo usuario no podrá crear automáticamente las carpetas de datos usuario.
Cuotas de disco
Otro factor importante en el intercambio de archivos son las cuotas de disco. Windows Server
2008 ofrece un verdadero proceso de administración de cuotas de discos mediante el Administra-
dor de recursos del servidor de archivos (FSRM). El uso de cuotas en WS08 se identifica mediante
la propiedad del archivo. Eso significa que puede dar seguimiento al uso total de cuotas carpeta
por carpeta. Las cuotas pueden asignarse a carpetas específicas. Pueden ser definitivas o relati-
vas. Las cuotas definitivas, en ocasiones llamadas cuotas duras, evitan automáticamente que los
usuarios almacenen datos adicionales una vez que han alcanzado un límite. Con cuotas relativas
o suaves, usted, como administrador, recibirá una advertencia cuando se ha alcanzado el límite,
pero el usuario aún tendrá la capacidad de almacenar datos en el servidor. Usará el modo que
mejor se amolde a sus necesidades, pero debido a que el espacio en disco es barato y resulta fácil
expandir los discos virtuales, debería orientarse al método de las cuotas relativas, establecer lími-
tes y luego determinar si aumentará este límite para los usuarios cuando lleguen las advertencias.
También puede establecer cuotas automáticas, dependiendo de una plantilla para establecer
una cuota en una carpeta. Cuando hace esto, la plantilla de cuota se aplicará automáticamente a
todas las carpetas creadas. Por ejemplo, las cuotas automáticas son ideales para el recurso com-
partido DatosUsuario$ porque se aplican automáticamente cada vez que se crea una subcarpeta
para redireccionamiento de carpetas por un usuario.
Las cuotas son recursos valiosos que debe vigilar de manera constante, de modo que es
agradable saber que WS08 proporcionará informes amplios sobre los recursos de sus servidores
de archivos. No sólo vigila el empleo de las carpetas compartidas, sino que también informa de
su ejecución por usuario, además del espacio en disco total disponible, proporcionando gran
cantidad de advertencias si necesita expandir el disco usado para almacenar los datos de carpetas
compartidas. Hay varios informes predefinidos: archivos más grandes, más usados, de uso más
reciente, archivos por propietario, por grupo y mucho más. Es posible ejecutar interactivamente
los informes o de manera programada.
Las cuotas también le permitirán aplicar alguna forma de vigilancia de archivos, asegurando que
los usuarios almacenen sólo los formatos aceptables en sus servidores. Por ejemplo, tal vez prefiera
que sus usuarios no almacenen archivos ejecutables en carpetas de datos. Esto puede hacerse a través
de la vigilancia de archivos. Una vez más, esta característica depende de plantillas que se asignan al
servidor de archivos. Al igual que con las cuotas, puede usar una directiva dura o suave para vigilancia
de archivos, bloqueando por completo a los usuarios para que no los guarden en un recurso compar-
tido o simplemente permitiendo que se genere una advertencia de que un tipo de archivo no auto-
rizado se almacenó en su servidor. La vigilancia de archivos no es un sistema definitivo, porque sólo
depende de la extensión del archivo para que funcione. Los usuarios avanzados podrían entonces
cambiar las extensiones de los archivos que quieren almacenar para evitar la directiva. Podría consi-
derar el impacto en el rendimiento de hacer que sus servidores de archivos vigilen todos y cada uno
de los archivos que se almacenan en ellos y optar, mejor, por una directiva escrita (para distribuirla
entre usuarios finales y que se base en las poderosas opciones de creación de informes de FSRM).
Instantáneas
Windows Server 2008 incluye una característica poderosa para apoyar el uso de carpetas compar-
tidas: las instantáneas. Esta característica toma automáticamente una instantánea de los archivos
localizados en una carpeta compartida a intervalos regulares. Está diseñada para ayudar en el
proceso de recuperación de versiones anteriores de archivos, sin tener que depender de copias de
seguridad. La característica de instantáneas es muy parecida a una opción “deshacer”. Es útil para
los usuarios que a menudo necesitan regresar a una versión anterior de un archivo o cuando, por
accidente, destruyen archivos que aún necesitan.
WS08 usa un horario predeterminado para crear instantáneas: 7:00 a.m. y mediodía. Si no
cumple con sus necesidades, puede cambiarlo. Por ejemplo, tal vez prefiera crear instantáneas
a mediodía y a las 5:30 p.m. si su personal empieza a trabajar muy temprano. Pero como tiene
la opción de crear hasta 512 instantáneas en un servidor, puede configurar casi cualquier hora-
rio que necesite. Debe usar un volumen separado para las instantáneas y establecer su tamaño
máximo en este volumen. El uso de un volumen separado aumentará el rendimiento del servidor
de archivos, porque no será necesario realizar la operación de escritura de instantáneas en el
mismo disco que el recurso compartido de archivos. El establecimiento de un tamaño máximo
asegurará que las instantáneas más antiguas se sobrescriban cuando sea necesario y que el disco
usado para almacenarlas no se llene sin advertirlo.
Se accede a las instantáneas mediante la ficha Versiones anteriores de las propiedades de un
objeto de archivo. Éste puede ser el propio archivo o una carpeta que lo almacena. Los usuarios y
administradores tienen acceso a versiones anteriores siempre y cuando cuenten con derechos de
acceso NTFS a un archivo o carpeta.
Cada instantánea ocupa 100 megabytes (MB). Por ello, no es una copia de seguridad com-
pleta de un disco, sino una copia de los apuntadores de archivos que identifican el lugar en que
se localiza el archivo en un disco. Cuando se sobrescribe un archivo, WS08 usa un proceso de re-
envío de escritura que escribe la nueva versión del archivo en un área vacía del disco. Las instan-
táneas pueden retenerse siempre y cuando el disco tenga suficiente espacio libre. Obviamente,
versiones antiguas del archivo terminan sobrescritas a medida que el disco se llena. Para asignar
tamaño a su disco de instantáneas, puede calcular el número que espera retener con base en el
calendario que haya establecido. Por ejemplo, si define un calendario para capturar dos copias al
día durante 30 días, necesitará 30 x 2 x 100 MB, o un total de seis gigabytes (GB). Por lo general,
basta con un disco de instantáneas de 10 GB.
Las instantáneas no reemplazan a las copias de seguridad. Además, no se crean copias de
seguridad de ellas, de modo que no puede utilizar versiones anteriores de una copia de instan-
tánea. Por último, el proceso de instantáneas es, en realidad, una tarea programada. Si trata de
eliminar el volumen del que se realizó una instantánea, empiece por eliminar la tarea programa-
da de instantáneas. De otra manera, el proceso generará errores en el Registro de eventos.
PARTE IV
Instantáneas de almacenes de recursos
Las instancias proporcionan una primera línea de defensa para servidores hosts, porque pueden
permitir la rápida restauración de una unidad de disco virtual que falle. Por supuesto, necesita
asegurarse de que su infraestructura de almacenamiento funcione con el servicio de instantá-
neas o que no incluye su propia versión de creación de instantáneas. Pero si quiere configurar
instantáneas en los servidores hosts, entonces necesita agregar una tercera partición o un tercer
volumen de disco, como se indicó antes, en el análisis de las estructuras de discos de servidores
hosts. Y debido a que éstos ejecutan sólo Server Core, deberá configurar instantáneas mediante la
línea de comandos. Use la siguiente línea de comandos para hacer esto.
vssadmin add shadowstorage /for=D: /on=E: /maxsize=6000mb
vssadmin create shadow /for=D:
vssadmin list shadowstorage
vssadmin list shadows
El primer comando establece las copias de instantáneas de acuerdo con el horario prede-
terminado. El segundo crea la primera instantánea. Las siguientes dos presentan una lista de las
asociaciones y las instantáneas disponibles.
Los programas de instantáneas son tareas programadas. Para controlarlas y modificar su
programa, utilice el comando SCHTASKS.EXE. Sus instantáneas están listas.
Utilice el servicio Búsqueda

Una de las características más importantes de las redes de Windows, en cuanto a administración
del conocimiento, es la capacidad de indizar datos. WS08 puede indizar todo tipo de información
y documentos dentro de las carpetas compartidas y en sitios Web internos y externos. Windo-
ws Server 2008 depende del motor de búsqueda que se incluye en Windows Vista. Las PC que
ejecutan Vista ahora podrán utilizar los índices generados por el servidor en lugar de tener que
realizar toda la indización por su cuenta, como lo hacían con las redes que ejecutaban versiones
anteriores de Windows Server.
WS08 también incluye el servicio Indización de Windows Server 2003 para compatibilidad
con versiones anteriores, pero siempre debe utilizar, en cambio, el servicio Búsqueda, porque es
mucho más poderoso de lo que alguna vez fue el servicio Indización.
Puede instalar el servicio Búsqueda mientras configura su servidor de archivos. Ese servicio
indizará documentos en los siguientes formatos:
• Texto
• Lenguaje de marcado de hipertexto (HTML, HyperText Markup Language)
• Office 95 y posteriores
• Correo y noticias de Internet
• Cualquier otro documento para el que esté disponible un filtro
Por ejemplo, Adobe Corporation proporciona un filtro de indización para documentos en el
formato PDF. Este filtro se encuentra en http://download.adobe.com/pub/adobe/acrobat/win/all/ifil-
ter50.exe. La instalación de este filtro asegurará que todos los documentos PDF se indizarán y esta-
rán disponibles para búsqueda. Además, el servicio Búsqueda puede indizar archivos para los que no
se tengan filtros específicos. En este caso, hará lo mejor posible, pero el rendimiento será más lento.
En general, la configuración predeterminada del servicio Búsqueda basta para carpetas com-
partidas que almacenan datos y documentos. Esto se debe a que, a pesar de que todos los docu-
mentos que contiene un servidor de archivos están indizados, los usuarios sólo verán los resultados
de la consulta para la que tienen acceso. De modo que aunque tenga cinco documentos acerca
de la administración del sistema en un recurso compartido de archivos, si el usuario que realiza la
consulta sólo tiene acceso a uno de ellos, Búsqueda sólo responderá con un resultado de búsqueda.
Almacenamiento en caché de archivos sin conexión

Como opción predeterminada, se ha establecido que cada recurso compartido que se crea con
Windows Server 2008 permita al usuario determinar si quiere que los archivos queden disponi-
bles cuando no está conectado. El almacenamiento en caché de archivo sin conexión permite a los
usuarios transportar archivos con ellos si están usando un equipo portátil o si continúan trabajando
en el caso de una falla de red. Mediante los archivos sin conexión, los usuarios en realidad traba-
jan en copias locales de los archivos y el Centro de sincronización de Windows sincroniza automá-
ticamente los archivos entre el servidor y el cliente. El Centro de sincronización incluye un proceso
de resolución de conflictos, lo que permite que incluso varios usuarios trabajen con archivos sin
conexión, con la seguridad de que no dañarán la información creada por uno u otro.
Los archivos sin conexión son parte de la iniciativa cero administración de Microsoft (ZAW,
Zero Administration for Windows). Uno de los principios básicos de ZAW era usar el poder de
procesamiento cada vez que estuviera disponible; por tanto, tiene sentido almacenar información
en una caché local y subirla cuando haya terminado. Entre las opciones de almacenamiento en
caché se incluyen:
• Caché manual Los usuarios especifican cuáles archivos quedan disponibles sin conexión (es
la opción predeterminada).
• Caché automático Permite la optimización de documentos o aplicaciones para mejor rendi-
miento.
• Sin caché Queda deshabilitado el uso de archivos sin conexión.
Los archivos sin conexión son un regalo, sobre todo para usuarios móviles, porque ofrecen
acceso local a archivos mientras permite, al mismo tiempo, la copia de seguridad central y la
protección de los datos.
SAN simple
Como se esbozó en la sección anterior, en que se realizó la implementación y preparación del
almacén de recursos que ejecutará los ofrecimientos de servicios virtuales, el almacenamiento
adjunto de red se está volviendo cada vez más importante en organizaciones de todos los tamaños,
porque proporciona acceso a almacenamiento compartido, además de virtualización de almacena-
miento (la abstracción de las unidades de disco físicas de la estructura de almacenamiento lógica
vista por sus servidores). Debido a esto, Microsoft ha agregado una nueva característica a la infra-
estructura de administración de archivos de Windows Server (en realidad se agregó en Windows
Server 2003 R2): una característica llamada administrador de almacenamiento para SAN (SMFS).
SMFS proporciona una interfaz gráfica para configuración y administración de SAN median-
te el Administrador del servidor. Cuando agrega la función Servidor de archivos a WS08, puede
instalar este componente gráfico para suministrar una interfaz directa en su configuración de
SAN, sin importar quién es el fabricante. Esto provee una manera única de mantener los entor-
nos de SAN. Pero como su infraestructura de hardware (la infraestructura real unida al SAN) sólo
está ejecutando Server Core, lo más probable es que no dependa de SMFS para administrar sus
volúmenes de disco y sus unidades de almacenamiento lógico. SMFS no funciona en Server Core,
PARTE IV
excepto mediante los comandos DISKPART y DISKRAID. Por tanto, debe concentrarse en esos
dos comandos para administrar y modificar sus estructuras de almacenamiento adjunto a red.
Cree el servidor de archivos

Son varios los procesos relacionados con la creación de un servidor de archivos (vea la figura
8-4). Es necesario atender con gran cuidado cada aspecto de este proceso de instalación.
Lo primero que debe hacerse es crear el propio servidor. Use el proceso delineado en el capí-
tulo 4 para crear un servidor miembro básico. Este servidor se basa en el kernel de servidor, pero
su función principal será compartir archivos. Como se explicó antes, se necesitarán tres unidades
de disco: la del sistema, la de datos y las instantáneas. A continuación, deberá instalar la función
del servidor sobre el kernel.
NOTA También puede utilizar Server Core para esta función de servidor, pero consideramos que
éste debe realmente reservarse para la función Hyper-V basada en hardware, ya que la instalación
completa ofrece varias ventajas sobre Server Core. En primer lugar, proporciona acceso al Admi-
nistrador del servidor y al Administrador de recursos del servidor de archivos, algo que Server
Core no puede hacer. En segundo lugar, proporciona acceso a PowerShell, que le permite volver
automática casi cualquier tarea que necesite realizar. En tercer lugar, puede asegurar la instala-
FIGURA 8-4
Proceso de creación del servidor de archivos
Proceso de creación del
servidor de archivos. 1 Instalar la función de servidor
2 Crear la estructura de carpeta
3 Aplicar permisos NTFS
4 Establecer los protocolos de intercambio
5 Habilitar la directiva de cuotas
6 Habilitar la directiva de vigilancia de archivos
7 Habilitar las instantáneas
8 Habilitar los servicios Búsqueda
9 Crear recursos compartidos mediante la consola Administrador de

recursos del servidor de archivos y un asistente para compartir una
carpeta
10 Aplicar permisos a recursos compartidos
11 Aplicar opciones de almacenamiento en caché de recursos compartidos
12 Publicar recursos compartidos en Active Directory
13 Exponer los recursos compartidos a los grupos apropiados de usuarios
ción completa hasta donde quiera mediante el Asistente para coniguración de seguridad, que se
analizará en el capítulo 10. En resumen, hay pocas razones para usar Server Core en una máqui-
na virtual, sobre todo para esta función.
Instale la función Servidor de archivos

Una vez que el servidor miembro esté listo, puede pasar a la instalación de la función Servicios
de archivo. Una vez más, dependerá de la opción Agregar funciones en el Administrador del
servidor para realizar esa tarea.
1. En el Asistente para agregar funciones, seleccione Servicios de archivo. Haga clic en Siguiente.
2. Haga clic en Siguiente de nuevo para pasar a la primera pantalla de configuración de la función.
3. En Servicios de función, seleccione Servidor de archivos, Sistema de archivos distribuido y
ambas subsecciones: Administrador de recursos del servidor de archivos y Servicios Búsqueda
de Windows. Si necesita integrarse con entornos que no son de Windows, entonces también
seleccione Servicios para Network File System. Cada una de estas opciones se analizará más
adelante en el capítulo. Observe cómo el árbol de menús que se encuentra a la izquierda del
asistente se expande a medida que seleccione opciones. Haga clic en Siguiente.
4. En la siguiente pantalla, seleccione Crear un espacio de nombres más adelante mediante el
complemento Administración de DFS del Administrador del servidor. Haga clic en siguiente.
5. En Supervisión de almacenamiento, seleccione la unidad D: y haga clic en el botón Opciones
6. Seleccione cada uno de los umbrales de vigilancia que desee supervisar. Como verá, están
disponibles varios informes predefinidos. El umbral es 85%. Puede modificarlo si considera
que es demasiado alto. Haga clic en Aceptar y luego en Siguiente.
7. Bajo Opciones de informes, almacene los informes en la unidad E:\StorageReports, seleccione

la opción Recibir informes por correo electrónico e ingrese las direcciones de correo electróni-
co a las que se enviarán, además del nombre del servidor de protocolo simple de transferencia
de correo (SMTP, Simple Mail Transfer Protocol) que habrá de usarse. Haga clic en Siguiente.
PRECAUCIÓN Si utiliza Microsoft Exchange Server como servidor de SMTP, asegúrese de incluir
el nombre de este servidor en la lista de remitentes permitidos bajo las opciones reenvío de SMTP.
8. Bajo Volúmenes que van a indizar, seleccione la unidad D: y haga clic en Siguiente.
9. Bajo Confirmación, revise sus opciones y haga clic en Instalar. Utilice el botón Anterior si
necesita modificar sus opciones.
10. Haga clic en Cerrar cuando la instalación esté completa.
Cree la estructura de carpetas

La estructura de carpetas no es lo mismo que la estructura de carpetas compartidas, porque
los recursos compartidos están reagrupados por tipo de contenido (vea la figura 8-1). Puede crear
recursos compartidos mediante el nodo Servicios de archivo en el Administrador del servidor, pero
ese proceso sólo funciona para un recurso compartido a la vez. Debido a que necesita crear una
estructura completa de carpetas, utilice el Explorador de Windows. Será mucho más rápido.
1. Lance el Explorador de Windows desde el área Inicio rápido.
2. En el Explorador de Windows, vaya a Mi PC | Datos (D:).
PARTE IV
FIGURA 8-5 Coniguración de las opciones de supervisión de almacenamiento.

3. Empiece por crear las carpetas de nivel superior. Haga clic con el botón derecho en el panel
de detalles y seleccione Nuevo | Carpeta del menú contextual. Asigne nombre a la carpeta y
oprima ENTER. Cree tres carpetas: Administración, Aplicaciones y Datos.
4. A continuación, aplique la configuración de seguridad NTFS a cada carpeta. Las configura-
ciones de seguridad se aplican de acuerdo con los detalles de la tabla 8-1. Para ello, haga clic
con el botón derecho en cada nombre de carpeta y seleccione Propiedades. Vaya a la ficha
Seguridad. Agregue los grupos apropiados y asigne los valores correctos de seguridad a cada
grupo. Además, modifique la configuración de seguridad predeterminada de acuerdo con los
requisitos de la tabla 8-1. Los parámetros de seguridad deben modificarse ahora porque se
heredan cada vez que crea una carpeta. Por tanto, sólo necesitará afinar las configuraciones de
seguridad de una subcarpeta a partir de ahora, en lugar de volver a crearlos todos.
5. A continuación, cree todas las subcarpetas para cada sección:
• En Administración, cree CorreccionesActivas$, ServicePacks$, Orígenes$ y Herramientas-
Soporte$.
• En Datos, cree Departamentos y Proyectos. Estas subcarpetas son carpetas principales para
cada una de las carpetas compartidas específicas de departamentos y proyectos. Además
cree Público y DatosUsuario$ en este nivel.
• Dentro de Departamentos y Proyectos, cree las subcarpetas necesarias para cada departa-
mento y cada proyecto.
6. Modifique la configuración de seguridad NTFS para cada carpeta. Recuerde modificar las
carpetas principales antes de crear las subcarpetas, para simplificar su proceso de creación. Sus
carpetas están listas.
SUGERENCIA Una vez que el proceso de creación de carpetas esté completo, cree una nueva carpeta
llamada EstructuraCarpetas. Luego haga una copia de toda la estructura en esta carpeta. De esta
manera, no tendrá que volver a crear toda la estructura de carpetas cada vez que cree un servi-
dor de archivos. Simplemente tendrá que copiarla desde esta plantilla de estructura de carpetas.
Asegúrese de que esta estructura maestra esté siempre actualizada para simpliicar el proceso de
creación de un servidor de archivos.
Habilite procesos del servidor de archivos

Deben establecerse tres procesos especiales para permitir el intercambio de archivos: asignación
de cuotas, instantáneas e indización. A continuación se activarán. Empiece con el estableci-
miento de cuotas.
PRECAUCIÓN No utilice las propiedades de la unidad para establecer cuotas, porque éstas usarán la
antigua herramienta de administración de cuotas que se incluía en versiones anteriores de Windows.
Las cuotas asignadas de esta manera sólo afectarán el volumen especíico al que están adjuntas.
1. Vaya a Administrador del servidor y luego al nodo Funciones | Servicios de archivo | Adminis-
tración de almacenamiento y recursos compartidos | Administrador de recursos del servidor
de archivos | Administración de cuotas | Cuotas.
2. Haga clic con el botón derecho en la unidad D: en el panel de detalles y seleccione Editar
propiedades de cuotas.
3. Debido a que ésta es la primera vez que utiliza cuotas en este sentido, recomendamos que
empiece con una cuota suave. Bajo las propiedades Copiar de la lista desplegable Plantillas de
cuotas, seleccione Supervisar uso de volumen de 200 GB y haga clic en el botón Copiar. Esto
asigna una cuota de supervisión a toda la unidad. Tome nota de los cambios en el área Umbra-
les de notificación del cuadro de diálogo.
4. Vaya al área Límite de espacio y cambie el límite al tamaño real de su unidad D:.
5. Haga clic en Aceptar.
Las cuotas se asignan a toda la unidad. Puede eliminar cuotas de carpetas específicas al edi-
tar sus propiedades. Vaya a la configuración de instantáneas para esta unidad.
1. Regrese al Explorador de Windows y haga clic con el botón derecho en la unidad D: para
seleccionar Configurar instantáneas.
2. Antes de habilitar esa característica, debe modificar la unidad que almacenará las instantá-
neas. Para ello, haga clic en el botón Configuración. En el nuevo cuadro de diálogo, use la
lista desplegable para seleccionar la unidad E:. Establezca el límite para la copia de la manera
apropiada (por lo general basta con 6 GB) y cambie el programa, si es necesario. Haga clic en
3. El programa predeterminado es a las 7 a.m. y a mediodía, cinco días a la semana. Si este calenda-
rio no es apropiado, haga clic en el botón Programación para modificarlo. Ésa es una tarea pro-
gramada. Sus características de programación son las mismas que para las tareas programadas.
4. Haga clic en el botón Habilitar para activar las instantáneas.
5. WS08 le presentará una advertencia acerca de la habilitación de esta característica. Haga clic
en Sí para cerrarla. Haga clic en Aceptar para cerrar el cuadro de diálogo Instantáneas, una vez
que se haya creado la primera instantánea.
Las instantáneas están listas para este volumen. A continuación, establezca las opciones de
PARTE IV
indización o búsqueda.
1. Utilice el menú Iniciar para abrir el Panel de control. En la vista Clásica, haga doble clic en el
icono Opciones de indización. En la vista de Windows Vista, vaya a Sistema y mantenimiento,
y haga clic en Cambiar cómo realiza búsquedas Windows, bajo Opciones de indización.
2. Si quiere cambiar las ubicaciones indizadas, haga clic en Modificar. Sin embargo, éstas deben
ser adecuadas, porque se establecen al instalar la función Servicios de archivo. Para establecer
las opciones de indización, haga clic en el botón Opciones avanzadas. Acepte el indicador del
Control de cuentas de usuario, si aparece.
3. Si trata de cifrar archivos de usuario, seleccione la opción Indizar archivos cifrados. Además, si
hay una posibilidad de que sus usuarios trabajen en otros idiomas, seleccione la opción Tratar
las palabras similares con diacríticos como palabras diferentes. Esto le permite a la herramien-
ta Búsqueda saber que hay diferentes idiomas en sus datos.
4. A continuación, haga clic en el botón Seleccionar nueva para mover la ubicación del índice.
Debe estar localizado en la unidad E: bajo una nueva carpeta Buscar.
NOTA Tendrá que detener y reiniciar el servicio Búsqueda una vez que haya terminado aquí para
aplicar la acción. El hecho de mover el índice de la unidad del sistema hará que funcione de mane-
ra más eiciente.
5. A continuación, vaya a la ficha Tipos de archivo. Puede usar esta ficha para agregar nuevos
tipos de archivo que habrán de indizarse. Por ejemplo, puede agregar la extensión PDF para
indizar archivos de Adobe Acrobat.
6. Escriba PDF en la parte inferior del cuadro de diálogo, haga clic en Indizar las propiedades y
el contenido del archivo y luego haga clic en Agregar nueva extensión. Repita el proceso para
agregar otras extensiones (por ejemplo, dibujos de CAD). Haga clic en Aceptar para cerrar el
cuadro de diálogo Opciones avanzadas y cierre el cuadro de diálogo Opciones de indización.
7. Ahora reinicie el servicio para mover la ubicación del índice. Regrese al Administrador del
servidor y vaya al nodo Configuración | Servicios. Localice el servicio Búsqueda de Windows y
reinícielo.
Ahora su servidor está listo para compartir carpetas.
Comparta carpetas
La siguiente etapa se relaciona con la creación de los propios recursos compartidos, y el esta-
blecimiento de los permisos y de las opciones de almacenamiento en caché para cada recurso
compartido. Todo se realiza mediante el Administrador del servidor.
NOTA Se utiliza la consola Administrador del servidor porque le da acceso a todas las características
de administración del servidor. La consola independiente Administración de recursos del servidor de
archivos resulta útil sobre todo para delegar la administración del servidor de archivos.
1. Vaya al Administrador del servidor y busque el nodo Funciones | Servicios de archivo | Admi-
nistración de almacenamiento y recursos compartidos.
2. Haga clic en Aprovisionar recurso compartido en el panel Acciones.
3. En el Asistente para aprovisionar carpetas compartidas, haga clic en la unidad D: y luego haga
clic en Examinar.
4. Esto abre un cuadro de diálogo que presenta una lista de todos los recursos compartidos
ocultos en el servidor. Haga clic en D: y vaya a la carpeta que quiere compartir (por ejemplo,
Datos\DatosUsuario$). Haga clic en Aceptar y luego en Siguiente.
5. No es necesario que cambie la configuración de NTFS, de modo que haga clic en Siguiente.
6. Para los usuarios de Windows, haga clic en SMB para compartir la carpeta. Esto habilita los
recursos compartidos del bloque de mensajes de servidor (SMB, Server Message Block), que es
la opción predeterminada de Windows. Si está usando DatosUsuario$, no necesita cambiar el
nombre del recurso compartido.
7. En el caso de usuarios que no son de Windows, haga clic en NFS. Esto habilita el sistema de
archivos de red (NFS, Network File System), que les permite a los usuarios de UNIX y Ma-
cintosh acceso a sus recursos compartidos. Si está usando DatosUsuario$, cambie el nombre
compartido a DatosUsuario, eliminando el signo de $ al final del nombre.
NOTA No puede usar dos veces el mismo nombre de recurso compartido.

8. Haga clic en Siguiente. Agregue una descripción a su recurso compartido y anote sus confi-
guraciones. No hay límite de usuarios como opción predeterminada, y la enumeración basada
en acceso o la enumeración de recursos compartidos de red basada en derechos de acceso
de usuario están habilitadas, como opción predeterminada, y la configuración sin conexión
está establecida en su opción predeterminada. En el caso de DatosUsuario$, debe cambiar la

última configuración. Haga clic en Avanzadas.
9. Vaya a la ficha Almacenamiento en caché y seleccione Todos los archivos y programas que los
usuarios abren desde el recurso compartido, que están automáticamente disponibles sin co-
nexión. También asegúrese de que está seleccionada Optimizada para un rendimiento óptimo.
Haga clic en Aceptar y luego en Siguiente.
10. En la siguiente página, seleccione Los administradores tienen Control total; todos los demás
usuarios y grupos sólo tienen acceso de lectura y de escritura. Haga clic en Siguiente.
11. Si está compartiendo esta carpeta para usuarios que no son de Windows, tendrá desplegada
una página NFS. Modifique los derechos de acceso para otorgar acceso de lectura y escritura a
todas las máquinas. Haga clic en Todas las máquinas y luego en Editar. Asegúrese de que está
usando el método correcto de codificación, y haga clic en la lista desplegable para seleccionar
Lectura-Escritura. Haga clic en Aceptar y luego en Siguiente.
PRECAUCIÓN No permita acceso anónimo, porque le da demasiado acceso a este recurso compartido.
12. En esta página, puede aplicar una cuota personalizada para este recurso compartido, si la
necesita. De otra manera, haga clic en Siguiente.
13. Ahora puede aplicar una supervisión de archivos, si la necesita. Sin embargo, ésta no se re-
comienda porque es fácil omitirla y puede ocupar una gran cantidad de recursos del servidor.
Haga clic en Siguiente.
14. La siguiente pantalla le permite publicar este recurso compartido en un espacio de nombres
del sistema de archivos distribuido (DFS, Distributed File System). Aún no se han establecido
espacios de nombre, de modo que haga clic en Siguiente.
15. Revise su configuración y haga clic en Crear para crear el recurso compartido. Haga clic en
PARTE IV
cerrar cuando haya terminado.
Como verá, es una gran cantidad de trabajo. Por fortuna, hay muchas maneras de agilizar
este proceso.
Casi ha terminado. Ahora, lo único que le resta es hacer que los recursos compartidos estén
disponibles para los usuarios. Esto se hace mediante los Servicios de dominio de Active Directory
(ADDS).
Publique recursos compartidos en los Servicios

de dominio de Active Directory
Los recursos compartidos se publican en ADDS para simplificar su acceso por parte de los
usuarios. Éstos pueden buscar en el directorio para localizar los recursos compartidos a los que
necesitan tener acceso, reduciendo el requisito de asignar recursos compartidos en secuencias de
comandos de inicio de sesión. Tal vez aún necesite agregar asignación de recursos compartidos
en estas secuencias en caso de que se busque compatibilidad con sistemas anteriores, pero por lo
menos sus usuarios pueden empezar a trabajar con las nuevas características de Windows.
1. Vaya al controlador de dominio y abra la consola Usuarios y equipos de Active Directory, en el
Administrador del servidor.
2. Si aún no está listo, cree una nueva estructura de unidad organizativa y asígnele el nombre
Ofrecimientos de servicios virtuales. Bajo Ofrecimientos de servicios virtuales, cree una nueva
FIGURA 8-6
Creación de objetos
protegidos en ADDS.
OU llamada Archivos e impresión (vea la figura 8-6). Luego cree una OU bajo Archivo e im-
presión y llámela Recursos compartidos de archivos.
PRECAUCIÓN Cuando cree un objeto en ADDS, puede protegerlo de la eliminación accidental.

¡Esto bloquea el objeto! Una vez que se ha bloqueado un objeto, no puede eliminarlo, no puede
moverlo y no puede cambiarlo, a menos que abra sus propiedades primero y que limpie la opción
de protección en la icha Objeto. Observe que debe usar Características avanzadas, del menú Ver,
para ver la icha Objeto en las propiedades del objeto.
3. Dentro de la OU Recursos compartidos de archivos, cree nuevos recursos compartidos. Para

ello, vaya al panel de detalles y haga clic con el botón derecho para seleccionar Nuevo | Carpe-
ta compartida del menú contextual.
4. Escriba el nombre del recurso compartido y la ruta a la carpeta compartida empleando el
formato de convención de asignación de nombres universal (UNC, Universal Naming Con-
vention). Haga clic en Aceptar cuando haya terminado. Repita para todos los recursos com-
partidos que necesite publicar.
PRECAUCIÓN No publique recursos compartidos ocultos porque se mostrarán. Cualquier recur-

so compartido que se publique en los Servicios de dominio de Active Directory (ADDS), estará
visible para los usuarios.
5. Una vez que se creen los recursos compartidos, debe agregar una descripción y palabras clave
para cada uno. Las descripciones de carpeta son importantes, porque servirán para indicar a los
usuarios el objetivo de la carpeta compartida. Las palabras clave también son útiles debido a
que los usuarios pueden buscar la carpeta compartida por palabra clave en lugar del nombre del
recurso. Para ingresar ambos, vea las propiedades de cada carpeta compartida en ADDS.
6. Utilice este cuadro de diálogo para agregar descripciones completas a cada recurso compartido
y para identificar su administrador. Para agregar palabras clave, haga clic en el botón Palabras
clave. Escriba la palabra clave y haga clic en agregar. Haga clic en aceptar cuando termine.
7. También debe asignar un administrador a cada recurso compartido. Hágalo mediante la ficha
Administrado por. La asignación de administradores es una buena práctica, porque se vuelven
responsables de la evolución y tal vez de la eliminación final de este recurso compartido cuan-
do ya no sea necesario. Cierre el cuadro de diálogo cuando haya terminado. Repita para cada
recurso compartido que publique en ADDS.
Ahora los usuarios pueden acceder a sus recursos compartidos.
Encuentre recursos compartidos en Servicios de dominio de Active Directory

La búsqueda de recursos compartidos se realiza mediante la función buscar del explorador de
Windows.
1. Para ello, abra el Explorador de Windows y vaya al nodo Red en Windows Vista o en WS08.
2. Haga clic en Buscar en Active Directory en la barra de menús de acceso rápido en la parte
superior de la ventana.
3. En el cuadro de diálogo Buscar, seleccione Carpetas compartidas del menú desplegable Buscar.
4. Escriba el nombre de la carpeta o sus palabras clave, y haga clic en Buscar ahora.
5. El cuadro de diálogo Buscar desplegará ahora las carpetas compartidas que coincidan con los
criterios de búsqueda, siempre y cuando tenga derechos de acceso (recuerde que estableció la
opción Enumeración basada en acceso). Para acceder a una carpeta compartida, haga doble
clic en su nombre.
Como puede ver, el uso de carpetas compartidas en una red de Windows Server 2008 es
considerablemente más fácil que en los entornos de Windows anteriores.
SUGERENCIA Sus usuarios sólo necesitarán realizar una vez esta operación, porque cada vez que se
tenga acceso a una nueva carpeta compartida desde un equipo cliente, se agregará a la parte Favo-
ritos de red del Explorador de Windows. Los usuarios pueden acceder a sus carpetas compartidas
desde allí cuando lo necesiten.
PARTE IV
Administre la disponibilidad de las carpetas
Aunque tienen soporte completo, las unidades asignadas ya no son algo deseable en Windows
Server 2008. El método UNC es el favorito para proporcionar acceso a carpetas compartidas.
Este método se basa en la estructura de asignación de nombre \\NombreServidor\nombrere-
curso. Pero hay características de las unidades asignadas que no pueden proporcionarse con un
nombre UNC simple. Por ejemplo, debido a que una unidad asignada suele crearse mediante
una secuencia de comandos de inicio de sesión, los administradores pueden cambiar fácilmente
la dirección o el destino de la unidad asignada de la noche a la mañana, una operación que es
completamente transparente para los usuarios. Siempre y cuando tengan cuidado, la unidad K:
seguirá siendo la unidad K:, sin importar desde dónde se conecte a ella.
Debido a esto, las unidades asignadas dan soporte a tareas operativas, como el reemplazo de
servidores y el desplazamiento de carpetas compartidas. Sin embargo, no carecen de problemas. Por
ejemplo, ya desde la versión 97, Microsoft Office da seguimiento a la UNC tras la unidad asignada, lo
que dificulta el uso convencional de asignaciones de unidad. Si lo cambia, entonces Office se queja.
Y con el surgimiento del software compatible con el instalador de Windows, el UNC se está
volviendo cada vez más importante. Para fines de corrección automática, el Instalador de Win-
dows debe recordar el origen de la instalación de un programa. Se prefiere un formato UNC
sobre una unidad asignada para esta función, aunque puede controlar esto al editar el paquete
del instalador de Windows.
Ésta es una de las razones por las que Microsoft ha desarrollado tecnología que da soporte a
tolerancia a fallas para unidades compartidas de UNC. Una tecnología importante es DFS. Puede
usarse para proporcionar gran parte de las mismas ventajas administrativas de las unidades asig-
nadas, pero sin usarlas.
Trabaje con el sistema de archivos distribuidos

La tecnología preferida para tolerancia a fallas de los recursos compartidos de archivos es el
sistema de archivos distribuidos. DFS ofrece varias características empresariales para el soporte y
la administración de las unidades compartidas de archivo.
• DFS crea un alias de recurso compartido de archivo que es único y mediante el cual los usua-
rios pueden acceder a los archivos en un servidor. Esto significa que puede cambiar el archivo
desde el recurso compartido de archivo de destino sin afectar a los usuarios porque tienen
acceso al alias y no al servidor de archivos físico.
• El alias de DFS no sólo se aplica a los recursos compartidos de archivos; también puede
aplicarse a direcciones de servidor Web, lo que le permite modificar servidores Web de segundo
plano sin afectar el uso de sus aplicaciones Web internas o externas.
• DFS proporciona tolerancia a fallas mediante su integración con Servicios de dominio de Acti-
ve Directory. Debido a que los espacios de nombres de DFS, o alias, se publican en el directorio,
siempre están disponibles para los usuarios.
• Los espacios de nombres de DFS pueden vincularse a cualquier cantidad de recursos compar-
tidos de archivos físicos reales. A esto se le llama replicación de espacio de nombres de DFS. Si
un servidor debe apagarse por cualquier razón, los usuarios siguen trabajando porque DFS los
redirige a otro servidor físico.
• DFS puede proporcionar equilibrio de carga al distribuir acceso a archivos a varias ubicaciones
físicas, o destinos.
• DFS proporciona consolidación transparente de recursos compartidos de archivos distribuidos.
Si los archivos para un departamento determinado están distribuidos entre varios servidores
físicos, entonces DFS puede hacer que aparezca como si estuvieran localizados dentro de una
sola estructura de DFS virtual.
• DFS es consciente de los sitios; es decir, puede identificar sitios de ADDS y usarlos para redirec-
cionar a los usuarios a un servidor de archivos localizados dentro de su sitio. DFS es ideal para
distribuir recursos compartidos de archivos que abarcan regiones.
• DFS proporciona replicación delta comprimida en el nivel de bloque. Se sincroniza el contenido
de diferentes destinos de recursos compartidos de archivos al reemplazar sólo los bloques
cambiados dentro de un archivo, no todo el archivo. En contraste, el servicio de replicación de
archivos (FRS, File Replication Service) replica archivos completos, aunque sólo haya cambia-
do una parte de la información dentro de ellos.
• Por último, los clientes DFS pueden almacenar en caché referencias a raíces de DFS o vínculos
por un periodo definido, mejorando el rendimiento al acceder a recursos sin tener que realizar
una búsqueda en AD.
El sistema de archivos distribuidos funciona junto con el sistema de replicación de DFS
(DFSR, DFS Replication System) en Windows Server 2008 para proporcionar tolerancia a fallas y
características de seguimiento de vínculos. A los espacios de nombres de DFS que están integra-
dos con ADDS se les denomina espacios de nombre de dominio de DFS.
DFS es demasiado poderoso. Por ejemplo, si desarrolla la necesidad de trabajar en diferentes
entornos cuando prepara aplicaciones corporativas, como se analizó en el capítulo 5, puede aprove-
char DFS al crear una raíz de DFS para fines de desarrollo en el entorno de desarrollo. Cuando sea
hora de desplegar la aplicación en producción, no tendrá que modificar rutas dentro del código.
Otro ejemplo es el archivo de origen para todas las instalaciones y para el soporte de las
características del Instalador de Windows, como la corrección automática. Al usar los espacios de
nombre de DFS, puede tener una sola ruta de origen de instalación que esté disponible en todos
los sitios y que replique automáticamente todos los archivos de origen de sitio en sitio.
También puede trabajar con espacios de nombre de DFS independientes. Esos espacios de
nombres no obtienen beneficios de ADDS, en cuanto a redundancia. Debido a esto, debe ejecu-
tarlos en clústeres de servidor de recuperación de fallas o grupos de servidores que ejecutan los
mismos servicios y que pueden recuperarse esos servicios a partir de uno a otro para proporcio-
nar continuidad del servicio. Casi todas las organizaciones ejecutan espacios de nombres de do-
minio porque ADDS ya existe y es más simple configurarlo. Los espacios de nombres de dominio
también son tolerantes a fallas en el nivel del sitio. Es mucho más complicado hacer espacios de
nombres independientes tolerantes a fallas en el nivel del sitio. Use un árbol de decisiones para
determinar el tipo de espacios de nombres con el que necesita trabajar (vea la figura 8-7).
Instale un espacio de nombres de DFS de dominio

Empiece por instalar el espacio de nombres de DFS de dominio. Realice esta acción en un servidor
que ejecute la función Servicios de archivo con DFS, Espacios de nombres de DFS y Replicación de
DFS. Necesita credenciales de administrador de dominio para crear una raíz de DFS de dominio,
aunque puede delegar esa tarea de administración en otros grupos mediante el panel de acciones.
PARTE IV
1. Lance el Administrador del servidor y vaya al nodo Servicios de archivo | Administración de DFS.
2. Haga clic en Nuevo espacio de nombres, en el panel de acciones.
3. En el Asistente para crear nuevo espacio de nombres, ingrese la información encontrada en la
tabla 8-2.
4. Complete las páginas del asistente.
La raíz del espacio de nombres de DFS está lista. Ahora puede agregar hosts raíz, además de
destinos para la raíz.
PRECAUCIÓN Las raíces de DFS de dominio deben hospedarse en servidores miembros y no domi-
nios. Si hospeda la raíz DFS en servidores miembros y controladores de dominio (DC, Domain
Controllers), los clientes serán dirigidos al controlador de dominio si los nombres son iguales.
Además, las raíces de DFS son más seguras en servidores miembros.
Ahora agregue un destino de raíz o un servidor de espacio de nombres. Los servidores de

espacio de nombres son los elementos que proporcionan tolerancia a fallas y redundancia dentro
de los mismos sitios y que proporcionan acceso al mismo sitio cuando están en diferentes sitios.
Si ese recurso compartido será necesario para todo el personal, como Público, necesita agregar
la misma cantidad posible de servidores de espacio de nombres que tenga en los sitios de Active
Directory.
Árbol de decisiones DFS

Sí Sí
Espacio de nombres ¿El recurso compartido es Agregue servidores
Requiere tolerancia a fallas de dominio necesario para todo el de espacio de
de dominio o replicación personal? nombres
entre varios sitios Espacio de nombres
No independientes No
Agregue destinos de raíz sólo Agregue carpeta DFS

Instale en servidor de Sí
para servidores específicos
clúster de recuperación Se requiere
de fallas tolerancia a fallas
entre sitios
Instale en servidor No No Carpeta tolerante a fallas Agregue destino de
independiente carpeta
Sí
Agregue segundo destino
de carpeta
Agregue espacios
No de nombres
Configure la topología
¿Completa la Agregue de replicación
configuración carpeta de DFS
de clúster? Distribuya accesos directos de
Agregue destino espacios de nombres a los Agregue más
de carpeta usuarios destinos de carpeta
FIGURA 8-7 Árbol de decisiones de DFS.
1. Para agregar un servidor de espacio de nombres, haga clic con el botón derecho en el nom-
bre de la nueva raíz DFS de dominio (\\dominio\recurso) en el panel de detalles, y seleccione
Agregar servidor de espacio de nombres.
2. Escriba el nombre del nuevo servidor de espacio de nombres y haga clic en Aceptar. Repita
todas las veces que sea necesario.
Su espacio de nombres está listo. Ahora necesita las carpetas para que los usuarios tengan
acceso a la información. El proceso de creación del espacio de nombres permite cambiar la con-
figuración predeterminada para el almacenamiento en caché de cliente de destinos de espacio
Página del asistente Entrada

Servidor de espacio Ingrese el nombre del servidor que hospeda el espacio de nombres. Este servidor puede ser un
de nombres controlador de dominio (DC) o servidor miembro. Se recomienda este último. Utilice el servidor de
archivos que esté creando para hospedar el espacio de nombres.
Nombre y coniguración Asigne un nombre al espacio de nombres. Utilice uno común que no esté duplicado dentro de la
de espacio de nombres empresa. Por ejemplo, para el recurso compartido público, utilice Público como nombre raíz.
Utilice el botón Editar coniguración para establecer los permisos de recursos compartidos (consul-
te la tabla 8-1) y señale al origen de la carpeta compartida apropiada. Por ejemplo, para el recurso
compartido público, vaya a D:\Datos\Público.
Obtendrá una advertencia de que se utilizará el recurso compartido existente. Haga clic en Sí para
usar el recurso compartido con los permisos existentes.
Tipo de espacio de Asigne un espacio de nombres basado en el dominio porque proporciona la mejor y la más simple
nombres tolerancia a fallas, y habilite el modo WS08 para aumentar la capacidad de escalar; habilite tam-
bién la enumeración basada en acceso.
Revisar la coniguración Revise su coniguración y cree el espacio de nombres. Cierre el asistente cuando haya terminado.
y crear espacios de
nombres
TABLA 8-2 Entradas del Asistente para crear nuevo espacio de nombres
de nombres. Como opción predeterminada, este valor es de 300 segundos, o cinco minutos. Esta
configuración suele ser apropiada para espacios de nombres de dominio DFS.
Agregue carpetas DFS

Ahora que su espacio de nombres de DFS se ha preparado y es tolerante a fallas, puede empezar
a agregar carpetas DFS. Las carpetas son los elementos que los usuarios ven cuando acceden a
los recursos compartidos de DFS.
1. Para agregar una carpeta, haga clic con el botón derecho en el espacio de nombres DFS y
seleccione Nueva carpeta.
2. En el cuadro de diálogo Nueva carpeta, escriba el nombre de la carpeta. La ruta UNC a la
carpeta compartida se llenará automáticamente.
3. Debido a que esta carpeta es tolerante a fallas, necesitará agregar nuevos destinos de carpeta
a la carpeta inicial. Los destinos hacen redundante la carpeta compartida. Para agregar un
destino, haga clic en el botón Agregar, en el cuadro de diálogo Nueva carpeta.
4. Escriba la ruta UNC a la carpeta compartida o use el botón Examinar para localizar el recurso
compartido apropiado. Haga clic en Aceptar cuando haya terminado. Tome nota de que puede
crear un recurso compartido desde este cuadro de diálogo, si necesita serlo.
5. Ahora agregue un segundo destino para la carpeta. Repita los pasos 3 y 4 para hacerlo, pero
asegúrese de colocarlo en otro servidor. Haga clic en Aceptar para cerrar el cuadro de diálogo
Nueva carpeta.
6. Debido a que agregó por lo menos dos destinos, DFS sugiere que configure un grupo de repli-
cación para los recursos compartidos dentro de la carpeta. En el cuadro de mensaje Replica-
ción, haga clic en Sí para lanzar el asistente para replicación de carpetas. Utilice los valores de
la tabla 8-3 para llenar este asistente.
El proceso de creación de carpetas le permite cambiar la configuración predeterminada para el
PARTE IV
almacenamiento en caché de cliente de los destinos de carpetas. Como opción predeterminada, este
valor es de 1 800 segundos o 30 minutos. Este parámetro suele ser apropiado para carpetas DFS.
Clientes DFS
Los clientes pueden ver los recursos compartidos de DFS de la misma manera que ven las carpe-
tas compartidas estándar: mediante ubicaciones de red. Pero el mejor modo de dar a acceso a las
raíces de DFS de dominio a los clientes consiste en enviarles un acceso directo a la raíz. La ven-
taja del alias de DFS es que no está unido a un solo servidor, sino más bien al dominio como un
todo. El método de acceso directo debe señalar, no a un UNC de servidor, sino a uno de dominio.
Por ejemplo, en este caso, el UNC de dominio sería: \\Intranet.TandT.net\Público.
La raíz DFS de dominio aparece como un componente de toda la red.
El acceso directo puede estar disponible para los usuarios a través de la secuencia de comandos
de inicio de sesión. Al hacer doble clic en el acceso directo, los usuarios tienen acceso a todas las car-
petas publicadas en el espacio de nombres, y este acceso es independiente de la ubicación del usua-
rio. En realidad, el servidor al que están conectados es completamente transparente para los usuarios.
Si quiere que los usuarios usen vínculos de DFS en lugar de las carpetas compartidas están-
dar, debe asignar nombres a todos los recursos a todas las carpetas compartidas reales con un
$ (por ejemplo, Servidor$). Esto ocultará sus recursos compartidos reales al desplegarse la red.
Entonces, los usuarios sólo verán los recursos compartidos DFS y no los reales.

Grupo de replicación y nombre de El asistente ya debió rellenar estas entradas. Puede cambiar el nombre del grupo, si lo
carpeta replicada desea.
Elegibilidad de replicación Los destinos de carpeta y la elegibilidad ya deben haberse ingresado.
Miembro principal Seleccione el servidor que contiene los datos originales que habrán de replicarse. Éste
será el servidor de origen.
Selección de topología Estas tres opciones de topología disponibles (vea la igura 8-8).
Seleccione Concentrador y radio si sus servidores están localizados en diferentes sitios
y su red de área amplia (WAN, Wide Area Network) incluye vínculos con diferentes velo-
cidades. El ejemplo de la WAN T&T usado en el capítulo 5 presenta una muestra de una
topología de replicación de concentrador y radio. Necesitará identiicar el servidor de con-
centrador si selecciona esta topología de replicación. Éste debe ser el servidor central.
Necesita tres o más destinos para tener la capacidad de seleccionar esta topología.
Seleccione Malla completa si los servidores del recurso compartido están en el mismo
sitio y se encuentran conectados con vínculos de alta velocidad o si sus vínculos WAN
son de la misma velocidad. No seleccione esa topología si tiene más de 10 servidores
actuando como destinos.
Seleccione Sin topología si quiere conigurar su propia topología de replicación más
adelante.
Programación del grupo de repli- Están disponibles dos opciones para la programación de replicación.
cación y ancho de banda Si elige Replicación continua, tiene acceso a los controles de ancho de banda. Elija el
valor de ancho de banda apropiado con base en la velocidad de los vínculos que unen
los destinos.
Si no quiere que la replicación ocurra continuamente, entonces seleccione días y horas
especíicas, y edite el calendario para satisfacer sus necesidades.
Revisar coniguración y crear Revise su coniguración. Utilice el botón Anterior para modiicar las opciones. Haga clic
grupo de replicación en Crear cuando esté listo.
Conirmación Cierre el asistente cuando haya terminado. Obtendrá un mensaje de retardo de replica-
ción cuando lo haga. Esto le aconseja que la replicación no pueda empezar hasta que
todos los miembros del grupo hayan recuperado todos los cambios a la coniguración.
TABLA 8-3 Entradas del Asistente para crear carpeta de replicación
FIGURA 8-8 Topología Concentrador y radio Topología Concentrador y radio

Topología de replicación
de FRS.
SUGERENCIA Para conocer información sobre DFS, vaya a la guía paso a paso para de DFS en
WS08 en http://technet2.microsoft.com/windowsserver2008/en/library/cf810bb7-51ed-4535-
ab0d-86a7cd862e601033.mspx?mfr=true.
Use replicación de DFS para almacenes de recursos

Como se mencionó antes, la replicación de DFS (DFSR) es una herramienta ideal para propor-
cionar tolerancia a fallas para los ofrecimientos de servicios virtuales a los que dan soporte sus
almacenes de recursos. Debido a que un ofrecimiento de servicios virtuales no es más que una serie
de archivos en un servidor, puede utilizar DFSR para proporcionar una segunda línea de defensa
para la protección de sus ofrecimientos. DFSR puede replicar el contenido de las unidades de disco
virtuales que integran su ofrecimiento de servicios virtuales. En el caso de una falla en un sitio,
basta con usar los ofrecimientos de servicios virtuales copiados en el segundo sitio para reiniciar el
servicio y asegurar que sus usuarios sociales estén trabajando. Se analizará más sobre este tema en
el capítulo 11, pero por ahora es importante que comprenda cómo configurar DFSR en Server Core.
En primer lugar, empiece por instalar el componente de DFSR en su servidor:
start /w ocsetup DFSR-Infrastructure-ServerEdition
Esto agrega los componentes requeridos para ejecutar DFSR. Asegúrese de instalar este
componente en cada servidor host, tanto en el sitio de origen como en el de destino o de recupe-
ración de desastres. A continuación configure los grupos de replicación:
dfsradmin RG New /rgname: “NombreGrupoReplicación” /rgdesc:”Descripción”
dfsradmin RG Set Schedule full /RGName:”NombreGrupoReplicación”
dfsradmin member new /rgname:”NombreGrupoReplicación”
/memname:NombrePrimerServidor
dfsradmin member new /rgname:”NombreGrupoReplicación”
/memname:NombreSegundoServidor
dfsradmin conn new /rgname:”NombreGrupoReplicación”
/SendMem:NombrePrimerServidor /RecvMem:NombreSegundoServidor /ConnEnabled:true
/ConnKeywords:”Del primer servidor al segundo”
dfsradmin RF New /rgname:”NombreGrupoReplicación” /RfName:NombreCarpeta
dfsradmin Membership Set /RGName:”NombreGrupoReplicación” /RfName:NombreCarpeta
PARTE IV
/MemName:NombrePrimerServidor /LocalPath:D:\vsmachines /MembershipEnabled:true
/StagingPath:E:\staging /StagingSize:1000 /CDSize:350 /IsPrimary:true
Donde NombreGrupoReplicación es el nombre de su grupo de replicación y NombrePrimer-

Servidor y NombreSegundoServidor son los nombres de los servidores del grupo. NombreCarpeta
es el nombre de la carpeta que habrá de replicarse. Por ejemplo, puede almacenar todos sus
ofrecimientos de servicios virtuales en una carpeta llamada D:\vsmachines.
El primer comando crea el grupo de replicación. El segundo agrega el programa predetermi-
nado. El tercero y el cuarto agregan servidores al grupo, y el quinto crea el objeto de conexión del
servidor uno con el servidor dos. El sexto comando identifica la carpeta que habrá de replicarse.
En este caso, debe ser VSMachines. El último comando establece el servidor uno como el origen
principal para la replicación.
SUGERENCIA En el caso de un documento breve que describe el comando DFSRADMIN.EXE, vaya

a www.microsoft.com/downloads/details.aspx?familyid=49caf978-49e9-4eb6-9cc9-72b5dd160505
&displaylang=en.
Para detectar y solucionar problemas de conexiones de DFSR en Server Core, utilice el co-
mando DFSRDIAG.EXE. Repita estos comandos en cada servidor host que quiera proteger.
SUGERENCIA No es necesario que coincida con los servidores de replicación, uno por uno. Por ejem-
plo, puede tener 10 servidores hosts protegidos por sólo cinco en el sitio de recuperación de desastres.
En el capítulo 11 se cubrirá más sobre este tema, pero por ahora es importante que comprenda que no
es necesario que los sitios de recuperación de desastres tengan los mismos niveles de operación que
los entornos de producción. Tenga en mente esto mientras prepara sus estrategias de replicación.
Redireccionamiento de carpetas y coniguraciones de archivos sin conexión

El redireccionamiento de carpeta se analizó en el capítulo 7. Le permite redireccionar carpetas para
los usuarios, de modo que todos sus datos estén protegidos al localizarlos en un servidor en lugar de
una PC. Es posible redireccionar hasta 10 carpetas en WS08 y Windows Vista (consulte la tabla 8-4).
Utilice esas configuraciones recomendadas para preparar su GPO de redireccionamiento
de carpetas. La opción de configuración se encuentran en el nodo Configuración de usuario |
Directivas | Configuración de Windows | Redirección de carpetas, de la consola Editor de Admi-
nistración de directivas de grupo.
Habilite el redireccionamiento de carpetas

Hay varias consideraciones especiales cuando se habilita el redireccionamiento de carpetas. En
primer lugar, necesita asegurar que cada usuario se redirecciona al servidor apropiado. No haga
que un usuario de Nueva York se redireccione a un servidor en Los Ángeles. Debe crear grupos
especiales de administración que puedan usarse para reagrupar usuarios y asegurar que cada
usuario esté asignado al servidor apropiado. También debe asegurarse de que las opciones sin co-
nexión se encuentren configuradas de manera apropiada para garantizar que los usuarios estén
trabajando con la última versión de sus archivos sin conexión.
El redireccionamiento de carpetas mediante agrupamientos de usuario es, en realidad, simi-
lar a la creación de grupos de usuarios basados en aspectos regionales o, más bien, geográficos.
Debido a que cada servidor es, en realidad, una ubicación física, debe crear un grupo de usuarios
para cada servidor. Recuerde crear grupos globales que contengan a los usuarios y asigne los
permisos. Empiece por enumerar la ubicación de cada servidor de archivos que hospedará las
carpetas de usuario, luego asigne nombres a cada grupo global y local de dominio de acuerdo
con ello. Una vez que se hayan creado los grupos, puede empezar el proceso de redirecciona-
miento. El empleo de grupos le permite limitar el número de GPO necesarios para la estructura
de la OU Persona.
1. En su GPO Persona global, vaya a Configuración de usuario | Directivas | Configuraciones de
Windows | Redirección de carpetas.
2. Haga clic con el botón derecho en la carpeta que quiera redireccionar y seleccione Propiedades.
3. Bajo la ficha Destino, seleccione Avanzado: especificar ubicaciones para diversos grupos de
usuario y haga clic en Agregar.
4. En el cuadro de diálogo Especificar grupo y ubicación, escriba el grupo (utilizando el nombre
del grupo de nivel inferior); es decir, dominio\nombregrupo) o haga clic en Examinar para
encontrar el grupo apropiado.
5. Bajo Ubicación de la carpeta de destino, seleccione Crear una carpeta para cada usuario en la
ruta raíz.
6. Bajo Ruta de acceso raíz, escriba la ruta UNC para el nombre de recurso compartido, o haga
clic en Examinar para localizarlo.
Tipo de perfil Comentarios

AppData Esta carpeta contiene todos los datos de roaming de aplicaciones.
(Roaming) Al redireccionar esta carpeta también se dará soporte a clientes de Windows XP con limitaciones.
Escritorio Los usuarios no deben almacenar datos ni otros elementos en sus escritorios; deben depender, en cambio,
del menú Inicio rápido. Esto reduce el tamaño de la carpeta que habrá de redireccionarse. Incluya esto en sus
comunicaciones.
Al redireccionar esta carpeta también se dará soporte a los clientes de Windows XP.
Menú Inicio El contenido del menú Inicio se redirecciona. Si utiliza virtualización de aplicaciones, entonces los usuarios
siempre tendrán acceso a sus aplicaciones en cualquier PC, aunque no estén instaladas.
Documentos Esto contiene todos los datos de usuario. Asegúrese de que su directiva y cuotas de almacenamiento den
soporte a los enormes tamaños de archivo de hoy en día y que den a los usuarios suiciente espacio para
respirar. Al redireccionar esta carpeta también se dará soporte a los clientes de Windows XP.
La aplicación de esta directiva para los sistemas operativos anteriores a Vista conigura automáticamente las
carpetas Imágenes, Música y Videos para que sigan a la carpeta Documentos, aunque no esté conigurado.
Imágenes Determina si su organización quiere proteger esta carpeta. Si lo hace, utilice la opción Seguir la carpeta Docu-
mentos o utilice la coniguración de Documentos.
Música Determina si su organización quiere proteger esta carpeta. Si lo hace, utilice la opción Seguir la carpeta Docu-
mentos o dependa de la coniguración de Documentos.
El uso de esta carpeta también dará soporte a los clientes de Windows XP.
Videos Determina si su organización quiere proteger esta carpeta. Si lo hace, utilice la opción Seguir la carpeta Docu-
mentos o dependa de la coniguración de Documentos.
El uso de esta carpeta también dará soporte a los clientes de Windows XP.
Favoritos Sólo se aplica a Vista.
Contactos Sólo se aplica a Vista. Si está usando Outlook, entonces no es necesaria esta carpeta Contactos.
Descargas Sólo se aplica a Vista. Necesitará determinar si su organización quiere proteger las descargas que los usua-
rios obtienen de Internet.
Vínculos Sólo se aplica a Vista.
Búsquedas Sólo se aplica a Vista.
PARTE IV
Juegos Sólo se aplica a Vista. El contenido de esta carpeta es pequeño y se aplica principalmente a juegos incluidos
guardados en Vista. Su organización necesitará determinar si quiere desperdiciar ancho de banda de red y espacio de
almacenamiento con este contenido.
TABLA 8-4 Coniguraciones recomendadas de redireccionamiento de carpetas
7. Haga clic en Aceptar para regresar al cuadro de diálogo Propiedades. Repita para cada grupo y
ubicación de servidor que necesite ingresar. Pase a la ficha configuración.
8. Bajo Eliminación de la directiva, seleccione Devolver la carpeta a la ubicación local de perfil de
usuario cuando la directiva se haya quitado. Esto asegurará que las carpetas redireccionadas
regresarán a las ubicaciones originales si, por alguna razón, se elimina la directiva.
9. También puede controlar la manera en que se aplicarán las configuraciones. Observe que las
primeras dos configuraciones están seleccionadas como acción predeterminada. Si tiene clien-
tes de nivel inferior, entonces también seleccione la configuración Aplicar también la directiva
de redirección. Haga clic en Aceptar cuando haya terminado.
10. Realice la misma operación para cada una de las demás carpetas, y luego establézcalas de
acuerdo con las recomendaciones de la tabla 8-4. Observe que, en el caso de la carpeta Do-
cumentos, tiene opciones adicionales y puede definir que Imágenes, Videos y Música hereden
automáticamente la configuración de Documentos.
Ya está establecida su directiva de redireccionamiento de carpetas. Sus servidores de archivo

están listos para hospedar datos de usuario. Aplique el capítulo 12 para migrar sus datos.
Comparta los servicios de impresión

El servidor de impresión ha evolucionado en gran medida en las últimas ediciones de Windows
Server. Ahora WS08 es compatible con la versión 3 de los controladores de impresión. Estos
controladores están diseñados para integrarse más apropiadamente con el sistema operativo
y proporcionar mejor tolerancia a fallas. Una de las grandes ventajas de los controladores de
impresión versión 3, o de modo de usuario, es que cuando el controlador falla, no es necesario
reiniciar el servidor, sino sólo la cola de impresión. En realidad, WS08 puede reiniciar automáti-
camente la cola de impresión en caso de falla, lo que la hace transparente para la mayoría de los
usuarios conectados a la impresora.
Los controladores pueden estar en modo de usuario o en modo de kernel. En Windows NT,
los controladores se movieron al modo de kernel porque éstos proporcionaban mejor rendimien-
to. Ese tipo de controladores son versión 2. Pero una falla en un controlador en modo de kernel
puede hacer que falle todo el kernel o, más bien, todo el servidor. Para proporcionar un mejor
rendimiento y una mayor confiabilidad, los controladores de WS08 se movieron ahora al modo
de usuario. En Windows Server 2008, una directiva de grupo predeterminada bloquea la instala-
ción de controladores de la versión 2.
Además, los controladores de modo de usuario permiten que los usuarios establezcan sus
propias preferencias de impresión, algo que era un problema en Windows NT. Debido a que los
controladores operaban en modo de kernel, no proporcionan la capacidad de separar las prefe-
rencias de impresión de usuario de la configuración predeterminada del controlador, causando
una gran frustración en el mercado de los usuarios de Windows NT. WS08, como Windows 2000,
ofrece la capacidad de establecer opciones predeterminadas de impresión para la impresora com-
partida, además de preferencias de impresión para cada usuario del recurso compartido.
Las preferencias de impresión están separadas de las propiedades de la impresora, pero se
derivan de las opciones predeterminadas que establezca. Por ejemplo, si usa una impresora de
dos caras, y establece sus propiedades predeterminadas en salida de doble lado, las preferencias
predeterminadas del usuario serán las de impresión a dos caras. Pero ahora el usuario tiene la
opción de modificar la configuración de su propio entorno personal a un solo lado sin afectar la
configuración general para los otros usuarios. Es sorprendente la cantidad de organizaciones que
usan impresoras de doble lado pero establecen la configuración de la cola de impresión prede-
terminada en un solo lado, obligando a que los usuarios avanzados restablezcan manualmente
sus preferencias. Uno de los aspectos más importantes de una implementación de impresora
predeterminada en cualquier organización es el establecimiento de una directiva de impresora
compartida en el nivel de la empresa. Esa directiva debe incluir elementos como configuración
predeterminada para todas las impresoras. Un ejemplo de directiva de impresora compartida se
mostrará en las secciones que siguen.
SUGERENCIA Como los centros de datos amigables con el ambiente se están volviendo cada vez
más populares, todas las impresoras deben imprimir por las dos caras y todas sus coniguraciones
predeterminadas de impresora deben usar técnicas de ahorro de papel.
Controladores de impresión de WS08

WS08, como Windows 2000, usa tres controladores esenciales de impresión: Unidriver, PostScript
y un controlador Plotter. Cada uno de esos controladores proporciona el protocolo de impresión
esencial. Junto con los controladores esenciales, Windows Server 2008 llama a una definición
específica de impresora para cada impresora de la organización. Esto simplifica en gran medida el
proceso de desarrollo de controladores debido a que las estructuras de todos ellos están estan-
darizadas. Estos controladores esenciales se han definido junto con comercializadores indepen-
dientes de hardware para asegurar la estabilidad y la solidez.
Otra ventaja de este proceso de desarrollo compartido es que los controladores pueden
certificarse. Un controlador certificado cumple con las pautas del logo “diseñado para Windows”
de Microsoft. Todos los controladores certificados son de la versión 3, lo que incluye un certifica-
do digital que se usa para la firma del código. Los controladores firmados digitalmente aseguran
su confiabilidad. Su directiva de impresora compartida debe basarse en controladores firmados
digitalmente y, por tanto, certificados.
En el sitio Web de la lista de compatibilidad de hardware de Microsoft (HCL, Hardware Compa-
tibility List) se presenta una lista de todos los productos que están certificados y que se han diseñado
para Windows. Debe usar este sitio cuando seleccione nuevas impresoras u otros componentes de
hardware para su organización. Si quiere enfrentar pocos problemas con su cola de impresión com-
partida, use sólo impresoras que incluyan controladores“diseñados para Windows”. Cuando instale
los controladores de impresión, Windows indicará si el controlador está firmado digitalmente o no. El
cuadro de diálogo del Asistente para agregar impresora incluso contiene un vínculo con el sitio Web
de HCL. Si está ejecutando las versiones de 64 bits de WS08, deberá tener controladores certificados.
SUGERENCIA El sitio Web de la lista de compatibilidad de hardware de Microsoft está en

www.microsoft.com/whdc/hcl/default.mspx.
PARTE IV
Pero si su cola de impresión actual incluye varias impresoras antiguas, es obvio que no podrá
incluir todos los controladores certificados en su directiva de impresora compartida. Haga lo
mejor que pueda para usar sólo controladores certificados (en WS08 se incluyen versiones actua-
lizadas, y es posible que también estén disponibles con su comercializador), pero si no es posible,
entonces considere una estrategia para reemplazar gradualmente las impresoras más antiguas
con nuevos equipos que incluyan mejor soporte para el sistema operativo Windows.
Integración con Servicios de dominio de Active Directory

Hoy en día, soporte completo para el sistema operativo Windows también significa integración
con Servicios de dominio de Active Directory. Cada impresora compartida se publica dentro del
directorio, de manera muy parecida a como lo hacen los recursos compartidos de DFS. Las im-
presoras se publican en el directorio como opción predeterminada. Sus nombres de objeto están
almacenados en sus dominios principales. Los usuarios pueden usar el directorio para buscar
impresoras y conectarse automáticamente al servicio de impresión apropiado.
ADDS almacena información acerca de características y ubicación de las impresoras. Las
ubicaciones son especialmente importantes, porque representan una de las mejores maneras
para que los usuarios encuentren impresoras dentro de su red. Las descripciones también son
importantes, porque todas están incluidas en los elementos a los que los usuarios tienen acceso
cuando buscan impresoras en el directorio.
Ahora los usuarios buscan impresoras de manera muy parecida a como buscan recursos com-
partidos del archivo: a través de la herramienta Búsqueda de Active Directory. Pueden hacerlo con
base en el nombre de la impresora, la ubicación de ésta o el modelo. También pueden buscar con
base en características como impresión de doble lado, encuadernado, salida a color y resolución.
Windows Server 2008 da soporte al rastreo de la ubicación de la impresora. Este componente está
basado en la topología de sitio de Servicios de dominio de Active Directory que diseñó en el capítulo
5. Uno de los elementos clave de la topología del sitio es la subred. Cada subred incluye un nombre
y una descripción. También puede incluir información de ubicación. La información se almacena en
las propiedades de subred bajo la ficha Ubicación. La información de ubicación se almacena en forma
jerárquica. Cada nivel está separado por una diagonal. Puede usar hasta 256 niveles en un nombre
de ubicación, aunque el nombre completo puede usar más de 260 caracteres. Cada parte del nombre
puede incluir hasta 32 caracteres. Por ejemplo, una impresora localizada en el ala noreste del primer
piso del edificio de las oficinas centrales puede identificarse como OC/Primer piso/Ala noreste.
Para habilitar el rastreo de ubicación de impresora en su dominio, necesita los siguientes
elementos:
• Subredes y ubicaciones de subredes en Sitios y servicios de Active Directory
• Una convención de asignación de nombres de ubicación de impresoras
• La GPO de rastreo de ubicación debe habilitarse
• La configuración de ubicación para todas las impresoras
• La configuración de ubicación para todas las PC y los servidores
Empiece por asegurarse de que se ha creado su estructura de sitio y de que se han ingresa-
do las ubicaciones en cada subred; de otra manera, el botón Examinar no mostrará entradas en
ninguno de los cuadros de diálogo que use para las demás operaciones.
La GPO Rastreo de ubicación debe establecerse en el nivel de dominio para que se aplique a
todos los objetos dentro del dominio. En el capítulo 5 aprendió que no es necesario modificar las
directivas de dominio predeterminadas porque no hay una característica de regreso a la última
configuración adecuada correcta. Por tanto, necesita crear una GPO de directiva de dominio de
Internet. Ésta debe ser el GPO que incluya la configuración de rastreo de ubicación de impreso-
ra. Esta configuración puede encontrarse al seleccionar Configuración del equipo | Directivas |
Plantillas administrativas | Impresoras. Para habilitar el rastreo de ubicación de impresora, debe
habilitar la configuración Preparar el texto de búsqueda automática de la ubicación de impresora.
Esta configuración habilita el botón Examinar de la ficha Ubicación en las propiedades de la im-
presora y el equipo dentro del directorio. También se habilita este botón en la herramienta Buscar
impresoras en servidores y PC.
SUGERENCIA Aunque puede elegir que se muestren listas de impresoras en el directorio cuando
comparte la impresora, no aparecen automáticamente como objetos. Sin embargo, puede encontrar
este objeto y, una vez encontrado, colocarlo en una OU para su posterior manipulación. Utilice
la herramienta Búsqueda de Usuarios y equipos de Active Directory para localizar todas las im-
presoras, y selecciónelas de la ventana Buscar para moverlas a una OU. Cree una OU Impresoras
bajo la OU Ofrecimientos de servicios virtuales|Archivos e impresión.
Hay dos vías para ingresar información de ubicación para las impresoras. Puede ingresarla
cuando comparte la impresora o puede hacerlo después, una vez que se ha compartido ésta. Para
ingresar configuraciones de ubicación de impresoras una vez que se han compartido, localice
todas las impresoras de su directorio y luego abra su página Propiedades. En la ficha Editor de
atributos, vaya al final del atributo Ubicación, haga clic y seleccione Editar. Ingrese la ubicación
empleando el formato de notación identificado antes. Por lo general, debe ser lo más específico
posible cuando identifique ubicaciones de impresoras. Por ejemplo, puede incluir más detalles,
como número de la sala, dentro de la información de ubicación de la impresora. Realice esta
operación para cada impresora.
Realice la misma operación en todos los objetos del equipo ubicados en el directorio. Abra su
página Propiedades y utilice la ficha Ubicación para ingresar la ubicación o use el botón Exa-
minar para seleccionarlas. El ingreso de ubicaciones para cada objeto, facilitará a los usuarios la
búsqueda de las impresoras. Entonces, cada vez que los usuarios usen la herramienta Búsqueda
para localizar una impresora, la ubicación de la impresora se ingresará automáticamente en el
campo Ubicación, permitiendo que su comunidad de usuarios encuentre impresoras cerca de
ellos sin tener que conocer su estrategia de asignación de nombres de ubicación. Debido a esto,
tal vez no necesite incluir impresoras de usuario en su secuencia de comandos de inicio de sesión
o mediante GPO. Sólo necesita mostrarles cómo localizar impresoras cerca de ellos y cómo co-
nectarlas durante la capacitación para la migración (vea la figura 8-9).
Los controladores de impresora se descargan automáticamente en los sistemas de usuario cuan-
do un usuario se conecta a la impresora, siempre y cuando, por supuesto, el controlador de la impre-
sora para su versión del sistema operativo se haya cargado en el servidor al compartir la impresora.
Si está usando la red paralela, no será necesaria la instalación de varios controladores de cliente en
sus colas de impresión, sobre todo si está ejecutando clientes de Vista, pero tendrá que agregar con-
troladores para sistemas operativos de 32 y de 64 bits. Si no está usando la red paralela, tendrá que
agregar otras versiones de controladores de impresora (una para dar soporte a cada sistema operati-
vo del cliente en su red). Sin embargo, tenga en cuenta que no necesita controladores de la versión 2
para clientes de Windows NT. Por lo general, éstos pueden operar con controladores versión 3.
PARTE IV
Administre los permisos de las impresoras
En Windows Server, los permisos de las impresoras son muy parecidos a los de los sistemas
cliente de Windows. La administración de impresoras está dividida en colas de impresión y ad-
ministración de impresora. Los operadores de impresión tienen permitida la administración del
dispositivo físico y de la cola lógica. Además, cada usuario que imprime un trabajo tiene control
completo sobre su propio trabajo. Es decir, puede eliminarlo, pero no puede cambiar su prioridad.
WS08 da soporte a la segregación de la administración de impresoras y documentos. La
primera permite que los operadores detengan, hagan pausa y reinicien la impresora, pero no da
control al operador sobre los documentos en la cola. La administración de documentos permite
que los operadores inicien, detengan, hagan pausa y reordenen los documentos que se encuen-
tran en la cola de impresión. Como opción predeterminada, los operadores de impresión en
WS08 tienen estos derechos. Si necesita segregar estos derechos dentro de su organización, tiene
que crear los grupos administrativos adecuados y delegar los derechos apropiados para cada uno.
Establezca una directiva de impresora compartida

Ahora que tiene una comprensión básica de las características de soporte a impresión en Win-
dows Server, puede empezar a establecer su directiva de impresora compartida. Esa directiva
debe estar completamente documentada y distribuirse entre todos los técnicos. Debe incluir:
FIGURA 8-9
Búsqueda de ubicaciones
de impresoras o equipos.
• Criterios de selección de impresora (basado en las impresoras certificadas “diseñadas para

Windows”).
• Criterios mínimos para la adición de una impresora compartida.
• Estándares de configuración de impresora predeterminada.
• Controladores digitalmente firmados de la versión 3 para todas las impresoras.
• Una convención estándar de asignación de nombres de impresora.
• Una convención estándar de asignación de nombres de ubicación de impresoras en el formato
de Rastreo de ubicación de impresoras.
• Formatos de descripción estándares.
• Activación del Rastreo de ubicación de impresoras.
• Procedimientos y procesos documentados para compartir impresoras.
• Principios de construcción del servidor de impresión.
Esta lista no es excluyente. Incluya en su directiva de impresora cualquier cosa que parezca
necesaria. Tenga en mente los siguientes elementos:
• La impresión tiene una prioridad inferior que el intercambio de archivos, sobre todo con el
uso de los controladores de la versión 3 (en modo de usuario). Por tanto, si tiene regiones que
requieren una comunicación de impresión más elevada, no cree servidores combinados de
archivo e impresión. En cambio, cree servidores dedicados de archivos y de impresión.
• Cuando tenga más de un servidor de impresión, cree redundancia en sus configuraciones
de impresoras compartidas. Es decir, use el mismo método para el diseño de servidores de
impresión que utiliza para los servidores del protocolo dinámico de configuración de host
(DHCP, Dynamic Host Configuration Protocol). Cree todas las impresoras en cada servidor,
luego comparta sólo una parte (por ejemplo, la mitad) de las impresoras en un servidor y la
otra parte en el otro servidor. Si uno de sus servidores de impresión deja de funcionar, puede
compartir rápidamente y reactivar las impresoras perdidas en el otro servidor. Cada servidor
actúa como un servidor en espera en relación con el otro.
• Hoy en día, es posible hacer casi cualquier cosa con Unidriver. Adquiera PostScript en sus
impresoras sólo si es absolutamente necesario (por ejemplo, si tiene clientes que no son de
Windows o usuarios que tengan aplicaciones gráficas de alto nivel). En cambio, seleccione
características adicionales, como impresión en doble cara o encuadernación, para crear dispo-
sitivos que desempeñen varias funciones.
• Tenga en mente que los trabajos largos tardan más tiempo en enviarse a la cola cuando determi-
ne sus estándares de configuración de impresora predeterminados. Como opción predetermina-
da, las impresoras de WS08 comienzan a imprimir en cuanto el trabajo empieza a incluirse en la
cola. Pero si está enviando un documento de 200 páginas, lo más probable es que otros usuarios
tengan tiempo de imprimir varios documentos de 10 páginas antes de que el trabajo se haya
terminado. Si ha establecido propiedades de impresión para que se incluya en la cola y después
se imprima, los pequeños trabajos a menudo se terminarán más rápido que los más largos.
• Para agilizar la impresión en un servidor de impresión y archivos compartido, guarde el directorio
de la cola de impresión en un disco dedicado. Esto se hace mediante las propiedades del servidor
de impresión en el Panel de control Impresoras. Use la ficha Opciones avanzadas para redirigir la
cola de impresión a otro disco (vea la figura 8-10). Debe ser una carpeta creada en el disco E:.
• Por último, use detección automática cuando imprima directamente en impresoras habilita-
das en red. Esto identificará automáticamente si la impresora es compartida en el puerto de
impresión del protocolo de control de transmisión/protocolo de Internet (TCP/IP,) o como un
dispositivo de servicios Web. Ambos pueden indicar errores de estatus, como atascos de papel,
tóner bajo y documentos que no responden, además de configurar automáticamente clientes
que se conectan a ellos.
Éstas no sólo son recomendaciones que debe tomar en cuenta para su directiva de impresora
compartida, sino que a menudo son elementos que se pasan por alto. Recuerde que las impreso-
ras en realidad están allí para usarlas y deben designarse para facilitar el proceso de impresión.
PARTE IV
FIGURA 8-10
Desplazamiento de la
ubicación de la cola de
impresión.
Cree el servidor de impresión

Los servidores de impresión suelen estar vinculados con los servidores de archivos. Como estos
últimos ya se han puesto en funcionamiento, sólo necesita agregar una función de servidor de
impresión a los servidores existentes. Antes de seguir adelante, sin embargo, recuerde estudiar el
proceso de preparación del servidor de impresión. Ese proceso incluye varias actividades y está
basado fuertemente en su directiva de impresora compartida (vea la figura 8-11):
• Identifique todas las impresoras de su organización.
• Habilite la función Servidor de impresión en los servidores de impresión.
• Cree sus puertos de impresora o configure los dispositivos de servicios Web.
• Cree las impresoras e instale los controladores.
• Identifique las ubicaciones para cada impresora.
• Establezca la ubicación de la cola de impresión para los servidores de impresión.
• Establezca las opciones de cola de impresión para cada impresora.
• Asegúrese de que está establecido el GPO de impresión de ADDS.
• Asegúrese de que la impresora está publicada en ADDS.
• Asegúrese de que los clientes pueden conectarse a las impresoras.
Las impresoras deben identificarse en el proceso de inventario delineado en el capítulo 3.
Utilice ese inventario para crear sus servidores de impresión ahora. Luego active la función Servi-
dor de impresión en su servidor miembro. Asegúrese de que todas las impresoras están física-
mente instaladas en la red y enciéndalas.
SUGERENCIA Tal vez quieran depender de nuevas impresoras compatibles con los dispositivos de
servicios Web (WSD, Web Services Devices), porque éstos proporcionan coniguración automáti-
ca y conexiones cuando están conectados a su red.
1. Inicie la consola Administrador del servidor, si está cerrada (use el icono del área Inicio rápido).
2. Lance el Asistente para agregar funciones. Seleccione Servicios de impresión.
3. Siga las instrucciones de la tabla 8-5 para completar el asistente.
Ahora que su función de servidor de impresión está instalada, puede pasar a la creación de
su cola de impresión. Empiece con la creación de los puertos de la impresora.
FIGURA 8-11 El proceso de preparación del servidor de impresión

Proceso de preparación Identificar todas las impresoras de su organización
del servidor de impresión. Habilitar la función Servidor de impresión en los servidores de impresión
Crear sus puertos de impresora o configurar los dispositivos de servicios Web
Crear las impresoras e instalar los controladores
Identificar las ubicaciones de cada impresora
Establecer la ubicación de la cola de impresión para el servidor de impresión
Establecer las opciones de cola de impresión para cada impresora
Asegurarse de que está establecido el GPO de impresión de ADDS
Asegurarse de que la impresora está publicada en ADDS
Asegurarse de que los clientes pueden conectarse a las impresoras
Página del Asistente Instrucciones

Servicios de impresión
Funciones del servidor Seleccione la función Servicios de impresión.
Servicios de impresión Revise la información proporcionada sobre la función Servicios de impresión.
Servicios de función Nota Debe instalar los servicios de información de Internet (IIS, Internet Information Services)
y habilitar Impresión en Internet si elige esta opción. El asistente sugerirá automáticamente la
instalación de los componentes apropiados si selecciona esta opción.
Conirmación Conirme sus selecciones. Use Anterior para modiicar sus elecciones. Haga clic en Instalar
cuando esté listo.
Progreso Observe el progreso de la instalación.
Resultados Haga clic en Cerrar para completar el asistente.
TABLA 8-5 Adición de la función Servicios de impresión
1. Lance la consola Administración de impresión. Se encuentra en el menú Inicio | Herramientas

administrativas.
NOTA La administración de impresión es diferente de cualquier otra función agregada al Admi-

nistrador del servidor. Por lo general, todas las funciones se manejan directamente en el Admi-
nistrador del servidor, pero con administración de impresión, necesita una consola separada. Los
servicios de impresión sólo presentan una lista del estatus del servicio en el Administrador del
servidor, además de proporcionar información sobre la administración de la impresión.
2. Expanda el nodo Servidores de impresión|Nombreservidor|Puertos en el panel de árbol, donde

Nombreservidor es el nombre de su servidor de impresión.
3. Utilice el comando Acciones adicionales del panel de acciones para seleccionar Agregar puer-
PARTE IV
to.
4. En la lista Tipos de puerto disponibles, seleccione Standard Port TCP/IP. Luego haga clic en
Puerto nuevo.
5. Esto lanza el Asistente para agregar puerto de impresora estándar TCP/IP. Use los valores de la
tabla 8-6 para rellenar este asistente.
NOTA Los puertos pueden estar en formato RAW o de impresora remota de línea (LPR, Line Printer
Remote). Si el puerto se utilizará con dispositivos de Windows, entonces use el formato RAW. Si
será con dispositivos que no son de Windows, emplee LPR. Puede cambiar esta coniguración para
cualquier puerto TCP/IP al hacer clic con el botón derecho para seleccionar Conigurar puerto.
Repita esta operación para cada puerto que necesite crear. A continuación, agregue sus im-
presoras.
SUGERENCIA Si ya está usando controladores versión 3, y aunque no lo haga, puede usar el

Microsoft Print Migrator (www.microsoft.com/WindowsServer2003/techinfo/overview/
printmigrator3.1.mspx) para migrar impresoras de servidores existentes a los nuevos. Conocerá
más acerca de esta tarea en el capítulo 12.
Página del Asistente para

agregar puerto de impresora
estándar TCP/IP Instrucciones
Agregar puerto Bajo Nombre o dirección IP de impresora, escriba el FQDN de la impresora. Se preiere el
nombre de dominio plenamente caliicado (FQDN, Fully Qualiied Domain Name) porque no
cambiará, mientras que sí puede hacerlo la dirección IP. Sobre todo, si asigna direcciones a la
impresora mediante DHCP.
Windows ingresará automáticamente el nombre del puerto mientras escribe el nombre de la
impresora. Cámbielo si lo desea.
Detectando puerto TCP/IP Windows trata de detectar el puerto para identiicar la impresora conectada a él.
Información adicional sobre Si Windows tiene éxito, llena las propiedades del puerto; si no, requerirá información adicional.
puertos Identiique el tipo de dispositivo. Si el dispositivo es desconocido seleccione Generic Network
Card.
Finalización del Asistente Haga clic en Finalizar cuando haya terminado. Use el botón Anterior para modiicar sus coni-
guraciones.
TABLA 8-6 Adición de los puertos de impresora
Si necesita agregar nuevas impresoras, utilice el siguiente procedimiento.

1. En Administración de impresión, expanda el nodo Servidores de impresión | Nombreservidor |
Impresoras en el panel de árbol, donde Nombreservidor es el nombre de su servidor de impresión.
2. Utilice el comando Acciones adicionales del panel de acciones para seleccionar Agregar impresora.
3 . Utilice los valores de la tabla 8-7 para rellenar este asistente.
Repita esta operación para cada nueva impresora que necesite agregar. Debe revisar cada
impresora compartida para asegurarse de que tiene la configuración apropiada de cola de impre-
sión y desplace ésta al disco dedicado. También debe asegurarse de mover la impresora a la OU
Impresoras en ADDS.
Utilice el siguiente procedimiento para cambiar el disco de la cola de impresión.
1. En Administración de impresión, expanda el nodo Servidores de impresión | Nombreservidor
en el panel de árbol, donde Nombreservidor es el nombre de su servidor de impresión.
2. Haga clic con el botón derecho en el nombre del servidor. Seleccione Propiedades del menú
contextual.
3. En la ficha Opciones avanzadas, escriba la ubicación de la cola de impresión. Debe ser E:\
Spool\Printers. Haga clic en Aceptar cuando haya terminado.
4. A continuación, vaya al nodo Todas las impresoras bajo Filtros personalizados, haga clic con
el botón derecho en cada impresora, vea sus Propiedades, vaya a la ficha Opciones avanzadas
y establezca sus propiedades de cola de impresión. Seleccione Iniciar la impresión cuando
la última página haya entrado en la cola e Imprimir primero dos documentos de la cola de
impresión. Los otros parámetros pueden permanecer en sus opciones predeterminadas.
5 Haga clic en Valores predeterminados de impresión para establecer la configuración prede-
terminada de la impresora, como impresión a doble página, encuadernado y tipo de papel en
cada charola.
6. A continuación, pase a la ficha Configuración y asegúrese de que el dispositivo está configu-
rado de manera apropiada. Luego pase a Configuración del dispositivo y aplique los valores
apropiados para la impresora.
Asistente para la instalación

de impresoras de red Instrucciones
Instalación de impresora Este cuadro de diálogo puede realizar varias tareas:
Puede buscar en la red impresoras disponibles y agregarlas automáticamente a la consola.
Puede agregar una impresora de red (un dispositivo TCP/IP o de servicios Web) por dirección
IP o por nombre de host.
Puede agregar una impresora conectada localmente.
Puede crear un puerto y agregar una impresora al mismo tiempo.
Seleccione la opción predeterminada, porque creó puertos TCP/IP.
Dirección de la impresora Use Detección automática para que Windows determine si es una impresora TCP/IP o WSD.
Agregue el nombre de host de la impresora o la dirección IP; el nombre de puerto se llenará
automáticamente. Cambie este nombre, si es necesario. Seleccione Detectar automática-
mente qué controlador de impresora se debe usar.
Controlador de impresora Si el controlador se detecta automáticamente, aparecerá en la lista. De lo contrario, seleccio-
ne el controlador de impresora apropiado de la lista de dispositivos, o agréguelo usando el
disco proporcionado por el fabricante.
Coniguración de nombre y uso Cambie el nombre de la impresora, si es necesario.
compartido de impresora Cambie el nombre de recurso compartido, si es necesario.
Agregue la ubicación de la impresora.
Incluya un comentario.
Publique la impresora en el directorio.
Se encontró una impresora Revise sus opciones y apruébelas. Use el botón Anterior para modiicar los parámetros.
Finalización de la instalación Haga clic en Finalizar cuando haya terminado.
Puede imprimir una página de prueba desde esta página.
También puede reiniciar el archivo para agregar otra impresora.
TABLA 8-7 Adición de impresoras
7. Haga clic en Aceptar cuando haya terminado. Realice esta tarea para cada impresora.
PARTE IV
Ahora debe asegurarse de que los GPO de impresión se hayan establecido (consulte la
tabla 8-8). Tienen que establecerse en el nivel del dominio, porque afectan a todos los equipos y
usuarios. Esto significa agregarlos al GPO de dispositivo de dominio de intranet.
Por último, asegúrese de que sus impresoras están publicadas dentro del directorio. Éste es el
comportamiento predeterminado, pero de todos modos debe confirmarse. Puede hacerse al mis-
mo tiempo que la última actividad: asegurarse de que los usuarios tienen acceso a las impresoras.
Regrese a su estación de trabajo e inicie sesión con su cuenta de usuario normal.
1. Abra Red en el Explorador de Windows y haga clic en el botón Buscar en Active Directory.
2. En el cuadro de diálogo que aparece, seleccione Impresoras de la lista desplegable Buscar.
3. El campo Ubicación debe llenarse automáticamente, si está activado Rastreo de ubicación de
impresoras.
4. Windows desplegará todas las impresoras cerca de usted.
5. Haga doble clic en cualquier impresora y seleccione Preferencias de impresión. Sus preferen-
cias predeterminadas de impresión deben ser las establecidas en el objeto de impresora com-
partida. Modifíquelas a medida que las necesite. Haga clic en Aceptar cuando haya terminado.
Ahora ha terminado la configuración de impresión. Necesitará realizar esta actividad para
cada servidor de impresión en su organización. En el capítulo 12 se delineará la manera de mi-
grar impresoras de redes existentes, si tiene que crear demasiadas impresoras manualmente.
Ubicación Configuración Comentario

Coniguración del Asistente para agregar impreso- Esta coniguración presenta una lista del número de impresoras
equipo |Directivas| ras: página de análisis de red que se desplegarán en una página Agregar impresora cuando los
Plantillas administrati- (Red administrada) usuarios traten de localizar impresoras en el directorio. Como op-
vas |Impresoras ción predeterminada, no se presenta ninguna impresora TCP/IP
ni WSD. Habilite esta opción para permitir que se desplieguen
hasta 50 impresoras de cada tipo.
Asistente para agregar impreso- Como opción predeterminada, esta coniguración permite que los
ras: página de análisis de red usuarios localicen impresoras en redes no administrativas (redes
(Red no administrada) sin ADDS).
Permitir que el administrador de Determina si los clientes pueden conectarse a esta cola de
trabajos de impresión acepte impresión. Como opción predeterminada, es necesario compar-
conexiones cliente tir las impresoras para que esta operación tenga éxito. Deje la
Permitir que se publiquen impre- El comportamiento predeterminado es que las impresoras se pu-
soras bliquen. Cambie esta opción sólo si quiere deshabilitar la función
en servidores de impresión especíicos.
Permitir la eliminación de impreso- Deje esta opción como se ha conigurado. ADDS elimina las
ras publicadas impresoras publicadas en un servidor del directorio si éste deja
de funcionar temporalmente, pero vuelve a publicarlos cuando el
servidor se reinicia.
Procesar siempre los trabajos de Los clientes de Windows Vista procesan localmente el trabajo de
impresión en el servidor impresión antes de enviar a la cola de impresión. Mantenga la
Publicar automáticamente impre- El comportamiento predeterminado es publicar las impresoras.
soras nuevas en Active Directory Cambie esta opción sólo si quiere deshabilitar la función en
servidores de impresión especíicos.
Comprobar el estado publicado No debe ser necesario. Habilítela sólo si ve que las impresoras
se eliminan de ADDS cuando aún deben estar allí.
Ubicación del equipo Se usa para Rastreo de ubicación de impresora: habilítelo sólo
si quiere forzar una impresora determinada para un conjunto
especíico de equipos.
Dirección URL de soporte en el Habilítelo y establezca una página Web interna de soporte técni-
panel izquierdo de la carpeta co para impresión.
Impresoras
Intervalo de eliminación de Sólo se aplica a controladores de dominio; deje los valores
directorios predeterminados.
Prioridad de eliminación de Sólo se aplica a controladores de dominio; deje los valores
Reintento de eliminación de Sólo se aplica a controladores de dominio; deje los valores
No admitir la instalación de Habilite esta opción si puede. Como opción predeterminada, las
impresoras con controladores en impresoras en el modo de kernel están permitidas en Windows
modo kernel XP Professional.
Registrar eventos de reintento de Deje los valores predeterminados.
eliminación de directorios
Preparar el texto de búsqueda Habilítelo para usar el rastreo de ubicación de impresora.
automática de la ubicación de
impresora
Búsqueda de impresoras No se requiere cuando hay un controlador de dominio, porque las
impresoras se publican en ADDS.
TABLA 8-8 Coniguraciones de la GPO de impresión

Ubicación Configuración Comentario

Impresión desde Internet Se requiere para IPP; sólo es necesario si está instalado IIS en
el servidor de impresión o si quiere que los usuarios usen una
página Web central para localizar impresoras.
Coniguración de Buscar impresoras en un sitio Se usa junto con impresión desde Internet; puede usarse para
usuario| Directivas| Web común redirigir a los usuarios a una página Web central común para
Plantillas administrati- localizar impresoras compartidas.
vas| Panel de control|
Impresoras
Buscar impresoras en la red Se usa para presentar automáticamente una lista de impresoras
en el cuadro de diálogo Impresoras de red del Asistente para
agregar impresoras; no se requiere cuando se usa ADDS para
agregar impresoras.
Ruta predeterminada de Active Sólo se necesita en redes muy grandes para agilizar las búsque-
Directory al buscar impresoras das de directorios.
Usar sólo apuntar e imprimir en Obliga a los clientes a veriicar las asignaturas del controlador
paquete cuando los descargan. Habilite esta opción. Úsela para que los
usuarios estándar instalen impresoras en redes administradas.
Apuntar e imprimir en paquete: Habilítela sólo si quiere restringir el acceso a servidores especíi-
usuarios aprobados cos de apuntar e imprimir en paquete.
Restricciones de apuntar e Habilítela sólo si quiere restringir el acceso a servidores especíi-
imprimir cos de apuntar e imprimir.
Impedir la agregación de impre- Sólo se usa para cuentas muy restrictivas.
soras
Impedir la eliminación de impre- Sólo se usa para cuentas muy restrictivas.
soras
TABLA 8-8 Coniguraciones de la GPO de impresión (Continuación)
PARTE IV
SUGERENCIA Es probable que también necesite impresoras compartidas en el almacén de recursos.
Tal vez sea más fácil compartir impresoras en las máquinas virtuales que construya para ines de
administración, porque puede usar el mismo proceso delineado aquí para preparar y compartirlas
en el modo gráico.
Comparta archivos e impresoras con clientes que no son de Windows

Windows NT 2008 también da soporte a la opción de recursos compartidos de impresión y archi-
vos con equipos que no son de Windows. Esto incluye sistemas Macintosh, además de UNIX y
Linux. Muchas redes contienen uno u el otro, o incluso ambos.
Windows NT ha sido compatible con la conectividad de Macintosh desde sus primeras
versiones. Windows Server no es diferente. La conectividad con Macintosh solía proporcionarse
mediante Servicios para Macintosh, un servicio que incluía Servicios de archivo para Macintosh y
Servicios de impresión para Macintosh y que tenía que agregarse al servidor de archivos e impre-
sión. El servicio agregaba automáticamente soporte al protocolo AppleTalk.
Pero con el advenimiento de los nuevos sistemas operativos de Macintosh, Microsoft ha
descontinuado este servicio debido a que ya no se ejecutan protocolos de Apple personalizados,
porque ejecutan una versión de UNIX. Utilice las herramientas de conectividad de UNIX en
Windows Server para conectar sus sistemas Macintosh.
Función del Arquitectura CPU RAM Unidad D: Unidad E: Red

servidor de procesador
Servidor de x64 Carga Obligatoria Instantáneas de Se requieren velocida-
archivos baja para el servi- host comparti- des mayores o varias
cio Búsqueda dos e informes tarjetas para mejor ve-
de almacena- locidad de intercambio
miento de archivos
Servidor de x64 Carga Obligatoria No se necesita Archivos de cola de Se necesitan varios
impresión media para trabajos impresión de hosts trabajos de interfaz
de impresión de red (NIC) para las
grandes impresoras en red
Servidor de x64 Carga Obligatoria Servicio WDS No se necesita Se necesitan tarjetas
infraestructura elevada para dar so- en hosts y archi- de red de alta velo-
de red (función porte a varios vos de imagen: cidad para un mejor
WDS) procesos de usa unidades rendimiento
construcción grandes y dedi-
de sistemas cadas
TABLA 8-9 Requisitos de recursos para la función del servidor
Windows Server da soporte a la integración de UNIX en varios niveles. La integración de

archivos e impresión se analizó antes en las secciones respectivas de este capítulo. Los servicios
de archivo están habilitados mediante el protocolo NFS y los servicios de impresión dependen de
las impresoras LPR. Es relativamente fácil trabajar con cada una de ellas.
En cuanto a la seguridad, puede integrar los reinos de Kerberos, incluidos dominios de WF08 y
redes UNIX, porque la versión 5 de Kerberos es un estándar y permite la operación entre los entor-
nos. Un reino de Kerberos asegura que los usuarios pueden acceder a los archivos desde entornos sin
tener que usar o recordar dos cuentas y contraseñas. Conocerá más sobre Kerberos en el capítulo 10.
Por último, si necesita un nivel de interacción más elevado entre redes UNIX y de Windows
Server, puede obtener Windows Services for UNIX (http://technet.microsoft.com/en-us/interopmi-
gration/bb380242.aspx), un conjunto de herramientas muy completo que está diseñado para integrar
redes y UNIX y WS08 e incluso permitir que aplicaciones de UNIX se ejecutan en servidores WS08.
Requisitos de servidor por función

Ahora que ha revisado el proceso de creación de varias funciones del servidor, tiene una idea de
los requisitos de hardware para construirlos (consulte la tabla 8-9). Necesita revisar la unidad de
procesamiento central (CPU, Central Processing Unit), la RAM, los volúmenes de discos y las
capacidades de la red requerida para las funciones del servidor vistas hasta ahora. Utilice esas
pautas para preparar sus servidores cuando ponga en funcionamiento la red paralela para ofreci-
mientos de servicios virtuales. Otras tablas de este tipo se presentarán a medida que examinemos
otras funciones en capítulos futuros.
Diseño de la estructura de la OU Ofrecimientos de servicios virtuales

El paso final de la preparación del servicio es el diseño de la estructura de OU Ofrecimiento de
servicios virtuales y la aplicación de la delegación apropiada y las configuraciones de directivas de
grupo para cada servicio (consulte la tabla 8-10). Esta estructura de OU es muy simple, pero per-
mite la capacidad de crear subestructuras. Aunque la estructura de la OU Ofrecimientos de servi-
cios virtuales se introdujo en el capítulo 5, su propósito en ese momento era identificar el tipo de
contenido que podría esperar en esta estructura. Ahora que ha tenido la oportunidad de afinar su
comprensión del contenido de esta estructura de OU, encontrará que es ligeramente diferente de
la presentación inicial del capítulo 5. Por ejemplo, mientras que allí esa estructura presentaba el
tipo de servidor miembro contenido dentro de la OU, en este capítulo ahora se presenta la fun-
ción del servidor en el segundo nivel. Este cambio en las categorías permite afinarla aún más. Por

Ofrecimientos de servi- Uno Agrupamiento de todos los GPO de servidores base para
cios virtuales ofrecimientos de servicios aplicaciones de coniguraciones de
y objetos utilitarios en la seguridad; consulte el capítulo 10.
organización Además, se usa para separación en
categorías
Archivos e impresión Dos Reagrupar todos los servido- GPO Archivos e impre- Este GPO controla todos los aspec-
res de archivos e impresión sión global tos del intercambio de archivos,
DFS e impresión. Diseñado para
operadores de archivos e impresión
Recursos compartidos Tres Bajo Archivos e impresión Se usa para dividir en categorías
de archivos para reagrupar todos los todos los recursos compartidos
recursos compartidos
Impresoras Tres Bajo Archivos e impresión Se usa para dividir en categorías las
para reagrupar todas las impresoras
impresoras
Infraestructura de red Dos Reagrupa todos los servido- GPO Infraestructura Contiene coniguraciones de DHCP,
res operativos global servicio de asignación de nombres
PARTE IV
de Windows (WINS) y servicio de
instalación remota (RIS), además
de servidores operativos, como
Administración de operaciones de
Microsoft, Servidor de adminis-
tración de sistemas, Servidor de
seguridad de Internet y aceleración,
etc. Puede subdividirse para mayor
segregación. Delegado a operado-
res de servidor de infraestructura
Cuentas operativas Dos Reagrupa todas las cuentas No hay delegación; administrada por
operativas especiales, como administradores de dominio
técnicos de soporte e insta-
ladores
Cuentas de servicio Dos Reagrupa todas las cuentas No hay delegación; administrada por
de servicio especiales administradores de dominio
Objetos ocultos Dos Reagrupa todos los grupos Incluye grupos de dominio locales y
especiales, incluidos los universales. Incluye permisos espe-
grupos operativos ciales para evitar que los usuarios
regulares localicen estos grupos
cuando buscan en Active Directory
TABLA 8-10 Construya la estructura de la OU Ofrecimientos de servicios virtuales

ejemplo, si encuentra que necesita mayor segregación de los servidores de colaboración debido a
sus directivas para Share Paint Portal Server, puede crear el tercer nivel de OU bajo servidores de
colaboración y colocar los servidores de Exchange y SPS en OU separadas.
Por ahora, construya la OU para las funciones del servidor ya cubiertas. Otras funciones se
cubrirán en capítulos posteriores.
Uno de los aspectos clave en este diseño de OU es la preparación de los grupos de seguridad
apropiados para los operadores del servidor. Esto se llama plan de administración de servicios.
Debido a que se trata principalmente de la preparación de grupos especiales con derechos admi-
nistrativos de seguridad limitados, esta operación se realizará en el capítulo 12.
En cuanto a la preparación para esta estructura de OU, utilice las mismas operaciones deli-
neadas en el capítulo 7 para crear la estructura y delegue la administración del contenido de cada
OU a los grupos operacionales apropiados.
CAPÍTULO
9
Construya la infraestructura de
ofrecimientos de servicios virtuales:
servidores orientados a aplicaciones
L
os servidores orientados a aplicaciones proporcionan servicios de aplicación específicos
para usuarios finales. Así, son parte de la infraestructura de ofrecimientos de servicios vir-
tuales. Entre los servidores que se encuentran en esta categoría se incluyen:
• Servidores de aplicaciones Los servidores que hospedan aplicaciones que proporcionan
funcionalidad específica a usuarios finales. Estos servidores prestan servicios de aplicación
basados en software comercial, como Exchange Server, SQL Server, Comerce Server, etc., o
en aplicaciones corporativas personalizadas. También incluye aplicaciones basadas en .NET
Framework. Un buen ejemplo de una aplicación basada en .NET Framework es PowerShell,
porque necesita a éste para dar soporte a sus muchos cmdlets.
• Servidores Web dedicados Servidores que ejecutan servicios de aplicación Web en un
modelo de servidor de un solo propósito. Esta función se basa en la edición Web de Windows
Server 2008 (WS08). Son similares a la función Servidor de aplicaciones, pero sólo se con-
centran en los servicios de información de Internet (IIS, Internet Information Services) o en
aplicaciones de servicio Web.
• Servidores de Terminal Server Servidores que hospedan aplicaciones de manera centra-
lizada y proporcionan acceso a ellos mediante un modelo de cliente delgado. Todo el entorno
de ejecución reside en el propio servidor.
• Servidores de colaboración Servidores que hospedan aplicaciones que están específica-
mente diseñadas para permitir esfuerzos de colaboración entre usuarios finales. Ejemplos de
sus servicios incluyen, entre otros, Windows SharePoint Services (WSS) y Servicios de flujo de
datos de Windows Media.
NOTA Los Servicios de lujo de datos de Windows Media también son conocidos como Servicios
de Windows Media y no son parte de WS08, como opción predeterminada. Debe descargarlos de
437
www.microsoft.com/windows/windowsmedia/forpros/server/server.aspx. Además, ahora WSS es

parte de la capacidad del Administrador del servidor para integrar otras funciones y característi-
cas desde el centro de descargas de Microsoft o el sitio Web de Windows Update.
Estas funciones son las últimas del servidor que debe configurar antes de que pueda empezar a
mover usuarios finales a la red paralela y proporcionarles un complemento total de servicios.
Una vez más, en la estructura para cubrir cada una de estas funciones del servidor se
incluyen:
• Requisitos funcionales Análisis sobre la manera en que el servicio debe diseñarse para la
red empresarial y la racionalización del servicio.
• Características Las características que dan soporte a la función o el servicio dentro de WS08
(incluye nuevas características).
• Instrucciones de implementación La manera de seguir adelante con la preparación de la
función del servidor dentro del entorno de red de los ofrecimientos de servicios virtuales.
Las funciones mencionadas aquí suelen asignarse a servidores miembros. Al igual que con
las funciones del servidor de archivos e impresión, también será importante cubrir consideracio-
nes específicas de todos los tipos de servidor, como los servicios de equilibrio de carga de red y de
clúster de protección contra fallas. Ambas ofrecen características poderosas de redundancia que
minimizan el riesgo dentro de su organización. Esos temas se analizarán con más detalle en el
capítulo 11. Al igual que en el capítulo 8, la tabla que se encuentra al final de este capítulo esboza
los requisitos de recursos para construir cada servidor cubierto aquí. Sirve como una guía para la
construcción de una función de servidor.
Por último, una vez que las bases de los servicios de red se han cubierto, será el momento
de seguir con el diseño de la estructura de la unidad organizativa (OU, Organizational Unit)
Ofrecimientos de servicios virtuales dentro del directorio. Al igual que con las estructuras de
las OU Persona y PC, este diseño incluye un objeto de directiva de grupo (GPO, Group Policy
Object) y principios de delegación, pero también incluye el diseño único de un plan de migración
de servicios. WS08 ofrece capacidad de asignar derechos administrativos específicos con base en
las tareas de las que el administrador es responsable. Ya no necesita otorgar derechos de admi-
nistración de dominio a todos y cada uno sólo para permitir que realicen su trabajo. Este plan de
administración de servicios será un elemento clave de su infraestructura de seguridad de la red
empresarial. Se cubre en el capítulo 13.
La estructura de la OU Ofrecimientos de servicios virtuales se construye a medida que cada
servicio se agrega a la red. Es en este punto que se identificará la mayor parte del contenido de la
OU. Una vez que cada servicio adicional sea cubierto, se cubrirán de manera detallada los requi-
sitos administrativos, de delegación y de directiva del grupo para cada uno.
Construya servidores de aplicaciones

La función Servidor de aplicaciones es multifuncional, porque es necesaria para la compatibilidad
con el software de servidor comercial y con aplicaciones corporativas e internas. Ya sea para soft-
ware o para aplicaciones, esta función del servidor, como todas las demás, está basada en la ins-
talación del kernel central del servidor para servicios de ofrecimientos de servicios virtuales. Este
servidor se pone en funcionamiento de la misma manera que todos los demás servidores en su
red de ofrecimiento de servicios virtuales. Sin embargo, hay algunas particularidades, depen-
diendo del tipo de software o aplicaciones que hospedará el servidor. Además, los productos
de software, las aplicaciones personalizadas, o ambos, a menudo requieren una arquitectura
detallada de su propia implementación anterior. Por ejemplo, podía instalar Microsoft Ex-
change Server sin determinar primero su impacto en su estructura de Servicios de dominio de
Active Directory (ADDS, Active Directory Domain Services), en controladores de dominio, en
la topología de replicación y en otros elementos de la infraestructura que ya funcionan. Debido
a esto, la función Servidor de aplicaciones suele ser una de las últimas que deberá implementar
en su servidor.
Comparta aplicaciones comerciales y corporativas

Casi todas las organizaciones ya cuentan con una gran cantidad de productos de software y
aplicaciones personalizadas en funcionamiento. Después de todo, es la base del modelo clien-
te/servidor. Las organizaciones que usan redes de Windows también sabrán que los productos
de software y las aplicaciones hospedadas en esos sistemas operativos deben adecuarse a un
conjunto específico de directrices para que puedan operar. A esto se le denomina conjunto de es-
pecificaciones “diseñadas para Windows”. Lo ideal es que toda aplicación y producto de software
que ejecute se actualice a versiones completamente compatibles con Windows Server 2008, pero
éste es un escenario improbable.
NOTA Las especiicaciones para las aplicaciones de Windows pueden encontrarse en

www.microsoft.com/winlogo.
Pocas organizaciones pueden permitirse la actualización de todos sus productos de software

o el rediseño de todas las aplicaciones personalizadas durante la migración a WS08. Lo mejor que
puede esperar es actualizar unos cuantos productos de software esenciales o críticos y volver a dise-
PARTE IV
ñar algunas aplicaciones básicas. Por ejemplo, en el lado del software, si está usando cualquier cosa
anterior a Microsoft Exchange 2003, tiene sentido actualizarla a Exchange 2007, porque depende de
características que son una parte esencial de WS08. También tiene sentido actualizar otro software
esencial, como los productos encontrados en el sistema de servidores de Windows de Microsoft, si
puede. Por último, trate de actualizar las aplicaciones personalizadas que son críticas para la misión,
si es posible, porque obtendrán beneficios de las nuevas capacidades de WS08.
SUGERENCIA Los ciclos de vida de soporte también son una buena razón para actualizar sus
aplicaciones. Microsoft, por ejemplo, proporciona información completa sobre sus ciclos de vida
de aplicaciones en http://support.microsoft.com/gp/lifeselectindex. Si su producto está perdiendo
soporte, entonces puede ser un buen momento para actualizarlo. En ocasiones, el costo de dar
soporte a un producto más antiguo rebasa al de actualizarlo.
Si no puede actualizar o rediseñar todas sus aplicaciones, no se desespere. Como Windows

Vista, Server 2008 ahora presume un modo de compatibilidad que puede emular casi cualquier
versión anterior de Windows, desde 95 a XP Service Pack 1. Además, WS08 incluye el Asistente
para compatibilidad de programas, que le lleva a recorrer la asignación de parámetros de compa-
tibilidad para software heredado o aplicaciones más antiguas. Y, por último, puede usar el Appli-
cation Compatibility Toolkit de Microsoft para crear cuñas o fragmentos de código que harán que
sus aplicaciones funcionen en WS08.
SUGERENCIA La compatibilidad de aplicaciones en Windows Server 2008 es la misma que en Win-

dows Vista, porque ambos usan la misma base de código. Para una revisión muy completa sobre la
compatibilidad de aplicaciones y los posibles problemas con éstas en ambas versiones de Windows,
descargue Chapter 6: Preparing Applications (Capítulo 6; preparación de aplicaciones) del libro
electrónico, The Deinitive Guide to Vista Migration, en www.realtime-nexus.com/dgvm.htm.
También puede depender del Application Compatibility Toolkit de Microsoft, que está disponible
en http://technet.microsoft.com/en-us/windowsvista/aa905072.aspx.
Uno de los aspectos importantes de la compatibilidad de las aplicaciones es la seguridad.

Microsoft cambió el modelo de seguridad para aplicaciones entre Windows NT y Windows 2000,
y sigue haciendo que evolucione en WS08. EnNT, las aplicaciones podían escribir en áreas críti-
cas del disco del sistema, como las carpetas %SYSTEMROOT% Archivos de programa. Esto lle-
vaba a la posibilidad de desestabilizar el sistema. Ahora, ni los usuarios ni las aplicaciones tienen
el derecho de cambiar o modificar información en esas carpetas críticas. Por tanto, si tiene una
aplicación heredada que debe ejecutarse en Windows Server 2008, debe modificar la configura-
ción de seguridad para permitir que los usuarios editen archivos específicos de carpetas críticas
o ejecutar el Asistente para compatibilidad de programas, para redirigir los datos del programa
al área del perfil del usuario. Sin embargo, no debe cambiar el nivel de seguridad del servidor de
las opciones predeterminadas; esto es, por supuesto, si quiere que se mantenga en ejecución. En
cambio, es mejor que utilice el Ayudante para compatibilidad de programa, para aplicar configu-
raciones especiales a cada programa que lo requiera.
Soporte al desarrollo de aplicaciones

Si decide volver a diseñar sus aplicaciones corporativas, encontrará que Windows Server 2008
ofrece una gran cantidad de características concentradas en el soporte de aplicaciones. Esto cae
en varias categorías, como escalabilidad, disponibilidad, capacidad de administración y mejoras al
modelo del programa de programación. Entre estas características se incluyen:
• Almacenamiento central de aplicaciones Con WS08, es posible crear almacenes de subpro-
cesos de aplicaciones Web y aplicarlos a las heredadas que normalmente operarían en un solo
proceso. Esto le da a la aplicación más solidez, porque ya no está unida a un solo proceso.
• Reciclaje de aplicaciones Algunas aplicaciones tienden a mostrar un rendimiento de-
gradado con el tiempo debido a fugas de memoria y a otros problemas relacionados con la
programación. WS08 puede reciclar un proceso al apagarlo de manera elegante y reiniciarlo de
manera regular. Esto puede hacerse ya sea administrativamente o mediante el kit de desa-
rrollo de software de COM+. Administrativamente, se aplica mediante la consola Servicios
de componentes, al hacer doble clic en un componente de COM+, seleccionar Propiedades y
modificar los elementos en la ficha Agrupar y reciclar (vea la figura 9-1).
SUGERENCIA La consola Servicios de componentes ya no está disponible como opción predeter-

minada en WS08 como en versiones anteriores de Windows Server. Para acceder a ella, debe
instalar la función Servidor de aplicaciones o crear una nueva consola y agregar el complemento
Servicios de componentes. Use menú Inicio|Ejecutar, escriba MMC y, en la nueva consola, use
Archivo|Agregar o quitar complemento. Recorra la lista hasta que vea Servicios de componentes
y haga clic en Agregar. Cierre el cuadro de diálogo de complementos y guarde la consola.
FIGURA 9-1
Cambio de la aplicación
de reciclaje de las
aplicaciones.
• Aplicaciones como servicios NT Ahora, todas las aplicaciones COM+ pueden configurarse
como servicios NT, haciendo la carga de las aplicaciones en tiempo de arranque o bajo pedido,
según se requiera. Una vez más, esto se realiza mediante las propiedades de la aplicación en la
PARTE IV
ficha Activación.
• Compuertas de activación de memoria baja WS08 puede realizar las asignaciones de
memoria antes de iniciar un proceso, permitiendo que apague una aplicación si agota los re-
cursos de la memoria. Eso permite que otras aplicaciones se ejecuten en el servidor para seguir
operando cuando sólo falla una aplicación.
• Servicios Web Cualquier objeto COM+ puede tratarse como servicio Web y cualquier servi-
cio Web puede tratarse como un objeto COM+, lo que extiende en gran medida las capacida-
des remotas de sus aplicaciones.
• Particiones de aplicaciones Este tema se analizó en los capítulos 5 y 6, cuando se usó Ser-
vicios de dominio de Active Directory. En cuanto a soporte de aplicaciones, estas particiones le
permiten hospedar varias instancias de la misma o de diferentes versiones de objetos de COM+
en el mismo servidor. Si, por ejemplo, hay 500 usuarios que ejecutan una aplicación hospedada,
puede crear 500 particiones, una para cada cliente, segregando su entorno operativo de todos
los demás. Las particiones de aplicaciones se crean en Usuarios y equipos de Active Directory
bajo System | ComPartitions y ComPartitionsSets (debe estar habilitada la opción Características
avanzadas en el menú Ver). Además, los servidores miembros deben tener las particiones habili-
tadas. Esto se hace mediante Servicios de componente | Equipo | Propiedades | ficha Opciones.
• .NET Framework WS08 incluye una versión integrada de .NET Framework, versión 2.0
como opción predeterminada. Además, incluye una versión instalable de .NET Framework
versión 3.0 y 3.5. Por tanto, puede programar aplicaciones para que usen el motor en tiempo
de ejecución de lenguaje común y las integren con los servicios Web de lenguaje de marcado
extensible (XML, eXtensible Markup Language) para aprovechar este nuevo y poderoso mo-
delo de programación.
• Servicios UDDI WS08 también incluye los servicios de descripción, descubrimiento e inte-
gración universal (UDDI, Universal Description, Discovery, and Integration), lo que le permite
publicar sus servicios Web de manera interna o externa. Los servicios UDDI son una función
que puede agregarse a servidores WS08.
• Protocolo simple de acceso a objetos (SOAP, Simple Object Access Protocol) WS08
incluye este protocolo basado en XML para permitir la integración completa con el modelo de
programación de servicios Web.
• Cola de mensajes WS08 también incluye el servicio Message Queue Server, que proporcio-
na una infraestructura de mensajería asincrónica para aplicaciones. Esto permite que las apli-
caciones operen bajo condiciones de red que no son constantes. MSMQ está integrada con los
Servicios de dominio de Active Directory, donde almacenan toda la información de configu-
ración, seguridad y estatus. Message Queue Server proporciona comunicaciones garantizadas
en red, aunque no haya condiciones óptimas en ésta. Puede agregarse mediante el Asistente
para añadir características.
El rediseño de las aplicaciones corporativas no es un proceso ágil. Debe planearse bien an-
tes de que empiece su migración a Windows Server 2008, de modo que las aplicaciones estén
listas para entregarse cuando realice el despliegue de su infraestructura.
SUGERENCIA La principal ventaja de dividir su entorno entre almacenes de recurso y ofrecimientos

de servicios virtuales es que siempre puede construir una máquina de ofrecimientos de servicios
virtuales que se ejecute en versiones anteriores de Windows Server (la licencia de Windows
Server 2008 Enterprise da soporte al uso de cualquier versión anterior de Windows como equipo
virtual) y usarla para ejecutar aplicaciones más antiguas. Aunque esto no es el escenario ideal,
porque debe tener todos los servicios migrados a WS08, funciona y lo hace bien para dar soporte a
aplicaciones que aún no se han actualizado.
Prueba de aplicaciones y software heredados

Ya sea que convierta sus aplicaciones y actualice su software, o no, uno de los elementos claves
de su migración a WS08 descansará en la estrategia de prueba de las aplicaciones. Toda apli-
cación de servidor y producto de software existente en su red heredada debe probarse bajo las
condiciones de su nueva red para asegurar que se comporte de la manera apropiada mientras se
ejecuta bajo Windows Server 2008. También es una buena idea volver a empaquetar las instala-
ciones de aplicaciones heredadas para integrarlas con el servicio Instalador de Windows (consul-
te el capítulo 7). Todo el software que presume el logo “diseñado para Windows” está integrado
en este servicio. También debe asegurarse de que todas las aplicaciones corporativas que rediseña
para WS08 estén integradas también con este servicio.
PRECAUCIÓN Aunque tenga aplicaciones existentes que se ejecuten bajo versiones anteriores del
Instalador de Windows, necesita actualizarlas para ejecutarse con la versión 4 de éste, que se ha
actualizado para trabajar con las características del Control de cuentas de usuario encontradas
en Vista y WS08. Una vez más, eche un vistazo al capítulo 6 de The Deinitive Guide to Vista
Migration, en www.realtime-nexus.com/dgvm.htm, para conocer más información acerca de la

preparación de aplicaciones.
Le dará a todas sus aplicaciones una solidez y una estabilidad adicionales a bajo costo,
porque, de todos modos, los productos o aplicaciones de software deben estar configurados para
instalarse automáticamente. Además, le proporcionará un solo método de instalación e imple-
mentación unificado para todos los productos de software.
SUGERENCIA Altiris, parte de Symantec, ofrece Wise for Windows Installer y Wise Package Studio
(www.wise.com), y Macrovision ofrece AdminStudio (www.installshield.com) para conservar las
instalaciones de software e integrarlas con el servicio Instalador de Windows además de empaque-
tar nuevas aplicaciones. También recuerde probar todas sus instalaciones de software y aplicación
en modo de usuario para asegurar que se comportan de manera apropiada en WS08 con derechos
de acceso limitado.
Use métodos de prueba rigurosos y asegúrese de que los usuarios expertos sean parte de su
grupo de la prueba de aceptación de cada aplicación o producto de software. Esto le ayudará a
garantizar que el software o la aplicación proporcionan todas las características que espera, por-
que usted no puede ser experto en cada aspecto de todos los programas de su red.
Tipos de servidor de aplicaciones

Hay dos tipos de servidores de aplicaciones:
• Servidores de aplicaciones compartidas Aquellos que hospedan una aplicación o un pro-
ducto de software que se ejecuta en modo administrativo.
• Servidores de aplicaciones centrales Los que ejecutan aplicaciones diseñadas para ejecu-
PARTE IV
tarse en una máquina central, proporcionando servicios remotos a usuarios finales.
El primer tipo de servidor de aplicación es realmente un servidor de archivos más que cual-
quier otra cosa. En este caso, usted crea un recurso compartido de archivos en un servidor, instala la
aplicación que habrá de compartirse (por ejemplo Microsoft Office), realiza una instalación admi-
nistrativa y luego envía el vínculo con los archivos de la aplicación compartida a los usuarios finales.
Esta manera de compartir aplicaciones va en desuso, porque las instalaciones administrativas
de productos como Microsoft Office llevan a complejidades a largo plazo de administración y,
en especial, de actualización. Windows Server ofrece tantas opciones adicionales para compartir
aplicaciones, principalmente la nueva característica RemoteApps de los servicios de Terminal
Server, que sería mejor que volviera a considerar el uso del servidor de aplicaciones compartidas
en su red, si tiene alguno.
El segundo tipo de servidor de aplicaciones es mucho más popular, porque es el tipo que
ejecuta aplicaciones de Windows Server System como BizTalk Server, Commerce Server, SQL
Server, etc. Estas implementaciones están diseñadas para depender de las características base de
Windows Server 2008 con el fin de proporcionar servicios centralizados de usuario.
Además, este tipo de servidor incluye la ejecución de aplicaciones personalizadas. Para estas
aplicaciones, necesita instalar los componentes de la función Aplicaciones en el Administrador del
servidor. Mientras algunos de sus componentes ejecutan aplicaciones COM+ o .NET, otras inclu-
yen la capacidad de ejecutar aplicaciones Web. Las aplicaciones COM+ y .NET ya se han analizado.
Explore la virtualización de aplicaciones

La instalación y entrega de aplicaciones tradicionales puede ser muy laboriosa. Eso se debe a que
los productos de software tradicionales se instalan en el servidor. Existe otra opción: la virtualiza-
ción de aplicaciones. Las herramientas para la virtualización de aplicaciones aíslan o abstraen los
componentes de la aplicación del sistema operativo y otras aplicaciones, lo que proporciona aún
capacidades completas para la interacción entre la aplicación y el sistema operativo. En lugar de
instalar una aplicación, la virtualización de aplicaciones captura su estado de ejecución. Una vez
que éste se ha capturado, no es necesaria una instalación real: sólo necesita copiar los archivos que
integran el estado en ejecución capturado de cualquier equipo que incluya el agente de virtuali-
zación y autorizar la ejecución de la aplicación.
Por sí sola, la virtualización de aplicaciones ofrece muchos beneficios y puede otorgar una
implementación inmediata, pero debido a su naturaleza, es necesario volver a implementar todas
las aplicaciones que ejecuta para aprovechar por completo las capacidades de la virtualización.
Por eso es ideal adoptar esta tecnología durante un proyecto de migración. De otra manera, ten-
dría que reemplazar todas las aplicaciones que ya se han implementado en su red (desinstalar la
aplicación y luego volver a implementarla como una aplicación virtual). Por eso, el mejor mo-
mento para hacer esto es cuando está desplegando una red completamente nueva, como la red
paralela de ofrecimientos de servicios virtuales.
Además, es posible usar tecnologías de flujo de datos, similar a las usadas en el flujo de
video y audio, para enviar las aplicaciones a los extremos. Eso significa que su servidor de aplica-
ciones ahora se vuelve más un servidor de archivos que copia estas aplicaciones a otros sistemas
que uno que sirve aplicaciones a usuarios finales. Además, como la aplicación sólo se copia al
sistema, es demasiado fácil eliminarla cuando expira la vida de la aplicación.
SUGERENCIA Para aprender más sobre la virtualización de aplicaciones, consulte el webcast Appli-
cation virtualization: Ending DLL hell once and for all (Virtualización de aplicación: termine con la
maldición de las DLL de una vez por todas), en www.bitpipe.com/detail/RES/1193672482_325.html.
Hay varios tipos diferentes de tecnologías de virtualización de aplicaciones, pero todas pro-
ducen básicamente un conjunto de características similares:
• Altiris, parte de Symantec, ofrece Software Virtualization Solution (SVS), que es un contro-
lador de filtro que se instala en el sistema operativo. El controlador de filtro administra el
proceso de virtualización. Conocerá más información sobre SVS en www.altiris.com/Pro-
ducts/SoftwareVirtualizationSolution.aspx. Las aplicaciones de SVS pueden combinarse con el
servidor AppStream de AppStream para ofrecer capacidades de flujo de datos. Debe conocer
más información sobre AppsStream y SVS en www.appstream.com/products-application-vir-
tualization.html.
• Citrix ofrece tecnologías de virtualización dentro de su Presentation Server. Citrix usa un prin-
cipio similar a la virtualización de aplicaciones de Microsoft y envía el flujo de aplicaciones a
equipos de escritorio o servidores. Conocerá más información en www.citrix.com/English/ps2/
products/product.asp?contentID=186.
• Microsoft ofrece Microsoft Application Virtualization (MAV) como parte del Desktop Opti-
mization Pack para Software Assurance (DOPSA). Microsoft adquirió SoftGrid a mediados
de 2006 y ha reprogramado el cliente MAV para que se ejecute con las versiones x86 y x64
de Windows Vista y WS08. Conocerá más información acerca de SoftGrid en www.microsoft.

com/windows/products/windowsvista/buyorupgrade/optimizeddesktop.mspx.
• Thinstall ofrece la Thinstall Virtualization Suite (ThinstallVS). Incorpora su motor de virtuali-
zación directamente en el paquete de software que crea. Como tal, no se requiere preparación
previa a la implementación. Conocerá más información sobre ThinstallVS en www.thinstall.com.
Cada producto de virtualización es un complemento de terceros para WS08. El precio de
cada solución es relativamente similar, aunque algunos requieren costos de adquisición directa
y otros están basados en suscripciones. Al igual que la red dinámica está dividida en almacenes
de recursos y ofrecimiento de servicios virtuales, el modelo de operación de las aplicaciones
cambió de un modelo de instalación a uno de virtualización. Si puede agregar aplicaciones a sus
servidores sin realmente instalarlos, tiene la capacidad de restablecerlas con un clic de ratón y
eliminarlos a voluntad, verá tremendos beneficios en su nueva red. Considere seriamente la vir-
tualización de las aplicaciones para cualquier cosa que normalmente hospedaría en un servidor
y reduzca el costo total de sus operaciones en la administración de aplicaciones.
Prepare servidores Web (dedicados o de aplicaciones)

Los servidores Web, sean dedicados o no, están basados en los servicios de información de Inter-
net (IIS, Internet Information Services) de Microsoft. Se ha visto a IIS como el punto más débil de
Windows en el pasado. En versiones anteriores de Windows, se instalaba como opción predeter-
minada y a menudo no se administraba de la manera en que se debería, lo que permitía el abuso.
Eso ya no es un problema con WS08, porque ninguna función de servidor se instala como opción
predeterminada. Si instala una, lo hace conscientemente y, por tanto, debe saber que requerirá
cierto grado de administración. Si cualquiera de ustedes ha tenido experiencia con ISS antes,
encontrará que trabajar con la versión 7, la integrada en WS08, es completamente diferente.
Varias características de IIS se han modificado en Windows Server 2008:
PARTE IV
• IIS 7 se ha dividido en módulos que instala y activa según sea necesario. Por ejemplo, si nece-
sita inclusiones del lado del servidor (SSI, Service Side Includes) en su servidor Web, entonces
debe instalar el componente SSI para hacer que se ejecute. IIS incluye ahora más de 30 com-
ponentes que puede instalar y configurar de acuerdo con lo necesario.
• El Administrador de IIS, la consola de administración de IIS, se ha remodelado por completo
(vea la figura 9-2). Ahora cada componente está delineado claramente y es más fácil acceder a
él. Incluye una vista de características y una de contenido. La vista de contenido proporciona
una interfaz similar a versiones anteriores de IIS. La vista de características le da acceso a las
interfaces administrativas de cada uno de los componentes instalados.
PRECAUCIÓN No puede administrar versiones anteriores de IIS con el Administrador de IIS 7. Por
eso WS08 incluye la capacidad de instalar una consola compatible para IIS 6 y versiones inferiores.
• El modo de ejecución de IIS es completamente diferente en WS08. Cada aplicación que se

ejecuta en IIS 7 se ejecuta en su propio entorno de ejecución o almacén de aplicaciones y está
completamente aislado de otras aplicaciones. Si una aplicación quiere realizar operaciones
ilegales, no puede afectar otras aplicaciones que se ejecutan en el mismo servidor. IIS también
puede reiniciar automáticamente las aplicaciones después de que dejan de funcionar, limitan-
FIGURA 9-2 La consola de administración de IIS 7.
do el daño que un ataque de negación del servicio puede hacer a cada aplicación. El aisla-
miento de aplicaciones ocurre automáticamente en IIS 7 cada vez que se agrega una nueva
aplicación al servidor Web.
• La edición Web de WS08 sólo incluye una función: Servicios Web (IIS), que no está instalada
como opción predeterminada. Esta edición de WS08 es dedicada y está diseñada para propor-
cionar una opción de bajo costo para servidores Web que no son de Windows. Utilice los mis-
mos métodos que con IIS para administrar y supervisar servidores que ejecutan esta edición.
• IIS 7 es la versión más segura de IIS hasta la fecha. Antes, IIS instalaría una serie completa de
componentes debido a que su estructura era monolítica. Esto aumentaba su superficie de ata-
que. Por supuesto, podía controlar si los componentes se habilitaban o no, pero como estaban
instalados, podrían prestarse a uso malicioso. Ahora, IIS 7 no requiere activación de compo-
nentes. Si decide instalar el componente, está activado. Si no se ha instalado, entonces no se
puede activar de manera maliciosa o inadvertida.
Ésas son las principales características nuevas de seguridad de IIS. En conjunto, es una
plataforma Web mucho más segura y estable que nunca.
Sin embargo, tenga en cuenta que IIS ya no se requiere en casi ninguno de sus servidores.
Además, no debe colocar IIS en ninguno de sus controladores de dominio, si es posible. Puede
haber algunas circunstancias en que no tenga otra opción (por ejemplo, en el caso de servidores
de propósito múltiples).
El conjunto de características de IIS 7

En la tabla 9-1 se describen todas las características que están instaladas como opción prede-
terminada. Además, se definen las características recomendadas para sitios Web modernos que
ejecutan IIS 7. Las características predeterminadas se instalan automáticamente y son, por tanto,
también las recomendadas.
Como verá, IIS 7 es extremadamente modular (mucho más que cualquier versión anterior).
Asegúrese de documentar apropiadamente cada uno de los componentes que instala. Además, si en-
cuentra que instaló un componente que no está usando, desinstálelo. Para ello, haga clic con el botón
derecho en la función en el Administrador del servidor y seleccione Eliminar servicios de función.
Nombre de la Opción Recomen-

característica predeterminada dada Comentarios
Características HTTP comunes
Contenido estático X
Documento predetermi- X
nado
Examen de directorios X
Errores HTTP X
Redirección HTTP X
Desarrollo de aplicaciones
ASP.NET X ASP.NET proporciona la mayor parte de la capacidad de la
integración de IIS con .NET Framework.
Extensibilidad de .NET X
ASP
CGI
Extensiones ISAPI X Casi todas las aplicaciones que se integran por completo
con IIS lo hacen mediante la interfaz de programación de
aplicaciones de servicios de Internet (ISAPI, Internet Service
Application Programming Interface).
PARTE IV
Filtros ISAPI X
Inclusiones del lado
servidor
Estado y diagnóstico
Registro HTTP X
Herramientas de registro X
Monitor de solicitudes X
Seguimiento X
Registro personalizado Se instala sólo si está integrado en su aplicación.
Registro de ODBC Se instala sólo si quiere registrar en una base de datos.
Seguridad
Autentiicación básica Es compatible con la mayor parte de los navegadores, pero
puede espiarse fácilmente en Internet debido a que el cifrado
de contraseñas es muy deiciente.
Autentiicación de X Se usa para sitios Web internos, porque requiere que los clien-
Windows tes tengan credenciales de dominio para acceder a un sitio.
Autentiicación implícita X Proporciona mejor cifrado de contraseñas. Use, en cambio,
autentiicación básica para sitios Web externos.
TABLA 9-1 Características instaladas para IIS 7


Seguridad
Autentiicación de asigna- x Depende de los certiicados de infraestructura de clave públi-
ciones de certiicado de ca (PKI, Public Key Infrastructure) para autentiicar usuarios.
cliente Se usa internamente con ADDS.
Autentiicación de asigna- x Depende de los certiicados PKI para autentiicar usuarios. Se
ciones de certiicados de usa externamente sin dependencias de ADDS.
cliente de IIS
Autorización para URL x Controla el acceso a partes de sitios Web basados en reglas
de autorización.
Filtro de solicitudes x Se usa para iltrar ciertos tipos de ataques al bloquear consul-
tas malformadas o demasiado largas.
Restricciones de IP y x Se usa para bloquear las direcciones del protocolo de Internet
dominio (IP, Internet Protocol) o nombres de dominio de contacto de
sus sitios Web.
Rendimiento
Compresión de contenido x
estático
Compresión de contenido x Comprima el contenido dinámico Web para lograr mayor
dinámico rendimiento.
Herramientas de administración
Consola de administra- x
ción de IIS
Scripts y herramientas de x Le permite administrar mediante secuencias de comandos
administración de IIS o ventanas de comandos. Se usa para administrar tareas
repetitivas en varios servidores Web.
Servicio de x Da soporte a la administración remota de servidores de IIS 7.
administración
Compatibilidad con la Úselo sólo si necesita administrar versiones anteriores de IIS.
administración de IIS 6.
Compatibilidad con la Úselo sólo si necesita administrar versiones anteriores de IIS.
metabase de IIS
Compatibilidad con WMI Úselo sólo si necesita administrar versiones anteriores de IIS.
de IIS 6
Herramientas de Úselo sólo si necesita administrar versiones anteriores de IIS.
scripting de IIS 6
Consola de administra- Úselo sólo si necesita administrar versiones anteriores de IIS.
ción de IIS 6
Servicio de publicación FTP
Servidores FTP
Consola de administra-
ción de FTP
Características de
Windows Process
Activation
TABLA 9-1 Características instaladas para IIS 7 (Continuación)


Modelo de proceso x
Entorno .NET x Úselo para incluir activación de código administrado en el
modelo del proceso.
API de coniguración x Es necesario para aplicaciones de .NET para realizar activa-
ción de procesos mediante programación.
TABLA 9-1 Características instaladas para IIS 7 (Continuación)
Instale las funciones Servidor de aplicaciones o Servidor Web dedicado

Las funciones Servidor de aplicaciones y Servidor Web dedicado son similares porque ambas
dependen de IIS para proporcionar una plataforma para la ejecución de las aplicaciones. La
principal diferencia es que la función Servidor Web dedicado está basada en la edición Web de
Windows Server 2008. La función Servidor de aplicaciones está basada en las otras tres ediciones.
Deben realizarse varias tareas cuando se preparan servidores Web o de aplicaciones de IIS:
• Todo empieza con la adición de la función en el Administrador del servidor. Haga clic con el
botón derecho en Funciones en el Administrador del servidor, y seleccione Agregar funciones.
• En la edición Web, la función se llama Servidor Web (IIS) y en las otras tres ediciones puede
seleccionar simplemente la función Servidor Web (IIS) o la función Servidor de aplicaciones,
que le permitirá incluir la función Servidor Web. Para mayor simplicidad, se cubre aquí la ins-
talación de la función Servidor de aplicaciones.
• Use los valores de la tabla 9-2 para ejecutar la instalación de la función Servidor de aplicacio-
nes (y, por tanto, Servidor Web).
PARTE IV
Una vez instalada, administrará IIS mediante la consola de Administración de IIS. Como
ya se mencionó, esta consola incluye dos vistas: la de características y la de contenido. La vista
de características se usa para acceder a los componentes que permiten que se ejecuten IIS y los
sitios Web. La vista de contenido se usa para ver los archivos que integran un sitio Web. Los
administradores familiarizados con versiones anteriores de IIS se sentirán más cómodos con la
vista de contenido, porque se parece mucho a versiones anteriores del administrador de IIS. Sin
embargo, necesita cambiar de una vista a la otra para modificar la configuración de cualquier
componente en la lista de contenido. Pero si quiere modificar las propiedades de Windows de los
objetos que seleccione, necesita hacerlo en la vista de contenido.
Además, la metabase anterior (la base de datos que contenía todos los parámetros de IIS
en versiones anteriores) ha desaparecido ahora por completo. En cambio, toma su estructura de
configuración de ASP.NET y ahora incluye archivos de configuración tipo XML, como lo hacían
los sitios Web de ASP.NET en versiones anteriores. La información de configuración predeter-
minada ahora está contenida dentro de un archivo llamado applicationHost.config. Este
archivo contiene configuraciones del nivel de servidor. Luego, una jerarquía de archivos web.
config se almacena dentro de cada directorio de aplicaciones y proporciona mayores opciones
de configuración para aplicaciones. En versiones anteriores de Windows el IIS necesitaba confi-
gurar manualmente las opciones en archivos .config. En IIS 7, configura las opciones median-
te los módulos del Administrador de IIS y esos módulos crean las modificaciones requeridas a los
archivos .config.
Página del Asistente para

agregar funciones del
Servidor de aplicaciones Valor
Seleccionar función de Seleccione Servidor de aplicaciones. La función Servidor Web (IIS) estará disponible
servidor mientras recorre las opciones de la función del servidor principal.
En la edición Web, seleccione la función Servidor Web (IIS).
Cuadro de diálogo Asistente Cuando seleccione la función Servidor de aplicaciones, el Administrador del servidor le
para agregar funciones indicará sus dependencias. En este caso, también necesita el Windows Process Activa-
tion Service (consulte las tablas de características en el capítulo 1), junto con sus tres
componentes.
Servidor de aplicaciones Revise la información acerca de esta función, si es necesario, antes de seguir adelante.
Servicios de función Están disponibles varios servicios para esta función:
Application Server Foundation está seleccionada como opción predeterminada. Seleccio-
ne Compatibilidad con servidor Web (IIS) para incluir la instalación del servidor Web en el
servidor de aplicaciones. Los servicios y las características requeridas se seleccionarán
automáticamente. Agregue los servicios requeridos de la función. Observe que esto tam-
bién incluye la versión 3 de .NET Framework.
Agregue Acceso a red COM+ para dar soporte al uso remoto de COM+ o aplicaciones de
servicios empresariales.
Agregue Uso compartido de puertos TCP para dar soporte al aislamiento de aplicaciones,
aunque compartan el mismo puerto TCP, por ejemplo, el puerto 80.
Bajo Compatibilidad con el servicio WPAS (Windows Process Activation Service), observe
que está seleccionada Activación HTTP como opción predeterminada. Agregue Activación
de Message Queue Server, Activación de TCP y Activación de canalización con nombre, de
acuerdo con los requisitos de las aplicaciones que necesite permitir. Sus desarrolladores
o la documentación de la aplicación deben indicar cuál servicio de activación es necesa-
rio. Tome nota de que las características adicionales serán necesarias para dar soporte a
estos métodos de activación.
Agregue Transacciones distribuidas, si su aplicación residirá en varios servidores e
interactuará con varias fuentes de información. Una vez más, sus desarrolladores o la
documentación de la aplicación indicarán si estos componentes son necesarios o no.
Certiicado de autenticación Si seleccionó el método Transacciones WS08-Atomic para Transacciones distribuidas,
de servidor entonces el Administrador del servidor seleccionará e instalará el certiicado de PKI para
autentiicar ese servidor ante otros. Están disponibles tres opciones:
Elegir un certiicado existente
Crear un certiicado autoirmado
Elegir un certiicado más adelante
La primera o la tercera opción es la recomendada. Si es posible, debe seleccionar un
certiicado de una autoridad de certiicados (CA, Certiicate Authority) externa, porque
automáticamente tendrá la conianza de los clientes en su red. Si elige un certiicado
autoirmado, necesitará instalarlo manualmente en cada cliente que interactúe con su
servidor IIS.
Servidor Web (IIS) Revise la información acerca de esta función, si es necesario, antes de seguir adelante.
Servicio de la función IIS Utilice la información de la tabla 9-1 para seleccionar las opciones que necesita instalar
para esta función. Seleccione sólo las que necesite. Recuerde que puede agregar o elimi-
nar servicios de función cuando se requiera.
Conirmar selecciones de Revise sus opciones antes de seguir adelante. Use el botón Anterior para hacer correccio-
instalación nes, si es necesario. Haga clic en Instalar cuando esté listo.
Progreso de la instalación y Revise el progreso de la instalación y haga clic en inalizar cuando haya terminado.
resultados de la instalación
TABLA 9-2 Valores para la instalación de la función Servidor de aplicaciones

FIGURA 9-3 Habilitación de administración remota en IIS 7.
Además, IIS 7 incluye una herramienta de línea de comandos, APPCMD.EXE, que le permi-
te incluir en una secuencia de comandos cualquier actividad del servidor. El Administrador de
PARTE IV
IIS también da soporte a la administración remota mediante puertos seguros de protocolo de
transferencia de hipertexto (HTTPS, HyperText Transfer Protocole Secure), como el 443. Esto se
habilita al modificar la configuración del Servicio de administración, bajo la sección Administra-
ción del panel de detalles (vea la figura 9-3):
1. Haga doble click en el icono Servicio de Administración.
2. Haga click en Habilitar conexiones de manera remota.
3. Determine el modo de autentificación.
4. Vaya al panel de acciones, y haga clic en Iniciar para iniciar el servicio.
5. Luego haga clic en Aplicar, en el panel de acciones, para habilitar la administración remota.
Haga clic en el nombre del servidor en el panel de árbol para regresar a la vista de características.
Por último, puede delegar cualquier actividad dentro de la consola de IIS 7. Eso se reali-
za mediante el icono Delegación de características en la sección Administración de la vista de
características (vea la figura 9-4). Es posible delegar cualquier componente de IIS. Varias configu-
raciones están disponibles en el panel de acciones: Lectura y escritura, Sólo lectura, Sin delegar y
Restablecer heredadas. Al controlar cada uno de estos parámetros, puede crear una estrategia de
delegación fina para la administración de IIS. Esto es ideal para proporcionar a los Webmasters la
capacidad de administrar sus propios sitios, pero no tiene capacidad para modificar las configura-
ciones generales del servidor IIS.
FIGURA 9-4 Delegación de la administración en IIS 7.
SUGERENCIA Conocerá más sobre el Administrador de IIS en www.learn.iis.net/. Conocerá más

información sobre IIS 7 en general en www.iis.net/default.aspx?tabid=1.
Trabaje con servicios de soporte de aplicaciones

Además de sus servicios de aplicación básicos, WS08 ofrece otros servicios de soporte que, en
conjunto, proporcionan una plataforma poderosa de soporte a aplicaciones. Dos de estos ser-
vicios son los Servicios de directorio ligero de Active Directory (ADLDS, Active Directory Lig-
htweight Directory Service) y el servicio de descripción, descubrimiento e integración universal
(UDDI, Universal Description, Discover and Integration). Ambos son servicios de directorio que
proporcionan servicios complementarios a aplicaciones. ADLDS le concede el poder del proto-
colo ligero de aplicaciones de directorio (LDAP, Lightweight Directory Application Protocol) para
proporcionar autentificación y servicios de administración de usuarios que permitan sus aplica-
ciones. UDDI proporciona un servicio de inclusión en catálogo que le permite localizar fácilmen-
te componentes de servicio Web.
Cuando trabaje con aplicaciones complejas de clase empresarial, podrá aprovechar estos dos
servicios para extender la capacidad de sus aplicaciones.
Trabaje con los Servicios de directorio ligero de Active Directory

Las aplicaciones habilitadas por directorio obtienen beneficios de la capacidad de un directorio
de almacenar objetos de usuario y grupo. Sin embargo, las aplicaciones habilitadas por directorio
a menudo requieren modificaciones al esquema de directorio para ser compatibles con objetos
específicos de aplicaciones personalizadas. Debido a que sabe que debe minimizar las modi-
ficaciones al esquema de ADDS lo más posible, porque no puede eliminarlos, aunque puedan
habilitarlos o reutilizarlos, debe utilizar otros servicios de directorio. Aquí es donde entra en juego
ADLDS. Al igual que con el directorio ADDS, se usa para administrar su red. ADLDS proporciona
un servicio de directorio estructurado, pero que no da soporte a principales de seguridad.
ADLDS se utiliza para aplicaciones habilitadas por directorio que requieren agrupamien-
tos de usuario y otros objetos personalizados para proporcionar funcionalidad. Además, puede
vincular los objetos en un directorio de ADLDS con los de su directorio de ADDS, lo que per-
mite proporcionar extensiones de esquema sin tener que modificar su directorio de red central.
Esto también le permite reutilizar su directorio base como fuente para los controles de acceso de
aplicaciones. Varios directorios de ADLDS pueden residir en el mismo servidor, lo que le per-
mite crear servicios centralizados de directorio para soporte de aplicaciones. Y, como incluye las
mismas capacidades de aplicaciones que ADDS, ADLDS puede usarse para crear infraestructuras
para soporte de aplicaciones redundantes en toda su red.
SUGERENCIA Un uso muy bueno de ADLDS es en redes de perímetro donde quiere tener acceso a
la capacidad de un directorio, pero sin tener que administrar la sobrecarga de un directorio de red
de área de ADDS.
Una vez más, ADLDS se agrega mediante Agregar funciones, en el Administrador del ser-
vidor. Se trata de una de las instalaciones más simples en WS08. Una vez que ha instalado la fun-
ción, utilice menú Inicio | Herramientas administrativas | Asistente para configuración de ADLDS
para crear instancias de ADLDS. Asegúrese de que documenta el objetivo de cada instancia a
medida que la crea.
PRECAUCIÓN Si necesita eliminar la función ADLDS de un servidor, asegúrese de eliminar prime-

ro las instancias de ADLDS del servidor. Hágalo al utilizar Panel de control|Programas|
Desinstalar un programa.
PARTE IV
Trabaje con el servicio Descripción, descubrimiento e integración universal
UDDI es un servicio basado en XML que le permite construir un directorio distribuido que, a su
vez, le permite anunciar su negocio y sus servicios Web en Internet. El directorio proporcionado
por UDDI es similar a un directorio telefónico. Los negocios aparecen por nombre, producto,
ubicación y servicio Web. Puede buscar por nombre de negocio, nombre de servicio Web o inclu-
so por tipo de servicio Web. Esto le facilita la construcción de arquitecturas orientadas a servicio
(SOA, Service Oriented Architecture) distribuidas, porque es más simple y sencillo descubrir
servicios Web que complementar las aplicaciones que construye.
UDDI también se instala mediante Agregar funciones, en el Administrador del servidor. Cuan-
do instala UDDI en el servidor, WS08 instalará el servicio de descubrimiento y una base de datos
de servicios para administrar la información de servicios. Las instalaciones pueden estar en un solo
servidor, donde cada parte del servicio está instalada de manera conjunta, o en modo distribuido,
donde el servicio Descubrimiento está instalado en un servidor y la base de datos en otro. La parte
de la base de datos del servidor debe ejecutar SQL Server y puede depender de la base de datos in-
terna de Windows para ello. En implementaciones más amplias, debe instalar una versión completa
de SQL Server para proporcionar soporte en el nivel empresarial para ese servicio.
Una vez instalados, se configuran los servicios de UDDI mediante el complemento Servicios
UDDI en la consola de administración de Microsoft (MMC, Microsoft Management Console)
versión 3. Aquí puede modificar los usuarios UDDI, integrar su directorio UDDI con Servicios
de dominio de Active Directory, controlar el cifrado de los datos de UDDI en su red y modificar
configuraciones de base de datos para el servicio, entre otras cosas.
SUGERENCIA Conocerá más información sobre los servicios UDDI en http://technet2.microsoft.

com/windowsserver2008/en/servermanager/uddiservices.mspx.
Prepare Terminal Services

Una de las características más estupendas de los servidores Windows es Terminal Services (TS).
Este servicio le permite publicar aplicaciones en equipos remotos, dándole acceso total a la
ejecución de programas en el entorno de Windows Server 2008. La principal ventaja radica en la
implementación y el mantenimiento. Debido a que la aplicación opera en Terminal Server, es el
único lugar en que necesita instalarse, actualizarse y mantenerse. Además, como la aplicación se
ejecuta desde el servidor, sólo es necesario implementar accesos directos a usuarios, nada más,
lo cual ahorra grandes cantidades de tiempo. Y este acceso directo no cambia, aunque actualice o
haga cualquier otra modificación a la aplicación.
La versión de WS08 de Terminal Services también proporciona una experiencia más com-
pleta para los usuarios que versiones anteriores. TS incluye ahora varias mejoras. Da soporte a
varios monitores en el sistema cliente y también proporciona un nuevo modo remoto de aplica-
ción, apropiadamente llamado RemoteApps, que le permite publicar sólo la aplicación misma en
lugar de todo el entorno del escritorio. Esto hace que el uso de Terminal Services sea mucho más
transparente para los usuarios finales.
SUGERENCIA Como ya sabe, el Administrador del servidor no puede administrar un sistema remo-
to. Por tanto, tiene que iniciar sesión en el propio servidor para usar Administrador del servidor
o, de manera ideal, simplemente publique el Administrador del servidor como una RemoteApp,
para que parezca que se ejecuta localmente en su propia estación de trabajo. Haga esto para cada
servidor que necesite administrar.
Terminal Services se ejecuta en dos modos diferentes: administración remota y modo de

aplicación. El primero le permite administrar remotamente servidores y habilita dos conexiones
remotas a la vez en un servidor. Esas conexiones remotas pueden establecerse mediante Remo-
teApps o el Escritorio remoto, que luego le dará acceso a todas las características del servidor,
porque despliega el escritorio del servidor en su sistema. El modo de aplicación se usa cuando
quiere publicar aplicaciones para usuarios finales. A éste también se le llama Virtualización de la
presentación, porque actúa en la capa de presentación de la pila de red, lo que proporciona a los
usuarios un entorno completo para la operación de aplicaciones.
Los modelos de cliente delgado se están volviendo cada vez más populares, sobre todo con
la proliferación de las PC de bolsillo inalámbricos y el nuevo dispositivo Tablet PC. Ambos tienen
recursos más limitados, lo que hace que las aplicaciones de servidor sean atractivas para esas
bases de usuarios.
NOTA Muchas organizaciones dependen del intercambio centralizado de aplicaciones o de la virtua-

lización de presentaciones. Pero con el surgimiento de la virtualización de aplicaciones muchas
están pasando a este modelo, porque ésta sólo requiere servicios de archivo para enviar el lujo de
las aplicaciones a los sistemas de los usuarios inales, mientras que Virtualización de presentacio-
nes requiere coniguraciones masivas del servidor, con grandes cantidades de memoria de acceso
directo (RAM, Random Access Memory) y capacidad de red, porque el entorno de ejecución es el
propio servidor. No obstante, la opción Virtualización de la presentación es muy útil aún, porque
permite compartir el Administrador del servidor para la administración remota de sistemas.
Comparta aplicaciones con Terminal Services

Terminal Services es una función esencial de WS08. En realidad, con WS08, Terminal Services
ahora proporciona automáticamente equilibrio de carga de aplicaciones de terminal. Para que
esta función trabaje, los servidores deben estar agrupados en clústeres en el nivel de red para
que trabajen de manera integrada en la ejecución de un conjunto común de aplicaciones y que
aparezcan como un solo sistema para los clientes y las aplicaciones. Para ello, deben unirse en
clúster mediante equilibrio de carga de agentes de sesión. Una vez hecho esto, es posible usar los
directorios de sesión para equilibrar las cargas de trabajo de manera transparente entre grupos de
servidores de terminal.
Además, la versión WS08 de Terminal Services es compatible con el roaming de usuarios.
Esto significa que los usuarios pueden abrir una sesión en un servidor de terminal o un clúster
de servidores, desconectarse sin cerrar la sesión, pasar a otro equipo y volverse a conectar a su
sesión existente de TS, lo que representa una gran ventaja sobre las capacidades anteriores de TS.
Por último, puede compartir aplicaciones de TS a través de un nuevo servicio de puerta de enlace
que permite a los usuarios acceder a esas aplicaciones en puertos comunes de HTTP, como el 80
y el 443, lo que facilita en gran medida el cruce de TS a través de firewalls.
Utilice el siguiente proceso para preparar el uso de Terminal Services:
• Instale y configure Terminal Services.
PARTE IV
• Defina su modelo de licencia de Terminal Server.
• Determine el modelo de aplicación para las aplicaciones hospedadas.
• Instale las aplicaciones hospedadas.
• Defina las directivas de acceso de Terminal Services.
• Defina los objetos de la directiva del grupo Terminal Services.
• Determine cómo implementará las aplicaciones compartidas.
Cada uno de estos pasos requiere cuidado y razonamiento anticipado.
PRECAUCIÓN ¡No instale aplicaciones en servidores antes de instalar la función de servidor Ter-
minal Services! Esos servicios requieren que las aplicaciones estén instaladas en un modo especial
de recurso compartido que sólo puede realizarse una vez que el componente de TS se ha instalado
en un sistema. Si instala aplicaciones antes de TS, tendrá que desinstalarlas y volver a hacerlo
después de que se haya instalado TS.
Instale y conigure Terminal Services

La función de los servicios de Terminal Server se define de la misma manera que las otras fun-
ciones del servidor de la empresa. Empieza con el ejercicio de asignación de tamaño del servidor
delineado en el capítulo 4. Luego requiere el proceso básico de puesta en funcionamiento del
servidor, aplicando su kernel personalizado a éste, también como se delineó en el capítulo 4. A

continuación, proceda de la manera siguiente:
1. Use la consola Administrador del servidor para seleccionar Agregar funciones.
2. Seleccione la función Terminal Services.
3. Use los valores de la tabla 9-3 para recorrer el asistente de instalación y configuración.
La función está instalada. Ahora está listo para dar los siguientes pasos.
PRECAUCIÓN La función Puerta de enlace de TS debe instalarse en un servidor separado porque

puede estar en una red de perímetro.
Prepare las licencias de Terminal Server

Terminal Services requiere CAL especiales para cada cliente que se conecte al servidor. Esto se
debe a que cada cliente que se conecta a los Terminal Services en el modo de aplicación (en opo-
sición al modo administrativo) en realidad está abriendo una sesión remota de Windows Server
2008. Aunque tenga hardware que no sea compatible con Windows Vista, puede dar a los usua-
Página del Asistente

para agregar funciones
de Terminal Services Valores
Terminal Services Revise la información disponible, si necesita hacerlo, y pase a la siguiente página.
Seleccionar servicios de Están disponibles varios servicios de la función:
función Seleccione Terminal Server porque debe compartir aplicaciones. Es necesaria una licencia
de TS si quiere usar Terminal Services en el modo aplicación. TS usa licencias de acceso
de cliente (CAL, Cliente Access Licenses) separadas para compartir aplicaciones. Si está
instalando Terminal Services para ines administrativos, no se requiere la licencia TS. Tome
nota de que sólo se requieren en la red unos cuantos servidores de licencias TS para
redundancia. No instale esto en cada servidor TS.
El Agente de sesiones de TS se usa para proporcionar continuidad de conexión a los usua-
rios que hacen roaming de un sistema a otro.
La puerta de enlace de TS permite a los usuarios conectarse a aplicaciones compartidas
en puertos de Internet comunes. Este servicio requiere IIS, directiva de red y Servicios de
acceso, además de Windows Process Activation Service. Agregue los servicios de función
requeridos.
El acceso Web de TS permite a los usuarios acceder a las aplicaciones compartidas
mediante un portal Web. Este servicio requiere componentes de desarrollo y seguridad de
aplicaciones para IIS, además de compatibilidad con .NET en el Windows Process Activation
Service. Agregue los servicios de funciones requeridas.
Compatibilidad de aplica- Si ya se han instalado aplicaciones en el servidor, necesitará desinstalarlas y volver a insta-
ciones larlas una vez que los componentes de TS estén instalados para que puedan operar en el
modo de varios usuarios.
Métodos de autentica- Seleccione Requerir autentiicación a nivel de red. Todos los clientes necesitarán la edición
ción más reciente del cliente Escritorio remoto para usar las aplicaciones compartidas, pero las
conexiones de aplicaciones serán más seguras. Los sistemas Vista y WS08 ya tienen este
cliente.
TABLA 9-3 Instale la función Terminal Services

Página del Asistente

de Terminal Services Valores
Especiicar modo de Esto le permite determinar quién necesita una CAL, el usuario o el dispositivo. Si los usua-
licencia rios van de sistema a sistema mediante roaming, utilizando equipos compartidos para acce-
der a aplicaciones compartidas, entonces emplee Por usuario. Sin embargo, si sus usuarios
tienen una PC principal asignada a ellos, entonces seleccione Por dispositivo. Asegúrese de
seleccionar la CAL de TS apropiada cuando conigure más adelante las licencias.
Grupos de usuarios Seleccione los grupos de usuarios a los que se les permitirá el acceso a esas aplicacio-
nes compartidas. Si trata de restringir el acceso a las aplicaciones a grupos especíicos
(por ejemplo, está conigurando un servidor para que ejecute aplicaciones inancieras y
sólo quiere que el grupo de inanzas tenga acceso a ellas) entonces seleccione o cree los
grupos especiales. De otra manera (y esto es más común) seleccione Usuarios del dominio
para permitir que cualquier usuario de su dominio tenga acceso a esas aplicaciones.
Conigurar el ámbito de El ámbito de detección de las licencias TS puede cubrir todo el bosque o el dominio en que
detección para Adminis- se encuentra. Si siguió las prácticas delineadas en el capítulo 5, tendrá un solo dominio
trador de licencias TS secundario global; por tanto, seleccione Este dominio.
Nota En este caso, sólo los administradores necesitarán acceder a las aplicaciones compar-
tidas mediante el bosque (Administrador del servidor, por ejemplo) y como no necesitan una
licencia para la administración remota, no es necesario aplicar el ámbito de detección de la
licencia a todo el bosque.
Certiicados de autentii- Puerta de enlace de TS usa la capa de conexiones seguras (SSL, Secure Socket Layer) para
cación de servidor asegurar las comunicaciones entre clientes y servidores. Para ello, requiere un certiicado
de PKI. Están disponibles tres opciones:
• Elegir un certiicado existente
• Crear un certiicado autoirmado
• Elegir un certiicado más adelante
La primera o la tercera opción es la recomendada. Si es posible, debe seleccionar un cer-
tiicado de una autoridad de certiicados (CA, Certiicate Authority) externa, porque automá-
ticamente tendrá la conianza de los clientes en su red. Si elige un certiicado autoirmado,
PARTE IV
necesitará instalarlo manualmente en cada cliente que interactúe con su servidor IIS.
Crear directivas de Las directivas son necesarias para permitir que los usuarios de Internet tengan acceso a
autorización las aplicaciones de puerta en enlace de TS. Puede conigurarlas más adelante o ahora.
Seleccione Ahora.
Seleccionar grupos de Seleccione los grupos de usuarios a los que se les permitirá el acceso a aplicaciones
usuarios compartidas mediante esta puerta de enlace. Si trata de restringir el acceso a la aplicación a
grupos especíicos (por ejemplo, está conigurando un servidor para que ejecute aplicaciones
remotas y sólo quiere que un grupo selecto de usuarios acceda a ellos), entonces seleccione
o cree el grupo apropiado. De otra manera, seleccione Usuarios del dominio para permitir que
cualquier usuario de su dominio tenga acceso a estas aplicaciones a través de Internet.
Crear una directiva CAP La directiva de autorización de conexión (CAP, Connecting Authorization Policy) permite a los
de TS usuarios conectarse al servidor cuando cumplen condiciones especíicas. Las CAP pueden
depender sólo de contraseñas, proporcionando seguridad simple, o de tarjetas inteligentes,
dependiendo de dos factores de autentiicación. Se requieren dos elementos, algo que
usted tiene, la tarjeta y algo que conoce, la contraseña, para autentiicarse. Seleccione
Contraseña, por ahora. En el capítulo 10 se cubrirá el uso de las tarjetas inteligentes.
Crear una directiva RAP Las directivas de autorización de recursos (RAP, Resource Authorization Policy) permiten
de TS limitar los recursos internos a los que pueden conectarse los usuarios de Internet dentro
de su red. Los usuarios tienen la opción de conectarse a cualquier equipo o sólo a equipos
especíicos. En este caso, como está creando una RAP para Terminal Services, asegúrese
de crear un grupo de seguridad personalizado en ADDS que incluya las cuentas del equipo de
todos los servidores que ejecutarán la función TS, y asigne la RAP a este grupo.
TABLA 9-3 Instale la función Terminal Services (Continuación)

Página del Asistente Valores

de Terminal Services
Servicios de acceso y Los servidores de NPAS (Network Policy and Access Services) se usan para imponer CAP y
directivas de red (NPAS)RAP. Revise la información acerca de esta función antes de seguir adelante. En el capítulo
10 se cubrirá más información acerca de este tema.
Servicio de la función Para que NPAS sea compatible con la puerta de enlace de TS, sólo se requiere el Servidor
NPAS de directivas de red. Seleccione únicamente esta función antes de seguir adelante.
Nota Sólo se necesitan unos cuantos servidores de directivas de red para redundancia. Si
éste no es el primer servidor que instala para esta función, asegúrese de que no agrega estas
funciones de servidor.
Servidor Web (IIS) Revise la información acerca de esta función, si es necesario, antes de seguir adelante.
Servicios de la función IIS se requiere para la puerta de enlace de TS y para el acceso Web a TS. Acepte las opcio-
Servidor Web nes predeterminadas y siga adelante.
Nota Sólo se necesitan unos cuantos servidores de puerta de enlace y acceso Web a TS para
redundancia. No asigne esta función a todos los servidores TS de su red.
Conirmar selecciones de Revise sus opciones antes de seguir adelante. Utilice el botón Anterior para hacer correccio-
instalación nes, si es necesario. Haga clic en Instalar cuando esté listo.
Progreso de la instala- Revise el progreso de la instalación, reinicie el servidor y luego haga clic en Finalizar cuando
ción y Resultado de la la instalación esté completa.
instalación
TABLA 9-3 Instale la función Terminal Services (Continuación)
rios acceso a toda sus características mediante las sesiones de terminal remota en servidores de
WS08. Si, por otra parte, tiene hardware de cliente que soporte Windows Vista, obtiene grandes
ventajas del uso de los servicios de Terminal Server. Por ejemplo, no es necesario implementar un
componente de cliente para que operen las sesiones de terminal en un cliente de Windows Vista,
porque ya se incluye un cliente de Escritorio remoto. Esto significa que puede concentrarse en la
centralización de aplicaciones y en el uso de un modelo de implementación de aplicaciones más
simples.
PRECAUCIÓN Es importante instalar Experiencia de uso, activar el servicio Temas en los servidores
TS de WS08 y habilitar el tema Windows Vista; de otra manera, los usuarios de Windows Vista se
enfrentarán con una interfaz parecida a Windows 2000 cuando accedan a aplicaciones remotas en
el modo Terminal Services. Lo más probable es que esto les cause confusión (Windows Vista en el
escritorio y Windows 2000 en sesiones remotas) y que aumenten las llamadas de soporte técnico.
Los servidores sin licencia sólo permitirán a los clientes funcionar durante 120 días; después
de este periodo, todas las sesiones terminarán y el servidor TS ya no responderá a las solicitudes
del cliente. Para que los servidores adquieran licencias, debe instalar el servidor de licencias de
Terminal Server. Microsoft debe activar este servidor antes de que empiece a expedir licencias
permanentes para su organización. La activación es el primer paso para habilitar esta función.
1. Empiece por ir al nodo Terminal Services en el Administrador del servidor.
2. En el panel de detalles, desplácese a la sección Herramientas avanzadas.
3. Haga clic en Administrador de licencias de Terminal Server, para lanzar la Herramienta de

administración de licencias TS. Ésta empieza por rastrear la red en busca de servidores de
licencias TS y los despliega una vez encontrados.
4. Para activar un servidor, haga clic en el botón derecho en él y seleccione Activar servidor
(figura 9-5).
5. Esto lanza el Asistente para activar servidor. Haga clic en Siguiente.
6. Seleccione el método de conexión. Conexión automática es lo mejor. Haga clic en Siguiente.
7. Ingrese su información personal y haga clic en Siguiente.
8. Proporcione información de contacto y haga clic en Siguiente.
9. Esto activará al servidor. Asegúrese de que la opción Iniciar el Asistente para instalar licencias
ahora esté seleccionado, y haga clic en Siguiente.
10. Revise la información y haga clic en Siguiente. Esto localiza el servidor de activación de
Microsoft.
11. Seleccione el programa de licencia apropiado con base en el tipo de licencias que compró, y
12. Escriba su código de licencia y haga clic en Agregar. Haga clic en Siguiente cuando haya
terminado de completar el asistente para instalar licencia. El asistente se conectará con el
Microsoft Clearing House e instalará los paquetes de claves de licencia. Haga clic en Finalizar
cuando haya terminado, y cierre la Herramienta de administración de licencias TS.
Ahora está listo para empezar a expedir licencias para sesiones de TS. Ésta es un área donde
deberá aplicar las configuraciones de la directiva del grupo. Como opción predeterminada, los
servidores TS expiden licencias a cualquier servidor que solicite una. Al usar la configuración del
PARTE IV
FIGURA 9-5 Activación de un servidor de licencias de TS.

GPO Grupo de seguridad del servidor de licencias (bajo Configuración del equipo | Directivas |
Plantillas administrativas | Componentes de Windows | Terminal Services | Licencia de Terminal
Server) puede restringir las sesiones de TS únicamente a servidores TS autorizados. Para ello,
necesitará colocar los servidores TS a los que desee otorgar licencias en el grupo Equipos de
Terminal Server del servidor de licencias TS. Esto asegurará que las licencias no se desperdicien al
ser otorgadas a servidores que ejecuten Terminal Services en modo de administración remota.
Determine el modelo de aplicación e instale las aplicaciones

Las aplicaciones de Terminal Services deben instalarse mediante Agregar o quitar programas,
porque este componente asegura que las aplicaciones se instalen en el modo de varios usuarios.
Si prefiere instalar remotamente o mediante la línea de comandos, debe usar el comando CHAN-
GE USER. Use CHANGE USER /INSTALL para establecer el servidor determinado en el modo
de instalación, realice la instalación y luego use CHANGE USER /EXECUTE para restablecer el
servidor al modo de ejecución.
Las aplicaciones y los productos de software deben instalarse antes de permitir que los usua-
rios se conecten al servidor, de modo que pueda probar apropiadamente su operación antes de
que el usuario empiece a activarlas. Además, debe tomar en consideración las siguientes directri-
ces cuando decida cuáles aplicaciones deben instalarse en Terminal Server:
• No ejecute aplicaciones de 16 bits, porque pueden reducir el número de usuarios concurrentes
hasta en 40% y requieren 50% más de RAM por usuario. Las aplicaciones de 16 bits tampoco
se ejecutarán en instalaciones de x64 de WS08.
• No ejecute aplicaciones de MS-DOS, porque pueden consumir todos los recursos de la uni-
dad de procesamiento central (CPU, Central Processing Unit) de un servidor.
• Las aplicaciones que ejecutan procesos constantes en el segundo plano (revisión ortográfica
en Microsoft Word, por ejemplo) consumen más recursos.
• Las aplicaciones que usan imágenes de alta calidad consumen más ancho de banda.
Debe usar Terminal Services para ejecutar aplicaciones que caen en las siguientes categorías:
• Aplicaciones que requieren instalaciones complejas. Al colocar esas aplicaciones en servidores
TS se reduce el número de puntos de instalación, y, por tanto, no hay riesgo de tener pro-
blemas con la misma. También puede resolver esos problemas mediante la virtualización de
aplicaciones, como se analizó antes.
• Aplicaciones que requieren cambios frecuentes. Al colocar estas aplicaciones en servidores TS
se reduce el número de puntos de instalación y, por tanto, la carga de trabajo de la instalación
e implementación.
• Las aplicaciones que son prohibitivamente caras por usuario, siempre y cuando su modelo de
diseño permita compartir los TS.
• Aplicaciones para usuarios con acceso de ancho de banda reducido. Esto es ideal para disposi-
tivos inalámbricos.
• Aplicaciones para usuarios en sitios donde no hay servidores locales. Si el número de usua-
rios en un sitio (10 o menos) no merece un servidor local, puede dar a esos usuarios acceso al
mismo nivel de servicio si les permite que usen aplicaciones de manera remota.
El modelo de operación de aplicaciones de Terminal Services es ligeramente diferente del
modelo estándar de WS08, debido al entorno de varios usuarios. También debe revisar las se-
cuencias de comandos de compatibilidad para las aplicaciones que instale. Éstas modifican las
instalaciones estándar para que sean compatibles con TS. Deben ejecutarse después de que se
instale la aplicación. Las secuencias de comandos se encuentran en la carpeta %SYSTEMROOT%\
APPLICATION COMPATIBILITY SCRIPTS.
Prepare GPO para Terminal Services

Hay 80 objetos de directiva del grupo para Terminal Services. Caen en varias categorías diferentes
que controlan muchas de las configuraciones para usuarios, PC y servidores cuando se conectan
a aplicaciones remotas.
Como se observa, casi todas las configuraciones de TS pueden administrarse mediante GPO.
Al igual que la información de carpetas de usuario delineada en los servicios de recursos com-
partidos de archivo (consulte el capítulo 8), la información de usuario de Terminal Services ya no
se ingresa en las propiedades de cuenta del usuario (consulte el capítulo 7) en ADDS porque, si
lo hiciera allí, debería hacerlo para cada usuario. Ahora los parámetros del usuario se establecen
mediante la configuración de usuario de un GPO. Las configuraciones de servidor y PC se esta-
blecen mediante la configuración del equipo de un GPO. En la tabla 9-4 se delinean las configu-
raciones que debe aplicar a cada sección.
SUGERENCIA Si utiliza coniguraciones de GPO para controlar el comportamiento de sus sesiones

de TS, no necesita conigurarlas en las propiedades de cuenta de usuario ni en el administrador
Coniguración de Terminal Services. También asegurará que todos los sistemas estén conigurados
exactamente de la misma manera.
Ubicación Configuración Aplicado a… Comentarios
PARTE IV
Coniguración del equipo | Directivas | Permitir archivos .rdp de PC Deshabilítela para proporcionar un
Plantillas administrativas | componentes publicadores descono- entorno de TS más seguro.
de Windows | Terminal Services | Clien- cidos
te de conexión a Escritorio remoto
Permitir archivos .rdp de PC Habilítela para proporcionar un
publicadores válidos y la entorno de TS más seguro.
coniguración .rdp prede-
terminada del usuario
Conigura la autentiica- PC Habilítela: no se conecte si la au-
ción de servidor para el tenticación falla. Asegúrese de que
cliente el servidor TS es el autorizado.
No permitir que se guar- Establece conexión de manera más
den las contraseñas fácil porque las contraseñas se
almacenan en el archivo .rdp.
Pedir credenciales en el Mantenga la opción predetermi-
equipo cliente nada.
Especiicar huellas digita- PC Habilítela e incluya miniaturas de
les SHA1 de certiicados certiicados si habilitó antes publi-
que representan publica- cadores válidos.
dores .rdp de conianza
TABLA 9-4 Códigos del GPO Terminal Services

Coniguración del equipo | Directivas | Permitir inicio remoto de Servidor Deshabilítela si quiere controlar
Plantillas administrativas | Componen- los programas que no se los programas que los usuarios
tes de Windows | Terminal Services | incluyen en la lista pueden ejecutar cuando se vinculan
Terminal Server | Conexiones al Escritorio remoto.
Permitir que los usuarios PC Habilítela para permitir Escritorio
se conecten de forma re- remoto.
mota mediante Terminal
Services
Reconexión automática PC Habilítela.
Conigurar intervalo entre Servidor Habilítela para sincronizar el estado
mensajes de manteni- de copia de seguridad entre el
miento de conexión. cliente y el servidor
Niega el cierre de sesión Mantenga la coniguración prede-
de un administrador que terminada.
ha iniciado sesión en la
consola de sesión
Limitar número de co- Servidor Puede usarse para supervisar la
nexiones carga del servidor.
Limitar a los usuarios de PC Habilítela para controlar el uso de
Terminal Services a una recursos en servidores.
sesión remota única
Establecer reglas para Servidor Habilite control remoto completo
el control remoto de con permisos de usuario.
sesiones de usuario de
Terminal Services
Terminal Server | Redirección de dispo- Permitir redirección de Servidor Habilítela para limitar el uso de
sitivo o recurso audio ancho de banda.
Permitir redirección de Servidor Si se requiere en varias zonas
zona horaria horarias.
No permitir redirección Mantenga la coniguración
del Portapapeles predeterminada.
No permitir redirección Mantenga la coniguración prede-
de puertos COM terminada.
de unidad predeterminada.
de puertos LPT terminada.
de dispositivos de tarjeta predeterminada.
inteligente
TABLA 9-4 Códigos del GPO Terminal Services (Continuación)


de dispositivo Plug and terminada.
Play compatible
Terminal Server | Licencias Ocultar notiicaciones Mantenga la coniguración prede-
acerca de los problemas terminada.
de licencia de Terminal
Services que afectan
al servidor de terminal
Establecer el modo de Mantenga la coniguración prede-
licencia de Terminal terminada.
Services
Usar los servicios de Mantenga la coniguración prede-
licencias de Terminal terminada.
Services especiicados
Terminal Server | Redirección de No permitir redirección Mantenga la coniguración prede-
impresora de impresora de cliente terminada.
No establecer impresora Mantenga la coniguración prede-
de cliente predetermi- terminada.
nada como impresora
predeterminada en una
sesión
Redirigir sólo la impre- PC Habilítela para evitar posibles
sora predeterminada del mensajes de error de impresora
cliente en el servidor cuando los contro-
ladores de la impresora no están
PARTE IV
disponibles.
Especiicar el comporta- Mantenga la coniguración prede-
miento del controlador de terminada.
impresora de retroceso
de Terminal Server
Usar controlador de Mantenga la coniguración prede-
impresora Easy Print terminada.
primero
Terminal Server | Periles Establecer ruta de acce- Servidor Habilítela. Cree un recurso com-
so del peril de usuario partido para periles de usuario
móvil de TS y carpetas de inicio, y cree una
asignación.
Establecer directorio prin- Servidor Habilítela. Cree un recurso com-
cipal de usuario de TS partido para periles de usuario
y carpetas de inicia, y cree una
asignación.

Usar periles obligatorios Servidor Úsela sólo si tiene un entorno

en el servidor de Termi- estricto.
nal Server
Terminal Server | Entorno de sesión Mostrar siempre el escri- Mantenga la coniguración prede-
remota torio en conexión terminada. No es necesaria si usa
RemoteApps.
Exigir eliminación de Mantenga la coniguración prede-
papel tapiz de escritorio terminada. No es necesaria si usa
remoto RemoteApps.
Limitar máxima profundi- Mantenga la coniguración prede-
dad de color terminada. No es necesaria si usa
RemoteApps.
Quitar la opción “Des- Mantenga la coniguración prede-
conectar” del cuadro de terminada.
diálogo Cerrar Windows
Quitar el elemento Se- Mantenga la coniguración prede-
guridad de Windows del terminada. No es necesaria si usa
menú Inicio RemoteApps.
Iniciar un programa al Mantenga la coniguración prede-
conectarse terminada. No es necesaria si usa
RemoteApps.
Terminal Server | Seguridad Solicitar la contraseña Servidor Úsela sólo si tiene un entorno
siempre al conectar muy seguro o para aplicaciones
protegidas.
No permitir a los adminis- Mantenga la coniguración prede-
tradores locales persona- terminada.
lizar permisos
Requerir comunicación Servidor Habilítela para comunicaciones
RPC segura seguras.
Requerir el uso de un Servidor Habilítela, SSL (TLS 1.0) proporcio-
nivel de seguridad espe- nará la conexión más segura.
cíico para conexiones
remotas (RDP)
Requerir la autenticación Servidor Habilítela sólo si todos sus clientes
del usuario RDP 6.0 para usan Vista
las conexiones remotas
Plantilla de certiicado de Servidor Habilítela junto con la capa de
autenticación de servidor seguridad SSL en la coniguración
anterior.


Establecer el nivel de Servidor Mantenga la coniguración predeter-
cifrado de conexión de minada. Se asigna un cifrado alto,
cliente como opción predeterminada.
Terminal Server | Límite de tiempo de Establecer el límite de Servidor Habilítela y asigne 60 minutos.
sesión tiempo para sesiones ac- Los tiempos largos de inactividad
tivas, pero en inactividad, puede usar recursos del servidor
de Terminal Services cuando nadie está trabajando
realmente.
Establecer el límite de Mantenga la coniguración prede-
tiempo para sesiones terminada.
activas de Terminal
Services
Establecer el límite de Servidor Habilítela y asigne 30 minutos.
tiempo para sesiones Los tiempos largos de inactividad
desconectadas pueden usar recursos del servidor
cuando nadie está trabajando
realmente.
Terminar sesiones Mantenga la coniguración prede-
cuando se alcancen los terminada.
tiempos límite
Terminal Server | Carpetas temporales No eliminar carpetas Mantenga la coniguración prede-
temporales al salir terminada.
No usar las carpetas Mantenga la coniguración prede-
temporales por sesión terminada.
Terminal Server | Agente de sesiones Unirse al Agente de se- Servidor Habilítela para dar soporte a alta
de TS siones de TS Servidor disponibilidad.
PARTE IV
Conigurar nombre de Servidor Habilítela e incluya el nombre de la
la granja del Agente de granja.
sesiones de TS
Usar equilibrio de carga Servidor Habilítela para aprovechar mejor los
de Agente de sesiones recursos de la granja de TS.
de TS
Conigurar nombre del Servidor Habilítela e incluya el nombre del
servidor del Agente de servidor.
sesiones de TS
Usar redirección de direc- Mantenga la coniguración prede-
ciones IP terminada.
Coniguración del equipo | Directivas | Licencia de Terminal Servidor Habilítela. Cree un grupo de segu-
Plantillas administrativas | componen- Server ridad que contenga todas las cuen-
tes de Windows | Terminal Services | tas del equipo del servidor TS e
inclúyalas en la lista. Esto asegura
que las licencias sólo vayan a los
servidores TS autorizados.


Impedir actualización de Mantenga la coniguración predeter-
licencias minada. Sólo es necesaria cuando
tiene una combinación de sistemas
operativos de servidor ejecutando TS.
Coniguración del equipo | Directivas | Permitir archivos .rdp de Establézcala en el nivel de la PC.
Plantillas administrativas | Componen- publicadores descono-
tes de Windows | Terminal Services | cidos
Cliente de conexión a Escritorio remoto
Permitir archivos .rdp de Establézcala en el nivel de la PC.
publicadores válidos y la
coniguración .rdp prede-
terminada del usuario
No permitir que se guar- Establézcala en el nivel de la PC.
den las contraseñas
Especiicar huellas digita- Establézcala en el nivel de la PC.
les SHA1 de certiicados
que representan publica-
dores .rdp de conianza
Coniguración del equipo | Directivas | Establecer reglas para Establézcala en el nivel de la PC.
Plantillas administrativas | Componentes el control remoto de
de Windows | Terminal Services | Termi- sesiones de usuario de
nal Server | Conexiones Terminal Services
Coniguración del equipo | Directivas | Permitir redirección de Establézcala en el nivel de la PC.
Plantillas administrativas | componen- zona horaria
tes de Windows | Terminal Services
| Terminal Server | Redirección de
dispositivo o recurso
No permitir redirección Mantenga la coniguración predeter-
del Portapapeles minada, a menos que esté compar-
tiendo una aplicación segura con
datos conidenciales.
Coniguración del equipo | Directivas | Redirigir sólo la impre- Establézcala en el nivel de la PC.
Plantillas administrativas | Componen- sora predeterminada del
tes de Windows | Terminal Services | cliente
Redirección de impresoras
Usar controladores de Mantenga la coniguración
impresora Easy Print predeterminada.
primero
Coniguración del equipo | Directivas | Mostrar siempre el escri- Establézcala en el nivel de la PC.
Plantillas administrativas | componen- torio en conexión
tes de Windows | Terminal Services |
Terminal Server | Entorno de sesión
remota


Exigir eliminación de pa- Establézcala en el nivel de la PC.
pel tapiz en el escritorio
remoto
Iniciar un programa al Establézcala en el nivel de la PC.
conectarse
Coniguración del equipo | Directivas | Establecer el límite de Establézcala en el nivel de la PC.
Plantillas administrativas | componen- tiempo para sesiones ac-
tes de Windows | Terminal Services | tivas, pero en inactividad,
Terminal Server | Límite de tiempo de de Terminal Services
sesión
Establecer el límite de Establézcala en el nivel de la PC.
tiempo para sesiones
activas de Terminal
Services
Establecer el límite de Establézcala en el nivel de la PC.
tiempo para las sesiones
desconectadas
Terminar sesiones Establézcala en el nivel de la PC.
cuando se alcancen los
límites de tiempo.
Coniguración del equipo |Directivas | Habilitar conexión me- Usuario Habilítela sólo para grupos especí-
Plantillas administrativas | componen- diante Puerta de enlace icos de usuarios que se conectan
tes de Windows | Terminal Services | de TS desde sesiones externas.
Puerta de enlace de TS
Establecer el método de Usuario Habilítela y úsela con credenciales
autentiicación de Puerta de inicio de sesión local para single
PARTE IV
de enlace de TS sign-on.
Establecer la dirección Usuario Habilítela e incluya la dirección del
del servidor de Puerta de servidor de Puerta de enlace de TS.
enlace de TS
NOTA Aunque muchas de las coniguraciones de equilibrio de carga de Terminal Services requerían
por lo menos la edición Enterprise de Windows Server 2003 para funcionar, sólo necesitan la
edición Standard para WS08. Conocerá más sobre el equilibrio de carga en el capítulo 11.
La configuración de GPO para WS08 se establece en tres niveles:

• Servidor
• PC
• Usuario
La configuración Servidor debe aplicarse a un GPO que esté orientado a la OU Ofrecimien-
tos de servicios virtuales | Servidores de Terminal Services, que contiene todas las cuentas de
equipo para sus servidores TS. La configuración de PC debe establecerse en un GPO PC global
que afecte a todas las PC. La configuración de Usuario debe asignarse a un GPO especial que
afecte a todos los usuarios, pero se filtra mediante un grupo de seguridad que contiene usuarios
que tienen acceso remoto a servidores TS.
PRECAUCIÓN Recuerde que la directiva de grupo sólo afecta a los usuarios y PC que son miembros
de su dominio. Tenga esto en cuenta, sobre todo para la coniguración de la Puerta de enlace de
TS. Si los usuarios se conectan a aplicaciones remotas desde sistemas públicos, esta coniguración
de GPO no los afectará.
Implemente aplicaciones de Terminal Services

Terminal Services puede establecerse para operar en los modos de aplicación remota o escritorio
completo. Las aplicaciones sencillas se implementan para usuarios que ya tienen acceso a escri-
torios completos. El modo de escritorio completo debe reservarse para usuarios que carecen de la
capacidad en su propio sistema; este modo se reserva principalmente para fines de administra-
ción, ahora que WS08 es compatible con RemoteApps.
En cualquier caso, puede implementar una aplicación o un Escritorio remoto empleando
varios medios:
• Puede usar la entrega de un archivo de conexión de Terminal Services o un protocolo de Escri-
torio remoto que incluya los parámetros apropiados para acceder al servidor TS.
• Puede hacer una conexión visible en Acceso Web de TS.
• Puede implementar un paquete del Instalador de Windows. Este último método sólo funciona
para RemoteApps.
Cada uno de estos métodos de implementación se aplica mediante el Administrador del
servidor.
Pero antes de que pueda implementar estos archivos, necesita agregar RemoteApps.
Agregue RemoteApps
La adición de RemoteApps es fácil y sencilla. Empiece por instalar la aplicación que se comparti-
rá como en los procedimientos delineados antes. Luego agréguelos como RemoteApps.
1. Una vez que la aplicación esté instalada, vaya al Administrador del servidor y después a Fun-
ciones | Terminal Services | Administrador de RemoteApps de TS.
2. Haga clic en Agregar programas RemoteApps en el panel de acciones. Esto lanza el Asistente
para RemoteApp. Haga clic en Siguiente.
3. Seleccione el programa que se agregará a la lista de RemoteApps. Esta lista desplegará todas
las aplicaciones conocidas instaladas. Puede ver sus propiedades antes de pasar a la siguien-
te página. Propiedades le permite controlar argumentos de línea de comandos, además de
iconos y si la aplicación estará disponible en Acceso Web de TS (vea la figura 9-6). Haga clic en
4. También puede agregar todas las aplicaciones a la vez en esta página, si quiere. Haga clic en
Siguiente.
5. Revise sus opciones y haga clic en Finalizar cuando haya terminado. Utilice el botón Anterior
para corregir cualquier configuración que no le parezca correcta.
Repita esta operación para cada producto que quiera que quede disponible de manera remo-
ta. Ahora está listo para implementar la aplicación.
Implemente con archivos RDP

Los archivos RDP contienen todos los parámetros necesarios para realizar una conexión remota.
Son principalmente útiles para conexiones a escritorios remotos completos. También funcionan
con RemoteApps, pero éstas realmente deben desplegarse con los paquetes del Instalador de
Windows.
Para crear archivos RDP, utilice el siguiente procedimiento:
1. En el Administrador del servidor, navegue a Funciones | Terminal Services | Administrador de
RemoteApps de TS.
2. En el panel de detalles del Administrador de RemoteApps de TS, vaya a la lista de Remote-
Apps para seleccionar la aplicación que quiere implementar.
3. A continuación, seleccione Crear archivo .rdp bajo Otras opciones de distribución. Esto lanza
otro Asistente para RemoteApps. Haga clic en siguiente.
4. En la página Especificar configuración del paquete (vea la figura 9-7), revise y modifique los
siguientes parámetros:
PARTE IV
FIGURA 9-6 Implementación del Administrador del servidor a través de RemoteApps.

• Cambie la ubicación para guardar los paquetes en una unidad que incluya una carpe-
ta compartida, por ejemplo, D:\Administración\Programas empaquetados. Comparta la
carpeta como Paquete$ para ocultarla de los usuarios. La configuración de Terminal Server
incluirá el nombre del servidor, el puerto que usa y el nivel de autentificación que habrá de
usarse. Como opción predeterminada, las conexiones de RDP utilizan el puerto 3389.
• La configuración de Puerta de enlace de TS debe detectarse automáticamente si estableció
apropiadamente su GPO.
• La configuración de certificados depende del hecho de que se haya instalado o no un certi-
ficado en el servidor. Recuerde que los certificados públicos son mejores, porque automáti-
camente serán de confianza para la PC cliente.
5. Haga clic en Siguiente cuando haya terminado. Revise sus opciones y haga clic en Finalizar
cuando esté listo. Utilice el botón Anterior para corregir cualquier parámetro que no le parezca
correcto.
6. El asistente asigna un nombre automáticamente y guarda el archivo RDP. Pruebe la conexión
antes de desplegarla a los usuarios.
7. Implemente el archivo RDP para los usuarios mediante una secuencia de comandos de inicio
de sesión u otro mecanismo de implementación.
Ahora los usuarios tendrán acceso a su RemoteApps de servidor TS.
FIGURA 9-7 Coniguración de RDP.

Implemente mediante Acceso Web de TS

Además, Windows Server 2008 es compatible con acceso Web a conexiones de Escritorio remoto
y RemoteApps. La ventaja de este modelo es que no se requiere ninguna implementación, por-
que el acceso al cliente está localizado en una página Web interna. WS08 incluye una página Web
de ejemplo que puede servir como punto de partida para su página de acceso Web de terminal
Services.
La configuración del contenido Acceso Web de TS (TWA, TS Web Access) se controla me-
diante el Administrador del servidor | Terminal Services Administrador de RemoteApps de TS. El
panel de detalles incluye configuraciones de cada uno de los componentes que hacen que opere
este modo de implementación. Se requiere realizar tres acciones:
• En primer lugar, si tiene funciones separadas de Acceso Web de TS y servidor TS en diferentes
servidores, asegúrese de agregar la cuenta del equipo del servidor que ejecute el acceso Web
de TS en el grupo de seguridad Acceso Web de TS en cada uno de los servidores a los que
quiera acceder mediante Web. Lo ideal es que elabore un grupo de seguridad que contenga
las cuentas de equipo de todos los servidores TWA en su red e incluya esta cuenta en el grupo
local de seguridad de cada servidor TS.
• En segundo lugar, publique RemoteApps en las páginas Web de TWA. Esto se hace automáti-
camente cuando agrega RemoteApps.
• En tercer lugar, si quiere hacer que un Escritorio remoto quede disponible para este servidor
en la página Web de TWA, entonces haga clic en el vínculo Cambiar en la sección Distribución
con Acceso Web de TS del panel de detalles.
Para conectarse a Terminal Services mediante una página Web, vaya a las siguientes páginas:
• http://NombreServidor/TSWeb para usar conexiones de Escritorio remoto.
• http://NombreServidor/TS para ver una lista de RemoteApps.
PARTE IV
Donde Nombre Servidor es el nombre de host del servidor que ejecuta el servicio TWA.
SUGERENCIA Cuando agregue nuevas RemoteApps a una lista de Acceso Web de TS, asegúrese de
hacer clic en el vínculo Actualizar en el panel de detalles; de otra manera, la lista de aplicaciones
tal vez esté incompleta.
NOTA Terminal Services incluye una parte Web que puede usarse para desplegar el Acceso Web de
TS contenido dentro de un sitio de equipo de SharePoint Services. Por ejemplo, podría usar esto
para crear una página de inicio personalizada para los usuarios, que desplegaría sólo las aplicacio-
nes a las que tienen acceso.
Implemente paquetes del Instalador de Windows

Éste es el método preferido para RemoteApps, y no funciona para escritorios remotos. Cuando
implemente RemoteApps, este método asegurará que se comporten como si fueran parte del
esquema del propio escritorio del usuario. Esto significa que los documentos estarán vinculados,
los accesos directos aparecerán en el menú Inicio, etc. Además, el uso de paquetes del Instala-
dor de Windows hará que el acceso directo sea mucho más fácil de implementar, porque puede
hacerlo mediante Entrega de software de directiva del grupo con ADDS. En general, este método
simplifica en gran medida su trabajo.
Las aplicaciones se implementan al usar el siguiente procedimiento:

1. En el Administrador del servidor, vaya a Funciones | Terminal Services | Administrador de
RemoteApps de TS
2. En el panel de detalles del administrador de RemoteApps de TS, vaya a la lista de Remote-
Apps para seleccionar la aplicación que quiera implementar.
3. A continuación, seleccione Crear paquete de Windows Installer bajo Otras opciones de distri-
bución. Esto lanza otro Asistente para RemoteApps. Haga clic en Siguiente.
4. En la página Especificar configuración del paquete, revise y modifique las siguientes configu-
raciones:
• Cambie la ubicación para guardar paquetes en una unidad que incluya una carpeta com-
partida, por ejemplo, D:\Administración\Programas empaquetados. Comparta la carpeta
como Paquete$ para ocultarla de los usuarios finales al eliminarla de la lista de exploración
de la red. La configuración de Terminal Server incluirá el nombre del servidor, el puerto que
usa y el nivel de autentificación que habrá de usarse. Como opción predeterminada, las
conexiones RDP usan el puerto 3389.
• La configuración de puerta de enlace de TS debe detectarse automáticamente si establece
apropiadamente su GPO.
• La configuración del certificado se controla sin importar si el certificado se ha instalado en
el servidor. Recuerde que los certificados públicos son los mejores, porque automáticamen-
te serán de confianza para la PC del cliente.
5. Haga clic en Siguiente cuando haya terminado. En la página siguiente, configure la manera
en que la aplicación interactúa con el escritorio del usuario (vea la figura 9-8). Colóquela en el
menú Inicio en una carpeta del programa personalizado; por ejemplo, Aplicaciones centrales.
Además, asegúrese de seleccionar Asociar extensiones de cliente de este programa con el pro-
grama RemoteApps, porque esto permitirá a los usuarios ejecutar RemoteApps al hacer doble
clic en los formatos de documento que genera. Haga clic en Siguiente.
6. Revise sus opciones y haga clic en Finalizar cuando haya terminado. Utilice el botón Anterior
para corregir cualquier parámetro que no le parezca correcto.
7. El asistente asigna un nombre automáticamente y guarda el archivo RDP. Pruebe el instalador
de Microsoft (MSI, Microsoft Installer) antes de implementarlo para los usuarios.
8. Implemente el archivo MSI para los usuarios mediante un GPO (consulte el capítulo 7) u otro
mecanismo de distribución.
Ahora los usuarios tendrán acceso transparente a su RemoteApp del servidor TS.
Cree Terminal Services de disponibilidad elevada

Windows Server 2008 incluye la característica Equilibrio de carga del agente de sesiones de
terminal server (TS SBLB, Terminal Services Session Broker Load Balancing) para permitirle
crear infraestructuras de servidor TS de alta disponibilidad. El TS SBLB se realiza mediante una
integración del servicio de nombre de dominio (DNS, Domain Name Service) con el servicio. En
esencia, crea una sola entrada en DNS para la granja de TS. Incluye la dirección IP de cada ser-
vidor TS en la granja. Además, como se ve en la tabla 9-4, la característica TS SBLB se configura
mediante directivas del grupo.
FIGURA 9-8 Coniguración de las opciones de escritorio de RemoteApp.
Cuando los usuarios se conectan por primera vez a una sesión de TS, el Agente de la sesión
automáticamente los conectará a la primera dirección IP de la lista, pero luego los redirigirá a
un servidor TS con una carga de trabajo inferior. Si la conexión a la primera dirección IP falla, el
PARTE IV
agente de la sesión conectará al usuario con la siguiente, y así sucesivamente.
Esto proporciona una experiencia de usuario más refinada y les permite desconectarse de
una sesión y volverse a conectar a la apropiada en la granja. Si planea hacer uso extenso de Ter-
minal Services en su red, sobre todo si planea ir más allá de la administración remota, entonces
debe tomar en consideración el trabajo con el Agente de sesión.
SUGERENCIA Conocerá más información acerca del Agente de sesiones en http://technet2.

microsoft.com/windowsserver2008/en/library/9da3742f-699d-4476-b050-c50aa14aaf081033.
mspx?mfr=true.
Ahora su entorno de Terminal Services está listo para producción. Asegúrese de usar una
directiva de prueba completa antes de dar a los usuarios acceso a las aplicaciones que hospeda
en sus servidores de Terminal Services.
La consola de Escritorio remoto: el mejor amigo del administrador

Una de las más estupendas herramientas que encontrará en Windows Server 2008 para adminis-
tración remota es la consola Escritorios remotos (RDC; Remote Desktops Console). Esto se debe a
que esta consola le permite reagrupar todas las conexiones RDP que necesite para administrar cada
servidor de su red en un solo lugar, lo cual proporciona una ubicación central para la administra-
ción de toda su red. Y, lo que es mejor, puede guardar las credenciales que use para iniciar sesión en
cada servidor dentro de la consola, haciendo que cada servidor esté solo a un clic de distancia.
PRECAUCIÓN RDC es una herramienta poderosa porque almacena contraseñas que proporcionan
acceso a servidores. Asegúrese de almacenar la consola en su peril para asegurarla, y cerciórese
de bloquear su equipo cada vez que deje su escritorio.
Esta consola está presente como opción predeterminada en Herramientas administrativas,

pero como es de esperar, se encuentra vacía. Si quiere usarla a capacidad plena, necesita llenarla
con su propia lista de accesos directos. Esto le permite construir una RDC más completa que pro-
porcione una interfaz central e incluya conexiones a todos los sistemas que necesite administrar.
Si la construye en un servidor, sólo necesita agregar las conexiones de acceso directo. Si la
construye en una estación de trabajo, necesita instalar las Herramientas de administración remo-
ta de Windows Server 2008. Prepare su consola de la siguiente manera:
1. Empiece por lanzar la consola. Está localizada bajo menú Inicio | Herramientas administrati-
vas | Terminal Services | Escritorios remotos.
2. Guarde la consola. Como opción predeterminada, esta consola está almacenada dentro de
Herramientas administrativas, pero como guardará sus credenciales con sus conexiones para
simplificar el acceso al servidor, debe archivar esta consola en su carpeta Documentos. Esto
la asegura automáticamente, de modo que sólo usted tenga acceso a ellas. Para ello, utilice
Archivo|Guardar cómo, vaya a la carpeta Documentos, asígnele el nombre Escritorios remotos
y haga clic en Guardar.
3. Ahora puede empezar a construir la consola. Como opción predeterminada, incluya una copia
del complemento Escritorios remotos. Si sólo tiene un entorno de administración, es correcto.
Pero si construye varios entornos para producción, prueba y desarrollo, como se analizó en el
capítulo 5, debe agregar un complemento Escritorios remotos para cada entorno que necesite
administrar. El uso de varios complementos facilita la diferenciación entre entornos. Por ejem-
plo, puede diferenciar entre los almacenes de recurso y los ofrecimientos de servicios virtuales
si utiliza un complemento diferente para cada uno. Esto hace más clara y fácil la identificación
de los servidores de cada entorno.
4. Utilice Archivo|Agregar o quitar complemento para abrir el cuadro de diálogo. Seleccione el
complemento Escritorios remotos bajo Complementos disponibles, y haga clic en el botón
Agregar (vea la figura 9-9). Haga clic en el botón Agregar todas las veces que necesite el
complemento, una vez para cada entorno que administre. Haga clic en Aceptar cuando haya
terminado.
5. Está listo para agregar una conexión con credenciales guardadas para cada servidor. El guar-
dado de las credenciales le permite establecer conexiones más rápidas con el sistema remoto.
Pero necesita confirmar que la consola está asegurada (ésta es la razón principal por la que
debe ponerse bajo su carpeta Documentos).
6. En el panel de la izquierda, seleccione primero el complemento Escritorios remotos, y luego
haga clic en él con el botón derecho para seleccionar Agregar nueva conexión (vea la figura
9-10). Ingrese la siguiente información:
• El nombre del servidor o la dirección IP.

• El nombre de la conexión (asigne un nombre lógico que represente a dónde está vinculada
esta conexión).
• Quite la marca de la casilla Conectar con la opción, porque esto sólo se aplica a sistemas de
Windows Server 2003.
• Seleccione Permitirme guardar credenciales.
7. Haga clic en Aceptar para crear la conexión.
8. Para guardar las credenciales, necesita conectarse al vínculo. Aparecerá el cuadro de diálogo
Credenciales (vea la figura 9-11). Ingrese las credenciales apropiadas y asegúrese de seleccio-
nar la casilla de verificación Recordar mis credenciales. Haga clic en Aceptar para conectarse al
servidor. Ahora sus credenciales están guardadas. Si regresa al cuadro de diálogo Propiedades,
verá que incluye sus credenciales (vea la figura 9-12). Observe los vínculos Editar o Eliminar
que le permiten modificarlas para esta conexión.
9. Repita los mismos pasos para cada conexión que necesite en el entorno. Vaya a un com-
plemento diferente para cada entorno diferente. Guarde de nuevo la consola cuando haya
terminado. Por último, debe guardar la configuración de la consola para completar la creación
de ésta.
PARTE IV
FIGURA 9-9 Cuadro del diálogo Agregar o eliminar complemento en Vista.

FIGURA 9-10 Cuadro de diálogo Agregar nueva conexión.
10. Haga clic en Archivo | Opciones e ingrese el nombre de su consola. Asegúrese de establecer
el modo de consola en Modo usuario: acceso completo y que no esté seleccionada No guar-
dar los cambios en esta consola. También asegúrese de que esté seleccionada Permitir que el
usuario personalice vistas. Haga clic en Aceptar cuando haya terminado. Guarde de nuevo la
consola. Ahora no se le pedirá que guarde la consola cada vez que la cierre.
Ya ha terminado. Ahora puede usar su consola para administrar sus diversos servidores
físicos o sus máquinas virtuales en una sola interfaz. Por ejemplo, una consola RDC final podría
FIGURA 9-11 Cuadro de diálogo Agregar credenciales.

FIGURA 9-12 Cuadro de diálogo Propiedades de conexión con credenciales guardadas.
incluir todos los entornos diferentes que necesite (vea la figura 9-13). Para ir de máquina en
máquina basta con hacer clic en el nombre de la misma.
PARTE IV
SUGERENCIA Si la consola o la conexión dejan de responder, simplemente haga clic con el botón
derecho en el nombre de la conexión, y elija Desconectar. Haga clic de nuevo con el botón derecho
para elegir Conectar, y ya habrá regresado.
Las conexiones contenidas en esta consola son muy ingeniosas y pueden ahorrarle gran
cantidad de tiempo. He aquí algunos consejos para su uso:
• Para usar la consola, sólo ábrala y haga clic una vez en el vínculo al que quiere conectarse.
• Para romper una conexión, cierre la sesión desde el servidor remoto o haga clic con el botón
derecho en Desconectar.
• Si ya se conectó a un vínculo y se desconecta, vuelva a conectarse al hacer clic con el botón
derecho en él y seleccione Conectar.
• Debe tener nombres de conexión cortos y asegurarse de que el panel de árbol es lo más
pequeño posible, porque las conexiones de Escritorios remotos rellenarán automáticamente el
panel de detalles. Maximice la consola y la ventana de la consola para obtener la mayor canti-
dad posible de espacio en la pantalla para sus conexiones.
• Una vez que sus conexiones se hayan establecido, puede modificar sus propiedades, incluyen-
do elementos como resolución de pantalla, vinculación de sus unidades de disco locales con el
equipo local y más. Para hacer que estos tipos de modificaciones sean permanentes, necesita
FIGURA 9-13 Consola RDC inal.
hacer clic con el botón derecho en la consola y seleccionar Autor. Eso le permitirá modificar
configuraciones y guardarlas para la vez siguiente.
• Una vez que la consola esté lista, colóquela en su área Inicio rápido. De esa manera, sólo que-
dará a un clic de distancia de cualquier servidor que necesite administrar.
Pronto se dará cuenta de que ésta es la consola más valiosa en su juego de herramientas de
administración.
Servidores de colaboración
La mayoría los usuarios están acostumbrados al servicio Compartir archivos, y para ellos este
servicio es una manera eficaz de colaborar con sus colegas. Pero desde hace varios años, se ha
dado un nuevo movimiento en los círculos de la tecnología de la información: el uso de los sitios
Web de colaboración que reemplaza la necesidad de los recursos compartidos de archivos. Ése es
el eje central de Windows SharePoint Services (WSS).
WSS está basado en la infraestructura Web de los servicios de información de Internet (IIS)
y está diseñado para proporcionar una colección de servicios integrados que permiten la colabo-
ración. Entre sus principales opciones se incluye la capacidad de crear sitios Web de equipo que
den soporte al intercambio de información, además de los recursos compartidos de documentos.
WSS también es la plataforma base de la herramienta de colaboración insignia de Microsoft,
Office SharePoint Portal Server. Mientras la inclusión de SharePoint convierte a WSS en un en-
torno de colaboración muy completo, el uso de WSS por sí solo aún proporciona varias caracte-
rísticas poderosas para trabajar con los colegas.
Por ejemplo, los administradores pueden crear un sitio de equipo personalizado que hospede
todas las herramientas que necesitan para administrar servidores. Eso podría incluir integración
con Terminal Services en el modo de administración remota para proporcionar acceso Web a la
aplicación del Administrador del servidor en cada uno de los servidores que necesite administrar.
Si necesita administrar un servidor, vaya al sitio del equipo, localice la parte Acceso Web de TA,
encuentre el vínculo con el servidor que quiere administrar y haga doble clic en él. Los sitios de
equipo también son estupendos para la integración de toda la documentación administrativa y
operativa. Microsoft proporciona una gran cantidad de plantillas de sitio de equipo que pueden
cargarse, una vez que se implemente WSS, para proporcionar puntos de partida gratuitos para
entornos de colaboración de todos los tipos.
SUGERENCIA Las plantillas gratuitas de Windows SharePoint Services se encuentran en

www.microsoft.com/technet/windowsserver/sharepoint/wssapps/templates/default.mspx.
Además, los sitios de WSS pueden ser un regalo para los usuarios finales en cada categoría
de su red. Pero lo más importante es que, debido a que están basados en tecnología Web, los
sitios de equipo pueden proporcionar información estructurada y no estructurada a sus usuarios
finales, sin necesidad de infraestructuras especiales de sistema, porque todo se ejecuta mediante
el explorador Web.
PRECAUCIÓN WSS también proporciona servicios de lujo de trabajo, pero para que funcione la
mayor parte de las características de este servicio, necesita habilitar su servidor para correo elec-
PARTE IV
trónico. Esto se hace al instalar la característica de servidor de protocolo de transferencia simple
de correo (SMTP, Simple Mail Transfer Protocol) en el Administrador del servidor. Observe que
necesitará usar la Consola de administración de IIS 6 para administrar ese servicio.
Implemente Windows SharePoint Services

Debido a que está en su tercera iteración, WSS proporciona varias mejoras sobre sus predecesores:
• El modelo administrativo se ha integrado en una ubicación central, lo que hace más fácil con-
trolar las diferentes características de WSS.
• Un mejor modelo de seguridad basado en IIS 7 para proporcionar un cumplimiento más com-
pleto con las regulaciones.
• Configuraciones de red más simples.
• Modelo de programación más simple para desarrollo personalizado.
La estructura base de WSS es una estructura de dos capas. IIS 7 proporciona el frente y es el
principal componente con el que interactuarán los usuarios. La segunda parte de la infraestruc-
tura de WSS es el componente de persistencia de datos. En implementaciones simples, esto es
proporcionado por la base de datos interna de Windows (WID, Windows Internal Database). En
implementaciones más complejas necesitará depender de la instalación de SQL Server.
NOTA Para localizar WSS en el Asistente para agregar funciones, debe actualizar el Administrador
del servidor con complementos disponibles. Utilice el sitio Web de Windows Update para ello.
La implementación es simple. Una vez más, depende del Asistente para agregar funciones
en el Administrador del servidor.
1. Empiece por lanzar el Asistente para agregar funciones.
2. Seleccione la función Windows SharePoint Services.
3. Utilice los valores de la tabla 9-5 para completar las entradas del asistente.
Una vez que la función está instalada, encontrará dos nuevas adiciones a Herramientas
administrativas:
• Administración central de SharePoint.
• Asistente para configuración de Productos y Tecnologías de SharePoint.
La primera se usa para administrar centralmente WSS. La segunda, para realizar, sobre todo,
cambios de configuración de una sola vez a su instalación de WSS.
Lo primero que debe hacer para finalizar la instalación de WSS es lanzar el Asistente
para configuración de Productos y Tecnologías de SharePoint. Este asistente realizará 10
tareas automatizadas para finalizar la configuración de su servidor. Luego, una vez que haya
terminado, puede usar la interfaz Administración central (vea la figura 9-14). Tendrá que
proporcionar sus credenciales para la conexión. Asegúrese de firmar con derechos de acceso
administrativos locales, y de seleccionar Recordar contraseña, en el cuadro de diálogo Cre-
denciales. Además, como está usando Internet Explorer (IE) con seguridad mejorada, se le
pedirá que agregue un host local como sitio de confianza. Hágalo así, y aparecerá la página
de inicio Administración.
Observe la estructura de la nueva página Administración central. La página principal es tam-
bién un resumen. Aquí se despliegan dos fichas adicionales: Operaciones y Administración de
aplicaciones. Los administradores del servidor trabajarán principalmente con la página Operacio-
nes. La página principal presenta una lista de tareas administrativas que necesita realizar. Como
verá, se requieren varias tareas para finalizar la configuración.
NOTA Si ha trabajado con Windows SharePoint Services versión 3.0 o Microsoft Ofice Share
Point Portal Server antes de pasar a WS08, ya estará familiarizado con la interfaz, porque no
ha cambiado.
Controle el acceso a Administración central de WSS

Lo primero que debe hacer es facilitar el acceso al sitio Web Administración central. IE puede
pasar automáticamente las credenciales a sitios Web mediante una operación de Single Sign-On
(SSO). IE controla esto mediante las diferentes zonas en que caen las conexiones. Con el fin de
usar Single Sign-On para llegar al sitio Web Administración central, necesita agregar la conexión
a la zona de Internet.
1. Para ello, vaya al menú Herramientas | Opciones de Internet, en IE.
2. Haga clic en la ficha Seguridad.
Página del Asistente para agregar funciones Valores

de Windows SharePoint Services
Seleccionar función de servidor Seleccione la función WSS. Esta función es dependiente de una
amplia serie de diferentes componentes. Por ejemplo, requiere los
componentes Compatibilidad y administración de IIS 6, porque usa la
Metabase de IIS 6, un componente que ya no se usa en los sitios que
sólo incluyen IIS 7.
Agregue los componentes necesarios.
Windows SharePoint Services Revise la información acerca de esta función, si es necesario, antes
de seguir adelante.
Tipo de coniguración Seleccione Instalar sólo en este servidor, si está realizando una
instalación simple de WSS. Esto usará automáticamente WID para
almacenar información de WSS.
Seleccione Instalar como parte de una granja de servidores (avanzado)
si trata de conectar este servidor a una base de datos central que
ejecuta SQL Server en otro servidor.
Idioma de administración Seleccione el idioma de administración apropiado.
Coniguraciones de correo electrónico (para Agregue los valores del Servidor de correo electrónico saliente,
coniguraciones simples) además de las direcciones de correo electrónico Para y De. Esto es lo
que usa WSS para enviar mensajes de estado y sistema a usuarios y
administradores.
Servidor Web (IIS) Revise la información acerca de esta función, si se requiere, antes de
seguir adelante.
Servicios de función Revise los servicios necesarios de la función para que IIS sea compa-
tible con WSS, y siga adelante.
Conirmar selecciones de instalación Revise sus opciones antes de seguir adelante. Utilice el botón Anterior
para hacer correcciones, si es necesario. Haga clic en Instalar cuando
PARTE IV
haya terminado.
Progreso de la instalación y Resultados de la Revise el progreso de la instalación y haga clic en Finalizar cuando
instalación haya terminado.
TABLA 9-5 Instalación de Windows SharePoint Services
3. Seleccione Intranet local y haga clic en Sitios.

4. Agregue la dirección del servidor a esta zona. Obtendrá un mensaje de advertencia de que ya
existe en la zona Sitios de confianza. Haga clic en Sí y luego en Cerrar.
5. Haga clic en Aceptar para cerrar el cuadro de diálogo Opciones de Internet.
Si revisa el área inferior derecha de su pantalla de IE, verá que ese sitio es ahora la zona de
intranet local. Eso significa que ya no se le pedirán credenciales la próxima vez que vaya a ese
sitio porque IE pasará sus credenciales actuales al sitio, de manera automática.
Finalice la coniguración de WSS

Hay varias tareas en la lista para la finalización del servidor. Entre ellas se incluyen:
• Leer las instrucciones de implementación.
• Configurar el correo electrónico entrante.
FIGURA 9-14 La página Web Administración central de SharePoint.
• Configurar el correo electrónico saliente.

• Crear sitios de SharePoint.
• Configurar opciones de flujo de trabajo.
• Cambiar cuentas de servicio.
• Configurar el registro de diagnóstico.
• Agregar protección antivirus.
Para completar un elemento, haga clic en su vínculo, realice la operación y luego haga clic en
Editar elemento. En la ventana Edición, cambie el estado a Completado, y haga clic en Aceptar.
También puede eliminar el elemento, si lo desea, pero al marcarlo como Completado puede
llevar registro de los cambios que ha hecho al sistema.
SUGERENCIA Asegúrese de usar un programa antivirus diseñado para SharePoint Services.

Revise con su fabricante de antivirus si éste es el caso antes de conigurarlo para que trabaje
con WSS.
Debe habilitar sitios para que reciban correo electrónico y configurarlos con las propiedades
adecuadas. También puede depender del Servicio de administración de directorio de SharePoint
para integrar los grupos en ADDS con su implementación de WSS. Señale a la OU apropiada en
su dominio de producción; ésta debe estar en algún lugar de su estructura de OU Persona. Utilice
nombres relativos distinguidos para incluirlos en la lista de OU (por ejemplo, DC=net,DC=TandT,
DC=Intranet,OU=Persona). Esto le permitirá administrar contenido de grupo en una sola ubicación.
También debe usar las cuentas predefinidas para ejecutar el sitio Web Administración cen-
tral. Por lo general, ése debe ser NetworkService. También puede crear una cuenta de servicios
especial, que necesitará derecho de administración local en ese servidor. Conocerá más sobre las
cuentas de servicio en el capítulo 10.
Cuando establezca propiedades de antivirus, debe tener la capacidad de rastrear documen-
tos al cargarlos y tratar de limpiar los documentos infectados. Si los documentos se limpian al
cargarlos, en realidad no se necesita limpiarlos cuando se descarguen.
Por último, cree todos los sitios que necesite. El proceso es simple y sencillo. Su entorno de
WSS estará listo para usarse una vez que haya terminado.
SUGERENCIA Como opción predeterminada, WSS se instala en el sitio Web predeterminado del
servidor de destino. Sin embargo, a los usuarios les será más fácil acceder a un sitio con un
nombre que suene más a Internet que con el nombre del servidor. También puede asignar al sitio
un nombre DNS apropiado. Cree un alias (CName) dentro de la zona DNS del dominio de pro-
ducción, como Colaboración.Intranet.TandT.Net. También podría crear un GPO de usuario que
cambie la página de inicio de IE a esta dirección para que vaya al sitio Web Colaboración, como
opción determinada, cuando abran IE. También puede agregar la nueva dirección en Administra-
ción central|Operaciones|Coniguración global|Asignaciones de acceso alternativas. Seleccione
Agregar una asignación interna y establezca el nuevo nombre Colaboración en el puerto 80 o, si
quiere comunicaciones seguras, el puerto 443. También necesitará instalar un certiicado PKI en
el servidor para usar el puerto 443.
PARTE IV
Cambie el número de puerto de administración de WSS
Como opción determinada, SharePoint utiliza un puerto aleatorio para conectarse al sitio Web de
administración. Este puerto aparece en el vínculo Conexión, en la parte superior de la ventana
de Internet Explorer. Lo ideal es que quiera estandarizar todos los puertos administrativos para
cada una de sus instalaciones de WSS. Por ejemplo, podría estandarizar todos los sistemas que
ejecutan WSS en el puerto 8088.
1. Abra un indicador de comandos.
2. Vaya a Archivos de programas\Common Files\Microsoft Shared\Web Server Extensions\12\
BIN.
3. Escriba
stsadm.exe –o setadminport –port 8088
y luego oprima ENTER.

4. Cierre el indicador de comandos. Esto cambiará automáticamente todos los accesos directos
que hacen referencia a este sitio de administración.
Esto facilitará la administración de cada sitio de SharePoint, porque sólo necesita recordar
que para acceder a Administración central, basta con escribir http://nombreservidor:8088 en
cualquier explorador Web.
NOTA Para validar su implementación de WSS, descargue el Best Practice Analyzer de

http://technet2.microsoft.com/windowsserver/WSS/en/library/ea5996c0-3ca4-427d-a1e5-
71aa46ab64b71033.mspx?mfr=true. Además, encontrará libros en línea sobre WSS en la misma
dirección.
Prepare los servidores de lujo de datos de Windows Media

WS08 no incluye los componentes de flujo de datos de Windows Media. Sin embargo, tiene
capacidad para administrar flujo de medios y, sobre todo, conexiones IP de transmisión múltiple
para proporcionar una experiencia de flujo de datos transparente. Éste es el motor de la Expe-
riencia de calidad de audio y video de Windows (qWave) que está disponible como una caracte-
rística de WS08. qWave mejora el flujo de audio y video al proporcionar calidad de servicio (QoS,
Quality of Service) cuando envía flujos de datos. En sus servidores, esto asegurará la velocidad
del flujo y la asignación de prioridades a los servicios se habilita en toda la red IP cuando envía
un flujo de datos a extremos.
Los clientes de WSM pueden tomar la forma de diversas plataformas:
• Equipos o dispositivos que reproducen el contenido utilizando un reproductor, como el Re-
productor de Windows Media.
• Equipos que ejecutan los Servicios de Windows Media (WMS, Windows Media Services) que
son proxy, almacenamiento en caché o redistribución de contenido.
• Aplicaciones personalizadas que se han desarrollado utilizando el kit de desarrollo de soft-
ware de Windows Media (SDK).
A partir de Windows Server 2008, los Servicios de Windows Media contienen un nuevo plu-
gin de caché/proxy que puede usarse para configurar servidores de Windows Media, ya sea como
servidor de caché/proxy o como un servidor de proxy inverso. Debido a que WMS no es parte de
WS08, casi toda la documentación que pertenece a la configuración está disponible en el sitio
Web de WMS.
SUGERENCIA Acceda al sitio Web de WMS en www.microsoft.com/windows/windowsmedia/

forpros/default.mspx.
Instale las características requeridas empleando el Administrador del servidor.

1. Vaya a Administrador del servidor|Características, y haga clic con el botón derecho en Agregar
características.
2. Seleccione Experiencia de calidad de audio y video de Windows (qWave). Haga clic en Si-
guiente.
3. Haga clic en Instalar y luego en Finalizar, cuando haya terminado. Es necesario reiniciar el
servidor para completar la operación.
Ahora su servidor está listo para Servicios de Windows media. Siga las instrucciones en la
documentación de WMS para realizar la instalación.
Requisitos del servidor por función

Ahora que ha revisado el proceso de creación para varias funciones adicionales de servidor, tiene
una idea de los recursos necesarios para construirlas (consulte la tabla 9-6). Es necesario que re-
vise las capacidades de la CPU, la RAM, los volúmenes de disco y las capacidades de red necesa-
rias para estas funciones de servidor. Utilice estas directrices para preparar sus servidores cuando
ponga en funcionamiento la red paralela para ofrecimiento de servicios virtuales.
Diseñe la estructura de la OU Ofrecimientos

El paso final de la preparación del servicio para estas funciones de servidor es el diseño de una
estructura de OU Ofrecimientos de servicios virtuales y la aplicación de la delegación apropiada
y las configuraciones de las directivas del grupo para cada servicio (consulte la tabla 9-7). Esta
estructura de OU se empezó en el capítulo 8 y está a punto de terminarse. La configuración y las
estructuras para los servidores que cree en este capítulo se prepararán aquí (vea la figura 9-15).
La estructura se completará en el capítulo 10, cuando finalice la configuración de seguridad de
sus ofrecimientos de servicios virtuales. Construya las OU para las funciones del servidor cubier-
tas aquí.
Arquitectura
Función del del
servidor procesador CPU RAM Unidad D: Unidad E: Red
PARTE IV
Servidores de x64 Carga media Necesaria para Archivos de Registros de Necesaria
aplicaciones a alta aumentar las datos de transacciones para bases
y servidores velocidades de hosts de hosts de usuarios
Web dedica- procesamiento grandes
dos
Terminal x64 Carga elevada Necesaria para Archivos de Necesario Necesario
Services (depende el procesos de programas y sólo si el ser- para mejor
número de servidor, ade- datos para vidor hospeda transmisión
usuarios) más de los de hosts aplicaciones de datos del
cada usuario de base de protocolo
(mínimo 20 MB datos de escritorio
por usuario) remoto
Servidores de x64 Carga elevada Necesaria para Archivos de Registros de Necesario
colaboración servicios de datos de transacción de para mejor
colaboración hosts hosts transmisión
de datos de
colaboración
TABLA 9-6 Requisitos de recursos por función de servidor

Ofrecimientos de Uno Agrupación de todos los ofreci- GPO de servidores de base para
servicios virtuales mientos de servicios y objetos aplicación de coniguraciones de
utilitarios en la organización seguridad (consulte el capítulo
10). Se usa también para división
en categorías.
Servidores de Dos Reagrupa todos los servidores de GPO Servidor Este GPO controla los servidores
aplicaciones y aplicación. También reagrupa todos de aplicacio- de base de datos de servidores
servidores Web los servidores Web nes global Web de propósito general, .NET
dedicados Framework y aplicaciones corpora-
tivas. También controla todos los
parámetros para IIS y servidores
Web. Los elementos pueden subdi-
vidirse si se necesita segregación
adicional. Se delega a operadores
de servidor de aplicaciones.
Servidores TS Dos Contiene todos los servidores TS GPO Servidor Contiene coniguración de Terminal
TS global Services del lado del servidor. Se
delega a operadores de Terminal
Server.
Servidores de Dos Reagrupa todos los servidores GPO Colabora- Contiene parámetros generales
colaboración dedicados a servicios de colabo- ción global para servicios de comunicaciones
ración de Voz sobre IP (VOIP, Voice over
IP), Exchange Server, SharePoint
Portal Server, y Servicios de lujo
de datos de Windows Media. Se
delega para operadores de servi-
dor de colaboración.
Servidores de Tres Reagrupa todos los servidores que GPO Share Contiene coniguraciones que son
SharePoint ejecutan SharePoint Point global particulares de servidores de Sha-
rePoint. Se delega a administrado-
res de SharePoint y posiblemente
Web masters.
Servidores de Tres Reagrupa todos los servidores que GPO Flujo de Contiene coniguraciones que
lujo ejecutan servicios de lujo datos global pertenecen a datos de lujo. Se
delega para los administradores de
lujo de datos.
TABLA 9-7 Construya la estructura de OU de ofrecimientos de servicios virtuales

Archivo e impresión global
Infraestructura global
Servidor de aplicaciones global

Colaboración global
Flujo de datos global
SharePoint global
Servidor TS global
FIGURA 9-15 Estructura de OU Ofrecimientos de servicios virtuales.
Complete la estructura de la OU usando las mismas operaciones delineadas en el capítulo 7

para crear una estructura de OU y delegue la administración del contenido de cada OU a grupos
operativos apropiados.
PARTE IV
V
PARTE
Asegure Windows CAPÍTULO 10
Diseñe su infraestructura
Server 2008 de seguridad

CAPÍTULO 11
Construya para la
continuidad del negocio
E
n esta sección se trata la implementación de prácticas seguras
para proteger redes de todos los niveles. También se inclu-
yen métodos para implementar recuperación de desastres y
proporcionar continuidad del negocio, tanto para el almacén de re-
cursos como para los niveles de ofrecimientos de servicios virtuales.
10
CAPÍTULO
Diseñe su infraestructura de seguridad
L
a seguridad es el tema candente de la tecnología de la información: siempre se encuentra
entre las cuatro principales preocupaciones de los directivos. No es de extrañar. En los últi-
mos años, se han presentado importantes amenazas a la seguridad para cualquier persona
que utilice equipos de cómputo, sobre todo con sistemas operativos Windows. Ya sea mediante
ataques de virus, caballos de Troya, gusanos, root kits o código malicioso en la PC o el servidor,
ataques distribuidos de negación del servicio en el sistema de nombre de dominio (DNS, Do-
main Name System), robo de contraseñas o identidad, o simplemente mediante la ingeniería
social, todo está en riesgo. Una cosa es segura: las organizaciones que no hacen nada acerca de
la seguridad o la continuidad del negocio son vulnerables y pueden llegar a perder todo, incluso
su propia existencia. La seguridad es una ocupación de tiempo completo, sin importar el tamaño
de su organización. Ya sea un trabajador con múltiples funciones de tecnología de la información
que dirige una pequeña tienda para su organización o un técnico especializado que trabaja en
una organización grande, tiene que prestar atención al aseguramiento de sus recursos. Los hac-
kers maliciosos en Internet están tras sus bienes. Peor aún, el hackeo está adquiriendo relevan-
cia y se está volviendo redituable, a medida que las organizaciones tratan de encontrar nuevas
maneras de obtener y preservar información acerca de usted y lo que hace.
De modo que debe protegerse. Microsoft, como fabricante de Windows, le proporciona las
herramientas y las directrices para asegurar sus sistemas. Un ejemplo de ejecución es la Windows
Server 2008 Security Guide (Guía de seguridad de Windows Server 2008), además de su publi-
cación hermana la Windows Vista Security Guide. Ambas le ofrecen una manera estructurada
para que resguarde sus sistemas aún más allá de las protecciones básicas habilitadas cuando
instala Windows. Pero la seguridad tiene un ciclo de vida propio. En el lado técnico, empieza con
la instalación de un sistema de cómputo y abarca toda la duración de su utilidad hasta su retiro.
La seguridad no sólo es una operación técnica; también debe incluir a todos quienes participan
en su organización. Aunque proporcione los niveles técnicos más estrictos de seguridad en sus
sistemas, todo se vendrá abajo si sus usuarios no están al tanto de sus propias responsabilidades
en el ciclo de vida de la seguridad.
SUGERENCIA Busque la Windows Server 2008 Security Guide en www.microsoft.com/technet/

security/prodtech/windowsserver2008/default.mspx y la Windows Vista Security Guide en
www.microsoft.com/technet/windowsvista/security/guide.mspx.
491
492 Parte V: Asegure Windows Server 2008
PRECAUCIÓN Windows Server 2008 es seguro, como opción predeterminada. Debido a esto, muchas
aplicaciones, sobre todo las mal diseñadas, tal vez no trabajen apropiadamente en este sistema operati-
vo. Tenga en cuenta que cada vez que modiica el sistema operativo para permitir que se ejecuten en él
aplicaciones heredadas, reduce su nivel de seguridad y, por tanto, aumenta su nivel de exposición. Debe
equilibrar el costo de actualizar aplicaciones con el de ejecutar un sistema operativo más expuesto.
Al parecer, también las organizaciones que usan tecnología de Microsoft se encuentran

especialmente en riesgo. En cierta manera, es verdad. Ser el proveedor del sistema operativo más
grande del mundo ha hecho a Microsoft el blanco número uno del código malicioso. Siempre
parece que una falla de seguridad no espera a la otra, en lo que se refiere a Microsoft. Pero la rea-
lidad es que las tecnologías de Microsoft no son peores que otras, en cuanto a seguridad y otras
fallas encontradas después de lanzarlas.
El objetivo de Microsoft con Windows Server ha sido cambiar esta situación. Su lema es “Se-
guro por diseño, seguro como opción predeterminada y seguro en la implementación”. Esto sig-
nifica que en Windows Server 2003 se elevaron las exigencias y siguen elevándose en Windows
Server 2008 (WS08). En realidad, Microsoft tiene tanta confianza de que WS08 es seguro que se
le ha remitido para evaluación y certificación de Common Criteria, que es un método reconoci-
do internacionalmente para certificar las afirmaciones de seguridad de los productos y sistemas
de tecnología de la información (TI). Define los estándares y procedimientos de seguridad para
evaluar tecnologías. Common Criteria está diseñado para ayudar a los clientes a tomar decisiones
informadas sobre seguridad y para ayudar a los vendedores a asegurar sus productos.
SUGERENCIA Conocerá más información acerca de Common Criteria en

www.commoncriteriaportal.org.
Common Criteria no es el único estándar de seguridad en el mercado. Hay otros. ISO 17799
(www.iso-17799.com) es un estándar genérico de las mejores prácticas para seguridad de la
información. El Operationally Critical Treath, Asset and Vulnerability Evaluation (OCTAVE, en
www.cert.org/octave) es un método de evaluación de riesgos de seguridad que está basado en las
mejores prácticas aceptadas de la industria. El Federal Information Technology Security Asses-
ment Framework (FITSAF, en www.cio.gov/spci/spci/security/secfitsaf.htm) es una metodología
que permite a las oficinas gubernamentales de Estados Unidos evaluar sus programas de segu-
ridad de TI. Aunque Microsoft no necesariamente abarca todos estos estándares, su objetivo es
hacerlo, hasta donde sea posible, con las amenazas comunes a la seguridad que han enfrentado
en el pasado las personas que usan sus tecnologías. Como tales, han creado un sistema operativo
actualizado que es, en realidad, seguro como opción predeterminada. Esto, por sí solo, es la con-
tinuación de una nueva dirección para Microsoft, al que, en el pasado, se le ha conocido porque
lleva sus tecnologías por arriba de todos los demás. Pero con Windows Server 2008, Microsoft
ha creado una combinación de características y seguridad que puede hacer de éste el sistema
operativo Windows más seguro. Su conjunto de características y funciones de servidor que no
están instaladas como opción predeterminada; IIS 7, que está dividido en componentes que sólo
se instalan cuando es necesario; y un poderoso Asistente para configuración de seguridad, que
puede bloquear cualquier configuración de servidor, son sólo algunas de las nuevas y poderosas
características que pueden hacer este sistema operativo seguro desde la base.
Con compromisos de este nivel, no hay duda de que Microsoft ha diseñado este sistema
operativo para que esté lleno de características de seguridad. Pero como cualquier otro sistema
Capítulo 10: Diseñe su infraestructura de seguridad 493
operativo, estas características de seguridad sólo protegerán a su organización si se implementan

de manera apropiada.
Fundamentos de seguridad
La seguridad es un problema muy extenso porque incluye casi todo dentro de su red. En realidad,
se ha analizado en cada etapa del proceso de creación de red, hasta el momento. El objetivo de la
seguridad es proteger la información. Para ello, debe poner en funcionamiento sistemas de protec-
ción en capas que proporcionarán la capacidad de realizar las siguientes actividades:
• Identificar a las personas, a medida que ingresan en su red.
• Identificar niveles apropiados de aceptación de personas que trabajan en su red, y proporcio-
narles los derechos de acceso apropiados, una vez identificados.
• Identificar que la persona que modifica los datos sea la que está autorizada para hacerlo (de
manera irrevocable y sin repudio).
• Garantizar la confidencialidad de la información, una vez que se haya almacenado dentro de
su red.
• Garantizar la disponibilidad de la información una vez que se ha almacenado dentro de su red.
• Asegurar la integridad de los datos almacenados dentro de su red.
• Vigilar las actividades dentro de su red.
• Auditar los eventos de seguridad dentro de la red y almacenar de manera segura los datos
históricos de auditoría.
• Poner en funcionamiento las actividades administrativas apropiadas para asegurar que la red
sea segura siempre.
Para cada una de estas actividades, hay varios alcances de interacción:
• Local Las personas interactúan con sistemas en el nivel local; estos sistemas deben estar
protegidos, estén o no adjuntos a una red.
• Intranet Las personas interactúan con sistemas remotos. Estos sistemas también deben
estar protegidos siempre, se localicen en la red de área local (LAN, Local Area Network) o en
la red de área amplia (WAN, Wide Area Network).
• Internet Sistemas que se consideran públicos también deben protegerse de ataques de todo
tipo. Se encuentran en una situación peor, porque están expuestos fuera de los límites de la
red interna.
• Extranet Estos sistemas suelen considerarse internos, pero están expuestos a socios, provee-
PARTE V
dores y clientes. La principal diferencia entre sistemas de extranet e Internet es la autentifica-
ción (aunque puede haber identificación en los sistemas de Internet, la autentificación siempre
es obligatoria para acceder a un entorno de extranet).
Cualquiera que sea su alcance, la seguridad es una actividad (como todas las de TI) que de-
pende de tres elementos clave: personas, PC y procesos.
• Las personas son los ejecutores del proceso de seguridad. También son los usuarios principales.
• Las PC representan la tecnología. Incluyen una serie de herramientas y componentes que dan
soporte al proceso de seguridad.
• Los procesos están integrados por patrones de flujo de trabajo, procedimientos y estándares
para la aplicación de seguridad.
La integración de estos tres elementos le ayudará a diseñar una directiva de seguridad apli-
cable a toda su organización.
Diseñe una directiva de seguridad

El diseño de una directiva de seguridad es sólo un paso en el ciclo de vida de la seguridad, pero,
por desgracia, no siempre es el primero. Las personas a menudo consideran la directiva de segu-
ridad sólo después de que han sido víctimas de una amenaza. Por fortuna, como su implementa-
ción de WS08 está basada en el diseño de una red de ofrecimiento de servicios virtual paralela, es
una oportunidad ideal para revisar su directiva de seguridad, si ya está en funcionamiento, o para
diseñar una, si no lo está, y aplicarla mientras construye su nueva infraestructura de servicio.
Como cualquier otro proceso de diseño, debe empezar por evaluar su modelo de negocio.
Gran parte de la información necesaria en este nivel ya se ha recolectado mediante otros ejerci-
cios de diseño que ya ha realizado. En el capítulo 3, analizó sus entornos de negocios y técnicos
para empezar el diseño de la red. Se revisó esta información de nuevo en el capítulo 5, cuando
creó su diseño de Servicios de dominio de Active Directory. Esta información debe revisarse por
tercera ocasión, pero esta vez con un enfoque especial en los aspectos de seguridad. Esto incluye
la identificación y revisión de dispositivos de seguridad actuales, si existen.
A continuación, necesitará identificar cuáles estándares comunes de seguridad desea
implementar dentro de su organización. Esto incluirá directivas y procedimientos técnicos y no
técnicos. Un ejemplo de una directiva técnica serían los parámetros de seguridad que establecerá
en la puesta en funcionamiento de cada equipo de su organización. Una directiva no técnica tra-
taría con los hábitos que los usuarios deben desarrollar para seleccionar contraseñas complejas y
protegerlas. Por último, debe identificar los parámetros para cada directiva que defina.
El sistema de defensa del castillo

La mejor manera de definir una directiva de seguridad consiste en usar un modelo. El modelo
que proponemos es el sistema de defensa del castillo. En la Edad Media, las personas necesita-
ban protegerse a sí mismas y a sus propiedades mediante el diseño de un sistema de defensa que
se basaba principalmente en barreras acumulativas para entrar o, como diríamos en la actuali-
dad, en defensa a profundidad. Se usa un castillo (vea la figura 10-1), porque es una ilustración
familiar a casi todos, desde usuarios hasta técnicos, además de la administración. Si alguna vez
ha visitado un castillo medieval o visto una película con un tema medieval, o incluso sólo las
películas de El señor de los anillos, recordará que la primera línea de defensa suele ser el foso. Se
trata de una barrera diseñada para evitar que las personas alcancen las paredes del castillo. El
foso a menudo incluye criaturas peligrosas (cocodrilos, pirañas) que agregan un segundo nivel de
protección dentro de la misma barrera. A continuación, tendrá los muros del castillo. Éstos se han
diseñado para repeler al enemigo. En la parte superior de los muros, se encuentran orillas con
almenas, lo que permite a los arqueros disparar al enemigo mientras aún pueden ocultarse del
fuego. Hay puertas de todo tamaño dentro de los muros, una gran puerta, un puente para el foso.
Todos los puntos de acceso tenían guardias apostados. Una vez más, se aplican varios niveles de
protección dentro de la misma capa.
La tercera capa de defensa es el patio dentro de los muros del castillo. Está diseñado como
un “campo de la muerte”, de modo que los enemigos que se las arreglen para traspasar los muros
del castillo, se encuentren dentro de una zona interna que no ofrece cobertura de los atacantes
localizados en los muros externos del castillo o dentro de éste. La cuarta capa de defensa es el
propio castillo. Es el edificio principal dentro del cual se encuentran las joyas de la corona. Está
diseñado para defenderse por sí solo; las escaleras son estrechas y las habitaciones están organi-
zadas para confundir al enemigo. La quinta y última capa de protección es la bóveda conservada
dentro del castillo. Es difícil llegar a ella y tiene mucha protección.
Ésta es, por supuesto, una descripción rudimentaria de las defensas incluidas en un castillo.
Los ingenieros medievales trabajaban muy duro para incluir varios sistemas de defensa dentro de
cada capa de protección. Pero cumplían su objetivo. Debe diseñarse un sistema de defensa de TI
de la misma manera que el de un castillo. Al igual que éste, el sistema de defensa de TI requiere
capas de protección. En realidad, cinco capas de protección parecen apropiadas. Empezando
desde el interior, encontrará:
• Capa 1: Información crítica El corazón de su sistema es la información que busca proteger.
Se trata de la bóveda de información.
• Capa 2: Protección física Las medidas de seguridad siempre deben empezar con un nivel
de protección física para sistemas de información. Se compara con el propio castillo.
Capa 3
Endurecimiento del sistema
operativo
- Configuración de seguridad
- Antimalware
- Seguridad general de ADDS
- Sistema de archivos
- Sistema de impresión
- Seguridad de .NET Framework
- Internet Information Services
- Redundancia del sistema
Capa 2
Protección física
- Entorno físico
- Controles físicos
- Comunicaciones
- Vigilancia
Capa 4
Acceso a información
- Identificación del usuario

Capa 1 - Directivas de seguridad
Información crítica - Acceso a recursos
- Control de acceso basado en
- División de datos en categorías funciones
PARTE V
- Endurecimiento de las - Auditoría/vigilancia de acceso
aplicaciones - Administración de derechos
digitales
Pe
rson
as
Capa 5
Acceso externo
Pro - Redes de perímetro

ces
os - VPN/RRAS
- SSTP
- PKI
- Federación de identidad
- Protección de acceso a redes
FIGURA 10-1 Sistema de defensa del castillo.

• Capa 3: Endurecimiento del sistema operativo Una vez que se han colocado las defensas,
necesita “endurecer” el sistema operativo de cada equipo para limitar lo más posible la superfi-
cie de ataque. Éste es el patio.
• Capa 4: Acceso de información Cuando da acceso a sus datos, necesita asegurar que todo
esté autentificado, autorizado y auditado. Se trata de los muros del castillo y las puertas que
abre en ellos.
• Capa 5: Acceso externo La capa final de protección trata con el mundo exterior. Incluye la
red perimetral y todas sus defensas. Es el foso de su castillo.
Éste es el sistema de defensa del castillo (vea la figura 10-1). Para que se convierta en una
directiva de seguridad completa, debe complementarse con dos elementos: personas y procesos.
Estos dos elementos rodean al sistema de defensa del castillo y completan la imagen de la direc-
tiva de seguridad que representa.
Definir las diversas capas de defensa no es el único requisito de una directiva de seguridad,
sino que es un punto de partida. Deberá realizar otras actividades para completar la definición
de su directiva de seguridad. Esto forma la base del plano de seguridad (vea la figura 10-2). Este
plano delinea un método paso a paso para la definición de una directiva de seguridad. Necesita-
rá soporte con actividades adicionales, que se concentran en la manera en que se administra la
directiva, una vez que la ponga en funcionamiento.
Este capítulo se enfoca en la parte diseñada de solución del plano.
El plan de seguridad
Como ya se mencionó, la directiva de seguridad es sólo el primer paso para completar el plan de
seguridad. Una vez que se ha creado la directiva, debe diseñar e implementar sus defensas, mo-
nitorearlas de manera activa y probarlas y actualizarlas de manera regular. Estas cuatro activida-
des de administración de seguridad (diseño de la directiva, planeación de la directiva, supervisión
y prueba) integran el plan de seguridad. Interactúan con el sistema de defensa del castillo para
configurar la práctica de la administración de seguridad (vea la figura 10-3).
La clave del plan de seguridad es saber qué cubrir y por qué necesita cubrirse. La primera
parte (saber qué se cubre) se delinea en el sistema de defensa del castillo. Identifica todas las
áreas que requieren cobertura por parte de la directiva de seguridad y le ayuda a estar preparado
para cualquier eventualidad. El siguiente es la planeación de la defensa: aquí, el primer paso es
saber el tipo de ataques que puede enfrentar. Entre algunos ejemplos se incluyen:
• Brecha de seguridad accidental Estos ataques suelen causarlos accidentalmente usuarios
u operadores del sistema. Surgen por una falta de conciencia de los problemas de seguridad.
Por ejemplo, los usuarios que no protegen sus contraseñas porque no están conscientes de las
consecuencias pueden ser la causa de los ataques accidentales. De manera similar, los opera-
dores que colocan usuarios en los grupos de seguridad erróneos y les asignan los privilegios
equivocados pueden causar una brecha.
• Ataque interno Es una de las principales fuentes de ataque. En realidad, solía ser la princi-
pal fuente de ataque, pero con la proliferación de ataques basados en Internet, su importancia
en proporción con todos los demás ataques ha disminuido. Provienen de la red interna. Su
fuente puede ser el personal de la organización u otro al que se le permite el acceso a la red
interna. Estos ataques suelen ser resultado de la falta de vigilancia. El personal interno suele
suponer que, debido a que la red interna está protegida del exterior, todas las personas que
tienen acceso son de confianza.
Análisis Diseño de solución
Requisitos Requisitos Sistema de defensa Planeación de

del negocio técnicos del castillo la defensa
1 - Modelo del 1 -Entorno de TI 1 - Información crítica 1 - Evaluación de las

negocio existente o planeado - División de datos en amenazas
- Modelo de la - Tamaño de la categorías - Identificación de los tipos
organización organización - Endurecimiento de la de ataques
- Objetivo de la - Número de usuarios aplicación - Estrategias de respuesta
organización - Ubicación de recursos 2 - Protección física preactiva
- Productos y servicios - Red geográfica - Entorno físico - Estrategias de respuesta
- Alcance geográfico - Distribución y vínculos - Controles físicos reactiva
- Procesos de la - Ancho de banda - Comunicaciones 2 - Evaluación de riesgo
organización disponible - Vigilancia - Identificación del riesgo
2 - Estructura - H/S (necesidades de 3 - Endurecimiento del - Cálculo del riesgo
organizativa rendimiento) sistema operativo - Asignación de
- Modelo de - Patrones de datos - Configuración de prioridades al riesgo
administración - Funciones de red y seguridad 3 - Conciencia del usuario
- Estructura de la responsabilidades - Antimalware - Capacitación obligatoria
organización 2 - Problemas de - Seguridad general de - Planes de comunicación
- Relaciones entre seguridad ADDS - Programa de
comercializadores, - Sistemas y - Sistema de archivos capacitación técnica
socios y clientes aplicaciones - Sistema de impresión 4 - Procedimientos de
- Planes de compras existentes - Seguridad de .NET supervisión
(negocio) - Estructura de soporte Framework - Eventos que deben
3- Estrategias de la a la tecnología - IIS vigilarse
organización - Infraestructura de IP - Redundancia del - Infraestructura de
- Prioridades del - Servicios de sistema supervisión
negocio autentificación 4 - Acceso a la 5 - Planes de reacción
- Crecimiento y - Problemas de información ante ataques
estrategia movilidad - Identificación del - Equipo de respuesta a
proyectados - Trabajadores remotos usuario incidentes
- Implicaciones legales - Conexiones externas - Directivas de - Procedimientos de
- Tolerancia a riesgo seguridad respuesta
- Objetos de TCO - Acceso a recursos - Procedimientos de
4- Administración de TI - Control de acceso escalación
- Administración basado en función 6 - Programa de
centralizada/descen- - Supervisión/ auditoría recuperación
tralizada de acceso - Protección del núcleo del
- Modelo de adquisición - Administración de sistema
de fondos derechos digitales - Sistemas de copia de
- Trabajo externo o 5 - Acceso externo seguridad
interno - Redes de perímetro - Procedimientos de
- Proceso de toma de - VPN/RRAS restauración
decisiones - SSTP 7 - Vigilancia de la
- Proceso de - PKI industria
PARTE V
administración del - Federación de - Vigilancia de eventos de
cambio identidad seguridad
- Protección de acceso - Vigilancia de virus
a redes - Vigilancia de nuevos
productos
- Vigilancia de
actualizaciones del
producto
FIGURA 10-2 Plan de diseño de la directiva de seguridad.
• Ingeniería social Una vez más, estos ataques surgen de la falta de conciencia. Son causados
por fuentes externas que toman la personalidad del personal interno y hacen que los usuarios
Administración de seguridad
FIGURA 10-3
Definición de
Actividades de administración la directiva
de seguridad.
Sistema de
Prueba de
seguridad
defensa del Planeación
de la
defensa
castillo
Supervisión
de seguridad
divulguen información comprometedora (por ejemplo, alguien llama a un usuario mientras

finge ser personal de soporte técnico y le pide su contraseña). Es una práctica común que este
personal le pida a los usuarios su contraseña. Este comportamiento es completamente inacep-
table hoy en día. No hay razón para que el personal de soporte técnico tenga siquiera acceso a
la contraseña del usuario.
• Ataque a la organización Estos ataques surgen de organizaciones de la competencia que
quieren penetrar su organización y descubrir sus secretos comerciales.
• Ataques automatizados Ahora son los tipos de ataques más comunes. En esencia, un
equipo externo rastrea direcciones de Internet hasta que encuentra una respuesta. Una vez
que ha encontrado una dirección que funcione, rastrea esta dirección para identificar posibles
vulnerabilidades. Estos ataques se han vuelto extremadamente complejos hoy en día, y ahora
protegerse de ellos se ha vuelto una ocupación de tiempo completo.
• Negación de servicio distribuida (DDoS, Distributed Denial of Service) Estos ataques
están diseñados para sobrecargar la operación de un servicio en su red. A menudo surgen de
varias fuentes a la vez; de allí el nombre de distribuida. Los ataques que se orientan a tecno-
logías genéricas de Microsoft en lugar de su organización, son excelentes ejemplos específicos
de ataques DDoS.
• Ataques de virus Estos ataques son en la forma de virus, gusanos o caballos de Troya y están
diseñados para infiltrar su sistema para que realice alguna forma de daño a servicios o datos.
• Correos electrónicos maliciosos o suplantación de identidad Estos ataques toman como
destino a la víctima desprevenida al engañarla para que realice una acción que otorgará al
atacante acceso a su sistema. La educación de los usuarios es una de las mejores maneras de
evitar estos tipos de ataques.
Cada tipo de ataque requiere una estrategia de defensa diferente. Casi todas ya están coloca-
das con el sistema de defensa del castillo, pero los procesos que rodean a los ataques y las reac-
ciones a éstos también deben estar definidos. Ésta es la esencia de la planeación de la defensa.
SUGERENCIA Conocerá más información acerca de los tipos de ataques y las estrategias de defensa
en la central de seguridad de Microsoft, en www.microsoft.com/security/default.mspx. Microsoft
también publica un documento de amenazas y contramedidas en www.microsoft.com/technet/

security/guidance/serversecurity/tcg/tcgch00.mspx#EDD.
La guía de seguridad de Microsoft WS08

Como ya se mencionó. Microsoft ha producido una excelente guía para asegurar las tecnologías
de Windows 2008, en la WS08 Security Guide. Utiliza un método similar al sistema de defensa
del castillo, un método de defensa a profundidad. La mejor parte de esta guía es que incluye una
serie de herramientas (de manera específica, plantillas de directiva de grupo generadas mediante
la herramienta Acelerador de GPO incluida en la guía) que puede usarse para asegurar servido-
res por función. Para ello, depende de una estructura de unidad organizativa, similar a la diseña-
da en los capítulos 8 y 9. Cada tipo de servidor está localizado dentro de una unidad organizativa
(OU, Organizational Unit), y los objetos de directiva de grupo (GPO, Group Policy Object) que
incluyen parámetros específicos por función de servidor, se aplican a la OU apropiada. Este mé-
todo también es la base del sistema de defensa del castillo, porque es el método esencial del diseño
de Servicios de dominio de Active Directory (ADDS, Active Directory Domain Services) ilustrado
en todo el libro. Este diseño de ADDS está concebido con el fin de administrar objetos de acuer-
do con el tipo de objeto; usará el método de administración si está administrando propiedades de
objeto o está aplicando configuraciones de seguridad.
Dependa de esta guía y aprenda a usar las herramientas que incluye, pero al mismo tiempo,
revise los controles de este capítulo, porque lo guían a través de información complementaria.
Nunca conocerá demasiado sobre seguridad.
Seguridad de Windows Server 2008

Windows Server 2008 es uno de los elementos clave de la iniciativa de computación confiable
de Microsoft. Como tal, Microsoft ha revisado y mejorado las características básicas de seguridad
incluidas en Windows 2000 y 2003. La base anterior de Windows ya era una mejora importan-
te sobe el pasado: tecnologías como Kerberos, cifrado de sistema de archivos (EFS, Encrypting
File System), infraestructura de clave pública (PKI, Public Key Infrastructure), soporte a tarjeta
inteligente y biometría, y sobre todo Servicios de dominio de Active Directory, para nombrar
unas cuantas. Son mejoras importantes sobre las capacidades de seguridad básicas de versiones
anteriores de Windows, como NT.
Con WS08, Microsoft ha mejorado estas características, además de que ha proporcionado nue-
vas opciones de seguridad. Por sí solo, .NET Framework es una mejora de seguridad importante,
debido a su concepto de código administrado (código que cabe dentro de los límites del marco que
PARTE V
defina). Mejora en gran medida la capacidad de ejecutar código seguro, porque proporciona el en-
torno de ejecución del software, limitando la posibilidad de errores en el código que ejecuta. También
identifica si el código está firmado digitalmente por alguien de confianza, además de identificar su
origen, asegurando un grado más elevado de confianza dentro de su entorno de ejecución.
Además, WS08 ofrece otras características nuevas y mejoradas que ayudan a asegurar el sistema
en todos los niveles. Por supuesto, el nivel ideal de protección que puede obtener con WS08 depende-
rá del cliente que esté ejecutando; no hay duda de que la plataforma Windows más segura que cons-
truya incluirá WS08 y Windows Vista. No obstante las características de seguridad de WS08 incluyen:
• Directivas de restricción de software Estas directivas pueden controlar cuál código se per-
mite ejecutar en la red. Esto incluye cualquier tipo de código (aplicaciones corporativas, software
comercial, secuencias de comandos, archivos de procesamiento por lotes) e incluso pueden
definirse en el nivel de biblioteca dinámica de vínculos (DLL, Dynamic Link Library). Es una es-
tupenda herramienta para evitar que se ejecuten en su red secuencias de comandos maliciosas.
• Soporte a LAN inalámbrica WS08 incluye objetos de directiva especiales diseñados para
dar soporte a redes inalámbricas seguras.
• Autentiicación de acceso remoto WS08 incluye una estructura basada en directivas para
administrar el acceso remoto y las conexiones de red privada virtual mediante ADDS. Esta
característica está concentrada en un servidor de autentificación de Internet (IAS, Internet Au-
thentication Server) y un servidor de usuarios de marcado telefónico de autentificación remota
(RADIUS, Remote Authentication Dial-In User Server).
• Protección de acceso a redes (NAP, Network Access Protection) Además de las mejoras
en el acceso remoto, WS08 puede mejorar la imposición de los niveles de salud del cliente an-
tes de que se les permita conectarse a su red. NAP puede incluso actualizar los clientes antes
de que se les dé acceso completo a la red.
• Firewall de Windows Server con seguridad avanzada Para facilitar las conexiones a
sistemas remotos hechas con sus servidores, ahora WS08 proporciona una interfaz integrada
para la seguridad en el nivel de IP (IPSec, IP-level Security), con controles de comunicaciones
entrantes y salientes.
• Operaciones en varios bosques En el capítulo 5 se delineó la manera en que los bosques
de Servicios de dominio de Active Directory pueden usar confianzas de bosque para extender
las capacidades de autentificación de su directorio con organizaciones similares. Además, el
uso de los Servicios de directorio ligero de Active Directory (ADLDS, Active Directory Light-
weight Directory Services), le permite crear un directorio central de sistema operativo de red
(NOS, Network Operating System) y luego el número requerido de directorios de aplicación
para dar soporte a sus necesidades de aplicaciones corporativas. Por último, los Servicios de
federación de Active Directory (ADFS, Active Directory Federation Services) le permiten traba-
jar con organizaciones similares sin construir confianzas de bosque, sino, más bien, al depen-
der de los propios directorios NOS internos propios de los demás.
• Infraestructura de clave pública WS08 incluye una PKI mejorada, los Servicios de certifi-
cado de Active Directory (ADCS, Active Directory Certificate Service), compatible con ins-
cripción automática y renovación de certificado (X.509). También da soporte al uso de listas
de revocación de certificados (CRL, Certificate Revocation List) pues simplifica el proceso de
administración de CRL.
• Seguridad de servidor Web Los servicios de información de Internet (IIS, Internet Infor-
mation Service) versión 7 es segura como opción predeterminada. No se instalan al mismo
tiempo que el programa y, una vez instalados, sólo servirán contenido basado en los compo-
nentes instalados.
• Protección de archivos temporales y sin conexión WS08 es compatible con el cifrado de
archivos temporales y sin conexión, además de proteger datos cifrados mientras se encuentran
en tránsito, mediante el nuevo protocolo de entunelamiento de conexiones seguras (SSTP,
Secure Socket Tunneling Protocol).
• Administración de credenciales El Administrador de credenciales de WS08 puede alma-
cenar contraseñas y certificados digitales (X.509) de manera segura. Esto da soporte a acceso
transparente a varias zonas de seguridad.
• Cifrado en modo de kernel WS08 es compatible con los algoritmos criptográficos apro-
bados por el estándar de procesamiento de información federal (FIPS, Federal Information
Processing Standard). Esto significa que las organizaciones, sean gubernamentales o no,
pueden aprovechar este módulo de criptografía para asegurar conexiones de cliente/servidor.
WS08 también implementa los algoritmos criptográficos de la Suite B definidos por el gobier-
no de Estados Unidos. Esto significa que es compatible con cifrado de datos, firmas digitales
e intercambio de claves, además del uso de hashes, permitiendo que otros comercializadores
dependan de esta infraestructura para crear soluciones de seguridad más completas.
NOTA Conocerá más información acerca de Suite B en www.nsa.gov/ia/industry/crypto_suite_b.cfm.

• Protocolo de autentiicación de compendio (DAP, Digest Authentication
Protocol) WS08 incluye un nuevo paquete de seguridad de compendio que tiene soporte en
IIS y Servicios de dominio de Active Directory.
• Paquetes de Instalador de Windows irmados digitalmente WS08 da soporte a la inclu-
sión de firmas digitales dentro de los paquetes del Instalador de Windows, de modo que los
administradores pueden asegurar que sólo paquetes de confianza están instalados dentro de
la red, sobre todo en servidores.
• Uso de Passport WS08 ya no es compatible con la asignación de cuentas de Microsoft Pass-
port a Servicios de dominio de Active Directory. Debe depender, en cambio, de ADFS.
• Directivas de contraseñas múltiples ADDS es compatible con la aplicación de varias
directivas de contraseñas, lo que permite exigir contraseñas muy complejas a administradores
y menos complejas a usuarios finales.
• Control de acceso basado en función WS08 incluye el Administrador de autorización, que
permite el uso de controles de acceso basado en función (RBAC, Role-Based Access Control)
para aplicaciones. Los almacenes de RBAC pueden ser de lenguaje de marcado extensible
(XML, eXtensible Markup Language) o estar dentro de Active Directory.
• Delegación de autentiicación WS08 es compatible con la delegación restringida. Esto sig-
nifica que puede especificar cuáles servidores pueden ser de confianza para dar personalidad
al usuario dentro de la red. También puede identificar cuáles servicios pueden delegarse con
confianza al servidor.
• Administración de permisos y enumeración basada en acceso Ahora es posible ver
permisos efectivos con WS08 a través del cuadro de diálogo Propiedades para los objetos de
archivo y carpeta. Además, los usuarios sólo podrán ver elementos a los que en realidad tienen
acceso, en oposición a versiones anteriores, donde podían ver todo el contenido de un recurso
PARTE V
compartido, aunque no pudieran abrir los documentos.
• Pertenencia limitada a Todos El grupo Todos sigue incluyendo usuarios autentificados e
invitados, pero los integrantes del grupo Anónimo ya no son parte de este grupo.
• Auditoría Ahora la auditoría en WS08 está basada en operaciones. Esto significa que es
más descriptiva y ofrece la opción de auditar ciertas operaciones para determinados usuarios y
grupos. También puede auditar cambios a ADDS y usar los informes de auditoría para revertir
esos cambios, si se realizaran por error.
• Restablecimiento de opciones predeterminadas Ahora es mucho más simple usar la he-
rramienta del Asistente para configuración de seguridad (SCW, Security Configuration Wizard)
para volver a aplicar las configuraciones de seguridad del equipo a partir de plantillas de base.
• Subsistemas opcionales Los subsistemas opcionales, como POSIX (soporte para aplicacio-
nes de UNIX), ya no se instalan como opción predeterminada.
• Servidores pequeños de recopilación de datos Mediante el uso de Server Core, puede

implementar servidores que proporcionen un conjunto limitado de servicios y una superficie
de ataque más pequeña.
• Controladores de dominio de sólo lectura (RODC, Read Only Domain Controller) Los
RODC proporcionan una plataforma de controlador de dominio (DC) más segura para redes
de sucursales o de perímetro. Es difícil comprometer los RODC porque sólo almacenarán en
caché contraseñas basadas en las directivas de usuario que establezca. Además, puede resta-
blecer automáticamente cualquier contraseña en caché en el caso de robo de un RODC.
• Funciones y características restringidas Cada función o característica sólo instala compo-
nentes que son absolutamente necesarios para su ejecución. Esto le permite controlar exacta-
mente lo que está instalado en sus servidores.
• Endurecimiento del servicio Ahora los servicios están restringidos y sólo se ejecutarán
dentro de contextos específicos. Además, cada servicio sólo tiene permitido acceder a compo-
nentes del sistema que están relacionados con él.
• Cifrado de unidad BitLocker Ahora puede cifrar todas las unidades del sistema en servi-
dores remotos, de modo que los usuarios maliciosos no puedan acceder a su contenido.
• Control de cuentas de usuario Con el Control de cuentas de usuario, los administradores es-
tán constantemente conscientes de las situaciones en que en realidad usan credenciales elevadas
para realizar tareas, porque aparecen indicadores que solicitan autorización. Esto proporciona
un nivel aún mayor de protección. Por supuesto, todo administrador debe trabajar como usuario
estándar y sólo usar elevación de derechos cuando necesita realizar una tarea administrativa.
• Protección de información Con la protección de Active Directory Rights Management
Services (ADRMS), puede asegurar por completo el contenido de su propiedad intelectual,
asegurándose de que no quede expuesta.
• Controlador de dispositivos Mediante el control de dispositivos, puede asegurar que los
usuarios maliciosos no puedan conectar dispositivos falsos de bus serial universal (USB, Uni-
versal Serial Bus) a sus servidores, ni aun su estación de trabajo, para robar el contenido de sus
carpetas compartidas o entornos de colaboración.
Ésta no es una lista exhaustiva de todas las nuevas características de seguridad de Windows
Server 2008, pero incluye las más importantes para redes. Estas características, junto con las
básicas que provienen de versiones anteriores de Windows, le permitirán diseñar su sistema de
defensa del castillo.
Almacenes de recursos seguros

Con el surgimiento de los almacenes de recursos y los ofrecimientos de servicios virtuales, nece-
sita tomar un método de dos pinzas para diseñar su sistema de defensa del castillo. La primera se
concentra en el propio almacén de recursos. Este almacén debe incluir estrategias de protección
muy estrictas, porque es fácil dejar funcionando toda una máquina virtual. Como tal, el sistema
de defensa del castillo para almacenes de recursos requerirá que se preste atención especial a los
niveles identificados en la tabla 10-1.
Los almacenes de recursos son un nuevo concepto en TI y, por tanto, necesitan una atención
particular a los detalles cuando se trata de la implementación de sus configuraciones de seguri-
dad. Necesita asegurarse de que comprende el alcance de la protección que debe aplicar a esta
infraestructura (vea la figura 10-4).
Capa Contenido Comentarios

Capa 1: División de datos en categorías Preste especial atención a los archivos que integran las máquinas
información crítica virtuales.
Endurecimiento de las Asegure las instantáneas de Hyper-V de Windows Server.
aplicaciones
Capa 2: Entorno físico Asegúrese de que los centros de datos tienen energía eléctrica sui-
protección física ciente y recursos de enfriamiento.
Las oicinas remotas deben depender del concepto de servidor en un
equipo.
Controles físicos Preste especial atención al acceso físico a los servidores. Todos los
servidores, incluidos los remotos, deben estar bajo llave.
Comunicaciones Asegúrese de que todos los administradores de almacenes de recur-
sos comprenden sus responsabilidades en cuanto a las prácticas de
seguridad.
Vigilancia Si es posible, elabore hojas de entrada y salida para los administrado-
res que acceden al centro de datos.
Capa 3: endureci- Coniguración de seguridad Preste especial atención a lo siguiente:
miento del sistema Coniguración de Server Core
operativo Endurecimiento del servicio
Parámetros del Asistente para coniguración de seguridad para servi-
dores host
Instalaciones limitadas de funciones en cada host; coniguración de
máquinas de administración virtuales
Cifrado de unidad BitLocker para sistemas de servidor en un equipo en
oicinas remotas
Control de cuentas de usuario para todos los administradores
Control de dispositivos para asegurar que no pueden conectarse uni-
dades de disco USB no autorizadas a ningún servidor físico.
Antimalware Implemente Windows defender junto con tecnologías antivirus apropiadas
Seguridad general de ADDS Implemente administración de permisos muy estrictos. Implemente
directivas de restricción de software para asegurar que no se permita
que código malicioso se ejecute en este dominio.
Sistema de archivos Asegure el sistema de archivos para proteger los ofrecimientos de
servicios virtuales. Dependa de paquetes del Instalador de Windows
irmados digitalmente para todas las instalaciones de productos de
terceros o personalizados.
Sistema de impresión No aplicable, porque sólo los administradores tienen acceso a esta red.
Seguridad de .NET Framework Sólo aplicable a las instalaciones completas usadas en las máquinas de ad-
ministración virtuales que cree para administrar el almacén de recursos.
PARTE V
Servicios de información Implemente seguridad de servidor estricta si necesita depender de
de Internet (IIS) Microsoft Virtual Server para agregar vida a hardware de 32 bits.
Redundancia del sistema Dependa de los principales del capítulo 11 para asegurar la continui-
dad del negocio en servidores host.
Capa 4: acceso a la Identiicación del usuario Dependa de autentiicación de tarjeta inteligente o de dos factores
información para administradores en entornos muy seguros.
Directivas de seguridad Asigne directivas apropiadas para el almacén de recursos.
Acceso a recursos En esta red sólo se requieren cuentas administrativas.
Controlador de acceso basado No aplicable, porque esta infraestructura sólo se ejecuta en servicios
en función de virtualización.
Auditoría/supervisión de acceso Habilite la auditoría, además de la de ADDS, para llevar registro de los
cambios.
TABLA 10-1 Aplicación del sistema de seguridad del castillo a almacenes de recursos

Administración de derechos No aplicable, porque esta infraestructura no se usa para producir
digitales documentación.
Capa 5: Acceso Redes de perímetro No hay una red perimetral en el almacén de recursos, pero aún debe
externo conigurar apropiadamente la Firewall de Windows Server con seguri-
dad avanzada para controlar el acceso a servidores hosts.
Redes privadas virtuales (VPN) Dependa de conexiones de VPN (Virtual Private Network) para toda la
administración remota.
Enrutamiento y acceso remoto Implemente un servicio de autentiicación de acceso remoto para los
(RRAS) administradores que trabajen de manera remota.
Protocolo de entunelamiento de Asegúrese de que todas las comunicaciones remotas, además de las
conectores seguros (SSTP) comunicaciones internas intraservidores, están cifradas.
Infraestructura de clave pública Implemente Servicios de certiicado de Active Directory (ADCS) como
(PKI, Public Key Infrastructure) soporte para la implementación de tarjetas inteligentes y restricciones
de software.
Federación de identidad No aplicable, porque no se necesita la federación en esta
infraestructura.
Protección de acceso a redes Implemente NAP (Network Access Protection) para asegurar que todas
las máquinas que se vinculan al almacén de recursos tienen un esta-
tus de salud aprobado.
TABLA 10-1 Aplicación del sistema de seguridad del castillo a almacenes de recursos (Continuación)
Asegure los ofrecimientos de servicios virtuales

De manera similar, los ofrecimientos de servicios virtuales también requerirán la aplicación es-
pecial del sistema de seguridad del castillo. En este caso, necesita concentrarse en los elementos
identificados en la tabla 10-2.
Los ofrecimientos de servicios virtuales requieren más en cuanto a configuración de seguri-
dad porque están diseñados para interactuar con usuarios finales y, por tanto, tienen más servicios
integrados en la infraestructura. El alcance de la protección para ofrecimientos de servicios virtuales
dependerá del tamaño de la organización (vea la figura 10-5). Ciertas tecnologías de seguridad es-
tán reservadas para almacenes de recursos, al igual que algunas están reservadas para ofrecimientos
de servicios virtuales. Por ejemplo, es poco necesario ejecutar Server Core en sus ofrecimientos de
Máquinas virtuales Almacén de recursos
de administración
(instalación completa
Almacenamiento com-
de WS08) partido con ofrecimiento
de servicios virtual
Servidor 1
Servicios
DC 1 Servidor 2 redundantes
Servidor 3
Máquinas
DC 2 Servidor 4
Servidores host físicas
Miembro 1 (Server Core
Miembro 2 Máquinas físicas WS08)
(Server Core WS08) Interruptor
Todo en un equipo
Sitio central Sitio remoto
Bosque de un solo dominio del almacén de recursos
FIGURA 10-4 Alcance de protección para almacenes de recursos.


Capa 1: informa- División de datos en categorías Siga las directrices delineadas más adelante en este capítulo, porque
ción crítica los ofrecimientos de servicios virtuales almacenan la información que
hacen que su organización funcione.
Endurecimiento de las aplica- Asegúrese de que sus comercializadores y sus desarrolladores inter-
ciones nos de software creen código seguro.
Capa 2: protección Entorno físico Hay poco acceso físico a las máquinas virtuales. Sin embargo, el en-
física torno físico donde residen los servidores hosts debe estar asegurado.
Controles físicos No aplicable, porque se aplicó en el nivel de almacenes de recursos.
Comunicaciones Asegúrese de que todos los usuarios, incluidos los administradores, com-
prenden sus responsabilidades en cuanto a las prácticas de seguridad.
Vigilancia Aplique la mayor vigilancia posible.
Capa 3: endureci- Coniguración de seguridad Preste especial atención a lo siguiente:
miento del sistema Endurecimiento del servicio.
operativo Parámetros del Asistente para coniguración de seguridad para servi-
dores host.
Instalaciones limitadas de funciones en cada host, incluyendo sólo
los componentes necesarios para el servidor que entrega Cifrado de
unidad BitLocker para servidores que desempeñan funciones críticas
Control de cuentas de usuario para todos los administradores y
usuarios.
Control de dispositivos para asegurar que no pueden conectarse
unidades de disco USB no autorizadas en ningún punto de acceso,
incluidas todas las PC de la red.
Cifrado de unidad BitLocker para notebooks altamente seguras.
Seguridad de redes inalámbricas.
Antimalware Implemente Windows defender junto con tecnologías antivirus apropiadas.
Seguridad general de ADDS Implemente administración de permisos muy estrictos. Implemente
directivas de contraseñas múltiples para solicitar contraseñas muy
complejas a los administradores.
Endurezca la coniguración de delegación de autoridad en sus servidores.
Implemente controladores de dominio de sólo lectura en oicinas
remotas.
Implemente directivas de restricción de software para asegurar que no
se permite que códigos maliciosos se ejecuten en este dominio.
Sistema de archivos Asegure el sistema de archivos para proteger los ofrecimientos de
servicios virtuales.
Implemente enumeración basada en acceso para proteger aún más la
información.
Dependa de paquetes del Instalador de Windows irmados digitalmente
PARTE V
para todas las instalaciones de productos de terceros o personalizados.
Sistema de impresión Implemente una estatregia de seguridad completa para todas las
impresoras.
Seguridad de .NET Framework Aplicable a cualquier máquina que tenga una función aplicable o que
incluya PowerShell (en casi todos los casos, serán todos los servido-
res en la red de ofrecimientos de servicios virtuales).
Servicios de información de Implemente seguridad de servidor Web estricta en servidores Web.
Internet (IIS)
Redundancia del sistema Dependa de los principales del capítulo 11 para asegurar la continuidad
del negocio de servidores de ofrecimientos de servicios virtuales claves.
Capa 4: acceso a la Identiicación del usuario Dependa de autentiicación de tarjeta inteligente o de dos factores
información para administradores en entornos muy seguros.
TABLA 10-2 Aplicación del sistema de seguridad del castillo a los ofrecimientos de servicios virtuales

Los entornos muy seguros usarán la autentiicación de dos factores
para todos los usuarios.
Directivas de seguridad Asigne directivas apropiadas para la red de ofrecimientos de servicios
virtuales.
Acceso a recursos Implemente en cada aplicación tanto como sea posible.
Controlador de acceso basado Controle de manera estricta el acceso a todos los recursos.
en función Implemente EFS para usuarios móviles.
Dependa de ADLDS para acceso a recursos de aplicaciones persona-
lizadas.
Auditoría/supervisión de acceso Habilite la auditoría, además de la de ADDS, para llevar registro de los
cambios.
Administración de derechos Dependa de ADRMS para aplicar la administración de derechos digi-
digitales tales a todos los documentos que tengan derechos reservados o que
sean conidenciales de alguna manera.
Capa 5: acceso Redes de perímetro Conigure la Firewall de Windows Server con seguridad avanzada para
externo controlar el acceso a todos los servidores, sobre todo los de la red del
perímetro.
Aplique la misma herramienta a PC de Vista y estaciones de trabajo
móviles.
Redes privadas virtuales (VPN) Dependa de conexiones de VPN para toda la administración remota.
Enrutamiento y acceso remoto Implemente un servicio de autentiicación de acceso remoto para los
(RRAS) administradores que trabajen de manera remota.
Protocolo de entunelamiento de Asegúrese de que todas las comunicaciones remotas, además de las
conectores seguros (SSTP) comunicaciones internas intraservidores, están cifradas.
Infraestructura de clave pública Implemente Servicios de certiicado de Active Directory (ADCS) como
(PKI, Public Key Infrastructure) soporte para la implementación de tarjetas inteligentes y restricciones
de software.
Federación de identidad Dependa de ADFS para acceso a extranet, si es necesario.
Protección de acceso a redes Implemente Protección de acceso a redes para asegurar que todas las
(Protección de acceso a redes) máquinas que se vinculan a los ofrecimientos de servicios virtuales
tienen un estatus de salud aprobado.
TABLA 10-2 Aplicación del sistema de seguridad del castillo a los ofrecimientos de servicios virtuales (Continuación)
servicios virtuales porque son máquinas virtuales. Es más importante asegurarse de que aplica el
nivel apropiado de seguridad en una instalación completa de WS08 que implementar Server Core
en máquinas virtuales. A largo plazo, apreciará el acceso a la interfaz gráfica cuando se trate de
prácticas de administración a largo plazo de sus ofrecimientos de servicios virtuales.
En el resto de este capítulo se usará esta separación de actividades para ayudarle a compren-
der cuándo aplicarla al almacén de recursos, a los ofrecimientos de servicios virtuales, o a ambos.
Aplique el sistema de defensa del castillo

Como está diseñando una nueva red paralela de ofrecimientos de servicios virtuales basada en
WS08, tiene la oportunidad de revisar toda su infraestructura de seguridad, y debe hacerlo, en es-
pecial, porque ahora tiene dos infraestructuras por administrar. Dependerá del sistema de defen-
sa del castillo para esto. Revise cada una de sus cinco capas y determine si se necesitan cambios o
modificaciones a su método de seguridad existente, si ya está en funcionamiento.
Organización grande
Organización mediana
Servicios de
AD FS AD LDS
implementación
Servicios de
Servicios Servicios AD FS AD LDS
impresión
de dominio de archivo
AD Rights Servicios de
Servicios
Managment almacenamiento
de fax
Services avanzado
Sitio remoto
Servicios de unidad de copia Servicios
de seguridad/restauración de firewall Servicios de
Servicios Servicios de agrupación
de acceso certificado en clúster
a red
Organización pequeña
Servicios Servicios Terminal Servicios de Servicios de
de firewall Servicios de base de datos administración
de correo Services
impresión empresarial de claves
electrónico
Servicios
de dominio Sitio central Servidor Servicios de Servicios
Servicios de Web middleware UDDI
Servicios de colaboración
infraestructura
de red
Servicios de copia de
seguridad/restauración Servicios de Servicios de
Servicios de Servicios de
Servicios de archivos actualización de Windows activación
base de datos Windows Server Media de Windows
Opcional Servicios empresariales
Capa de host (almacén de recursos)
FIGURA 10-5 Ámbito de protección para ofrecimientos de servicios virtuales.
Capa 1: información crítica
PARTE V
El lugar para empezar es con lo que necesita proteger. Las organizaciones no tienen opción:
para que la colaboración y la cooperación funcionen dentro de una red, deben compartir datos.
También deben permitir con frecuencia a los usuarios almacenar datos localmente en sus discos
duros. Éste no es un gran problema cuando el usuario tiene una estación de trabajo, porque está
diseñada para permanecer dentro de la red interna (aunque no es una razón para que sea laxo
en el diseño de su directiva), pero se vuelve crítica cuando las unidades de disco duro dejan estos
linderos. Es el nivel de riesgo el que debe identificarse para que las soluciones que diseñe para
proteger los datos sean apropiados.
PRECAUCIÓN En el caso de los almacenes de recursos, debe proteger las unidades de disco virtuales
que integran cada máquina virtual en la red de ofrecimientos de servicios virtuales.
Para ello, necesita dividir los datos en categorías. Esta división debe empezar con un inven-
tario de todos los datos dentro de su red. Una vez que se haya hecho esto, puede agruparlos en
cuatro categorías:
• Públicos Información que puede compartirse públicamente dentro y fuera de la red.
• Internos Información que está relacionada con las operaciones organizativas. Se consideran
como privados pero no confidenciales. Como tales, deben protegerse en algún grado.
• Conidenciales Información que no debe divulgarse a personal que no esté autorizado. Por
ejemplo, datos particulares como salarios.
• Secretos Información que es crítica para la operación de la organización. Si esta información
se divulga a partes equivocadas, la propia organización estaría en riesgo.
Para cada categoría de datos, también necesitará identificar cuáles elementos están en riesgo.
Por ejemplo, si los datos de su sitio Web (datos que se consideran públicos) se modifican sin su
conocimiento, la reputación de su organización podría estar en riesgo. Si los datos de la nómina
se filtran dentro de su organización, perderá la confianza de sus empleados y probablemente
causará gran descontento.
La información está integrada por dos elementos: datos y documentos. Los datos suelen alma-
cenarse dentro de tablas estructuradas y suelen encontrarse dentro de algún tipo de base de datos o
lista. Los documentos contienen datos no estructurados y se encuentran dentro de objetos discretos,
como archivos de texto, presentaciones, imágenes u otros tipos de documentos. Ambos tipos de in-
formación requieren protección. Los documentos se protegen mediante las capacidades de los siste-
mas de almacenamiento de archivos o mediante la seguridad de la base de datos, en el caso de sitios
con equipo de Windows SharePoint Services. En el último caso, los documentos se vuelven datos.
Los datos están protegidos en dos niveles. En primer lugar, están protegidos mediante los
mismos mecanismos que los documentos, porque las bases de datos almacenan información en
archivos al igual que los documentos. En segundo lugar, están protegidos mediante las caracte-
rísticas del sistema de base de datos usado para almacenarlos. Por ejemplo, mientras que Micro-
soft SQL Server almacena bases de datos en archivos .mdb, también ofrece varias características
de seguridad para los datos contenidos dentro de esos archivos. Debido a esto, las organizacio-
nes también deben buscar el endurecimiento de las aplicaciones, sobre todo cuando se trate de
datos, si quieren proteger su información. En este caso,“endurecimiento” significa asegurar que
los agujeros de seguridad se hayan eliminado hasta donde sea posible dentro de las aplicaciones
que las organizaciones han desarrollado o comprado. También significa que se han implemen-
tado las características de seguridad del motor de la base de datos para proteger los datos que
contiene. Las filas y columnas que contienen información confidencial y segura deben asegurarse
en el nivel de la base de datos, tal vez hasta cifrarse, y es necesario auditar su acceso.
NOTA También debe tomar en consideración el acceso a la herramienta Threat Analysis and Mode-
ling de Microsoft (http://go.microsoft.com/fwlink/?LinkId=86405). Esta herramienta le permite
ingresar información acerca de su organización para producir una lista extensa de las posibles
amenazas que podría enfrentar. Los resultados le permitirán comprender mejor en cuáles aspectos
de las otras cuatro capas del sistema de defensa del castillo debe concentrarse.
Capa 2: protección física

La segunda capa de seguridad es la protección física de sus sistemas de cómputo. La protección
física se relaciona con varios problemas. Un servidor físico que se localiza bajo una escalera en
alguna oficina regional no puede considerarse seguro bajo ningún medio. Debe buscar los
gabinetes de sistema apropiados, como los proporcionados por Kell Systems, por ejemplo
(www.kellsystems.com).
PRECAUCIÓN Como podrá imaginar, esta capa se aplica principalmente a almacenes de recursos,
pero también se extiende a su PC o a cualquier sistema que tenga el derecho de conectarse a su
red, aunque sólo interactúe con ofrecimientos de servicios virtuales.
Entre los elementos que necesita para cubrir la capa de protección física se incluyen:
• Ubicación geográica ¿La ubicación física de su edificio se encuentra dentro de lugares con
un entorno peligroso? ¿Hay posibilidades de inundaciones, avalanchas o hundimientos que
podrían afectar los edificios de su negocio? ¿Están cerca de carreteras en que los accidentes
pueden afectar al edificio?
• Ambiente social ¿Su personal está consciente de que el acceso físico a cualquier equipo
de cómputo debería protegerse siempre? ¿Están conscientes de que nunca deben divulgar
contraseñas, bajo ninguna circunstancia?
• Seguridad del ediicio ¿Su edificio es seguro? ¿Las entradas están resguardadas y se iden-
tifica a los visitantes en todos los lugares? ¿Se escolta siempre a los invitados? ¿Se permiten
dispositivos de cómputo falsos dentro del edificio? ¿Está protegida la entrada de la energía
eléctrica al edificio y se tiene un respaldo, sobre todo para los centros de datos? ¿El edificio
está protegido con control de aire, e incluye un sistema de respaldo? ¿Hay un buen plan de
protección contra incendios en todo el edificio? ¿El cableado dentro y fuera del edificio es
seguro? ¿Las emisiones inalámbricas son seguras?
• Construcción del ediicio ¿Es segura la construcción del edificio? ¿Las paredes de los centros
de datos son a prueba de fuego? ¿Las puertas del centro de datos sirven como cortafuegos? ¿Los
pisos están recubiertos con material antiestático? Si hay un generador en las instalaciones, ¿está
en un lugar seguro y protegido? ¿El cuarto de cómputo protege al equipo de comunicación ade-
más del equipo de cómputo? ¿El edificio incluye cámaras de seguridad para ayudar a la vigilancia?
• Seguridad de servidor ¿Los servidores están en cuartos o en gabinetes bajo llave en
todos los lugares? ¿Se vigila y protege el acceso a los cuartos de cómputo? ¿Está controlado
el acceso físico al servidor? Windows Server 2008 soporta el uso de tarjetas inteligentes para
cuentas de administrador. En entornos muy seguros, debe asignar tarjetas inteligentes a todos
los administradores. Con nuevas opciones de tarjetas inteligentes de bajo costo, sobre todo de
PARTE V
USB, hay pocas razones para no implementar esta directiva.
• Seguridad de BIOS Todos los dispositivos de cómputo deben tener alguna forma de pro-
tección en el nivel del sistema básico de entrada y salida (BIOS, Basic Input Output System).
En el caso de servidores físicos, esto debe incluir contraseñas de encendido. Para todos los
sistemas, la configuración de BIOS debe estar protegida con contraseña. Y como todas las con-
traseñas, éstas deben estar muy protegidas y modificarse de manera regular. Nuevas herra-
mientas de interfaces de administración de escritorio (DMI, Desktop Management Interface)
permiten la centralización de la administración de contraseñas de BIOS.
• Seguridad de puesta en funcionamiento ¿Todas las directivas de seguridad físicas es-
tán extendidas a las salas de puesta en funcionamiento donde están instalados los sistemas
físicos? Si no es así, no tiene salas de cómputo muy seguras cuando se abren las instalaciones
para la puesta en funcionamiento.
• Seguridad de PC ¿Son seguras las estaciones de trabajo y los dispositivos móviles? ¿Los
sistemas móviles usan sistemas de identificación de hardware, como opciones biométricas y
tarjetas inteligentes? ¿Los datos del dispositivo móvil están seguros cuando el dispositivo se
encuentra en tránsito? ¿Hay conexiones externas de los dispositivos móviles a la red interna
segura? ¿Controla la conexión de dispositivos USB maliciosos?
• Seguridad de red ¿Son seguros la red y sus servicios? ¿Es posible que alguien introduz-
ca servidores falsos de protocolo dinámico de configuración de host (DHCP, Dynamic Host
Configuration Protocol), por ejemplo? Con Windows Server 2008, al igual que Windows
2000/2003, los servidores DHCP deben autorizarse para asignar direcciones, pero sólo si están
basados en servidores DHCP. ¿Hay en funcionamiento una red inalámbrica? ¿Es segura? ¿Es
posible que usuarios inalámbricos maliciosos penetren la red?
• Redundancia ¿Son redundantes sus sistemas críticos? Esto debe incluir todos sus sistemas
(de archivos, protección, Internet, conexiones WAN, clima, electricidad, etcétera).
Todos los aspectos físicos de su instalación deben mantenerse y documentarse. Además, los
aspectos apropiados del plan de protección física deben comunicarse a los empleados de todos los
niveles. Por último, la protección física debe complementarse con un registro de vigilancia. Una vez
más, es una parte que puede desempeñar el personal de todos los niveles. Cada empleado debe
estar consciente de que puede y debe participar en la vigilancia de cualquier actividad sospechosa o
en la notificación de cualquier suceso adverso que puede comprometer sus sistemas de información.
Capa 3: endurecimiento del sistema operativo

El objetivo del endurecimiento del sistema operativo es reducir la superficie de ataque de sus sistemas.
Para ello, necesita eliminar cualquier cosa que no se necesite en un sistema. Windows Server 2008
hace un buen trabajo de esto desde el principio porque instala sólo componentes centrales; luego
incluye servicios adicionales cuando agrega funciones o características. Además, IIS no está instalado
como opción predeterminada, lo que asegura que los sistemas que no lo necesitan no lo tengan.
Pero limitar el número de servicios no es la única actividad que necesita realizar durante el
endurecimiento del sistema. También necesita cubrir lo siguiente:
• Configuración de seguridad del sistema
• Estrategia antimalware
• Seguridad de Servicios de dominio de Active Directory
• Seguridad del sistema de archivos
• Seguridad del sistema de impresión
• Seguridad de .NET Framework
• Seguridad de IIS
• Redundancia del sistema
Cada uno de estos elementos requiere atención particular para almacenamiento y para ofre-
cimientos de servicios virtuales.
Coniguración de seguridad del sistema

La configuración de seguridad del sistema incluye la aplicación de parámetros seguros durante el pro-
ceso de puesta en funcionamiento de la máquina. Como se mencionó en el capítulo 4, cuando instala
una máquina, sobre todo un servidor, necesita realizar algunas modificaciones a la instantánea prede-
terminada para asegurar que su máquina está protegida. Estas actividades se realizan en dos niveles:
• El primer nivel se concentra en realizar algunas modificaciones a la configuración posteriores

a la instalación para fines de seguridad.
• El segundo nivel incluye la aplicación de plantillas de seguridad al servidor, de acuerdo con la
función del servidor. Esta segunda parte del proceso depende del Asistente para configuración
de seguridad para que aplique automáticamente las configuraciones de seguridad a su sistema.
Muchos de estos elementos que se encuentran en su lista de verificación posterior a la insta-
lación pueden automatizarse mediante la aplicación de plantillas de seguridad.
Lista de veriicación posterior a la instalación

En el capítulo 4 se delinean las actividades posteriores a la instalación que debe realizar en un
servidor que se acaba de poner en funcionamiento. En el capítulo 6 se bosqueja la configuración
de seguridad mínima para un controlador de dominio. En el lado de la seguridad, también debe
incluir lo siguiente:
• Cambio de nombre de la cuenta del administrador. Aunque se mencionó en el capítulo 4, es
esencial repetirlo aquí. También es una actividad que puede realizarse mediante una plantilla de
seguridad porque es una configuración de un objeto de directiva de grupo (GPO, Group Policy
Object). Recuerde usar un nombre de cuenta complejo y asignar una contraseña compleja.
PRECAUCIÓN Una contraseña compleja es su mejor sistema de defensa. En realidad, una contra-
seña de 15 caracteres (la interfaz de Windows soporta hasta 127 caracteres) que incluya letras en
mayúsculas y minúsculas, números y caracteres especiales es muy difícil de descubrir. Las herra-
mientas de descubrimiento de contraseñas bien conocidas sólo funcionan si tienen 14 caracteres o
menos. Si hay una característica que debe implementar para asegurar sus servidores, deben ser las
contraseñas complejas.
• Copie la cuenta del administrador para crear una cuenta de respaldo. Una vez más, use un
nombre de cuenta y una contraseña complejos.
• Cree una cuenta de administrador simulada y asígnele sólo derechos de acceso de invitado.
Use una contraseña compleja para ésta. Su creación sirve como trampa para usuarios que tra-
tan de acceder a la cuenta del administrador real. Audite su acceso para ver quién está tratan-
do de penetrar en su sistema.
• Verifique que la cuenta de Invitado está deshabilitada.
• Verifique la lista de servicios en ejecución y asegúrese de que está bien documentada. Utilice
PARTE V
una hoja de datos de servidor para hacerlo. Apague cualquier servicio que le parezca innecesa-
rio para esta función del servidor.
• Verifique la lista de puertos abiertos, y apague los que le parezcan innecesarios para esta fun-
ción de servidor. Puede identificar la lista de puertos abiertos al usar el comando NETSTAT.
Utilice el siguiente comando:
netstat –a –n -o
El interruptor a pregunta por todos los puertos, el n pide la salida numérica de los puertos y el
o pregunta por el proceso relacionado con el puerto.
Ésta es la seguridad básica. Todo lo demás puede realizarse mediante el Asistente para confi-
guración de seguridad.
PRECAUCIÓN Aunque una contraseña compleja es un mejor sistema de defensa, también puede ser
su peor pesadilla, porque las contraseñas complejas son difíciles de recordar. Una de las cosas que
puede hacer es usar palabras o frases reales, pero reemplazar las letras con números y caracteres
especiales, y combinarlos, por ejemplo Ad/\/\min1StraCión (Administración). También debe
usar diferentes contraseñas para distintas ubicaciones. Si encuentra que recordar contraseñas
complejas es demasiado difícil, puede usar una herramienta de almacenamiento de contraseñas,
como Password Keeper, de Gregory Braun (www.gregorybraun.com/PassKeep.html). Esta prác-
tica herramienta almacena todas sus contraseñas en un archivo cifrado de su escritorio y necesita
otra clave para abrirse. Con esta herramienta, sólo tiene que recordar una sola contraseña.
Dependa de plantillas de seguridad

La configuración de seguridad de los objetos de directiva del grupo está almacenada en
tres ubicaciones en Windows Server 2008. La primera es mediante la propia GPO bajo
Directivas|Configuración de Windows|Configuración de seguridad en Configuraciones de equipo
y Configuraciones usuario. La segunda está en el archivo de plantillas de seguridad. En muchos
casos, es mejor almacenar una configuración en un archivo de plantilla de seguridad, porque au-
tomáticamente forma un archivo de copia de seguridad para la configuración. La tercera opción
le permite crear directivas de seguridad mucho más completas mediante el Asistente para confi-
guración de seguridad. Las directivas de seguridad de éste pueden incluso incorporar configura-
ciones de plantilla de seguridad.
Hay varias maneras de aplicar plantillas y configuraciones de seguridad. La primera es me-
diante un GPO directamente al importar la plantilla en él. Esto se hace al seleccionar el coman-
do Importar directiva del menú contextual desplegado cuando hace clic con el botón derecho
en Configuración de seguridad en el Editor de directiva de grupo. Esto despliega un cuadro de
diálogo que le permite elegir plantillas disponibles. Las plantillas importadas pueden combi-
narse con las configuraciones de seguridad o reemplazarlas en el GPO. La diferencia se aplica
mediante la opción Borrar esta base de datos antes de importar, en el cuadro de diálogo Importar
directiva. Si elige esta opción, limpiará automáticamente todas las configuraciones de seguridad
en el GPO, pero aplicará sólo las encontradas en la plantilla.
La segunda manera es mediante el Asistente para configuración de seguridad. Esta herra-
mienta le permite crear una directiva de seguridad muy completa para sus servidores y luego
aplicar la configuración en formato de plantilla mediante directivas de grupos a todos los servi-
dores de Windows.
Mediante estas directivas de seguridad, puede configurar las siguientes áreas de seguridad:
• Directivas de cuenta Directivas de contraseña, bloqueo y Kerberos.
• Directivas locales Opciones de auditoría, asignaciones de derechos de usuario y seguridad.
• Registro de eventos Código del sistema, aplicación, seguridad, directorio, replicación de
archivos y registro del servicio DNS.
• Grupos restringidos Control de pertenencia a grupos.
• Servicios del sistema Modos de arranque y control de acceso para los servicios de cada
sistema.
• Registro Control de acceso para claves de registro.
• Sistema de archivos Control de acceso para carpetas y archivos mediante el sistema de
archivos de nueva tecnología (NTFS, New Technology File System).
• Directivas de red alámbrica (IEEE 802.3) Controla el acceso a la red mediante tarjetas
inteligentes y otros dispositivos seguros. Implemente Single Sign-On para la red alámbrica.
• Firewall de Windows con seguridad mejorada Controla la configuración de la firewall del
servidor y el equipo cliente.
• Directivas de red inalámbrica (IEEE 802.11) Controla el acceso a la red mediante tarjetas
inteligentes y otros dispositivos seguros. Implemente Single Sign-On para la red inalámbrica.
• Directivas de clave pública Reagrupa todas las directivas relacionadas con PKI. Por ejemplo,
EPS, autoridades de certificado raíz de confianza, asignación automatizada de certificados y más.
• Directivas de restricción de software Controla cuál software tiene permiso de ejecución
en la red.
• Protección de acceso a redes Controla el comportamiento y el estado de la conexión de los
equipos que no cumplen requisitos de salud.
• Directivas de seguridad IP en Active Directory Controla configuraciones de comunica-
ción segura entre clientes y servidores.
El sistema de ayuda de WS08 ofrece información completa acerca de cada una de estas con-
figuraciones de seguridad. De éstas, sólo las primeras seis se ven afectadas por las plantillas y tres
de las demás (configuración de servicios del sistema, registro y del sistema de archivos) son ideales
para aplicar localmente plantillas de seguridad porque controlan el acceso a tipos de objetos espe-
cíficos. La aplicación de derechos de control de acceso a archivos, carpetas y registro, y la configu-
ración de servicios del sistema pueden consumir mucho tiempo. Por tanto, es mejor mantener esta
configuración en plantillas de seguridad locales en lugar de configurarlas directamente en el nivel
de GPO, porque las plantillas de seguridad locales se aplican manualmente (o automáticamente
mediante calendarios que usted controla), mientras que los GPO se están aplicando de nuevo de
manera constante en los sistemas en un dominio de Servicios de dominio de Active Directory.
NOTA Los GPO se actualizan cada cinco minutos en DC y cada noventa minutos en servidores y
estaciones de trabajo.
Asegúrese de que su estrategia de GPO no afecta a estas tres áreas si decide configurar
mediante directivas de seguridad locales debido al orden de aplicación de GPO. Las directivas de
seguridad locales se establecen al arranque del equipo, y siempre se sobrescriben con configura-
ciones que entran en conflicto con los objetos de directiva de grupo.
A diferencia de versiones anteriores de Windows Server, 2008 no incluye plantillas predeter-
PARTE V
minadas con el sistema. Sin embargo, hay plantillas aplicadas a ciertas funciones del sistema. Por
ejemplo, los DC incluyen una plantilla DC. Las plantillas predeterminadas, cuando están dispo-
nibles, se almacenan bajo %SYSTEMROOT%\SECURITY\TEMPLATES. Revise cuidadosamente
la configuración de estas plantillas antes de aplicarlas. Notará que incluso las propias plantillas
de Microsoft sólo se aplican a las tres configuraciones centrales: servicios del sistema, archivos y
registro.
Además, la Windows Server 2008 Security Guide incluye plantillas basadas en función para
servidores y miembros en general, controladores de dominio, y servidores de aplicación, de ar-
chivo e impresión, de infraestructura de red y Web que ejecutan IIS. Todas están basadas en una
plantilla base. Existen dos directrices: una para los servidores miembro y una para los controlado-
res de dominio. Además de la base del servidor miembro, hay plantillas incrementales para cada
función del servidor miembro identificadas antes.
La WS08 Security Guide no es la única fuente de plantillas de seguridad de base. La U.S. Na-
tional Security Agency (NSA) ofrece plantillas para descarga, además de documentación completa
de seguridad sobre varios servicios y características de Windows 2000 (seguramente pronto seguirá
con Windows Server 2008). Estas plantillas están disponibles en www.nsa.gov/snac. La documenta-
ción y las plantillas de la NSA son una fuente excelente para recomendaciones de seguridad.
El Center for Internet Security (CIS) también es una fuente excelente de plantillas de segu-
ridad. Sus plantillas están basadas en la función e incluyen la cobertura del sistema operativo
básico para estaciones de trabajo y servidores, además de cobertura del servidor de información
de Internet. Sus plantillas se encuentran en www.cisecurity.org.
Por último, pueden adquirirse plantillas de comercializadores como NetIQ, Symantec, Quest
y muchos otros.
PRECAUCIÓN La aplicación cuidadosa de plantillas de seguridad, sobre todo aquellas con las que no está
familiarizado, puede impedir la ejecución de los sistemas. Debido a que las plantillas de seguridad mo-
diicarán las coniguraciones de seguridad predeterminadas de los sistemas del equipo, es esencial que
las aplique en un ambiente de prueba antes de ponerlas en un sistema de producción. En realidad, debe
probar cada función del servidor y del equipo antes de lanzar una plantilla de seguridad a producción.
Cree plantillas de base para aplicación local

Cuando cree plantillas para aplicación local (durante la instalación del equipo, por ejemplo), lo
ideal es que empiece a partir de una plantilla base que adquirió de NSA, CIS o la Security Guide.
En cuanto a los servidores, necesita un mínimo de dos plantillas base: una para los controladores
de dominio y una para los servidores miembro. Esas plantillas de base deben incluir sólo tres tipos
de configuración: sistema de archivos, registro y servicios del sistema. (Otras configuraciones de
seguridad se cubrirán con las plantillas que se importarán en los objetos de directiva del grupo.)
Evite los servidores de varios propósitos, sobre todo los que se relacionan con la función DC.
Debido a que sus servicios son generados por máquinas virtuales, ahora es mucho más fácil de
hacer que antes. Eso significa que sólo habrá una plantilla por DC.
Necesita identificar cuáles configuraciones se adaptan mejor a su organización, pero he aquí
algunas recomendaciones para cada una de estas tres categorías:
• El registro debe ser lo más seguro posible. En primer lugar, asegúrese de que el acceso al Edi-
tor del registro está controlado en su red. Esto se hace al restringir el acceso a REGEDT32.EXE
y REGEDIT.EXE mediante un GPO. (Estas configuraciones pueden encontrarse en Configura-
ción de usuario | Directivas | Plantillas administrativas | Sistema. Evite el acceso a las herra-
mientas de edición del registro.)
• A continuación, asegure las claves específicas en el propio registro. La manera más fácil de
asegurar las claves y las colmenas del registro es propagar permisos heredables de la clave
principal hacia las subclaves. Pero en algunos casos, tal vez esto no sea posible.
PRECAUCIÓN El registro de Windows Server 2008 ya tiene un control muy estricto, de modo que
no es necesario que asegure más sus claves. Sea cuidadoso cuando decida bloquear aún más el
acceso al registro, porque puede afectar la operación de su software.
• También asegure archivos y carpetas. Lo ideal es que asegure las carpetas en lugar de los
archivos. Una vez más, la propagación es preferible pero no siempre es aplicable aquí.
• Sea cuidadoso cuando asegure archivos y carpetas que no modifiquen las configuraciones de
seguridad en objetos que están asegurados automáticamente en WS08. Por ejemplo, no es una
buena idea reemplazar las configuraciones de seguridad en la carpeta Documents and Settings
porque WS08 debe administrar estas configuraciones cada vez que crea un nuevo perfil de usuario.
• Además, establezca servicios de sistema en el modo de inicio apropiado: Automático para
servicios que deben iniciar cuando se arranca el equipo, Automático (inicio demorado),
para servicios que deben iniciar pero que no son necesarios al arranque, Manual cuando un
usuario o un proceso tiene permiso de iniciar un servicio pero no es necesario que inicie auto-
máticamente y Deshabilitado cuando el servicio no es necesario. Tal vez considere la elimina-
ción de servicios que estén en estado deshabilitado.
SUGERENCIA Windows Server 2008 incluye endurecimiento del servicio, una característica que
protege los servicios, como opción predeterminada. Cada servicio usa privilegios reducidos para
acceder a recursos y está diseñado para acceder sólo a los recursos especíicos que necesita para
ejecutarse apropiadamente.
• Por último, puede aplicar seguridad a cada servicio, limitando los derechos de acceso para
iniciar, detener y controlar de manera adicional los servicios. Si establece seguridad en los
servicios, asegúrese de que siempre incluye el grupo Administradores y la cuenta Sistema; de
otra manera, puede encontrar problemas al iniciar el servicio. Como opción predeterminada,
tres objetos tienen acceso: Administradores, la cuenta Sistema y el grupo Interactive.
PRECAUCIÓN Desde Windows Server 2003, hay dos cuentas de “sistema”: NetworkService y Lo-
calSystem. La primera tiene menos privilegios que la segunda y debe usarse para iniciar servicios
en servidores de alto riesgo. Si alguien se las ingenia para controlar un servicio y quiere usarlo
para controlar una máquina, no tendrá los privilegios para lograrlo.
Conigure las plantillas de seguridad

Una vez que ha identificado las claves de registro, los archivos, las carpetas y los servicios que
quiere modificar, puede pasar a la creación o modificación de sus plantillas de seguridad. Lo
primero que necesita es crear una consola Plantillas y configuración de seguridad, porque no está
disponible como opción predeterminada.
1. Vaya al menú Inicio, seleccione Ejecutar, escriba MMC y luego oprima ENTER.
PARTE V
2. En la consola MMC, seleccione Archivo | Agregar o quitar complemento.
3. En el cuadro de diálogo Agregar o quitar complemento, seleccione Plantillas de seguridad y
haga clic en el botón Agregar. Repita la operación con el complemento Configuración y análisis
de seguridad. Haga clic en Aceptar para regresar a la consola. Vaya a Archivo | Guardar, asigne a
la consola el nombre Consola de seguridad y haga clic en Guardar (vea la figura 10-6).
4. Puede agregar sus propias plantillas mediante esta consola. Como opción predeterminada,
las nuevas plantillas se localizarán en DOCUMENTS\SECURITY\TEMPLATES. Para crear una
nueva plantilla, haga clic con el botón derecho en la carpeta y seleccione Nueva plantilla.
Asígnele un nombre y una descripción, y haga clic en Aceptar para crearla. Observe que está
empezando la plantilla desde cero y necesitará definir todos los valores. Vaya a su nueva plan-
tilla y modifique sus parámetros. Expanda la plantilla para ver sus componentes.
5. Para establecer la seguridad del Registro, haga clic con el botón derecho en Registro y selec-
cione Agregar clave. En el cuadro de diálogo Agregar clave, localice la clave que desee ase-
gurar y haga clic en Aceptar. Decida si quiere propagar permisos a subclaves, restablezca los
permisos en subclaves o bloquee el reemplazo de permisos en esta clave. Use el botón Editar
seguridad para establecer los derechos de seguridad apropiados y haga clic en Aceptar. Repita
con cada clave o subclave que desee asegurar.
6. Para establecer la seguridad de archivo o carpeta, haga clic con el botón derecho en Sistema de
archivos y seleccione Agregar archivo. En el cuadro de diálogo Agregar archivo o carpeta, loca-
lice el archivo o la carpeta que desee asegurar. Y haga clic en Aceptar. Establezca los derechos
de seguridad apropiados y haga clic en Aceptar. Decida si quiere propagar permisos al archivo
o la carpeta, restablezca los permisos en el archivo o la carpeta, o bloquee el reemplazo de
permisos en este archivo o carpeta. Repita con cada archivo o carpeta que desee asegurar.
7. Para establecer la seguridad en los servicios del sistema, seleccione Servicios del sistema. Haga
doble clic en el servicio apropiado en el panel de la derecha, seleccione Definir esta confi-
guración de directiva en la plantilla, seleccione el modo de inicio y, si es necesario, haga clic
en Modificar seguridad, para modificar la configuración de seguridad. Haga clic en Aceptar,
cuando haya terminado. Repita para cada servicio que desee modificar.
SUGERENCIA Asegúrese de hacer doble clic en el nombre de la plantilla y seleccione Guardar, antes
de salir de la consola.
Puede usar esta consola para crear su propia plantilla o modificar las que obtenga de otras
fuentes. Asegúrese de probar por completo cualquier plantilla que desee implementar.
FIGURA 10-6 Consola de coniguración de seguridad personalizada.

Use plantillas de seguridad locales

Las plantillas de seguridad locales pueden aplicarse de dos maneras: mediante una herramien-
ta gráfica llamada Configuración y análisis de seguridad, o mediante una herramienta de línea
de comandos llamada SECEDIT. Ambas tienen sus usos. Ambas pueden usarse para analizar y
configurar un sistema con base en una plantilla de seguridad.
Configuración y análisis de seguridad es un complemento de MMC que proporciona una
vista gráfica de la configuración y el análisis del sistema. Esto puede ser muy útil, porque de-
pende de la misma interfaz que se usa para crear plantillas o modificar objetos de directiva de
grupo. Este complemento ya se ha aplicado a su nueva consola de seguridad. Esto le da una sola
herramienta para crear, modificar, aplicar, analizar e importar configuraciones de directiva de
seguridad.
Para analizar un equipo y compararlo con una directiva de seguridad determinada, utilice el
siguiente procedimiento:
1. Haga clic con el botón derecho en Configuración y análisis de seguridad dentro de su consola
de seguridad, y seleccione Abrir la base de datos.
2. En el cuadro de diálogo Abrir base de datos, localice la base de datos apropiado o escriba un
nuevo nombre de base de datos, y luego haga clic en Abrir. La ruta de acceso predeterminada
es DOCUMENTS\SECURITY\DATABASES.
3. A continuación, debe seleccionar la plantilla de seguridad que desee usar para analizar. Esto
debe ser una plantilla que se ha preparado de antemano. Seleccione la plantilla apropiada y
elija Aceptar.
4. Para analizar su sistema, haga clic con el botón derecho en Configuración y análisis de seguri-
dad, y seleccione Analizar el equipo ahora.
5. Como toda operación de análisis o configuración requiere un archivo de registro, aparece un
cuadro de diálogo que le pide su localización. El parámetro de ruta predeterminada es DO-
CUMENTS\SECURITY\LOGS, y el nombre predeterminado es el mismo que la base de datos.
Escriba el nombre de un nuevo archivo de registro, utilice el botón Examinar para localizar un
archivo existente, o haga clic en Aceptar para aceptar el nombre predeterminado.
6. El análisis empieza. Una vez que se ha terminado, puede ver la diferencia en configuración
entre la plantilla y el equipo. Simplemente vaya a un parámetro que desee ver y selecciónelo.
Las diferencias (si las hay) se desplegarán en el panel de la derecha.
7. También puede ver el archivo de registro. Para ello, haga clic con el botón derecho en Confi-
guración y análisis de seguridad y seleccione Ver el archivo de registro. El archivo de registro
PARTE V
se desplegará en el panel de la derecha. Para regresar a la base de datos, simplemente quite la
marca de verificación de la opción Ver el archivo de registro, en el menú contextual.
8. Puede modificar la configuración de la base de datos para que se amolde a los valores que de-
see aplicar al mover el valor apropiado y hacer doble clic en él. Seleccione Definir esta directi-
va en la base de datos, modifique la configuración y haga clic en Aceptar.
9. Use el botón derecho del ratón para desplegar el menú contextual de Configuración y análisis de
seguridad, y seleccione Guardar para almacenar las modificaciones que haga a la base de datos.
10. Para configurar un equipo con los parámetros de la base de datos, seleccione Configurar el
equipo ahora, del mismo menú contextual. Una vez más, necesitará especificar la ubicación y
el nombre del archivo de registro.
11. Cierre la consola de seguridad cuando haya terminado.
SUGERENCIA También puede usar Coniguración y análisis de seguridad para capturar los paráme-
tros a partir de una máquina existente. Para ello, debe modiicar todos los parámetros que requiere
en la máquina modelo, crear una nueva base de datos, importar una plantilla, analizar el equipo,
veriicar que todos los parámetros son apropiados y exportar la base de datos resultante a un
nuevo archivo de plantilla. Exportar plantilla se encuentra una vez más en el menú contextual del
complemento Coniguración y análisis de seguridad.
También puede volver automática la aplicación de plantillas a diferentes máquinas mediante

el uso del comando SECEDIT. Un comando típico para ello se vería así:
secedit /configure /db /nombrearchivo.sdb /log nombrearchivo.log
Además, el uso del interruptor /verbose creará un archivo de registro que es muy deta-
llado. Si no se especifica un archivo de registro, SECEDIT registrará automáticamente toda la
información en el archivo SCESRV.LOG en la carpeta %WINDIR%\SECURITY\LOGS.
Pero debido a que la plantilla de seguridad local sólo afecta al sistema de archivos, el regis-
tro y los servicios del sistema, debe asegurarse de que el comando que use se aplica sólo a esas
partes de la plantilla. Para hacerlo, use el siguiente comando:
secedit /configure /db /nombrearchivo.sdb /log nombrearchivo.log /areas REGKEYS
FILESTORE SERVICES /quiet
Este comando asegurará que sólo se apliquen las áreas apropiadas, garantizando la aplica-
ción de su directiva de seguridad por escrito. Además, el interruptor /quiet asegurará que no se
dé salida a comentarios durante la aplicación de la plantilla.
Este comando SECEDIT puede insertarse en una instalación automatizada del sistema para
asegurar que los equipos están asegurados en cuanto se instalan (mediante el archivo de res-
puesta Unattend.xml, tema que se analizó en el capítulo 4).
SECEDIT también es útil para la verificación de configuración de seguridad regular, porque
también incluye el interruptor /analyze. Tanto el análisis como la configuración pueden auto-
matizarse mediante el Programador de tareas, del Panel de control. El comando SECEDIT debe
capturarse en una secuencia de comandos para que funcione la automatización.
No son las únicas operaciones que pueden realizarse mediante SECEDIT. Sabrá más acerca
de este comando mediante el sistema de ayuda de WS08, o con sólo escribir SECEDIT en el indi-
cador de línea de comandos.
SUGERENCIA Realice esta operación en un servidor de prueba que se ejecute dentro de una máqui-
na virtual. Esto facilitará la corrección de errores.
Mejores prácticas de las plantillas de seguridad

Hay que recordar unos cuantos puntos cuando se utilizan plantillas de seguridad:
• Las configuraciones ingresadas en la plantilla de seguridad no se almacenan en el GPO hasta
que se ha importado la plantilla de seguridad.
• La plantilla de seguridad puede volverse a aplicar de manera regular para asegurar que los
parámetros que se han modificado se restablecen a los valores apropiados.
• Al aplicar una plantilla mediante SECEDIT se aplica de nuevo a la directiva local. Cualquier confi-
guración que se aplica mediante una directiva de grupo sobrescribirá la configuración de la directi-
va local. Por esto, debe limitar la configuración local a archivos, carpetas, el registro y los servicios.
• Si decide usar la opción Borrar base de datos cuando importe plantillas en GPO, esto significa
que nunca debe modificar configuraciones de seguridad en su GPO directamente, debido a
que estas modificaciones se sobrescribirán cuando importe una plantilla.
• Documente siempre sus cambios de GPO, aunque estén almacenados en una plantilla de
seguridad.
Las plantillas de seguridad son útiles, pero Windows Server 2008 incluye una herramienta
mucho más poderosa que puede permitirle controlar muchos elementos de seguridad más: el
Asistente para configuración de seguridad.
Vaya más allá de las plantillas de seguridad con el Asistente para coniguración de seguridad
Como tal vez ya lo sepa, las plantillas de seguridad sólo atienden una cierta selección de los ele-
mentos que necesita controlar para crear una directiva de seguridad completa. El Asistente para
configuración de seguridad va más allá de las plantillas de seguridad que podría crear. También
puede importarlas para incluir sus configuraciones en cualquier elemento que aplique mediante
el asistente. Además, le permite configurar lo siguiente:
• Endurezca la configuración de servicio mediante las configuraciones basadas en función.
• Endurezca la seguridad de red.
• Endurezca la configuración de registro.
• Implemente una directiva de auditoría.
Éstos son los controles predeterminados que encontrará en el Asistente para configuración
de seguridad. Le permite controlar la seguridad de IIS, siempre y cuando seleccione la función
Servidor Web en la página Funciones de servidor del asistente. Tal vez la mejor parte del Asisten-
te para configuración de seguridad sea que proporciona explicaciones completas para cada confi-
guración que modificará. Por lo menos, tiene un solo lugar para determinar qué configuración de
seguridad particular modificará y por qué la modificará (vea la figura 10-7).
Además, el asistente incluye una línea de comandos correspondiente, SCWCMD.EXE, que
le permite aplicar en masa las directivas de seguridad generadas mediante la interfaz gráfica del
Asistente para configuración de seguridad. Éste produce salida en formato XML, que es in-
compatible con GPO, como opción predeterminada. Para convertir la salida del asistente en un
formato legible para inclusión en un GPO, debe usar la siguiente línea de comandos:
scwcmd transform /p:Archivodirectiva.xml /g:nombreGPO
Esto transforma el archivo XML en un nuevo GPO, y debe ejecutarse con privilegios
PARTE V
de administrador de dominio. Las directivas se guardarán bajo la carpeta %SYSTEMROOT%\
SECURITY\MSSCW\POLICIES. El GPO resultante incluirá el contenido del archivo XML del
Asistente para configuración de seguridad en varias secciones del GPO. Estas configuraciones
incluyen el contenido de la configuración de seguridad, las directivas de Seguridad IP y Firewall
de Windows. Las directivas del asistente son mucho más poderosas que cualquier componente
individual para aplicación de seguridad en Windows. Este nuevo GPO debe vincularse entonces
con las OU apropiadas para poderse aplicar.
PRECAUCIÓN No es posible la coniguración IIS mediante directivas de grupo. Las coniguraciones

de seguridad de IIS deben aplicarse mediante SCWCMD o el propio Asistente para coniguración de
seguridad.
FIGURA 10-7 Trabajo con el Asistente para coniguración de seguridad.
Puede usar el Asistente para configuración de seguridad para crear nuevas directivas, editar
existentes, aplicar directivas y, la que es tal vez su mejor característica, revertir la asignación de
una directiva de seguridad. Las directivas de seguridad se generan a partir de la configuración de
un servidor base. Lo ideal es que cree servidores base para cada función que pretenda implemen-
tar, que elabore una directiva de línea de base a partir de cada uno de estos servidores y que apli-
que la directiva cada vez que trabaje con un nuevo servidor para cualquier función determinada.
SUGERENCIA Conocerá más información acerca de Asistente para coniguración de seguri-

dad en http://technet2.microsoft.com/windowsserver/en/library/38f0693d-59eb-45ca-980d-
31fe03eb54df1033.mspx?mfr=true.
Asegure recursos mediante el control de dispositivos

Windows Vista introdujo una nueva capacidad para el sistema operativo: la posibilidad de con-
figurar controles de dispositivos móviles mediante el uso de directivas de grupo. Esto se hace
mediante el control de instalaciones de dispositivos. Esto le permite controlar cuáles dispositivos
puede instalar en un sistema. Por ejemplo, evitará que un usuario malicioso inserte un disco duro
extraíble y se vaya con su información confidencial.
En esencia, creará una lista aprobada de dispositivos en su red y la incluirá en su GPO.
Por ejemplo, podría permitir que los usuarios instalen ratones y teclados USB, pero evitar que
instalen dispositivos de memoria Flash o unidades de discos externos. Los iPod de Apple, por
ejemplo, son en realidad unidades de disco que pueden usarse para transportar cantidades muy
grandes de información, sobre todo los modelos más grandes. Lo mismo se aplica a Pocket PC o
teléfonos inteligentes. Debido a que no puede prohibir el uso de estos tipos de dispositivos en su
red, debe controlar su uso mediante un GPO diseñado de manera apropiada.
Asegúrese de implementar controles de dispositivos extraíbles en el almacén de recursos
para que nadie pueda conectar una unidad USB a un servidor y usarla para eliminar copias de
sus máquinas virtuales. Además, debe implementarlos en PC vinculadas al ofrecimiento de

servicios virtual para asegurar que nadie puede usar una PC para conectar un dispositivo y pasar
de alguna manera el dominio de ofrecimiento de servicios virtual al dominio del almacén de
recursos y robar máquinas virtuales. La mejor protección es la protección completa.
SUGERENCIA Para conocer más información acerca de la implementación de controles de dis-

positivos extraíbles para las redes de ofrecimiento de servicios virtual, vaya a http://technet2.
microsoft.com/windowsserver2008/en/library/bab0f1a1-54aa-4cef-9164-139e8bcc44751033.
mspx?mfr=true.
Endurezca los sistemas con Cifrado de unidad BitLocker

Con el lanzamiento de Vista, Microsoft introdujo el Cifrado de unidad BitLocker. BitLocker le
permite cifrar el contenido de su volumen de sistema operativo para que los atacantes maliciosos
no tengan acceso a él. BitLocker se usa principalmente para sistemas móviles o que contienen
datos confidenciales y que abandonan sus oficinas.
BitLocker también puede usarse para proteger las unidades del servidor, porque WS08 da
soporte completo a sus capacidades. Por ejemplo, podría aplicar BitLocker a todas sus máquinas
virtuales para que incluso en caso de que alguien robe los archivos que lo integran, no pueda
acceder a los datos que residen en ellos; sin embargo, ésta es una medida extrema que sólo se
aplicaría en entornos muy seguros, porque cualquier cifrado agrega cierta cantidad excedente de
trabajo a la operación de un servidor. Un escenario más probable es el cifrado de unidades de
servidor host que se encuentran en oficinas remotas. De esta manera, si alguien se lleva un servi-
dor físico de una oficina remota, no sólo no tendrá acceso a ninguna de sus máquinas virtuales,
sino que sus servidores hosts estarán protegidos.
Para tener la capacidad de usar BitLocker, su sistema debe tener las siguientes especificaciones:
• Incluir dos particiones NTFS: un volumen de sistema y uno de sistema operativo. El de siste-
ma es la partición de arranque y sólo requiere alrededor de 1.5 GB de espacio.
• Incluir una unidad flash USB y un BIOS que permitan la lectura y escritura a una unidad Flash
USB al arranque.
• De manera ideal, incluir un microchip de Módulo de protección de confianza (TPM, trusted
Protection Module) versión 1.2.
• De manera ideal, incluir un BIOS compatible con el grupo de computación confiable (TCG,
Trusted Computing Group).
PARTE V
Como observará, BitLocker puede ejecutarse mediante el uso de una unidad Flash USB
externa. Esta unidad almacena la clave cifrada que se usa para bloquear y desbloquear la parti-
ción del sistema operativo. Sin embargo, el uso de una unidad USB es un riesgo, porque puede
perderse o ser robada. Por eso, lo ideal es usar un servidor que tenga los componentes completos
de TPM. En este caso, la clave de cifrado estará almacenada de manera segura dentro del chip
TPM y no puede ser robada.
Si los servidores host que usa para oficinas remotas incluyen estas capacidades, puede tratar
de cifrar su contenido, y luego usar el siguiente procedimiento.
1. Empiece por crear dos particiones durante la instalación. Ambas particiones deben ser prima-
rias. Además, la más pequeña debe establecerse como activa. Ambas particiones deben estar
formateadas con NTFS. Puede usar el medio de instalación para crear estas particiones. Confíe
en el comando DISKPART cubierto en el capítulo 4 para ello.
2. Instale Server Core en la partición del sistema operativo.
3. Una vez que esté instalado Server Core, realice las configuraciones posteriores a la instalación
encontradas en el capítulo 4.
4. A continuación, instale la característica BitLocker:
start /w ocsetup BitLocker
Reinicie el sistema una vez que BitLocker esté instalado.
5. Una vez que se reinicie el sistema, estará listo para configurar BitLocker. Empiece por hacer
que BitLocker despliegue las unidades compatibles. Asegúrese de ir a la carpeta apropiada
para hacerlo:
cd\windows\system32
cscript manage-bde.wsf -status
6. Ahora, cifre la unidad del sistema:
cscript manage-bde.wsf –on C: -RecoveryPassword ClaveNumérica –RecoveryKey
UnidadBitLocker -StartupKey UnidadBitLocker
UnidadBitLocker es la letra de la unidad que dio a la partición del sistema. ClaveNumérica es un
número de 48 dígitos, dividido en 8 grupos de seis dígitos, que emplea guiones para separar los
grupos. Cada grupo de seis dígitos debe dividirse entre 11 pero no puede ser mayor de 720,896.
7. Puede repetir este comando para cifrar cualquier otra unidad de su servidor host.
Así es: un comando simple con resultados poderosos. Asegúrese de proteger la clave de
cifrado, y de guardar la contraseña de recuperación.
PRECAUCIÓN El uso de BitLocker afectará el arranque del servidor. Tenga cuidado con el modo
de autentiicación que use, porque tal vez necesite estar presente físicamente cuando reinicie los
servidores. Por ejemplo, esto tendría efecto en su capacidad para parchar servidores de manera
remota.
SUGERENCIA Conocerá más información acerca de BitLocker en www.microsoft.com/whdc/system/

platform/hwsecurity/default.mspx.
Instale herramientas antimalware

Otra capa de seguridad en todos los sistemas es el motor antimalware. La implementación de un
entorno de seguridad completo requiere el uso de un antivirus, un antispam, un antispyware muy
completos y una solución general de eliminación de malware. Ésta no es una función de Windows
Server 2008, pero WS08 sí ofrece interfaces de programación de aplicaciones (API, Application Pro-
gramming Interfaces) para dar soporte al rastreo de archivos y objetos en un sistema. También inclu-
ye Windows Defender, el motor gratuito antispyware de Microsoft; pero un antispyware por sí solo
no es suficiente. Por esto Microsoft ha trabajado mucho con fabricantes de antimalware para asegurar
que sus soluciones funcionen bien bajo tensión y de manera confiable en cualquier situación.
Una solución antimalware completa debe incluir los siguientes elementos:
• Administración central de clientes y servidores.
• Instalación e implementación automáticas en máquinas cliente y servidor.

• Una consola de administración de Microsoft (MMC, Microsoft Management Console) para
tareas de administración.
• Descarga automática de nuevas firmas antimalware.
• Calendarios variables de descarga para distribuir la carga de trabajo de descarga.
• Implementación automática de firmas para todos los clientes.
• Rastreo automático del sistema.
• Recolección central de todos los resultados de rastreo.
• Generación de alertas en el descubrimiento de malware.
• Capacidades de eliminación de rootkits.
• Integración y soporte a Server Core.
• Cuarentena central de malware detectado y limpieza automática del equipo.
• Detección de comportamiento inusual para localizar malware desconocido.
• Proporción de administración basada en directivas.
• Soporte a inspección del sistema de correo electrónico y base de datos.
• Soporte del fabricante a limpieza de malware.
Una de las mejores soluciones en el mercado, hoy en día, es Symantec Endpoint Security, de
Symantec Corporation (www.symantec.com/enterprise/products/category.jsp?pcid=2241). Es tan
simple implementarlo que un administrador sin experiencia en el producto puede tenerlo imple-
mentado y completamente funcional, incluida la administración de actualización automática, ¡en
una hora! Una vez implementado, no debe hacer nada más, porque actualizará automáticamente
todos los sistemas e instalará a sí mismo en cualquier nuevo sistema que se una al dominio.
Cualquiera que sea la solución que seleccione, asegúrese de que está aplicada y funcionando
plenamente antes de que proporcione cualquier medio para conectarse al mundo exterior en su
red paralela de ofrecimientos de servicios virtuales.
PRECAUCIÓN Asegúrese de implementar su solución antimalware en el almacén de recursos antes

de efectuar otra en los ofrecimientos de servicios virtuales.
Use directivas de restricción de software

Su estrategia antimalware no puede completarse sin soporte de Windows Server 2008 y directivas de
grupo. WS08 incluye un conjunto especial de configuraciones de GPO que identifican el código que
está permitido ejecutar y operar dentro de una red. Éstas son las directivas de restricción de software.
PARTE V
Este conjunto de configuraciones de GPO le permite controlar código desconocido en su red.
Aunque la directiva de restricción de software le permite controlar más de 38 tipos de archivos
(en esencia, cualquier cosa que se vea como código), hay dos tipos de archivo que debe controlar
por completo: secuencias de comandos y macros. Casi todas las amenazas desconocidas vienen
en la forma de uno de estos dos tipos de archivo. Como usted controla lo que ocurre en su red,
debe identificar explícitamente las secuencias de comandos y las macros que están autorizadas
para ejecutarse en su red.
La manera más fácil de hacer esto consiste en firmar digitalmente sus secuencias de coman-
dos y macros. La firma coloca un certificado PKI dentro del código. Puede definir directivas de
restricción de software que bloqueen todas las secuencias de comandos y macros, excepto las fir-
madas con su certificado. Las directivas están definidas en Configuración del equipo | Directivas
| Configuración de Windows | Configuración de seguridad | Directivas de restricción de software
del menú contextual. Luego debe identificar las extensiones que desee deshabilitar, cambiar la
directiva básica e identificar el certificado en que debe confiar. Asegúrese de que no incluya las
directivas de restricción de software del menú contextual. Luego debe identificar las extensiones
que desee deshabilitar, cambiar la directiva básica e identificar el certificado en que se confiará.
Asegúrese de que no incluye la directiva dentro de la directiva de dominio predeterminada. De
esa manera, si tiene que desactivarla por alguna razón, no desactivará su directiva de seguridad
de dominio global. También debe incluir los archivos del Instalador de Windows dentro de esta
directiva para asegurar que sólo está instalado código aceptado en sus redes.
En el caso de almacenes de recursos, asigne esta directiva a todo el dominio. Esto afectará a
todos los servidores host. En el caso de ofrecimientos de servicios virtuales, podría sentirse satis-
fecho con la asignación de esta directiva sólo a la PC. En ese caso, asígnela mediante el GPO PC
global que se aplica en el nivel de la OU PC.
Seguridad general de Servicios de dominio de Active Directory

Servicios de dominio de Active Directory es también un área que requiere una seguridad consi-
derable. En realidad, todo el diseño de los directorios que ha creado a la fecha se ha hecho con la
seguridad en mente. El almacén de recursos depende de un solo bosque de dominio, que es seguro
porque sólo los administradores interactúan con él. La red de ofrecimientos de servicios virtuales usa
el concepto de dominio raíz de bosque protegido (PFRD, Protected Forest Root Domain) y de un
dominio de producción secundario. Además, el concepto de creación de unidades organizativas y la
delegación de ciertas actividades de administración en otras personas en su organización represen-
tan una parte importante de las bases de seguridad para ADDS. Pero no importa cuáles medidas de
seguridad ponga en funcionamiento en sus directorios, siempre tendrá un problema: debe confiar
implícitamente en su administración. Por supuesto, ADDS le permite limitar los derechos que otorga
a diferentes niveles de administradores; no obstante, los administradores que designe deben ser
confiables; de otra manera, todo lo que haga para asegurar el directorio carecerá de utilidad.
Un buen lugar para empezar es la imposición de hábitos administrativos seguros. Los admi-
nistradores de ADDS, tanto en el nivel de dominio como de servidor miembro, deben usar cuentas
de acceso limitado para su trabajo diario y el comando Ejecutar como administrador para realizar
tareas administrativas. Y como WS08 da soporte al uso de tarjetas inteligentes para administradores,
es una buena idea implementarlas. Esto significaría administración de dos factores para todos los
administradores de la red. WS08 da soporte completo a esto y facilita la carga de administración de
tarjeta inteligente debido a nuevas características como autoinscripción y actualización automática
de certificados de clave pública. Sin embargo, la implementación de tarjetas inteligentes es costosa,
además de que agrega otra capa de administración a un sistema que ya es complejo. Debido a esto,
debe considerar su implementación sólo en entornos más controlados.
SUGERENCIA Si trata de trabajar con tarjetas inteligentes en una sola red, entonces asígnelas en el
nivel del almacén de recursos. Esto le ayuda a asegurar primero esta importante infraestructura.
Para cerciorarse de que sus directorios ADDS son seguros, debe realizar las siguientes accio-
nes:
• Diseñe la estructura de Servicios de dominio de Active Directory con la seguridad en mente
(capítulo 5).
• Asegúrese de que cada dominio contiene por lo menos dos controladores de dominio para
proteger los datos en él (capítulo 5).
• Ejecute bosques en modo plenamente funcional para obtener beneficios de las características
de seguridad más recientes (capítulo 5).
• Coloque maestros de operaciones para máxima eficiencia de servicio (capítulo 5).
• Asegúrese de que todos los servicios relacionados con el directorio usan almacenamiento de
datos integrados al directorio, como DNS (capítulo 6).
• Asegúrese de que usa una estrategia estructurada de directiva de grupo (capítulo 7).
• Cree consolas personalizadas de sólo lectura, hasta donde sea posible (capítulo 7).
• Distribuya consolas mediante Terminal Services y asígneles permisos de sólo lectura y ejecu-
ción (capítulo 9).
• Asegúrese de que todos los datos de directorios están protegidos y sólo las personas correctas
de la organización pueden modificarlas (capítulo 6).
• Administre grupos de manera efectiva para asignar permisos en el directorio (capítulo 7).
• Asegúrese de que la información confidencial almacenada dentro del dominio está oculta de
los ojos curiosos (capítulo 7).
• Asegúrese de que sus controladores de dominio están protegidos físicamente.
• Asegúrese de que sus controladores de dominio tienen aplicadas directivas de seguridad loca-
les específicas.
• Configure las dos directivas de grupo de dominio predeterminadas antes de crear dominios
secundarios para obtener beneficios de la propagación de directivas en la creación de dominios.
• Administre sus confianzas apropiadamente para asegurar una respuesta rápida del servicio
cuando se necesite.
• Delegue sólo los derechos de administración que se requieren y nada más para los adminis-
tradores de servicios y de datos.
• Use la función de controlador de dominio de sólo lectura cuando sea apropiado.
• Controle de manera estricta los permisos de modificación y modifique los permisos de propiedad.
• Implemente una directiva de cuenta global fuerte dentro del directorio para administrador y
una fuerte para usuarios.
• Audite el acceso a objetos importantes dentro del directorio.
• Proteja la contraseña para restaurar el directorio.
• Asegúrese de que tiene una directiva de copia de seguridad de directorio muy completa (capí-
tulo 11).
• Verifique de manera regular la replicación del directorio, y supervise los registros del sistema,
PARTE V
sobre todo el de depuración (capítulo 13).
Muchas de estas actividades ya se han cubierto. Unas cuantas se cubrirán también en otros
capítulos. El resto se cubre en ésta y en la sección “Capa 4: acceso a la información”.
Seguridad dentro del directorio

En el capítulo 8 se delineó cómo podría ocultar objetos dentro del directorio mediante el uso de
listas de control de acceso discrecionales (DACL, Discretionary Access Control Lists) en objetos
de directorio. En el capítulo 7 se usó el mismo método para delegación de OU. En estos ejemplos
se demuestra cómo usan DACL los Servicios de dominio de Active Directory para aplicar segu-
ridad a sus principales. Cada principal se asegura automáticamente dentro del directorio. Como
Windows NTFS, el directorio proporciona herencia de seguridad. Esto significa que todos los
objetos secundarios heredan la configuración de seguridad del objeto principal. Lo particular de

este directorio es la manera en que se heredan los permisos.
Los permisos explícitos siempre sobrescriben los permisos heredados, aunque nieguen permi-
sos. Esto significa que es posible definir un permiso de denegación en un objeto principal y definir
uno de permitido en su objeto secundario. Por ejemplo, puede denegar el permiso Contenido de
lista en una OU y definir un permiso Permitir contenido de lista en una OU secundaria dentro de
la OU anterior. Las personas a las que se les niega el acceso a la OU principal nunca podrán ver o
modificar su contenido, ni podrán recorrer el directorio para pasar a la OU secundaria.
Y, al igual que NTFS, el directorio ofrece dos niveles de asignación de permisos. El primero
reagrupa permisos detallados en categorías como Control total, Leer, Escribir, Ejecutar, etc. Para
ver configuraciones de seguridad de un objeto, tal vez deba hacer clic con el botón derecho y
seleccionar Propiedades (dentro de una de las consolas de ADDS).
PRECAUCIÓN Necesita habilitar Características avanzadas en el menú Ver de la consola, para

poder ver la icha Seguridad en el cuadro de diálogo Propiedades del objeto.
Al hacer clic en el botón Opciones avanzadas del cuadro de diálogo se le lleva a los permisos de
seguridad detallados. Aquí están disponibles varios tipos de información. Para empezar le da acceso
a características especiales de seguridad, como Permisos, Auditoría, Propietario y Permisos efectivos.
Cada ficha delinea información diferente. La ficha Permisos, por ejemplo, identifica si los
permisos son heredados y, en ese caso, desde cuál contenedor, o si son explícitos. La ficha Audi-
toría identifica las directivas de auditoría que se aplican al objeto. La ficha Propietario presenta
una lista de los diversos propietarios de este objeto. Y, por último, Permisos efectivos le permite
identificar los permisos resultantes para un principal de seguridad determinado. Haga clic en
Seleccionar para localizar al usuario o el grupo del que desee ver los permisos efectivos.
Si quiere ver o asignar permisos específicos, regrese a la ficha Permisos y haga clic en Agre-
gar o Editar. Esto despliega el cuadro de diálogo Ingresar permisos. Aquí puede asignar permisos
específicos a usuarios o grupos.
PRECAUCIÓN Siempre es preferible asignar permisos a grupos, en lugar de a usuarios.
Este nivel de detalle puede hacer muy compleja la administración de permisos de directorio.
Siempre mantenga los permisos de su directorio lo más simple posible, y trate de usar la mayor
cantidad de permisos heredados. Detalle permisos específicos cuando delegue control a una OU.
Directivas de contraseña más inas

En un entorno ideal, impondría contraseñas muy estrictas para todos los que tienen otorgado el
privilegio de iniciar sesión en su red. Obviamente, esto sólo podría ocurrir en un mundo perfecto.
Los seres humanos siempre serán usuarios que tendrán problemas para trabajar con contrase-
ñas muy complejas o que necesitan anotar lo que usan para acceder a un sistema, si incluye una
buena cantidad de caracteres.
En el pasado, esto ha significado que debía bajar su directiva de contraseñas al mínimo común
denominador y darle una simpleza o una complejidad que sus usuarios pudieran usar. Esto se de-
bía a que los dominios de ADDS sólo podían manejar una sola cuenta y, por tanto, una directiva de
contraseña por dominio. Pero en Windows Server 2008 esto ya no es así. Esto se debe a que ADDS
incluye directivas de contraseñas más finas, que representan la capacidad de especificar varias
directivas de contraseñas dentro de un solo dominio. Junto con las directivas de contraseñas, puede
asignar diferentes restricciones de bloque de cuenta a diferentes grupos de usuarios.
SUGERENCIA Para conocer una herramienta de directiva de contraseñas múltiples más completa, bus-
que Special Operations’ Password Policy en www.specopssoft.com/products/specopspasswordpolicy.
Las organizaciones que deseen implementar una directiva de contraseña más estricta para
administradores mientras permiten que los usuarios trabajen con una directiva más suelta (por-
que no tienen acceso a contenido privilegiado, por lo menos no en el sentido en que lo tienen los
administradores) deben depender de directivas de contraseñas más finas para crear por lo menos
dos directivas de contraseñas diferentes.
NOTA Para usar directivas de contraseñas más inas, sus dominios deben estar en modo plenamente
funcional para WS08.
La creación de directivas de contraseñas más finas es muy sencilla. Empiece por determinar de
cuáles usuarios, grupos y OU pretende depender para aplicar la directiva de contraseñas más finas.
Luego llene cualquier grupo que necesite crear, defina los objetos de configuración de contrase-
ñas que necesite aplicar a las directivas y, por último, aplíquelas. Puede crear todas las directivas
que necesite, pero recomendamos por lo menos dos: una para los administradores y otra para los
usuarios. Por supuesto, puede crear muchas más, pero recuerde que cuanto más complejo haga su
entorno, más compleja será su administración y será más probable que ocurran errores.
SUGERENCIA Localizará información adicional acerca de las directivas de contraseñas más inas
en http://technet2.microsoft.com/windowsserver2008/en/library/056a73ef-5c9e-44d7-acc1-4f0
bade6cd751033.mspx?mfr=true. Encontrará instrucciones paso a paso para la implementación
de directivas de contraseñas más inas en http://technet2.microsoft.com/windowsserver2008/en/
library/2199dcf7-68fd-4315-87cc-ade35f8978ea1033.mspx?mfr=true. Para obtener una interfaz
gráica de usuario para la implementación de FGPP, vaya a http://powergui.org/entry.jspa?extern
alID=882&categoryID=46.
PARTE V
Auditoría de ADDS
WS08 soportó la auditoría de eventos de ADDS desde el surgimiento de Active Directory en
Windows 2000. Los eventos auditados se almacenaban, como opción predeterminada, en el
Registro de eventos, pero esos eventos dejaban mucho que desear, porque sólo indicaban que un
objeto había cambiado y nada más. Con WS08, Microsoft ha mejorado las capacidades de audi-
toría del directorio. Ahora no sólo puede ver exactamente lo que ha cambiado, sino también los
valores anteriores. Además, puede usar incluso estos valores anteriores para restaurar la configu-
ración que se tenía antes de los cambios.
Los directorios son entornos delicados. Con ADDS, Microsoft ha implementado un entorno
poderoso que soporta autentificación y administración. En realidad, muchas organizaciones de-
penden de este servicio de directorio que crea estructuras de directorio muy complejas y permite
que varios operadores controlen diferentes componentes del directorio. En Windows 2000, no
había rastreo ni advertencia cuando un operador efectuaba un cambio (por ejemplo, cuando
desplazaba una OU de una ubicación a otra dentro del directorio). El desplazamiento de objetos
es una proposición compleja en ADDS, debido a que puede cambiar en gran medida el compor-
tamiento del sistema, porque es posible que los GPO asignados ya no se apliquen a ellos o, peor,
que se apliquen los GPO erróneos. Por esto es que Microsoft agregó una advertencia en Win-
dows Server 2003 cada vez que los operadores movían un objeto. Sin embargo, el problema con
esta advertencia es que proporciona a los operadores la capacidad de desactivarla, regresando el
sistema a la configuración de Windows 2000 (vea la figura 10-8).
PRECAUCIÓN La advertencia acerca del desplazamiento de objetos aún está disponible en WS08.
Asegúrese de que sus operadores no lo deshabiliten para que siempre se les prevenga cuando se
desplazan objetos. Arrastrar y colocar es estupendo, pero también permite cometer errores. El
mantenimiento de estas advertencias le permite corregir posibles errores.
En WS08, Microsoft fue un paso más adelante: agregó una nueva característica de produc-
ción para objetos creados en ADDS. Cada vez que se crea un objeto, ahora está protegido contra
la eliminación como opción predeterminada. Esto significa que también está protegido contra el
desplazamiento. Para mover un objeto protegido, necesita ver su ficha Objeto, en el cuadro de
diálogo Propiedades (mediante la vista Características avanzadas) y limpiar su atributo de protec-
ción. Aunque esto recorre un largo trecho en la protección de objetos de directorio de operacio-
nes erróneas, no es suficiente. Por eso necesita habilitar la auditoría de ADDS en sus directorios.
Esta operación debe realizarse en almacenes de recursos y en ofrecimientos de servicios virtuales.
La de ADDS, como toda auditoría, es un proceso de dos pasos. En primer lugar, debe habi-
litarla en el GPO apropiado; luego debe determinar cuáles objetos necesitan auditarse y quién
debe hacerlo. Empiece por habilitar la directiva de auditoría. Como quiere auditar el contenido
del directorio, puede hacerlo dentro de la Default Domain Controllers Policy (directiva predeter-
minada de controladores de dominio).
1. Use la consola Administración de directivas de grupo para lanzar Default Domain Controllers
Policy en el Editor de directiva de grupo.
2. Vaya a Configuración del equipo | Directivas | Configuración de Windows | Configuración de
seguridad | Directivas locales | Directiva de auditoría.
3. Localice la configuración Auditar el acceso del servicio de directorio, haga doble clic en él y
configúrelo para identificar las operaciones correctas, por lo menos. También puede configu-
rarlo para identificar fallas, pero sólo si sospecha que los operadores están tratando de hacer
FIGURA 10-8
Advertencia de ADDS
cuando desplaza
objetos.
cosas que no tienen permitidas. El objetivo de esta directiva es ver lo que ha cambiado y, tal
vez, tener la capacidad de deshacerlo.
4. Cierre el Editor de la directiva de grupo.
La directiva de auditoría está habilitada. Se actualizará en cada DC cinco minutos después de
su cambio.
Ahora necesita indicar a ADDS cuáles objetos desea auditar. Por ejemplo, si quiere auditar
todos los cambios a la estructura de la OU Persona, incluido cualquier cambio a los objetos que
contiene, use el siguiente procedimiento:
1. Vaya al Administrador del servidor | Funciones | Servicios de dominio de Active Directory |
Usuarios y equipos de Active Directory. Asegúrese de que está habilitada Características avan-
zadas en el menú Ver.
2. Expanda su directorio hasta que vea la OU Persona. Haga clic con el botón derecho en ella
para ver el cuadro de diálogo Propiedades.
3. Vaya a la ficha Seguridad y haga clic en Opciones avanzadas.
4. Vaya a la ficha Auditoría. Haga clic en Agregar.
5. Seleccione Usuarios autenticados y haga clic en Aceptar.
6. En el cuadro de diálogo Entrada de auditoría para Persona, seleccione Usuario objetos des-
cendientes en la lista desplegable (el penúltimo objeto de la lista), seleccione Escribir todas las
propiedades, bajo Correcto, y haga clic en Aceptar para cerrar el cuadro de diálogo.
7. Cierre todos los demás cuadros de diálogo.
Ahora, cada vez que modifique un objeto bajo Persona, un número de ID de evento 4662
se desplegará en el Registro de eventos de seguridad. Éste es el comportamiento de todas las
versiones anteriores de Windows Server. Sin embargo, en WS08 puede ir más allá y editar cuatro
actividades más.
• Acceso al servicio de directorio
• Cambios al servicio de directorio
• Replicación del servicio de directorio
• Replicación detallada del servicio de directorio
Por desgracia, estas actividades adicionales no tienen una interfaz gráfica para habilitarlos.
Debe usar una línea de comandos. Por ejemplo, para auditar cambios en el directorio (la activi-
dad que proporciona la información más interesante) necesita escribir el siguiente comando en
cualquier DC:
PARTE V
auditpol /set /subcategory:”Directory Service Changes” /success:enable
Asegúrese de abrir un indicador de comandos con la opción Ejecutar como administrador.
SUGERENCIA Tenga cuidado con las subcategorías que habilita porque su Registro de eventos se
llenará muy rápido con eventos recién registrados.
Ahora cambie cualquier objeto bajo Persona. El sistema registrará el cambio. Para ver el
evento, vaya a Administrador del servidor |Diagnóstico | Visor de eventos | Registros de Windows
| Seguridad. Debe ver eventos normales de ADDS que tienen el número ID 4662, pero además
tiene que ver un evento 5136 (vea la figura 10-9). En realidad, la auditoría de ADDS agrega cua-
tro nuevos eventos al registro. Estos eventos se detallan en la tabla 10-3.
FIGURA 10-9 Vista de los eventos de auditoría de ADDS.
Como puede ver, diferentes configuraciones de auditoría se aplican a diferentes ID de even-

to. Lo ideal es que auditará la mayor cantidad posible en su directorio. Tendrá que asegurarse de
que tiene una buena estrategia para copia de seguridad y proteger de otra manera los registros,
porque almacenan información valiosa. Este tema se cubre en el capítulo 13.
RODC
Los controladores de dominio de sólo lectura no son un remanente de Windows NT, a pesar de
su parecido con DC de copia de seguridad (BDC, Backup Domain Controller). En NT, sólo el
principal controlador de dominio podía escribir cualquier propiedad en el directorio (todos los
demás DC están en modo de sólo lectura). Mientras que RODC se parece a BDC, ofrece signifi-
cativamente más protección que su predecesor.
Los RODC son controladores de dominio que se proporcionan con una caché especial que
puede almacenar contraseñas de usuario. Recuerde que durante el proceso de inicio de sesión,
ID de evento Descripción Entrada de auditoría requerida

5136 Se ha modiicado un atributo del objeto Propiedad de escritura
5137 Se ha creado el objeto Crea todos los objetos secundarios
5138 Se ha revertido la eliminación del objeto Crea todos los objetos secundarios
5139 El objeto se ha movido dentro del dominio Crea todos los objetos secundarios
TABLA 10-3 Nuevos eventos de auditoría de ADDS

debe tener la posibilidad de ponerse en contacto con un servidor de catálogo global para enu-
merar sus pertenencias a grupos globales sólo en caso de que haya una directiva de negación
en ellos. Si no puede conectarse a un catálogo global, entonces se niega el inicio de sesión. El
problema de ponerse en contacto con un catálogo global es que requiere una conexión WAN en
oficinas remotas. Si coloca un DC en el sitio pero sin un catálogo global, entonces cada vez que
un usuario inicia sesión necesita una conexión WAN.
Versiones anteriores de Windows Server incluían varias características para ayudarle en este
proceso. Por ejemplo, podría permitir el almacenamiento en caché de pertenencia a grupo uni-
versal del sitio. Esto le permite al usuario conectarse al catálogo global una vez y luego almace-
nar localmente las pertenencias a grupo por un periodo de ocho horas o la duración del vale de
Kerberos que se otorga al usuario. Después de ocho horas, debe ponerse en contacto de nuevo
con el catálogo global para recuperar las pertenencias.
Los RODC funcionan de manera similar al almacenamiento en caché de pertenencia a
grupo universal, pero en lugar de almacenar las pertenencias a grupo, almacenan las contraseñas
de usuario dentro de una caché protegida. Esto significa que los usuarios pueden depender de
RODC para iniciar sesión en el dominio, pero el RODC aún es un recurso protegido. En el caso
del robo del RODC, puede hacer centralmente que se restablezcan todas las contraseñas que se
almacenarán dentro del RODC, asegurando que aunque el atacante malicioso puede hackear las
contraseñas, serán de poco uso porque todas se habrán reajustado.
Además, puede controlar cuáles contraseñas pueden almacenarse en cualquier RODC en
su dominio. Observe que las contraseñas del administrador nunca se almacenan dentro de las
RODC como opción predeterminada, porque proporcionan acceso a demasiados recursos. El
almacenamiento de contraseña es una propiedad de RODC y de las cuentas de usuario. Dentro
de RODC, establece la directiva de replicación de contraseña (vea la figura 10-10). Los objetos de
usuario también incluyen una ficha Replicación de contraseña, que muestra cuáles RODC están
en la actualidad guardando en caché sus contraseñas.
FIGURA 10-10
Directiva de replicación
de contraseña de un RODC.
PARTE V
A diferencia del almacenamiento en caché de pertenencia a grupo universal, los RODC pue-
den incluir contraseñas previamente almacenadas en caché. Por ejemplo, pueden crear grupos
regionales de usuarios y obtener su RODC para llenar previamente todas las contraseñas. Esto se
hace mediante el botón Opciones avanzadas, en la ficha Directiva de replicación de contraseñas,
del cuadro de diálogo Propiedades del RODC.
Por último, puede restaurar automáticamente todas las contraseñas almacenadas en un
RODC en caso de robo. Simplemente elimine la cuenta del RODC de sólo lectura del dominio.
Una vez que confirme la eliminación, obtendrá la opción para reajustar todas las contraseñas de
las cuentas almacenadas en el RODC robado (vea la figura 10-11). Debe tomarse el tiempo de
exportar la lista de usuarios cuyas contraseñas restaura para enviarles una comunicación sobre
las razones por las que se reajustaron sus contraseñas.
SUGERENCIA Para conocer un procedimiento paso a paso para la construcción de un RODC,

vaya a http://technet2.microsoft.com/windowsserver2008/en/library/ea8d253e-0646-490c-93d3-
b78c5e1d9db71033.mspx?mfr=true.
Seguridad del sistema de archivos

El sistema de archivos es también una parte del endurecimiento del sistema operativo que da
soporte a un entorno seguro. No hay duda de que a pesar de sus fallas reportadas, NTFS es ab-
solutamente necesario y un pilar del sistema de defensa del castillo de WS08. En el capítulo 8 se
cubrieron NTFS y los permisos de recursos compartidos de manera extensa. Todas las operacio-
nes avanzadas de disco y archivo en WS08 están basadas en el uso de las últimas características
soportadas por NTFS; lo mismo se aplica al cifrado de archivos. Sin NTFS, no hay cifrado.
Uno de los aspectos importantes de la administración segura de archivos es la capacidad de
registrar todos los cambios y alertar a las organizaciones cuando ocurren cambios no autorizados.
Esto puede hacerse en alguna forma con la auditoría de acceso a archivos, pero en el caso de
FIGURA 10-11 Restablecimiento de contraseñas de un RODC robado.

archivos de datos críticos, se requiere ayuda profesional. Esta ayuda viene en la forma de una uti-
lería como Tripwire for Servers (www.tripwire.com/products/servers). Tripwire vigila todos los cam-
bios de archivos, incluso en el nivel de propiedades de suma de verificación del archivo. Por tanto,
puede alertar a los administradores cuando personal no autorizado ha modificado archivos críticos.
Además, la seguridad de NTFS ha mejorado de manera considerable en Windows Server
2008. Como los objetos ADDS, usa el concepto de herencia para aplicar permisos de acceso.
También aplica configuraciones fuertes de seguridad al grupo Usuarios para dar estabilidad. Esto
significa que los usuarios ya no pueden ejecutar aplicaciones heredadas que modifiquen archivos
localizados en carpetas sensibles, como Archivos de programa y Windows. Los administradores
deben tomar medidas especiales para asegurar que las aplicaciones heredadas operarán en siste-
mas Windows Server 2008 para usuarios normales. WS08 también incluye protección de recursos
de Windows, una característica diseñada para reparar archivos del sistema y entradas del registro
cuando son dañadas por instalación de software u otros eventos no deseados. Más información
sobre estas características está disponible en el sistema de ayuda de WS08.
El cifrado de sistema de archivos

El cifrado de sistema de archivos (EFS, Encrypting File System) es una parte de NTFS que tam-
bién desempeña una función importante en el sistema de defensa del castillo. Es poderoso por-
que su operación es transparente para los usuarios, una vez que se habilita. También proporciona
más protección de archivos de lo que lo hacen los permisos, porque en caso de que atacantes
maliciosos obtengan acceso físico a archivos cifrados, no podrán ver su contenido. Esto no es
necesariamente el caso con archivos que sólo incluyen permisos NTFS y cifrado.
SUGERENCIA La combinación de EFS con BitLocker puede darle un sistema muy protegido. En
casi todos los casos, si usa EFS entonces no requerirá BitLocker. Use éste para proporcionar
protección completa al sistema en entornos muy seguros. Use EFS para proporcionar protección a
datos conidenciales en entornos donde el sistema operativo no necesita protección estricta.
El cifrado se activa mediante las propiedades de archivo o carpeta, igual que los permisos.
También puede realizarse con el comando CIPHER. El cifrado es una propiedad de archivo (debi-
do a esto, no puede aplicarse si el archivo se ha comprimido). Estas dos propiedades son mutua-
mente excluyentes. Los archivos que son parte del sistema operativo no pueden cifrarse. Ni lo
pueden hacer los archivos encontrados en la carpeta %SYSTEMROOT%. WS08 soporta el cifrado
PARTE V
de datos contenidos en recursos compartidos de archivos. Pero los datos contenidos en archivos
cifrados localizados en recursos compartidos de red no están necesariamente cifrados cuando se
transportan del recurso compartido de archivo al equipo local. Si es necesario el cifrado comple-
to, aun en el nivel de las comunicaciones, deben usarse tecnologías adicionales como la seguri-
dad del protocolo de Internet (IPSec, Internet Protocol Security) o el protocolo de entunelamien-
to de conector seguro (SSTP, Secure Socket Tunneling Protocol).
WS08 es compatible con el cifrado de archivos sin conexión. Esta propiedad puede establecerse
en el nivel de GPO y aplicarse junto con los dispositivos de redireccionamiento de carpetas. Los
archivos cifrados se descifrarán si se copian en volúmenes que no son NTFS, de modo que debe ad-
vertirse a los usuarios las mejores prácticas para tener archivos seguros. Además, el cifrado no evita
la eliminación de archivos, sólo que vean su contenido usuarios no autorizados. Si los usuarios
tienen permisos para un directorio que incluye archivos cifrados, no podrán ver su contenido, pero
pueden tener la capacidad de eliminarlos. Los archivos cifrados se despliegan en color verde dentro
del Explorador de Windows. Esto ayuda a identificar rápidamente los archivos seguros. Una vez
más, esta información debe ser parte de su programa de comunicaciones de seguridad de usuario.
PRECAUCIÓN Para evitar la posibilidad de eliminación por parte de otros usuarios, asegúrese de
implementar enumeración basada en acceso (ABU, Access Based Enumeration) junto con EFS,
ABU debe habilitarse en cualquier caso, si no usa EFS.
El cifrado de un archivo es un proceso simple:

1. Abra el Explorador de Windows.
2. Haga clic con el botón derecho en la carpeta que desee cifrar y seleccione Propiedades.
3. Haga clic en el botón Opciones avanzadas, en la ficha General.
4. Haga clic en Cifrar contenido para proteger datos, y luego en Aceptar.
5. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades.
6. EFS le pedirá que confirme la configuración que desea aplicar. Seleccione Aplicar cambios a
estas carpetas, subcarpetas y archivos y luego haga clic en Aceptar.
7. Si no se han habilitado tareas de carpeta, EFS le pedirá que las habilite. Haga clic en Sí. Las
tareas de carpeta son parte de la nueva interfaz Temas de Windows.
Los archivos cifrados aparecerán ahora en verde en el Explorador de Windows. El uso de EFS
es tan simple como se acaba de describir, pero hay directrices:
• Debe cifrar carpetas en lugar de archivos individuales.
• Debe asegurarse de que los archivos sin conexión estén cifrados.
• Debe cifrarse toda la carpeta Documentos.
• Deben cifrarse %TEMP% y %TMP% para asegurarse de que todos los archivos temporales tam-
bién están cifrados. Use una secuencia de comandos basada en el comando CIPHER durante
la configuración del sistema para establecer estas carpetas como cifradas.
• Debe cifrar la carpeta de cola de impresión en servidores de impresión.
• Debe combinar EFS con IPSec o SSTP para asegurar el cifrado de datos de extremo a extremo.
• Debe usar una directiva de grupo para controlar el comportamiento de EFS en su red.
• Proteja al agente de recuperación y limite el número de agentes de recuperación en su red.
• Use una infraestructura de clave pública de WS08 (usando ADCS) para administrar certifica-
dos de EFS y agentes de recuperación.
EFS usa claves públicas y privadas (certificados) para administrar el proceso de cifrado y recupe-
ración. La mejor manera de administrar estos certificados es usar las características de PKI de Win-
dows. Además, para asegurar la seguridad de los archivos cifrados, debe eliminar los certificados del
agente de recuperación en un disquete para asegurar un proceso de dos factores cuando se eliminan
archivos. En las secciones siguientes conocerá más acerca de las características de PKI de Windows.
SUGERENCIA Para conocer una descripción completa de EFS y su integración con SSTP, busque
“Working with the Encrypting File System” (Trabajo con el cifrado del sistema de archivos) en
http://redmondmag.com/techlibrary/resources.asp?id=101. Para conocer una estrategia detallada
de protección busque el capítulo 12 de Deploying and Administering Windows Vista Bible,
por Cribbs, Ruest, Ruest y Nelly, publicado por Wiley.
Seguridad del sistema de impresión

La seguridad del sistema de impresión también es importante. Como se vio antes, si los archivos
están cifrados en sistemas de usuario, también deben cifrarse en recursos compartidos de cola
de impresión. La seguridad del sistema de impresión ya se ha cubierto en el capítulo 8, pero es
importante recordar aquí que dar a los usuarios permisos de administración de colas de impre-
sión significa que confía en ellos en relación con datos que en ocasiones son confidenciales. Use
la división de categorías de datos que realizó mientras trabajaba con la capa 1 del sistema de
defensa del castillo, para determinar cuáles cláusulas de impresión deben protegerse y cifrarse.
Seguridad de .NET Framework

.NET Framework es otro aspecto del endurecimiento del sistema. En primer lugar, se incluye
como elemento central del sistema operativo WS08, porque la versión 2 de .NET Framework está
instalada como opción predeterminada en instalaciones completas y la versión 3 está disponible
como una característica. En segundo lugar, proporciona funcionalidades esenciales para los servi-
cios Web. Como tales, proporciona el motor para la operación y la ejecución de los servicios Web.
Es responsabilidad de este motor determinar si el código que está por ejecutarse es confiable. El
motor en tiempo de ejecución de lenguaje común (CLR, Common Language Runtime) aplica
seguridad de dos maneras diferentes; la primera es mediante código administrado y la segunda
mediante código no administrado.
La seguridad de código administrado es el corazón de CLR. El CLR evalúa dos aspectos
del código antes de permitir su ejecución: la seguridad del código y el comportamiento de éste.
Por ejemplo, si el código usa un método que espera un valor de cuatro bytes, el CLR rechazará
un intento por regresar un valor de ocho bytes. En otras palabras, el CLR asegura que el código
administrado sea seguro y se comporte bien.
La ventaja de usar este método de seguridad consiste en que a los usuarios no debe preocu-
parles si el código es seguro antes de ejecutarlo. Si lo es, el CLR lo ejecutará. Si no, dejará de eje-
cutarlo temporalmente. Pero esto sólo se aplica a código administrado. Se permite que el código
no administrado también se ejecute, pero no obtiene beneficios de estas medidas de seguridad.
Para ejecutar código no administrado, el CLR debe usar un conjunto específico de permisos (que
pueden controlarse, pero que deben declararse globalmente).
El proceso de evaluación para código administrado

El CLR usa un proceso de evaluación de ocho pasos para el código administrado (vea la figura
10-12). Usa los siguientes pasos:
PARTE V
1. Cuando un ensamblado (una pieza de código administrado) llama a otro, el CLR evalúa el
nivel de permiso que aplica al nuevo ensamblado.
2. Lo primero que el nuevo ensamblado debe hacer es proporcionar evidencia. Ésta es, en reali-
dad, un conjunto de respuestas a preguntas planteadas por la directiva de seguridad del CLR.
3. Se plantean tres preguntas acerca del origen del ensamblado.
a) ¿De qué sitio se obtuvo el ensamblado? Los ensamblados se descargan automáticamente al
cliente desde el sitio Web.
b) ¿De cuál localizador uniforme de recursos (URL, Uniform Resource Locutor) se originó el
ensamblado? El ensamblado debe proporcionar una dirección URL específica.
c) ¿De cuáles zonas se obtuvo el ensamblado? Esto se aplica a zonas de Internet Explorer
como Internet, Intranet, Máquina local, etc. Algunas zonas son más confiables que otras.
Se produce la Se verifica el Se verifica el

Ensamblado B 2 3 4
evidencia origen nombre fuerte
1 Solicitud al 5
Se determina la
ensamblado B
directiva de Se aplica el
seguridad 6
código de grupo
Ensamblado A
Empresa
Equipo Se establece el
7
permiso del
Usuario
ensamblado
Dominio de la
aplicación
8
Evaluador de
directiva
Permiso Sí 9
Se recorre la pila
otorgado (¿los ensamblados Nivel de
10
Permiso No A y B han solicitado permiso
denegado nivel de permiso?)
FIGURA 10-12 Proceso de asignación de seguridad de .NET Framework.
4. El ensamblado debe proporcionar también un identificador criptográfico fuerte, al que se le

denomina nombre fuerte. Este identificador es único y debe proporcionarlo el autor del en-
samblado. El identificador no asegura necesariamente la identidad del autor, pero sí identifica
que el ensamblado es único.
5. La evidencia se recopila de una serie de fuentes diferentes, incluido el propio CLR, el explo-
rador, ASP.NET, el shell, etc. Una vez que se ha proporcionado la evidencia, el CLR empieza a
determinar la directiva de seguridad que se aplica. En primer lugar, aplica la evidencia contra
los grupos de código estándar. Estos grupos contienen directivas estándar, dependiendo de
la zona en que se origina el ensamblado. .NET Framework incluye grupos de código básicos,
pero los administradores pueden agregar uno propio o modificar los grupos predeterminados.
6. Una vez que se ha determinado el grupo de código, se define la directiva. Ésta puede definirse
en tres niveles, en este orden: empresa, equipo y usuario. Un cuarto nivel se relaciona con el
dominio de la aplicación. Este dominio proporciona un entorno aislado para que la aplicación
se ejecute en él. Una aplicación contenida dentro de un dominio no puede interferir con cual-
quier dominio en el mismo equipo.
7. Una vez que se ha establecido la directiva, se crea un conjunto inicial de permisos. El ensam-
blado puede afinar este conjunto de permisos de tres maneras:
a) En primer lugar, puede identificar el conjunto mínimo de permisos que se necesita ejecutar.
b) En segundo lugar, puede especificar permisos especiales. Éstos no son obligatorios.
c) En tercer lugar, un ensamblado bien portado puede rechazar los permisos que no necesi-
ta y que parecen demasiado riesgosos, lo que reduce en realidad el conjunto de permisos
asignado por el CLR.
8. El evaluador de la directiva revisa todos estos permisos.
9. Se crea el conjunto final de permisos para el ensamblado.
10. La etapa final es el recorrido de la pila. El CLR compara el conjunto de permisos con los de
otros ensamblados que están relacionados con la llamada original para éste. Si cualquiera de
ellos carece del permiso para ejecutarse con este conjunto de permisos, se niega el permiso de
ejecución; si todo es correcto, se otorga.
Internet Information Server 7.0

Como se analizó en el capítulo 9, IIS 7 es seguro como opción predeterminada, porque se ha
dividido en componentes que sólo se instalan si se necesitan. La instalación más segura es, en
realidad, la que encontrará en Server Core, porque sólo sirve a sitios Web estáticos, como opción
predeterminada. Además, Microsoft ha mejorado los modelos de seguridad existentes en versio-
nes anteriores de IIS. Por ejemplo, en versiones anteriores, IIS y ASP.NET eran entidades separa-
das. En IIS 7, ambos se han integrado en un modelo. Mientras que IIS aún permite características
anteriores, ahora tiene un solo modelo de seguridad.
Todos los sitios Web tienen un almacén de aplicaciones, que se crea automáticamente.
Esto segrega el sitio Web de todos los demás sitios o aplicaciones del sitio Web. Los almacenes
de aplicaciones se ejecutan bajo NetworkService, como opción predeterminada, una vez más
limitando los derechos de acceso que tienen en el propio servidor. Para asegurarse de que sus
aplicaciones se ejecutan bajo éste y sólo este contexto, ahora tiene que instalar el módulo de
autentificación anónima y luego asegurarse de que su archivo WEB.CONFIG para la aplicación
incluya la siguiente línea:
<anonymousAuthentication enabled=”true” username=”” defaultLogonDomain=”” />
Al dejar las entradas en blanco para nombre de dominio y de usuario, se asegura de que
NetworkService se use para generar contextos de seguridad para la aplicación que ejecuta.
Éste sólo es un ejemplo de seguridad elevada dentro de IIS. El punto clave que se debe
recordar cuando se trabaja con IIS en el nivel 3 del sistema de defensa del castillo consiste en
instalar sólo los módulos que realmente necesita y luego depender del Asistente para configura-
ción de seguridad para ayudarle a asegurar la instalación básica de IIS.
Actividades inales de endurecimiento del sistema operativo

Se necesitan dos actividades adicionales para que finalice el endurecimiento de su sistema ope-
rativo: la creación de redundancia en el sistema y la puesta en funcionamiento de operaciones re-
currentes de mantenimiento de seguridad. Redundancia del sistema significa construir resisten-
cia en sus servidores y en los servicios que entregan. La resistencia se cubrió de manera detallada
en el capítulo 8, sobre todo mediante el uso del sistema de archivos distribuido. Se cubrirá más
sobre este tema en el capítulo 11, mientras construye resistencia adicional mediante servidores
de clúster y operaciones de copia de seguridad.
En el capítulo 13 se cubrirá el mantenimiento de seguridad y el uso de algunas de las más
poderosas herramientas de verificación de seguridad de Microsoft. Además, cubrirá la adminis-
PARTE V
tración de parches de servidor y de estación de trabajo.
Capa 4: acceso a la información

La capa 4 se relaciona con la identificación del usuario y la atribución de permisos que les permi-
ten operar dentro de su red. Gran parte de esto se cubrió en el capítulo 7, en el análisis sobre la
administración de usuarios y grupos. Al igual que Windows 2003, Windows Server 2008 incluye
varios protocolos diferentes de seguridad para autentificación y autorización. El más importante
de ellos para una red interna es Kerberos, aunque NT LAN Manager (NTLM, Administración
LAN de NT) aún tiene soporte. Pero en la red paralela, NTLM es poco necesario, porque todos
los equipos están usando los sistemas operativos más recientes y los bosques están en modo
funcional completo.
Se ha dicho mucho sobre el protocolo Kerberos. Tiene muchas ventajas sobre NTLM. Es más
rápido, seguro, aceptado y fácil de usar. Una de sus mejores características es el hecho de que una
vez que ha autentificado usuarios, no es necesario que regresen al servidor para autorización.
Mientras que en NTLSM, el usuario está regresando constantemente al servidor para validación
de derechos y permisos, en Kerberos, el usuario lleva éstos dentro de la ficha de acceso que otorga
el servidor Kerberos. La ficha de acceso está en la forma de la ficha de Kerberos que se otorga al
usuario al inicio de la sesión. Además, con Kerberos, el servidor autentifica al cliente, asegurándose
de que esté autorizado para conceder al usuario acceso dentro del dominio. Por último, Kerberos
también da soporte a autentificación de dos factores. Éste puede estar en la forma de una tarjeta
inteligente o de un dispositivo biométrico, como un dispositivo de lectura de huellas digitales.
Uno de los elementos clave de un reino de Kerberos (el equivalente de un dominio) es la
estampa de tiempo. La sincronización del tiempo es esencial en Kerberos, porque el servidor de
autentificación compara la hora de la solicitud del cliente con su propio reloj interno. Si la hora
difiere un lapso superior al asignado (establecido dentro de sus directivas de cuenta), el servidor
Kerberos no autentificará al usuario. Ésta es una de las razones por las que Microsoft ha integra-
do el servicio de tiempo en la función Maestro de operaciones de emulador PDC en Servicios de
dominio de Active Directory, y es la razón por la que son tan importantes los procesos delineados
en el capítulo 6 para sincronización de tiempo de todo el bosque.
Autentiicación de tarjeta inteligente

Uno de los lugares más importantes para la autentificación de tarjeta inteligente es mediante cuen-
tas administrativas. Windows Server 2008 da soporte al uso de autentificación de dos factores para
administradores. Si quiere diseñar una estructura muy segura, debe aprovechar esta característica
para todas las cuentas que tienen una autoridad administrativa asegurada. Además, sus adminis-
tradores deben tener dos cuentas: una en el nivel de usuario para operaciones cotidianas y una
administrativa para operaciones propias de los administradores. Deben iniciar sesión como usuarios
y realizar sus actividades administrativas mediante el comando Ejecutar como administrador, em-
pleando su tarjeta inteligente para iniciar sesión. La información relacionada con la implementación
de tarjetas inteligentes para administradores se delinea más adelante, en este mismo capítulo, por-
que necesita una infraestructura de clave pública para asignar certificados a las tarjetas inteligentes.
Otra buena manera de proceder consiste en colocar las herramientas administrativas en un
servidor y permitir que los administradores accedan a estas herramientas mediante Terminal
Services, sobre todo en el modo RemoteApps. De esta manera, sólo tiene que administrar las
herramientas administrativas en unos cuantos servidores, y no necesita preocuparse por crear
estaciones de trabajo especiales para fines administrativos. Otra ventaja es que el administrador
puede usar Ejecutar como administrador para lanzar la consola administrativa en Terminal Ser-
ver. Use las instrucciones proporcionadas en el capítulo 9 para crear estas consolas. En el capítulo
13 se delinearán las herramientas que este servidor debe incluir.
Asegure la identiicación del usuario

La identificación del usuario se da en muchos niveles dentro de la red de WS08. La autentifica-
ción más obvia es mediante el dominio de ADDS. Para ello, necesita establecer directivas globa-
les de cuenta para todo el bosque y refinarlos dentro de cada dominio. Además, la autentificación
ocurre en escenarios de bosque cruzado. Recuerde que WS08 extiende la noción de confianza
transitiva del interior del bosque a varios bosques mediante confianzas de bosque. Para ello, ne-
cesita establecer confianzas. En WS08 se encuentran otras dos áreas de autentificación: servidor
Web y servicio Web o autentificación de .NET Framework. La autentificación de servidor Web se

realiza mediante IIS y usa una serie de técnicas de autentificación. La autentificación de .NET
Framework está basada en funciones y puede especificarse para cada aplicación.
Autentiicación de usuario en Servicios de dominio de Active Directory

En redes Windows, cada principal de seguridad se identifica con un número único, el ID de
seguridad o SID (Security ID). Los principales de seguridad incluyen todo, desde equipos hasta
usuarios y grupos, etc. El SID de usuario está incluido en la ficha de acceso de cada usuario.
Cuando la ficha de acceso a la información se utiliza para determinar si un usuario tiene acceso a
un objeto, los SID de usuario se comparan con la lista de SID que integran la lista de control de
acceso al diccionario (DACL, Dictionary Access Control List) del objeto para identificar el nivel
de permiso que el usuario tiene en este objeto. En otras palabras, cada principal de seguridad en
WS08 es identificado como un número, no como un nombre.
El impacto de esto es que la propiedad del objeto es identificada por SID. Cuando vuelve a crear
un objeto, como una cuenta de usuario, le asigna un SID diferente. Cuando crea la red de ofrecimien-
tos de servicios virtuales paralela, transferirá cuentas del dominio original al nuevo dominio de pro-
ducción, lo que significa que todos sus usuarios tendrán nuevos SID. Cuando esto ocurre, sus usua-
rios tendrán acceso a sus archivos y carpetas mediante su SID original. Cuando se transfieren de los
servidores de archivos que los originan a los de la red de ofrecimientos de servicios virtuales paralela,
también necesitará realizar una traducción de seguridad para reemplazar antiguos SID con nuevos.
En el capítulo 12 se delinea el procedimiento que debe utilizar para este proceso. Éstas son las claves
para una implementación correcta de una red de ofrecimientos de servicios virtuales paralela.
SUGERENCIA Un usuario tendrá varios SID durante una migración de una red a otra. En este
caso, el usuario lleva el SID de la red original además de un nuevo SID creado por el usuario en
la red de ofrecimientos de servicios virtuales paralela. A esto se le denomina historia de SID. Este
tema se cubre en el capítulo 12, mientras realiza la migración de los principales de seguridad.
Asegure la capa 4 mediante objetos de directiva de grupo

La mejor manera de administrar la autentificación, autorización y auditoría es mediante direc-
tivas de grupo. La autentificación se ha cubierto hasta cierto punto en el análisis del endure-
cimiento del sistema operativo, y sobre todo en relación con el control de acceso a directorios,
sistemas de archivos y objetos de registro. Como ha visto, los últimos dos pueden configurarse
PARTE V
mediante plantillas de seguridad. Los objetos de directorio se aseguran mientras los crea. Por
ejemplo, los procedimientos de delegación que usa cuando crea su estructura de OU son parte
de la administración de acceso a objetos de directorio.
La mejor manera de controlar el proceso de autentificación consiste en definir sus límites
mediante directivas de grupo. Hasta ahora, ha creado varios GPO diferentes para administra-
ción de objetos. Ahora puede revisar estas directivas y ver si pueden reutilizarse para fines de
seguridad. Esto también le permitirá identificar si las directivas de seguridad son obligatorias.
En la tabla 10-4 se delinean los GPO creados hasta la fecha. Cada GPO presenta la OU en que
puede encontrarse, su nombre y su objetivo. Aquí se incluyen cuatro GPO nuevos: los dos GPO
predeterminados y dos nuevos: el GPO Dominio de intranet, que se usa para almacenar configu-
raciones de dominio globales, y la GPO Servidor de base, que proporciona una primera capa de
seguridad para todos los servidores. Los nuevos GPO aparecen en negritas.
OU GPO Tipo de directiva Notas

Dominio Política de dominio pre- Equipo Contiene directivas globales de cuenta
determinada
Dominio GPO Dominio de intranet Equipo Contiene coniguraciones globales para
todos los sistemas; por ejemplo, rastreo de
la ubicación de la impresora y directivas de
restricción de software
Controladores de dominio Directiva predetermina- Equipo Contiene coniguraciones especíicas de DC
da de controladores de mediante cada dominio de la red
dominio
PC GPO PC global Equipo Se aplica a todas las PC
Escritorios GPO Escritorio global Equipo Incluye especiicaciones para estaciones de
trabajo de escritorio
PC de exhibición GPO PC de exhibición Equipo Características especiales para equipos de
global exhibición
Dispositivos móviles GPO Móvil global Equipo Incluye especiicaciones para dispositivos
móviles
Externa GPO Externa global Equipo Incluye coniguraciones básicas para PC y
no es controlada por la organización
Persona GPO Persona global Usuario Se aplica a todos los usuarios
Grupo de trabajo especial GPO Grupo de trabajo Usuario Está diseñada principalmente para que
especial usuarios de grupos de trabajo especiales
tengan acceso a su propio Escritorio remoto
Ofrecimientos de GPO Servidor de base Equipo Coniguración de seguridad básica para
servicios virtuales todos los servidores miembros
Archivos e impresión GPO Archivos e impresión Equipo Controla todos los aspectos del intercambio
global de archivos, el sistema de archivos distribui-
dos y la impresión
Servidores de aplicacio- GPO Servidores de Equipo Controla servidores de base de datos,
nes/Web dedicados aplicaciones global servidores Web de propósito general, .NET
Framework y aplicaciones corporativas
Servidores de terminal GPO Servidor de terminal Equipo Contiene coniguraciones de Terminal
global Services
Servidores de GPO Colaboración global Equipo Contiene coniguraciones para Windows
colaboración SharePoint Services, Servicios de lujo de
datos de Windows Media y otras aplicacio-
nes de colaboración
Servidores de GPO Infraestructura Equipo Contiene coniguraciones para DHCP, el ser-
infraestructura de red global vicio de asignación de nombre de Internet
y servicios de Windows (WINS) y el servicio de instala-
ción remota (RIS), además de otro software
de servidor operacional
TABLA 10-4 Lista de GPO de dominio de producción global
PRECAUCIÓN El GPO Dominio de intranet se crea para limitar las modiicaciones que hace a la
directiva predeterminada de dominio. Esto facilitará futuras actualizaciones y migraciones al
mantener las directivas predeterminadas lo más prístinas posible.
En general, se requieren 18 GPO para administrar y asegurar la red de ofrecimientos de

servicios virtuales (vea la figura 10-13). Dos que no aparecen aquí son las directivas predetermi-
nadas del dominio raíz del bosque. Cada directiva contiene información de seguridad y admi-
nistración. Podría considerar la creación de una GPO para cada fin, pero esto duplicará práctica-
mente el número de GPO que necesita administrar sin muchas razones. Lo que es importante
es documentar por completo cada GPO y usar un método estructurado de administración del
cambio para las modificaciones. Realice las modificaciones en el GPO apropiado.
Por ejemplo, para cifrar archivos sin conexión, asigne la modificación a la GPO Archivos e
impresión global, porque es la que controla la administración de archivos y esta modificación de
seguridad está relacionada con esta área.
SUGERENCIA En WS08, debe usar el comando GPUPDATE para actualizar manualmente las coni-
guraciones de GPO.
Directiva de dominio de la intranet

FIGURA 10-13 Política predeterminada de dominio
GPO de dominio
de intranet.
Directiva predeterminada de DC
GPO Servidor de base
GPO Servidor de aplicaciones global

GPO Servidor de archivos e impresión global
GPO Servidor de colaboración global
GPO Servidor de infraestructura global
GPO Servidor de terminal global
GPO PC global
GPO Escritorio global
GPO PC de exhibición especial
PARTE V
GPO Externas global
GPO Sistema móvil global
GPO Persona global
GPO Grupo de trabajo especial

Conigure las directivas de dominio predeterminadas

En los capítulos 5 y 6 se delineó la importancia de configurar las dos directivas de dominio
predeterminadas (dominio predeterminado y controladores de dominio predeterminados) en el
dominio raíz de bosque protegido. La razón para esto es que el contenido de estas directivas se
propagará a los dominios secundarios en cuanto se creen. Esto significa que las directivas prede-
terminadas deben personalizarse en cuanto el dominio raíz del bosque se haya creado.
La directiva de dominio predeterminada es la directiva de cuenta para el dominio. Debido
a que sólo una directiva puede contener información de cuenta, ésta debe definirse en una sola
área. Tenga cuidado cuando trabaje con esta directiva porque no puede desactivarse. Si comete
un error mientras edita esta directiva, afectará a todo el dominio. Ésta es una razón para tener
una estrategia estructurada de administración de cambio de directiva de grupo. En realidad, lo
que debe hacer es definir la directiva en el dominio raíz, para que esté lo más completa posible.
Esta directiva debe corresponder a la configuración necesaria por su dominio de producción se-
cundario global. Se propagará al dominio secundario tras su creación. Luego puede hacer las mo-
dificaciones necesarias en cada dominio secundario (recuerde que las cuentas genéricas se crean
sólo en dominio de desarrollo, capacitación y prueba). No hay razón para aplicar una seguridad
laxa en dominios diferentes del de producción.
Los elementos que deben cubrirse en esta directiva de cuenta se delinean en la tabla 10-5.
Todos los elementos delineados en esta tabla están en la rama Configuración del equipo | Direc-
tivas | Configuración de Windows | Configuración de seguridad de la directiva de grupo. Una vez
más, recuerde documentar todas sus configuraciones de GPO.
Sección Configuración Recomendación Comentarios

Directivas de Exigir historial de 24 contraseñas A la velocidad de un cambio de contraseña men-
cuenta|Directiva de contraseñas recordadas sual, este valor recuerda dos años de contraseñas.
contraseña
Vigencia máxima de 42 días Es más o menos un mes y medio.
la contraseña
Vigencia mínima de 2 días Esto evita que los usuarios cambien su contrase-
la contraseña ña con demasiada frecuencia.
Longitud mínima de la 8 caracteres Éste es umbral en que quienes tratan de descubrir
contraseña contraseñas empiezan a tomar demasiado tiempo
en descubrirlas.
La contraseña debe Habilitada Esto asegura que las contraseñas deban contener
cumplir los requisitos caracteres tanto alfabéticos como numéricos, en
de seguridad mayúsculas y minúsculas, además de símbolos
especiales.
Almacenar contraseñas Deshabilitado La habilitación de esta coniguración es la misma
con cifrado reversible que almacenar contraseñas en texto simple. Esta
coniguración nunca debe habilitarse.
Directivas de Duración del bloqueo 60 minutos Esta coniguración determina cuánto tiempo se
cuenta|Directiva de de cuenta bloquea una cuenta después de varios intentos
bloqueo de cuenta de inicios de sesión erróneos.
Umbral de bloqueo de Tres intentos de inicio Después de tres intentos erróneos de inicio de
cuenta de sesión no válidos sesión, la cuenta se bloquea.
Restablecer el bloqueo 60 minutos Esto debe ser igual o mayor a la duración de
de cuenta después de: bloqueo de la cuenta.
TABLA 10-5 Elementos de Dispositivo de cuenta

Sección Configuración Recomendación Comentarios

Directivas de Aplicar restricciones Habilitada (opción Esto asegura que los usuarios tengan el derecho
cuenta|Directiva de inicio de sesión de predeterminada) a acceder a recursos locales o de red antes de
Kerberos usuario otorgarles un vale de Kerberos.
Vigencia máxima del 600 minutos (opción Esto establece la duración del vale de sesión que
vale de servicio predeterminada) se usa para iniciar una conexión con un servidor.
Debe renovarse cuando se necesite.
Vigencia máxima del 10 horas (opción pre- Debe ser mayor o igual que el valor previo. Debe
vale de usuario determinada) renovarse cuando expira.
Vigencia máxima de 7 días (opción predeter- Esto detalla la duración de un vale que otorga vale
renovación de vales de minada) de un usuario. El usuario debe iniciar sesión de
usuario nuevo una vez que este vale expira.
Tolerancia máxima para 5 minutos (opción Kerberos usa estampas de tiempo para otorgar
la sincronización de los predeterminada) vales. Todos los equipos con un dominio están
relojes de los equipos sincronizados mediante los controladores de
dominio.
Grupos restringidos Dominio/Administrado- Sólo individuos Individuos de conianza seleccionados deben ser
res de empresa miembros de este grupo.
Dominio/Administrado- Sólo individuos Individuos de conianza seleccionados deben ser
res de dominio miembros de este grupo.
Dominio/Administra- Administradores de Este grupo debe contener sólo grupos de conianza.
dores empresa Administrado-
res de dominio
TABLA 10-5 Elementos de Dispositivo de cuenta (Continuación)
PRECAUCIÓN La coniguración de bloqueo de contraseña y cuenta de esta directiva es la predeter-

minada. Si quiere asignar una diferente para los administradores, por ejemplo, use las instruccio-
nes delineadas en “Directivas de contraseña más inas”, en páginas anteriores de este capítulo.
SUGERENCIA Todas las directivas de Kerberos tienen asignadas las mismas coniguraciones
predeterminadas que Windows Server, pero su modiicación explícita ayuda a sus operadores de
directiva de grupo a saber cuál es en realidad la coniguración predeterminada.
Todas estas configuraciones se aplican en el nivel del dominio para asegurar que afectan a
todos los objetos dentro del dominio. En realidad, la directiva de cuenta es una directiva de equi-
PARTE V
po. Esto significa que es posible deshabilitar la parte de la configuración del usuario del GPO.
SUGERENCIA Es importante asegurar que tiene un programa de comunicaciones fuerte para

mantener a los usuarios al tanto de la importancia de contar con una directiva de cuenta muy
completa dentro de su red. Por último, edúquelos en la protección de contraseñas y la necesidad de
renovación inmediata de contraseñas que consideren puedan estar comprometidas. Esto asegurará
que su directiva de cuenta está protegida por las mismas personas que las usan.
También debe modificarse la directiva predeterminada de controladores de dominio; para

ello, dependerá del Asistente para configuración de seguridad. También puede revisar directivas de
controlador de dominio de ejemplo de varias fuentes y tener como objetivo una configuración de
seguridad posible. Será muy importante que todos sus controladores de dominio permanezcan en la
unidad organizativa Domain controllers; de otra manera, no se verán afectados por su directiva pre-
determinada de DC. Por esto es tan importante implementar la auditoría del servicio de directorio.
Recuerde documentar por completo todos los cambios que haga a estos GPO.
Directivas de controlador de dominio locales

Las directivas locales se han cubierto de manera amplia en este capítulo. Sin embargo, es impor-
tante mencionar que deben aplicarse directivas específicas a controladores de dominio, una vez
que se han creado. El proceso de promoción de DC asegurará de manera automática diferentes
aspectos del servicio local y creará la plantilla DC Security.inf, pero en casi todos los casos, se
necesita seguridad local adicional. Una vez más, puede buscar varias fuentes de información para
conocer plantillas de seguridad aplicables.
• La WS08 Security Guide (Guía de seguridad de WS08), para una plantilla DC básica.
• Las plantillas de seguridad de DC de la NSA (consulte “Seguridad de Windows Server 2008”,
en páginas anteriores de este capítulo.
• Plantillas comerciales.
Cualquiera que sea la plantilla que utilice, asegúrese de cubrir las siguientes áreas:
• Concéntrese en la autentificación de Kerberos en lugar de NTLM, aun la versión 2 de NTLM.
• Use firma de datos para las consultas del protocolo ligero de acceso a directorios (LDAP, Li-
ghtweight Directory Access Protocol).
• Elimine soporte a clientes de nivel inferior.
• Asegure el archivo de almacenamiento NTDS.DIT.
Otras características de seguridad se aplican mediante las diferentes plantillas que aparecen
aquí. Revíselas con cuidado y seleccione las que sean apropiadas para su entorno. Recuerde apli-
car la directiva local a controladores de dominio una vez que se hayan promovido.
Todos los controladores de dominio deben localizarse dentro de la unidad organizativa Do-
main Controller, en la consola Usuarios y equipos de Active Directory. Los servidores miembro
se atienden mediante la estructura de OU Ofrecimientos de servicios virtuales. Y los usuarios se
atienden mediante la estructura de OU Persona. En una implementación de Servicios de dominio
de Active Directory que está diseñada para la administración de objetos, hay poca justificación
para crear otra OU para DC. Para crear esta OU se requeriría vincular la directiva del controlador
de dominio predeterminada con esta nueva OU para asegurar que su estrategia de DC sea la
misma en todos los DC. Se trata de un proceso que simplemente no es necesario. Lo que necesi-
ta hacer es asegurar que todos los DC están siempre en su lugar en la OU Domain Controllers.
Aquí puede modificar la directiva predeterminada de controladores de dominio para establecer
parámetros de seguridad que no afecten a las tres áreas de directiva local (sistema de archivos, regis-
tro y servicios). Un elemento que es útil en la directiva predeterminada de DC es el cifrado del trans-
porte de datos, o, más bien, el uso de IPSec para comunicarse entre servidores. Esto se cubre con
más detalle en la sección siguiente. Una vez más, revise la configuración en las plantillas de origen
mencionadas antes, y seleccione las que sean apropiadas para su directiva predeterminada de DC.
La directiva básica del servidor miembro

Otra directiva de seguridad que es global para un grupo de objetos es la básica de servidor
miembro. Esta directiva incluye diversas configuraciones que se aplican a todos los servidores.
Se localiza en la OU Ofrecimientos de servicios virtuales, y debido a que es la OU principal de

todos los servidores miembros, se aplica a todos ellos. Debido a esto, cada GPO específico de una
función de servidor sólo incluye configuraciones de seguridad incrementales, además de las que
se necesitan para que su función trabaje de manera apropiada. Por ejemplo, para proporcionar
seguridad adicional, puede incluir la configuración Evitar instalación de IIS (de Configuración del
equipo | Directivas | Plantillas administrativas | Configuración de Windows | Internet Information
Services) en esta plantilla básica. De esta manera, nadie podrá instalar IIS en ninguno de sus
servidores miembro. Luego puede deshabilitar esta configuración en el GPO incremental que
aplicará a las OU Servidores de aplicaciones/Web dedicados.
Este concepto se origina con la WS08 Security Guide. Una vez más aquí es donde debe bus-
car para identificar la configuración de seguridad de base que quiera incluir en su propia GPO
Servidor de base. Además, debe revisar cada una de las plantillas incrementales encontradas en
la guía para identificar la configuración de seguridad requerida para sus funciones de servidor.
Administre conianzas
En Windows 2000 se introdujo el concepto de confianzas transitivas automáticas de dos vías dentro
de un bosque de Active Directory. Windows Server 2008 extiende este concepto aún más con la
adición de confianzas transitivas entre bosques, sobre todo con el surgimiento de los Servicios de
directorio ligero de Active Directory. Pero a pesar de que las confianzas son ahora principalmente
automáticas, aún se necesita cierto grado de administración, porque cada vez que se crea una con-
fianza, da acceso a sus bosques o dominios a personas y objetos en otros contenedores ADDS.
Hay varios tipos de confianzas en Windows Server 2008. Aparecen delineadas en la tabla 10-6.
Las confianzas que usará con más frecuencia en su red de ofrecimientos de servicios vir-
tuales serán bosque, acceso directo y externa. La última se usa para vincular su red paralela de
ofrecimientos de servicios virtuales con la red heredada. Las confianzas de acceso directo se
deben usar para mejorar el rendimiento de validación entre dominios secundarios que requieren
niveles elevados de interacción. Y las confianzas de bosque pueden usarse principalmente entre
su bosque de infraestructura y sus directorios ADLDS.
Tipo de confianza Dirección y naturaleza Comentarios

Principal y secun- Transitiva de dos vías Son las conianzas automáticas que se establecen cuando se crea un
dario dominio secundario.
PARTE V
Árbol-raíz Transitiva de dos vías Son las conianzas automáticas que se establecen cuando se crea un
nuevo árbol.
Bosque Transitiva de una o dos Extiende la transitividad de las conianzas de un bosque a otro.
vías
Acceso directo Transitiva de una o dos Crea una ruta de acceso directo para autentiicación entre dos dominios.
vías Éstos pueden usar esta ruta para autentiicación en lugar de tener que
recorrer la jerarquía del bosque.
Reino Transitiva o intransitiva Crea un vínculo de autentiicación entre un dominio y un reino de Kerbe-
de una o dos vías ros que no es de Windows (como UNIX).
Externa Intransitiva de una o Crea un vínculo de autentiicación entre un dominio de WS08 y uno
dos vías heredado.
TABLA 10.6 Tipos de conianza de WS08

Dar acceso a recursos de otros dominios o bosques mediante confianzas es un procedimiento

de dos pasos. En primer lugar, debe establecer la confianza. En segundo lugar, debe insertar grupos
de usuarios de un bosque o dominio en grupos de usuario en el otro para dar a los usuarios acceso
a recursos. En realidad, esto significa aplicar la regla Permisos de grupo global cuenta de grupo local
(AGLP) del capítulo 7. Las implementaciones de confianza se delinean en el capítulo 12.
El trabajo con la seguridad de Active Directory puede ser complejo. Pero reducirá el nivel de
complejidad si mantiene un método estructurado, bien documentado, para cambiar la adminis-
tración. Asegúrese de que usa procedimientos operativos estándar todo el tiempo, y de que estos
procedimientos documentados sean proporcionados a todo el personal que los solicita.
Control de acceso de servidor Web

Otra área donde se necesita la autentificación es en el servidor Web. IIS proporciona varios tipos di-
ferentes de autentificación, desde inicio de sesión anónimo hasta autentificación completa basada en
certificado. En la tabla 10-7 se presenta una lista de los modos de autentificación disponibles en IIS 7.
En esencia, necesita determinar cuál modo de autentificación funciona mejor para usted y
para los requisitos del servidor Web. Las soluciones internas y externas serán diferentes, y tam-
bién habrá diferencias entre las soluciones que implemente en Internet y en la extranet, porque
lo más probable es que quiera la autentificación más segura en la última. En la tabla 10-8 se
delinean algunas recomendaciones relacionadas con esto.
La autentificación de IIS se define en la consola de IIS bajo la ubicación de inicio del sitio
Web en el módulo de autentificación. Como opción predeterminada, sólo el modo de autentifica-
ción anónima está habilitado. Modifique sus parámetros para cada modo de autentificación que
necesite. Seleccione y aplique el modo apropiado para cada sitio.
Limitaciones Soporte a
Modo Seguridad (si las hay) cliente Comentarios
Anónimo Ninguna No hay seguridad Completo Trabaja en cualquier escenario.
Básico Baja Contraseñas de texto Completo Trabaja en cualquier escenario.
simple; sólo se usa
con SSL
Compendio Media IE 5 o superior Trabaja en cualquier escenario.
Personiicación de Alta Completo Reemplaza a NetworkService con el contexto
ASP.NET del usuario o una cuenta de servicio personali-
zada que cree.
Autentiicación de Alta IE 5 en Trabaja sólo en la intranet; DC necesita ser
Windows Windows, en accesible para el cliente.
infraestructura
de dominio
Autentiicación de Muy alta Completa Depende de los métodos de autentiicación
formularios de aplicaciones internos en lugar de los
integrados en el sistema operativo. Trabaja en
cualquier escenario.
Autentiicación de Muy alta WS08 proporciona Todos los explo- Trabaja en cualquier escenario.
certiicado de cliente inscripción y actuali- radores nuevos
de ADDS zación automáticas
para certiicados
TABLA 10-7 Autentiicación en IIS

Escenarios Requisitos Recomendaciones

Intranet (red paralela de Todos los clientes tienen cuentas de Windows almacenadas en su direc- Use Kerberos mediante
ofrecimientos de servi- torio. Autentiicación de
cios virtuales) Todos los clientes usan Internet Explorer 6 o posterior. Windows
Hay un nivel fuerte de cifrado de contraseñas.
Internet Necesita dar soporte a varios tipos de explorador y varias versiones. Anónimo
Casi toda la información de sus servidores es pública. Básico sobre SSL
Algunos datos o lógicas de negocios tal vez necesiten un inicio de sesión Formularios
seguro.
No tiene control sobre equipos de usuario, y no quiere ser intruso.
Algunas situaciones tal vez requieran delegación
Extranet Esto requiere una solución muy segura. Certiicado Formularios
Tal vez requiera autentiicación mutua.
Tal vez necesite que un tercero administre la relación entre su servidor y
el poseedor del certiicado.
La operación debe ser transparente para el cliente.
TABLA 10-8 Recomendaciones de autentiicación de servidor Web
Autentiicación de .NET Framework

Debido a que .NET Framework usa servicios Web, los modelos de autentificación dependen en
gran medida de IIS, pero hay algunas funcionalidades esenciales dentro del propio .NET Fra-
mework. Proporciona seguridad basada en funciones (RBS, Role-Based Security). La RBS en
.NET Framework puede depender de tres tipos diferentes de autentificación. La basada en for-
mularios (genera una cookie), la de IIS y la de Windows. La primera debe estar programada den-
tro del servicio Web. El segundo y tercer métodos están administrados por operaciones de red.
La manera más fácil de autentificar usuarios y autorizar el acceso a recursos Web dentro de la
intranet consiste en asignarles funciones. Las funciones son grupos que tienen diferentes niveles
de acceso dentro de cada aplicación. Estos grupos son específicos de la aplicación, pero pueden
asignarse a Servicios de dominio de Active Directory. Deben crearse almacenes de autentificación
antes de la asignación de grupos. Esto puede hacerse mediante la consola Administrador de auto-
rizaciones, que se lanza al ejecutar el comando AZMAN.MSC. El Administrador de autorizaciones
también es un complemento que puede agregarse a cualquier consola MMC personalizada. Los
desarrolladores deben crear el almacén inicial y vincularlo con la aplicación, y luego los adminis-
tradores pueden asignarle usuarios y grupos. El almacén puede localizarse en Servicios de dominio
PARTE V
de Active Directory, pero el desarrollador debe tener derechos de creación de almacenes y requiere
menos administración que los esquemas de autorización de aplicaciones anteriores. Asegúrese de
que su desarrollador se esfuerce por usar este método cuando crea servicios Web para uso interno.
Auditoría y monitoreo de acceso

El aspecto final de la capa 4 es la auditoría. Es importante rastrear el uso de recursos y monitorear
los archivos de registro para asegurarse de que los usuarios tienen derechos de acceso apropiados y
que ninguno trata de abusar de sus derechos. Como se mencionó antes, la auditoría es un proceso
de dos pasos. En primer lugar, debe habilitar la directiva de auditoría para un evento. Luego, en el
caso de tipos determinados de objetos, debe habilitar la auditoría para el objeto que desee rastrear e
identificar a quién desea rastrear. WS08 le permite auditar varios tipos diferentes de eventos:
• Eventos de inicio de sesión de cuenta

• Administración de cuenta
• Acceso del servicio de directorio
• Eventos de inicio de sesión
• Acceso a objetos
• Cambio de directiva
• Uso de privilegios
• Rastreo del proceso
• Eventos del sistema
La auditoría de eventos de servicio de directorio ya se ha analizado. Otros eventos usan un
proceso similar. La habilitación de la directiva de auditoría tiene un efecto importante en su red.
Los objetos y eventos auditados hacen más lento el sistema, de modo que es importante auditar
sólo los eventos u objetos que le parezcan críticos para su red.
Para definir la directiva de auditoría, vaya al GPO apropiado y seleccione Configuración
del equipo | Directivas | Configuración de Windows | Configuración de seguridad | Directiva de
auditoría. Haga doble clic en el evento que desee auditar y modifique la directiva. Puede auditar
el éxito o la falla de un evento, o ambos. Audite las fallas sólo si sospecha actividad maliciosa en
su red. Esto reducirá el número de eventos generados por la auditoría.
Si quiere auditar el acceso a objetos, como el acceso a un archivo en un servidor, entonces
debe habilitar la auditoría para ese objeto e identificar a quién quiere auditar. Para ello, debe ver
las propiedades de seguridad del objeto y usar el botón Opciones avanzadas.
Administración de derechos de información

Un nivel más de protección que puede implementar es la administración de derechos de informa-
ción. Se realiza mediante los Active Directory Rights Management Services (ADRMS). Esto protege
la información que genera al vincular certificados PKI en la estructura del documento. Una infraes-
tructura de ADRMS está basada en la función del servidor ADRMS, una base de datos (en este caso,
la base de datos interna de Windows) y un cliente. Es buena idea implementar ADRMS junto con los
Servicios de certificado de Active Directory, porque puede depender de certificados para que ADR-
MS funcione. Por supuesto, también puede depender de certificados externos para este propósito.
ADRMS protegerá la información de la siguiente manera:
• Está diseñado para integrarse en aplicaciones personalizadas y comerciales, como Microsoft
Office. Este nivel de protección le permite determinar quién puede abrir, modificar, imprimir,
reenviar o manejar de otra manera información contenida en formulario de documentos. Los
documentos pueden ser presentaciones, correos electrónicos, texto, hojas de cálculo, etcétera.
• La protección de ADRMS dura porque se encuentra en el nivel del documento y persiste aun-
que el documento se encuentre más allá de los límites de su red.
• ADRMS también es extensible y puede integrarse en otros mecanismos de protección de
documentos de terceros.
• ADRMS puede combinarse con los Servicios federados de Active Directory para crear una estruc-
tura de identidad federada completa que también da soporte a la administración de derechos.
En esencia, ADRMS implementa una infraestructura que le permite expedir licencias a
usuarios para que puedan proteger aún más la información que generan. Es una adición sólida a
cualquier organización que requiere protección completa de documentos en todo momento.
SUGERENCIA Para conocer una guía paso a paso sobre la manera de implementar ADRMS, vaya a
http://technet.microsoft.com/en-us/library/cc753531.aspx.
Capa 5: acceso externo

La capa 5 se concentra en la red perimetral y la protección de su red interna a partir de in-
fluencias externas. En el mundo conectado de hoy, es imposible crear redes internas que estén
completamente desconectadas del mundo exterior. Debido a esto, en realidad necesita asegu-
rar lo más posible la red interna, creando una barrera que debe cruzarse antes de que alguien
pueda entrar. Esta barrera puede tomar diferentes formas, pero en el caso de la red paralela
de ofrecimientos de servicios virtuales, significa la creación o, más bien, el uso continuo de su
entorno perimetral. A este entorno suele denominársele zona desmilitarizada (DMZ, DeMilita-
rized Zone).
Las redes perimetrales pueden contener cualquier número de componentes. Pueden limitar-
se a una serie de firewalls que protegen su red interna, o incluir y contener también sus servido-
res de Internet además de sus servicios de extranet. Si éste es el caso, esta red será muy compleja
e incluirá defensas en cada capa del sistema de defensa del castillo. No es el propósito de este
capítulo revisar todas las características de una red perimetral.
SUGERENCIA Microsoft proporciona un contorno extenso de una red perimetral compleja mediante
su planeación y diseño de estructura. En realidad, esta guía es extremadamente completa y deli-
nea la manera de diseñar su red perimetral y proporcionar instrucciones para la implementación
de la red para dispositivos de red de Nortel y Cisco. Encuéntrelo en www.microsoft.com/
downloads/details.aspx?familyid=ad3921fb-8224-4681-9064-075fdf042b0c&displaylang=en.
En cuanto a almacenes de recursos y ofrecimientos de servicios virtuales, necesitará proteger

sistemas en los siguientes niveles:
• Los almacenes de recursos no tienen una red perimetral porque no interactúan con usua-
rios y no proporcionan servicios relacionados con el usuario. Sin embargo, sí interactúan con
administradores remotos. Para este nivel de interacción, debe trabajar con las conexiones
SSTP o de red privada virtual basada en IPSec. También necesitará una infraestructura de clave
pública como soporte de SSTP y tarjetas inteligentes. Además, debe asegurar que cualquier
sitio remoto usará IPSec para comunicaciones de servidor a servidor, sobre todo cuando se
PARTE V
replican imágenes de máquina virtual. También puede determinar que necesita implementar
protección de acceso a red para asegurar que cualquier sistema que se conecta al almacén de
recursos siempre esté actualizado en cuanto a parches de seguridad y protección antimalware.
• Los ofrecimientos de servicios virtuales tienen una red perimetral y, por tanto, necesitan
protección en varios niveles. Las redes de perímetro para ofrecimientos de servicios virtuales
pueden incluir una gran cantidad de servicios, pero casi todas incluyen:
• Conexiones remotas para usuarios finales móviles que actúan fuera de sus instalaciones.
• Servicios de federación para organizaciones asociadas.
• Protección de acceso a redes para cualquier sistema que quiere conectar a la red.
• Infraestructuras de clave pública para proporcionar protección para las aplicaciones que
haga disponibles en el perímetro, además de las que den soporte a implementaciones de
tarjetas inteligentes.
El nivel de implementación es más completo en los ofrecimientos de servicios virtuales que

en los almacenes de recursos, porque éstos sólo pueden interactuar con administradores.
PRECAUCIÓN Debido a que la red perimetral está integrada por máquinas virtuales, debe depender
de la coniguración interna de Hyper-V de Windows Server en su hipervisor para crear LAN vir-
tuales que segregan las máquinas virtuales que pertenecen a cada parte de su red de ofrecimientos de
servicios virtuales. También podría considerar la colocación de máquinas perimetrales en servidores
hosts especíicos y asegurarse de que nunca se entremezclan con máquinas de la zona de la intranet.
Asegure servidores con la irewall de Windows Server con seguridad avanzada

Una de las primeras herramientas con las que debe trabajar dentro del perímetro (al igual que
con todos los servidores en cualquier zona de su red) es la Firewall de Windows Server con
seguridad avanzada (WSFAS, Windows Server Firewall with Advanced Security). La firewall de
Windows ahora está integrada en varias ediciones de Windows y se encuentra instalada como
opción predeterminada. En realidad, recordará que, como opción predeterminada, cuando instala
WS08, la firewall está establecida para negar todo el acceso remoto. Luego, a medida que confi-
gura funciones para su servidor, debe modificar la directiva de firewall predeterminada para abrir
y controlar puertos específicos de la red.
La diferencia entre la firewall básica y la WSFAS es que la última combina una firewall con la
administración de IPSec en una herramienta que proporciona administración de comunicaciones
seguras integradas. Esto significa que se usa WSFAS para administrar no sólo comunicaciones de
servidor internas y externas, sino también conexiones de red privada virtual.
Puede decirse mucho acerca de la firewall, pero en esencia debe depender lo más posible del
Asistente para configuración de seguridad para ayudarle a conformar apropiadamente las reglas
de la firewall basadas en funciones del servidor. Esto hará mucho por proteger sus servidores en
cualquier lugar en que se encuentren en su red.
Tome nota de que, en el caso de la mayor parte de las redes perimetrales, WSFAS no es
suficiente por sí solo. Casi todas las organizaciones también incluirán tecnologías de protección
de hardware o herramientas con estado de software. También es una buena práctica implementar
alguna forma de detección de intrusiones en el perímetro.
SUGERENCIA Para conocer más información acerca de la Firewall de Windows, vaya a www.
microsoft.com/technet/network/default.mspx. Para conocer información detallada acerca de la con-
iguración de la Firewall de Windows, busque el capítulo 10 de Deploying and Administering
Windows Vista Bible, de Cribbs, Ruest, Ruest y Nelly, publicado por Wiley.
Use el protocolo de entunelamiento de conectores seguros de Windows Server

Por lo general, las conexiones de red privada virtual en redes de Windows dependen del protocolo
IPSec, que proporciona una conexión de extremo a extremo en la capa de red. Sin embargo, las re-
des privadas virtuales de IPSec no pueden funcionar en todas las situaciones. Por ejemplo, cuando
use los dispositivos de traducción de dirección de red o incluso servidores proxy Web, su conexión
de red privada virtual de IPSec se bloqueará en la compuerta. La adición de redes privadas virtua-
les de IPSec es más compleja y requiere que tenga algún grado de control sobre el extremo o siste-
ma cliente que establece la conexión con el mundo externo. Como ya sabe, éste no suele ser el caso.
Ésta es una razón por la que Microsoft ha implementado el protocolo de entunelamiento de

conector seguro (SSTP, Secure Socket Tunneling Protocol). SSTP depende de HTTP sobre la capa
de conectores seguros (HTTPS) para crear conexiones de red privada virtual en el puerto 443.
Soporta Protección de acceso a redes, además de IPv6. Cuando crea una red privada virtual de
SSTP, el cliente establece una sola conexión con el servidor interno y todo el tráfico viaja sobre
esta conexión. Sin embargo, no puede usarlo para crear conexiones de sitio a sitio.
SSTP depende de certificados PKI para crear conexiones. Los servidores que hospedan
conexiones de SSTP deben tener instalados certificados que incluyan la propiedad Autentifica-
ción de servidor o Uso de clave mejorado para todo propósito con el fin de aceptar conexiones
SSTP. Ésta es una razón más por la que es importante construir una estructura de PKI apropiada
mediante ADCS en su red.
Las redes privadas virtuales de SSTP son parte de la directiva de red y la función de servidor
Servicios de acceso y deben administrarse mediante el nodo de la consola Servicios de enruta-
miento y acceso remoto.
SUGERENCIA Para una revisión completa de las redes privadas virtuales de SSL, consulte “The
Case for SSL Virtual Private Networks” (El caso de redes privadas virtuales de SSL) en
www.reso-net.com/articles.asp?m=8#c bajo la sección Advances PKI.
Dependa de la infraestructura de clave pública

Las implementaciones de PKI pueden ser muy complejas, sobre todo si necesita usarlas para
interactuar con clientes y proveedores fuera de su red interna. El principal problema en este nivel
es de autoridad: ¿es usted quien dice ser y puede confiarse en su certificado? Cuando éste es el
caso, debe depender de una autoridad externa que se especialice en esta área para que respon-
da por usted e indique que sus certificados pueden y deben ser confiables. Una vez más, WS08
juega una función importante en reducir los costos de PKI en estas situaciones. Debido a que
incluye todas las características necesarias para implementar un servicio PKI mediante Servicios
de certificado de Active Directory, todo lo que necesita hacer es adquirir el certificado de servidor
raíz de una fuente externa. Este certificado se incrustará en cada certificado expedido por su in-
fraestructura. Probará a sus clientes, socios y proveedores que usted es quien dice ser, y no tendrá
que implementar una costosa solución de PKI de terceros.
Pero no necesita este tipo de certificado para la red interna, porque usted controla todos los
sistemas dentro de la red y no necesita probarse a sí mismo o a su organización ante ellos. Los
PARTE V
servicios de ADCS dan soporte a varios tipos de situaciones de seguridad. Puede usarlos para:
• Asegurar servicios, servidores y aplicaciones Web
• Asegurar y firmar correo electrónico digitalmente
• Dar soporte a EFS
• Firmar código
• Dar soporte a inicio de sesión con tarjeta inteligente
• Dar soporte a trabajo con redes privadas virtuales
• Permitir autentificación de acceso remoto
• Ser compatible con la autentificación de vínculos de replicación de Servicios de dominio de
Active Directory sobre SMTP
• Dar soporte a autentificación de red inalámbrica
WS08 proporciona dos tipos de autoridades de certificado (CA, Certificate Authorities):

independientes y empresariales. Las últimas proporcionan integración completa con ADDS. La
ventaja de las CA empresariales es que, debido a que sus certificados están integrados con el di-
rectorio, pueden proporcionar inscripción automática y servicios de renovación automática. Esto
es porque el servicio PKI que implemente en la red interna debe basarse en un CA empresarial.
Las mejores prácticas de PKI requieren niveles muy elevados de protección física para autori-
dades de certificado raíz. Esto se debe a que el CA raíz es el CA esencial para toda la jerarquía de
PKI. Si por alguna razón se corrompe, toda su infraestructura de clave pública se corromperá. Por
tanto, es importante eliminar el CA raíz de la operación, una vez que se ha expedido el certifi-
cado. Debido a que eliminará este servidor de la operación, tiene sentido crearlo como un CA
independiente (la eliminación de un CA empresarial de la red causará errores de ADDS).
PRECAUCIÓN El CA raíz debe eliminarse de la operación para su protección. Por esto la conigu-
ración ideal para los CA raíz debe estar en las máquinas virtuales. Llevar una máquina virtual
fuera de línea es mucho más fácil que hacerlo con una máquina física. Además, la máquina virtual
puede colocarse en un estado suspendido indeinidamente, facilitando y agilizando el regreso en
línea cuado se necesita.
Las mejores prácticas de PKI también requieren varios niveles de jerarquía. En realidad, en
entornos de PKI que deben interactuar con el público, tiene sentido proteger los primeros dos
niveles de la infraestructura y eliminar ambos de la red. Pero en un entorno de PKI interno, sobre
todo uno que se usará principalmente para firma de código, cifrado, inicio de sesión con tarjeta
inteligente y conexiones de redes privadas virtuales, dos niveles son suficientes. Los CA subordi-
nados deben ser empresariales para que puedan integrarse con ADDS. Con el fin de agregar pro-
tección adicional al CA subordinado, no lo instale en un controlador de dominio. Esto reducirá el
número de servicios en el servidor.
Aunque su entorno de PKI sea interno, aún debe concentrarse en un diseño apropiado de
PKI. Esto significa la implementación de un proceso de siete pasos:
1. Revise la información de PKI de WS08 y familiarícese con los conceptos clave. Un excelente
lugar para empezar es http://technet2.microsoft.com/windowsserver2008/en/library/532ac164-
da33-4369-bef0-8f019d5a18b81033.mspx?mfr=true.
2. Defina los requisitos de su certificado. Identifique todos los usos de los certificados internos,
elabore una lista de ellos y defina cómo deben atribuirse.
3. Cree su arquitectura de PKI. ¿Cuántos niveles de autoridades de certificado requerirá? ¿Cómo
administrará sus CA sin conexión? ¿Cuántos se necesitan?
4. Cree o modifique los tipos de certificado que necesite. Determine si debe usar plantillas. Éstas
son el método de atribución de certificado preferido.
5. Configure la duración del certificado. La duración afecta toda la infraestructura. Los CA raíz
deben tener certificados que duren más que los subordinados.
6. Identifique cómo administrará y distribuirá las listas de revocación de certificados, además de
las funciones de ADCS que quiera incluir en su infraestructura. Esto puede contener inscrip-
ción Web y usuarios que responden en línea, además de CA.
7. Identifique su plan de operaciones para la infraestructura de certificados en su organización.
¿Quién administrará los certificados? ¿Quién puede proporcionarlos a los usuarios? Si se
usarán tarjetas inteligentes, ¿cómo se atribuirán?
El resultado debe proporcionar la arquitectura que pretende usar (vea la figura 10-14).
Considere cada paso antes de implementar ADCS. Éste no es un lugar donde puede cometer
muchos errores. Debe probar por completo cada elemento de su arquitectura de ADCS antes de
proceder a su implementación dentro de su red interna. Por último, así como creó su directiva de
seguridad para definir la manera de asegurar su entorno, debe crear una directiva de certificación
y comunicarlo a su personal.
SUGERENCIA Para conocer más información acerca de PKI y el mundo de conianza al que da so-
porte, vaya a www.reso-net.com/articles.asp?m=8#c. Para conocer información acerca de ADCS,
vaya a http://technet2.microsoft.com/windowsserver2008/en/library/532ac164-da33-4369-bef0-
8f019d5a18b81033.mspx?mfr=true.

Antes, cuando las organizaciones querían interactuar entre sí, necesitaban compartir información
confidencial, a menudo mediante la implementación de directorios ADDS externos. El problema
con esto es que cualquier almacén de información sensible, como un directorio, que está expuesto a
recursos externos, puede ser hackeado si el atacante malicioso está lo suficientemente determinado.
Por fortuna, WS08 incluye una serie de herramientas que evitan la necesidad de implemen-
tación de tecnologías de ADDS en redes perimetrales. Por ejemplo, si sólo trata de proporcionar
acceso a una aplicación externa, siempre puede depender de ADLDS para ello. ADLDS propor-
ciona muchas de las características de ADDS sin exponer información muy confidencial.
Una mejor manera de proporcionar integración entre organizaciones que quieren compartir
aplicaciones es mediante los Servicios de federación de Active Directory. ADFS (Active Directory
Federation Services) proporciona un proceso de federación de identidad simple y cifrado y da
FIGURA 10-14 Arquitecturas de PKI

Una arquitectura Internet/extranet Intranet
de ADCS.
Expide certificado original
que valida las credenciales
de su organización
Raíz
comercial
externa
PARTE V
Los CA se llevan fuera de línea
Expide certificados Expide certificados

de autorización de autorización
CA intermediario CA raíz
(independiente) (independiente)
Funciones agregadas o
nuevos servidores
- Usuarios que responden - Integrado a Active Directory
- Inscripción en Web - Expide certificados de
producción
Expide certificados - Da soporte a inscripción y
de producción renovación automática
CA subordinado CA subordinado
(independiente o empresarial) (empresarial)
soporte a Single Sign-on Web. Además, ADFS puede integrarse con ADRMS para proporcionar
servicios de administración de derechos de información extendidos.
El proceso de ADFS es simple (vea la figura 10-15):
1. Un cliente quiere acceder a una aplicación Web.
2. El servidor verifica con el Servidor de federación de recursos (RFS, Resource Federation Ser-
ver) si el cliente tiene otorgado el acceso. Debido a que la solicitud debe atravesar una firewall,
el servidor Web se conecta primero con el servidor de proxy de federación de recursos, que
luego se pone en contacto con el RFS real.
3. El RFS revisa con el Servidor de federación de cuenta (AFS, Account Federation Server), una
vez más mediante el proxy, para ver cuáles derechos de acceso tiene el usuario. El AFS está
directamente vinculado con el ADDS interno de la organización y obtiene derechos de acceso
del directorio.
4. El AFS responde al servidor Web con los derechos de acceso del cliente.
5. El servidor Web otorga acceso a la aplicación.
El proceso es simple, pero la implementación de ADFS es más compleja. La ventaja es que
mediante ADFS, cada organización asociada puede depender de sus propios directorios ADDS
internos para otorgar acceso a los usuarios a aplicaciones externas. Esto facilita y simplifica en
mucho la administración del acceso.
SUGERENCIA Para conocer información acerca de ADFS, vaya a http://technet2.microsoft.com/

windowsserver2008/en/library/532ac164-da33-4369-bef0-8f019d5a18b81033.mspx?mfr=true.
Para conocer información acerca de la manera de integrar ADFS con ADRMS, vaya a
http://technet2.microsoft.com/windowsserver2008/en/library/703206ee-638c-40c9-beb5-d47460
2b02af1033.mspx?mfr=true.
Dependa de Protección de acceso a redes

Otra función muy poderosa de WS08 es la Protección de acceso a redes. Reagrupa una serie de
tecnologías para proteger las redes mediante la validación de configuraciones de cliente antes del
establecimiento de una conexión con recursos de red interna. Esto significa que los clientes que
no se amoldan a directivas de salud específicas (como tener firmas antivirus actualizadas, o pa-
quetes de servicio actualizados) se ponen en cuarentena en una zona de red de recursos restrin-
gida, se actualizan y luego, una vez que se valida que están actualizados, se les proporciona una
conexión de red totalmente funcional. Este nivel de protección es útil para almacenes de recursos
y para ofrecimientos de servicios virtuales.
Red interna Red perimetral Internet Red perimetral Red interna

Cliente Servidor
Web
ADDS
Proxy de Proxy de
servidor de Servidor de
servidor de
Servidor de federación de federación
federación de
federación recursos de recursos
recursos
de recursos
FIGURA 10-15 Dependencia de ADFS para establecer sociedades.

Protección de acceso a redes proporciona cuarentenas o imposición de acceso limitado para

las siguientes tecnologías:
• Conexiones IPSec
• Conexiones alámbricas (IEEE 802.3)
• Conexiones inalámbricas (IEEE 802.11)
• Conexiones DHCP
• Redes privadas virtuales
• Conexiones de Terminal Services
• Conexiones de protocolo de autorización de credenciales de host (HCAP, Host Credencial
Authorization Protocol) basado en HTTP
Protección de acceso a redes depende del servidor de validación para determinar el estado
de salud de los dispositivos que solicitan conexiones. Los sistemas de Protección de acceso a
redes incluyen servidores de corrección, de imposición y de salud, además de sistemas de admi-
nistración de dispositivos. En esencia, cualquier conexión a la red puede protegerse, siempre y
cuando el cliente sea compatible con este nivel de protección. Como opción predeterminada, los
clientes de Vista incluyen este nivel de soporte. Cuando todas las piezas están en su lugar, usted
determina el nivel de protección que desea aplicar.
Una vez puesta en funcionamiento, sus solicitudes de conexión siempre pasarán a través del
servidor de directivas de red (vea la figura 10-16) y funcionará de la siguiente manera:
1. El cliente iniciará una solicitud de conexión utilizando una conexión alámbrica o inalámbrica.
2. El proveedor de conexión (HTTP, DHCP, red privada virtual, interruptor, enrutador o puerta
de enlace de TS) verificará con la directiva de red para ver que debe hacer con la solicitud de
conexión.
3. El servidor de directiva de red proporcionará el proveedor con la directiva apropiada. La direc-
tiva debe solicitar una validación de salud del cliente.
Servidores de directiva
Instrucción
de solicitud
de salud
• Alámbrico
PARTE V
o Validador de
• Inalámbrico salud del sistema
Servidores
de corrección
WSUS, antimalware,
No cumple con herramienta de terceros,
la directiva o cualquier combinación
• DHCP Directiva de red
Cliente de
Windows Vista • Red privada virtual Red restringida
• Interruptor/enrutador
• Puerta de enlace de TS
• HTTP Red corporativa
Cumple con
la directiva
FIGURA 10-16 Uso de Protección de acceso a redes.

4. Los validadores de salud del sistema determinarán el estatus de salud del cliente y lo regresa-
rán al proveedor al solicitar una instrucción de salud del cliente.
5. Con base en el estatus de salud del cliente, ocurrirán una o dos acciones:
• Si el cliente no parece saludable, se le dirigirá a una red restringida. Ésta pondrá en cuaren-
tena el sistema hasta que regrese al estado saludable. La red restringida incluirá, por tanto,
sólo acceso a servidores de corrección (servicios de Windows Server Update, antimalware,
otras herramientas de administración de configuración, o una combinación de ellas). Una
vez que el cliente esté actualizado, su estatus de salud se actualiza para que el proveedor
pueda darle acceso completo a la red.
• Si el cliente parece saludable o se actualiza a un estado donde parece saludable, se permite
acceso completo a la red.
Dependa de Protección de acceso a redes para proteger los almacenes de recursos de la
contaminación en el nivel del hardware. Dependa de Protección de acceso a redes para proteger
ofrecimientos de servicios virtuales de la contaminación en el nivel de los servicios de usuario.
SUGERENCIA Para conocer más información acerca de Protección de acceso a redes, vaya a
www.microsoft.com/technet/network/nap/default.mspx.
Administre la directiva de seguridad

El sistema de defensa del castillo proporciona un método estructurado para el diseño de una di-
rectiva de seguridad. Pero no puede defender sus recursos críticos solo. Debe proporcionarse un
plan de defensa, que incluya medidas de defensa reactivas y proactivas. Esto significa defensas
adicionales en varios niveles, sobre todo en cuanto a resistencia del sistema (consulte el capítulo
11 para conocer más información).
También hay operaciones continuas que deben tener lugar a intervalos regulares para ase-
gurar que sus sistemas de defensa estén vigilados constantemente y que sus planes de reacción
funcionen de manera apropiada. Las simulaciones son una buena práctica. Verá cómo responde
y también si su plan de respuesta es apropiado. No querrá encontrarse en una situación en que
la única respuesta sea desconectar un sistema. Una vez que las claves de un plan de respuesta
sólido le permitan asegurar que todos en la organización conocen y comprenden su papel en él,
Windows Server 2008 y Servicios de dominio de Active Directory traen un cambio considerable
a su red, sobre todo en cuanto a almacenes de recursos y ofrecimientos de servicios virtuales. Es
importante que su personal comprenda por completo estos cambios. También es importante que
identifique cada función dentro de sus operaciones, además de las modificaciones que debe ha-
cer a sus funciones existentes. Por último, para dar soporte completo a su directiva de seguridad,
necesita limitar los derechos delegados que asigne a administradores y operadores dentro de su
red. Estos elementos se cubren en los capítulos 12 y 13.
11
CAPÍTULO
Construya para la continuidad del negocio
U
n elemento importante de la seguridad es la resistencia del sistema: asegurarse que sus
servicios no fallarán, aun en el caso de desastres o una brecha de seguridad. Varios ele-
mentos de resistencia del sistema ya se han cubierto hasta ahora:
• Servicios de dominio de Active Directory La resistencia se crea mediante la distribución
de controladores de dominio en toda su red. También se basa en el sistema de replicación
multimaestro y la creación de una topología de replicación apropiada. Esta característica se
describe en el capítulo 6.
• DNS Mediante la integración del servicio de nombre de dominio (DNS, Domain Name Ser-
vice) con el directorio, usted asegura que su servicio de resolución de nombre de red siempre
funcionará porque es la misma resistencia que el servicio de directorio. Esta característica se
describe en el capítulo 6.
• DHCP Su infraestructura de asignación de dirección también tiene resistencia integrada,
debido a la manera en que la estructuró con ámbitos redundantes. Además, si coloca sus ser-
vidores de protocolo dinámico de configuración de host (DHCP, Dynamic Host Configuration
Protocol) en diferentes sitios, tiene una solución que seguirá trabajando en caso de un desas-
tre. Esta característica se describe en el capítulo 6.
• Servicio de asignación de nombre de Internet de Windows (WINS, Windows Internet
Naming Service) Si ha decidido usarlos, sus servidores de resolución de nombre heredados
también son redundantes, porque el servicio se ofrece mediante los mismos servidores que el
servicio DHCP.
• Infraestructura de administración de objeto Su estructura de administración de objetos
también es resistente, porque está basada en una estructura de unidad organizativa (OU, Or-
ganizational Unit) en el directorio y el directorio de servicio ofrece resistencia del sistema. Esta
estructura se analizó en los capítulos 7, 8 y 9.
• Raíces del sistema de archivos distribuido (DFA, Distributed File System) de dominio
Sus recursos compartidos de archivos son resistentes porque están distribuidos a través del
directorio, haciéndolos que estén disponibles en varios sitios. También incluye conmutación
por error automática (es decir, si el servicio se cae en un sitio, automáticamente se pasan las
conexiones de usuario con falla al otro sitio). La replicación DFS asegura que los destinos de
557
espacio de nombres DFS estén sincronizados todo el tiempo. Las estrategias de DFS se descri-
ben en el capítulo 8.
• Instantáneas de volumen Sus archivos compartidos, bases de datos compartidas, alma-
cenes de Exchange y otros depósitos de información compartida también están protegidos
mediante la característica de Instantánea de volumen, tomando instantáneas del sistema de
manera regular e incluso permitiendo a los usuarios recuperar los propios archivos. Esta carac-
terística se describió en el capítulo 8.
• Servicios de Terminal Server Los servidores de Terminal Services que implemente ofrecen
resistencia mediante el Agente de sesiones, que está, a su vez, protegido mediante el equilibrio
de carga del Agente de sesiones. Esta característica se describió en el capítulo 9.
A pesar de que varios de sus sistemas son resistentes, siguen siendo áreas que podrían tener
un efecto significativo en sus operaciones, si fallan. Recuerde que una de las principales razones
para los ataques de hacker es la negación de servicio distribuida o DDoS (Distributed Denial of
Service). Este tipo de ataque puede tener éxito por dos razones. En primer lugar, el servidor que
hospeda el servicio no está protegido y, en segundo lugar, si el servicio está hospedado por un solo
servidor (es decir, no hay servicio de conmutación por error). En el capítulo 10 se le mostró cómo
proteger sus sistemas mediante el sistema de defensa del castillo. Ahora, necesita agregar resisten-
cia adicional a la red mediante dos estrategias: resistencia del sistema y recuperación del sistema.
Planee para la redundancia del sistema

La redundancia del sistema depende de la implementación de métodos y medidas que asegu-
ren que si falla un componente, su función será tomada de inmediato por otro o, por lo menos,
que el procedimiento para regresar en línea está bien documentado y es bien conocido por los
operadores del sistema. Algunos de los dolores de cabeza más comunes de los administradores
son la seguridad de red y la recuperación de desastres. No es de sorprender. Todos enfrentamos
desastres, como los del 11 de septiembre y el huracán Katrina, y todos sabemos lo dañinos que
pueden ser estos acontecimientos para negocios de cualquier tamaño. En realidad, casi todos los
negocios que no tienen un plan de continuidad y enfrentan un desastre mayor a menudo salen
de los negocios porque no pueden recuperarse de estos acontecimientos catastróficos. Estos pro-
blemas son la esencia de cualquier diseño de red. No importa lo que haga, debe asegurar que sus
sistemas están protegidos todo el tiempo.
Una vez más, el sistema de defensa del castillo puede ayudar. La capa 1 le ayuda a identificar
los niveles de riesgo, porque le permite determinar el valor de un activo de información. El riesgo
se determina al identificar el valor (la importancia de un activo) y multiplicarlo por el factor de
riesgo que está asociado con él. La fórmula tiene este aspecto:
Riesgo = valor del activo * factor de riesgo
Por ejemplo, un activo que está valuado en un millón de dólares con un factor de riesgo
de .2 tiene un valor de riesgo de 200 000 dólares. Esto significa que puede invertir hasta 200 000
dólares para proteger ese activo y reducir su factor de riesgo.
Aunque estos cálculos sean de naturaleza esotérica, lo que sigue siendo importante es inver-
tir lo más que se pueda en la protección de sus activos más valiosos. Ésta es una razón por la que
resulta importante saber lo que tiene. La figura 11-1 es un buen recordatorio de este principio.
Capítulo 11: Construya para la continuidad del negocio 559
FIGURA 11-1
Categorías de activos
de la información. Inversión
máxima en
seguridad
Secreto
Confidencial
Interno Inversión
mínima en
Público seguridad
Proteja el almacén de recursos

Al concentrarse en la protección física, o la protección del almacén de recursos, la capa 2 también
ayuda a que planee para obtener redundancia. Aquí es donde algunos de los elementos cubiertos
en el ejercicio de asignación de tamaño del servidor del capítulo 4 se vuelven importantes. Los
conjuntos aleatorios de discos económicos (RAID, Random Arrays of Inexpensive Disks) y los
conjuntos aleatorios de redes económicas (RAIN, Random Arrays of Inexpensive Networks), por
ejemplo, proporcionan protección directa, en el nivel de hardware, para sus sistemas. También es
importante incluir sistemas “no break” (UPS, Uninterrupted Power Supply) en este nivel. Pueden
ser dispositivos UPS conectados mediante el bus serial universal (USB, Universal Serial Bus),
para servidores regionales, o infraestructuras de administración centralizada de alimentación de
energía que protegen cuartos completos de cómputo (por lo general en sitios centrales).
Los almacenes de recursos también necesitan redundancia. Cado uno de los servidores
físicos que sirven como hosts de ofrecimientos de servicios virtuales deben tener integrada
alguna forma de redundancia. Si un servidor host está ejecutando de 10 a 15 ofrecimientos, debe
tener capacidad para pasarlos a otro host físico, en el caso de una falla en el nivel de hardware.
Esto significa que los hosts físicos deben estar en clúster (compartiendo la carga de trabajo del
ofrecimiento de servicios virtual para que los ofrecimientos estén disponibles todo el tiempo para
los usuarios). Ésta es una de las razones por las que es importante hospedar ofrecimientos de
servicios virtuales en el almacenamiento compartido. Debido a que están hospedados en una es-
tructura de almacenamiento al que tiene acceso cada servidor host, los ofrecimientos de servicios
virtuales pueden moverse de un host a otro con poco impacto para los usuarios. Esto proporcio-
PARTE V
na redundancia en el nivel del sitio (vea la figura 11-2).
La redundancia de sitio también es necesaria en un nivel regional. Por eso el servidor regio-
nal ideal será una caja integral que incluya por lo menos dos servidores hosts físicos, almacena-
miento compartido y conectividad de red de área amplia (WAN, Wide Area Network). Al incluir
dos servidores hosts, puede asegurar que los ofrecimientos de servicios virtuales regionales que
hospeda esta infraestructura siempre estén disponibles (vea la figura 11-3).
Como ya se mencionó, la redundancia en el nivel del sitio ya no es suficiente. Demasiadas
organizaciones pierden literalmente todo cuando surge el desastre. No debe colocar todos los
huevos en la misma canasta. Por fortuna, el surgimiento de la virtualización facilita en mucho
proporcionar redundancia en varios sitios. En primer lugar, necesita construir un segundo centro
de datos, si aún no está disponible. Este centro de datos secundario no necesita hospedar los
mismos recursos que su entorno de producción (vea la figura 11-4). Sólo necesita unos cuantos

FIGURA 11-2
Dependa del almacenamiento
compartido y de los hosts Servidor blade
conectados para proporcionar
redundancia en el nivel del
sitio.
Red de área de almacenamiento Almacén de recursos
Leyenda:
Disco duro Máquina virtual Volumen LUN
recursos (sólo los suficientes, en realidad, para ayudarle a volver a ponerse de pie en el caso de una
emergencia). Esto significa que necesita unos cuantos servidores host adjuntos a almacenamiento
compartido. También necesita dispositivos de protección de energía central y conectividad WAN.
Los acuerdos para el nivel del servicio (SLA, Service Level Agreements) para recuperación de
desastres no son los mismos que los de producción normal. Esto significa que puede ejecutar una
infraestructura reducida en el sitio de recuperación de desastres. Puede depender de una fórmula
que le ayude a determinar cuántos recursos físicos requerirá su centro de recuperación de desas-
tres. La fórmula tiene este aspecto:
Recursos de producción/Tiempo de recuperación = Recursos de recuperación
de desastres
Almacenamiento compartido con

ofrecimientos de servicios virtuales
Servicios
redundantes
Servidores hosts
Interruptor
Caja integral
FIGURA 11-3 Use cajas integrales para proporcionar redundancia regional en el nivel del sitio.
Discos virtuales
Replicación
Discos virtuales
FIGURA 11-4 Entrega de redundancia en varios sitios.
Por ejemplo, si está ejecutando su infraestructura en 15 hosts físicos y espera que el tiempo
de recuperación sea de tres horas, entonces puede ejecutar el centro de recuperación de desastres
con cinco hosts físicos. Cuanto menor sea el tiempo de recuperación, más recursos necesitará
para llenar el centro de recuperación.
Equilibre el número de recursos físicos en su centro de recuperación con la necesidad de
recargar servicios críticos. En el caso de un desastre, su recuperación necesitará primero servi-
cios esenciales (por ejemplo, Servicios de dominio de Active Directory y DNS), y luego servicios
secundarios, DHCP, servidores de archivos e impresión, etc. El uso de un método graduado para
la recarga de servicios para usuarios le permitirá regresar en línea en etapas y reducirá el costo
de sobrecarga del centro de datos secundario. En casi todos los casos, la recuperación de sus
ofrecimientos de servicios virtuales sigue la estructura de implementación de ofrecimientos de
servicios virtuales de este libro.
PARTE V
SUGERENCIA En muchos casos, no necesita tener su propio centro de datos de recuperación.
Algunos comercializadores, como Sungard (www.sungard.com), ofrecen servicios de hospedaje
para centros de datos secundarios. En muchos casos, es mucho más económico usar un centro de
recuperación hospedado que construir uno propio.
Proteja los ofrecimientos de servicios virtuales

La redundancia que construya en su capa de protección física es sólo parte de la solución. Ne-
cesitará asegurar que también tiene redundancia de servicios y que pueden realizarse a través
de la organización en clúster, ya sea en el nivel de red o en el del servidor. Por último, necesita
proporcionar redundancia de datos. Esto se hace mediante la elaboración e implementación de
la copia de seguridad de los sistemas de recuperación. Aquí, es importante elegir el tipo correcto
de solución de copia de seguridad, porque necesita proteger los datos que están almacenados
no sólo en el sistema de archivos, sino también dentro de bases de datos como los Servicios de
dominio de Active Directory.
La construcción de redundancia en su sistema es valiosa sólo si sabe que funciona. No es
suficiente estar preparado; necesita saber que su preparación tiene un valor. Para ello, necesitará
probar y volver a probar cada nivel individual de redundancia que implemente en su red. Dema-
siadas organizaciones han cometido el error fatal de crear copias de seguridad de datos durante
años sin probar el proceso de recuperación, sólo para descubrir que éste no funciona. Esto no es
un mito. Sucede en la realidad. No deje que le pase a usted. Pruebe todos sus sistemas y docu-
mente sus procedimientos. En realidad, se trata de una excelente oportunidad para que escriba
procedimientos operativos estándar.
Prepárese para posibles desastres

Hay dos tipos de desastres: naturales y producidos por el hombre. Entre los desastres naturales
se incluyen temblores, tornados, incendios, inundaciones, huracanes, avalanchas, etc. Es muy
difícil predecirlos y aún más difícil, pero no imposible, prevenirlos. La mejor manera de prevenir
estos desastres es tener sitios redundantes: sus servidores básicos y los servicios que están dispo-
nibles en más de un sitio. Si su centro de datos principal queda imposibilitado por alguna razón,
su otro centro toma el control. Aquí es también donde entra en juego el concepto servidor de se-
guridad contra fallas presentado antes. Este servidor es uno que permanece a la espera, en estado
latente, pero que puede activarse rápidamente si es necesario. En el centro de datos dinámico,
esto significa proporcionar servidores de almacenamiento de recursos redundantes y guardar
copias de cada uno de los ofrecimientos de servicios virtuales que se ejecutan en producción.
También hay desastres debidos al hombre: ataques terroristas, fallas en el suministro de ener-
gía eléctrica, fallas en las aplicaciones, problemas del hardware, ataques a la seguridad y sabotaje
interno. También es difícil predecir estos ataques. Algunos requieren el mismo tipo de protección
que se debe aplicar a los desastres naturales. Otros, como las fallas de aplicación y de hardware, y
los ataques a la seguridad, pueden evitarse mediante el sistema de defensa del castillo.
Para determinar el nivel de protección del servicio que necesita aplicar, puede usar una divi-
sión de servicios en categorías que es similar a la de capa 1 para los datos:
• Sistemas críticos para la misión Se trata de sistemas que requieren la mayor cantidad de
producción porque es inaceptable la interrupción del servicio.
• Sistemas de soporte a la misión Éstos requieren menos protección que los sistemas críticos
para la misión, pero las interrupciones deben reducirse al mínimo, hasta donde sea posible.
• Sistemas críticos para el negocio Éstos son sistemas donde pueden ser aceptables las
interrupciones cortas del servicio.
• Sistemas externos Al parecer, no son críticos y pueden tener interrupciones que duren más
tiempo.
La mayoría apenas es consciente de que la infraestructura básica de su red es, en muchos
casos, parte del nivel crítico para la misión, porque si no funciona, nada funciona.
Utilice los servicios de clúster de WS08

Una de las áreas que agregan resistencia al servicio es la disposición en clúster. Los servicios de
clúster son, en realidad, una de las mayores áreas de mejora en Windows Server 2008 (WS08).
Los servicios de clúster de Microsoft dan soporte a tres tipos de clústeres:
• Equilibrio de carga de red (NLB, Network Load Balancing) Este servicio proporciona
elevada disponibilidad y escalabilidad a los servicios del protocolo de Internet (IP, Internet
Protocol), tanto el protocolo de control de transmisiones (TCP, Transmission Control Protocol)
como el protocolo de datagrama de usuario (UDP, User Datagram Protocol); también propor-
ciona estas ventajas a las aplicaciones al combinar hasta 32 servidores en un solo clúster. Los
clientes acceden al clúster de NLB al acceder a una sola dirección IP para todo el grupo. Los
servicios de NLB redireccionan automáticamente al cliente a un servidor que funciona.
• Equilibrio de carga de componente (CLB, Component Load Balancing) Este servicio
permite que componentes COM+ se distribuyan hasta en 12 servidores. Este servicio no es
nativo de WS08; cuando es necesario, puede ser proporcionado por el Microsoft Application
Center Server.
• Clústeres de recuperación de fallas de Windows Server (WSFC, Windows Server Failo-
ver Clusters) Este servicio proporciona resistencia mediante recuperación de fallas de recur-
sos: si un recurso falla, el cliente se transfiere automáticamente a otro recurso en el clúster. Los
clústeres del servidor pueden contener entre dos y 16 nodos.
Estos tres servicios de clúster trabajan en conjunto para proporcionar una estructura de ser-
vicio completa (vea la figura 11-5).
Sólo dos de estas tecnologías de clúster están disponibles en WS08: clústeres de equilibrio
de carga de red y de conmutación por error. Construya sus soluciones de resistencia con base en
estas dos tecnologías. Tenga lo siguiente en mente:
• Cuando proteja sistemas sin estado o que proporcionan servicios de sólo lectura, utilice el
equilibrio de carga de red.
• Cuando proteja sistemas con estado o que proporcionan servicios de sólo lectura, dependa del
clúster de conmutación por error.
Es una fórmula simple: los sistemas que no tienen datos persistentes deben usar NLB, y los
que los tienen, el clúster de conmutación por error.
Servicios de clúster para almacenes de recursos

Los servidores host del almacén de recursos están diseñados para datos persistentes, como
opción predeterminada. Esto es porque almacenan los discos duros virtuales que integran los
ofrecimientos de servicios virtuales. Debido a que los discos duros virtuales son archivos de
datos que están escritos para que operen las máquinas virtuales, es imperativo que la solución
PARTE V
de alta disponibilidad esté diseñada para proteger datos todo el tiempo. Ya hemos analizado
varias maneras en que estos datos pueden protegerse, incluidas las instantáneas de volumen y la
replicación DFS. Ahora necesita tomar en consideración la manera de proporcionar una elevada
disponibilidad al servicio que permite que se ejecuten los ofrecimientos de servicios virtuales.
Debido a que los datos persisten en los servidores hosts, deben ejecutar el servicio Clúster
de conmutación por error para permitir la elevada disponibilidad de los ofrecimientos de servi-
cios virtuales. Esto significa que cuando una máquina host falla, los ofrecimientos de servicios
virtuales que ejecuta se pasan automáticamente a otro servidor host que es parte del clúster. Para
esto, debe construir sus servidores hosts de una manera adecuada. Tome por ejemplo, la siguien-
te configuración.
Equilibrio de carga Equilibrio de carga de Disposición en clúster

de red componente (COM+) para conmutación por
error de Windows Server
Fibra o
S
O
L
I
C
I
T
U
D
E
S
D
E
L
C
L
I
E
N
T
E
FIGURA 11-5 Protección de servicios de N capas.
• El servidor host 1 tiene 16 gigabytes (GB) de memoria de acceso directa (RAM, Random Ac-
cess Memory). Ejecuta ocho ofrecimientos de servicios virtuales a 1 GB de RAM cada uno.
• El servidor host 2 tiene 16 GB de RAM. Ejecuta ocho ofrecimientos de servicios virtuales a 1
GB de RAM cada uno.
En una configuración en clúster, cada uno de los servidores hosts debe reservar una parte de
RAM en el caso de falla. Cuando ocurre ésta, los hosts que toman el control de la carga de trabajo
de servidor con falla deben tener la suficiente RAM disponible para ejecutar todos los servicios
requeridos para que funcione la conmutación por error.
La configuración de servidores en clúster debe, por tanto, planearse con cuidado, porque
necesitará dar soporte a cada uno de los servidores de la configuración. Además, debido a que los
servidores hosts son físicos, necesitarán componentes de hardware especiales para conectarse a
almacenamiento compartido:
• Los conectores de interfaz pequeña de sistema de cómputo (SCSI, Small Computer System
Interface) permitirán que los servidores hosts se conecten a almacenamiento compartido. Tal
vez sea apropiado para configuraciones de servidor host de oficinas regionales, porque sólo se
requieren dos de ellos.
• Los conectores de canal de fibra a través de adaptadores de bus de hosts son apropiados para
clústeres de hasta 16 nodos.
• Los conectores de interfaz pequeña de sistema de cómputo de Internet (iSCSI, Internet Small
Computer System Interface) son apropiados para clústeres de hasta 16 nodos. En realidad, los
conectores iSCSI, debido a que son conectores de red y resulta más simple implementarlos, a
menudo son los que se prefieren para hosts en clúster.
Debido a que está reuniendo en clústeres servidores hosts, necesita asegurarse de que está
usando la versión apropiada de Windows Server 2008. Eso significa que necesita usar la edición
Enterprise o Datacenter.
NOTA Las ediciones Enterprise y Datacenter incluyen licencias para ofrecimiento de servicios
virtuales; por tanto, casi es seguro que ya esté trabajando con una de estas dos ediciones. Recuerde
que la primera se cobra por servidor y la segunda por procesador físico.
SUGERENCIA Aunque no esté usando NLB con servidores hosts, debe considerar la colocación de
cada uno de los miembros de un clúster de NLB en diferentes nodos de host para proporcionar una
mejor disponibilidad del servicio.
Servicios de clúster para ofrecimientos de servicios virtuales

Los ofrecimientos de servicios virtuales también se ven afectados por los servicios de disposición
en clúster, porque la capa de virtualización de Hyper-V de Windows Server da soporte a la emu-
lación de hardware compartido. Los clústeres de NLB no necesitan ningún hardware particular
porque dependen de las tarjetas de interfaz de red para funcionar. Sin embargo, los clústeres
de conmutación por error dependen de emulación de SCSI o de conectores iSCSI. Como se
mencionó antes, puede crear, por tanto, clústeres de dos o hasta 16 nodos con esas tecnologías.
Encontrará que la disposición en clúster en ofrecimiento de servicios virtuales será más completa
que en los almacenes de recursos.
En la tabla 11-1 se presentan las características y los servicios soportados por cada modo de
clúster de ofrecimiento de servicios virtuales. Debido a que la disposición en clúster de CLB no es
nativa a WS08, no se cubre en esta tabla.
Como puede ver, NLB y los clústeres de conmutación por error son más bien complemen-
tarios. En realidad, no se recomienda activar ambos servicios en el mismo servidor; es decir, un
clúster de conmutación por error no debe ser también miembro de un clúster de NLB. Además,
los clústeres de NLB están diseñados para dar soporte a más conexiones estáticas. Eso significa
que no están diseñadas para proporcionar el mismo tipo de conmutación por error que un clúster
de servidor. En el último, si un usuario está editando un archivo y el servidor deja de respon-
der, el componente de conmutación por error se activará automáticamente y el usuario seguirá
realizando su trabajo sin estar consciente de la falla (puede haber una ligera demora en el tiempo
de respuesta). Esto se debe a que el clúster de servidores está diseñado para proporcionar un sis-
tema de espejo al usuario. Pero un clúster de NLB no proporcionará el mismo tipo de experiencia
de usuario. Su principal propósito consiste en redirigir la demanda a recursos disponibles. Como
tales, estos recursos deben ser de naturaleza estática, porque NLB no incluye ninguna capacidad
de depósitos de información de creación de imágenes de espejo.
PARTE V
Ambos servicios de clúster ofrecen la capacidad de dar soporte a cuatro requisitos de ofreci-
miento de servicios:
• Disponibilidad Al proporcionar ofrecimientos de servicio mediante un clúster, es posible
asegurar que estén disponibles durante los periodos que la organización considera que deben
estarlo.
• Coniabilidad Con un clúster, es posible asegurar que los usuarios puedan depender del
ofrecimiento de servicio, porque si un componente falla, se reemplaza automáticamente con
otro componente que funciona.
• Escalabilidad Con un clúster, es posible aumentar el número de servidores que proporcio-
nan el ofrecimiento de servicios sin afectar el servicio que se está entregando a los usuarios.
Servicio de
clúster Equilibrio de carga de red Clústeres de conmutación por error
Edición WS08 Web Enterprise
Standard Datacenter
Enterprise
Datacenter
Número de nodos Hasta 32 Hasta 16
Recursos Mínimo de dos adaptadores de red Conectores de disco SCSI o iSCSI
Función de Servidores de aplicaciones (sin estado) Servidores de aplicación (con estado)
servidor Servidores Web dedicados Servidores de archivos e impresión
Servidores de colaboración (cliente) Servidores de colaboración (almacenamiento)
Servidores de infraestructura de red
Aplicación Granjas Web Servidores de SQL
Servidor de seguridad de Internet y aceleración (ISA) Servidores de Exchange
Servidores de red privada virtual (VPN) Servidores de cola de mensajes
Servidores de lujo de Windows Media
Servidores de comunicación uniicados
TABLA 11-1 Servicios de clúster de WS08 para ofrecimientos de servicios virtuales
• Mantenimiento Un clúster permite al personal de TI actualizar, modificar, aplicar service

packs y mantener componentes sin afectar el nivel de servicio de los ofrecimientos entregados
por el clúster.
Una ventaja de los clústeres de conmutación por error sobre los de NLB es la capacidad de
compartir datos. Los recursos de clúster de conmutación por error deben atarse al mismo recurso
de almacenamiento de datos, asegurando la transparencia del proceso de conmutación por error.
Los clústeres tienen desventajas. Es más complejo ponerlos en funcionamiento y adminis-
trarlos que los servidores independientes, y los servicios que se asignan a clústeres deben cono-
cerlos para aprovechar la característica de disposición en clúster.
Equilibrio de carga de red

La base del clúster de NLB es una dirección IP virtual: los sistemas cliente se conectan a la direc-
ción IP virtual, y el servicio NLB redirige el cliente a un miembro del clúster. Si falla uno de éstos
o se desconecta, el servicio NLB redirige automáticamente las solicitudes a los otros miembros
del clúster. Cuando el miembro regresa en línea, se vuelve a unir automáticamente al clúster y
puede redirigirlo. En casi todos los casos, el proceso de conmutación por error (el proceso de redi-
rigir clientes a los recursos del clúster cuando un miembro falla) toma menos de 10 segundos.
Los miembros del clúster de NLB no comparten componentes. Son servidores indepen-
dientes que hospedan las mismas aplicaciones y copias locales idénticas del acceso a sistemas de
cliente de datos. Por eso es por lo que NLB es más adecuado para aplicaciones sin estado (aplica-
ciones que proporcionan acceso a datos en modo de sólo lectura, principalmente). Por lo general,
los servidores NLB usan dos tarjetas de interfaz de red. La primera está dedicada a tráfico de
red de clúster y la segunda es para comunicaciones con clientes y otras comunicaciones de red
normales. El tráfico de red de clúster del miembro se encuentra, sobre todo, en la forma de la
señal de pulso que se emite cada segundo y que se envía a los otros miembros del clúster. Si un
miembro no envía un pulso dentro de un periodo de cinco segundos, los otros miembros realizan
automáticamente una operación de convergencia para eliminar del clúster el miembro que ha
fallado y también de las redirecciones de solicitudes de cliente.
SUGERENCIA Puede agregar más de una tarjeta de interfaz de red (NIC, Network Interface Card)
para el acceso de cliente, pero dos conforman la coniguración mínima que debe ejecutar.
NOTA Si decide construir ofrecimiento de servicios basados en hardware por alguna razón, tome en
consideración esto en la selección de la coniguración de hardware para los servidores. Como cada
miembro de clúster usa datos idénticos, a menudo es útil optimizar el hardware de servidor para
dar soporte a operaciones rápidas de lectura. Por esto, muchas organizaciones planean utilizar
clústeres de NLB para no implementar subsistemas de disco RAID porque la redundancia es
proporcionada por miembros de clúster. El acceso a disco está optimizado porque no hay una so-
brecarga de RAID durante las operaciones de lectura. Sin embargo, es esencial asegurar que todos
los sistemas estén completamente sincronizados todo el tiempo. Si decide o no construir servidores
NLB sin protección de RAID es una decisión que tomará cuando diseñe su arquitectura de NLB.
Dependerá principalmente de su estrategia de sincronización de datos, el tipo de servicio que trata
de hospedar en el servidor y el número de servidores que trata de colocar en su clúster de NLB.
Debido a que los servidores de NLB son ofrecimientos de servicios virtuales, no necesita
hacer ninguna consideración especial relacionada con el hardware, aunque debe crear máquinas
virtuales idénticas para proporcionar el ofrecimiento del servicio.
El eje del servicio NLB es el controlador wlbs.sys. Éste es un controlador que se ubica
entre la tarjeta de interfaz de red y el tráfico de la red. Filtra todas las comunicaciones de NLB y
establece al servidor miembro para que responda a solicitudes, si se han dirigido a él.
NLB es un DNS tipo round-robin, pero proporciona mejor tolerancia a fallas. Este tipo de DNS
depende de varias entradas DNS para un servicio. Cuando los clientes requieren una conexión, el
servicio DNS proporciona la primera dirección, luego la segunda, la tercera, etc. No puede revisarse
si en realidad la dirección se resuelve. Ésta es una razón por la que NLB es mejor. Siempre revisa
las direcciones de destino para asegurar que el servidor está disponible cuando se redirigen los
clientes. Y, como el servicio NLB está hospedado en cada miembro clúster, no hay un punto único
de falla. También hay conmutación por error inmediata y automática de miembros de clúster.
PARTE V
Modos del multidifusión en comparación con unidifusión
Los clústeres de NLB operan en modo de multidifusión o de unidifusión. El modo predetermi-
nado es unidifusión. En este modo, el clúster de NLB reasigna automáticamente la dirección del
control de acceso a medios (MAC, Media Access Control) para cada miembro del clúster en la
tarjeta de interfaz de red que está habilitada en el modo de clúster. Si cada miembro tiene sólo
una NIC, las comunicaciones de miembro a miembro no son posibles en este modo. Ésta es una
razón por la que resulta mejor instalar dos NIC en cada servidor.
Cuando se use el modo de multidifusión, NLB asigna dos direcciones de multidifusión al
adaptador de clúster. Este modo asegura que todos los miembros de clúster se pueden comunicar
automáticamente entre sí porque ya no cambian a las direcciones MAC originales. Sin embar-
go, hay desventajas en este modo, sobre todo si utiliza enrutadores de Cisco. La respuesta del
protocolo de resolución de dirección (ARP, Address Resolution Protocol) enviada por un host
de clúster es rechazada por estos enrutadores. Si usa el modo de multidifusión en un clúster de
NLB con enrutadores Cisco, debe reconfigurar manualmente los enrutadores con entradas ARP,
asignando la dirección IP del clúster a su dirección MAC.
Ya sea que utilice un modo u otro, debe recurrir por lo menos a dos tarjetas de red en cada
miembro. Una ventaja de hacer esto es que le permite configurar una tarjeta para recibir tráfico
entrante y la otra para enviar tráfico saliente, haciendo que sus miembros de clúster respondan
aún mejor. También puede asegurarse de que, si su clúster de NLB es sólo cliente de una estruc-
tura compleja de clúster, como la ilustrada en la figura 11-5, todas las comunicaciones de cliente
son manejadas por la tarjeta de red que no es de clúster.
Por último, si se espera que sus miembros de NLB manejen cargas extremadamente elevadas
de tráfico, puede agregar más tarjetas de red en cada miembro y unir el servicio NLB a cada una,
mejorando el tiempo de respuesta general para cada miembro.
Ainidad sencilla contra falta de ainidad

Los clústeres de NLB trabajan en modo de afinidad. Cada uno alude a la manera en que el tráfico
equilibra la carga en NLB. La afinidad sencilla alude al equilibrio de carga basado en la dirección
IP de la conexión entrante. Automáticamente redirige todas las solicitudes de la misma dirección al
mismo miembro de clúster. Sin afinidad alude al equilibrio de carga basado en la dirección IP en-
trante y su número de puerto. La afinidad de clase C es aún más fina que la afinidad única. Asegura
que los clientes que utilizan varios servidores proxy para comunicarse con los clústeres se redirijan
al mismo miembro de clúster en todo momento. Sin afinidad es útil cuando se da soporte a las lla-
madas de redes que emplean traducción de dirección de red (NAT, Network Adress Translation) a
partir de transmisiones IPv4, porque esas redes sólo presentan una sola dirección IP ante el clúster.
Si utiliza el modo de afinidad única y recibe una gran cantidad de solicitudes de redes NAT, esos
clientes no obtendrán beneficios de la experiencia del clúster, porque todas sus solicitudes se rediri-
girán al mismo servidor. Las conexiones IPv6 pueden ejecutarse en cualquier modo de afinidad.
Sin embargo, si utiliza un clúster de NLB para proporcionar conexiones de red privada virtual
empleando sesiones de protocolo de entunelamiento de capa 2/Seguridad de protocolo de Inter-
net (L2TP/IPSec) o protocolo de entunelamiento de punto a punto (PPTP, Point to Point Tunneling
Protocol), debe configurar su clúster en modo de afinidad única para asegurarse de que las soli-
citudes de cliente siempre se redirijan al mismo host. La afinidad única también debe usarse para
cualquier aplicación que emplee sesiones perdurables sobre conexiones del protocolo de control
de transmisión (TCP, Transmission Control Protocol) para asegurar que toda la sesión se asigne al
mismo servidor. Por último, la afinidad única debe usarse si las sesiones de cliente utilizan la capa
de conexiones segura (SSL, Secure Sockets Layer) para conectarse a los servidores NLB
La afinidad única no da los mismos resultados de equilibrio de carga que la falta de afinidad.
Considere el tipo de solicitud que su clúster manejará antes de decidir sobre la arquitectura de su
clúster.
Instale y conigure clústeres de NLB

La instalación de un clúster de NLB es muy sencilla. Cada servidor miembro debe tener suficien-
te espacio en disco para hospedar la aplicación, y debe tener por lo menos dos tarjetas de interfaz
de red. También necesitará tener alguna información a mano antes de empezar la instalación,
entre lo que se incluye:
• El nombre de Internet del clúster: el nombre DNS que pretende usar para el clúster.
• La dirección IP virtual del clúster y la máscara de subred apropiada: la dirección que se vincu-
lará con el nombre DNS.
• El modo IP que pretende usar: IPv4, IPv6 o ambos.
• Las direcciones IP actuales y las máscaras de subred para cada miembro de clúster.
• El modo de difusión de clúster que desea usar: unidifusión o multidifusión. Si utiliza multi-
difusión, querrá también utilizar el protocolo de multidifusión del grupo de Internet (IGMP,
Internet Group Multicast Protocol) para reducir el número de puertos empleados para dirigir
el tráfico de administración de clúster y restringirlo al rango de clase D del IPv4 estándar; es
decir, de 224.0.0.0 a 239.255.255.255.
• El modo de afinidad de clúster que desea emplear: afinidad única, clase C o sin afinidad.
• Si quiere o no habilitar el control remoto del clúster empleando la aplicación NLB.EXE.
PRECAUCIÓN Es muy recomendable no habilitar esta característica porque puede causar un riesgo
de seguridad. Cualquier usuario con acceso a la aplicación NLB.EXE puede controlar un clúster.
Es mejor emplear la consola Administrador de equilibrio de carga de red para administrar sus
clústeres de NLB. El acceso a esa consola puede controlarse mejor que el acceso a NLB.EXE.
• El ID único que quiere asignar a cada miembro de clúster.

• Los puertos TCP y UDP para los que quiere que NLB maneje tráfico.
• El peso de la carga o el manejo de la prioridad que aplicará al clúster. El peso de la carga se
usa cuando filtra tráfico a varios miembros de clúster. El manejo de la prioridad se emplea
cuando el tráfico se filtra a un solo miembro del clúster.
Ahora, está listo para configurar su clúster de NLB. Tenga en cuenta que siempre necesitará
realizar dos tareas para crear un clúster de NLB:
• En primer lugar, necesita agregar la característica Equilibrio de carga de red. Incluso podría
considerar que esta parte de la máquina virtual preparada con Sysprep se use para sembrar
miembros de clúster de NLB.
• Luego, configure el servicio NLB en los miembros del clúster.
Proceda de la siguiente manera:
1. Utilice el nodo Administrador del servidor|Características para seleccionar Agregar caracterís-
PARTE V
ticas en el panel de acciones.
2. Seleccione la característica Equilibrio de carga de red. Haga clic en Siguiente.
3. Haga clic en Instalar, y luego en Cerrar, una vez que la característica esté instalada.
Está listo para construir el primer nodo del clúster.
1. Lance el Administrador de equilibrio de carga de red. Vaya al menú Iniciar, seleccione Herra-
mientas administrativas y haga clic en Administrador de equilibrio de carga de red.
2. Esto abre la Consola de administración de Microsoft (MMC) del Administrador de NLB. Para
crear un nuevo clúster, haga clic con el botón derecho en Clústeres de equilibrio de carga de
red, en el panel de la izquierda, y seleccione nuevo clúster.
3. Utilice los valores en la tabla 11-2 para rellenar este asistente.
Página del asistente para nuevo

clúster de NLB Configuración
Nuevo clúster: conectar Ingrese el nombre de host del primer miembro en el clúster, y haga clic en Conectar.
Seleccione la interfaz a la que habrá de conectarse.
Nuevo clúster: parámetros de host Seleccione la prioridad del host.
Puede seleccionar el número de la prioridad predeterminado.
Seleccione la dirección IP dedicada para el host.
Seleccione el estado predeterminado del host.
Establézcalo como Iniciado.
Seleccione la opción Retener estado suspendido después de reiniciar el equipo.
Esto asegurará que el sistema no se vuelva a unir al clúster durante las operacio-
nes de mantenimiento.
Nuevo clúster: direcciones IP del Agregue la dirección o las direcciones IP del clúster. Aquí pueden agregarse
clúster varias direcciones IP, pero recuerde que una entrada DNS se requerirá para cada
dirección que asigne. Seleccione una dirección IPv4 o IPv6. Asegúrese de crear
las entradas DNS correspondientes.
Nuevo clúster: parámetros de Agregue el nombre DNS para el clúster.
clúster Seleccione Unidifusión con comunicación entre host con unidifusión, Multidifusión
o Multidifusión IGMP. Si su red soporta el modo de multidifusión, entonces selec-
cione multidifusión IGMP. Cuando lo haga, WS08 leerá un mensaje de adverten-
cia. Haga clic en Aceptar para cerrarlo.
Nuevo clúster: reglas de puerto Deina las reglas del puerto para el clúster y el modo de ainidad para cada regla.
Como opción predeterminada, todos los miembros de clúster manejan todos los
puertos TCP y UDP en modo de ainidad única. Para modiicar esta regla, haga clic
en el botón Editar. Para agregar nuevas reglas haga clic en el botón Agregar.
TABLA 11-2 Coniguración del asistente para creación de clúster de NLB
Ahora puede agregar miembros de clúster. Haga clic con el botón derecho en el nombre de
clúster para seleccionar Agregar host al clúster. Escriba el nombre DNS del miembro y haga clic
en Conectar. Una vez más, utilice los valores de la tabla 11-2 para preparar este host. Cuando
complete esta adición, el servicio NLB realizará una convergencia para traer en línea todos los
miembros del clúster.
Ya ha terminado. A partir de ahora, puede administrar el clúster (agregar, eliminar y configu-
rar miembros) mediante esa consola (vea la figura 11-6). Observe que esta interface despliega los
miembros del clúster en el panel de árbol, el estatus de cada nodo en el panel de detalles y, abajo,
en el panel de información, presenta una lista de los detalles de la operación de NLB.
Los clústeres de NLB serán útiles para medios de flujo de equilibrio de carga, comunicacio-
nes unificadas, aplicaciones Web y servidores de red privada virtual dentro de su red.
SUGERENCIA El sitio Web que acompaña este libro ofrece una ayuda de trabajo para la preparación
de clústeres de NLB en www.reso-net.com/livre.asp?p=main&b=WS08.
NOTA Muchas organizaciones deciden depender de equilibradores de carga de hardware para esa
tarea. Proporcionan exactamente el mismo servicio que NLB, pero a menudo incluyen capacidades
de aceleración de tráico. Comercializadores como CAI Networks (www.cainetworks.com) y F5
Networks (www.f5.com) ofrecen productos en esta categoría. Estos dispositivos funcionan bien
con ofrecimientos de servicios virtuales.
FIGURA 11-6 Interfaz del Administrador de equilibrio de carga de red.
Clústeres de conmutación por error de Windows Server

Los clústeres de conmutación por error de WS08 ofrecen el mismo tipo de disponibilidad de
servicios que los de NLB, pero dependen de un modelo diferente. Mientras que en los clústeres
de NLB, las configuraciones del servidor no tienen que ser idénticas, el objetivo del clúster de
servidor consiste en hacer que los servidores idénticos sean redundantes al permitir conmutación
por error inmediata de aplicaciones host de servicios. Como se ilustró en la figura 11-5, Windows
Server 2008 da soporte hasta a 16 clústeres de nodo.
Los clústeres de conmutación por error de Windows Server (WSFC, Windows Server Failover
Clustering) incluyen varias configuraciones. Puede diseñar el clúster para que cada nodo realice
diferentes tareas, pero estará listo para conmutación por error en caso de falla de cualquiera de
los servicios y aplicaciones de otros nodos. O puede diseñar el clúster para que las aplicacio-
nes operen al mismo tiempo que cada uno de los nodos. Por ejemplo, puede diseñar un clúster
PARTE V
de base de datos financiera de cuatro nodos para que el primer nodo administre la entrada de
pedidos, el segundo el procesamiento de pedidos, el tercero los servicios de pago y el cuarto
otras actividades contables. Para ello, su aplicación debe ser plenamente compatible con clústeres
(cumpliendo por completo con todas las características de WSFC). No todas las aplicaciones o
incluso los servicios de WS08 son completamente compatibles con los clústeres.
Lista de compatibilidad de clúster

Aun en el propio ofrecimiento de productos de Microsoft, hay algunas particularidades en cuanto
a la compatibilidad con los clústeres. Ésta puede caer en una de cuatro categorías:
• Consciente de WSFC es un producto o servicio interno de WS08 que puede aprovechar por
completo el servicio de clúster. Puede comunicarse con la interfaz de programación de aplica-
ciones (API, Application Programming Interface) del clúster para recibir estratos y notificacio-
nes del clúster de servidor. También puede reaccionar a eventos de clúster.
• Independiente de WSFC (o inconsciente) es un producto o servicio de WS08 interno que no
está consciente de la presencia del clúster pero que puede instalarse en un clúster y compor-
tarse de la misma manera que si estuviera en un solo servidor. Sólo responde a los eventos de
clúster más básicos.
• Incompatible con WSFC es un producto o servicio interno de WS08 que no se comporta
bien en el contexto de un clúster y no debe instalarse en un nuevo clúster de servidor.
• Compatible con NLB presenta productos que son adecuados para los clústeres de NLB. NLB
y WSFC suelen ser compatibles entre sí.
En la tabla 11-3 se presentan por categorías los sistemas de Windows Server de Microsoft y
las funciones de WS08 en cuanto a compatibilidad de clúster.
La información de la tabla 11-3 está sujeta a cambios a medida que cada uno de los pro-
ductos evoluciona, pero sirve como un buen punto de partida para determinar la manera en que
puede configurar una elevada disponibilidad para sus servicios.
Conceptos de clúster de servidor

Los nodos en un clúster de servidores pueden configurarse en modo activo o pasivo. Un nodo
activo es uno que presenta sus servicios de manera activa. Uno pasivo es el que permanece en modo
latente, esperando a responder ante una falla del servicio. Está de más decir que, al igual que la
octava función de servidor presentada antes, el servidor de conmutación por error, el nodo pasivo
es una solución más costosa en recursos, pero el hardware de servidor o la máquina virtual sólo
está esperando las fallas antes de que se vuelva útil. Pero si sus cálculos de riesgo indican que los
servicios críticos para el negocio requieren nodos pasivos, entonces debe implementarlos porque
proporcionan una disponibilidad extremadamente elevada en ciertos escenarios.
Casi todas las organizaciones utilizan el modo de clúster activo-activo. En realidad, la imple-
mentación más popular de WSFC es el de clúster activo-activo de dos nodos. A esto se le llama un
paquete de clúster porque los nodos de clúster comparten datos. Puede configurarse para que se
ejecuten exactamente los mismos servicios al mismo tiempo (por ejemplo, Microsoft Exchange Ser-
ver ejecutándose en ambos nodos) o puede configurarse para ejecutar diferentes servicios en cada
nodo. En esta configuración, cada nodo está configurado para ejecutar las mismas aplicaciones y
servicios, pero la mitad de ellos está activada en el primer nodo y la otra mitad en el otro nodo. De
esta manera, si el servicio falla, el otro nodo puede proporcionar inmediata conmutación por error
porque puede ejecutar el servicio temporalmente hasta que pueda repararse el nodo fallado.
En escenarios activo-activo que ejecutan las mismas aplicaciones en todos los modos, éstas
deben estar completamente conscientes del clúster. Eso significa que pueden ejecutar varias ins-
tancias de la aplicación y compartir los mismos datos. Muchas aplicaciones incluyen sus propias
capacidades internas para dar soporte a este modo operativo. Las aplicaciones que no son com-
pletamente compatibles (que sólo son independientes del clúster) deben ejecutarse en instancias
únicas; es decir, en un solo nodo.
Recuerde que los servidores que elija para crear su clúster de servidor deben tener el tamaño
para tomar el control de la carga adicional causada por las fallas del nodo. Puede usar el ejerci-
cio de asignación de tamaño de servidor delineado en el capítulo 4 para ayudar a identificar los
componentes que necesite para sus nodos de clúster. Los servidores con un tamaño apropiado
son esenciales para soportar la conmutación por error de aplicaciones (vea la figura 11-7). Detalla
Consciente Independien- Incompatible Compatible

Producto o servicio de WSFC te de WSFC con WSFC con NLB Comentario
Servicios de dominio X No recomendado; la disponibili-
de Active Directory dad se proporciona mediante la
replicación multimaestro.
Servicios de directorio X No recomendado; la disponibi-
ligero de Active Directory lidad se proporciona mediante
replicación de ADLDS.
Servidor de BizTalk X X X El servidor de estado BizTalk y el
cuadro de mensaje son conscien-
tes del clúster. Los servidores de
mensajería y procesamiento son
independientes del clúster. Todos
los otros servicios deben utilizar
un clúster de equilibrio de carga
de red. BizTalk también puede
aprovechar el servidor de SQL
Server de clúster.
COM+ X Los clústeres de equilibrio de car-
ga de componentes preferidos.
Servidor de comercio X Los clústeres de equilibrio de car-
ga de componentes preferidos.
DFS X Sólo espacios de nombre DFS
independientes. Los espacios de
nombres DFS de dominio utilizan
redundancia proporcionada por
ADDS.
DHCP-WINS X Completamente compatible.
Coordinador de transac- X Completamente compatible.
ciones distribuidas
DNS X Redundancia proporcionada por
ADDS cuando se integra con el
directorio.
Exchange 2000 y pos- X X Completamente compatible. En
terior Exchange 2007, diferente en
funciones del servidor, pueden
aprovechar modos diferentes.
Intercambio de archivos X Completamente compatible.
PARTE V
IIS X X Los clústeres NLB son los
preferidos.
Servidor ISA X X Los clústeres NLB son los
preferidos
Administrador de ciclo X Completamente compatible.
de vida de identidad de
Microsoft
Cola de mensajes de X Completamente compatible.
Microsoft
TABLA 11-3 Lista de compatibilidad de clústeres

Consciente Independien- Incompatible Compatible

Producto o servicio de WSFC te de WSFC con WSFC con NLB Comentario
Ofice Live Communica- X X LCS es incompatible con WSFC.
tions (LCS) Utilice un clúster de NLB para ser-
vidores cliente. Utilice un WSFC
para servidores de SQL Server
Ofice Project Server X Sólo la parte de SQL Server.
Ofice SharePoint Portal X X Sólo la parte de SQL Server. La
Server parte de IIS debe usar NLB.
Servicios de impresión X Completamente compatible.
SQL Server 2000 y X Completamente compatible.
posterior
Administrador de coni- X Los servidores SQL Server pue-
guración del centro de den disponerse en clúster bajo
sistema condiciones especiales.
Administrador de ope- X No soportado.
raciones del centro de
sistema
Terminal Services X Terminal Services depende del
equilibrio de carga del Agente
de sesiones, una característica
personalizada de equilibrio de
carga.
Servicios de implemen- X No soportado.
tación de Windows
Windows SharePoint X X Sólo la parte de SQL Server. La
Services parte de IIS debe usar NLB.
Flujo de datos de Win- X X Los clústeres de NLB son los
dows Media preferidos.
TABLA 11-3 Lista de compatibilidad de clústeres (Continuación)
la manera en que cada nodo de un clúster de cuatro nodos debe tener la capacidad de absorber la
falla de cada nodo diferente hasta que quede un nodo solo. Éste es, por supuesto, un escenario
del peor caso, pero demuestra que en un clúster, los recursos del sistema deben estar reservados
para fallas; de otra manera, el clúster no podrá proporcionar una disponibilidad elevada.
Puede configurar sus clústeres de servidor de muchas maneras. Además, en clústeres de varios
modos, puede usar una mezcla y combinar los servicios o las aplicaciones de instancia múltiple con
funciones de una sola instancia. Si la aplicación es crítica para la misión y no puede caerse bajo nin-
guna circunstancia, puede configurarla como una instancia múltiple en algunos nodos y hospedarla
en modo pasivo en otros nodos para tener la mejor disponibilidad posible para la aplicación.
Por último, tenga cuidado con sus directivas de conmutación por error. Un clúster de dos a
cuatro nodos puede utilizar fácilmente directivas aleatorias de conmutación por error (el servicio
fallado se distribuye al azar entre los otros nodos disponibles) porque la combinación posible de
recursos es relativamente pequeña. Pero si tiene más de cuatro nodos en clúster, es una buena
idea especificar las directivas de conmutación por error, porque la combinación posible de recur-
sos será muy grande y los nodos pueden sobrecargarse durante la recuperación. La ilustración de
la figura 11-7 es un ejemplo de una directiva de conmutación por error aleatoria.
FIGURA 11-7 Conmutación por error de nodo en un clúster de cuatro nodos.
NOTA Las aplicaciones de una sola instancia son más adecuadas para clústeres activo-pasivo de dos
nodos, donde un nodo ejecuta el servicio y el otro hospeda el servicio en modo de espera. De esa
manera, si el servicio falla en el nodo que se ejecuta, el segundo nodo puede tomar el control.
Coniguraciones de clúster
Además, su configuración de clúster necesitará la capacidad de compartir información sobre sí
mismo entre los nodos. Esto se realiza mediante un recurso de quórum en un disco testigo. Como
opción predeterminada, hay un solo recurso de quórum por clúster. Cada nodo del clúster puede
acceder al recurso de quórum y saber el estado del clúster porque contiene una copia de la configu-
ración de éste. El quórum ayuda al clúster a determinar si debe seguir ejecutándose cuando cierto
número de nodos falla. WS08 da soporte a cuatro configuraciones de quórum diferentes:
• Mayoría de nodos Cuando los clústeres tienen un número non de nodos, utilice esta confi-
guración. Por ejemplo, un clúster de un nodo requerirá un quórum de mayoría de nodos. Una
configuración de nodos nones puede dar soporte a la falla de la mitad de los nodos menos
una. En un clúster de cinco nodos, por ejemplo, sólo dos nodos pueden caer antes de que
caiga el clúster.
• Mayoría de nodos y discos Esta configuración se recomienda cuando su clúster tiene un
número par de nodos. Consta de un disco de quórum más mayoría de nodos. Siempre y cuan-
do el disco permanezca en línea, puede fallar hasta la mitad de nodos del clúster y seguir eje-
cutándose. Si el disco falla también, entonces el clúster se comportará como una configuración
de Mayoría de nodos solamente, fallando cuando la mitad menos uno de los nodos fallen.
PARTE V
• Mayoría de nodos y recurso compartido de archivos Esta configuración suele recomen-
darse para clústeres dispersos geográficamente. Es la misma que la Mayoría de nodos y discos,
excepto que el disco testigo es desplazado por un recurso compartido de archivos testigo.
• Sin mayoría: sólo discos Ésta era la configuración estándar de clústeres antes de WS08.
Microsoft ya no la recomienda porque el disco proporciona un solo punto de falla debido a
que es el único testigo de la operación del clúster. Por otra parte, esta configuración puede caer
a un solo nodo antes de que falle el clúster.
Como puede ver, hay varias configuraciones. Debido a que la mayoría crea clústeres de dos
nodos, la configuración de Mayoría de nodos y discos es la recomendada para el quórum. En una
configuración de dos discos, el clúster puede ejecutarse con sólo un nodo disponible, siempre y
cuando el disco testigo esté disponible.
NOTA La coniguración de Mayoría de nodos y discos es la misma que la coniguración Sin mayo-
ría: sólo discos cuando se trata de un clúster de dos nodos. Si el disco falla, todo el clúster falla.
Pero proporciona mejor soporte para clúster a medida que agrega nuevos nodos.
Como ya se mencionó, WSFC requiere un sistema de almacenamiento compartido. Este tipo

de sistemas puede conectarse mediante SCSI, canales de fibra o iSCSI. Los sistemas SCSI sólo
tienen soporte en clústeres de dos nodos. El canal de fibra de bucle arbitrado sólo tiene soporte
por parte de clústeres de dos nodos, pero proporciona mejor escalabilidad que los sistemas SCSI
porque puede hospedar hasta 126 dispositivos. Tome nota de que WS08 no da soporte a clústeres
mediante interfaces SCSI paralelas.
Pueden usarse el canal de fibra conmutado e iSCSI para clústeres que hospedan hasta 16
nodos. Aquí, los dispositivos están conectados en una topología de varios a varios que da sopor-
te a los requisitos de elevada disponibilidad y configuración compleja de los clústeres de servidor
de varios nodos. Cada servicio que se ejecuta en un clúster de varios nodos necesitará acceso a su
propia área protegida de almacenamiento compartido. Esto se debe a que, mientras se ejecuta un
servicio, el nodo de clúster requiere acceso exclusivo al área de almacenamiento que el servicio usa
para datos persistentes. Cuando se inicia una falla, el nodo que falla libera la conexión de almacena-
miento y el nodo de conmutación por error la recoge para que el servicio siga trabajando. A esto se
le denomina servicio de clúster donde nada es compartido, porque un nodo que ejecuta un servicio
determinado requiere acceso exclusivo al almacenamiento vinculado al servicio. Esto significa que,
cuando configure sus clústeres, debe configurar un área de almacenamiento reservada para cada
servicio que trate de ejecutar en él (vea la figura 11-8). Cada vez que uno no esté ejecutando un
servicio determinado, se le considera un nodo activo. Cada vez que un nodo tenga un espacio reser-
vado para un servicio pero no se esté ejecutando, se le considera un nodo pasivo. Los nodos pueden
ser activos y aun reservar espacio en modo pasivo para otras conmutaciones por error de servicios.
Al igual que con el clúster de NLB, los nodos de clúster de servidor deben tener por lo me-
nos dos tarjetas de red; una para las comunicaciones dentro del clúster y otra para las comunica-
ciones con sistemas cliente y otros recursos de red.
Clústeres dispersos geográicamente

Windows Server 2008 da soporte a la dispersión de clústeres en varios sitios físicos. Esto significa
que, además de resistencia de aplicaciones o servicio, puede agregar recuperación de desastres
mediante el servicio de WSFC. Si un sitio completo falla por alguna razón imprevista, el clúster
seguirá proporcionando servicios a sus clientes base porque la conmutación por error ocurrirá en
el otro sitio o los sitios que contienen nodos de clúster. La configuración de los clústeres geográ-
ficamente dispersos es más específica que la de los clústeres que se encuentran en el mismo sitio,
debido a la dificultad agregada de mantener la consistencia del clúster.
En realidad, si quiere crear un clúster de varios sitios, necesita asegurarse de que el retraso de
su conexión WAN es el menor posible, aunque WS08 introduce el concepto de recurso compar-
tido de archivos testigo (WFS, Witness File Share). WFS es un recurso compartido de archivo se-
parado que suele localizarse en un sitio independiente para proporcionar un nodo con voto adi-
cional durante el proceso de conmutación por error. Durante este proceso, cada uno de los nodos
quiere obtener el control de un servicio porque considera que en otro nodo no está disponible.
Mediante WFS, los dos nodos podrán identificar si el otro ha fallado o no. Sin WFS, dos nodos a
menudo tratarán de cargar el servicio, con fallas que en ocasiones resultarán catastróficas.
Nodo 1 Nodo 2 Nodo 3 Nodo 16
Servicio Servicio Servicio Servicio

1 2 3 n
Servicio Servicio Servicio Servicio
n 1 2 3
Disco de quórum
q
(Q:)
Volumen 1
(servicio
i i 1)
1
Volumen 2
((servicio
servicio
i i 2))
Volumen 3
(servicio
i i 33)
Volumen n
i i n)
(servicio
Leyenda:
Disco dedicado Propietario de Soporte a conmuta-
del sistema disco compartido ción por errores Servicio x: activo Servicio x: pasivo
FIGURA 11-8Asignación de recursos de almacenamiento a clústeres y dependencia de la coniguración de

quórum de Mayoría de nodos y discos.
Además, necesita configurar una red de área local virtual (VLAN, Virtual Local Area Net-
work) que reagrupe los nodos de varios sitios, incluido el WFS. Si no puede construir conexiones
WAN de baja latencia ni una VLAN, incluido cada sitio que hospeda un nodo, entonces no debe
diseñar clústeres de varios sitios.
Cuando se configuran clústeres de varios sitios, necesita utilizar una nueva característica de
WS08: los conjuntos de nodos de mayoría (MNS, Majority Node Sets). Esos conjuntos son nece-
sarios porque el clúster de varios sitios no puede compartir conjuntos de datos como el clúster de
un solo sitio, porque los nodos no están localizados en el mismo lugar físico. Por tanto, el servicio
de clúster debe tener la capacidad de mantener y actualizar los datos de configuración de clúster
PARTE V
en cada unidad de almacenamiento del clúster. Ésta es la función del conjunto de nodos de ma-
yoría (vea la figura 11-9).
Consideraciones relacionadas con los clústeres de conmutación

por error de almacén de recursos
La instalación e implementación de un servidor de clúster no es una tarea simple. Requiere
hardware especial (hardware que está calificado para dar soporte a los clústeres de servidor de
Windows Server 2008). Por esta razón, será esencial que verifiquen la lista de compatibilidad de
hardware de Windows (www.microsoft.com/whdc/hcl/default.mspx) que su hardware de clúster
es completamente compatible con WS08. Recuerde que los servidores hosts deben ser sistemas
x64. Proceda con precaución para asegurar que sus clústeres estén construidos apropiadamente.
Clúster de un solo sitio Clúster de varios sitios

VLAN de clúster
Sitio A Sitio B
Quórum Datos de configuración
compartido de clúster
Miembro 1 Miembro 2 Miembro 3 Miembro 4
MNS MNS MNS MNS
Datos de aplicación
Conjunto de nodos
de mayoría
Sitio C
Recurso compartido
de archivos testigo
FIGURA 11-9 Coniguraciones de clúster de un sitio en comparación con el de varios sitios.
Pida soporte técnico a su fabricante de hardware. Esto asegurará que sus clústeres de servidor
aprovechen por completo las características de alta disponibilidad y confiabilidad del hardware y
de WS08. Además, debe tomar en cuenta las siguientes consideraciones:
• Clúster de nodo de mayoría WS08 sólo da soporte a clústeres de nodo de mayoría de dos
sitios. La característica de nodo de mayoría de WS08 no administra replicación de datos para
aplicaciones; esta función debe estar disponible dentro de la propia aplicación. Por ejemplo,
Exchange 2007 incluye la capacidad de ejecutar un clúster geográfico. También es importante
tomar nota de que los conjuntos de nodo de mayoría no pueden sobrevivir durante periodos
largos con un solo nodo; necesitan tener la mayoría de los nodos disponibles para seguir ope-
rando. Los clústeres de quórum simple pueden, por otra parte, sobrevivir con uno solo porque
los datos del quórum están almacenados en una sola ubicación.
• Servidores de identidad en clúster No se recomienda unir en clúster controladores de do-
minio debido a la naturaleza de este servicio. Por ejemplo, las funciones de maestro de operacio-
nes flexibles simples no pueden utilizarse para conmutación por error y pueden causar interrup-
ciones de servicio si el nodo host falla. Además, es posible que el controlador de dominio (DC)
esté tan ocupado que no corresponda a las solicitudes del clúster. En esta situación, el clúster
hará fallar el DC porque considerará que ya no está funcionando. No una en clúster DC.
• Almacenes de recursos en clúster Los almacenes de recursos pueden aprovechar los clús-
teres de quórum sencillo y los conjuntos de nodo de mayoría. Pero debido a que es complicado
construir estos últimos y requieren hardware muy especializado, tal vez lo mejor sea que ejecute
los clústeres de quórum sencillo para proporcionar alta disponibilidad para los ofrecimientos
de servicios virtuales que se ejecutan en los servidores hosts. Entonces, si ocurre una falla total
en un sitio, puede poner a funcionar los ofrecimientos de servicios virtuales del sitio secundario
mediante una serie de procedimientos o incluso automatizarlo mediante secuencias de coman-
dos. Todo depende de sus acuerdos de nivel de servicio para fallas totales del sitio.
Éstas no son las únicas consideraciones importantes cuando se crean e instalan clústeres de
servidor, sino que proporcionan una buena referencia y son la base antes de que empiece. Lo
mejor que hay que hacer es determinar dónde serán de más ayuda los clústeres de conmutación
por error. Utilice los detalles de las tablas 11-1 y 11-3 para ayudarse a tomar las decisiones apro-
piadas sobre los clústeres.
Proceso de construcción de clústeres de conmutación por error en WS08

Al igual que con la creación de clústeres de NLB, la creación de WSFC debe realizarse en varios
pasos. El proceso es el mismo para almacenes de recursos y ofrecimientos de servicios virtuales.
1. Instale el sistema operativo, asegúrelo y finalice el proceso de instalación predeterminado.
Además, únalo al dominio.
NOTA Los miembros de clúster deben pertenecer a un dominio de ADDS. De otra manera, no podrá
construir el clúster.
2. A continuación, instale el servicio WSFC y apague el servidor. Haga esto para cada uno de los
nodos de clúster.
3. Prepare las unidades de almacenamiento compartidas.
4. Arranque el primer nodo para conectar el almacenamiento compartido y asigne etiquetas de
unidad apropiadas. Además, configure las tarjetas de interfaz de red. Una tarjeta vinculará a
los usuarios con el clúster y otra proporcionará tráfico de pulsos para el clúster. Configure cada
uno de manera apropiada. También puede asignarles nombres apropiados: “Pública” para la
NIC pública y “Privada” para la privada. Apague el nodo.
SUGERENCIA Los discos de quórum o testigos a menudo se etiquetan como “Quórum” y los discos
de datos como “DiscoCompartido” en los clústeres de dos nodos. De manera correspondiente, a
la unidad de quórum se le asigna la letra Q: y a los discos de datos compartidos se le asigna la
letra S: (de Shared, compartido). Utilice su juicio para asignar nombres adecuados a los discos de
quórum y compartidos en sus clústeres de varios nodos.
5. Arranque un segundo nodo, conéctelo al almacenamiento compartido y asigne etiquetas de

unidad apropiadas. Repita para cualquier otro nodo en su clúster. Si tiene más de dos nodos,
apague cada nodo después de esta operación.
6. No apague el último nodo de su clúster. En cambio, empiece la construcción de su clúster.
SUGERENCIA Cuando construya un clúster, necesita asignarle un nombre y una dirección IP. El
nombre debe seguir su convención estándar de asignación de nombres de servidor, y la dirección
IP debe ser una dirección estática pública en el formato IPv4 o IPv6.
PARTE V
A continuación, mantenga el primer nodo del clúster en ejecución, y arranque otro nodo.
Utilice los comandos de clúster para agregar este nodo al clúster. Repita para cada nodo de
clúster adicional.
7. Configure los servicios o aplicaciones en el clúster, y asígneles recursos.
Necesita seguir este proceso de cerca; de otra manera, su clúster fallará.
Construya un clúster de conmutación por error de WS08 para almacenes de recursos

En el caso de almacenes de recursos, las actividades necesarias para instalar y crear un WSFC se
realizan mediante la línea de comandos, porque los servidores ejecutan sólo Server Core. Utilice
los pasos proporcionados antes para construir su clúster de conmutación por error de WS08.
1. Empiece por crear su instalación de Server Core. Utilice los procedimientos delineados en el
capítulo 4 para ello. Únase al dominio que creó para su almacén de recursos. Repita para cada
nodo del clúster.
2. A continuación, instale la característica WSFC. Utilice la siguiente línea de comandos para
ello:
start /w ocsetup FailoverCluster-Core
Se utiliza el comando /w para indicar que empiece a esperar hasta que el proceso esté comple-
to para regresar al indicador. Una vez que se regresa al indicador, puede verificar si la caracte-
rística está instalada o no al utilizar el comando:
oclist
Apague cada nodo y vaya a la siguiente tarea. Utilice el siguiente comando:

shutdown /s /t 3
3. Prepare las unidades de almacenamiento en su sistema de almacenamiento compartido. Ne-

cesita preparar por lo menos tres volúmenes en la unidad de almacenamiento. Uno pequeño,
con alrededor de 1 gigabyte (GB) de espacio, es para el disco de quórum o testigo. El otro
será un volumen masivo para archivos de las máquinas virtuales de almacenamiento. Si va a
hospedar 10 ofrecimientos de servicios virtuales en esta unidad, entonces asigne por lo menos
200 gigabytes por ofrecimiento de servicios virtuales (use el ejercicio de asignación de tamaño
de servidor para determinar exactamente cuánto espacio necesita). Es mejor asignar en exceso
que tener que cambiar el tamaño del volumen. A continuación, prepare un tercer volumen
para el almacenamiento de las instantáneas de volumen o de almacenamiento. Repita la
creación de los dos últimos volúmenes para cada nodo activo que trate de tener en el clúster.
Conecte cada volumen con cada nodo en el clúster.
4. Arranque el primer nodo de clúster, e inicie sesión con credenciales de administrador de do-
minio.
PRECAUCIÓN Asegúrese de que los otros nodos estén apagados en esta etapa. Windows tratará de
contender por los discos compartidos con otras máquinas, si los nodos están conectados a cada
servidor mientras se están ejecutando.
a) Inicialice los discos compartidos, formatéelos y asígneles letras de unidades apropiadas.

Si habilitó el servicio de disco virtual (VDS, Virtual Disk Service), puede realizar esta
tarea remotamente desde una máquina de administración; si no, utilice los siguientes
comandos:
diskpart
list disk
Para identificar el número de discos que se adjuntarán:
select disk n
clean
create partition primary size=xxxxx align=64
donde xxxxx es el tamaño en megabytes de la partición que se creará. Por ejemplo, para un
disco de 200 GB, el valor sería 200000. Además, el uso del parámetro de alineación asegura-
rá que el disco está alienado por sectores, con lo que debe mejorar su rendimiento hasta en
20%.
select partition 1
active
format label=etiquetadisco
donde etiquetadisco es la etiqueta que desea asignar al disco.
assign letter=etiquetadisco
donde etiquetadisco es la letra de la unidad que desea asignar al disco. La letra de la unidad
no debe incluir los dos puntos (por ejemplo, si va a asignar la letra Q, simplemente escriba Q.
exit
Repítalo para cada volumen que necesite conectar.
b) A continuación, configure las tarjetas de interfaz de red. Los coamandos varían si está
usando IPv4 o IPv6. Recuerde que una tarjeta utilizará una dirección pública para comuni-
caciones con los usuarios y otra utilizará una dirección privada para comunicaciones con el
clúster interno. En el caso de IPv4, utilice los mismos comandos presentados en el capítulo
4. Empiece por encontrar el ID de cada interfaz y luego asigne direcciones apropiadas.
Empiece con la tarjeta de interfaz pública:
netsh interface ipv4 set address name=ID source=static address=direcciónIPE
stática mask=MáscaraSubred gateway=PerutaEnlacePredeterminada
netsh interface ipv4 add dnsserver name= ID address=PrimeraDirecciónIPDNS index=1
netsh interface ipv4 add dnsserver name= ID address=SegundaDirecciónIPDNS index=2
A continuación, configure la NIC privada. Utilice el número de ID descubierto previamente.
netsh interface ipv4 set address name=ID source=static address=direcciónIPE
stática mask=MáscaraSubred
NOTA La NIC privada no usa servidores DNS o una puerta de enlace. Emplee una dirección de un
rango de IPv4 privado para esta NIC.
Si quiere configurar direcciones IPv6, utilice el mismo comando. Empiece por encontrar los
ID de la interfaz y luego asígneles direcciones:
PARTE V
netsh interface ipv6 set address interface=ID address=DirecciónIPv6
netsh interface ipv6 set dnsserver name=ID source=static address=PrimeraDir
ecciónIPDNS register=both
netsh interface ipv6 set dnsserver name=ID source=static address=SegundaDir
ecciónIPDNS register=both
NOTA Use una dirección de un rango IPv6 privado para la NIC privada.
Repita para cada interfaz pública que quiera configurar.
c) Por último, apague este servidor.
5. Arranque el segundo nodo e inicie sesión con credenciales de administrador de dominio.
a) Agregue los discos con letras de unidad apropiadas. Deben ser las mismas que las asigna-
das en el primer nodo. Use los siguientes comandos:
diskpart
list disk
select disk n
select partition 1
assign letter=letradisco
exit
Repita para cada volumen que necesite agregar.
PRECAUCIÓN ¡No formatee de nuevo los discos! Si lo hace, ya no trabajarán con el primer nodo.
b) Configure las NIC.
NOTA Si aún tiene que agregar más nodos, apague éste y repita la operación para cada nodo restan-
te. En el último nodo que agregará, deje el servidor ejecutándose y vaya al siguiente paso.
6. Cree el clúster en el último nodo en ejecución. Esto le ahorrará ahora por lo menos una opera-
ción de arranque. Aquí necesita crear el clúster, asignarle un nombre y su dirección IP, además
de seleccionar el disco de quórum. Utilice el siguiente comando:
cluster /cluster:NombreClúster /create /node:NombreNodo /ipaddr:DirecciónIP
Donde NombreClúster es el nombre de su clúster, NombreNodo es el nombre del equipo (por lo
general en formato de notación corta, como ServidorUno) y DirecciónIP es la dirección IP pú-
blica del clúster en formato IPv4 (xxx.xxx.xxx.xxx/yyy.yyy.yyy.yyy para la subred) o IPv6 (xxxx:
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx).
SUGERENCIA En este punto, ya ha creado su clúster. Puede seguir trabajando con la línea de
comandos para inalizar la coniguración del clúster, pero es muy recomendable que pase a la
máquina virtual de administración y inalice las operaciones desde allí. En la máquina de admi-
nistración, lance la consola Administración de clúster de conmutación por error, haga clic con
el botón derecho en Administración de clúster de conmutación por error en el panel de árbol y
seleccione Administrar un clúster. Escriba el nombre de su clúster, y luego realice todas las opera-
ciones inales con esta consola.
7. Agregue los otros nodos. Arranque cada servidor de uno en uno y agréguelos al clúster. No ne-
cesita iniciar sesión en cada servidor; simplemente agréguelos mediante la consola en el primer
servidor de clúster. Vaya a la sección Nodos del panel de árbol, haga clic con el botón derecho y
seleccione Agregar nodo. Agregue cada uno de los nodos del clúster y recorra el asistente. Puede
elegir que se valide la configuración. Debido a que no puede validar la configuración con la mis-
ma facilidad que mediante la línea de comandos, tal vez sería una buena idea hacerlo allí.
8. A continuación, verifique el disco de quórum. Si no es correcto, cámbielo. Para ello, haga clic
con el botón derecho en el nombre del clúster en el panel del árbol, y seleccione Más acciones
| Configurar opciones de quórum de clúster. La mejor selección es Mayoría de nodos y discos,
a menos que esté construyendo un clúster disperso geográficamente (vea la figura 11-10). Re-
corra el asistente, seleccionando su disco de quórum preparado como disco testigo. Su clúster
está listo para operación.
9. Ahora puede configurar servicios o aplicaciones para que se ejecuten en el clúster. En este
caso en particular, queda ejecutar soporte de individualización. Haga clic con el botón derecho
en el nodo Servicios y aplicaciones, y seleccione Configurar un servicio o aplicación. En este
caso, necesita utilizar un recurso genérico de secuencias de comandos, además de recursos de
disco físicos. La secuencia de comandos genérica administra el apagado y reinicio de los ofre-
cimientos de servicio virtuales, a medida que van de uno al otro. En realidad, esta secuencia de
comandos coloca las máquinas virtuales en estado guardado y las restaura en el otro nodo. El
recurso de disco físico hospeda los VHD que integran sus ofrecimientos de servicios virtuales.
10. Pruebe la conmutación por error de su nuevo servicio de clúster. Para ello, haga clic con el bo-
tón derecho en el recurso de secuencia de comandos genérica y seleccione Conmutación por
error. La secuencia de comandos debe ejecutarse y los recursos deben moverse a otro nodo del
clúster.
El clúster de su Server core está listo
Construya un clúster de conmutación por error para ofrecimientos de servicios virtuales

La ventaja de trabajar con ofrecimientos de servicios virtuales es que puede depender de la inter-
faz gráfica para construir un clúster de conmutación por error. Como verá, es más fácil y menos
propenso a errores.
1. Empiece por crear su instalación de ofrecimiento de servicios virtuales. Utilice los procedi-
mientos delineados en el capítulo 4 para ello. Únase al dominio de ofrecimiento de servicios
virtual de producción. Repita para cada nodo del clúster. A continuación, instale la caracterís-
PARTE V
FIGURA 11-10 Modiicación de la coniguración de quórum.

tica WSFC. Use el comando Agregar característica en el Administrador del servidor | sección
Características. Una vez que la operación esté completa, verifique que la característica está
instalada en la misma sección del Administrador del servidor. Repita para cada nodo. Apague
cada nodo cuando haya terminado.
2. Prepare los discos virtuales que se necesitarán para el clúster. Deberá preparar por lo menos
tres volúmenes. Uno pequeño, con casi 1 GB de espacio, es para el quórum o disco testigo. El
otro será un volumen más grande para almacenar archivos de datos. Éste debe ser el mayor
de los tres discos. Si va a ejecutar un servicio, como recursos compartidos de archivos, o bases
de datos, entonces cree un tercer disco para almacenar archivos de registro o instantáneas.
Siempre es mejor asignar de más que tener que cambiar el tamaño de los volúmenes desde el
principio. Repita la creación de los últimos dos volúmenes para cada nodo activo que trate de
tener en el clúster. Conecte cada volumen a cada nodo en el clúster.
3. Arranque el primer nodo del clúster, e inicie sesión credenciales de administrador de dominio.
PRECAUCIÓN Asegúrese de que los otros nodos están apagados en esta etapa. Windows tratará
de contender por los discos compartidos con otras máquinas si los nodos están conectados a cada
servidor mientras se están ejecutando.
NOTA Las credenciales de administrador de dominio son las preferidas, pero puede usar cualquier
otra cuenta que tenga privilegios administrativos locales en todos los nodos del clúster.
a) Inicialice los discos compartidos, formatéelos y asígneles letras de unidad apropiadas.

Vaya a la sección Administrador del servidor | Almacenamiento | Administración de discos.
Localice cada disco compartido, haga clic con el botón derecho en el nombre del disco o
el número, y seleccione Inicializar disco. Esto le permitirá inicializarlo con un registro de
arranque maestro o una tabla de partición de identificador globalmente único (GUID, Glo-
bally Unique Identifier). Utilice esta tabla, porque funciona mejor con discos más grandes
(vea la figura 11-11). Por último, haga clic con el botón derecho en el espacio para el disco
y seleccione Nuevo volumen simple. Ejecute el asistente, asignando una letra de unidad
apropiada y una etiqueta de volumen. Repita con los demás discos.
b) A continuación, configure las tarjetas de interfaz de red. Use el Panel de control para ir al
Centro de redes y recursos compartidos, y modifique las NIC. Recuerde que una tarjeta
utilizará una dirección pública para comunicaciones de usuarios y otra una privada para
comunicaciones internas del clúster. Estas direcciones pueden ser IPv4 o IPv6.
NOTA La NIC privada no usa servidores DNS o una puerta de enlace. Utilice una dirección de un
rango de IPv4 o IPv6 para esta NIC.
Sólo se requiere una NIC privada, pero puede ejecutar varias NIC públicas en el clúster. Si
lo hace, configure cada una con una dirección pública.
c) Apague el servidor.
4. Arranque el segundo nodo e inicie sesión con credenciales de administrador de dominio.
a) Agregue los discos con letras de unidad apropiadas. Debe ser la misma que la asignada en
el primer nodo. Primero ponga el disco en línea; luego use el comando Cambiar la letra y
FIGURA 11-11
Inicialización de un disco
con una tabla de partición
de GUID.
rutas de acceso de unidad para asignar la letra apropiada. Repita para cada volumen que
necesite configurar.
PRECAUCIÓN ¡No formatee de nuevo los discos! Si lo hace, ya no trabajarán con el primer nodo.
b) Configure las NIC.
NOTA Si tiene más nodos que agregar, apague este nodo y repita la operación para cada nodo que
falte. En el último, deje el servidor en ejecución y pase al siguiente paso.
5. Cree el clúster en el último nodo en ejecución. Esto le ahorrará por lo menos una operación
de arranque. Aquí, necesita crear el clúster, asignarle un nombre y su dirección IP, además de
seleccionar el disco de quórum.
a) Utilice menú Iniciar | Herramientas administrativas | Administrador de clústeres de conmu-
tación por error.
b) Haga clic en crear un clúster en el panel de detalles o el de acciones.
c) Use los valores de la tabla 11-4 para ejecutar este asistente.
6. A continuación, agregue los otros nodos. Arranque cada servidor de uno en uno y agréguelos
PARTE V
al clúster. No necesita iniciar sesión en cada servidor; simplemente agréguelos mediante la
consola en el primer servidor de clúster. Vaya a la sección Nodos del panel de árbol, haga clic
con el botón derecho y seleccione Agregar nodo. Agregue cada uno de los nodos del clúster y
recorra el asistente. Puede elegir que se valide la configuración. Si ya validó la configuración
del primer nodo y pasó y realizó apropiadamente todas las actividades de preparación, es
probable que pueda omitir la validación.
7. A continuación, verifique el disco de quórum. Si no es correcto, cámbielo. Para ello, haga
clic con el botón derecho en el nombre del clúster en el panel del árbol, y seleccione Más
acciones|Configurar opciones de quórum de clúster. La mejor selección es Mayoría de nodos
y discos, a menos que esté construyendo un clúster disperso geográficamente. Recorra el asis-
tente, seleccionando su disco de quórum preparado como disco testigo.
Página del Asistente para crear

clúster Valor
Seleccionar servidores Agregue el servidor en ejecución a esta página.
Advertencia de validación Si no ejecuta el Asistente para validación, obtendrá una advertencia para hacerlo
ahora. Ejecute todas las pruebas y conirme sus selecciones. Todas las pruebas
deben pasar si ha conigurado correctamente este nodo.
Punto de acceso para administrar Asigne un nombre al clúster.
el clúster Agregue la dirección o las direcciones IP de la red pública.
Conirmación Conirme sus elecciones.
Creando nuevo clúster El asistente realiza la operación de creación.
Resumen Vea el informe o haga clic en Finalizar.
TABLA 11-4 Coniguración de un clúster con el Asistente para crear clúster
8. Ahora puede configurar servicios o aplicaciones para que se ejecuten en el clúster. Todos
los servicios y aplicaciones requerirán un recurso de disco físico. Los servicios se configuran
mediante la sección Servicios y aplicaciones del panel de árbol, a través del comando Confi-
gurar un servicio o aplicación. Aplicaciones como Exchange o SQL Server suelen requerir una
instalación real en nodos de clúster una vez que se ha configurado el clúster. Utilice el método
apropiado para configurar el servicio o la aplicación que desee ejecutar en el clúster.
9. Pruebe la conmutación por error para su nuevo servicio o aplicación de clúster. Para ello, haga
clic con el botón derecho en el servicio o la aplicación y seleccione Conmutación por error. Los
recursos deben moverse a otro nodo del clúster.
10. Asegúrese de que documenta la configuración y el objetivo del clúster, porque lo más probable
es que tenga varios clústeres de ofrecimientos de servicios virtuales.
El clúster está listo.
Consolidación adicional del servidor

Con sus capacidades de virtualización integradas para hosts e invitados, Windows Server 2008
ofrece algunas oportunidades excepcionales para consolidación del servidor. Esto lleva a una
menor cantidad de servidores por administrar y a una menor cantidad de recursos por asegurar.
Sin embargo, estos servidores tienen una estructura más compleja, porque incluyen más servicios
que el modelo de servidor de un solo propósito utilizado en el mundo de NT.
Pero la consolidación del servidor no necesariamente significa una estructura de servidor
más compleja; puede significar más con menos. Por ejemplo, Microsoft ha probado clústeres de
servidor de dos nodos que administran hasta 3 000 impresoras. Esto significa que puede reducir
en gran medida el número de servidores de impresión en su organización, sobre todo en situa-
ciones de oficinas grandes, donde las conexiones de red son de alta velocidad y la administración
de impresoras puede estar centralizada. Y sobre todo con clientes de Vista, donde la impresión se
realiza localmente antes de enviarse al servidor, las cargas de servidor son aún menores.
Lo mismo es cierto para los servidores de archivo. El mismo servidor WS08 puede adminis-
trar hasta 5 000 raíces DFS de dominio. Un clúster de servidor puede administrar hasta 50 000
raíces DFS independientes (otra oportunidad para la consolidación masiva de servidores).
El servidor de información de Internet (IIS) también ofrece grandes oportunidades de consoli-

dación, debido a su arquitectura. Microsoft introdujo el aislamiento de procesos de trabajo en IIS 6, lo
que significa que cualquier sitio Web hospedado podría operar de manera completamente inde-
pendiente de todos los demás. Aunque estaba disponible, ese proceso de aislamiento (un proceso
dependiente del uso de almacenes de aplicaciones especiales para cada servicio) no era muy amiga-
ble con el usuario. Ahora, con IIS 7, ese proceso es automático. Cuando se crea un nuevo sitio en IIS
7, se crea automáticamente un almacén de aplicaciones correspondiente del mismo nombre. Como
opción predeterminada, cada almacén de aplicaciones se aísla de todos los demás almacenes de apli-
caciones, permitiéndole ejecutar en el mismo servidor IIS muchos sitios Web más que nunca antes.
Ese aislamiento permite la creación y operación de jardines Web, grupos de afinidad espe-
ciales que pueden asignarse a recursos de servidor específicos, como unidades de procesamiento
central (CPU, Central Processing Unit) y memoria. El concepto de jardín Web asegura que sitios
Web críticos obtengan los recursos que necesitan aunque compartan hardware de servidor. Eso
proporciona de nuevo una excelente oportunidad para la consolidación.
Eso significa que puede buscar consolidación de servidor adicional al compartir cargas de
trabajo en cada uno de los ofrecimientos de servicios virtuales que ejecuta. Cuando piense en la
creación de un nuevo servidor, primero busque la posibilidad de compartir esa carga de trabajo
en un servidor existente. Esto reducirá en gran medida el número de servidores que necesita
administrar a largo plazo.
Planeación de la recuperación para su red

Aunque haya hecho lo mejor para asegurar la alta disponibilidad de sus servidores y servicios,
siempre pueden suceder desastres y los servidores siempre se pueden caer. Por eso es importante
preparar la recuperación del sistema. Ningún sistema es perfecto, pero cuanta más protección
aplique a sus sistemas, menos probabilidades tendrá de perder datos y experimentar tiempo
muerto. Por tanto, necesita implementar estrategias de protección de datos adicionales.
La copia de seguridad y restauración de datos de WS08 es un proceso complejo, pero se
ha simplificado mucho con las nuevas características de WS08, como las instantáneas de volu-
men. En realidad, la herramienta de copia de seguridad integrada inicia automáticamente una
instantánea antes de empezar la copia. Las copias de seguridad son una parte importante de la
operación de recuperación, pero no son el único componente. WS08 ofrece varias estrategias de
recuperación diferentes. Algunas de éstas serán familiares para usted si ha trabajado con versio-
PARTE V
nes anteriores de Windows, pero WS08 también incluye nuevas características que son específi-
cas de este sistema operativo.
Los sistemas de recuperación nunca representan una tarea fácil. La mejor manera de evitar
que se enfrente a la recuperación de un sistema es mediante el uso de una estrategia de protec-
ción en varias capas. Pero si llega a la etapa donde se necesita una operación de recuperación,
debe tener una estrategia detallada para seguir. Como todas las operaciones en la red de ofre-
cimiento de servicios virtuales, las recuperaciones deben planearse. Su estrategia de recupera-
ción debe empezar con la comprensión de las propias capacidades de recuperación del sistema
operativo. A continuación, una vez que esté familiarizado con las herramientas que ofrece el
sistema operativo para ayudar a recuperar los sistemas, puede delinear o ajustar su estrategia de
recuperación. Por último, puede integrar su estrategia de detección y solución de problemas con
la estrategia de recuperación nueva o actualizada.
Estrategias de recuperación para Windows Server 2008

Las estrategias de recuperación para WS08 dependen, por supuesto, del tipo de problema que
encuentre, pero incluyen:
• Recuperación de controladores Si instala un controlador inestable en su sistema, puede
usar esta característica para restaurar la versión previa de un controlador, siempre y cuando
aún pueda iniciar sesión en su sistema. Esto se hace al ver las propiedades del dispositivo en
el Administrador de dispositivos (Administrador del servidor | Diagnósticos | Administrador
de dispositivos), ir a la ficha Controlador y seleccionar Revertir al controlador anterior.
• Deshabilitación de dispositivos También puede deshabilitar dispositivos que no estén
funcionando apropiadamente. Una vez más, esto se hace al ir al Administrador del dispositi-
vo, localizar el dispositivo, hacer clic con el botón derecho en él y seleccionar Deshabilitar del
menú contextual.
• Última coniguración buena conocida Al igual que en las versiones anteriores de Win-
dows, WS08 incluye una opción de arranque Última configuración buena conocida. Revierte
a la última configuración guardada en el registro antes de que aplicara los cambios. Puede ac-
ceder a esta opción al oprimir la tecla F8 durante el arranque del sistema. Esto también le dará
acceso a varios modos diferentes de arranque: Modo seguro, Modo seguro con funciones de
red, etc. También hay modos de operación que puede usar para reparar instalaciones de WS08.
• Entorno de recuperación de Windows (WinRE) En el capítulo 4 instaló WinRE como par-
te de su proceso de puesta en funcionamiento de servidores estándar de WS08. Esta consola
le permite realizar operaciones de recuperación, como deshabilitación de servicios, al copiar
controladores de dispositivos u otros archivos al sistema y reparar, de otra manera, una insta-
lación. La instalación de la consola le evita solicitar que los medios de instalación originales de
Windows Server 2008 realicen una reparación porque aparece como sistema operativo en sus
opciones de arranque.
• Windows PE En el capítulo 4 también se mostró la manera de usar Windows PE para crear
un dispositivo de arranque que inicie en un entorno de Windows basado en caracteres. Esto
también es una excelente herramienta de recuperación, porque Windows PE le dará acceso
a unidades de red y de sistemas de archivo de nueva tecnología (NTFS, New Technology File
System) durante su proceso de reparación.
• Instantánea de volumen Los usuarios y administradores pueden restaurar cualquier
archivo de datos que aún esté disponible dentro de la instantánea almacenada mediante la
ficha versiones anteriores de las propiedades de archivo. Los administradores pueden incluso
utilizar esta característica para recuperar ofrecimientos de servicios virtuales completos.
• Replicación de DFS Resulta especialmente fácil recuperar ofrecimientos de servicios virtua-
les porque se replican a otras ubicaciones durante su operación. Si uno falla, simplemente
lanza la otra copia.
• Copia de seguridad de servidor de Windows Con la herramienta de copia de seguridad
predeterminada incluida dentro de Windows Server 2008, puede crear copias de seguridad y
restaurar datos a medios extraíbles o unidades de disco sobrantes. También puede crear copias
de seguridad de sistemas completos en imágenes de unidades de discos duros virtuales para
completar la protección del sistema.
• Herramientas de copias de seguridad y restauración de terceros Si encuentra que Co-
pias de seguridad de Windows Server no es suficiente, puede elegir entre varias herramientas
diferentes de terceros. Cuando seleccione un producto de terceros, debe tomar en cuenta tres
elementos clave: integración con las API de instantánea de volumen para aprovechar esta ca-
racterística, completa recuperación de sistema a partir de medios extraíbles e integración con
los Servicios de dominio de Active Directory.
Varias de esas estrategias ya se han cubierto. Las estrategias de recuperación se analizan en

las secciones siguientes.
Estrategias de recuperación del sistema

Una estrategia de recuperación se basa en las siguientes actividades:
• Se detecta la interrupción del servicio.
• La interrupción se ha ordenado en categorías mediante una estrategia de detección y solución.
• Se ha evaluado el riesgo y se ha identificado el nivel necesario de respuesta.
• El plan de recuperación para este nivel de riesgo se pone en acción.
• Siempre hay un “plan B”, en caso de que el plan de recuperación principal no funcione por
alguna razón.
• Los resultados de las acciones de recuperación se prueban por completo para asegurar que
todo vuelva a la normalidad.
• Se realizan acciones secundarias de recuperación; por ejemplo, se reparan los servidores que
dejaron de funcionar y que se llevaron fuera de línea, o se notifica a los usuarios que sus archi-
vos han regresado en línea.
• El incidente se documenta y los procedimientos se actualizan, si es necesario.
Es importante detallar el plan de recuperación real para cada tipo de situación. Ésa es una
razón por la que la evaluación de riesgo es tan importante. Tal vez no tenga tiempo para docu-
mentar procesos de recuperación para cada situación de desastre única, pero si tiene el tiempo de
evaluar los riesgos, puede asegurarse de que las situaciones más críticas están documentadas. Al
final, tendrá múltiples planes de recuperación que se “conectarán” con su estrategia de recupera-
ción. Todos éstos deben de ser procedimientos operativos estándar.
Con el fin de dar soporte a su plan de recuperación, también necesitará:
• Una copia fuera de sitio del plan para proteger al propio plan.
• Componentes de hardware en el sitio sobrantes.
• Copias de seguridad de datos que sean confiables y estén probadas.
• Almacenamiento fuera de sitio, a distancia, de los medios para copia de seguridad rotatorios.
PARTE V
• Recursos disponibles para realizar recuperación de sistemas.
Además, necesita tener la octava función del servidor (el servidor seguro contra fallas) o un
sitio activo (un sitio separado que es un reflejo de su sitio de producción y que puede tomar el
control en caso de desastre). Como sabe, con los almacenes de recursos, ese sitio secundario es
realmente fácil de configurar.
Técnicas de detección y solución de problemas

El elemento final del proceso de recuperación del sistema es una estrategia sólida de detección y
solución de problemas. Ésta es la estrategia que su personal de operaciones utilizará para iden-
tificar el tipo de desastres que está enfrentando. Es esencial que su estrategia resulte clara y sea,
una vez más, estándar, porque es fundamental para el proceso de recuperación. Si el problema
que está enfrentando se identifica de manera equivocada, puede causar un desastre peor. Esta
estrategia se aplica a almacenes de recursos y a ofrecimientos de servicios virtuales.
En general, las solicitudes de ayuda y los reportes de problema deben abordarse con un
método organizado y científico que trate los errores de sistema como si fueran causales; es decir,
los problemas no sólo suceden: son desviaciones de una norma que tienen causas distintivas e
identificables. El trabajo de un técnico de detección y solución de problemas consiste en deducir
lógicamente las causas de los problemas basados en su conocimiento sobre la manera en que
funciona el sistema. El mejor modo de hacer esto consiste en usar un procedimiento estándar.
Esos pasos delinean un procedimiento de detección y solución de problemas estándar:
1. Documente toda la información apropiada: por ejemplo, la hora, la fecha, el equipo y la infor-
mación del usuario.
2. Documente toda la información relevante que se relacione con el problema. Tome como refe-
rencia la información de operación del sistema base, si es necesario.
3. Cree una descripción de problemas dividida en elementos. Responda a estas preguntas:
a) ¿El problema se puede reproducir de manera confiable o aleatoria?
b) ¿Está relacionado con la hora del día?
c) ¿El problema es específico del usuario?
d) ¿Es específica de la plataforma?
e) ¿Es específico de la versión?
f) ¿Está relacionada con el espacio libre en el disco duro?
g) ¿Está relacionado con el tráfico de red?
h) ¿Qué no lo es?
4. Investigue casos similares en sus bases de datos de detección y solución de problemas inter-
nos. Revise el sistema de ayuda de Windows Server 2008, si está disponible. También revise
bases de datos de detección y solución de problemas externos, como Microsoft TechNet
(http://technet.microsoft.com) y la base de datos de conocimiento de Microsoft (http://
support.microsoft.com). También es una buena idea recurrir a la experiencia de sus compañe-
ros de trabajo.
5. Cree una hipótesis razonable basada en toda la información disponible.
6. Pruebe la hipótesis y documente los resultados.
7. Si la prueba resuelve con éxito el problema, documéntela y cierre el caso. Si no se tiene éxito,
modifique la hipótesis o, si es necesario, cree una nueva hipótesis. Repita el ciclo de hipótesis
y prueba hasta que se resuelva el problema.
Tome nota de que los problemas complejos (más que una relación causa-efecto) tal vez
requieran varias iteraciones del paso 2 al 7.
Ordene en categorías los problemas para almacenes de recursos

Uno de los aspectos importantes de la detección y solución de problemas es su clasificación.
A menudo resulta útil ordenar en categorías los errores, de acuerdo con las circunstancias que
rodean su aparición. En la tabla 11-5 se incluye una lista no exhaustiva de clases de problema.
Como verá, su procedimiento no sólo se usa en casos de desastres. Puede utilizarse en todas
las situaciones de detección y solución de problemas. Pero en el caso de desastres, la clave para la
detección y solución de problemas y la estrategia de recuperación está en la calidad de sus copias
Clases de problema Características clave

Sólo almacenes de recursos
Periféricos Teclado, pantalla, componentes de hardware, controladores.
Red Coniguración de adaptador, tráico, cableado, dispositivos de transmisión.
Almacenes de recursos y ofrecimientos de servicios virtuales
Instalación Procedimiento, multimedia, requisitos de hardware y software, errores de
red.
Arranque Archivos faltantes, falla de hardware, menú de arranque.
Seguridad Cifrado de archivos, derechos de acceso, permisos.
Inicio de sistema Servicios dependientes, coniguración.
Aplicación Errores especíicos de la aplicación.
Sólo ofrecimientos de servicios virtuales
Inicio de sesión Cuenta de usuario, validación de servidor, coniguración de registro, acce-
so de red.
Coniguración de usuario Carpetas redirigidas, periles de usuario, membresías del grupo.
Procedimiento Educación de usuario, control.
TABLA 11-5 Ejemplo de clasiicaciones de problemas
de seguridad. Por esto es que la estrategia de copias de seguridad es uno de los elementos más
importantes del diseño de resistencia de sistema.
Estrategias de protección de datos para almacenes de recursos

Crear copias de seguridad de servidores hosts significa crear copias de seguridad de tres tipos
diferentes de objetos:
• Sistema operativo La partición que conforma la unidad C: y ejecuta el servidor host.
• Particiones de datos La unidad de datos que contiene los ofrecimientos de servicios virtuales.
• Contenido de la máquina virtual El contenido de los ofrecimientos de servicios virtuales
también debe copiarse. Conocerá más sobre esto en la siguiente sección.
Los servidores hosts son el tipo más simple de servidor, porque sólo ejecutan una función
PARTE V
principal: la virtualización. Si configura su infraestructura de manera correcta, la copia de seguri-
dad de estas máquinas será relativamente fácil. Como ya se analizó, la infraestructura ideal para
los servidores hosts es la de un servidor blade conectado a almacenamiento compartido. Esto
proporciona varios niveles de defensa contra la pérdida de datos o el sistema:
• Cada partición puede depender del servicio Instantáneas de volumen o de la herramienta
de instantáneas interna proporcionada con la unidad de almacenamiento para entregar una
primera línea de defensa.
• La segunda línea de defensa es proporcionada por la instantánea de volumen de las máquinas
virtuales localizadas en la unidad de datos.
• Una tercera línea de defensa se proporciona mediante la replicación de DFS de los archivos
que integran cada uno de los ofrecimientos de servicios virtuales.
• Una cuarta línea de defensa se proporciona mediante procesos de conmutación por error.
• La última línea de defensa se proporciona mediante copias de seguridad de los discos que
integran cada sistema host.
PRECAUCIÓN Necesita agregar otras particiones del disco a cada servidor host o conectar a una
unidad de red para realizar copias de seguridad mediante copias de seguridad de Windows Server.
Éstas no permiten la grabación en cinta.
SUGERENCIA Nuestra recomendación es que obtenga una herramienta de copia de seguridad de

terceros, porque deseará contar con soporte completo a copias de seguridad para los servidores
hosts. Buenos ejemplos son Symantec BackupExec (www.symantec.com/backupexec/index.jsp),
CommVault Galaxy (http://commvault.com/products/data_protection.asp) o Acronis True Imagen
Echo (www.acronis.com/enterprise/products/ATIES/).
Configure sus programas para proteger sistemas de manera regular. Aunque no puede hacer
esto con copias de seguridad de Windows Server, debe realizar copias de seguridad completas
una vez a la semana y seguir con copias diferenciales diarias, si su producto les da soporte. Las
copias de seguridad diferenciales ocupan más espacio que las incrementales, pero son más fáciles
de recuperar porque incluyen todos los cambios a partir de la copia de seguridad completa. En
una situación de recuperación, sólo necesita las copias de seguridad y diferencial más recientes
para restaurar el sistema.
Si decide realizar copias de seguridad del sistema host a partir de copias de seguridad de
Windows Server, entonces utilice la siguiente línea de comandos. Realiza una copia de seguridad
completa del sistema una vez al día a las 6:00 p.m. en una partición de disco.
wbadmin enable backup addtarget:IDDisco Schedule:18:00 user:Nombreusuario
password:Contraseña
Donde IDDisco es el número de disco a respaldar; use el comando DISKPART para identi-
ficar IDDisco. Nombreusuario y Contraseña deben ser de una cuanta de servicio con derechos de
administración local en el servidor.
NOTA Las unidades de destino deben reservarse exclusivamente para propósitos de respaldo porque
toda otra información será borrada.
Restauraciones de estado del sistema

En versiones anteriores de Windows, podía realizar una copia de seguridad del estado del sistema.
Esta copia sólo guardará componentes específicos del sistema, en lugar de una imagen completa
del disco. El Windows Server 2008, ya no puede realizar una copia de seguridad del estado del sis-
tema, pero sí una restauración del mismo, reparando un servidor que ha dejado de funcionar.
Hay nueve posibles elementos para una restauración del estado del sistema. Algunos siem-
pre se incluyen en las copias de seguridad y otras dependen del tipo de servidor del que está
creando copias. Se identifican así:
• El registro del sistema.
• La base de datos del registro de clase COM+.
• Archivos de arranque y del sistema.
• Archivos del sistema de protección de archivos de Windows.

• Base de datos de Active Directory (en controladores de dominio).
• Directorio SYSVOL (también en DC).
• Base de datos de servicios del certificado (en servidores de certificados)
• Información de configuración del servicio de clúster (en clústeres de conmutación por error).
• Metadirectorio de IIS (en servidores de aplicación Web).
Los datos del estado del sistema siempre se restauran como un todo; no pueden segregarse.
Para realizar una recuperación del estado del sistema a partir de la línea de comandos, dependa
de siguiente comando:
wbadmin start sysstaterecovery
Al escribir el comando, se le proporcionarán las opciones disponibles. Lo más frecuente es

que querrá asignar una unidad de red previa a la restauración para vincularla con una copia de
seguridad que funcione.
Estrategias de protección de datos para ofrecimiento

Crear copias de seguridad de sus ofrecimientos de servicios virtuales significa crear copias de
varios tipos de información: datos de usuario, datos de la corporación, bases de datos, documen-
tos, información del estado del sistema de sus servidores y datos de Active Directory. Como ya se
mencionó, puede usar copias de seguridad de WS08 o una herramienta de copia de seguridad de
terceros para realizarlas. Cualquier método que use, asegúrese de utilizar una estrategia de copia
de seguridad estándar, creando conjuntos de copias de tipos de datos específicos (por ejemplo,
copias de seguridad únicamente de los datos de usuario en un conjunto y únicamente de datos
de sistema en otro). Esto simplificará el proceso de restauración.
Las copias de seguridad de datos son más bien sencillas; seleccione la unidad de datos y cree
la copia de seguridad. Recuerde que WS08 creará automáticamente una instantánea antes de la
copia de seguridad de los datos. En realidad, el conjunto de copias de seguridad se crea a partir
de los datos de las instantáneas. Esto evita problemas con los archivos abiertos. La instantánea
también tiene API especiales que le permiten trabajar con bases de datos como SQL Server y
Exchange Server, lo que hace que las instantáneas sean válidas incluso para bases de datos.
Básicamente, debe respaldar archivos y sistema operativo diario. Ejecute un respaldo com-
pleto semanalmente y luego básese en diferencias.
PARTE V
NOTA La Copia de seguridad de Windows Server no es compatible con NTBackup, la herramienta
de copias de seguridad de versiones anteriores de Windows. Si tiene datos almacenados en una
copia de NTBackup y quiere restaurarla en un servidor WS08, entonces descargue NTBackup de
Microsoft en http://go.microsoft.com/fwlink/?LinkId=82917.
Necesita dar soporte a su estrategia de copias de seguridad con una solución de almacena-
miento remota, además de almacenado de medios fuera del sitio. Recuerde que necesitará una
herramienta de copia de seguridad de terceros si quiere crearlas en cinta. Es necesario que se ase-
gure de contar con un espacio de almacenamiento seguro, fuera del sitio para multimedia. Debe
rotar los medios fuera del sitio de manera regular. Por ejemplo, cada tercera copia de seguridad
completa debe almacenarse fuera de sitio en un entorno controlado.
Un programa común depende de una estrategia de retención de cuatro semanas. Eso signi-
fica que retiene un medio de copia de seguridad por un periodo de cuatro semanas. Si mantiene
una segunda copia fuera del sitio, siempre estará a una semana del desastre completo. Además,
su programa de archivado determinará cuáles copias debe mantener fuera de sitio de manera
permanente.
NOTA Si está usando DFSR para replicar todo los ofrecimientos de servicios virtuales en un sitio
remoto, tal vez no necesite esta directiva determinada, porque ya tiene copias fuera de sitio de
todas las máquinas virtuales, e Hyper-V de Windows Server le permite montar VHD en un modo
fuera de línea, permitiéndole recuperar cualquier archivo de datos que necesite a partir de una
unidad de disco duro virtual montada.
Seleccione una herramienta de copia de seguridad de terceros

Uno de los aspectos más importantes de la selección de una herramienta de copia de seguridad
de terceros es su conocimiento de los componentes que hacen que un servidor opere. Muchas
herramientas de copias de seguridad, sobre todo las que están diseñadas para crear copias de los
datos de Windows y almacenarlos en servidores centrales, de mainframe, son herramientas de
copia de seguridad de “vaciado”: todo lo que hacen es copiar un archivo del servidor de Windows
a una ubicación central. Cuando elija una herramienta de copia de seguridad, asegúrese que
reconoce Windows Server.
Hay varias soluciones de copia de seguridad de terceros en el mercado, especialmente dise-
ñadas para Windows Server 2008. Todas cumplen con criterios específicos, entre los que se deben
incluir:
• Estar conscientes de los datos de estado del sistema.
• Estar integradas con el servicio de instantáneas de volumen, desencadenando la creación de
una instantánea antes de lanzar una operación de copia de seguridad.
• Habilitar recuperación completa del sistema a partir de un proceso simple.
• Estar consciente de Active Directory.
Es esencial cumplir con estos cuatro criterios. Hay otros, por supuesto, como integrarse con
productos de almacenamiento masivo que tengan soporte de Windows, incluidos controladores
especiales para SQL Server y exchange, etc., pero los cuatro que aparecen en esta lista son los
requisitos esenciales para una solución inteligente de copia de seguridad de terceros.
Restauraciones autorizadas de Servicios de dominio de Active Directory

Uno de los problemas más importantes con las copias de seguridad de Windows Server y WS08
en general, en cuanto a copias de seguridad, y sobre todo en cuanto a la restauración, son los
Servicios de dominio de Active Directory. ADDS es una base de datos completa. A menudo, la
mejor manera de restaurar un controlador de dominio caído consiste en reconstruir el DC hasta
cierto nivel y luego dejar que la replicación multimaestro tome el control para actualizar el ser-
vidor. El impacto de esa estrategia de recuperación es que impone trabajo a la red, sobre todo si
el DC es un servidor regional. Todo depende del nivel al que reconstruye el servidor y la obsoles-
cencia de los datos que contiene.
Por fortuna, WS08 le permite llevar a producción DC con medios fuera de línea. Esto signi-
fica que puede crear una copia de seguridad de la base de datos de ADDS en medios extraíbles
y usarlos para poner en funcionamiento o restaurar DC. Cuanto más recientes sean los medios,
menor replicación se necesitará. Las recuperaciones de este tipo no son demasiado complejas.
Para llevarlas a cabo, se supone que los datos dentro de otra réplica de la base de datos del di-
rectorio están autorizadas (son datos válidos). También significa que no habrá datos que no sean
críticos o que no estén replicados dentro del DC que ha dejado de funcionar.
Surgen problemas cuando hay datos críticos dentro de un DC que ha dejado de funcionar,
datos que no se encuentran dentro de otras réplicas, o cuando ocurre un error y los datos dentro
del directorio están dañados y deben restaurarse. En este caso, debe realizar una restauración
autorizada. Aquí es donde empieza a encontrar las limitaciones de las copias de seguridad de
Windows Server.
Los Servicios de dominio de Active Directory administran la replicación de directorios me-
diante el número de secuencia de actualización (USN, Update Sequence Number). USN puede
considerarse como un contador de cambios y representa el número de modificaciones en un
controlador de dominio desde la última replicación. Los valores de objetos y propiedades que
tienen el USN más elevado se replican en otros controladores de dominio y reemplazan los valo-
res que están en las copias de la base de datos del directorio localizada en el DC de destino. Los
USN también se usan para administrar conflictos de replicación. Si dos controladores de dominio
tienen el mismo USN, entonces una estampa de tiempo se utiliza para determinar el cambio más
reciente. Cuando realiza una restauración de ADDS normal, los datos que se restauran a partir
de la copia de seguridad se actualizan de acuerdo con la información en otros controladores de
dominio; en realidad, se sobrescribe si el USN para los datos en otros DC es más elevado que el
de los datos en el DC restaurado.
Cuando necesite restaurar datos de un DC que ha dejado de funcionar y que incluye datos
críticos (que no se encuentran en la versión actual del directorio, como en el caso en que alguien
eliminó una OU completa y esto se ha replicado en todos los DC), necesita realizar una restaura-
ción autorizada. En ésta, la información que recuperará de la copia de seguridad tomará prece-
dencia sobre la información en el directorio, aunque los USN tengan un valor menor.
Para realizar una restauración autorizada, debe empezar con una normal. Luego, una vez
que los datos sean restaurados y que el controlador de dominio aún esté sin conexión, utilice la
herramienta NTDSUTIL para que la restauración sea autorizada. Ésta puede incluir todos o sólo
una parte de los datos de los Servicios de dominio de Active Directory restaurados.
Como puede ver, restaurar la información que puede eliminarse por el error de un solo
operador puede ser algo muy complejo. Ésta es una de las razones clave por las que consideraría
usar una tecnología de copia de seguridad más completa, que esté especialmente diseñada para
PARTE V
integrar y dar soporte a todas las características de Windows Server 2008.
SUGERENCIA Cuando elimina un objeto en ADDS, se mueve al contenedor de archivo muerto (un
contenedor especial del sistema al que normalmente no tiene acceso). Por lo general, se conserva
en este espacio por el periodo deinido como muerto, que puede ir de 60 días a mucho más tiempo,
dependiendo de su coniguración. Desafortunadamente, las herramientas predeterminadas de
WS08 no le dan acceso a estos datos de archivo muerto. Sin embargo, puede depender de utilerías
gratuitas de terceros para abrir el contenedor y restaurar la información que contiene. Resulta
mucho más fácil que realizar una restauración a partir de una copia de seguridad, sea autoriza-
da o no. Quest Software ofrece una copia de Object Restore for Active Directory en www.quest.
com/object-restore-for-active-directory. Utilícela. Vale su peso en oro, y cuando se combina con la
protección automática ante la eliminación de objetos de WS08, puede proporcionar una estrategia
poderosa de restauración para ADDS.
Conversiones de física a virtual

Otro aspecto importante del centro de datos dinámico es la conversión de física a virtual. La
clave para pasar al centro de datos dinámico está en realizar esas conversiones, transformando
todos los servicios de los usuarios a ofrecimientos de servicios virtuales. Hay varias maneras de
hacer esto, como se ha analizado en todo este libro, y una de las mejores consiste en convertir
una máquina existente en una instancia virtual y luego migrar sus servicios a una nueva insta-
lación de Windows Server 2008. Pero a medida que considera sus estrategias de protección de
datos, también debe tomar en consideración los beneficios de integrar la herramienta de copia de
seguridad que seleccione con la capacidad para convertir máquinas de un estado a otro.
Las conversiones de física a virtual suelen ser muy sencillas: señale a un servidor físico y
transfórmelo en una máquina virtual. Por supuesto, la herramienta que utilice para esta conver-
sión debe dar soporte a la transformación de los controladores que se incluyeron en la instalación
física del sistema operativo para que los pueda usar el motor de la máquina virtual o el hipervisor
del que depende. Éste suele ser el aspecto más difícil de una conversión.
Otro requisito importante para el centro de datos dinámico es la capacidad de realizar
conversiones inversas, en lugar de ir de física a virtual, va de virtual a física. Aunque la necesi-
dad de esas conversiones inversas desaparecerá con el tiempo, aún pueden ser necesarias en las
primeras etapas de su implementación del centro de datos dinámico. Esto se debe a que algu-
nos comercializadores tal vez no tengan deseos de dar soporte a esas aplicaciones en máquinas
virtuales y tal vez se necesite transformar una instalación virtual en una física cuando surgen
problemas con la aplicación. Por ejemplo, Microsoft ofrece una estrategia de soporte para cargas
de trabajo virtuales en una “base del mejor esfuerzo” y en algunas situaciones tal vez necesite
convertir una instancia virtual de su sistema operativo en una física para ver si el problema que
está enfrentando puede reproducirse en el mundo físico.
NOTA La directiva de soporte de Microsoft está documentada en el artículo número 897615 de la

base de datos de conocimientos en http://support.microsoft.com/kb/897615.
Debido a esto, tal vez necesite una herramienta que no sólo realice conversiones de física
a virtual, sino también de virtual a física. Entonces, tal vez la mejor estrategia que puede usar-
se sea combinar los requisitos de copia de seguridad y restauración con los de conversiones de
máquina. Lo ideal es que pueda usar una herramienta que cree copia de seguridad de cualquier
máquina (física o virtual) y luego almacene esta copia en una ubicación central. En este caso, las
copias de seguridad de imagen de disco a menudo son las mejores. Cuando llegue el momento
de restaurar la máquina, entonces puede mover la imagen de esta ubicación de copia de segu-
ridad central a cualquier destino posible, una vez más físico o virtual. La característica clave que
necesita identificar es la capacidad de actualizar los controladores de sistema operativo cuando
se ejecuta el proceso de restauración. Muchas de estas herramientas podrán señalar a un alma-
cén central de controladores para obtenerlos antes de seguir adelante, y luego inyectarlos en la
imagen a medida que se van restaurando (vea la figura 11-12). A partir de aquí, esta herramienta
pasará a dar soporte a copias de seguridad, restauraciones y conversiones de cualquier máquina,
esté en el almacén de recursos o en los ofrecimientos de servicios virtuales.
\\nombreservidor\controladores
Obtiene e inyecta
controladores
Máquina virtual
Conversión
Copia de
Copia de
seguridad
seguridad
Restauración
Conversión/
Copia de Diferente hardware
seguridad de máquina física
Depósito
Servidor de datos
físico original (estado intermedio)
Máquina virtual
(XenSource, VMware, Microsoft)
FIGURA 11-12 Uso de una herramienta que combina la copia de seguridad con conversiones de física a
virtual y de virtual a física.
Varias herramientas en el mercado dan soporte a esto. Busque comercializadores de creación

de imágenes de disco como Acronis, que ofrece la línea de productos True Image o Symantec que
ofrece la línea Ghost, para evaluar la mejor herramienta que necesite.
Finalice su estrategia de resistencia

La elección de la tecnología de protección de datos correcta es un elemento central de su es-
trategia de resistencia, pero como ya ha visto aquí, no es el único elemento. Necesita diseñar e
implementar los procesos apropiados y asegurarse de que se sigan. Se trata de una excelente
oportunidad para el diseño de procedimientos operativos estándar.
Además, debe asegurarse de que sus estrategias de protección de datos complementen sus
estrategias de redundancia del sistema. Uno de los elementos clave de la primera es la prueba
integrada y regular: sus cintas u otros medios de copia de seguridad deben probarse de manera
PARTE V
regular. Demasiadas organizaciones han realizado copias de seguridad durante periodos extensos
y han cometido el error fatal de no probarlas nunca o probarlas sólo en la fase de implementa-
ción de la solución y descontinuar las pruebas después de ellas. ¡No cometa ese error!
La resistencia es la esencia de cualquier red. También es la etapa de preparación final de la red
paralela. Ahora su red está lista para proporcionar servicios completos a su organización. Dos elemen-
tos clave que aún se tienen que cubrir antes de que la red paralela esté completamente operacional:
• La migración de usuarios y datos a la red paralela, además de la eliminación de la comisión de
la red heredada.
• La modificación de las funciones operativas dentro de su organización de tecnología de infor-
mación para cubrir nuevas actividades administrativas integradas para la nueva red.
Ambos elementos se cubren en el siguiente capítulo.
VI
PARTE
Migre a Windows CAPÍTULO 12
Lleve la red de
Server 2008 ofrecimiento de servicios

virtuales a producción
E
n esta sección se aborda el desplazamiento de la nueva in-
fraestructura de Windows Server 2008 que preparó en la red
paralela para ofrecimientos de servicios virtuales. Todos los
sistemas están listos, y ahora necesita mover todo el contenido de
la red heredada a la nueva red paralela. Esto significa realizar la mi-
gración real, además de preparar a su personal de soporte técnico y
operativo para trabajar en el nuevo entorno.
12
CAPÍTULO
Lleve la red de ofrecimiento
de servicios virtuales a producción
Y
a se han hecho los preparativos técnicos finales para la red paralela de ofrecimiento de
servicios virtuales. Está casi listo para ir en línea. Ahora necesita migrar todos los usuarios,
las PC, los datos y los servicios a la red paralela y quitar la comisión del entorno heredado.
Es al final de esta operación que habrá completado su migración a Windows Server 2008 (WS08).
Entonces pasará a la operación de la nueva red. Es en esa etapa que descubrirá que hay cambios
en la manera en que habrá de administrar y operar una red nativa de WS08.
A medida que realizaba todas las operaciones delineadas en los capítulos anteriores, observó
que se han modificado varias tareas tradicionales de tecnología de la información y que se han agre-
gado nuevas tareas a la rotación operativa. Mientras se preparaba para colocar la red paralela en lí-
nea y completar la migración de usuarios de la red heredada, se dio cuenta de que hay una actividad
final que debe realizar. Se trata de la revisión de las funciones administrativas y operativas dentro de
su red empresarial. Una vez que se haya hecho esta revisión, su red estará lista para debutar.
Estos cambios se analizarán aquí. En el capítulo 13 se le llevará a echar un vistazo de cerca a la
administración de las redes de Windows Server 2008, delineando tareas específicas y la manera de
realizarlas. Pero antes de llegar allí, necesita llenar su red nueva de ofrecimientos de servicios virtuales.
Consideraciones para la migración a la red paralela

de ofrecimientos de servicios virtuales
Recuerde que cuando migra servicios desde su red existente a la red paralela de ofrecimientos
de servicios virtuales, deberá realizar alguna forma de rotación de servidores. Cuando selecciona
un servicio para migración, primero debe preparar los nuevos servidores virtuales que hospe-
darán estos servicios y luego asegurar que tiene una solución completa de recuperación desde
la última versión correcta conocida, en caso de que falle algún servicio. Ésta es la ventaja de la
red paralela de ofrecimientos de servicios virtuales: la red heredada siempre está disponible para
recuperación de fallas del servicio, si lo necesita. Pero si ha hecho bien su trabajo, no tendrá que ha-
cerlo. En todo el proceso que ha realizado hasta ahora, ha preparado cuidadosamente los servicios
nativos en modo WS08, ejecutando las mejores y más recientes características de este poderoso
601
602 Parte VI: Migre a Windows Server 2008
sistema operativo. Además, ha implementado soluciones de continuidad de negocios para el

almacén de recursos y los ofrecimientos de servicios virtuales, con el fin de asegurar que siempre
se estarán ejecutando y se encontrarán disponibles.
En sus consideraciones para la migración a la red paralela de ofrecimientos de servicios vir-
tuales, deberá pensar en lo siguiente:
• El proceso de rotación del servidor Este proceso se utilizará para rotar y recuperar la ma-
yor cantidad posible de hardware, mientras se mueve a la nueva red.
• El orden de la migración El orden en que migrará los servicios a la nueva red.
Ambos deben atenderse antes de seguir adelante.
El proceso de rotación del servidor (almacenes de recursos)

En el capítulo 6 se introdujo el concepto de rotación del servidor durante la migración de servi-
cios a ofrecimiento de servicios virtuales (vea la figura 12-1). En el pasado, este proceso era relati-
vamente simple porque estaba pasando de servidor de hardware a servidor de hardware, pero en
este caso es diferente porque el hardware y los servicios están divididos en dos infraestructuras
diferentes. Lo ideal es que sólo se reutilice hardware de 64 bits y que se mueva al almacén de
recursos, pero en casi todo los casos, las organizaciones no estarán usando sólo 64 bits en su red
heredada. Eso significa que ahora es el momento ideal para realizar un esfuerzo serio de consoli-
dación de servidores y de racionalización de la mayor cantidad posible de estos dispositivos.
Tome en cuenta lo siguiente, mientras recorre el proceso de rotación del servidor:
• Deshágase de cualquier servidor independiente basados en arquitecturas de hardware anti-
guas, que utilizan una gran cantidad de energía eléctrica y que generan una tonelada de calor.
Si puede, deshágase de todos ellos.
Los servidores hosts centrales se forman a partir de nuevas adquisiciones

El núcleo de la nueva red se construye con máquinas virtuales
Los servicios básicos de la red se activan
Red heredada existente Nueva red de Windows Server
Puesta en
funcionamiento
del servidor
A medida que se ponen en Se vuelven a comisionar los
línea servicios esenciales, se servidores a medida que se agregan
desconectan servidores servidores hosts y nuevas máquinas
específicos virtuales
Almacén de migración
Los servidores se reconstruyen
como hosts (si es aplicable)
Las PC y los usuarios migran a

medida que el proyecto avanza
Se quita la comisión de la red heredada cuando todas las PC, todos los usuarios y
todos los servicios de red hayan migrado a la red de Windows Server 2008.
FIGURA 12-1 Proceso de rotación de servidores.

Capítulo 12: Lleve la red de ofrecimiento de servicios virtuales a producción 603
• Vuelva a comisionar cualquier cosa que esté basada en hardware x64. Lo ideal es que esto esté
montado en racks o, aún mejor, en servidores blade que pueda conectar fácilmente a almace-
namiento compartido. La consideración más importante al volver a comisionar servidores x64
como servidores host es la naturaleza del procesador o los procesadores que contiene. Para
obtener beneficios de la virtualización de x64, los procesadores deben ser compatibles con
Intel VT o AMD-V, que ofrecen soporte integrado a virtualización.
• Vuelva a comisionar cualquier cosa que sea una adquisición reciente. Aunque vuelva a comi-
sionar algunos sistemas de 32 bits, aún puede ejecutar los servicios de host de virtualización
en ellos. Sólo tiene que ejecutar Microsoft Virtual Server (www.microsoft.com/windowsserver-
system/virtualserver) en lugar de Windows Server Hyper-V. Y tiene que asegurarse de hacerlo
así en una instalación completa de WS08, no de Server Core, porque Virtual Server requiere
componentes de Internet Information Services (IIS) que no están disponibles en Server Core.
Utilice estos sistemas para cargas de trabajo virtuales de prioridad inferior en producción. Aún
mejor, muévalos para ejecutar entornos de prueba o desarrollo en sus laboratorios. Tome en
cuenta que si despliega Virtual Server mediante el administrador de máquinas virtuales del
centro del sistema, no necesitará IIS.
• Adquiera nuevo hardware cuando sea posible. Si tiene un programa de arrendamiento, tal
vez pueda intercambiar sus sistemas de 32 bits por nuevos sistemas de 64 bits, sobre todo los
sistemas de servidor en un solo gabinete que necesita para oficinas remotas.
SUGERENCIA Por ejemplo, el fabricante de gabinetes Kell Systems ofrece pequeños gabinetes para
servidor portátiles que son ideales para el concepto de servidor integrado. Descubra más al respec-
to en www.kellsystems.com.
• Asegúrese de deshacerse de sus servidores no usados de una manera apropiada. Varias or-
ganizaciones comerciales se dedican al negocio de desechar servidores de manera ecológica.
Búsquelos en Internet.
• Si puede, canibalice los sistemas que ya no retendrá para recuperar artículos como tarjetas de
memoria de acceso directo (RAM, Random Access Memory), tarjetas de red y discos duros.
Agréguelos a su almacén de recursos.
• Si puede, vuelva a comisionar algunos de los servidores de 32 bits más poderosos como esta-
ciones de trabajo para desarrollo o administración.
• Asegúrese de que todo el hardware que retiene será parte de un bosque de un solo dominio
de los Servicios de dominio de Active Directory (ADDS, Active Directory Domain Services) del
almacén de recursos, para asegurar una seguridad más fuerte entre los almacenes de recursos
y los ofrecimientos de servicios virtuales.
• Asegúrese de que elimina por completo la información y los datos en todos los discos existen-
tes de cualquier sistema que deje de comisionar. No querrá que alguien reconstruya los datos
en una unidad de disco porque no se borraron adecuadamente.
SUGERENCIA Hay algunas herramientas muy buenas para borrado de discos en el mercado. Sólo
PARTE VI
busque “borrado de discos” en Internet, mediante su motor de búsqueda favorito.
Este proceso tomará algún tiempo, pero encontrará que es más sencillo y maleable que nun-
ca para la administración de recursos.
En cuanto a la propia migración, hemos analizado a profundidad la preparación de los

servidores de almacén de recurso en el capítulo 6; proceda con los pasos delineados allí para
preparar los servidores host suficientes que permitan empezar la migración de los ofrecimientos
de servicios virtuales.
SUGERENCIA Recuerde que si sus servidores host son blades y están conectados a almacenamiento
compartido, en realidad puede depender de copias de las unidades lógicas que integran la parti-
ción de sistema para proporcionar nuevos servidores host. Esto es más rápido y fácil que usar una
herramienta de implementación real.
El orden de la migración (ofrecimientos de servicios virtuales)

Cuando esté listo para moverse a la nueva red, aún tendrá que integrar una estrategia de migra-
ción. Debe cubrir cuatro actividades principales:
• Migración del principal de seguridad La migración de usuarios y equipos del servicio
de directorio en uso en la red heredada a los Servicios de dominio de Active Directory en la
nueva red.
• Migraciones de servidores miembros La migración de todos los servicios encontrados en
los servidores miembros, incluidos archivos, impresión, administración, colaboración y más.
Esto también incluye productos especiales, como Exchange, SQL Server y otros servicios que
administran los productos de servidor.
SUGERENCIA Para conocer más acerca de la migración de Microsoft Exchange Server, busque
MCITP Self-Paced Training Kit (Exam 70.238): Deploying Messaging Solutions con Micro-
soft® Exchange Server 2007, por Ruest y Ruest, publicado por MS Press.
• Migraciones de PC La migración de sistemas operativos obsoletos de PC a Windows Vista.

Eso también incluirá la captura y restauración de datos y preferencias de usuario o perfiles. Tal
vez ya se haya hecho esta parte de la migración.
• Migraciones de aplicaciones personalizadas Incluye casi todas las convenciones o el
nuevo desarrollo de aplicaciones internas de cliente y Web.
Cada una de las cuatro etapas es un miniproyecto en sí, y cada una necesitará sus propios
recursos. Debe empezar con la migración de los principales de seguridad. Si establece su entor-
no de la manera correcta, podrán migrar las cuentas de usuario y equipo, además de grupos, a
su propio ritmo, dándose tiempo para preparar los otros aspectos del proyecto. Además, el uso
del método de la red paralela de ofrecimientos de servicios virtuales no afectará al entorno de
producción actual, de modo que los usuarios de cualquier red podrán compartir aplicaciones y
servicios de ambas redes durante todo el tiempo que dure el proyecto de migración.
A continuación, podrá pasar a las migraciones de los servidores miembros. Lo ideal es que
pueda migrar un servicio, estabilizar los nuevos servidores virtuales y luego proceder a la migra-
ción de clientes. Para esta última, lo ideal es que migre sus PC a Windows Vista (si aún no lo ha
hecho) para obtener beneficios completos de la nueva infraestructura de servicios. A medida que
migra las PC, necesitará mover usuarios al nuevo servicio y monitorear el rendimiento del servi-
cio. Por lo general se llevará de uno a dos meses de operación antes de que los servicios se hayan
estabilizado por completo. Después de eso, deberá revisar los servicios para potencial de creci-
miento. Mientras tanto, puede tener a su personal de desarrollo trabajando en actualizaciones de

sus aplicaciones clave, porque éstas tomarán tiempo y tal vez no estén listas hasta que se hayan
realizado todas las demás tareas de migración.
SUGERENCIA Si necesita migrar PC, le recomendamos que descargue el libro electrónico gratuito The
Definitive Guide to Vista Migration, que se encuentra en www.realtime-nexus.com/dgvm.htm.
Proporciona una gran cantidad de información que también puede ayudarle a la migración de sus
servidores.
Tenga en cuenta lo siguiente mientras prepara su migración:

• Servidores de identidad Debe empezar con los servidores de identidad para realizar la
migración de principales de seguridad. Los controladores de dominio y los Servicios de domi-
nio de Active Directory son absolutamente esenciales para que la nueva red funcione. Prepare
primero estos servidores. Llene los DC suficientes en el entorno virtual para proporcionar un
nivel de servicio determinado. Si se encuentra en una pequeña organización que sólo cuenta
con un sitio, puede empezar la migración a otros servicios una vez que tenga a su infraestruc-
tura de bosque de producción básica en funcionamiento. En organizaciones muy pequeñas
(de unos 100 usuarios o menos), esto significará un bosque de un solo dominio y, por tanto,
dos DC para redundancia. En organizaciones de tamaño medio a grande, que tienen por lo
menos dos sitios, por lo general puede empezar la migración de alguno de sus servicios una
vez que tenga DC localizados en por lo menos dos sitios. Consulte las recomendaciones del
capítulo 6 para conocer los requisitos básicos para la construcción de estos DC.
• Infraestructura de red A continuación, puede pasar a la migración del protocolo dinámico de
configuración de host (DHCP, Dynamic Host Configuration Protocol) y al servicio de asignación
de nombre de Internet de Windows (WINS, Windows Internet Naming Service), si no ha deci-
dido usar zonas de nombres globales DNS, porque no se requiere un cliente especial para que
los equipos utilicen estos servicios. Trabajan con toda las versiones de Windows. Sin embargo, tal
vez sea más fácil utilizar un nuevo almacén de direcciones si no quiere afectar sus sistemas de
producción. Otra buena manera de realizar esta migración consiste en subir a IPv6 en la nueva
red mientras la heredada sigue ofreciendo las direcciones IPv4. Asegúrese de que sus aplicacio-
nes sean compatibles con IPv6 antes de que decida utilizar esta estrategia. Por ejemplo, verifique
los sistemas de detección de intrusiones en la red, los sistemas antivirus, los analizadores de
red, etc. A continuación, cree los servidores de servicios de implementación de Windows (WDS,
Windows Deployment Services), porque son necesarios para construir PC. Por último, cree sus
servidores de administración y operativos de los sistemas para que su infraestructura de admi-
nistración esté lista para administrar los servidores a medida que se agregan a la red paralela. El
resultado debe ser una red central que esté lista para entregar servicios en una oficina central,
para cubrir las necesidades de las organizaciones pequeñas, medianas y grandes (vea la figu-
ra 12-2) y las oficinas remotas para cubrir las necesidades de las organizaciones medianas y
grandes (vea la figura 12-3). Y si siguió los consejos del capítulo 11, ya tendrá su estrategia de
continuidad del negocio central en funcionamiento (vea la figura 12-4).
PARTE VI
SUGERENCIA Recuerde que, debido a que los ofrecimientos de servicios virtuales se ejecutan en
máquinas virtuales, en realidad no necesita una herramienta como WDS para proporcionarlos,
porque todo lo que necesita es copiar los archivos que integran las máquinas de origen para crear
uno nuevo. Además, consulte el webcast Application Virtualization: Ending DLL hell once and
for all (virtualización de aplicaciones: termine con la pesadilla de los DLL de una vez y para siem-
pre) en www.bitpipe.com/detail/RES/1193672482_325.html.
• Servidores Web dedicados Si está utilizando servidores Web de un solo propósito, enton-
ces los servidores Web dedicados pueden ser lo siguiente, porque IIS 7 proporciona com-
patibilidad hacia atrás para aplicaciones Web. Asegúrese de probar por completo todas las
aplicaciones antes de ponerlas en producción. Hay modificaciones serias en IIS 7 que pueden
afectar la operación de la aplicación. Al igual que con los servidores de infraestructura de red,
no se requiere un cliente especial para operar con IIS.
• Servidores de aplicaciones Los servidores IIS propósito general de igual forma logran mi-
grarse al mismo tiempo que los servidores Web dedicados, por la misma razón. Los servidores de
base de datos también pueden migrarse porque, una vez más, operarán con clientes existentes.
Los servidores de aplicaciones corporativos asimismo pueden integrarse porque operarán con
clientes existentes. Recuerde probar cada componente antes de ofrecerlo a los usuarios finales.
• Terminal Services Los servidores Terminal Services (TS) de WS08 operan mediante co-
nexiones Web de escritorio remoto mediante Acceso Web TS. Los clientes necesitan estar
ejecutando la última versión del cliente de escritorio remoto (RDC, Remote Desktop Client).
Si quiere publicar aplicaciones que aprovechen RemoteApps y que quiera hacer disponibles
para las PC existentes, asegúrese de implementar el RDC más reciente en cada PC.
SUGERENCIA Tal vez no necesite trabajar con Terminal Services, si ha decidido moverse a la vir-
tualización de aplicaciones. Le sugerimos que eche un vistazo a este modelo operativo, porque es
menos costoso y más eicaz que ejecutar aplicaciones remotas mediante Terminal Services. Para
FIGURA 12-2 Ofrecimientos de servicios virtuales

Red esencial de una
oicina central.
Raíz del Dominio Dominio Raíz del

bosque secundario secundario DHCP bosque DHCP
DC/DNC DC/DNS DC/DNS DC/DNC
Dominio Dominio
de utilería Sobrante Sobrante de utilería
DC/DNS DC/DNS
Función Hyper-V Función Hyper-V Función Hyper-V Función Hyper-V
SAN
Discos virtuales
FIGURA 12-3 Ofrecimientos de servicios virtuales

Uso de un servidor integral
para oicinas remotas.
Windows Dominio Administración

SharePoint Archivos e secundario de
Services impresión DC/DNS infraestructura
Función Hyper-V Función Hyper-V
SAN
Sitio de oficina
remota/sucursal
(servidor integrado)

Dominio Dominio
DC/DNS DC/DNS Dominio de utilería
de conmutación
Función Hyper-V Función Hyper-V Función Hyper-V Función Hyper-V por error
DC/DNS
SAN Función Hyper-V Función Hyper-V
Discos virtuales Replicación

SAN
DFS
PARTE VI
Almacén de recursos Sitio remoto
FIGURA 12-4 Continuidad del negocio de un sitio a otro.

conocer más información, consulte el capítulo 6 de The Definitive Guide to Vista Migration en
www.realtime-nexus.com/dgvm.htm.
• Servicios de archivos e impresión Los servicios de archivos requieren transferencias de

grandes cantidades de datos para la migración. Como tales, deben mantenerse hacia el final
de su migración o, por lo menos, deben coordinarse con la migración de PC (los servidores
primero, luego las PC). Debe prestarse especial atención a la propiedad del archivo y a los de-
rechos de acceso cuando los archivos migran de la red heredada a la nueva. Al mismo tiempo,
pueden eliminarse los servicios de impresión. Esto reducirá el número de controladores de
impresora que necesita poner a disposición de su sistema, porque sólo tendrá que tratar con
sistemas de PC actualizados.
PRECAUCIÓN Tenga en cuenta que puede y debe buscar el reemplazo de los servicios de archivos
con servicios de colaboración basados en Windows SharePoint Services (WSS). Éstos proporcio-
nan un entorno más rico para la colaboración que los servidores de archivo.
• Servicios de colaboración Estos servicios deben mantenerse hasta el final, porque son la base
de la evolución del servicio de red. Los servicios de colaboración de WS08 extienden las capaci-
dades de su red. Como tales, requieren las capacidades completas de la nueva red. Podría tomar
en cuenta su uso, sobre todo de la función WSS, en lugar de trabajar con servidores de archivos,
reemplazando por completo los servidores de archivos orientados a usuarios con servidores WSS.
Recuerde crear primero su estructura de unidad organizativa (OU, Organizational Unit) y los
servidores de etapa previa en el directorio. Luego cree el kernel del servidor y siga con el proce-
so de activación de la función de servidor. Entonces, y sólo entonces, podrá migrar los datos y
usuarios a la nueva red.
Empiece la migración a la red paralela de ofrecimientos de servicios virtuales

Ahora su red está lista para lanzarse en el entorno de producción. Hasta ahora, cada operación que
siguió ha estado (o debe haber estado) dentro de un entorno de laboratorio. Incluso los procedi-
mientos finales que utilizará para la propia migración deben probarse por completo antes de pasar a
la migración en la nueva red de producción. Deben empezar por llenar el directorio en la nueva red.
Migre los principales de seguridad

Empiece por migrar las cuentas de usuario, las cuentas de PC y los datos al nuevo directorio.
Necesitará realizar los siguientes pasos:
• Cree conianzas El primer paso consiste en crear una relación de confianza de dos vías, o
bidireccional, entre el dominio de producción y su dominio heredado. Esa confianza sirve para
dar soporte a la operación de ambas redes al mismo tiempo. Debe permanecer en el lugar
hasta que la migración se complete.
• Grupos anidados El segundo paso consiste en anidar los grupos globales apropiados
dentro de los grupos locales que se requieran para otorgar acceso compartido a recursos desde
ambos dominios. Por ejemplo, si está migrando un grupo selecto de usuarios y la migración
no puede completarse al mismo tiempo, necesita asegurar que ambos conjuntos y usuarios
(los localizados en la red heredada y los que ya migraron a la nueva red) tengan acceso a
recursos compartidos para que puedan seguir trabajando juntos durante el tiempo que dure la
migración. Este método debe extenderse a todos los usuarios de carpetas compartidas, porque
deben compartir recursos durante el tiempo que dure la migración.
• Migración de cuentas de usuario A continuación, debe migrar las cuentas de usuario de la
red heredada al nuevo entorno. Los usuarios deben tener autoridad para modificar su propia
información personal mediante el uso de una página Web de modificación de datos de usuario,
como se analizó en el capítulo 7, para que puedan capturar cualquier error en los datos. La Herra-
mienta de migración para Active Directory (ADMT, Active Directory Migration Tool), disponible
en Microsoft, será de gran ayuda aquí, porque migra las cuentas de usuario, las contraseñas, los
grupos y las membresías de grupo, las cuentas de servicio y las cuentas de equipos y más.
NOTA Ésta es una excelente oportunidad para limpiar su base de datos de directorio heredada mien-
tras se importa en el nuevo dominio de producción.
• Migración de cuentas de servicio No es necesario que migre cuentas de servicio, porque

se han vuelto a crear en la nueva red a medida que se han activado los nuevos servicios.
• Migración de los datos de usuario Puede proceder a migrar los datos de usuario que
estén localizados en los recursos compartidos de red, como directorios de inicio o, aún mejor,
mediante los objetos de directivas de grupo (GPO, Group Policy Objects) de redirecciona-
miento de carpetas. Aquí es donde resulta importante utilizar la herramienta apropiada para
la migración de cuentas de usuario porque a cada cuenta que se migra se le asigna un nuevo
identificador de seguridad (SID, Security ID). Este SID es diferente del usado para crear la
información en la red heredada. Esto significa que es posible que los usuarios pierdan acceso
a sus datos una vez que se han movido a una nueva red, si no administran la migración de
manera apropiada. ADMT puede mantener un historial de SID cuando migra una cuenta de
usuario, dándole la capacidad de presentar un SID heredado cuando se accede a datos en la
nueva red, o puede realizar la traducción de SID, reemplazando el heredado con el nuevo en
el objeto para evitar este problema.
• Migración de cuentas de PC A continuación, debe migrar PC. Si no es necesario volver a
ponerlas en funcionamiento (ya están ejecutando Windows Vista o, por lo menos, Windows
XP), entonces puede utilizar ADMT para migrar cuentas del equipo y restablecer descriptores
de seguridad en cada sistema. Si, por otra parte, no están actualizados y necesitan volverse a
poner en funcionamiento, es necesario que primero recupere todos los datos de usuarios del
sistema, reinstale éste, lo una al nuevo dominio durante la reinstalación y luego restaure los
datos de usuario al sistema.
NOTA Una vez más, busque The Definitive Guide for Vista Migration para conocer más informa-
ción sobre el tema.
• Elimine la comisión de la red heredada El último paso consistirá en quitar la comisión de

PARTE VI
la red heredada. Éste será el paso que identifican cuando la migración está completa.
Una vez que estos pasos se hayan completado, su migración finalizará y estará listo para
pasar a la administración y optimización de su red (vea la figura 12-5).
Confianza
Grupo bidireccional
Grupo local
global
Anidado de grupos
Directorio heredado Grupo
global
Grupo
local
Migración de la cuenta de usuario

No es necesario migrar cuentas
de servicio
Confianza
bidireccional
Directorio heredado
Migración de
datos de usuario
Confianza
bidireccional
Migración de PC
Otros sistemas Windows Vista
Puesta en
operativos
funcionamiento
Directorio heredado de PC
Dejar de comisionar directorio heredado
A Eliminar anidado de grupo
B Eliminar confianza de dos vías
C Dejar de comisionar directorio
heredado
Confianza
bidireccional
Directorio heredado
FIGURA 12-5 Proceso de migración de las cuentas de usuario, los datos y las PC.
NOTA El uso de una herramienta de migración comercial evita muchos de los problemas, porque
toma todas las situaciones en cuenta.
Cree conianzas de dos vías

El primer paso en la migración de principales de seguridad consiste en crear confianzas de dos
vías entre los dominios de producción heredado y nuevo. Esto es relativamente sencillo, pero
se necesitan credenciales de administración de dominio en ambos dominios. Esto significa la
creación de una confianza entre el nuevo dominio de producción secundario global y cualquier
dominio heredado que contenga sus cuentas de usuario.
PRECAUCIÓN Asegúrese de que sus nuevos servidores virtuales pueden comunicarse con los
dominios heredados de origen antes de seguir adelante con esta operación. Esto podría signiicar el
cambio de las propiedades de sus conexiones de protocolo de Internet (IP, Internet Protocol) para
incluir servidores de sistema de nombres de dominio (DNS, Domain Name System) adicionales.
También debe hacer ping con el dominio heredado antes de empezar la operación, para asegurarse
que los nombres se resuelvan de manera apropiada.
Las confianzas se crean en la consola Dominios y confianzas de Active Directory. Utilice los
pasos siguientes:
1. Realice esta operación desde la red paralela. Inicie sesión con credenciales de administración
de dominio. Asegúrese de que tiene el mismo nivel de credenciales en los dominios de origen.
2. Lance menú Iniciar|Herramientas administrativas|Dominios y confianzas de Active Directory.
3. Expanda el bosque en el panel de árbol hasta ver el dominio de producción secundario global,
y haga clic en el nombre del dominio para elegir propiedades.
4. Vaya a la ficha Confía.
5. Haga clic en Nueva confianza.
6. En el Asistente para nueva confianza, haga clic en Siguiente.
7. Puede crear confianzas entre dominios, bosques o reinos de Kerberos V5 (UNIX o Linux). En
este caso, necesitará una confianza de dominio a dominio. Escriba el nombre del dominio de
origen y haga clic en Siguiente.
8. El sistema buscará el dominio y luego producirá la página de creación de confianzas apropia-
da. Seleccione Bidireccional y haga clic en Siguiente (vea la figura 12-6).
NOTA Deberá utilizar una conianza bidireccional para asegurar que las operaciones funcionan
durante la migración y que los usuarios pueden acceder a los recursos que han migrado, además
de los que faltan aún por migrar.
9. En el cuadro de diálogo Lados de la confianza, seleccione Este dominio y el dominio especifi-

cado, para crear ambos lados de la confianza a la vez. Haga clic en Siguiente.
10. Proporcione las credenciales para el dominio de origen. Recuerde incluir el nombre del domi-
nio en sus credenciales, mediante el nombre principal de usuario (UPN, User Principal Name)
o empleando el formato nombredominio\nombreusuario. Haga clic en Siguiente.
11. A continuación, especifique el ámbito de autentificación para los usuarios del dominio local.
PARTE VI
Para una migración, es mejor usar autentificación del lado del dominio (vea la figura 12-7).
Haga clic en Siguiente. Repita para el dominio de origen.
12. Revise sus elecciones y haga clic en Siguiente para crear la confianza.
13. Una vez que se haya creado la confianza, haga clic en Siguiente para configurarla.
FIGURA 12-6 Creación de una conianza bidireccional.
14. Seleccione Sí, confirme la confianza de salida y haga clic en Siguiente. Seleccione Sí, confirme
la confianza de entrada y haga clic en Siguiente.
FIGURA 12-7 Selección de los niveles de autentiicación.

15. Haga clic en Finalizar tras la confirmación de su relación de confianza. Se desplegará un cuadro
de diálogo de advertencia acerca de habilitar el historial de SID (vea la figura 12-8). Haga clic
en Aceptar. No seleccione la casilla de verificación No mostrar este cuadro de diálogo de nuevo,
porque es útil para tener un recordatorio acerca de habilitar el historial de SID cuando haya
terminado. Haga clic en Aceptar una vez más para cerrar el cuadro de diálogo Propiedades.
Repita esta operación en cada dominio de origen que necesite vincular. Tome nota de cada
confianza que aplique, porque necesitará eliminarlas una vez que haya completado la migración.
Anide grupos globales

El siguiente paso consiste en otorgar derechos de acceso a usuarios en ambos dominios. Esto
permitirá a los usuarios del dominio de destino acceder a recursos que aún están en el dominio
de origen, y a los usuarios en el dominio de origen acceder a los recursos en el dominio de desti-
no; utilice el Administrador del servidor para ello.
Necesitará crear grupos locales de dominio para otorgar acceso a miembros del dominio de ori-
gen a recursos del dominio de destino. Recuerde la regla cuenta-grupo global-grupo local-permisos
(AGLP, Account-Global Group-Local Group-Permissions), como se observa en la figura 12-9; sólo
los grupos locales de dominio o locales pueden contener objetos de otros dominios en este caso.
Tenga esto en cuenta mientras asigna derechos de acceso.
1. Vaya a Administrador del servidor | Funciones | Servicios de dominio de Active Directory |
Usuarios y equipos de Active Directory.
2. Localice el contenedor con los grupos que desea tomar como destino. Por ejemplo, en su nue-
vo dominio, vaya a la estructura de la OU persona.
3. Cree grupos locales de dominio apropiados.
4. Utilice el cuadro de diálogo Propiedades del grupo para ir a la ficha Miembros, y haga clic en
Agregar.
5. En el cuadro de diálogo Seleccionar usuarios, contactos, equipos o grupos, haga clic en Ubica-
ciones.
6. Seleccione el dominio de origen y haga clic en Aceptar.
7. Busque el grupo de origen en el dominio de origen, y haga clic en Agregar. Haga clic en Acep-
tar cuando haya terminado.
PARTE VI
FIGURA 12-8 Advertencia de historial de SID.

FIGURA 12-9 La regla AGLP

Regla AGLP. Acceso a dominio
Dominio Permisos de
Grupo Local directorio
Permisos de
Cuentas Grupo global Grupo Local extremo
Acceso de bosque
Grupo universal
Usado para acceso a
todo el bosque
Acceso a dominio
Dominio Permisos de
Grupo Local directorio
Permisos de
Cuentas Grupo global Grupo Local extremo
Repita para cada grupo al que necesite otorgar acceso. También puede usar el comando DS
para realizar esta operación mediante una secuencia de comandos. En este caso, necesitará los
comandos DSADD y DSMOD.
En el caso de otros recursos, necesitará utilizar grupos locales de servidores miembros para
otorgar acceso a recursos. Ahora está listo para mover el contenido de un dominio al otro.
Use la Herramienta de migración para Active Directory

La Herramienta de migración de Active Directory (ADMT) ofrece varias características para
dar soporte al método de migración de red paralela. Su uso es muy simple. Debe descargarla e
instalarla. No tiene que instalarla en un servidor de destino, sino que tal vez le resulte más fácil
hacerlo así. Recuerde que necesitará credenciales de administración de dominio en los dominios
de origen y destino. ADMT requiere el uso de una base de datos. Sin embargo, incluye una base
de datos interna de Windows, de modo que la encontrará adecuada.
SUGERENCIA Encontrará ADMT en http://go.microsoft.com/fwlink/?LinkId=75627.

Una vez instalado, puede lanzar la consola ADMT al ir a Herramientas administrativas y
seleccionar Herramienta de migración para Active Directory. En esencia, la operación de ADMT
consiste en usar el botón derecho del ratón para hacer clic en la herramienta de migración para
Active Directory, acceder al menú contextual y seleccionar el asistente apropiado. ADMT ofrece
varios asistentes:
• Migración de cuentas de usuarios
• Migración de cuentas de grupo
• Migración del equipo

• Traducción de seguridad
• Creación de informes
• Migración de cuentas de servicio
• Migración de directorio de Exchange
• Migración de contraseñas
La operación de los asistentes también es sencilla. Debe identificar el dominio de origen, el
de destino, los objetos que desea migrar, el contenedor al que desea migrarlos y luego la manera
en que quiere realizar la migración. Además de realizar la migración de cuentas o grupos, ADMT
da soporte a la migración de objetos de Exchange, como buzones de usuario, vistas de distribu-
ción, etc.
NOTA ADMT puede ejecutarse en modo de prueba. La elección de este modo le permite probar los
resultados de la migración antes de realizar en realidad esta operación. Simplemente seleccione ¿Pro-
bar la coniguración de migración y migrar más adelante? cuando utilice uno de los asistentes.
La mejor manera de usar ADMT en el proceso de migración de la red paralela consiste en

migrar grupos de usuarios. Cuando ADMT migra un grupo, también puede migrar los usuarios
que están contenidos en él, facilitándole la determinación de lo que deben migrar. Pero antes
de que pueda mover usuarios y equipos de una red a otra, necesita asegurarse de que estén
filtrados los datos que migrará y de que se eliminen todos los registros obsoletos. ¡No querrá que
se ingresen datos obsoletos en su nueva red de WS08!
Habilite el servidor de exportación de contraseñas

Con el fin de migrar cuentas de usuario con sus contraseñas, debe habilitar el servidor de expor-
tación de contraseñas (PES, Password Export Server). La migración de cuentas de usuario
con contraseñas es mucho más fácil en usuarios y administradores, porque no necesita propor-
cionar contraseñas temporales a los usuarios y éstos no necesitan restablecer sus contraseñas
antes de iniciar sesión. Sin embargo, puede hacer que restablezcan sus contraseñas al primer
inicio de sesión, como parte de una directiva de seguridad para su nuevo entorno.
El PES debe instalarse en cualquier controlador de dominio del dominio de origen. Este
DC debe brindar soporte a cifrado de 128 bits (esto tiene soporte en casi todas las versiones de
Windows NT desde NT en adelante). El truco de esta instalación es que necesita tener una clave
de cifrado para realizar la instalación de PES. Esta clave debe generarse con ADMT, pero esta vez
debe estar en un dominio de destino.
Asegúrese de instalar ADMT en un DC en el dominio de destino. Luego genere la clave con
el siguiente comando:
admt key /option:create /sourcedomain:DominioOrigen /keyfile:ArchivoClave
/keypassword:*
PARTE VI
Esto le pedirá una contraseña que no se desplegará en la pantalla. Considere que Domi-
nioOrigen es el nombre del dominio de origen y ArchivoClave es el nombre del archivo que se
generará. Coloque el archivo en un recurso compartido de archivos muy seguro en un dispositivo
de bus serial universal (USB, Universal Serial Bus) para asegurarlo.
También debe crear una cuenta de servicio en el dominio de destino. Esa cuenta necesita de-
rechos de administración de dominio. Asegúrese de otorgar a esta cuenta derechos de adminis-
tración locales en el DC de destino. Esta cuenta se utilizará para ejecutar el servicio de migración
de contraseñas.
En el DC de origen, localice el archivo de instalación de PES. Estará bajo %SYSTEMROOT%\
ADMT\PES y se llama PWDMIG.MSI. Haga doble clic en él para lanzar la instalación. Especifique
la cuenta bajo la que se ejecutará, señale su archivo de clave de cifrado y proporcione la contrase-
ña para desbloquearla y completar la instalación.
Una vez que el servicio esté instalado, necesita iniciarlo. Vaya a la consola Servicios, localice
el servicio Servidor de exportación de contraseñas e inícielo. Es una buena idea dejarlo en inicio
manual porque de esta manera puede iniciarlo sólo cuando lo necesite. Deténgalo de nuevo una
vez que haya realizado la migración de las contraseñas.
Cree informes de datos de dominio

Para filtrar datos de su dominio de origen, necesita utilizar el asistente para reportes de ADMT.
Esta herramienta de creación de informes puede dar soporte a la elaboración de varios tipos de
informes diferentes para resumir los resultados de sus operaciones de migración:
• Usuarios y grupos migrados
• Equipos migrados
• Equipos expirados
• Referencias de cuentas
• Conflictos de nombre
El informe Equipos caducados presenta una lista de los equipos con contraseñas que han
expirado. El informe Conflictos de nombre hace lo mismo con objetos que podrían tener el mis-
mo nombre en el dominio de destino. El informe Referencias de cuentas presenta una lista de las
diferentes cuentas que tienen permisos para acceder a recursos en un equipo específico.
Debe tratar de identificar contenido obsoleto del directorio original antes de que empiece a
migrar contenido. Puede realizar esta eliminación de varias maneras:
• Eliminar los objetos del dominio de origen y luego migrar las cuentas.
• Crear nuevos grupos que sólo contengan objetos válidos en el dominio de origen y migrar
objetos al usar estos grupos.
• Mover las cuentas a OU específicas en el dominio de destino, limpiarlas y luego moverlas a
sus OU de destino.
NOTA Los informes deben generarse antes de que pueda verlos. Muchos informes se generan a
partir de la información que se recolecta de equipos de toda su red. Esto afectará su rendimiento;
por tanto, tal vez decida utilizar servidores dedicados para esta función. Además, los informes no
son dinámicos; son informes de puntos en el tiempo y deben volverse a generar para obtener una
imagen actualizada.
El último método puede ser su mejor apuesta, porque el ADMT le permitirá controlar la
manera en que se tratan las cuentas después de la migración. En realidad, puede asegurar que
ninguna cuenta se active hasta que realice una operación de limpieza en las cuentas recién mi-
gradas.
NOTA Encontrará más información sobre ADMT en la guía de migración de ADMT, en

www.microsoft.com/downloads/details.aspx?familyid=d99ef770-3bbb-4b9e-a8bc-01e9f7ef7342&d
isplaylang=en.
Consideraciones especiales acerca de ADMT

Hay algunos elementos que debe tomar en cuenta cuando usa ADMT. El primero está relacio-
nado con el identificador de seguridad (SID). Como ya se mencionó, todos los datos de usuario
están relacionados con el SID que representa al usuario en el momento en que se crea el objeto
de usuario. Todos los datos de usuario estarán relacionados con el SID heredado del usuario.
Cuando transfiera estos datos a la nueva red, debe utilizar una técnica especial que transportará
el SID heredado del usuario o traducirá el SID del objeto en el nuevo SID del usuario (el genera-
do por la nueva red).
La mejor manera de hacer esto consiste en asegurar que el SID heredado del usuario migre
al nuevo dominio (empleando la casilla de verificación apropiada en los asistentes Migración de
cuentas) y luego utilizar traducción de SID. Esto último se realiza mediante el uso del asistente
Traducción de seguridad de ADMT. Pero con el fin de que la traducción de seguridad funcione
apropiadamente, debe asegurarse de que todos los datos del usuario han migrado primero a la nueva
red; de otra manera, necesitará realizar una vez más la traducción de SID después de que haya
terminado.
También es importante tomar nota de que para que funcione la migración del historial de
SID, es necesario el servidor de exportación de contraseñas. Como ya se mencionó, el PES está
instalado en un controlador de dominio en la red heredada. Es mejor utilizar un servidor dedica-
do para esta operación porque ocupa muchos recursos. Por tanto, debe poner en funcionamiento
un nuevo controlador de dominio (uno de copia de seguridad en Windows NT o simplemente un
DC en Windows 2000 o 2003) y dedicarlo a esa tarea. Podría tratarse de una máquina virtual y no
necesita ser una instalación física.
Su red también debe cumplir las siguientes condiciones antes de que pueda realizar la mi-
gración de contraseñas con la traducción de SID:
• La auditoría debe habilitarse en el dominio de origen. De lo contrario, ADMT ofrecerá habili-
tarla durante la migración.
• Su dominio de destino debe estar en modo funcional pleno, pero no debe ser un problema,
porque se estableció en este modo durante su creación en el capítulo 6.
• Si está migrando desde Windows NT, también debe activar el acceso heredado en los do-
minios de destino, al insertar el grupo Todos en el grupo Acceso compatible con versiones
anteriores de Windows 2000.
PRECAUCIÓN Se recomienda activar el acceso heredado sólo durante el tiempo que dure la opera-
ción de migración y desactivarlo en cuanto la operación esté completa, debido a sus posibles ries-
gos de seguridad. Esto signiica que debe activarlo, realizar una migración de usuarios o grupos y
luego desactivarlo. No lo active durante la migración del dominio porque esto puede durar mucho
PARTE VI
tiempo, dependiendo de su estrategia de migración y del tamaño de su dominio heredado.
Hay otros prerrequisitos que debe tomar en cuenta antes de realizar una migración (como el
nivel de service pack en las máquinas de dominio de origen). ADMT también requerirá algunos
parámetros adicionales, pero puede realizar automáticamente las modificaciones durante una
operación de migración.
Puede utilizar ADMT para realizar casi todas las operaciones identificadas previamente para
dar soporte a su migración de red, incluidas:
• Crear un informe de objetos de dominio de origen para fines de filtrado.
• Migrar cuentas de usuarios, grupos y cuentas de equipo (si el sistema ya está ejecutando Win-
dows Vista o, por lo menos, Windows XP).
• Realizar traducciones de seguridad para dar a los usuarios acceso a sus datos.
La única operación que no maneja es la migración de los datos de usuario que están almace-
nados en recursos compartidos de red. Como ya se mencionó, es importante migrar los datos de
usuario antes de que realicen traducciones de seguridad.
Utilice una herramienta de migración comercial

Aunque ADMT ofrece algunas características poderosas, tal vez le resulte complicado trabajar
con él si tiene que migrar varios miles de usuarios. Muchos fabricantes han integrado algunas
herramientas comerciales más completas que dan soporte a la migración de un entorno de red a
otro. Estas herramientas no sólo dan soporte a las migraciones de directorio, sino también a las
de servidor de archivo y otros escenarios de migración.
Una buena fuente de información sobre estas herramientas se encontrará en el artículo “Ser-
ver Migration Moving from Here to There” (Movimiento de migración del servidor de aquí para
allá) en http://mcpmag.com/Features/article.asp?EditorialsID=381. Aunque este artículo tiene al-
gunos años y la industria ha cambiado a medida que las firmas realizan fusiones y adquisiciones,
la propia información aún es muy válida. Además, las propias herramientas han evolucionado en
gran medida, haciendo que la migración resulte mucho más fácil.
Transiera datos de usuarios en red

Después de que se han migrado las cuentas de usuario a la nueva red, pero antes de que se rea-
lice la traducción de seguridad, debe migrar los datos de usuario en red. Esto incluye la copia de
datos encontrados en recursos compartidos del servidor dentro de la red heredada. Debe incluir
datos públicos, del grupo, de proyecto y de usuario. Los datos de usuario deben incluir los datos
del directorio de inicio, si se usó en la red heredada.
La operación consiste principalmente en reubicar los datos compartidos de una red en la
otra. En casi todos los casos, significará mover los datos de un recurso compartido específico
en un servidor al mismo recurso en otro. Esto puede incluso darle la oportunidad de consolidar
procesos de servidor y reagrupar recursos compartidos de archivos en un menor número de ser-
vidores. Además, si usó las prácticas ofrecidas en el capítulo 8, ahora estará usando recursos com-
partidos del sistema de archivos distribuido (DFS, Distributed File System) en lugar de unidades
asignadas. Tendrá que asegurarse de que todo su programa de migración incluye un programa de
información para los usuarios, que les muestra cómo acceder a los nuevos recursos compartidos.
Este programa de información de usuario también debe incluir el procedimiento para acceder a
los datos de usuario personales, porque este proceso es diferente ahora.
La red paralela de ofrecimientos de servicios virtuales ya no debe usar el concepto de direc-
torio de inicio. En cambio, debe recurrir a carpetas redireccionadas. Sin embargo, hay un tema
que debe tomarse en cuenta: las carpetas de usuario redireccionadas no se crean hasta que el
usuario haya iniciado sesión por lo menos una vez en ellas. Ya no basta con mover los archivos
de la carpeta de inicio del usuario de un servidor a otro, porque la carpeta de destino del usuario
sólo se creará más adelante. Debido a esto, debe idear una estrategia de migración de datos de
usuario personales. Hay tres posibilidades:
• En primer lugar, puede pedir a todos los usuarios que muevan todos sus archivos del directorio de
inicio a su carpeta Documentos, en su escritorio. Luego, cuando migren a la nueva red e inicien
sesión por primera vez, el contenido de sus carpetas Documentos se moverá automáticamente a
la nueva carpeta compartida gracias a la directiva de grupo de redireccionamiento de carpetas.
• En segundo lugar, puede migrar los datos a una carpeta contenedora y, mediante una secuen-
cia de comandos especial de inicio de sesión de un solo uso, mover los archivos a la carpeta
redireccionada recién creada del usuario, una vez que éste haya iniciado sesión y que se haya
aplicado la directiva del grupo.
• En tercer lugar, si necesita poner en funcionamiento PC porque no están ejecutando Windows
Vista, puede agregar operaciones al proceso de migración de perfil, porque se requerirá en todos
los sistemas. La operación que necesita agregar es similar al primer método: la secuencia de co-
mandos es un proceso que toma todos los datos del directorio de inicio del usuario y los copia en
la carpeta Documentos antes de realizar la migración del perfil. Los datos se redireccionarán auto-
máticamente en cada primer inicio de sesión del usuario en la nueva red, y se aplicará el GPO.
De estas tres estrategias, la primera y la tercera son las mejores. La primera es relativamente
simple, pero tiene una falla: debe depender de operaciones que están fuera de su control para
que se complete el proceso. No funcionará a menos que tenga una base de usuarios bien entre-
nada y que les proporcione excelentes instrucciones. La tercera funciona cuando deben ponerse
en funcionamiento las PC de los usuarios.
Por último, tal vez necesite migrar perfiles de usuario de roaming si estuvieron en uso en la
red heredada. Recuerde que la nueva red no utilizará perfiles de roaming, sino que dependerá del
redireccionamiento o, por lo menos, utilizará una combinación de ambos. Para migrar perfiles de
roaming, simplemente desactive la característica en la red heredada (sólo en el caso de usuarios
que están destinados a migración). El perfil regresará a la máquina local. Si la máquina ya está
ejecutando Windows Vista, el perfil se transformará automáticamente al redireccionamiento de
carpeta cuando la máquina se una al nuevo dominio y el usuario inicie sesión, porque los GPO
activarán el redireccionamiento de carpetas. Si es necesario poner en funcionamiento la máqui-
na, el perfil se capturará mediante el proceso de puesta en funcionamiento.
Para la migración real de archivos del dominio de origen al de destino, consulte “Migre ser-
vidores de archivos”, en páginas posteriores de este capítulo.
SUGERENCIA Para conocer instrucciones detalladas sobre la manera de conigurar periles de

roaming con redireccionamiento de carpetas en el nuevo dominio de ofrecimientos de servicios
virtuales y usar esta estrategia para migrar datos de usuario de la red antigua a la nueva, lea el
capítulo 8 de The Definitive Guide to Vista Migration, en www.realtime-nexus.com/dgvm.htm.
Migre servidores de infraestructura de red

PARTE VI
En realidad, los servidores de infraestructura de red no requieren migración. En esta categoría se

incluyen servicios como DHCP, WINS, WDS y los Servicios de actualización de Windows Server
(WSUS, Windows Server Update Services).
Es posible migrar las bases de datos de versiones anteriores de Windows Server que ejecutan
servicios como DHCP y WINS si ha decidido usar este último en la nueva red. Si está comple-
tamente feliz con su servicio DHCP existente, simplemente mueva la base de datos DHCP del
servidor de origen a los nuevos servidores virtuales que se ejecutan en la red de ofrecimientos de
servicios virtuales.
SUGERENCIA Recomendamos que se mueva a las zonas de nombre global de DNS en lugar de utilizar
WINS, si es posible en su red. Resulta más simple trabajar en estas zonas y obtendrá beneicios de to-
das las poderosas características de DNS, en lugar de depender de un servicio heredado como WINS.
Sin embargo, debe tener en cuenta que hay varios cambios a DHCP en Windows Server
2008, que no garantizan la migración de su base de datos existente. Por ejemplo:
• Windows Server 2008 da soporte a DHCPv6, que funcionará con direcciones IPv6. Sus ser-
vidores DHCP anteriores no tienen esta capacidad, y será necesario que vuelva a crear los
ámbitos de DHCP para estos datos.
• Windows Server 2008 también cambia la naturaleza del ámbito local, porque necesita asignar
servidores DNS a cada ámbito local que también incluya un controlador de dominio. DNS
está hospedado ahora en cada controlador de dominio; por tanto, los usuarios de sitios remo-
tos dependerán de su controlador de dominio local para resolución de nombres de DNS. Cada
ámbito local recuperado necesitará actualizarse con esta información.
• Tal vez quiera actualizar sus ámbitos y empezar a utilizar nuevas características, como super-
ámbitos, para simplificar más la administración de ámbitos.
Por estas razones, puede ser más fácil simplemente crear nuevos ámbitos en su red de ofre-
cimientos de servicios virtuales. Pero si decide recuperar ámbitos existentes, necesitará utilizar el
siguiente procedimiento. Recuerde depender de la regla 80-20 en sus nuevos servidores.
1. Exporte la configuración del servidor DHCP de los servidores de origen.
2. Cree un archivo de exportación para cada ámbito.
3. Importe los ámbitos en los servidores de destino.
4. Deshabilite los ámbitos en el servidor de origen.
5. Habilite los ámbitos en los nuevos servidores.
Luego debe modificar los ámbitos para que cumplan con los requisitos generados por la
nueva red de ofrecimientos de servicios virtuales.
Otro contenido que puede migrar en la categoría del servidor de infraestructura de red es la
imagen que utiliza en los servicios de implementación de Windows. Simplemente cree nuevos
servidores WDS, asegúrelos de manera apropiada y luego copie las imágenes de los servidores
antiguos a los nuevos.
Por último, cuando se trata de los servicios de actualización de Windows Server, lo único que
realmente necesita recuperar es la lista de actualizaciones aprobadas. WSUS rastreará automá-
ticamente todas las PC y los servidores para determinar cuáles actualizaciones se han aplicado.
De modo que en realidad no es necesaria la recuperación del inventario. La mejor manera de
efectuar esta migración consiste en instalar simplemente una nueva versión de WSUS en la
nueva red de ofrecimientos de servicios virtuales, rastrear todos los sistemas y asegurarse que ha
capturado la lista aprobada de actualizaciones de la red heredada.
Migre sitios Web

Microsoft también ha facilitado la migración de sitios Web de versiones anteriores de servicios
de información de Internet (IIS) a IIS versión siete. La IIS Migration Tool es una herramienta de
línea de comandos que captura la información del sitio Web y la transfiere a la estructura Web
de IIS 7. Esta herramienta transfiere datos de configuración, contenido de sitio Web y configu-
raciones de aplicaciones al nuevo servidor. También puede mover sólo las configuraciones de las
aplicaciones, si eso es todo lo que necesita.
Esta herramienta también le permitirá migrar sitios Web mientras están en operación, deján-
dole mantener la disponibilidad del sitio las 24 horas del día los siete días de la semana mientras
realiza la migración. Los datos de configuración se traducen del formato de metabase utilizado
en versiones anteriores al nuevo formato de archivo .CONFIG empleado en las estructuras de
sitio. También puede realizar personalizaciones de sitios, como cambiar la dirección IP, el puerto o
los encabezados de host de los sitios a los que migra mientras realiza esta operación.
Sin embargo, la migración de sitios Web puede ser una operación compleja. Asegúrese de
probar por completo el sitio Web una vez que lo haya migrado para garantizar que todas sus
funciones operan apropiadamente en su nueva infraestructura de servidor Web.
SUGERENCIA La IIS Migration Tool se encuentra en www.microsoft.com/downloads/details.

aspx?FamilyID=2aefc3e4-ce97-4f25-ace6-127f933a6cd2&displaylang=en.
Construya los servidores de Terminal Services

En realidad, los servidores de Terminal Services no requieren migración, porque hospedan apli-
caciones que están ejecutándose en una plataforma central. Casi todos los servidores TS que se
ejecutarán en su nueva red, si decide ejecutarlos y no reemplazarlos con virtualización de aplicacio-
nes de escritorio, serán nuevas instalaciones de servidor. Sin embargo, permitirán que los usuarios
de las redes de ofrecimientos de servicios virtuales heredada y nueva utilicen las aplicaciones que
se ponen a disposición mediante Terminal Services, porque sólo es necesario que los sistemas de
los clientes tengan actualizado el cliente de conexión de Escritorio remoto. Este cliente se descarga
automáticamente a cualquier sistema Windows XP que dependa de las actualizaciones del software
de Microsoft. También está instalado ya en los sistemas de Windows Vista.
Tal vez la mejor manera de poner las nuevas aplicaciones de TS a disposición de los usuarios,
hayan migrado o no, es mediante el uso del Acceso Web de TS. Esto le permite colocar accesos
directos a la aplicación remota en una página Web (algo a lo que todos tienen acceso) y propor-
cionarles acceso inmediato a aplicaciones que se ejecutan en su nueva infraestructura de Win-
dows Server 2008.
Debido a esto, podría considerar el movimiento de estas aplicaciones lo antes posible. Re-
cuerde que necesitará tener establecidas las confianzas de dominio cruzado para permitir que los
usuarios tengan acceso de inicio de sesión a la nueva red desde la red heredada.
Migre servidores de archivos

Por su propia naturaleza, las redes de Windows tienden a estar muy distribuidas. En algún lugar,
PARTE VI
la industria tuvo la sensación de que si se necesitaban más servicios de Windows, era más fácil
simplemente agregar una nueva caja a la red que tratar de obtener varios servicios que cohabita-
ran en el mismo servidor. Bueno, Microsoft ha recorrido un largo trecho para ayudar a echar por
tierra este mito, no sólo al proporcionar información valiosa sobre la manera en que se deben
escalar los servidores, sino también al hacer el código de Windows más rápido y robusto. Hoy en
día, Windows Server 2008 puede ejecutar fácilmente varios miles de impresoras en una máquina
o almacenar terabytes de información en un solo clúster. Por esto es que muchas organizaciones
consideran seriamente la consolidación de servidores cuando se trata de la migración de servicios
de impresión y archivos. No está de más mencionar que cuantas más cajas tenga, más complejo
será su manejo y, sobre todo, su corrección.
La migración del almacenamiento distribuido en redes heredadas a una nueva estructura de
discos y carpetas compartidas debe dar soporte a varias actividades (consulte la tabla 12-1). Por
ejemplo, debe reasignar automáticamente los derechos de seguridad apropiados dentro de la red
de destino para que los usuarios sigan teniendo acceso a sus datos. Lo ideal es que la herramien-
ta de migración de archivos que utilice dé soporte al acceso paralelo a los servidores de origen y
destino hasta que la migración esté completa o que proporcione un método de corte para avisar
a los usuarios que se están migrando sus archivos. También debe dar soporte a la verificación y
modificación de las listas de control de acceso (ACL, Access Control List) en la red de destino,
para eliminar los permisos heredados a los archivos. En el caso de una migración, esto significa
que la herramienta dará soporte al historial de SID, porque las cuentas de usuario adquieren
nuevos SID cuando se mueven de un dominio heredado a un nuevo directorio. Una vez que
los archivos se mueven y que los permisos se actualizan, la herramienta de migración debe dar
soporte a la modificación de la configuración de usuario en PC locales. Si es posible, realizará
esta tarea automáticamente o con poco esfuerzo administrativo. Esta herramienta de migración
Actividad de migración del servidor de archivos Requisitos de la herramienta

Migración de archivos Debe darse soporte
Soporte a la consolidación Migrar de varios a uno
Sistemas operativos de inicio Cualquier versión anterior de Windows Server
Sistemas operativos de destino Windows Server 2008
Análisis de uso de archivos antes de la migración Evaluar diferentes situaciones, como archivos duplicados o no
usados
Reelaboración de ACL de archivos Cambiar la propiedad del SID de los archivos
Soporte a archivos protegidos por contraseña Debe dar soporte a la migración de archivos bloqueados mediante
herramientas como Microsoft Ofice
Soporte al sistema de archivos cifrados Necesario para entornos seguros
Asignación a sistemas DFS Necesario para proporcionar soporte de consolidación
Soporte a servidor de archivos paralelos Proporciona acceso a servidores de origen y destino mediante la
sincronización
Migración de coniguración de usuario/PC Modiicar coniguraciones en la PC local para reasignar recursos
compartidos de archivos
Capacidad de deshacer Proporciona un plan de respaldo en caso de fallas
Delegación de tareas de migración Delegar tareas a otros operadores
Migrar creación de reportes Crear informes sobre análisis y progresión de tareas
Prueba de la migración Probar una migración sólo después de realizarla
Soporte a bases de datos Almacenar información en una base de datos
Creación de secuencias de comandos o soporte Volver automáticos los procedimientos
a línea de comandos
TABLA 12-1 Actividades y requisitos de la migración del servidor de archivos

también debe dar soporte a formatos de archivo especiales, como los que incluyen protección de
contraseña, o, si se migra desde redes más modernas, archivos que se han protegido con el sistema
de cifrado de archivos (EFS, Encrypting File System).
En los mejores escenarios de migración, la herramienta que use también debe dar soporte
a la migración de contenido de un sistema de recursos compartidos de archivo estándar a uno
DFS, porque este último se ha diseñado para eliminar la necesidad de unidades asignadas. Por
último, debe ayudarle a pasar de directorios de inicio antiguos al redireccionamiento más avan-
zado de carpetas al que da soporte Windows Server.
SUGERENCIA En el peor de los escenarios, puede utilizar Copia de seguridad de NT para crear co-
pias de los servicios de archivos de sus servidores heredados y restablecerlos en su nuevo servidor,
y luego utilizar el editor de migración de seguridad de Microsoft, que es gratuito con Windows
Server 2008, para realizar la regeneración de SID en sus archivos. Recuerde que Copia de seguri-
dad de NT no está disponible en WS08 y que debe descargarlo (consulte el capítulo 11).
Cambie la naturaleza de sus servidores de archivos

Como ya se mencionó, la función del servidor de archivos cambia a medida que las organizacio-
nes utilizan mejores y más eficientes herramientas de colaboración. Por tanto, podría encontrar
que es mucho más práctico crear sitios de SharePoint para hospedar documentos compartidos
y otros datos, en lugar de volver a crear una gran cantidad de recursos compartidos de archi-
vo, como los que tiene en su red heredada. Si decide pasar a este modelo, no estará moviendo
archivos de recursos compartidos heredados a nuevos servidores de archivos, sino que estará
moviendo archivos de recursos compartidos de archivos heredados a nuevos sitios de SharePoint
que están diseñados para hospedar colaboración más completa.
Sin embargo, aún hay espacio para el servidor de archivos. Los usuarios tienen su propio
espacio de documentos en sus escritorios (un espacio de documentos que necesita protección en
el mismo sentido que los recursos compartidos de archivos centralizados). Ese espacio se alma-
cena en el perfil de usuario. En el capítulo 7 se analizó el uso del redireccionamiento de carpetas,
posiblemente vinculado con los perfiles de roaming, con el fin de proporcionar una directiva
de protección más completa para los datos de usuario final, además de proporcionar una mejor
estrategia para administración de perfil a largo plazo.
Por tanto, podría encontrar que las migraciones que realiza de servidores de archivos reales
están concentradas más en el usuario y, tal vez, en los datos administrativos que en los datos
compartidos. Si éste es el caso, entonces concéntrese en la migración de los datos a Windows
SharePoint Services en lugar de servidores de archivos.
NOTA Asegúrese de que comunica la directiva de protección de datos a sus usuarios. En realidad,
podría ser una excelente idea utilizar un sitio de equipo de WSS para proporcionar un manual en
línea a todos los usuarios inales. De esta manera, sabrán exactamente lo que está pasando en su
nueva red.
PARTE VI
En realidad, las migraciones que realice deben asignarse a los nuevos servicios de archivo
que implemente. En el capítulo 8 se delineó la manera en que deben estructurarse sus servicios
de archivo (vea la figura 12-10). Éstas son las carpetas compartidas en que necesita concentrarse.
En la tabla 12-2 se delinea la manera en que debe migrarse cada tipo de servicio de archivos.
SUGERENCIA Para conocer instrucciones sobre la manera de crear manualmente recursos compar-
tidos de DFS para migración de archivos, busque el artículo 829 885 de la base de datos de cono-
cimientos en http://support.microsoft.com/default.aspx?scid=kb%3b%5blN%5d%3b829885. Mi-
crosoft también ofrece un acelerador de soluciones para la consolidación de servidores de archivos
e impresión. Los aceleradores de soluciones son un conjunto de documentos y herramientas que
proporcionan una operación más simple en tareas complejas. Se encuentra en http://go.microsoft.
com/fwlink/?linkid=24719&clcid=0x409.
En muy raras ocasiones tendrá la posibilidad de migrar datos cuando no están en uso, a
menos que realice la migración durante fines de semana o en momentos en que sus servidores
están apagados. Incluso entonces, es difícil encontrar tiempo suficiente para realizar la migración.
Lo más probable es que estará migrando datos cuando los usuarios estén en línea y necesiten
acceder a ellos. Por eso es que la solución ideal consiste en ejecutar los servidores de archivos de
origen y los sistemas de destino en paralelo. Asegúrese de comunicar sus planes a los usuarios
finales para limitar el número de llamadas al escritorio de ayuda que puede generar la migración.
Si se dejan tareas por realizar a los usuarios, asegúrese de detallar y delimitar claramente esas
tareas en sus comunicaciones.
El paso final en cualquier migración del servidor de archivos consiste en ejecutar informes en
sus recursos compartidos de archivo existentes, pero a menos que esté ejecutando Windows Ser-
ver 2003 R2 en los servidores de origen, no tendrá herramientas integradas para crear estos infor-
Vista administrativa de la estructura de datos
Disco de datos
Carpeta principal para archivos del
sistema y herramientas administrativas
Los recursos compartidos ocultos están

claramente identificados
Carpeta principal para aplicaciones compartidas
Carpeta principal para almacenamiento de datos
Recurso compartido para datos de usuario
Carpeta principal para datos departamentales
Mover a Carpetas departamentales
Windows individuales: muchas incluyen
SharePoint subcarpetas por centro de costos o
Services por servicio
Carpeta principal para todos los proyectos
Carpetas de proyecto
Almacén de datos públicos
FIGURA 12-10 Asignación de migraciones de servidor a estructuras de disco.

mes. Tendrá que comprobar manualmente los archivos mientras los migra. Sin embargo, puede
migrar los archivos y, una vez realizado esto, generar informes de uso sobre los nuevos servidores
mediante la característica Informes de administración de recursos de servidor de archivos.
SUGERENCIA Puede generar informes con herramientas de migración de archivos de terceros, o

puede obtener una herramienta de inspección gratuita o comercial. Por ejemplo, AdvexSoft ofrece
una versión gratuita y de paga de Disk Space Inspector en www.advexsoft.com/disk_space_
inspector/disk_space_report.html?gclid=CMPVyoPnxY0CFRAkggod9BlfMQ.
Una vez que tenga una idea de los requisitos de espacio (recuerde que siempre es aconseja-
ble tener más espacio disponible en sus nuevos servidores que en los anteriores), puede pasar a
la migración de cada servicio de recursos compartidos de archivo a su tecnología de destino.
NOTA En versiones anteriores de Windows Server, Microsoft proporcionó el File Server Migration
Toolkit. Desafortunadamente, este juego de herramientas ya no funciona en Windows Server 2008
y Microsoft no ha visto la necesidad de actualizarlo para esta versión del sistema operativo. Esto
lo deja solo en cuanto a herramientas de migración gratuitas se reiere. Puede depender de la ruta
de migración delineada en la tabla 12-2 para simpliicar el proceso. Sin embargo, es improbable
que organizaciones de tamaño medio o grande puedan realizar esta operación sin la compra de
herramientas de migración. Hay varias herramientas muy buenas en el mercado. Hemos traba-
jado con las de Quest y Metalogix, entre otras. Estas herramientas proporcionan características
completas a un costo razonable.
Recurso compartido Destino de la

de archivo migración Comentarios
Recursos comparti- Carpetas compartidas Mueva todos los datos de la red heredada a la nueva red de ofrecimien-
dos administrativos ocultas to de servicios virtuales. Basta con copiarlos, porque no hay que migrar
permisos especiales.
Recursos compar- Recursos comparti- Es simple la migración de los recursos compartidos de aplicaciones,
tidos dos de archivo con porque en raras ocasiones tienen permisos personalizados. Si decide
de aplicación algunos derechos de migrarlos a nuevos recursos compartidos de archivos, sólo copie los
acceso o Remote- datos y vuelva a crear las listas de control de acceso. Si decide migrar-
Apps. los a RemoteApps, entonces aplique nuevos permisos.
Recursos compar- Windows SharePoint Para migrar contenido de un recurso compartido heredado a WSS,
tidos Services puede utilizar el Explorador de Windows para mover los datos de una
departamentales, de ubicación a otra. Pero si quiere automatizar el proceso y aplicar listas
proyecto y públicos de control de acceso complejas, utilice una herramienta de migración
comercial. Consulte la sección Migre sitios de SharePoint, en este
capítulo, para conocer más detalles.
Datos de usuario Recursos comparti- La mejor manera de migrar datos de usuario consiste en realizar la
dos de archivo con migración a través de una combinación de periles de roaming y redi-
algunos derechos de reccionamiento de carpetas. Mediante esta combinación, puede mover
acceso 100% de todos los datos de usuario a través de un proceso automa-
PARTE VI
tizado. Consulte la nota en la sección “Transiera datos de usuario en

red”, de este capítulo, para conocer instrucciones sobre la manera de
realizar esta operación.
TABLA 12-2 Asignación de migraciones de servidores de archivos

Migre servidores de impresión

En el caso de la migración de impresoras, debe tener capacidad para migrar colas de impresión,
incluidos controladores de impresión, de un servidor a otro, además de redireccionar colas de im-
presión a equipos clientes. Debido a que Windows Server prefiere utilizar controladores de modo
de usuario sobre los de modo de kernel para brindar una mayor estabilidad del servidor, su mi-
gración debe convertir el controlador y bloquear la instalación de los controladores de modo de
kernel. Debe darse a la tarea de eliminar y heredar las impresoras que requieren controladores de
modo de kernel en su red, porque pueden bloquear y hacer que un servidor de impresión deje de
funcionar, aun en un servidor de impresión en clúster. Por último, necesita publicar impresoras
en Servicios de dominio de Active Directory e implementar rastreo de ubicación de impresoras
para facilitar la búsqueda de impresoras en el directorio. También tendrá que cambiar configura-
ciones de impresora en sistemas de usuario. Esto puede hacerse con el GPO Configuración de
impresora o mediante secuencias de comandos de inicio de sesión. Si utiliza rastreo de ubicación
de impresoras, incluso podría hacer que los usuarios cambien ellos mismos las impresoras.
Puede utilizar el Microsoft Paint Migrator 3.1 para capturar información de impresoras de
servidores heredados y restaurarla en nuevas máquinas de Windows Server 2008. Lo agradable
de esta herramienta es que cambiará automáticamente los puertos remotos de impresora de línea
(LPR, Line Printer Remote) al nuevo puesto estándar de protocolo de control de transmisión/
protocolo de Internet (TCP/IP, Transmission Control Protocol/Internet Protocol) al que da soporte
Windows Server. Además, cambiará automáticamente los controladores de impresora de modo
de kernel (versión 2) a modo de usuario (versión 3) durante la transferencia. Por lo menos, debe
utilizar esta herramienta para crear copias de seguridad de todas sus configuraciones de impre-
sora, porque es una de sus principales funciones. De esta manera, puede restablecerlas en caso
de emergencia.
SUGERENCIA El Microsoft Print Migrator se encuentra en www.microsoft.com/

WindowsServer2003/techinfo/overview/printmigrator3.1.mspx.
Es fácil trabajar con el Print Migrator. Descargue el ejecutable y cárguelo en cualquier servi-
dor. En realidad, no se requiere una instalación, porque el ejecutable es independiente. Utilice el
siguiente método:
1. Haga doble clic en PRINTMIG.EXE para ejecutar el migrador de impresión.
2. Acepte el indicador Run que se presenta.
3. Print Manager despliega una lista automática de la configuración de impresoras en el sistema
local (vea la figura 12-11).
4. Si está ejecutando la herramienta en el servidor de impresión de origen, vaya el menú Actions y
seleccione Backup. Identifique la ubicación donde quiere guardar el archivo CAB (lo ideal es que
sea una carpeta compartida) y, como opción, identifique el servidor de destino para la operación.
5. Haga clic en Abrir y luego en Aceptar para realizar la copia de seguridad.
Para restaurar la configuración en el servidor de impresión de destino, repita la operación
con el comando Actions | Restore. Aquí puede seleccionar dos opciones:
• Suprimir las pantallas emergentes de advertencia. Éstas se capturarán en el archivo de registro
aunque no se desplieguen mientras ejecuta la restauración.
FIGURA 12-11 Uso del Print Migrator.
• Tratar la conversión de LPR a SPM. Si sus impresoras antiguas utilizaban puertos LPR, trate
de convertirlos a un monitor de puerto estándar (SPM, Standard Port Monitor) de TCP/IP para
un mejor rendimiento.
Print Migrator también se conecta a servidores remotos y captura sus configuraciones de
impresora. Utilice el elemento de menú View | Target para conectarse a servidores remotos.
Por último, la migración de impresoras puede automatizarse, porque el programa
PRINTMIG.EXE también se ejecuta desde la línea de comandos. Utilice el siguiente comando
para identificar sus opciones:
printmig /?
Repita la operación para cada servidor de impresoras en su red heredada. En realidad, puede
realizar migración de impresoras en cualquier momento durante la migración, porque las impre-
soras de redes heredadas y nuevas pueden ejecutarse en paralelo sin problemas.
Migre sitios de SharePoint

Windows SharePoint Services se está volviendo cada vez más popular a medida que Microsoft
madura el motor de colaboración del que depende. Muchas organizaciones ya han implemen-
tado sitios de SharePoint en una forma u otra. Para las organizaciones que ya están usando
PARTE VI
sistemas de SharePoint, la ruta de migración es de un sistema de SharePoint a otro. En el caso de

quienes aún no lo han implementado pero quieren aprovechar este nuevo paradigma de cola-
boración, lo más probable es que la migración se concrete a mover el contenido de recursos de
compartidos de archivo a nuevos sitios de SharePoint.
Hay varias maneras de realizar estas migraciones:

• Migrar un sitio existente podría ser tan simple como realizar una copia de seguridad en un
servidor y restaurar los datos en otro.
• También puede autorizar contenido de base de datos de versiones anteriores de SharePoint a
Windows SharePoint Services (WSS) versión 3.
• Por último, puede mover el contenido de otros depósitos, como recursos compartidos de
archivo, a nuevos sitios de SharePoint.
El truco de una migración para sitios de SharePoint es la base de datos de servidor. Los datos
de SharePoint están almacenados en una base de datos. Además, SharePoint puede ejecutarse en
dos modos: independiente y conjunto de servidores. Si ejecuta una versión anterior de Share-
Point en modo independiente, entonces estará ejecutándola con el motor de escritorio de SQL
Server de Microsoft Windows (WMSDE, Windows Microsoft SQL Server Desktop Engine). Si
tiene un conjunto de servidores, entonces está ejecutando SQL Server.
Si está migrando de una versión independiente más antigua, entonces también estará mo-
viéndose de WMSDE a la base de datos interna de Windows (WID). Si está migrando un con-
junto de servidores, entonces debe ser más simple, porque estará pasando de SQL Server a SQL
Server. Estas últimas migraciones a menudo se realizan mejor con herramientas comerciales.
SUGERENCIA Conocerá más información acerca de Windows SharePoint Services en el TechCenter

de WSS en www.microsoft.com/technet/windowsserver/sharepoint/default.mspx.
Migre de SharePoint a SharePoint

Cuando está migrando de SharePoint a SharePoint, primero debe ejecutar la herramienta de
rastreo previa la actualización (PUST, Pre-Upgrade Scan Tool). PUST rastrerán su sitio existente y
atenderá posibles problemas de actualización o migración, incluidos:
• Contenido personalizado PUST rastrea sus sitios en busca de cualquier contenido per-
sonalizado, como partes de Web o plantillas de sitios, y determina si pueden emplearse en la
actualización.
• Componentes de sitio PUST identificará si componentes necesarios del sitio que habrá de
migrarse están faltando en el sitio de destino.
• Objetos huérfanos En ocasiones tienen objetos que se han quedado huérfanos y que ya no
están vinculados con el sitio. PUST identifica esos objetos y los presentará en una lista.
Una vez que se haya realizado el rastreo, PUST le proporcionará recomendaciones de actua-
lización o migración y ayudará a determinar qué método de migración utilizar.
SUGERENCIA Es posible recuperar los objetos huérfanos antes de la migración. Consulte el artículo
918744 de la base de datos de conocimientos para conocer más información en http://go.microsoft.
com/fwlink/?linkid=69958&clcid=0x409.
Una vez que tenga resultados de PUST, puede pasar a la propia migración. Si está pasando
de una versión de SharePoint a instalaciones independientes de WSS en WS08, entonces debe
realizar una migración de WMSDE a WID porque esta última está disponible en WS08. En esen-
cia, necesita dar los siguientes pasos:
1. Separar las bases de datos de la instancia de WMSDE.

2. Copiar las bases de datos y adjuntarlas a SQL Server (WID).
3. Agregar las bases de datos a las aplicaciones Web, recreando los sitios.
4. Revisar los archivos de registros para cualquier problema.
Repita la operación para cada base de datos que necesite migrar.
NOTA Los pasos detallados para esta operación pueden encontrarse en http://technet2.microsoft.com/
windowsserver/WSS/en/library/1f505e96-60e2-41ac-bf5d-9739105f047c1033.mspx?mfr=true.
Migre el contenido de archivos a SharePoint Services

La migración de contenido de los archivos es más simple que la de los sitios de SharePoint. En su
forma más simple, puede utilizar el Explorador de Windows para abrir el recurso compartido de
archivos de origen y el sitio de SharePoint de destino y arrastrar y colocar los archivos uno tras
otro. El problema con este método es que los archivos no incluirán ningún contenido de metada-
tos, a menos, por supuesto, que sus usuarios sean disciplinados y ya los hayan agregado median-
te la interfaz de Microsoft Office.
La mejor manera de migrar el contenido de un recurso compartido a un sitio de SharePoint
es mediante una herramienta de migración comercial. Por ejemplo, Metalogix (www.metalogix.
net) ofrece FileShare Migration Manager para SharePoint, que migra cualquier recurso comparti-
do de archivos a SharePonit. Este producto tiene un precio razonable (como todos los productos
de Metalogix) y trabaja mediante una interfaz simple. Además, le permite analizar el contenido
antes de la migración, agrupar el contenido para las migraciones y luego, una vez que empieza la
migración, puede etiquetar metadatos para cada archivo a medida que se cargan.
El etiquetado de metadatos es importante para dar mejor soporte a la búsqueda de conteni-
do en SharePoint.
NOTA Metalogix también elabora herramientas para migrar contenido del servidor de administra-
ción de contenido de Microsoft u otros sitios de SharePoint a la versión 3 de WSS. Revíselas, por-
que proporcionan una mejor experiencia de migración que el proceso actualizado descrito antes.
Eliminación de la comisión de la red heredada

Una vez que todo se haya migrado de la red heredada a la nueva, puede proceder con la elimina-
ción de la comisión de la red heredada. Este proceso incluye las siguientes tareas:
• Empiece por eliminar grupos incrustados. Sólo necesita hacerlo en el nuevo dominio. Elimine
grupos globales heredados de sus grupos locales de dominio de producción, además de gru-
pos locales de servidores miembros.
• A continuación, deshabilite el historial de SID. ¡Debe asegurarse de que ha realizado previamente
la traducción de seguridad con el ADMT! La eliminación del historial de SID se analizará más
adelante en el capítulo.
• En seguida, elimine las relaciones de confianza. Una vez más, sólo necesita eliminar confian-
PARTE VI
zas del nuevo dominio de producción. Utilice la consola Dominios y confianzas de Active
Directory para realizar esta actividad.
• Ahora puede pasar a dejar de comisionar el dominio heredado. Pero antes de hacerlo, es una
buena idea realizar copias de seguridad completas del controlador de dominio primario (si
está en una red de Windows NT) o de los DC que ejecutan las funciones de maestro de opera-
ciones (si ésta es Windows 2000 o 2003).
• Cuando se hayan completado las copias de seguridad, almacénelas en un lugar seguro, y
luego apague el controlador de dominio final del dominio heredado (controlador de dominio
primario o del DC principal).
• Si puede recuperar ese servidor como un nuevo host, tiene la opción de instalar Server Core o, si es
un servidor de 32 bits, la instalación completa y unirlo a su nuevo dominio de almacén de recursos.
¡En esta etapa, podría pensar en celebrar, porque lo merece! Usted y su equipo de migración
han hecho una gran cantidad de trabajo preparando la nueva red y migrando cada recurso here-
dado al nuevo entorno. ¡Felicidades!
Pero, celebraciones aparte, también será una buena idea que realice una revisión posterior
a la migración para asegurarse de que puede reciclar este proceso y mejorarlo, si alguna vez lo
necesita de nuevo.
Desactive el historial de SID

El historial de SID es un regalo y un dolor de cabeza. Un regalo porque proporciona automática-
mente SID adicionales cuando un usuario trata de acceder a un recurso desde un origen here-
dado. Es un dolor de cabeza porque los usuarios maliciosos con conocimientos técnicos pueden
agregar SID adicionales por cuenta propia y usarlos para adquirir credenciales que no deberían
tener. Por tanto, es importante asegurarse de eliminar el historial de SID y desactivarlo en cuanto
pueda después de la migración y, sobre todo, después de que se hayan completado las operacio-
nes de traducción de seguridad.
SUGERENCIA Conocerá más información acerca del historial de SID en http://technet2.microsoft.

com/windowsserver/en/library/01e5cf71-b317-4967-82a2-75b7b632b7461033.mspx?mfr=true.
Para desactivar el historial de SID, utilice el siguiente comando con credenciales de adminis-
trador de empresa.
netdom trust DominioDestino /domain:DominioOrigen /quarantine:No
/ usero:NombreUsuario /password:Contraseña
donde NombreDestino es su nuevo dominio, DominioOrigen es el dominio heredado y Nom-
breUsuario y Contraseña son las credenciales del administrador de empresa.
PRECAUCIÓN ¡Tenga cuidado cuando realiza esta operación, porque la contraseña aparece en texto
simple en la pantalla!
Prepare su nueva estructura de soporte

A medida que coloca la nueva red en línea, empezará a darse cuenta de que también es nece-
saria una revisión de las funciones administrativas y operativas. En realidad, esta revisión de las
funciones operativas se concentra en el tercer cuadrante (producción) del ciclo de vida de los
servicios ilustrado en el capítulo 3, porque ahora están completas las actividades de los primeros
dos cuadrantes (planeación y preparación e implementación). Las operaciones delineadas en el
cuadrante de producción requieren una estructura organizativa actualizada, porque muchas de
ellas se delegarán a usuarios sin privilegios administrativos.
Funciones nuevas y revisadas de tecnología de la información en ADDS

(red de ofrecimiento de servicios virtuales)
Una de las áreas donde las funciones de tecnología de la información experimentan más modifi-
caciones son los Servicios de dominio de Active Directory, sobre todo en la nueva red de ofre-
cimientos de servicios virtuales. Si está migrando de Windows NT a Windows Server 2008, casi
todas estas funciones serán nuevas. Si ya está usando Windows 2000 o 2003, entonces ahora sabe
que todas estas funciones son necesarias (vea la figura 12-12). Las responsabilidades de cada
función están delineadas en la tabla 12-3. Una vez más, dependiendo del tamaño de su organi-
zación, puede combinar funciones. Lo importante es que cada función sea identificada dentro
de su grupo de tecnología de la información. También será importante asegurar que no se den
privilegios innecesarios a administradores y operadores dentro de ADDS.
Todas estas funciones necesitarán interactuar entre sí durante operaciones continuas. Un de-
bate frecuente de mesa redonda es una excelente manera de lograr que cada una de las personas
que llenan estas funciones lleguen a conocerse entre sí y entienden el proceso de comunicación.
La frecuencia de estas reuniones no necesita ser especialmente elevada. Determine el número
de reuniones necesarias por año de acuerdo con los objetivos que establezca para su directorio.
Podrían ser hasta dos reuniones cuando mucho por año. Dependiendo del tamaño de su organi-
zación, podría reestructurar su grupo de TI para cumplir con las nuevas demandas (vea la figura
12-13). Además, un sitio de equipo compartido dentro de WSS es una estupenda manera de
almacenar centralmente y proteger datos relacionados con la administración del sistema.
Administradores Administradores
DDNS de topología de
Propietarios de bosque sitio
Administradores de bosque
Propietario de dominio
raíz de bosque
Administrador de
delegación de steward
de GPO/OU
Propietarios Propietarios
de dominio de dominio
Propietarios Administradores Propietarios Administradores
de OU de DDNS de OU de DDNS
Operadores Operadores
de GPO Propietarios Administradores de GPO Propietarios Administradores
de OU de servicio de OU de servicio
Propietarios
de dominio
Propietarios Administradores
de OU de DDNS
PARTE VI
Leyenda
Operadores
Informes directos
de GPO Propietarios Administradores
de OU Vínculos del sistema
de servicio
FIGURA 12-12 Relaciones de función de TI de ADDS.

SUGERENCIA Microsoft ofrece una guía completa de operaciones de Active Directory. Se encuentra
disponible en dos partes en http://technet2.microsoft.com/windowsserver/en/library/9c6e4dd4-
3877-4100-a8e2-5c60c5e19bb01033.mspx?mfr=true. También delinea cuál función debe realizar
cada operación.
Nuevas funciones del almacén de recursos

Debido a que la red está dividida en dos partes (almacenes de recursos y ofrecimientos de servicios
virtuales) necesitará una división similar en sus funciones de tecnología de la información. En su
forma más simple, su equipo de administración del almacén de recursos constará por lo menos de
dos personas que sólo se concentrarán en la administración y el manejo del almacén de recursos,
asignando recursos apropiados a medida que se necesiten. En entornos más complejos, el equipo
del almacén de recursos estará dividido en las funciones presentadas en la tabla 12-4.
En esencia, el equipo de administración del almacén de recursos es responsable de todos los
recursos de hardware y sus asignaciones para proporcionar soporte a los ofrecimientos de servicios
virtuales. El equipo es muy poderoso y se concentra en las operaciones en el nivel de hardware y
Server Core. Debido a esto, nunca interactúan con los usuarios finales. En cambio, lo hacen con los
técnicos del escritorio de ayuda de nivel 3 del equipo de ofrecimiento de servicios virtuales, o inclu-
so con los administradores de estos ofrecimientos (vea la figura 12-14). Es el escritorio de ayuda del
ofrecimiento de servicios virtuales, niveles 1 y 2, el que interactúa con los usuarios finales, porque
sólo los ofrecimientos de servicios virtuales son los que interactúan con los usuarios finales.

Propietario Planeación de tecnolo- Administración Asegurar que todos los estándares del bosque se mantengan
del bosque gía de la información del servicio dentro del bosque.
y arquitectura empre- Responsable del esquema del bosque.
sarial Identiicar y documentar nuevos estándares.
Adminis- Grupo de tecnología de Administración Asegurar que el bosque opere apropiadamente.
trador de información del servicio Responsable de la coniguración del bosque.
bosque Imponer todos los estándares del bosque.
Responsable de la administración del dominio raíz del bosque.
Responsable de las funciones del maestro de operaciones en todo
el bosque.
Responsable de las funciones del maestro de operaciones centra-
das en dominio raíz.
Responsable del análisis y la recomendación de la implementación
del software operativo que modiica el esquema.
Responsable del contenido del catálogo global.
Propietario Grupos de TI/capaci- Administración Asegurar que todos los estándares del dominio se mantengan
del dominio tación/servicios de la del servicio dentro del dominio.
información Identiicar y documentar los nuevos estándares.
Adminis- Grupo de TI Administración El administrador del servicio asegura que el dominio esté operando
trador del del servicio apropiadamente.
dominio Imponer todos los estándares del dominio.
Asegurar que todos los DC desde dentro del dominio tengan un
tamaño apropiado.
Responsable de las funciones del maestro de operaciones centra-
das en el dominio.
TABLA 12-3 Funciones de TI de ADDS


Adminis- Grupo de TI Administración Asegurar la operación apropiada del espacio de nombre del bos-
trador de del servicio que.
DDNS Administrar y manejar los intercambios internos y externos de DNS.
Adminis- Grupo de TI Administración Monitorear y analizar la replicación del bosque.
trador de del servicio Modiicar la topología del sitio para mejorar la replicación del
topología bosque.
del sitio
Administra- Grupo de TI Administración Responsables de un servicio determinado en el dominio.
dores de del servicio Tienen derechos limitados en el dominio (sólo para el servicio que
servicio administran).
Operadores Grupo de TI Administración Diseñar y probar GPO para uso en entornos de producción.
de GPO del servicio Usar la consola Administración de directiva del grupo para adminis-
trar, depurar y modiicar GPO.
Informar al auxiliar de GPO/OU.
Propietario Planeación de TI y ar- Propietario de los Responsable de los grupos administrativos universales.
del dominio quitectura empresarial datos Marcador de posición de todo el bosque.
raíz Puede ser el mismo que el propietario del bosque.
Auxiliar de Planeación de TI y ar- Propietario de los Responsable de la operación apropiada de todas las OU dentro del
GPO/OU quitectura empresarial datos bosque de producción.
Debe asegurar que todos los OU estén justiicados y que cada uno
tenga un propietario designado.
Debe mantener el registro de GPO (toda la documentación de GPO).
Debe asegurar que todos los GPO se adecuan a los estándares.
Debe administrar el proceso de liberación de producción de GPO.
Propietarios Toda la organización Propietario de los Responsables de toda la información delegada dentro de la OU.
de OU datos Debe informar regularmente al asistente de GPO/OU.
TABLA 12-3 Funciones de TI de ADDS (Continuación)
Diseñe el plan de administración de servicios

La administración y el manejo de los Servicios de dominio de Active Directory, sobre todo un
ADDS centrado en el sistema operativo de red, se concentran principalmente en la delegación de
derechos administrativos específicos a operadores de servicio y oficiales de seguridad. En el capítulo
7 se identificó el requisito de los oficiales locales o regionales de seguridad. Si ha decidido delegar
operaciones específicas de tecnología de información a la administración de PC y de usuarios, ne-
cesitará proceder con la delegación de derechos apropiados para estos oficiales, como se definió en
el capítulo 7. En cuanto a la administración específica de usuarios, también deberá seguir adelante
con la identificación de sus administradores de grupo y la asignación de derechos apropiados para
la administración de sus grupos de usuarios, lo que se delineó en el capítulo 7.
NOTA Este procedimiento para la creación de consolas personalizadas de Microsoft (MMC) y la de-
legación de derechos, al igual que el usado para la creación de grupos administrativos apropiados,
se delineó en el capítulo 7.
PARTE VI
Por último, deberá seguir adelante con la delegación de la administración de servicios, como
se delineó en los capítulos 8 y 9. Las actividades de administración de servicios deben relacionar-
se de cerca con la estructura de la OU Ofrecimientos de servicios virtuales que diseñó durante la
preparación de los servicios de la red paralela de ofrecimiento de servicios virtuales. También está
Corporación T&T
TI/SI Unidades de
negocios
Tenedor de la directiva
de cambios al esquema Propietarios de OU
Tecnologías de la Planeación y Sistemas de Oficiales de seguri-

información arquitectura de TI información dad designados
Administrador del Propietario del Propietario de

Usuarios
bosque bosque dominio de desarrollo
Propietario del Propietario del domi-

Desarrolladores
dominio nio raíz del bosque
Administrador del Auxiliar de

dominio GPO/OU
Administrador de la Administrador de
topología del sitio delegación
Administrador de
DDNS - TI es responsable de los dominios de producción, capacitación
y puesta en funcionamiento
- El personal técnico de TI también son usuarios
Propietarios de OU - Muchas funciones de TI también son funciones de seguridad
designados - El tenedor de la directiva de cambio del esquema es necesario
aunque ADLDS se utilice para integrar aplicaciones a los
Servicios de dominio de Active Directory.
Operadores de
GPO
Administradores del
servicio
Usuarios
FIGURA 12-13 La estructura organizativa de las funciones de TI de ADDS en la Corporación T&T (sólo red de
ofrecimientos de servicios virtuales).
unida de cerca con las siete funciones esenciales de servidor que se identificaron en el capítulo 3,
pero también se requieren operaciones adicionales, como bien sabrá (copias de seguridad del siste-
ma, monitoreo de rendimiento, administración de seguridad, administración de problemas, soporte
a usuarios, etc.). Entre las funciones principales que se deben cubrir aquí se incluyen:
• Operadores de archivos e impresión
• Operadores del servidor de aplicaciones
• Operadores de los servicios de Terminal Server

Propietario Planeación de Administración Asegurar que todos los estándares del bosque se mantengan dentro
del bosque y TI y arquitectura del servicio del bosque.
propietario del empresarial Responsables del esquema del bosque.
dominio raíz Identiicar y documentar nuevos estándares.
Responsables de los grupos administrativos universales.
Dominio operativo para todo el bosque.
Pueden ser funciones divididas para el almacén de recursos y los
ofrecimientos de servicios virtuales.
Administrador Grupo de TI Administración Asegurar que el bosque esté operando apropiadamente.
del bosque del servicio Responsable de la coniguración del bosque.
Imponer todos los estándares del bosque.
Responsable de la administración de dominio raíz del bosque.
Responsable de las funciones del maestro de operaciones de todo
el bosque. Responsable de las funciones de maestro de operaciones
centrada en el dominio raíz.
Responsable del análisis y la recomendación de implementación del
software operativo que modiique el esquema.
Responsable del contenido de catálogo global.
Pueden ser funciones divididas para el almacén de recursos y los
ofrecimientos de servicios virtuales.
Administrador Grupo de TI Administración Asegurar la operación apropiada del espacio de nombres del bosque.
de DDNS del servicio Administrar y manejar los intercambios internos de DNS.
También puede administrar todas las asignaciones de direcciones IP
del almacén de recursos. Pueden ser funciones divididas para el alma-
cén de recursos y los ofrecimientos de servicios virtuales.
Administrador grupo de TI Administración Monitorear y analizar replicación de bosque.
de la topología del servicio Modiicar la topología del sitio para mejorar la replicación del bosque.
del sitio También puede administrar estructura de IP en el nivel de engrosa-
miento. Pueden ser funciones divididas para el almacén de recursos y
los ofrecimientos de servicios virtuales.
Administradores Grupo de TI Administración Responsables del servicio de virtualización en el almacén de recursos.
de servicios del servicio Construir e implementar nuevas máquinas virtuales (o particiones
virtuales invitadas). Pueden ser funciones divididas para el almacén de recursos
y los ofrecimientos de servicios virtuales.
Operadores de Grupo de TI Administración Diseñar y probar GPO para uso en entornos de producción.
GPO del servicio Usar la consola Administración de directivas de grupo para administrar,
depurar y modiicar GPO.
Reportar al auxiliar de GPO/OU.
Administrador Grupo de TI Administración Responsable de todas las asignaciones de hardware.
del almacén de del servicio Responsable de la puesta en funcionamiento de todo el hardware.
recursos Construir y ejecutar máquinas virtuales de administración (o particio-
nes principales).
Puede ser el mismo que para los administradores de servicios virtuales.
TABLA 12-4 Funciones de administración del almacén de recursos.
• Operadores del servidor de colaboración

PARTE VI
• Operadores del servidor de infraestructura

• Operadores del servidor Web dedicado
Estos seis grupos de operadores requieren derechos apropiados y delegación de las OU ade-
cuadas. Al igual que con la estructura de la OU Ofrecimiento de servicios virtuales, estos grupos

Dominio Dominio
DC/DNS DC/DNS Dominio de utilería
de conmutación
Función Hyper-V Función Hyper-V Función Hyper-V Función Hyper-V por error
DC/DNS
SAN Función Hyper-V Función Hyper-V
Discos virtuales Replicación

SAN
DFS
Almacén de recursos Sitio remoto
FIGURA 12-14 Interacciones entre los administradores del almacén de recursos, los técnicos del escritorio
de ayuda, los administradores de servicios virtuales y los usuarios inales.
operativos pueden subdividirse en grupos más pequeños y enfocados, que sean responsables de
tecnologías específicas. Otra función, el operador del servidor de administración de identidad, es
su administrador de dominio y ya se ha identificado antes.
Varias de las actividades de manejo y administración que necesita cubrir requerirán tecnolo-
gías especiales. Se requiere una herramienta para dar soporte a la implementación de aplicaciones,
los inventarios y el análisis de hábitos de uso del software. Otra herramienta debe dar soporte a la
administración de rendimiento de alertas dentro de la red, sobre todo con servicios críticos. Pero si
tiene una red heredada, lo más probable es que ya esté utilizando tecnologías de este tipo.
Utilice las herramientas de administración del servidor remoto de WS08

Windows Server 2008 incluye una serie completa de nuevas y mejoradas herramientas de admi-
nistración y manejo. Varias están localizadas directamente dentro del sistema operativo y constan
de herramientas de línea de comandos. WS08 incluye varias herramientas de línea de comandos
nuevas y más de 200 herramientas en general. Además, Windows Server 2008 incluye una versión
integrada de PowerShell, el motor de creación de secuencias de comandos más poderoso que haya
lanzado alguna vez Microsoft. Tanto las herramientas de línea de comandos como PowerShell están
bien documentadas en el centro de ayuda de WS08. Además, al igual que las versiones anteriores
de Windows, WS08 incluye las herramientas de administración de servidor remoto (RSAT, Remote
Server Administration Tools). Éstas son útiles para su equipo de administración.
En el capítulo 3 se delineó la importancia de los procedimientos operativos estándar. En
muchos casos, el mejor procedimiento es una secuencia de comandos o un archivo de comandos
porque asegura que la operación siempre se realice de la misma manera. Y debido a que el perso-
nal técnico a menudo prefiere no escribir documentación, sino crear automatizaciones y progra-
mas, el uso de secuencias de comandos bien documentadas (dentro de la propia secuencia de
comandos) y de un inventario completo de secuencias facilita la implementación de un método

de procedimientos operativos estándar.
SUGERENCIA Microsoft proporciona excelente soporte a la creación de secuencias de comandos de

PowerShell en el centro de secuencia de comandos de TechNet en www.microsoft.com/technet/
scriptcenter/hubs/msh.mspx.
Debe ser cuidadoso con las personas a las que da acceso al RSAT. Se trata de herramien-
tas poderosas que pueden causar un riesgo de seguridad si se utilizan mal. Una de las mejores
maneras de controlar su acceso consiste en almacenarlas en servidores y utilizar RemoteApps de
Terminal Services para dar acceso a herramientas determinadas. Una ventaja adicional de este
método consiste en que no necesita crear y mantener estaciones de trabajo administrativas u OU
operativas para su personal de TI. Sus estaciones de trabajo pueden ser similares a las de otros
usuarios avanzados dentro de su empresa y concentrarse en herramientas productivas. Luego,
cuando necesiten realizar una tarea administrativa, pueden lanzar la RemoteApp que necesiten
para acceder a la herramienta apropiada.
Esto puede ayudar a aumentar la seguridad. Debido a que las herramientas administrativas no
se encuentran en la PC de los operadores, pueden usar su cuenta de usuario para realizar sus tareas
diarias. Luego, cuando una tarea administrativa sea necesaria, pueden iniciar sesión con la cuenta
administrativa en la sesión de RemoteApp de Terminal Services. Es posible agregar una capa adi-
cional de seguridad mediante el uso de tarjetas inteligentes para inicios de sesión administrativos.
Debido a que WS08 da soporte al uso de tarjetas inteligentes para administradores, puede asegurar
que se exija la autentificación de dos factores para el funcionamiento de las tareas administrativas.
SUGERENCIA Una buena referencia para la administración de Windows Server 2008 es el centro
de tecnología de Windows Server 2008, Microsoft TechNet, en http://technet.microsoft.com/
en-us/windowsserver/default.aspx.
Herramientas de administración para almacenes de recursos

Como administrador de un almacén de recursos, estará trabajando extensamente con la línea
de comandos, porque trabajará principalmente con Server Core. También deberá usar algunas
herramientas gráficas mediante el uso de máquinas virtuales de administración (que son parte
del dominio del almacén de recursos, pero que utilizan la instalación completa en una instancia
virtual). Esto le permite utilizar una interfaz gráfica para administrar las máquinas de Server Core
que integran su almacén de recursos.
También podría obtener y trabajar con el System Center Virtual Machine Manager (SCVMM),
porque está diseñado por completo para funcionar con máquinas virtuales y administrarlas, sin
importar si se ejecutan en Hyper-V de Windows Server o mediante Microsoft Virtual Server. Si ter-
mina con una combinación de recursos de hardware (de 32 y 64 bits) debido a que quiere recuperar
inversiones existentes en hardware, SCVMM será la mejor herramienta que puede usar.
SUGERENCIA Encontrará más información sobre el System Center Virtual Machine Manager en
PARTE VI
www.microsoft.com/systemcenter/scvmm/default.mspx.
Es posible que los administradores de almacenes de recursos terminen trabajando con varias
herramientas adicionales, como aparecen en la lista de la tabla 12-5.
Herramientas de administración para ofrecimientos de servicios virtuales

Al igual que en el caso de los administradores de almacenes de recursos, si es un administra-
dor de ofrecimientos de servicios virtuales, estará trabajando ampliamente con Windows Server
2008. Sin embargo, obtendrá las mayores ventajas de gozar de acceso a PowerShell y a la interfaz
gráfica del Administrador del servidor. Esto le dará una plataforma de administración mucho más
poderosa, porque puede hacer mucho más con estas herramientas que con la línea de comandos.
Es probable que los administradores de ofrecimientos de servicios virtuales terminen con
varias herramientas adicionales, como aparecen en la tabla 12-6.
Construya un nuevo método para la administración

Hace 20 años, cuando casi todas las computadoras eran mainframes o minicomputadoras, los
operadores y administradores tenían tareas programadas, específicas que necesitaban realizar de
manera continua. Cada vez que se realizaba una tarea, anotaban la hora y escribían sus iniciales en
un libro de registro para demostrar cuándo se había realizado la tarea y quién la había realizado.
Función/
característica Herramienta Línea de comandos
ADCS Complemento Autoridad de certiicado CertUtil.exe
Complemento Certiicados CertReq.exe
Complemento Plantillas de certiicado CertSrv.exe
Complemento Respuesta en línea
PKIView
ADDS Administrador del servidor | Usuarios y equipos de Active Directory CSVDE
Administrador del servidor | Sitios y servicios de Active Directory Dsadd
Dominios y conianzas de Active Directory Dsmod
Dsrm
Dsmove
Dsquery
Dsget
LDIFDE
Ntdsutil
Servidor DNS Administrador del servidor | Servidor DNS Nslookup
Servidor DHCP Administrador del servidor | Consola DHCP Netsh
Servicios de archivo Administrador del servidor | Administración DFS Netstart, netstop (Macintosh)
Administrador de recursos del servidor de archivos Dfsradmin.exe
Administrador del servidor | Administración de informes de almace- Dfsdiag.exe
namiento Dirquota.exe
FileScrn.exe
StorRept.exe
PowerShell Interfaz PowerShell en instalación completa o estación de trabajo No hay comando
administrativa
Servicios de impresión Administrador del servidor | Servicios de impresión Netstart, netstop (Macintosh)
MMC Imprimir Lpg
Lpr
Print
Prncnfg.vbs
Prndrvr.vbs
Prnjobs.vbs
Prnport.vbs
Prnqctl.vbs
TABLA 12-5 Herramientas adicionales de administración para los administradores del almacén de recursos
Función/
característica Herramienta Línea de comandos
Server Core Línea de comandos local
MMC personalizada remota
Administración de WS y Shell remota de Windows (WinRS)
Escritorio remoto
PowerShell remota
Comando WMI (WMIC)
Terminal Services Administrador del servidor | Terminal Services Tsadmin.exe
Administrador de Terminal Services Tscc.msc
Coniguración de Terminal Services Eventvwr.msc
Consola Escritorios remotos quser
Hyper-V de Windows Server Administrador Hyper-V
TABLA 12-5 Herramientas adicionales de administración para los administradores del almacén de recursos (Continuación)
Función/característica Herramienta
ADCS Autoridad de certiicado
ADDS Administrador del servidor | Usuarios y equipos de Active Directory
Administrador del servidor | Sitios y servicios de Active Directory
Dominios y conianzas de Active Directory
ADFS Administrador de IIS
ADLDS Administrador del servidor | Usuarios y equipos de Active Directory
Administrador del servidor | Sitios y servicios de Active Directory
Dominios y conianzas de Active Directory
Editor de ADSI
Ldp.exe
Utilerías de administración de esquema
ADRMS ADRMS MMC
Servidor de aplicaciones Administrador del servidor | Servicios de componentes
Servidor DNS Administrador del servidor | Servidor DNS
Servidor DHCP Administrador del servidor | Consola DHCP
Servidor de faxes Administrador del servicio de fax
Servicios de archivos Administrador del servidor | Administración DFS
Administrador de recursos del servidor de archivos
Administrador del servidor | Administración de cuotas
Administrador del servidor | Administración de supervisión de archivos
Administrador del servidor | Administración de informes de almacenamiento
Protección de acceso a redes MMC NPS
MMC HRA
MMC Administración de clientes de NPA
MMC Enrutamiento y acceso remoto
Directivas de red inalámbrica
Directivas de red cableada
PowerShell Interfaz de PowerShell
Servicios de impresión Administrador del servidor | Servicios de impresión
PARTE VI
MMC Imprimir
TABLA 12-6 Herramientas adicionales de administración para los administradores de ofrecimientos de servicios
virtuales
Función/característica Herramienta
Terminal Services Administrador de Terminal Services
Administrador del servidor | Administrador de RemoteApp de TS
Administrador del servidor | Administrador de puerta de enlace de TS
Coniguración de servicios de Terminal Server
Administrador de licencias de terminal
Escritorios remotos
Administración de acceso Web de terminal
Servidor Web (IIS) Administrador de IIS 6.0
Administrador de IIS
Servicios de implementación de Windows Administrador WDS
Windows Server Línea de comandos local
Administración de WS08 y shell remota de Windows (WinRS)
Escritorio remoto
PowerShell
Administrador del servidor
Comando WMI (WMIC)
Windows SharePoint Services Administración central de SharePoint 3.0
Asistente para la coniguración de productos y tecnologías de SharePoint
TABLA 12-6 Herramientas adicionales de administración para los administradores de ofrecimientos de servicios
virtuales (Continuación)
Hoy en día, las redes están integradas por colecciones acopladas de manera suelta de ser-
vidores y estaciones de trabajo que pueden o no incluir mainframes o minicomputadoras. La
administración de redes o de sistemas se ha vuelto mucho más compleja y cubre una cantidad
mucho mayor de tareas que en aquellos días, pero de alguna manera hemos perdido algo en la
transición. Hoy en día, casi ningún administrador mantiene libros de registros. Casi todos care-
cen de calendarios fijos para actividades administrativas. Muchos ni siquiera realizan las tareas de
administración más básicas.
Pensamos que es hora de regresar a la administración estructurada de sistemas. Por eso, en el
capítulo 13 proporcionamos una lista extensa de tareas administrativas y su realización programada
con base en nuestra experiencia pasada. Este capítulo trata de ser diferente al ir directo al corazón
de la materia. Cada tarea delineada en el capítulo está concentrada en la propia tarea. No suele
incluir ninguna información extensa de antecedentes, porque supone que cuando necesita realizar
la tarea, no se necesita una explicación de la manera en que algo funciona, sino más bien una de
cómo hacer algo, porque se encuentra a la mitad de la tarea y quiere respuestas rápido.
Si es posible, cada descripción de una tarea cubre por lo menos tres áreas:
• La interfaz gráfica
• La línea de comandos, si está disponible
• Una secuencia de comandos recomendada, si es aplicable
La primera área alude a la manera en que se acercaría a la tarea para realizarla en uno o dos
servidores. En realidad, el método gráfico está diseñado principalmente para administradores de
redes pequeñas que contienen menos de 25 servidores. La segunda es la manera en que realiza-
ría una tarea cuando tiene que aplicarla a una serie de servidores. Desafortunadamente, aunque
Windows Server 2008 incluye una gran cantidad de nuevas herramientas de línea de comandos,
ese tipo de herramientas no siempre está disponible para todas las tareas. La ventaja de este mé-
todo es que resulta fácil insertar líneas de comandos en archivos con formatos CMD o BAT para
ejecutarlos automáticamente. Otra ventaja del archivo de comandos es que puede canalizarse a
un archivo de texto para mantener registros automáticos, lo que simplifica aún más su tarea. Una
tercera ventaja es que se ejecuta en Server Core, si se tiene soporte para esta función.
El tercer método es para redes extremadamente grandes, donde hay cientos de servidores.
Cada vez que se aplica una secuencia de comandos a una tarea determinada, se hace referencia a
ella en la tarea.
La lista de tareas administrativas

La esencia de capítulo 13 es la lista de tareas administrativas. La lista propuesta aquí se ha
obtenido de una serie de fuentes diferentes, incluida nuestra propia experiencia, además de los
entornos administrativos reales de nuestros clientes. En realidad, ha sido validada mediante el
análisis y la demostración con varios administradores de sistemas, además de varios cursos de
administración de todo el día impartidos en Interop (www.interop.com). Parte del análisis y las
consultas produjeron la lista que encontrará aquí.
Además, la lista se ha ordenado en categorías de acuerdo con la frecuencia de las tareas re-
comendada. Las frecuencias varían dentro de bases diarias, semanales, mensuales y “ad hoc”. La
última es una categoría que incluye todo, semestral, anual y, en esencia, en cualquier momento,
porque algunas tareas deben realizarse, pero no puede predecirse el momento en que se harán.
Cuando sea posible, las tareas que pertenecen a los almacenes de recurso, a los ofrecimien-
tos de servicios virtuales, o a ambos, se identifican y documentan claramente.
NOTA Si encuentra que el programa o la lista de tareas no se adecua a sus necesidades, envíenos
una nota, háganos saber qué es lo mejor para usted, y publicaremos información actualizada en el
sitio Web dedicado a este libro. Escriba a Infos@reso-net.com.
El administrador de sistemas
Como administrador de sistemas, deberá utilizar varias herramientas para realizar las activida-
des que aparecen en esta lista. Algunas de las actividades serán administrativas, otras técnicas,
algunas siempre seguirán siendo manuales, mientras que otras serán automatizadas. Algunas
utilizarán la interfaz gráfica de Windows Server 2008 y otras la línea de comandos.
Para realizar este trabajo, tendrá que ser técnico, administrador, gerente, comunicador, ope-
rador, usuario, negociador y, en ocasiones, director. También necesitará una comprensión signifi-
cativa del entorno en que trabaja y de las tecnologías que le dan soporte. Por esto es importante
que obtenga una fuerte comprensión de Windows Server 2008.
Organice su programa de tareas

La frecuencia de las tareas debe ayudarle a organizar y definir un calendario administrativo.
Puede usar la característica Administración de tareas de Microsoft Outlook como ayuda para
organizar su programa de administración, sobre todo tareas semanales, mensuales y semestrales
(vea la figura 12-15). También debe incluir al principio tareas diarias en el programa, para que
PARTE VI
pueda familiarizarse con ellas. Además es buena idea revisar todas las tareas que aparecen como
“ad hoc” y determinar cuándo quiere realizarlas.
En esencia, las tareas diarias se realizan por la mañana. Si puede volverlas automáticas, en-
tonces consistirán principalmente de verificación de registros en lugar de realizar en realidad la
7 de noviembre
Lunes Martes Miércoles Jueves Viernes Sábado Domingo
Octubre Noviembre
Tareas diarias
Tareas semanales
Tareas mensuales Tareas mensuales
Tareas diarias
Tareas semanales
Tareas diarias
Tareas semanales
Diciembre
Tareas diarias
Tareas semanales
FIGURA 12-15 Ejemplo de programa de tareas administrativas.
tarea. Esto le ahorrará muchísimo tiempo. Las tareas semanales se realizan los jueves, los miérco-
les y los martes. Si administra correctamente su calendario, puede realizar la mayor parte de estas
tareas por las mañanas, junto con las tareas diarias de esos días. Extienda las tareas mensuales a
los lunes y viernes de cada semana. Esto le deja un poco de tiempo cada día para realizar tareas
ad hoc a medida que surgen.
Un objetivo del capítulo 13 consiste en ayudarle a ahorrar tiempo. Podría realizar todas las
tareas diarias por la mañana, y luego dedicar las tardes de la mitad de la semana a realizar las
tareas semanales. Reserve dos tardes de cada semana para tareas mensuales; de esta manera
puede extenderlas durante todo el mes. Por lo general, esto debe dejarle tiempo para otras tareas
ad hoc. Empiece con este tipo de programa y perfecciónelo a medida que avanza.
Ahora que ha construido una nueva y poderosa red e implementado el centro de datos diná-
mico, necesita asegurarse de que lo mantiene tan prístino como cuando lo construyó por primera
vez. Eso sólo puede suceder si lo administra de una manera estructurada. Ése es el objetivo de la
lista de tareas que se presentan en el capítulo 13: ayudarle a mantener la red que construyó con
base en estos primeros 12 capítulos.
VII PARTE
Administre Windows CAPÍTULO 13
Tareas de administración
Server 2008 comunes
E
n esta sección se abordan varias tareas administrativas gene-
rales con Windows Server 2008. Cubre la administración de
almacenes de recursos y de ofrecimiento de servicios virtuales.
13
CAPÍTULO
Tareas de administración comunes
E
n el capítulo 12 se delineó la importancia que tiene administrar apropiadamente las redes
que ejecuta Windows Server 2008 (WS08). El objetivo de este capítulo es delinear las tareas
de administración comunes para cada categoría de servidor que se cubrió en las otras
partes del libro, a medida que construye y llena los almacenes de recursos y los ofrecimientos
de servicios virtuales que están diseñados para hospedar. Más de 150 tareas aparecen aquí. Si es
posible, cada descripción de tarea cubre por lo menos dos áreas:
• La interfaz gráfica
• La línea de comandos, si está disponible
Además, debido a que el motor de PowerShell está disponible en Windows Server, pueden
generarse secuencias de comandos para realizar casi todas las operaciones.
SUGERENCIA Para tener una lista completa de herramientas de línea de comandos vaya a
http://go.microsoft.com/fwlink/?linkid=81765.
NOTA No necesita instalar el motor de PowerShell en un servidor para ejecutar una secuencia de
comandos contra él. Debe instalar PowerShell en una estación de trabajo de Vista y ejecutar remo-
tamente secuencias de comandos en sus servidores. La instalación de PowerShell en sus servidores
aumenta el riesgo, porque es un componente más que se debe administrar.
Las tareas están divididas por función de servidor. Las funciones cubiertas aquí son:
• Servidor general Las tareas que son comunes a todos los servidores que ejecutan WS08.
• Servidor de archivos e impresión Tareas que son comunes para los servidores que ejecu-
tan la función de archivo e impresión.
• Servidor de infraestructura de red Tareas que son comunes para la función de infraestruc-
tura de red.
• Servidor de administración de identidad Las tareas comunes para la función de admi-
nistración de identidad, incluida la función controlador de dominio (DC, Domain Controller),
además de la función del sistema de nombres de dominio (DNS, Domain Name Systems).
• Servidor de Web dedicado y servidor de aplicaciones Las tareas son comunes para los
servidores Web y de aplicaciones, porque sus funciones son muy similares.
645
646 Parte VII: Administre Windows Server 2008
• Servidor de Terminal Service Las tareas que son comunes para los servidores que ejecutan
Terminal Services, tanto de administración remota como para RemoteApps.
• Servidor de colaboración Tareas que son comunes para servidores que ejecutan la función
de colaboración.
Las tareas sólo cubren actividades comunes que están relacionadas con las capacidades básicas
de WS08; no se cubren productos adicionales del sistema de Windows Server u otros orígenes.
NOTA La explicación de la tarea es breve en este capítulo, porque se enfoca en el delineado de lo que
se necesita hacer. La información de antecedentes para casi todas las tareas ya se ha identiicado
en los capítulos anteriores de este libro. Para conocer una lista correspondiente de tareas en PC
de Vista, busque Deploying and Administering Windows Vista Bible, por Shane Cribbs, Nelson
Ruest, Danielle Ruest y Bob Kelly (Wiley, 2008).
Cada sección empieza con una tabla que delinea las diferentes tareas para esta función
determinada del servidor. En la tabla se presenta una lista de cada tarea por número, seguida por
su nombre y su frecuencia. Además, la tabla indica si la tarea se aplica al almacén de recursos, los
ofrecimientos de servicios virtuales, o ambas. El objetivo de estas tablas es ayudarle a construir
un calendario administrativo apropiado e identificar con él las tareas que deben realizarse en
cada nivel del sistema.
SUGERENCIA Estas tareas han sobrevivido a la prueba del tiempo. Originalmente se derivaron
de Windows Server 2003 Pocket Administrator, de Danielle Ruest y Nelson Ruest (McGraw
Hill, 2003). Además, se han probado a través de cursos impartidos durante días completos sobre
administración de Windows Server en conferencias de Interop (www.inter.com) en Las Vegas y
Nueva York, durante los últimos años. Este curso ha sido impartido a varios miles de administra-
dores, que están de acuerdo: una vez que empieza a trabajar con el calendario delineado aquí, no
tendrá que trabajar horas extras de manera regular para administrar su red. ¡El tiempo extra casi
se vuelve una cosa del pasado! Le animamos a que siga ese programa y lo adapte por su cuenta.
También necesitará varias herramientas para dar soporte a cada una de estas tareas. Median-
te la implementación de su red, instaló varias herramientas y descubrió distintas maneras de ad-
ministrar sistemas. Muchos administradores instalan herramientas administrativas en sus propias
PC. Esto es bueno hasta cierto grado, pero algunas de ellas no se prestan a ese tipo de instala-
ción. Por ejemplo, el Administrador del servidor no soporta conexiones de equipos remotos; en
cambio, puede publicar el Administrador del servidor como una RemoteApp en cada servidor y
vincularla con la aplicación publicada para administrar remotamente servidores mediante esta
herramienta. Este procedimiento se delinea en el capítulo 9.
SUGERENCIA Para conocer información adicional sobre tareas dentro de Windows Server 2008, vaya
a TechCenter de WS08 en http://technet.microsoft.com/en-us/windowsserver/2008/default.aspx.
Además, PowerShell no se ejecuta en Server Core, pero puede crear un comando PowerShell
en un equipo que ejecute la instalación completa de WS08 y ejecutarlo remotamente en equi-
pos de Server Core. Ésta es la razón por la que resulta importante tener máquinas virtuales que
Capítulo 13: Tareas de administración comunes 647
pertenezcan al dominio del almacén de recursos y que ejecuten la instalación completa sólo con
el fin de la administración remota de recursos de hardware.
PowerShell es una herramienta de línea de comandos. Esto hace un poco más complicado
PARTE VII
el trabajo con ella para usuarios que no están familiarizados con sus comandos. Ésta es la razón
por la que debe trabajar mediante PowerGUI, una interfaz gráfica gratuita para PowerShell que
ha sido desarrollada por Quest Software (www.quest.com). Quest ha generado una comunidad
de usuarios que se mantiene agregando funcionalidad a PowerGUI en http://powergui.org. Por
ejemplo, esta comunidad ha proporcionado una serie de diferentes complementos y funcionali-
dades adicionales en categorías como sistema de archivos, Servicios de dominio de Active Direc-
tory, administración de red y más (vea la figura 13-1). No hay duda de que cada vez será más y
más la cantidad de administradores en todos lados que empezarán a trabajar con PowerShell.
SUGERENCIA Microsoft también proporciona mucha ayuda sobre PowerShell. La página principal
de PowerShell está en www.microsoft.com/windowsserver2003/technologies/management/
powershell/default.mspx, y el centro de secuencias de comandos de TechNet ofrece muchas de éstas
para el uso de PowerShell en www.microsoft.com/technet/scriptcenter/hubs/msh.mspx.
Además, puede obtener ayuda para PowerShell mediante la ayuda gratuita de PowerShell,
de Sapien Technologies. Se trata del fabricante de PrimalScript, un poderoso motor de creación de
secuencias de comandos para soporte a varios lenguajes de creación de comandos. PowerShell
ofrece ayuda sobre todos los comandos en una manera gráfica agradable (vea la figura 13-2). La
ayuda de PowerShell está disponible en www.primalscript.com/Free_Tools/index.asp. Y mientras
está allí, obtenga gratis Logon Script Generator. Le ahorrará mucho tiempo.
FIGURA 13-1 Interfaz de PowerGUI con complementos.

FIGURA 13-2 Interfaz gráica de la ayuda de PowerShell.
Por último, cuando toda la ayuda que pueda obtener no es suficiente, puede pasar a las herra-
mientas de secuencias de comandos profesionales, como Primal Script, de Sapien, o AdminScript
Editor (ASE), de iTripoli. ASE es un entorno de secuencias de comandos que presenta varias herra-
mientas únicas, incluida una serie de asistentes que le ayudan a generar secuencias de comandos
complejas para instrumentar la administración de Windows (WMI, Windows Management Instru-
mentation), el lenguaje extensible de marcado (XML, Extensible Markup Language), la administra-
ción de base de datos, la interfaz de servicios de Active Directory (ADSI, Active Directory Services
Interface) y más (vea la figura 13-3). ASE le permite crear ejecutables de secuencia de comandos
seguras que incluyen credenciales de administrador cifradas, que le permiten ejecutar secuencias de
comandos poderosas incluso en contextos de usuario final. Por sí solo, ASE es un recurso valioso.
Además, puede generar secuencias de comandos en diversos lenguajes, incluido PowerShell, KiX-
tart, VBScript y archivos de procesamiento por lotes simples o de comandos.
SUGERENCIA Para conocer más información acerca de AdminScriptEditor, vaya a

www.adminscripteditor.com. iTripoli puede encontrarse en www.itripoli.com.
Administración general del servidor

La administración general de servidores de Windows está dividida en cuatro categorías administra-
tivas. Entre éstas se incluyen servidor, hardware, copias de seguridad y restauración y administración
remota. En la tabla 13-1 se delinean las actividades administrativas que debe desarrollar de manera
constante para asegurar la operación apropiada de los recursos de hardware que administra y los
servicios que entrega a su comunidad de usuarios. También identifica la frecuencia de cada tarea.
PARTE VII
FIGURA 13-3 Trabajo con AdminScriptEditor de iTripoli.
NOTA Casi todas las actividades de la sección requieren derechos administrativos locales.
Actividades de administración general del servidor

Por su propia naturaleza, los servidores están diseñados para dar soporte a multitudes de usua-
rios en el desempeño de sus actividades diarias. No importa si el número de usuarios de la or-
ganización es de cuatro o de cuatro mil; el trabajo de un administrador del sistema siempre será
asegurarse de que los servidores funcionan continuamente, que están asegurados y que ofrecen
capacidad suficiente para seguir proporcionando una operación productiva, ahora y en el futuro.
Varias de las actividades requeridas para realizar este objetivo se aplican a todos los servi-
dores. Muchas están relacionadas con la simple operación continua de la propia máquina o la
manera en que interactúa con los servidores.
SG-01: Ejecución como comando de administrador
Frecuencia de la actividad: diaria
El trabajo con servidores requiere que tenga derechos de acceso administrativos para ellos. El
acceso otorgado a los administradores de Windows Server 2008 es poderoso, porque le permite
un control completo de un equipo en el nivel local, un dominio en el nivel de dominio o un bos-
que en el nivel de la empresa. Estos derechos deben usarse con cuidado y consideración, sobre
todo porque cualquier cosa que se ejecute dentro de un contexto administrativo automáticamen-
te tendrá todos los derechos en una máquina.
Número de Almacén Ofrecimientos de

procedimiento Actividad Frecuencia de recursos servicios virtuales
Servidor general
SG-01 Ejecución como comando de administrador Diaria X X
SG-02 Veriicación del estatus del servicio general Diaria X X
SG-03 Veriicación del Registro de eventos de sistema Diaria X X
SG-04 Veriicación del Registro de eventos de seguridad Diaria X X
SG-05 Administración de las cuentas de servicio y Diaria X X
administrativas
SG-06 Mantenimiento del registro de actividad Diaria X X
SG-07 Actualice la deinición antimalware Semanal X X
SG-08 Administración de importes de tiempo de actividad Semanal X X
SG-09 Administración de secuencia de comandos Semanal X X
SG-10 Reinicio del servidor Semanal X X
SG-11 Revisión o actualización de directivas de seguridad Mensual X X
SG-12 Veriicación de parches de seguridad Mensual X X
SG-13 Actualización de service packs y correcciones Mensual X X
activas
SG-14 Administración del inventario Mensual X X
SG-15 Evaluación de nuevo software Ad hoc X
SG-16 Directiva de restricción de software Ad hoc X X
SG-17 Creación de MMC personalizada Ad hoc X X
SG-18 Creación de la consola de administración del Ad hoc X
almacén de recursos
SG-19 Puesta en funcionamiento del servidor Ad hoc X X
SG-20 Resección automática de irma de antivirus o Ad hoc X X
antimalware
SG-21 Generación y veriicación de tareas programadas Ad hoc X X
SG-22 Creación o modiicación de plantillas de seguridad Ad hoc X X
SG-23 Revisión del entorno técnico Ad hoc X X
SG-24 Documentación del sistema y la red Ad hoc X X
SG-25 Administración de acuerdo con el nivel de servicio Ad hoc X X
SG-26 Administración de prioridad de la detección y Ad hoc X X
solución de problemas
SG-27 Revisión de la carga de trabajo Ad hoc X X
Hardware
HW-01 Revisión de hardware de red Semanal X
HW-02 Administración del BIOS del servidor Mensual X
HW-03 Administración de actualización de software de Mensual X
administración de irmware y servidor
TABLA 13-1 Lista de tareas de administración general del servidor

Número de Almacén Ofrecimientos de

PARTE VII
Hardware
HW-04 Administración de dispositivos Ad hoc X X
Copias de seguridad y restauración
CSR-01 Generación de copias de seguridad del disco del Diaria X X
sistema
CSR-02 Veriicación de copia de seguridad Diaria X X
CSR-03 Administración de copias de seguridad fuera del Semanal X X
sitio
CSR-04 Prueba de la estrategia de recuperación de Mensual X X
desastres
CSR-05 Prueba de procedimientos de restauración Mensual X X
CSR-06 Revisión de la estrategia de copia de seguridad Mensual X X
Administración remota
AR-01 Administración de RDC de servidor Mensual X X
AR-02 Administración de RDC de PC Ad hoc X
AR-03 Soporte a usuarios mediante asistencia remota Ad hoc X
TABLA 13-1 Lista de tareas de administración general del servidor (Continuación)
PRECAUCIÓN Debido al riesgo que plantea a su organización, debe cambiarse el nombre prede-
terminado de las cuentas administrativas y tener contraseñas complejas fuertes, por lo general
de más de 15 caracteres. Al inal de cuentas, deben estar vinculadas a tarjetas inteligentes para
seguridad adicional.
Un virus o un gusano, por ejemplo, que se ejecutan dentro de un contexto administra-

tivo, pueden causar mucho más daño que dentro de un contexto de usuario. Por esto es que
el comando Ejecutar como administrador es tan importante. Debido a que da soporte a la
ejecución de un comando o una aplicación dentro de un contexto de seguridad diferente,
este comando le permite usar acceso administrativo de manera más esporádica, trabajando
normalmente con una cuenta en el nivel de usuario, pero realizando actividades adminis-
trativas con la cantidad de derechos de acceso adecuada y nada más (y protegiendo activos
corporativos todo el tiempo).
NOTA Es posible acceder a cualquier herramienta mediante Ejecutar como administrador. En Win-
dows Server 2008, sólo haga clic con el botón derecho en la herramienta y seleccione Ejecutar como
administrador; dé las credenciales apropiadas y haga clic en Aceptar para lanzar la herramienta.
Esta actividad se identifica como diaria porque estará usando este comando de manera coti-
diana mientras realiza actividades administrativas en todos los servidores de su organización.
Como opción, puede usar el comando Ejecutar como, mediante la línea de comandos. El
problema con éste, sin embargo, es que no hay manera de evitar el Control de cuentas de usua-
rios (UAC) mediante la línea de comandos. Mientras esté ejecutando operaciones de línea de
comandos en un contexto diferente, la herramienta de línea de comandos Ejecutar como nunca

podrá elevarnos a un nivel administrativo apropiado. Por tanto, es mejor depender de la interfaz
gráfica y usar el comando Ejecutar como administrador. Si quiere ejecutar líneas de comando
con privilegios administrativos, abra una ventana del indicador de comandos con el comando
Ejecutar como administrador.
SUGERENCIA No existe un comando para elevación en Windows Vista, de modo que sus herra-
mientas se ejecutarán con privilegios administrativos, como opción predeterminada. Sin embargo,
hay una pequeña utilería escrita por Michael Murgolo, un asesor de los servicios de consultoría de
Microsoft, que hace eso. Descárguela de www.microsoft.com/technet/technetmag/issues/2007/06/
UtilitySpotlight/default.aspx.
Además, una de las utilerías administrativas más útiles es la capacidad de lanzar una ventana
del indicador de comandos mediante el Explorador de Windows, ya sea en el modo normal o el
elevado. La única manera de hacerlo consiste en agregar un hackeo en el registro a sus servido-
res. Para conocer una lista de las entradas del registro necesarias para crear indicadores de co-
mandos en modos normal o elevado, vaya a www.randyrants.com/2007/02/vista_tip_eleva.html.
Guarde las entradas en un archivo con extensión .reg y haga doble clic en él para ejecutarlo en
sus servidores. El resultado serán dos comandos “Command Prompt Here” (vea la figura 13-4).
Por último, como no hay manera predeterminada de generar normalmente una ventana del
indicador de comandos en el lugar en donde está usted, tampoco hay una manera predetermina-
da de hacer esto con PowerShell. Eso significa que necesita usar un hackeo para hacerlo. Use las
utilerías antes mencionadas para elevación (por Michael Murgolo) para crear en el menú contex-
tual entradas similares a las creadas antes por el indicador de comandos. Los archivos de Michael
no se encuentran en formato REG, sino en formato INF. Esto significa que debe hacer clic con el
botón derecho en el archivo apropiado y seleccionar Instalar, para que funcionen. Una vez insta-
lados, tendrá los indicadores apropiados en el menú contextual de cualquier carpeta mediante el
Explorador de Windows.
SG-02: Veriicación del estatus del servicio general

El principal propósito de un servicio consiste en entregar servicios. Se considera que fun-

ciona apropiadamente cuando todos los servicios que se supone estén funcionando, se están
ejecutando en un estado funcional completo. Por eso es importante que documente de manera
apropiada no sólo la función específica de cada servidor en su infraestructura de red, sino tam-
bién los servicios reales que ha instalado y el estado general de cada uno de ellos.
FIGURA 13-4
Uso de hackeos de registro
para obtener el comando
“Command Prompt Here”.
NOTA Una hoja de datos de servidor detallada puede encontrarse en el sitio Web que acompaña este
libro: www.Reso-Net.com/livre.asp?p=main&b=WS08. Use esta hoja como base de la documenta-
PARTE VII
ción de su servidor para identiicar los servicios instalados.
Para verificar el estado de los servicios en los servidores con los que trabaja:
1. Lance la consola Administrador del servidor para el servidor apropiado (área Inicio rápido |
Administrador del servidor u otra ubicación de acceso directo).
2. Vaya a la ventana Servicios (Configuración | Servicios).
3. Ordene los servicios de acuerdo con el estatus, al hacer clic en Estado, en la parte superior de
la ventana Servicios.
4. Mediante sus registros, verifique que todos los servicios estén en el estado apropiado de ejecución y
arranque. Si algunos servicios usan credenciales diferentes a las de la cuenta del sistema local, utili-
ce el procedimiento SG-05 para asegurarse de que estas credenciales se ingresen apropiadamente.
5. Registre e investigue cualquier servicio que no se encuentre en el estado que se pretenda.
Verifique todos los servidores.
Como opción, todos los servicios pueden controlarse mediante los comandos SC o NET. En el
caso del último, escriba NET en el indicador de comandos para ver la lista de los comandos a los
que se da soporte. Escriba NET HELP NOMBRECOMANDO en el indicador de comandos para obtener
información detallada sobre cada comando. La desventaja de este comando es que no puede eje-
cutarse de manera remota. Tiene que abrir sesiones locales o remotas en el servidor que necesite
administrar para usar estos comandos.
Por otra parte, el comando SC puede ejecutarse en cualquier servidor al que tenga acceso. Su
estructura de comandos es como sigue:
SC \\nombreservidor query >nombrearchivo.txt
Donde \\nombreservidor es el nombre del servidor al que quiere acceder (déjelo en blanco
para el servidor local) y QUERY proporciona el estado de cada servicio. Escriba SC /? para conocer
más información. El uso del carácter angular (>) con el nombre del archivo canaliza automática-
mente el resultado del comando en un archivo de texto. Puede colocar una serie de estos coman-
dos en un archivo de comandos (utilizando la extensión .cmd) y usar el procedimiento SG-21
para generar automáticamente archivos de salida cada día. Esto le ayuda a identificar rápida-
mente el estado de todos los servicios en su red, porque todo lo que tiene que hacer es revisar los
resultados del archivo de texto para ver el estatus de servicios en cada servidor.
Por último, puede usar una secuencia de comandos de PowerShell para realizar la misma
acción. Ésta tiene una extensión .ps1 y debe ejecutarse en un sistema que tenga instalado Power-
Shell. Utilice la siguiente secuencia de comandos para consultar el estatus del servicio:
get-service
SG-03: Veriicación del registro de eventos de sistema

Otra herramienta de diagnóstico útil es el registro de eventos de sistema. Detalla informa-

ción acerca del estado general y la operación del servidor. Se registra cada evento significativo y
se ingresa una descripción de éstos. Los eventos pueden estar en uno de tres estados.
• Información Un evento ha ocurrido y es lo suficientemente importante como para regis-

trarse. Estos eventos por lo general registran la operación normal del servidor.
• Advertencia Ha ocurrido un error no crítico y así lo advierte un registro en el Registro de
eventos. Vigile este tipo de eventos con cuidado, porque pueden convertirse rápidamente en
errores.
• Error Ha ocurrido un error crítico y debe investigarse y repararse. Todos estos eventos deben
llevar a la investigación y reparación. Windows Server 2008 a menudo presentará información
detallada acerca de avenidas de investigación.
Para verificar el registro de eventos de sistema en los servidores en que trabaja:
1. Lance la consola Administrador del servidor correspondiente al servidor apropiado (área Inicio
rápido | Administrador del servidor u otra ubicación del acceso directo).
2. Vaya al Registro de eventos de sistema (Diagnóstico | Visor de eventos | Registros de Windows
| Sistema).
3. Identifique cualquier error o advertencia. Si aparece uno, tome las acciones apropiadas.
Tome nota de cualquier acción correctiva que necesite emprender. Use el procedimiento
SG-06 para registrar los diferentes eventos que investiga cada día.
SUGERENCIA Puede ver automáticamente cualquier evento crítico en cada servidor al ir a la página
de inicio del Registro de eventos, donde se desplegará un resumen de los eventos más importantes.
También puede restablecer el tamaño de cada registro de Windows. Para ello, haga clic con el
botón derecho en el nombre del registro, en el panel de árbol de la MMC, y seleccione Propieda-
des. Establezca el tamaño de registro máximo y cualquier otra opción que sea relevante para sus
necesidades.
PRECAUCIÓN Si establece el archivo de registro en bloqueo (No sobrescribir eventos) una vez que
llega al tamaño máximo del registro, Windows automáticamente apagará el servidor hasta que se
limpie el archivo de registros.
Utilice el comando WEVTUTIL para crear secuencias de comandos:
wevtutil qe system >nombrearchivo.txt
Tenga cuidado, porque este comando generará una tonelada de texto XML. Una secuencia
de comandos de PowerShell consistiría de:
get-eventlog system|nombrearchivo salida.txt
Este comando generará sólo texto, en oposición a la salida de XML.
SG-04: Veriicación del Registro de eventos de seguridad

Si su organización ha habilitado la auditoría de acceso, será importante que compruebe los

Registros de Windows de seguridad de manera diaria para asegurar que no hay eventos indesea-
bles ocurriendo en su red. La habilitación de la auditoría se analizó en el capítulo 10.
SUGERENCIA Como opción predeterminada, los eventos de auditoría están habilitados en Windows
Server 2008; por tanto, sólo necesita reinarla aún más y agregarla a los objetos que quiera veri-
PARTE VII
icar. Además, los registros de Windows de seguridad están deinidos a 132 megabytes (MB) y se
sobrescriben a medida que el registro se va llenando.
Siga el procedimiento SG-03 para revisar los registros de Windows de seguridad. Cambie
“Sistema” por “Seguridad” en todos los comandos.
También puede usar el comando AUDITPOL para controlar la directiva de auditoría que esta-
blezca. Use AUDITPOL /? para obtener más información sobre este comando.
SUGERENCIA Para conocer más información sobre la manera de usar el registro de eventos a su
tamaño completo, lea la serie de artículos titulados: “Manage Change in Windows Vista” (Admi-
nistre el cambio en Windows Vista”) en www.reso-net.com/download.asp?FIchier=A195.
SG-05: Administración de las cuentas de servicio y administrativas

Las cuentas administrativas son bienes muy preciados en toda red. Ya dejaron de existir los
días donde se tenían que entregar casi a cualquier persona que se quejara lo suficientemente
fuerte. En la red de Windows Server 2008 de hoy en día, puede y debe definir sólo la cantidad
correcta de derechos de acceso para todas y cada una de las personas que interactúan con su
sistema. Por tanto, debe tener muy pocas cuentas administrativas en el nivel de dominio o de
bosque, y tener una cantidad mayor de cuentas administrativas de especialidad que se concen-
tran en otorgar sólo la cantidad correcta de derechos de acceso para hacer un trabajo específico.
Estas cuentas y los accesos que otorgan deben administrarse, o por lo menos revisarse, a diario.
Varios procedimientos soportan la asignación de derechos apropiados y permisos a cuentas
administrativas. Algunos se asignan mediante la composición de grupos de seguridad integrados,
como operadores de servidor o de copia de seguridad, mientras otros se asignan mediante la asocia-
ción con las directivas de asignación de derechos de usuario a las cuentas, o más bien, a los grupos
que contienen estas cuentas. Tres herramientas dan soporte a la asignación de derechos apropiados:
• Utilice Usuarios y equipos de Active Directory para crear las cuentas y asignarlas a grupos
administrativos integrados o personalizados.
• Utilice la consola Administración de directivas de grupo para localizar y editar el objeto de
directivas de grupo (GPO, Group Policy Object) apropiado.
• Use el Editor de directivas de grupo para asignar realmente los derechos de usuario.
Además, podría usar el Administrador del servidor o la consola Administración de equipos
para asignar derechos locales a grupos de dominio y cuentas.
Para modificar los derechos de usuario, use el procedimiento CD-33 para editar el GPO
apropiado, por lo general uno que afectará a todos los objetos que quiera modificar. Localice la
configuración Asignación de derechos de usuario (Configuración del equipo | Directivas | Confi-
guración de Windows | Configuración de seguridad | Directivas locales | Asignación de derechos
de usuarios) y asigne configuraciones apropiadas para cuentas administrativas. Recuerde que
siempre es más fácil asignar derechos a un grupo que a objetos individuales. Es una buena idea
reagrupar cuentas administrativas en grupos administrativos. Utilice el procedimiento CD-33
una vez más para asegurar el uso apropiado de estas cuentas.
Además, en la red empresarial de hoy, debe administrar cuentas de servicio (cuentas que tienen
otorgados los suficientes privilegios administrativos para dar soporte a la operación de servicios
específicos de su red). Por ejemplo, podríamos usar cuentas de servicio para ejecutar motores anti-
virus o tareas programadas (consulte el procesamiento SG-21). La ventaja del uso de una cuenta de
servicio para operar un servicio determinado o tareas automatizadas es que también puede usar el
Registro de eventos de seguridad para revisar la operación apropiada del servicio. Un evento correc-
to se escribe en el registro cada vez que él utilice su acceso privilegiado o que se inicie sesión en él.
Las cuentas de servicio, en particular, deben tener estas configuraciones y propiedades específicas:
• La cuenta debe tener un nombre complejo.
• La cuenta debe tener una contraseña compleja de por lo menos 15 caracteres de largo.
• La contraseña nunca caduca.
• El usuario no puede cambiar la contraseña.
• Actuar como parte del sistema operativo.
• Iniciar sesión como servicio.
PRECAUCIÓN Las últimas dos coniguraciones deben aplicarse con mucho cuidado, sobre todo
Actuar como parte del sistema operativo, porque otorga un nivel de acceso extremadamente alto a
la cuenta del servicio.
Las dos últimas configuraciones deben establecerse en un GPO en la Directiva de seguri-
dad local (LSP, Local Security Policy) bajo la configuración Asignación de derechos de usuario.
Recuerde reagrupar las cuentas de servicio en grupos, si puede.
Las cuentas de servicio presentan la sobrecarga operativa adicional de requerir cambios
regulares de la contraseña. Esto no puede limitarse a cambiar simplemente la contraseña en
Usuarios y equipos de Active Directory, porque cuando las cuentas de servicio se asignan a servi-
cios, debe darles la contraseña de la cuenta que corresponde para que funcione apropiadamente.
Esto significa que también debe modificar la contraseña en el cuadro de diálogo Propiedades del
servicio. Utilice el procedimiento SG-02 para hacerlo.
SG-06: Mantenimiento del registro de actividad

Parte de su trabajo también consiste en registrar lo que hace y lo que necesita hacer para man-
tener o reparar la red de manera constante. Ésta es la razón por la que debe mantener un registro
diario de actividades. Lo ideal es que este registro sea electrónico y transportable, para que pueda
hacer anotaciones cuando lo necesite. Puede almacenarse en una Tablet PC o una Pocket PC que
lleve consigo todo el tiempo. La PC es más útil, porque soporta una versión de trabajo completa de
Windows y puede permitirle ejecutar máquinas virtuales para simular situaciones problemáticas.
Además, Microsoft OneNote es idealmente adecuado para registrar actividades diarias.
Si ninguno de los dos dispositivos está disponible, debe por lo menos usar un bloc de regis-
tro en papel que pueda llevar a todos lados todo el tiempo. Puede mantener este registro de la
manera que más se le acomode, pero en ocasiones es mejor anotar actividades a medida que las
realiza que esperar una hora específica del día.
NOTA Un registro diario de actividades en formato de Microsoft Excel se encontrará en el sitio Web
que acompaña este libro en www.Reso-Net.com/livre.asp?p=main&b=WS08.
SG-07: Actualice la deinición antimalware

PARTE VII
PRECAUCIÓN La protección general contra virus y malware es un elemento clave de un sistema
de defensa integrado. Resulta esencial para asegurarse de que esa herramienta está trabajando
apropiadamente de manera continua.
Ésta es la primera tarea de“marcador de posición”. Está aquí porque necesita realizar esa tarea
en los servidores sin importar otra cosa, pero no es una tarea esencial de Windows Server 2008.
Se requieren tres tareas cotidianas para la administración de la protección antimalware:
• Revise los registros de administración de virus o malware para asegurarse de que no se han
encontrado virus en el último día.
• Revise su consola de administración de virus o malware para determinar que sus firmas están
actualizadas. Vuelva a configurar el programa de actualización, si no es apropiado o si aumen-
tan las amenazas.
• Realice rastreos de protección aleatorios en los recursos compartidos de archivo, las aplicacio-
nes y las unidades de sistema para asegurarse de que no están infectados.
Use la consola de administración de virus o malware para configurar las acciones apropia-
das. En algunos motores, la mayoría de esas tareas pueden automatizarse y las consolas pueden
alertar en caso de encontrar malware.
SG-08: Administración de informes de tiempo de actividad
Frecuencia de la actividad: semanal
Una vez a la semana, debe producir un informe de tiempo de actividad para todos los servidores.
Esto le ayuda a llevar registro del estatus de varios servidores e identificar cuáles configuraciones son
mejores en su entorno. Hay varias herramientas que puede usar para producir estos informes.
El comando SYSTEMINFO da la información sobre el servidor que está examinando, además
del tiempo que ha estado ejecutándose. Otra herramienta, UPTIME, está diseñada específicamen-
te para informar sobre el tiempo de actividad del servidor. Esa herramienta sólo está disponible
como descarga. Vaya al artículo 232243 de la base de datos de conocimientos para obtenerla
(http://support.microsoft.com/kb/232243).
Con el uso de la herramienta y un poco de ingenio, se producen automáticamente informes
del tiempo de actividad:
1. Descargue e instale UPTIME.EXE en la carpeta C:\TOOLKIT.
NOTA Cree una carpeta personalizada llamada Toolkit en la unidad de sistema de sus servidores
para que los administradores puedan compartir las herramientas incluidas allí. Asegure esta car-
peta con los permisos apropiados; por ejemplo, elimine el grupo Usuarios autentiicados y asigne
derechos de acceso sólo al grupo local Administradores.
2. Cree un archivo de comandos que contenga la siguiente línea de código, una para cada servi-
dor de su red:
uptime \\nombreservidor
3. Guarde el archivo de comandos cuando haya terminado.

4. Utilice el procedimiento SG-21 para asignar el archivo de comandos a una tarea programada
semanal.
5. En la tarea programada, utilice el siguiente comando para asignar salida a un archivo de texto:
archivocomandos.cmd >nombrearchivo.txt
El comando UPTIME creará el informe cada semana. Todo lo que tiene que hacer es localizar
el archivo de salida y revisar los resultados.
PRECAUCIÓN Asegúrese de que la herramienta UPTIME.EXE esté disponible para la tarea progra-
mada. Lo ideal es que incluya la ruta de acceso al comando en el archivo de comandos, de modo
que la tarea programada pueda encontrar el comando cuando lo necesite.
SG-09: Administración de secuencia de comandos

Las secuencias de comandos son una parte esencial de la administración de red de Win-
dows. Windows Server da soporte a motores de secuencia de comandos: archivos de comando,
PowerShell y Visual Basic Scripts (VBScripts). Lo ideal es que use las secuencias de comandos de
PowerShell lo más posible, porque es el entorno más simple y está completamente orientado ha-
cia la administración del sistema. Pero en muchos casos dependerá de secuencias de comandos
de VBScript; por ejemplo, para crear secuencias de comandos de inicio de sesión. Estas secuen-
cias de comandos pueden ejecutarse en cualquier modo gráfico (orientado a los usuarios) o de
caracteres (secuencias de comandos administrativas). La ejecución de una secuencia de coman-
dos en cualquier modo está controlada por el comando que se utilice para activarlos:
wscript nombresecuencia
csript nombresecuencia
donde WSCRIPT se ejecuta en modo gráfico y CSCRIPT se ejecuta en modo de caracteres.
Con la proliferación de virus y caballos de Troya en secuencia de comandos, debe asegurarse
de que las secuencias de comandos que se ejecutan sean seguras. La mejor manera de hacerlo
consiste en firmarla con un certificado digital. En primer lugar, deberá obtener el certificado. Esto
puede hacerse a partir de una autoridad de certificados de terceros, o puede hacerlo usted mismo
si decide usar sus propios servidores certificados (mediante los Servicios de certificado de Active
Directory). Utilice el procedimiento CD-29 para ello.
NOTA Si crea toda su secuencia de comandos mediante PowerShell de Windows, no tendrá que
irmarlos, porque todas las secuencias de comandos de PowerShell están irmadas digitalmente,
como opción predeterminada.
Cada secuencia de comandos que cree y firme debe estar completamente documentada. Esta
documentación debe incluir toda la información pertinente para la secuencia de comandos y
debe revisarse y mantenerse actualizada de manera semanal.
Además de una secuencia de comandos de inicio de sesión, tal vez quiera desplegar un men-
saje previo al inicio de sesión para sus usuarios. Esto le ayuda a asegurarse de que se advierte
previamente a los usuarios de las consecuencias legales del mal uso del equipo y la información
de tecnología de la información. Una vez más, esto se hace mediante una GPO. Use el procedi-
miento CD-33 para editar el GPO apropiado y modificar los siguientes parámetros para desple-
gar un mensaje de inicio de sesión:
PARTE VII
• Configuración del equipo | Directivas | Configuración de Windows | Configuración de seguri-
dad | Directivas locales | Opciones de seguridad | Inicio de sesión interactivo: Título de mensa-
je para los usuarios que intentan iniciar una sesión.
• Configuración del equipo | Directivas | Configuración de Windows | Configuración de seguri-
dad | Directivas locales | Opciones de seguridad | Inicio de sesión interactivo: texto de mensaje
para los usuarios que tratan de iniciar una sesión.
SG-10: Reinicio del servidor

PRECAUCIÓN Si decide utilizar este comando en servidores hosts, necesita asegurarse de que no lo
realiza en los modos activo y pasivo de su clúster al mismo tiempo. Utilícelo en uno, espere casi
una hora y después aplíquelo en el otro. Al apagar un nodo automáticamente se forzará a que las
máquinas virtuales que se ejecuten en ese nodo se pasen al otro de modo que puedan continuar
proporcionando servicios al usuario inal.
Desde el lanzamiento de Windows NT por parte de Microsoft, sobre todo NT versión 4 en

1996, a casi todos los administradores de sistemas les ha parecido inteligente reiniciar de mane-
ra regular los servidores que ejecutan este sistema operativo para limpiar la memoria de acceso
directo y actualizar el sistema de manera general. Desde entonces, Microsoft ha invertido un
importante esfuerzo para limitar e incluso evitar por completo este procedimiento.
PRECAUCIÓN Se recomienda fuertemente que empiece por examinar la manera en que Windows
Server 2008 opera dentro de su red antes de seguir adelante con el uso de esta práctica. Encon-
trará que los servidores WS08 ya no requieren reinicios regulares. En realidad, se sorprenderá del
nivel de servicio que puede lograr con este sistema operativo. Esto se verá en la evidencia dejada
en los informes de tiempo de actividad que produzca con el procedimiento SG-08.
Si percibe que aún necesita realizar esta actividad de manera regular, puede usar el coman-
do shutdown desde la línea de comandos para apagar remotamente y reiniciar los servidores. El
siguiente comando apaga y reinicia un servidor remoto:
shutdown -r -f -m \\nombreservidor
Donde -R solicita un reinicio, -F fuerza el cierre de aplicaciones en ejecución y -M especifica

la máquina que quiere que se apague. Al igual que con todos los comandos del modo de caracte-
res, puede crear un archivo de comandos que incluya un comando para cada servidor que quiere
apagar. Si coloca comandos de cierre en un archivo de comandos, también debe usar el interrup-
tor -C para agregar un comentario de cierre al comando:
shutdown -r -f -m \\nombreservidor -c “Weekly Reboot Time”
Use el procedimiento SG-21 para asignar el archivo de comandos a una tarea programada.
NOTA El comando de cierre omite automáticamente el Rastreador de eventos de apagado (un cuadro
de diálogos que normalmente debe completarse cuando apaga un servidor Windows Server 2008 en
ejecución). Para rastrear los eventos de apagado, siempre agregue el interruptor -c al comando.
El Rastreador de eventos de cierre es una herramienta que Windows Server 2008 utiliza para
registrar información de cierre y reinicio. Almacena su información en los registros de eventos y
puede verse mediante Administrador del servidor | Diagnóstico | Visor de eventos | Registros de
Windows. Puede controlarse por medio de dos configuraciones:
• Configuración del equipo | Directivas | Plantillas administrativas | Sistema | Mostrar rastreador
de eventos de apagado.
• Configuración del equipo | Directivas | Plantillas administrativas | Sistema | Activar la caracte-
rística Datos de estado del sistema del rastreador de eventos de apagado.
Utilice el procedimiento CD-33 para modificar el GPO apropiado. Éste debe afectar a todos
los servidores.
SG-11: Revisión o actualización de directivas de seguridad

Frecuencia de la actividad: mensual
La directiva de seguridad es la herramienta que representa el núcleo de su programa de

seguridad. Determina todo, incluida la manera de responder a brechas de seguridad y de prote-
gerse de ellas. Sirve para identificar cuáles estándares de seguridad comunes desea implementar
dentro de su organización. Esto incluye directivas y procedimientos técnicos y no técnicos. Un
ejemplo de una directiva técnica serían los parámetros de seguridad que establecerá en la puesta
en funcionamiento de cada equipo de su organización. Una directiva no técnica trataría con los
hábitos que los usuarios deben desarrollar para seleccionar contraseñas complejas y protegerlas.
Por último, necesitará identificar los parámetros para cada directiva que defina.
Su verificación mensual de la directiva de seguridad debe incluir una revisión de todos sus
elementos y responder preguntas como:
• ¿Cuál es la eficacia de su programa de comunicaciones y usuarios? ¿Debe mejorarla?
• ¿Cuál es la eficacia de sus estrategias de seguridad? ¿Debe reforzarlas?
• ¿Su personal administrativo está siguiendo todos los principios de seguridad?
• ¿Existen brechas posibles que no se han identificado?
• ¿La nueva tecnología es segura? ¿Cuál es el impacto en su estrategia de seguridad global?
Documente y comunique todos los cambios que haga durante esta revisión.
SG-12: Veriicación de parches de seguridad

Actividad de la frecuencia: mensual
Los parches de seguridad son un factor vital en cualquier entorno de cómputo. Pero si sus
sistemas operativos están diseñados apropiadamente y sus servidores sólo ejecutan los servicios
requeridos para dar soporte a esta función, lo más probable es que puedan limitar su verificación
de parches de seguridad disponibles a una revisión mensual.
Microsoft ofrece varias herramientas y técnicas con Windows o sin él para realizar esta activi-
dad. Ofrece notificación por correo electrónico para boletines de seguridad. Regístrese para éstos
y otros boletines de Microsoft en www.microsoft.com/technet/security/secnews/default.mspx.
PARTE VII
Para ello necesitará una cuenta de Microsoft Passport. Si no tiene una, siga las instrucciones en el
sitio para obtenerla.
Microsoft no es la única organización que envía boletines de seguridad. Una fuente excelen-
te de este tipo de información es el SANS Institute. Puede suscribirse a boletines de SANS en
www.sans.org/newsletters.
Además, Windows Server 2008 incluye actualizaciones automatizadas. Esto significa que puede
descargar previamente correcciones activas y actualizaciones, e indicarle cuando están listas para
instalación. Esta característica también puede modificarse para indicarle a todas las máquinas de su
red de información que obtengan información de parches de un servidor de Internet central. Una
vez más, se trata de configuraciones de GPO. Se ubican en Configuración del equipo | Directivas |
Plantillas administrativas | Componentes de Windows | Windows Update, e incluyen:
• Conigurar Autorizaciones automáticas En un entorno corporativo, debe usar el valor 4
para descargar e instalar actualizaciones de acuerdo con un calendario mensual fijo.
• Especiicar la ubicación del servicio Windows Update en la intranet Asigne el nombre
del servidor del que pueden descargarse las actualizaciones; utilice el nombre DNS completo
del servidor.
• No reiniciar automáticamente en instalaciones de Actualizaciones automáticas Use
este parámetro para evitar que los servidores se reinicien después de la instalación de actuali-
zaciones. Los servidores pueden reiniciarse de manera regular con el procedimiento SG-10.
Utilice el procedimiento CD-33 para evitar el GPO apropiado. Éste debe aplicarse a servido-
res únicamente. Otro GPO debe establecerse de manera similar para estaciones de trabajo, pero
utilizando, de preferencia, un servidor de origen de intranet diferente. Estos parámetros deben
usarse junto con Windows Server Updates Services (WSUS). Utilice el servidor WSUS para va-
lidar las correcciones de seguridad y las actualizaciones que requiere en su entorno corporativo.
Documente todos los cambios.
NOTA Para descargar e instalar WSUS, busque “Microsft Server Update Services” en
http://technet.microsoft.com/en-us/wsus/default.aspx.
También puede usar el Microsoft Baseline Security Analyzer (MBSA) para analizar el estatus
de correcciones activas y los service pack de sus sistemas. MBSA está disponible en
www.microsoft.com/technet/security/tools/mbsahome.mspx.
Como el archivo de configuración de MBSA corresponde al Instalador de Windows, puede
instalarlo interactivamente o utilizar el procedimiento CD-15 para instalarlo en varios siste-
mas de destino. MBSA también puede usarse para rastrear un solo sistema o una red completa.
Incluso puede rastrear segmentos de red con base en los rangos de direcciones del protocolo de
Internet (IP, Internet Protocol). Para rastrear un sistema:
1. Lance MBSA (menú Iniciar | Todos los programas | Microsoft Baseline Security Analyzer).
2. Seleccione Scan a Computer.
3. Utilice el nombre del equipo o su dirección IP y seleccione las opciones que desee usar en el
rastreo. Haga clic en Start Scan (vea la figura 13-5).
FIGURA 13-5 Ejecución de un rastreo de equipo con MBSA.
4. Consulte el informe en el panel de detalles de MBSA cuando se haya completado el rastreo.

Los informes se guardan automáticamente con el nombre de dominio, el nombre del equipo y
la fecha en la carpeta \%USERPROFILE\SECURITY SCANS directamente bajo Usuarios.
PRECAUCIÓN Almacene estos informes cuidadosamente porque detallan información conidencial

acerca de sus sistemas.
SG-13: Actualización de services packs y correcciones activas

SUGERENCIA Obtenga Microsoft Windows Server Update Services 3.0 Operations

Guide en http://technet2.microsoft.com/windowsserver/en/library/9b65850d-17a0-440e-
9cad-2eb881011f5f1033.mspx?mfr=true.
La mejor manera de administrar actualizaciones es mediante una herramienta como Win-

dows Server Update Services (WSUS), porque una vez que se ha aprobado una actualización
en WSUS, se instalará automáticamente en todos los sistemas de destinos y se establecerán sus
GPO apropiadamente (consulte el procedimiento SG-12). La mejor manera de ejecutar WSUS es
mediante dos entornos: el entorno de producción y un laboratorio de prueba. Tenga unas cuantas
máquinas de prueba (PC y servidores) vinculadas al servidor de laboratorios de prueba. Use el
laboratorio de prueba para aprobar actualizaciones:
1. Lance la consola WSUS en el servidor de prueba al ir al menú Iniciar | Herramientas adminis-
trativas | Windows Server Update Service o mediante el Administrador del servidor.
2. Haga clic en Approve Updates para revisar las actualizaciones disponibles. Ordene las actuali-
zaciones con base en el estatus. Seleccione las que se apliquen a su entorno.
3. Haga clic en el botón Approve para aplicar cada una de las actualizaciones que seleccionó.
PARTE VII
Espere hasta que se hayan aplicado en sus máquinas de prueba y reinícielas, si es necesario.
4. Verifique la operación apropiada del sistema de prueba después de la aplicación. Si hay un
problema, elimine las actualizaciones de una en una, hasta que el problema se corrija, para
identificar la actualización con falla. Vuelva a probar las actualizaciones restantes. Observe que
las actualizaciones estén aprobadas.
5. Vaya a su servidor de producción de WSUS, y apruebe las actualizaciones para distribución a
sus sistemas de producción.
Las correcciones activas y las actualizaciones se instalan automáticamente mediante WSUS,
pero éste no es el caso de los service packs. Éstos tienden a requerir una preparación más amplia
para implementación e instalación. Su preparación incluye pruebas mucho más completas que
las correcciones activas porque los service packs afectan a demasiadas áreas de un servidor. Una
vez que un service pack se ha evaluado y aprobado, utilice el procedimiento CD-08 para imple-
mentarlo (a menos que use una herramienta de implementación más robusta, que no dependa
de la instalación del software de las directivas de grupo).
SG-14: Administración del inventario

Una de las tareas que debe realizar por lo menos mensualmente es administrar el inventario.
Incluye inventarios de hardware y software. Puede tener o no una herramienta de administración
de inventarios de terceros en su red. Si la tiene, estupendo; su tarea está hecha. Si no, necesitará
usar otras herramientas. Microsoft ofrece la herramienta Microsoft Inventory Analysis (MSIA).
No administra el inventario de todo el software, pero sí administra todo el software de Microsoft.
Para descargar MSIA, vaya a www.microsoft.com/resources/sam/msia.mspx.
MSIA es una herramienta basada en asistente que le permite realizar tres tareas:
• Rastrear un equipo local en busca de productos de Microsoft.
• Preparar un archivo de entrada de línea de comandos que incluya todos los parámetros de
rastreo que quiera usar.
• Ejecutar un rastreo utilizando un archivo de entrada de línea de comandos previamente pre-
parado.
Además, le permite rastrear sistemas locales y remotos, toda una red, o todo a la vez. La
instalación se basa en el servicio Instalador de Windows. Puede instalarlo interactivamente o usar
el procedimiento CD-15 para instalarlo en equipos de destino. Para crear un archivo de entrada
de línea de comandos:
1. Lance MSIA (menú Iniciar | Todos los programas | Microsoft Software Inventory Analyzer).
Haga clic en Next.
2. Seleccione Scan Using Custom Settings y Create Custom Settings. Haga clic en Examinar para
seleccionar la carpeta externa y asigne un nombre al archivo de salida. Tendrá una extensión
.cli para entrada de línea de comandos. Haga clic en Save para crear el archivo. Haga clic en
Next para seguir adelante.
3. Seleccione el ámbito del rastreo: Local Computer, Network o Report Consolidation. Haga clic
en Next.
PRECAUCIÓN Si seleccionó Network, deberá proporcionar credenciales apropiadas para ejecutar el

rastreo en todos los sistemas.
4. En el cuadro de diálogo Download Database Files, haga clic en Download. MSIA irá al sitio
Web de Microsoft y descargará los últimos archivos de datos para los productos de Microsoft.
Se le pedirá que acepte un certificado de Microsoft para la instalación de la base de datos.
Haga clic en Yes. Haga clic en OK cuando la descarga esté completa. Haga clic en Next.
5. Seleccione los productos que desea rastrear y haga clic en Add (puede usar CONTROL-clic para
seleccionar más de un producto.) Seleccione Save These Products As The Default y luego haga
clic en Next.
6. Seleccione el formato o los formatos del informe. Haga clic en Browse para seleccionar la car-
peta del informe y déle nombre al archivo. Haga clic en Save para crear el archivo. Haga clic
en Next para seguir adelante.
7. Puede elegir consolidar reportes de resumen. Esto es útil para administración. Haga clic en Next.
8. Puede seleccionar que se envíe el informe de resumen por correo electrónico a alguien (o pue-
de enviarlo más adelante). Si necesita enviarlo a un grupo, cree un grupo distribuido e ingrese
aquí su dirección de correo electrónico.
9. No seleccione Save Settings As Default, porque está creando un archivo de entrada de línea
de comandos.
10. Haga clic en Finish para cerrar el archivo de entrada de línea de comandos.
Para ejecutar un rastreo de MSIA:
1. Lance MSIA (menú Iniciar | Todos los programas | Microsoft Software Inventory Analyzer).
Haga clic en Next.
2. Seleccione Scan Using Custom Settings y Load Existing Custom Settings. Si el archivo desple-
gado no es el que quiere utilizar, haga clic en Browse para seleccionar la carpeta y el archivo
que necesite. Haga clic en Open para cargar el archivo. Haga clic en Next para continuar.
MSIA rastrea los sistemas con base en las configuraciones de archivo.
3. Seleccione View Reports Now y haga clic en Finish. Ésta es una estupenda herramienta para
verificar el inventario de software de Microsoft.
Una segunda herramienta, útil y gratuita, para la administración de inventarios es el Mi-
crosoft Baseline Security Analyzer (MBSA) mencionado en el procedimiento SG-12. Como
opción predeterminada, se utiliza MBSA para rastrear sus sistemas de red en busca de parches
de seguridad faltantes, y los informes se almacenan en archivos localizados en el sistema que eje-
cuta MBSA. Éste incluye un poderoso conector para Microsoft Visio. Al vincular MBSA con Visio
mediante ese conector, automáticamente generará un inventario gráfico de su red. Haga clic en
cualquier elemento en la vista gráfica, y verá los detalles del sistema y el software que ejecuta. Por
supuesto, debe tener Visio, pero ¿qué administrador de tecnología de la información no necesi-
ta una red poderosa que tenga programas como éste? Obtenga el conector en www.microsoft.
com/technet/security/tools/mbsavisio.mspx.
SG-15: Evaluación de nuevo software

Frecuencia de la actividad: ad hoc
PARTE VII
De vez en cuando, también debe darse el tiempo de revisar el nuevo software de adminis-
tración. El objetivo de esa tarea es ver si puede reducir su carga de trabajo al integrar un nuevo
producto operativo. Un buen ejemplo de una herramienta operativa muy productiva es el System
Center Operations Manager 2007 (SCOM). Es muy eficaz porque vigila los eventos del sistema
en servidores y corrige automáticamente el comportamiento que puede ser dañino, además de
notificarle de su corrección.
Por otra parte, si su empresa es de un tamaño que no permite una herramienta tan compleja
como SCOM, tal vez prefiera buscar otra herramienta con capacidades similares. Muchas de las
tareas administrativas que realiza también pueden hacerse mediante secuencias de comandos,
como ya ha visto en varias de las tareas descritas antes. También pueden hacerse con herramien-
tas de bajo costo o dominio público. Dos buenas fuentes de información de herramientas son
www.MyITForum.com y www.TechRepublic.com.
Asegúrese de no adquirir herramientas cuyo uso sea significativamente diferente entre sí.
Eso le ayudará a limitar el número de herramientas o interfaces que usted y sus compañeros
administradores necesitarán aprender. Documente cualquier nueva adición a su red.
SG-16: Directiva de restricción de software

La mejor manera de asegurarse de que sólo puedan ejecutarse secuencias de comando fir-
madas en su red consiste en utilizar directivas de restricción de software (SRP, Software Restric-
tion Policies). Las SRP proporcionan verificación de secuencia de comandos y programa en una
de cuatro maneras:
• Reglas de hash
• Reglas de certificado
• Reglas de ruta de acceso
• Reglas de zona de red
Las dos más seguras y simples de usar son las reglas de hash y de certificado. Ambas pueden
aplicarse a secuencia de comandos y programas como paquetes de instalación de software (por
lo general en el formato del Instalador de Windows o .msi). Aquí se muestra cómo aplicar o veri-
ficar reglas SRP basadas en certificado:
1. Utilice el procedimiento CD-33 para editar el GPO apropiado. Puede aplicarse a todos los
sistemas de destino.
2. Haga clic con el botón derecho en Directivas de restricción de software (Configuración de
usuario | Directiva | Configuración de Windows | Configuración de seguridad | Directiva de
restricción de software) y seleccione Nuevas directivas de restricción de software del menú
contextual. Esto genera el entorno de SRP.
3. Haga doble clic en el elemento Cumplimiento del panel de detalles, y haga clic en Aplicar re-
glas de certificado. Asegúrese de que no está seleccionada la opción de bibliotecas (.dll). Haga
clic en Aceptar. Esto asegurará que sus reglas de certificado se apliquen.
4. Asegúrese de que las directivas de restricción del software estén establecidas en el panel de
árbol, y luego haga clic con el botón derecho en Reglas adicionales y seleccione Nueva regla
de certificado.
5. En el cuadro de diálogo Regla de nuevo certificado, haga clic en Examinar para localizar el
certificado que utiliza para firmar paquetes de instalación y secuencias de comando, seleccio-
ne Ilimitado como nivel de seguridad y escriba una descripción. Haga clic en Aceptar cuando
haya terminado.
6. Vaya a Directivas de restricción de software, y seleccione tipos de archivo designados del panel
de detalles. Observará que.wsc y .msi ya aparecen en la lista como extensiones restringidas. Puede
agregar cualquier otra extensión aquí. Haga clic en Aceptar para cerrar el cuadro de diálogo.
7. Seleccione Editores de confianza en la misma ubicación. Seleccione Definir esta configuración
de directiva, y acepte la configuración predeterminada. Bajo Comprobación de certificados,
seleccione ambos elementos. Haga clic en Aceptar cuando haya terminado.
PRECAUCIÓN Tiene la opción de eliminar a los administradores locales para que no se vean afecta-
dos por esta regla, pero hágalo con mucho cuidado.
Documente todos sus cambios. Coloque estos valores en un GPO que afecte a todas las PC y
los servidores de su red.
SG-17: Creación de una MMC personalizada

La administración y el manejo se realizan mediante la consola de Administración de Micro-

soft en Windows Server 2008 y, sobre todo, mediante la consola Administrador del servidor. Sin
embargo, no puede realizar dos tareas clave con esta consola:
• En primer lugar, no puede delegar ningún contenido del Administrador del servidor sin dar
acceso a alguien a toda la consola.
• En segundo lugar, no puede utilizar el Administrador del servidor para conectarse a un equipo
remoto.
La última tarea es clave, porque significa que los usuarios necesitarán alguna forma de capa-
cidad de inicio de sesión local para ejecutar el Administrador del servidor. Esto también significa
que no puede usar el Administrador del servidor para administrar ningún aspecto de una instala-
ción de Server Core.
Sin embargo, puede utilizar una MMC personalizada para vincular y administrar compo-
nentes de Server Core de manera remota. También puede utilizar una MMC personalizada para
delegar administración de tareas en los administradores responsables de cualquier aspecto único
de su operación.
Empiece por instalar las herramientas de administración remota del servidor (RSAT, Remote
Server Administration Tools). En WS08, agregue RSAT mediante el Administrador del servidor:
1. Haga clic con el botón derecho en Características y seleccione Agregar características.
2. Marque Herramientas de administración remota del servidor. Haga clic en Agregar servicios
de función necesarios y haga clic en Siguiente.
3. Haga clic en Siguiente hasta que obtenga la página Confirmación y luego haga clic en Instalar.
En Windows Vista, primero debe asegurar que se ha instalado el Service Pack 1. Luego, la
instalación de RSAT se realiza en dos pasos. El primero instala una actualización en el sistema
cliente y el segundo instala las propias herramientas.
PARTE VII
1. Empiece por instalar la actualización. La actualización de RSAT está disponible en el artículo
941314 de la base de conocimientos de Microsoft en http://support.microsoft.com/kb/941314.
Descargue e instale esa actualización. Haga doble clic en ella para lanzar el proceso de insta-
lación. Este proceso requiere derechos elevados y se realizan mediante el instalador indepen-
diente de Windows Update. Acepte el acuerdo de licencia para empezar la instalación. Una
vez que la instalación esté completa, las herramientas de administración local incluirán un
tema de ayuda para las herramientas de administración del servidor remoto.
2. A continuación, una vez que la actualización se haya instalado, debe habilitar la nueva carac-
terística RSAT de Windows. Vaya a Panel de control | Programas, y seleccione Habilitar o des-
habilitar características de Windows. Acepte el indicador de elevación del Control de cuentas
de usuario y vaya hacia abajo, a Herramientas de administración de servidor remoto. Obser-
vará que la sección RSAT está dividida en dos suscripciones: Herramientas de administración
de características y Herramientas de administración de funciones. Expanda ambas y marque
todas las herramientas (vea la figura 13-6).
3. Haga clic en Aceptar para lanzar la adición de estas herramientas.
Ahora está listo para crear la consola. Utilice el mismo procedimiento en WS08 o Vista.
Para crear una consola de la administración de Server Core, comience por la consola Ad-
ministración de equipos, que es una buena consola de propósito general. Además de todas las
características de la consola Administración de equipos, su consola personalizada debe incluir los
siguientes complementos:
FIGURA 13-6 Elección de herramientas de RSAT.

• Los tres complementos de Servicios de dominio de Active Directory

• Autoridad de certificación (debe especificar el servidor que se habrá de administrar)
• Administración del sistema de archivo distribuido (DFS, Distributed File System)
• DNS
• Administración de clúster de conmutación por error
• Administrador de recursos del servicio de archivos
• Administración de directivas del grupo
• Configuración y análisis de seguridad
• Plantillas de seguridad
• Administración de recursos compartidos y almacenamiento
• Explorador de almacenamiento
• Configuración de Terminal Services
Para crear esta consola:
1. Utilice Iniciar | Ejecutar para ejecutar el siguiente comando:
mmc /a %SystemRoot%\system32\compmgmt.msc
2. Esto lanza la consola Administración de equipos en el modo de edición. Empiece por utilizar
Archivo | Guardar cómo, para guardar la consola como ServerCoreMMC.msc bajo la carpeta
C:\TOOLKIT.
3. Luego utilice Archivo|Agregar o quitar complementos para abrir el cuadro de diálogo, asegú-
rese de elegir Administración de equipos bajo Complementos seleccionados y haga clic en el
botón Agregar.
4. Haga doble clic en cada uno de los complementos de la lista anterior. Haga clic en Aceptar
5. Haga clic en Aceptar para regresar a la consola.
6. Haga clic en Archivo | Opciones, asigne el nombre “Consola MMC de Server Core” a la conso-
la, asegúrese de que está establecida en modo de usuario acceso completo y quite la marca de
No guardar cambios a esta consola. Haga clic en Aceptar cuando haya terminado.
7. Utilice Archivo | Guardar, para guardar sus cambios.
Hay varios usos para esta consola, como verá, pero es básicamente la herramienta más co-
mún que utilizará para administrar su red de instalaciones de Server Core.
Para conectarla a cualquier sistema de Server Core, haga clic con el botón derecho en Admi-
nistración de equipos (local) y seleccione Conectar con otro equipo.
Utilice una variación de este procedimiento para crear consolas personalizadas para delega-
ción a otros administradores.
SG-18: Creación de la consola de administración del almacén de recursos

A medida que trabaja con el almacén de recursos, pronto se dará cuenta de que es absolu-
tamente necesaria una consola gráfica de administración de la máquina virtual. Por esta razón,
es una buena idea instalar dos instancias de la instalación completa de Windows Server 2008 de
x64 junto con la función Hyper-V en el almacén de recursos. Estas dos máquinas deben tener las
siguientes características:
FIGURA 13-7
Instalación de la función
Hyper-V en una instalación
PARTE VII
completa de WS08.
• Instale en máquinas virtuales utilizando el proceso de instalación completa delineado en el

capítulo 4 y en el procedimiento SG-19. Asegúrese de habilitar la administración remota en
cada máquina.
• Una las dos máquinas al almacén de recursos o el dominio. No una estas máquinas al dominio
de ofrecimientos de servicios virtuales. También puede usar la consola disponible en el RSAT de
una máquina de Windows Vista, pero como las dos máquinas de administración, esta máquina
de Vista no debe ser parte del dominio de los ofrecimientos de servicios virtuales.
• Instale la actualización requerida de Hyper-V, localícela en www.microsoft.com/downloads.
• Instale la función Hyper-V mediante el Administrador del servidor (vea la figura 13-7). No con-
figure una red virtual en estos sistemas, porque no hospedarán servidores, sino que serán usados
para administrar sólo hosts. También puede instalar sólo la consola mediante el RSAT.
• Una vez que las funciones estén instaladas y que los sistemas se hayan reiniciado, lance el
administrador de Hyper-V (menú Iniciar | Herramientas administrativas | Administrador de
Hyper-V o también puede utilizar el Administrador del servidor) y use el comando Conec-
tar con servidor, en el panel de acciones, para vincular todos sus servidores hosts. Explore el
directorio para localizar todos sus servidores hosts.
• Por último, conecte cada host y configure las opciones predeterminadas de almacenamiento
de la máquina virtual (vea la figura 13-8). Utilice Configuraciones de virtualización, en el panel
de acciones, para hacerlo. Recuerde que las máquinas virtuales y los discos duros virtuales
siempre deben localizarse en la unidad D:.
A partir de ahora, utilice estas dos máquinas para administrar su almacén de recursos.
SG-19: Puesta en funcionamiento del servidor

El tamaño del negocio que está ejecutando y el número de servidores dentro de él determi-
nará la frecuencia de esa tarea. Pero en algunos negocios se ponen en funcionamiento servidores
FIGURA 13-8 Cambio de los parámetros de ubicación predeterminada de la máquina virtual.
de manera regular, aunque sólo sea para reconstruir servidores antiguos y rediseñar su estruc-
tura de servicios.
La puesta en funcionamiento del servidor incluye una gran cantidad de actividades diferen-
tes. Como se analiza en el capítulo 4, Windows Server 2008 da soporte a diferentes métodos de
puesta en funcionamiento del servidor:
• Puesta en funcionamiento manual o interactiva Este método debe por lo menos basarse
en una lista de verificación completa.
• Archivo de respuesta no aprendida Este método se basa en un archivo de respuesta riguro-
so y completo y se usa principalmente para actualizar o para construir un servidor de referencia.
• Creación de imagen de disco con Sysprep Este método reproduce una imagen completa
de un servidor de referencia.
• Instalaciones remotas Este método construye un servidor a partir de un modelo capturado
y almacenado en el servidor de Servicios de implementación de Windows.
En el centro de datos dinámico, tiene dos procesos para puesta en funcionamiento. El pri-
mero está orientado al propio almacén de recursos y atiende la generación de un nuevo servidor
host. Los servidores pueden construirse de una de dos maneras.
• Puede depender de imágenes de disco o de procesos de instalación remota para generar un
nuevo servidor host.
• Si está usando almacenamiento compartido para sus servidores de hardware y ejecutando
el disco de sistema desde el almacenamiento compartido, entonces sólo necesita copiar esta
partición para crear una nueva imagen del servidor.
En cualquier caso, necesita crear una imagen de servidor de referencia y mantenerla a través
de Windows Updates. Y para utilizarla con el fin de sembrar otras instancias de servidor, debe
ejecutarla mediante el proceso Sysprep. Dependa de las instrucciones del capítulo 4 para ello.
PARTE VII
También recuerde que su servidor host debe tener por lo menos dos tarjetas de interfaz de red,
una para la administración de red virtual y una para la administración remota del host.
El segundo proceso de puesta en funcionamiento que necesita atender es el de las máquinas
virtuales. Debido a su naturaleza, se ponen en funcionamiento las máquinas virtuales con sólo
copiar los archivos que las conforman. Una vez más, necesita crear un servidor real de referencia
y convertirlo en una imagen creada con Sysprep. La ventaja de las máquinas virtuales es que
puede y debe copiar los archivos del servidor de referencia y luego usar esta copia para generar el
Sysprep.
NOTA Tenga en mente que no porque las máquinas virtuales se puedan crear en menos de 20
minutos debe crearlas a voluntad. Asegúrese de seguir controlando la proliferación de servidores.
Siempre debe tener una nueva directiva de justiicación de equipos puesta en funcionamiento.
SG-20: Recepción automática de irmas de antivirus o antimalware

Ésta es otra actividad de marcador de posición. Resulta esencial en cualquier estrategia

antivirus o antimalware. Trata con la configuración de su agente en la actualización de las firmas
de antivirus o de protección extremos para recuperar las actualizaciones de firmas y entregarlas a
todas las PC y los servidores de su red.
Ésta es una tarea que se realiza una sola vez y que no puede pasarse sin mencionar en una
lista de tareas administrativas del servidor. Debe complementarse con revisiones regulares en
varios sistemas para asegurar el funcionamiento apropiado de su servidor de actualización de
firmas de antivirus.
SG-21: Generación y veriicación de tareas programadas

El Programador de tareas es una de las herramientas sin la que los administradores no pue-
den vivir porque sirve para automatizar tareas recurrentes en una red. El Programador de tareas
en Windows Server 2008 se localiza bajo Configuración, en la Consola del Administrador del
servidor.
1. Haga clic en Programador de tareas en el Administrador del servidor (Configuración | Progra-
mador de tarea).
2. Haga clic en Crear tareas, en el panel Acciones.
3. Asigne un nombre a la tarea, junto con sus credenciales.
4. Vaya a la ficha Desencadenadores y seleccione Nuevo.
5. Seleccione el desencadenador apropiado. Los desencadenadores pueden ser horas o fechas,
además de eventos específicos.
6. Seleccione Al producirse un evento, como desencadenador de la tarea.
7. Elija Básica o Personalizada como configuración del evento:
a) La configuración básica le permite seleccionar cuál registro de eventos será el origen del even-
to, y luego cuál origen de eventos y finalmente cuál ID de evento buscar (vea la figura 13-9).
b) La configuración personalizada le permite crear un filtro de eventos, dejándole determinar
exactamente cómo debe lanzarse la tarea con base en una serie de condiciones filtradas.
8. Siga agregando las prioridades de la tarea, como condiciones, acciones y configuraciones.
Las tareas son mucho más poderosas en Vista y WS08 que antes. También puede generar la
tarea directamente desde el Visor de eventos. Aquí, repite gran parte del mismo proceso, excepto
que la tarea se genera desde el propio evento en lugar de hacerlo de otra manera.
Cuando cree una tarea automatizada desde el Visor de eventos, utilice el siguiente procedimiento:
1. Localice el evento al que desea adjuntar la tarea. Puede ir directo al evento o crear un filtro
para localizarlo.
2. Haga clic con el botón derecho en el evento para seleccionar Adjuntar tarea a este evento, o
utilice el panel de acciones para hacer clic en el mismo comando. Esto lanza automáticamente
el Asistente para tarea básica.
3. Ejecute los paneles del asistente para generar la tarea.
La ventaja de usar este método para crear la tarea es que automáticamente rellena toda la infor-
mación necesaria para generar el desencadenador del evento. La desventaja es que sólo puede crear
una tarea básica utilizando este método. Por supuesto, una vez que la tarea es creada, puede ir al pro-
gramador de tareas para agregar características y propiedades a la tarea, pero esto requiere más pasos.
El último método consiste en utilizar la línea de comandos para crear tareas. Por ejemplo,
podría usar:
schtasks /create /TN nombretarea /TR acción /SC ONEVENT /EC System /MO *
[System/EventID=númeroID]
donde nombretarea es el nombre que quiere asignar a la tarea, acción es la acción que se desarro-
llará y númeroID es el número de ID del evento que actuará como desencadenador de la tarea.
En este ejemplo, el registro de eventos de origen es el registro de sistema. El programa de la tarea
está basado en la ocurrencia del evento y se modifica para identificar el ID del evento.
FIGURA 13-9
Uso de la coniguración
básica para adjuntar
una tarea a un evento.
También puede utilizar el comando SCHTASKS en cada servidor para verificar el estatus de las
tareas programadas. Utilice el siguiente comando:
schtasks /query /s nombreequipo
PARTE VII
donde nombreequipo es el nombre DNS o la dirección IP de un servidor.
Utilice SCHTASKS /? para conocer más información.
SG-22: Creación o modiicación de plantillas de seguridad

Las plantillas de seguridad se utilizan para asignar propiedades de seguridad a servidores.

Como están asignadas como directivas de seguridad locales, sólo deben contener configuracio-
nes de seguridad básica, como seguridad de archivo, de registro y de servicio. Cree sus plantillas
de seguridad a partir de plantillas existentes, si puede.
NOTA Junto con GPO y el Asistente para coniguración de seguridad, las plantillas de seguridad y
la coniguración de seguridad son modos clave en que puede asegurar sus servidores restantes.
Las plantillas se usan para diversos fines. Pueden usarse para asignar configuraciones de se-
guridad a servidores, o para analizar configuraciones reales contra las almacenadas en la plantilla.
Ambas pueden realizarse en modo gráfico o de carácter.
NOTA Los procedimientos de generación de plantillas de seguridad se delinearon en el capítulo 10.
Para analizar o restablecer un servidor en modo gráfico:

1. Lance la consola MMC personalizada creada en el procedimiento SG-17.
2. Haga clic con el botón derecho en Configuración y análisis de seguridad, y seleccione Abrir
bases de datos.
3. En el cuadro de diálogo Abrir base de datos, localice la base de datos apropiada o escriba un
nuevo nombre de bases de datos, y luego haga clic en Abrir. La ruta de acceso predeterminada
es Documentos\Security\Database.
4. Seleccione la plantilla apropiada de la lista disponible y haga clic en Aceptar.
5. Para analizar su sistema, haga clic con el botón derecho en Configuración y análisis de seguri-
dad, y seleccione Analizar el equipo ahora.
6. Como toda operación de análisis o configuración requiere un archivo de registro, aparece un
cuadro de diálogo para preguntarle la ubicación de este archivo. La ruta de acceso predeter-
minada es Documentos\Security\Logs, y el nombre predeterminado es el mismo que el de la
base de datos. Escriba el nombre de un nuevo archivo de registro, utilice el botón Examinar
para localizar un archivo existente o haga clic en Aceptar para aceptar el nombre predetermi-
nado. El análisis empezará.
7. Una vez que el análisis esté completo, puede ver la diferencia de configuración entre la
plantilla y el equipo. Simplemente vaya a una configuración que desee ver y selecciónela. Las
diferencias (si las hay) se desplegarán en el panel de la derecha.
8. Puede modificar la configuración de la base de datos para que corresponda a los valores que
desea aplicar al moverse al valor apropiado y hacer doble clic en él. Seleccione Definir esta
directiva en la base de datos, modifique la configuración y haga clic en Aceptar. Repita con
cada valor que necesite modificar.
9. Utilice el botón derecho del ratón para desplegar el menú contextual de Configuración y análisis
de seguridad, y seleccione Guardar, para guardar las modificaciones que haga a la base de datos.
10. Para configurar un equipo con los valores de la base de datos, seleccione Configurar el equipo
ahora, del mismo menú contextual. Una vez más, necesitará especificar la ubicación y el nom-
bre del archivo de registro antes de que inicie la configuración.
Como opción, puede utilizar el comando SECEDIT para realizar esas tareas en la línea de
comandos. Utilice el siguiente comando para configurar un sistema:
secedit /configure /db nombrearchivo.sdb /log nombrearchivo.log /areas REGKEYS
FILESTORE SERVICES /quiet
Utilice el siguiente comando para analizar un sistema:
secedit /analyze /db nombrearchivo.sdb /log nombrearchivo.log /quiet
La última se puede establecer en una tarea programada al utilizar el procedimiento SG-21.
Utilice SECEDIT /? para conocer más información.
SG-23: Revisión del entorno técnico

De vez en cuando, también debe darse tiempo para revisar todo su entorno técnico y ver si
requiere cualquier cambio. Esta tarea suele emprenderse dos veces al año. Utilice su registro de
actividad y sus reportes de detección y solución de problemas para identificar áreas de mejora
para su red y los servicios que entrega. También podría instituir un área de sugerencias para el
usuario. La mejor manera de hacer esto consiste en crear un alias de correo electrónico de suge-
rencias y distribuirlo a los usuarios.
Documente cada cambio propuesto en un caso de negocios para obtener fondos y aproba-
ción para el cambio. En realidad, documente cuidadosamente cada cambio que implemente.
SG-24: Documentación del sistema y la red

También debe darse tiempo para revisar su sistema y documentación de red de manera ad
hoc. ¿Está actualizada? ¿Describe con exactitud su entorno real? Ésa no es una tarea que muchos
de nosotros realizaríamos como administradores de sistema; sin embargo, es necesaria. Utilice las
herramientas apropiadas como Microsoft Office y Visio para elaborar su documentación (consulte
el procedimiento SG-14).
Además, Microsoft proporciona una serie de herramientas que documentan automáticamen-
te ciertos aspectos de la red. Éstas son Microsoft Product Support’s Reporting Tools, y pueden
encontrarse al buscar su nombre en www.microsoft.com/download. Hay varias herramientas
disponibles para creación de documentos: Alliance (un programa especial de soporte que incluye
una versión para PC x64), Clúster, Directory Services, Network, Setup, WSUS, SQL Server, Micro-
soft Data Access Components (MDAC) y Exchange.
Asegúrese de manera regular que su documentación está actualizada.
SUGERENCIA Encontrará más información acerca de los informes de Microsoft en el artículo

818742 de la base de conocimientos en http://support.microsoft.com/kb/818742.
PARTE VII
SG-25: Administración del acuerdo de nivel de servicio
Otra actividad ad hoc es la revisión de sus acuerdos de nivel de servicio (SLA, Service Level
Agreements). Esto debe hacerse al menos dos veces al año. SLA se refiere a los acuerdos que es-
tablece con su comunidad de usuarios para la entrega de servicios. Los servicios deben ordenarse
en categorías por prioridad y asignarse diferentes tiempos de recuperación a cada prioridad. Por
ejemplo, un servicio no crítico puede restaurarse en cuatro horas o menos, mientras uno crítico
debe de restaurarse antes de una hora.
Una vez más, sus informes de detección y solución de problemas serán muy útiles durante
esta revisión. La información de los usuarios es muy valiosa durante esta revisión, porque sus ne-
cesidades pueden cambiar mientras aprenden a entender mejor las capacidades de sus sistemas.
SG-26: Administración de prioridades de la solución y detección de problemas

Al igual que el procedimiento SG-25, la administración de prioridad de la detección y solu-

ción de problemas debe revisarse dos veces al año. Esta revisión atiende la manera en que debe
dar prioridades a sus actividades cuando ocurren varios problemas diferentes de sistema. Se basa
en el rendimiento pasado y la experiencia de detección y solución de problemas real. Depende en
gran medida de la SLA con que ingrese en su comunidad de usuarios.
Asegúrese de usar un método basado en la menor cantidad de esfuerzo para lograr el mayor
volumen de beneficios. Por ejemplo, si un controlador de dominio (DC) deja de funcionar al
mismo tiempo que un disco falla en un servidor de archivos, repare primero el disco, luego em-
piece a trabajar en la reconstrucción del DC, porque los Servicios de dominio de Active Directory
(ADDS, Active Directory Domain Services) seguirán funcionando, debido a que no tienen sólo
un controlador de dominio por dominio. Ésta será la manera más eficiente de usar su tiempo.
Utilice el sentido común para asignar prioridades.
SG-27: Revisión de la carga de trabajo

La revisión final que debe realizar de manera bianual es la revisión de su carga de traba-
jo. Aún deberá revisar su carga de trabajo para asegurarse de que tenga sitios suficientes para
satisfacer todas las tareas que debe realizar. Si algunas tareas no son atendidas con la frecuencia
propuesta en este capítulo, tal vez requiera ayuda adicional. Si es así, prepare cuidadosamente un
caso de negocios para su propuesta y preséntela a su administración. Cuando ese tipo de suge-
rencias están bien preparadas y justificadas de manera apropiada, rara vez son rechazadas.
Administración de hardware
Todas las tareas incluidas en la administración de hardware son de marcador de posición; aunque es
vital que las realice de manera regular, resulta difícil documentar exactamente cómo debe realizarlas,
porque hay muchos modelos y métodos diferentes para administración de hardware en el mercado.
Por lo tanto, deberá modificar cada tarea que aparece en la lista para agregar sus propias
actividades personalizadas.
HW-01: Revisión de hardware de red

Por lo general, su red está integrada por una serie de conmutadores, concentradores, enruta-
dores, firewalls, etc. Su buena salud continua asegurará la operación apropiada de Windows Server
2008. Por tanto, es útil que dé un paseo regular por el cuarto de cómputo para revisar que el hard-
ware de la red esté ejecutándose de manera apropiada. Esto incluye las siguientes actividades:
• Revisar cada uno de los dispositivos de red para asegurarse de que las luces indicadoras apro-
piadas estén encendidas.
• Revisar los registros de la máquina y las configuraciones para asegurarse de que sean estables
y ver si han ocurrido intrusiones.
• Verificar los cables y las conexiones para asegurarse de que estén en buenas condiciones.
Esta tarea debe personalizarse para incluir las herramientas que permite su entorno.
HW-02: Administración del BIOS del servidor

Como ocurre con los sistemas operativos, las versiones del sistema básico de entrada y salida
(BIOS) cambian continuamente y los fabricantes agregan capacidades y funcionalidades. Por fortu-
na, casi todos los fabricantes de servidores se adhieren a las recomendaciones de la Desktop Mana-
gement Task Force (www.dmtf.org) para que ya no necesite estar sentado frente al servidor con el fin
de realizar una actualización del BIOS. La herramienta que utilice variará dependiendo de la plata-
forma con la que esté trabajando, pero todos los fabricantes de servidores importantes proporcionan
herramientas de administración remota DMTF. Intel incluso solía ofrecer una herramienta genérica
de administración remota DMTF, LANDesk, que funciona con casi todo el hardware de Intel.
Ahora está disponible con LANDesk Software (www.landesksoftware.com). No importa
cuál herramienta utilice, a menudo necesitará mantener el BIOS y otro software de fabricante de
hardware actualizado con el fin de calificar completamente para soporte constante.
Una vez al mes, debe revisar la disponibilidad de nuevas ediciones del BIOS para su hard-
ware y revisar si requiere el nuevo BIOS en su entorno. Si es así, descargue el nuevo y utilice sus
herramientas de DMTF para realizar la actualización en todos los servidores de destino.
HW-03: Administración de actualización de software de administración de irmware y servidor

Además del software del BIOS, los fabricantes de hardware proporcionan software de ad-
ministración de firmware y de servidor. Esas herramientas dan soporte a todo tipo de actividad,
desde indicarle el estatus de los componentes dentro de los gabinetes de su servidor hasta ejecu-
tar componentes específicos de hardware. En casi todos los casos, esas herramientas incluyen un
gran número de componentes distintos. Por tanto, tienden a actualizarse de manera regular. Una
PARTE VII
vez más, necesitará mantenerse actualizado si quiere soporte continuo de su fabricante.
Una vez al mes, debe revisar la disponibilidad de nuevas ediciones de software de adminis-
tración de firmware y de servidor para su hardware y revisar si requiere estos nuevos componen-
tes en su entorno. Si es así, descárguelas y utilice su DMTF o sus herramientas de software de
administración de servidor para realizar la actualización en servidores de destino.
HW-04: Administración de dispositivos

Windows Server 2008 interactúa con el hardware mediante controladores de dispositivo. La

interfaz con estos dispositivos es el administrador de dispositivos, un componente del Adminis-
trador del servidor que se encuentra bajo Diagnóstico, y ahora también es un componente de la
consola MMC personalizada que creó en el procedimiento SG-17. En ocasiones, los controlado-
res necesitan actualizarse o modificarse. En ciertos casos, tal vez no funcionen algunos dispositi-
vos. Por tanto, al menos vale la pena verificar que no hay errores de dispositivos en el administra-
dor de dispositivos.
Los controladores de dispositivo son muy importantes en los servidores de almacén de
recursos. Para verificar su estado:
1. Lance la consola MMC personalizada (área Inicio rápido | MMC personalizada).
2. Conéctese al servidor apropiado (Acción | Conectarse con otro equipo), y escriba el nombre de
servidor (\\nombreservidor) o utilice el botón Examinar para localizarlo. Haga clic en Aceptar
3. Seleccione el Administrador de dispositivos (Administración de equipos | Herramienta del
sistema | Administrador de dispositivos).
4. Vea el estatus de sus dispositivos en el panel de Detalles. Todos los dispositivos deben tener
un árbol cerrado. Cualquier dispositivo problemático desplegará un árbol abierto y un signo
de interrogación de color amarillo.
5. Haga clic con el botón derecho en el dispositivo problemático para ver sus propiedades.
También puede usar el menú contextual para seleccionar Actualizar controlador. Identifique
el fabricante del dispositivo y busque un nuevo controlador, o uno actualizado. Si no hay un
controlador disponible, desactive el dispositivo.
Los controladores de dispositivos deben estar certificados para Windows Server 2008; de otra
manera, no puede garantizar su estabilidad. Como opción predeterminada, Windows Server le
prevendrá si está instalando un dispositivo que no está certificado.
SUGERENCIA Revise el capítulo 10 para conocer información sobre GPO de administración de

dispositivos extraíbles.
Copia de seguridad y restauración

Aunque los servidores están diseñados para incluir redundancia para protección de servidores y datos,
ninguna organización podría operar sin una estrategia de recuperación de desastres que incluya una
estrategia fuerte y regular de copia de seguridad y un sólido sistema de recuperación. Los procedi-
mientos delineados aquí están basados en WBAHMIN.EXE, la herramienta de copia de seguridad pre-
determinada de Windows Server 2008. Esta edición de copia de seguridad de Windows es mucho más
completa que versiones anteriores, con la adición del servicio Instantáneas de volumen y la opción
de recuperación completa de los sistemas. La primera le permite al sistema tomar una instantánea de
todos los datos antes de hacer la copia de seguridad, resolviendo muchos problemas con los archivos
abiertos. La segunda le permite reconstruir un servidor sin tener que reinstalar su software.
SUGERENCIA Consulte el capítulo 11 para conocer más información acerca de las copias de
seguridad de Windows.
Si su empresa es seria con sus datos, lo más probable es que tendrá un motor de copia de se-
guridad más completo. El mejor de éstos es Galaxy, de Commvault Systems, Inc. (www.commvault.
com). Ésta es una de las únicas herramientas de copia de seguridad que da soporte completo a los
Servicios de dominio de Active Directory, dejándole restaurar objetos y atributos directamente den-
tro del directorio, sin tener que realizar una restauración de autoridad, una operación que es bastante
compleja. Además, si tiene volúmenes masivos de datos, Galaxy le ahorrará un tiempo considerable,
sobre todo en el caso de copias de seguridad completas, porque construye una imagen completa de
copia de seguridad incrementales pasadas, utilizando una tecnología de almacenamiento de una
sola instancia. Esto significa que nunca le faltará tiempo para hacer su copia de seguridad, porque no
se obtiene en realidad de los propios sistemas, sino de imágenes anteriores de copia de seguridad.
RSC-01: Generación de copias de seguridad del disco del sistema

Las copias de seguridad del disco del sistema son críticas en cada servidor, porque son las
herramientas que protegen al sistema operativo. Los datos del disco del sistema siempre se copian
como un todo y no pueden segregarse. Ésa es una tarea diaria que debe volverse automática.
SUGERENCIA Debe conigurar las copias de seguridad para que se ejecuten en un almacenamiento
compartido o en discos extraíbles, para que pueda almacenarlos fuera de sitio.
Para programar una copia de seguridad de disco de sistema:

1. En la consola Administrador del servidor, vaya a Almacenamiento | Copias de seguridad de
Windows Server.
2. Haga clic en Hacer copia de seguridad de programación, en el panel de acciones.
3. En el Asistente para programar copias de seguridad, haga clic en Siguiente e ingrese la infor-
mación encontrada en la tabla 13-2 para completar las páginas del asistente.
También puede realizar una copia de seguridad única para un evento especial.
Repita el procedimiento para crear copias de seguridad de datos en el mismo programa.
RSC-02: Veriicación de las copias de seguridad

Aunque las copias de seguridad son un poco más fáciles de hacer y más confiables con
WS08, aún debe tomarse el tiempo de asegurarse de que se han realizado de manera correcta.

Seleccionar coniguración de Hay dos opciones:
copia de seguridad • Servidor completo
PARTE VII
• Personalizada: si quiere excluir algunos volúmenes
Especiicar hora de copia de Hay dos opciones:
seguridad • Una vez al día y Seleccionar hora del día
• Más de una vez al día y Agregar la programación de copia de seguridad
Seleccionar disco de destino Debe seleccionar el disco para la copia de seguridad. Puede tener varios discos. Haga clic en
Mostrar todos los disponibles para seleccionar el disco y, en la ventana Discos disponibles,
seleccione de nuevo el disco. Aparecerá un mensaje de advertencia, notiicándole que el
disco se volverá a formatear.
Etiquetar disco de destino Veriique que el disco esté etiquetado correctamente, de acuerdo con la columna de la etiqueta.
TABLA 13-2 Entradas del asistente para programar copias de seguridad
Para ello, necesita ver el registro de las copias de seguridad en cada servidor de archivos. Para
revisar estos registros:
1. Utilice el procedimiento AR-01 para abrir la conexión de escritorio remoto con el servidor que
quiere verificar.
2. Haga clic en la herramienta Copias de seguridad del servidor de Windows Server, en la conso-
la Administrador del servidor, bajo Almacenamiento, para ver el estatus de la copia de seguri-
dad, y haga clic en Ver detalles.
3. Busque la palabra “Error” en el registro del informe.
Si encuentra errores, determine si es un archivo crítico y utilice el Explorador de Windows
para ver por qué el archivo no se copia o si necesita recuperarse. Anote los resultados de la inves-
tigación en su registro de actividades diarias (procedimiento SG-06).
RSC-03: Administración de copias de seguridad fuera del sitio

Uno de los elementos clave de una estrategia de recuperación de desastres es la protección

de sus contenedores de copia de seguridad. Después de todo, si su centro de datos se quema y
todos sus contenedores de copia de seguridad se queman con él, será más difícil reconstruir sus
sistemas. Por tanto, debe asegurarse de que almacena sus contenedores de copia de seguridad
semanal en un sitio diferente, que debe estar protegido contra desastres. Esto puede ser cualquier
cosa, desde una caja fuerte en un banco hasta un servicio de protección de datos especializado.
Esto significa que una vez a la semana debe tomar su copia de seguridad semanal completa
y enviarla fuera de sitio a una caja fuerte protegida y hacer que le regresen las copias de seguri-
dad antiguas para revisar las cintas. También debe mantener una copia de seguridad completa
mensual fuera de sitio, además de conservar por lo menos una copia de seguridad al año (puede
ser la copia de seguridad mensual del último mes de su año fiscal).
SUGERENCIA Si implementó una directiva de replicación para el contenido del servidor host de
una ubicación a otra, entonces todos sus ofrecimientos de servicios virtuales estarán protegidos,
porque los archivos que los integran estarán en más de un sitio.
RSC-04: Prueba de la estrategia de restauración de desastres

Una estrategia de recuperación de desastres sólo es tan buena como su capacidad proba-
da de recuperar y reconstruir sus sistemas. Por tanto, debe tomarse el tiempo de validar su
estrategia de recuperación de desastres de manera mensual. Esto significa asegurarse de que
todo lo que integra la estrategia de recuperación de desastres esté en funcionamiento y listo para
dar soporte a la reconstrucción de su sistema en cualquier momento. En el caso de almacenes
de recursos, esto incluye todo, desde tener partes, servidores y componentes de red sobrantes,
almacenamiento fuera de sitio de discos de copia de seguridad, un sólido sistema de rotación
de discos de copia de seguridad, procedimientos documentados para reconstrucción del sistema
(sobre todo reconstrucción de ADDS), etc. Esta revisión debe basarse en una lista de verificación
que se utiliza para validar cada uno de los elementos que dan soporte a la recuperación del siste-
ma. Documente cualquier cambio que haga a esa estrategia después de que complete la revisión.
RSC-05: Prueba de procedimientos de restauración

Las copias de seguridad sólo son tan buenas como su capacidad para restaurar información
a un sistema. Por tanto, una vez al mes debe realizar una prueba de restauración a partir de una
copia aleatoria de sus medios de copia de seguridad, para asegurarse de que en realidad fun-
cione. Muchas organizaciones se han quedado con las manos vacías cuando tratan de restaurar
archivos críticos de discos de copia de seguridad que nunca fueron probados, sólo para descubrir
que no funcionan. Para probar el procedimiento de restauración, utilice la consola Administrador
del servidor para lanzar el asistente para recuperación (Almacenamiento | Copia de seguridad de
Windows Server), e introduzca la información de la tabla 13-3.
Verifique la integridad de los archivos que restaura. Destruya los archivos cuando haya
terminado.
RSC-06: Revisión de la estrategia de copia de seguridad

Una vez al mes también debe tomarse el tiempo para revisar su estrategia de copia de
seguridad. ¿Ha cambiado el volumen de copias de seguridad? ¿Existe nueva información para
incluir en sus copias de seguridad? ¿Es apropiado su calendario de copia de seguridad? Éstas y
otras preguntas deben ayudarle a formar una lista de verificación que puede usar para revisar su
estrategia de copia de seguridad.
Documente cualquier cambio que haga.
Administración remota
En Windows 2000 se introdujo el concepto de administración de servidor remota a través de Termi-
nal Services, en el modo de administración. Esto le permite integrar dos conexiones remotas a un
servidor sin licencias adicionales de cliente de Terminal Services. En Windows Server 2008, a esta
característica se le denomina conexiones de escritorio remoto (RDC, Remote Desktop Connections).

Introducción Elija recuperar los datos desde éste u otro servidor.
Seleccionar fecha de copia Seleccione la fecha y la hora de la copia de seguridad que quiere restaurar.
PARTE VII
Seleccionar elementos para Bajo Elementos disponibles, expanda el signo de más. De la carpeta, elija cada uno de los
recuperar elementos que desea restaurar.
Especiicar opciones de Hay dos opciones para la ubicación:
recuperación • Ubicación original.
• Otra ubicación: necesitará ingresar la ruta de acceso completa de la ubicación o hacer clic
en el botón Examinar.
Hay tres opciones para los archivos y las carpetas que habrá de restaurar:
• Crear copias para que tenga ambas versiones del archivo o la carpeta.
• Sobrescribir archivos existentes con archivos recuperados.
• No recuperar ningún archivo o carpeta existentes.
TABLA 13-3 Entradas del asistente para recuperación
RDC es un beneficio para los administradores de servidores porque les da acceso completo
al escritorio de un servidor, sin tener que acceder físicamente a éste. Además, puede depender de
RemoteApps al publicar sólo la aplicación a la que necesita acceder y no todo el escritorio.
NOTA RDC es más seguro porque limita el acceso a los cuartos del servidor. Los administradores
pueden trabajar desde sus propios escritorios para administrar y conigurar remotamente los
servidores.
AR-01: Administración de RDC del servidor

Una vez al mes, debe revisar sus prácticas de administración de servidor remoto. Esta revi-
sión debe servir para responder preguntas como: ¿Están seguras nuestras conexiones remotas?
¿Cuántos administradores tienen acceso remoto a los servidores? ¿Cambiamos nuestras contra-
señas administrativas con la frecuencia suficiente? ¿Están las consolas que dan acceso remoto a
servidores lo suficientemente protegidas?
NOTA Recuerde que las conexiones de escritorio remoto sólo son necesarias si debe modiicar con-
iguraciones en un servidor. En almacenes de recursos, trate de adquirir el hábito de trabajar con
una consola MMC personalizada. En ofrecimiento de servicios virtuales, trate de publicar sólo la
herramienta que necesite. Consulte el capítulo 9 para conocer información acerca de las aplicacio-
nes de publicación con RemoteApps y para información sobre la manera de trabajar con la consola
Escritorio remoto.
Las conexiones de escritorio remoto sólo pueden ocurrir si la configuración de escritorio

remoto se ha habilitado en el servidor. Para habilitar esta configuración:
1. Lance el Administrador del servidor y haga clic en Configurar Escritorio remoto, en el panel
de acciones de la página Resumen de servidores.
2. En la ficha Acceso remoto, seleccione Permitir las conexiones desde equipos que ejecuten
cualquier versión de Escritorio remoto con Autentificación a nivel de red.
NOTA Si habilita RDC, necesitará implementar el cliente de Escritorio remoto 6.1 en cada equipo,
si aún no lo tiene.
3. Haga clic en el botón Seleccionar usuarios para presentar una lista de los usuarios que pueden
conectarse a este equipo; cualquier miembro del grupo Administradores puede conectarse,
aunque no aparezca en la lista.
4. No necesita hacer nada más si sus administradores son miembros del grupo Administradores
locales, porque automáticamente tienen acceso al servidor. Como opción alterna, puede agre-
gar operadores de servidor remoto al grupo integrado Usuarios de Escritorio remoto (usuarios
y equipos de Active Directory | Built-in). Esto le dará acceso al escritorio local en una sesión
remota. Si no son miembros de algún grupo, debe enumerar a los usuarios de uno en uno.
Haga clic en Seleccionar usuarios remotos para ello.
5. Haga clic en Aceptar en cada cuadro de diálogo cuando haya terminado.
También puede establecer esta opción remotamente mediante una directiva de grupo. Esto
debe ser un GPO que se aplica sólo a servidores. Habilite el valor Permitir que los usuarios se
conecten de forma remota mediante Terminal Services (Configuración del equipo | Directivas
| Plantillas administrativas | Componente de Windows | Terminal Services | Terminal Server |
Conexiones). Este parámetro de GPO proporciona la misma funcionalidad que las casillas de
verificación de Propiedades del sistema.
PRECAUCIÓN RDC en el modo de administración le permite dos conexiones a la vez. La mejor

práctica es identiicar inmediatamente cada conexión si es que alguien está trabajando en el servi-
dor al mismo tiempo. La mejor manera de hacerlo es abrir una ventana del indicador de comandos
y escribir QUERY USER. Si otro administrador ha iniciado sesión, póngase en contacto con él para
asegurarse de que no están realizando actividades que entran en conlicto en el mismo servidor.
AR-02: Administración de RDC de PC

La administración de RDC en las PC es igual que en los servidores y usa exactamente el mis-
mo método (consulte el procedimiento AR-01). Las PC sólo permiten un inicio de sesión a la vez.
Si inicia sesión remotamente en una PC mientras un usuario ya la ha iniciado, se cierra automáti-
camente la sesión del usuario. Si necesita proporcionar ayuda, utilice en cambio el procedimiento
AR-03.
AR-03: Soporte a usuarios mediante asistencia remota

Si necesita proporcionar soporte remoto a un usuario, sobre todo mientras esté todavía en su
sesión, no puede usar Conexión de Escritorio remoto porque automáticamente termina la sesión
del usuario y hace que se inicie la suya. Utilice, en cambio, Asistencia remota.
PRECAUCIÓN ¡No pida a un usuario sus credenciales para que pueda iniciar sesión bajo este
contexto de seguridad!
La Asistencia remota funciona de dos maneras. Puede permitir que los usuarios soliciten
ayuda al escritorio de ayuda, o puede dejar que los operadores del escritorio de ayuda ofrezcan
asistencia técnica a los usuarios. Éstos deben aceptar explícitamente la ayuda antes de seguir
PARTE VII
adelante. La Asistencia remota se controla mediante dos configuraciones de GPO: Asistencia
remota solicitada y Ofrecer asistencia remota (Configuración del equipo | Directivas | Plantillas
administrativas | Sistema | Asistencia remota). Cada una incluye la capacidad de identificar a perso-
nas que pueden brindar ayuda en su organización. Asistencia remota solicitada le permite también
establecer los tiempos durante los cuales los usuarios pueden solicitar ayuda y el mecanismo de
solicitud: mailto o Interfaz de programación de aplicación de mensajería simple (MAPI, Messaging
Application Programming Interface). Además, cada una le permite determinar el tipo de ayuda que
se ofrece, identificar si el personal de soporte puede interactuar con el escritorio o simplemente
vigilar. La interacción proporciona el soporte más completo, pero puede representar un riesgo de
seguridad. Ambas configuraciones requieren una lista de auxiliares. Los auxiliares son grupos de
usuarios que están escritos en el formato nombredominio\grupodominio.
PRECAUCIÓN Recuerde que antes de que un auxiliar pueda ayudar a un usuario o interactuar con
su escritorio, los usuarios deben aceptar el ofrecimiento de Asistencia remota. Asegúrese de adver-
tir a los usuarios que nunca dejen sus escritorios sin atender mientras alguien está interactuando
con él.
PRECAUCIÓN Estas coniguraciones de GPO no le permiten seleccionar nombres de grupos desde

ADDS; debe escribirlos manualmente. Pero asegúrese de veriicar la información que escribió
antes de aplicar estos valores de GPO a sus PC.
Una vez que se han aplicado estos valores a todas las PC, puede ofrecer ayuda de la siguien-
te manera:
1. Lance Asistencia remota de Windows (menú Iniciar | Todos los programas | grupo Mantenimiento).
2. Haga clic en Ofrecer ayuda a alguien.
3. Escriba el nombre DNS de la PC a la que quiere conectarse, y haga clic en Finalizar.
4. Espere que el usuario acepte la conexión antes de empezar su soporte.
Esta tarea se establece como ad hoc porque se espera que no necesite realizarla de manera
regular.
También puede usar una línea de comandos para ello:
msra /expert
Este comando lanzará automáticamente la interfaz de usuario Ofrecer ayuda remota. Si
quiere realizar una oferta desde la línea de comandos, use:
msra /offerRA nombreequipo
Administración del servidor de archivos e impresión

Los servidores de archivos e impresión son a veces la principal razón por la que las organiza-
ciones implementan redes. Debido a esto, a menudo son los primeros servidores en ponerse en
funcionamiento en un sistema de red. Por eso es que son la primera función de servidor especí-
fica que se examinó en este libro. Además, la administración del servicio de archivos es una gran
parte de la administración de los almacenes de recursos.
La administración de los servidores de archivos e impresión está dividida en tres catego-

rías. Entre éstas se incluyen servicios de archivos, de impresión y de clúster. En la tabla 13-4, se
delinean las actividades administrativas que deberá realizar de manera regular para asegurar la
operación apropiada de los servicios que entregue a su comunidad de usuarios. También se iden-
tifica la frecuencia de cada tarea.
Es probable que no necesite realizar todas estas actividades porque no utiliza algunos de los
servicios mencionados aquí. Tal vez también use un programa diferente. Recuerde personalizar la
lista de tareas para adaptarla a su entorno.
Número de Almacén Ofrecimiento de

Servicios de archivo
SA-01 Veriicación del espacio libre disponible Diaria X X
SA-02 Administración de copia de seguridad de datos Diaria X X
SA-03 Administración de carpetas compartidas Diaria X X
SA-04 Veriicación del servicio de replicación de DFS Diaria X X
SA-05 Administración de instantáneas de volumen Semanal X X
SA-06 Administración del sistema de archivos distribuido Semanal X X
SA-07 Administración de cuotas Semanal X
SA-08 Administración del servicio de búsqueda Semanal X
SA-09 Veriicación de la integridad de los discos de datos Semanal X X
SA-10 Desfragmentación del disco de datos Semanal X X
SA-11 Veriicación del registro de auditoría archivos de Semanal X X
acceso
SA-12 Limpieza de archivos temporales Semanal X
SA-13 Veriicación de los parámetros de seguridad Semanal X X
SA-14 Administración de carpetas cifradas Semanal X X
SA-15 Archivado de datos Mensual X X
SA-16 Administración de servicios de replicación de DFS Mensual X X
SA-17 Administración de discos y volúmenes Ad hoc X X
Servicios de impresión
SI-01 Administración de la cola de impresión Diario X
SI-02 Administración del acceso a la impresora Semanal X
SI-03 Administración de controladores de impresoras Semanal X
SI-04 Recursos compartidos de impresora Ad hoc X
SI-05 Administración de la unidad de la cola de impresión Ad hoc X
SI-06 Administración del rastreo de ubicación de impre- Ad hoc X
soras
SI-07 Administración masiva de impresoras Ad hoc X
SI-08 Nueva evaluación del modelo de impresora Ad hoc X
Servicios de clúster
SC-01 Clústeres: veriicación del estado de clúster Diaria X X
SC-02 Clústeres: veriicación del estado de la cola de Diaria X
impresión
SC-03 Clústeres: administración de clústeres de servidor Semanal X X
SC-04 Clústeres: veriicación del estado de los testigos Semanal X X
quórum o recursos compartidos de archivos
TABLA 13-4 Lista de tareas de administración de servicios de archivo e impresión

NOTA Casi todas las actividades de esa sección requieren derechos administrativos locales o
delegación apropiada de derechos para el servicio.
PARTE VII
Administración del servicio de archivos
Con Windows Server 2008, la administración del servicio de archivos incluye todo, desde formatear
un nuevo disco hasta integrarlo con Active Directory para crear estructuras de carpetas compartidas
complejas con el Servicio de archivos distribuido. Pero está concentrado principalmente en discos y
los servicios a los que Windows Server 2008 da soporte cuando trata con almacenamiento.
Pueden usarse cuatro herramientas principales para administrar servidores de archivos:
• El Explorador de Windows, porque le da acceso a discos y carpetas compartidas.
• La consola Administrador de recursos del servidor de archivos, porque es de un solo propósito
y se concentra en discos y recursos compartidos.
• El comando NET SHARE, porque es una herramienta de línea de comandos que puede usarse
para secuencias de comandos de operaciones de intercambio.
• El comando DISKPART, porque está diseñado para administrar discos, volúmenes y particiones.
SA-01: Veriicación del espacio libre disponible

La revisión del espacio libre en un servidor requiere una vista de las unidades reales de disco
localizadas en el servidor. Hay varias maneras de hacerlo, pero la más fácil consiste en simple-
mente abrir una Conexión de Escritorio remoto (RDC) con el servidor cuyas unidades desea
verificar. Si no lo ha hecho, utilice el procedimiento AR-01 para crear un vínculo RDC con cada
uno de los servidores a los que quiere verificar y luego haga lo siguiente:
1. Lance una sesión de Escritorio remoto con el servidor que desea verificar e inicie sesión con
sus credenciales administrativas.
2. Utilice el acceso directo del Explorador de Windows localizado en el área Inicio rápido para
hacer clic en Equipo.
3. Asegúrese de que está en la vista Mosaico o Detalles, y verá el espacio usado y disponible en
cada disco. También puede verlo al hacer clic en el propio disco y revisar la barra de estado, en
la parte inferior de la ventana del Explorador de Windows.
4. Observe el espacio disponible para cada disco de datos en su registro de espacio libre disponible.
5. Cierre el Explorador de Windows cuando haya terminado.
Por supuesto, si tiene 500 servidores, este procedimiento puede volverse tedioso. De modo
que tal vez prefiera utilizar un método más automatizado. El Administrador del servidor de
Windows WS08 incluye un monitor de rendimiento (Diagnóstico | Confiabilidad y rendimiento
| Herramientas de supervisión | Monitor de rendimiento). Este complemento le permite super-
visar el rendimiento de la aplicación y el hardware, personalizar los datos para recolectarlos en
registros, definir umbrales para alertas y acciones automáticas, generar reportes y ver los datos
de rendimiento pasados de diferentes maneras. Para agregar contadores, haga clic en el signo de
más en el panel Detalles. Incluye contadores para más de 50 objetos.
Puede crear un monitor o una consola de monitor de rendimiento que lleve registro auto-
máticamente del espacio libre en disco en todos los servidores. Esta consola necesitará derechos
de acceso para revisar contadores en cada servidor que supervise, de modo que es mejor que
utilice el comando Ejecutar como administrador (consulte el procedimiento SG-01) para lanzar la
consola del Monitor de rendimiento (Administrador del servidor | Diagnóstico | Confiabilidad y
rendimiento | Herramientas de supervisión) y luego proceda de la siguiente manera:
1. Utilice el signo de más en la barra de herramientas para agregar un contador.
2. En el campo Seleccionar contadores del equipo, escriba el nombre del servidor que quiera
ver. Recuerde utilizar el nombre de la convención universal de asignación de nombres (UNC,
Universal Naming Convention), por ejemplo, \\NombreEquipo.
3. Seleccione Disco lógico, como objeto de rendimiento, y % de espacio disponible, como conta-
dor (haga clic en la flecha hacia abajo para ver los contadores).
4. Seleccione el sistema y la unidad del disco de datos, y haga clic en Agregar. Repita este pro-
cedimiento para cualquier otro servidor que quiera incluir. Haga clic en Aceptar cuando haya
terminado.
5. Ahora que todos los servidores y discos se han agregado, utilice Acciones adicionales | Nuevo |
Conjunto de recopiladores de datos, del panel Acciones.
6. Asigne al recopilador de datos el nombre “Espacio disponible en disco”, haga clic en Siguiente,
guárdelo en la ubicación predeterminada y haga clic en Siguiente.
7. En el siguiente cuadro de diálogo, haga clic en Cambiar, bajo Ejecutar como, para agregar
credenciales apropiadas a este conjunto recolector. Haga clic en Aceptar.
8. Haga clic en Guardar, en Cerrar y luego en Finalizar.
9. Para ejecutar el recolector, vaya al Administrador del servidor | Diagnóstico | Confiabilidad y
rendimiento | Conjuntos de recopiladores de datos | Definido por el usuario. Haga clic con el
botón derecho en su conjunto recopilador y seleccione Iniciar.
10. Ejecute cualquier acción que necesite para revisar el espacio disponible en sus servidores.
Utilice esta consola para ver el espacio libre en todos los servidores de archivos, a partir de ahora.
Por último, puede usar una herramienta de línea de comando simple para verificar el espacio
libre en disco. Funciona en cualquier sistema y puede enviar su salida a un archivo de texto. Utili-
ce la siguiente estructura:
freedisk /S NombreEquipo /D NombreUnidad
donde NombreEquipo es el nombre DNS del servidor remoto y NombreUnidad es el nombre de
la unidad o el volumen que desea verificar. Ponga esto en un archivo de comandos y ejecútelo
como una tarea programada (consulte el procedimiento SG-21).
También puede usar el Administrador de recursos del servidor de archivos (FSRM, File
Server Resource Manager) en la consola independiente (mediante Herramientas administrativas)
o mediante el Administrador del servidor (Funciones | Servicios de archivos | Administración de
almacenamiento y recursos compartidos) para ejecutar informes de almacenamiento.
NOTA Con el in de ejecutar informes de almacenamiento en servidores remotos, debe asegurarse

de que Herramientas de administración del servidor remoto|Herramientas de administración de
funciones|Herramientas de los servicios de archivos|Herramientas del Administrador de recur-
sos del servidor de archivos están instaladas en cada servidor que desea incluir en el informe.
La administración del almacenamiento puede ejecutar automáticamente informes progra-

mados en cualquier unidad, sistema o datos bajo el programa que establezca. Utilice el siguiente
procedimiento:
1. Vaya al nodo Administración de informes de almacenamiento, de FSRM, y seleccione Progra-

mar una nueva tarea de informes, del panel Acciones.
2. En la ficha Configuración, haga clic en Agregar, para incluir las unidades de las que desee
PARTE VII
crear reportes. Agregue cada unidad.
3. Puede crear informes de información muy variada:
• Archivos duplicados
• Auditorías de vigilancia de archivos
• Archivos por grupo de archivo
• Archivos por propietario
• Archivos grandes
• Archivos de acceso menos reciente
• Archivos de acceso más reciente
• Uso de cuotas
Cada informe incluye una vista de todo el disco. Seleccione los objetos que desea incluir en el
informe y seleccione el formato de éste (DHTML, HTML, XML, CSV o texto).
4. Vaya a la ficha Programa y haga clic en Crear programa.
5. Haga clic en Nuevo y luego seleccione el programa que quiera. Haga clic en Aceptar cuando
haya terminado.
6. Haga clic en la ficha Entrega e incluya una dirección de correo electrónico. Lo ideal sería
que se trate de una dirección del grupo, si no hay más de un administrador interesado en este
informe. Como opción predeterminada, los informes se almacenan en la carpeta
%SYSTEMDRIVE%\STORAGEREPORTS\SCHEDULED.
PRECAUCIÓN Para que este servidor envíe correo electrónico, debe incluirse en la lista de Agentes
de retransmisión, de su servidor de protocolo de transferencia de correo simple (SMTP, Simple
Mail Transfer Protocol).
7. Haga clic en Aceptar cuando haya terminado.

Los informes están en diversos formatos: el Lenguaje dinámico de marcado de hipertexto
(DHTML, Dynamic Hypertext Markup Language) es el predeterminado. Estos informes son
extremadamente completos y deben revisarse de manera regular.
SUGERENCIA El Administrador del servidor sólo generará informes sobre el servidor local. Para
generar informes de otros servidores, debe utilizar la consola FSRM independiente, porque es la
única que le permite conectarse a otro equipo.
SA-02: Administración de la copia de seguridad de datos

Windows Server 2008 ofrece mucha funcionalidad adicional en esta área, sobre todo con el
servicio Instantáneas virtuales. Utilice el procedimiento RSC-01 para crear las copias de seguridad.
También debe darse tiempo para asegurarse de que se han realizado apropiadamente. Para ello,
necesita ver el registro de copia de seguridad de cada servidor de archivos. Utilice el procedimiento
RSC-02 para revisar sus registros de copia de seguridad de datos. Si encuentra errores, determine si
están en un archivo crítico (los errores de copia de seguridad de datos sólo están en archivos de las
unidades de datos), y utilice el Explorador de Windows para ver por qué no se copió el archivo.
SA-03: Administración de carpeta compartida

La administración de carpetas compartidas involucra dos actividades principales: la creación

de nuevas carpetas y de nuevos recursos compartidos de archivo. Ésta puede ser una actividad
diaria o no; todo depende de su entorno y del número de usuarios a los que dé soporte. Si aplica
la configuración correcta, esta actividad debe ser sencilla.
PRECAUCIÓN Deberá establecer permisos de seguridad en estas carpetas. Recuerde que los per-
misos de sistema de archivos de nueva tecnología (NTFS, New Technology File System) son los
deinitivos. Esto signiica que debe concentrarse primero en estos permisos.
Para crear nuevas carpetas:
1. Abra la conexión de Escritorio remoto con el servidor apropiado.
2. Lance el Explorador de Windows (área Inicio rápido | Explorador de Windows), y seleccione la
unidad D: (todos los datos deben estar en la unidad D:).
3. Localice el nivel donde desee crear la nueva carpeta en el panel de la izquierda. Haga clic con
el botón derecho en el panel de la derecha del Explorador de Windows, seleccione Nuevo |
Carpeta y escriba el nombre de la carpeta. Elija un nombre que pueda usarse como carpeta y
como nombre de recurso compartido. Oprima ENTER cuando haya terminado. Repita para cada
carpeta que necesite.
4. Aplique configuraciones de seguridad NTFS a cada carpeta. Para ello, haga clic con el botón
derecho en cada nombre de carpeta y seleccione Propiedades. Vaya a la ficha Seguridad. Agregue
los grupos apropiados y asigne configuraciones de seguridad apropiados a cada grupo.
SUGERENCIA Debe modiicar las coniguraciones de seguridad en las carpetas raíz, porque estas
coniguraciones se heredan cada vez que crea sus carpetas. De esta manera, sólo necesitará ainar
las coniguraciones de su carpeta a partir de ese momento.
Puede compartir carpetas y publicar un recurso compartido en los Servicios de dominio de
Active Directory. Para conocer más información sobre cómo hacer esto, consulte el capítulo 8.
También puede compartir carpetas mediante la línea de comandos. Utilice la siguiente sin-
taxis, una vez que se haya creado la carpeta:
net share NombreRecurso=RutaCarpeta /grant:NombreGrupo,full /unlimited
Donde NombreCompartido es el nombre del recurso compartido, RutaCarpeta es la letra de la uni-
dad y la ruta a la carpeta y NombreGrupo es el nombre del grupo al que le desea asignar los derechos.
SA-04: Veriicación del servicio de replicación de DFS

El servicio Replicación DFS (DFSR, DFS Replication) es la esencia del Sistema de archivos
distribuido y de las operaciones del Servicio de dominio de Active Directory cuando los dominios
están en modo plenamente funcional para WS08. Su operación apropiada debe verificarse diaria-
mente. La mejor manera de hacer esto consiste en usar el Administrador del servidor.
1. Vaya al registro de replicación DFS (Diagnóstico | Visor de eventos | Registro de aplicaciones y
PARTE VII
servicios | Replicación DFS).
2. Identifique cualquier error o advertencia. Emprenda las acciones apropiadas, si aparece
alguna.
Tome nota de cualquier acción correctiva que deba emprender. Utilice el procedimiento SG-
06 para registrar los diferentes eventos que investigue cada día.
SUGERENCIA Encontrará más información sobre DFSR en el centro de tecnología de DFS en

www.microsoft.com/windowsserver2003/technologies/storage/dfs/default.mspx.
También puede usar una herramienta de línea de comandos para administrar DFSR: DFRSADMIN.
Simplemente escriba el comando en una ventana de comandos para ver su archivo de Ayuda.
SA-05: Administración de instantáneas de volumen

El servicio Instantáneas de volumen (VSS, Volume Shadow Copy) es una herramienta útil
para administradores de sistemas, porque proporciona a los usuarios la capacidad de restaurar
sus propios archivos. También proporciona la capacidad de crear copias de seguridad a partir de
copias o instantáneas de datos de producción, lo que le permite crear las copias de seguridad de
los datos sin afectar el entorno de producción. Consulte el capítulo 6 para conocer más informa-
ción al respecto.
Las instantáneas son una característica de los volúmenes de disco. Para verificar el estatus de VSS:
1. Abra una Conexión de Escritorio remoto con el servidor apropiado, y luego abra el Explorador
de Windows (área Inicio rápido | Explorador de Windows).
2. Vaya a la unidad de datos (unidad D:) y haga clic con el botón derecho para seleccionar Pro-
piedades.
3. Vaya a la ficha Instantáneas y haga clic en Configuración.
4. En el cuadro de diálogo Configuración, haga clic en Detalles. Esto desplegará un cuadro de
diálogo que presenta las instantáneas de volumen en que están localizados, además de la can-
tidad de espacio disponible en el volumen y la cantidad de espacio utilizado por VSS. Verifique
que haya suficiente espacio disponible para las instantáneas y haga clic en Aceptar para cerrar
el cuadro de diálogo.
NOTA Las instantáneas deben localizarse en un volumen dedicado. Esto asegura que VSS no inter-
ferirá con los niveles de servicio de producción.
5. Verifique el tamaño máximo asignado a VSS y modifíquelo, si es necesario.
6. También debe revisar el programa de VSS. Haga clic en Programa, verifique que todo esté
como debe estar y haga clic en Aceptar, cuando haya terminado. El programa predeterminado
suele ser apropiado para casi todos los entornos.
7. Cierre el cuadro de diálogo Propiedades cuando haya terminado, al hacer clic en Aceptar.
También puede hacerlo desde la línea de comandos:

vssadmin list shadows
Esto presentará una lista de todas las instantáneas del sistema.
vssadmin list shadowstorage
Esto presentará una lista del espacio usado por instantáneas en el sistema.
Debe asegurarse de que las restauraciones de VSS funcionan apropiadamente. Para verificarlo:
1. En su propio equipo, lance el Explorador de Windows (área Inicio rápido | Explorador de
Windows).
2. Localice una carpeta compartida a la que tenga acceso, y seleccione un archivo de prueba den-
tro de esta carpeta. Haga clic con el botón derecho en ella para ver sus versiones anteriores.
3. En la ficha Versiones anteriores, seleccione la versión del archivo que desee restaurar y haga
clic en Restaurar. Verá un aviso acerca de escribir nuevas versiones. Haga clic en Aceptar para
seguir adelante.
4. Cierre el cuadro de diálogo Propiedades cuando haya terminado.
El archivo debe localizarse en la carpeta que seleccionó. Mientras VSS no reemplace las
copias de seguridad, ofrece a los usuarios el servicio automático de recuperaciones de archivos
recientes.
SA-06: Administración del sistema de archivos distribuido

El sistema de archivos distribuido (DFS) es uno de los servicios de archivos más poderoso de
Windows Server 2008. Proporciona acceso completo a recursos compartidos de archivos redun-
dantes en modo independiente o de dominio. Utilice la consola Administración de DFS (Admi-
nistrador del servidor | Funciones | Servicios de archivo) para asegurar la operación apropiada de
este servicio.
1. Si el nombre del espacio DFS que desea administrar no está visible, utilice el menú Acción para
conectarse a sus raíces de DFS (panel Acciones | Agregar espacios de nombre que se van a mos-
trar), localice el espacio de nombres que desea administrar, selecciónelo y haga clic en Aceptar.
2. Para asegurarse de que el recurso compartido de DFS está operando apropiadamente, haga
clic con el botón derecho en el nombre compartido de DFS y seleccione Revisar el estado, del
menú contextual.
3. Todos los destinos deben mostrar un estatus en línea. Si no, verifique por qué los destinos no
están en línea y repárelos (el servidor puede haberse caído).
NOTA DFS depende en gran medida del servicio Llamada a procedimiento remoto. Asegúrese de
que el servicio esté activo y funcionando. Además, los espacios de nombres de DFS basados en
dominio deben tener relojes sincronizados (para dar soporte a réplica y localización de los desti-
nos). Asegúrese de sintonizar todos los sistemas con el emulador de PDC (ésta es normalmente la
opción predeterminada del dominio de Servicios de dominio de Active Directory).
La consola DFS puede usarse para modificar la configuración de DFS, agregar nuevos desti-
nos y vínculos, configurar replicación, etcétera.
Los espacios de nombres de DFS independientes tienden a aplicarse con más frecuencia en
clústeres de servidor. Si utiliza los clústeres de servidor y espacios de nombres DFS independientes,
tendrá la oportunidad de reciclar este procedimiento. Conozca más sobre DFS en el capítulo 8.
PARTE VII
Además, pueden usarse dos herramientas de línea de comandos para la administración de
DFS: DFSCMD y DFSUTIL. De los dos, el último es el más útil. Simplemente escriba el comando en
un indicador de comandos para ver su archivo de Ayuda.
SA-07: Administración de cuotas

El servicio de cuotas de Windows Server 2008 también es una característica de unidades de

disco. Para verificar el estatus de las cuotas:
1. Utilice la consola Administración de cuotas (Administrador del servidor | Funciones | Servicios
de archivo | Administración de almacenamiento y recursos compartidos | Administrador de
recursos de servidor de archivos | Administración de cuotas | Cuotas).
2. El panel Cuotas le muestra entradas de cuotas existentes. Vea todas las entradas y verifique la
manera en que sus usuarios están utilizando el espacio compartido en disco.
También obtendrá advertencias del sistema cuando las cuotas se hayan alcanzado. Asegúrese
de que toma nota de cuáles cuotas o usuarios se ven afectados, y comuníquese con éstos para
asegurar el uso apropiado de sus carpetas compartidas.
SA-08: Administración del servicio de búsqueda

El servicio de búsqueda de WS08 indizará los documentos en los siguientes formatos:

• Texto
• Lenguaje de marcado de hipertexto (HTML, HyperText Markup Language)
• Office 95 y posterior
• Correo electrónico
• Cualquier otro documento para el que esté disponible un filtro
Por ejemplo, Adobe Corporation proporciona un filtro de indización para documentos en el
formato PDF. Busque “iFilter” en el sitio Web de Adobe.
Además, cada unidad debe estar marcada para indización y el servicio de búsqueda debe
estar habilitado. El marcado de la unidad se realiza en el cuadro diálogo Propiedades para la
unidad, bajo la ficha General. Esta configuración está habilitada como opción predeterminada en
todas las unidades. Debido a que los datos sólo están localizados en unidades específicas, debe
quitar la selección para las unidades del sistema.
Para verificar cuál servicio de búsqueda está habilitado, utilice el Administrador del servidor
para ver el estatus del servicio (Configuración | Servicios) asegúrese de que está configurado para
inicio automático.
Para verificar que el servicio de Búsqueda está trabajando apropiadamente, busque un docu-
mento que sabe que se encuentra en un sistema (menú Iniciar | Iniciar búsqueda).
SA-09: Veriicación de integridad del disco de datos

Debido a que los datos se almacenan en unidades y éstas tienden a ser el punto principal de
falla de cualquier sistema, es importante verificar que se revisa de manera regular la integridad de
los volúmenes que utiliza.
Para revisar la integridad de un disco, utilice el siguiente comando:
chkdsk Volumen /f
donde Volumen es el nombre de una unidad o volumen que quiere revisar. Este comando se pue-
de establecer como una tarea común programada (consulte el procedimiento SG-21).
También puede revisar este comando mediante una interfaz gráfica. Use el Explorador de
Windows para localizar la unidad de disco que desea verificar, haga clic con el botón derecho en
ella, seleccione Propiedades, vaya a la ficha Herramientas y haga clic en Comprobar ahora.
NOTA Este comando sólo puede ejecutarse en tiempo real en volúmenes que no son del sistema.
Debido a que CHKDSK necesita acceso exclusivo a un volumen durante la veriicación, sólo puede
ejecutarse al inicio del servidor en volúmenes del sistema.
SA-10: Desfragmentación del disco de datos

También es importante desfragmentar unidades de manera regular para mejorar el rendi-

miento y la velocidad de acceso a datos.
Para desfragmentar un disco, utilice el siguiente comando:
defrag Volumen /v >nombrearchivo.txt
Donde Volumen es el nombre de la unidad o el volumen que desea desfragmentar. El uso
del interruptor /V habilita el modo de texto detallado, que puede canalizarse en el archivo de su
elección. Este comando también puede establecerse como una tarea programada (consulte el
procedimiento SG-21).
También puede utilizar este comando mediante la interfaz gráfica de usuario. Utilice el Explora-
dor de Windows para localizar la unidad de disco que desea verificar, haga clic con el botón derecho
en ella, seleccione Propiedades, vaya a la ficha Herramientas y haga clic en Desfragmentar ahora.
SA-11: Veriicación del registro de auditoría de acceso a archivos

PRECAUCIÓN Una de las responsabilidades más importantes de un administrador de sistemas de

archivos es asegurarse de que las personas sólo accedan a los archivos a los que se les permite. Por
tanto, es esencial habilitar la auditoría de acceso a archivos en unidades de datos, sobre todo si los
datos son conidenciales o secretos.
La auditoría de acceso a archivos se habilita mediante directivas de grupo y debe aplicarse
específicamente a los objetos que quiere auditar. Utilice el siguiente procedimiento:
1. Utilice la consola Administración de directivas de grupo (menú Iniciar | Herramientas admi-

nistrativas | Administración de directivas de grupo).
2. Vaya al contenedor de objeto de directivas de grupo (GPMC | Bosque | Dominios | Nombre
PARTE VII
Dominio | Objetos de directiva de grupo) y ubique el GPO que desee modificar. Debe ser el
GPO Servidor de archivos e impresión global. Haga clic con el botón derecho en esa directiva
y seleccione Editar.
3. Habilite la directiva de auditoría de acceso de objetos (Configuración del equipo | Directivas | Con-
figuración de Windows | Configuración de seguridad | Directivas locales | Directiva de auditoría).
4. A continuación, debe identificar las carpetas que desea auditar (Configuración del equipo | Di-
rectivas | Configuración de Windows | Configuración de seguridad | Sistema de archivos). Para
ello, debe utilizar el comando Agregar archivo, localizar la carpeta que desea auditar, hacer
clic en el botón Opciones avanzadas, ir a la ficha Auditoría y hacer clic en Agregar, localizar el
grupo que desea auditar (Todos) e identificar los eventos que desee auditar para este grupo.
Cierre los cuadros de diálogo y el Editor de directivas del grupo cuando haya terminado.
SUGERENCIA Ésta es una de las raras oportunidades donde el grupo Todos se aplica porque, en reali-
dad, no deberá auditar sólo a usuarios autentiicados, sino a todos los que tienen acceso al sistema.
5. Utilice el Administrador del servidor para ver los resultados de la auditoría bajo Diagnósticos |
Visor de eventos | Registros de Windows | Seguridad.
PRECAUCIÓN La auditoría del acceso de objetos crea una gran cantidad de entradas. Tenga cuidado
de lo que decide auditar y asegúrese de que su registro de eventos de seguridad está establecido
en un tamaño de archivo apropiado (Visor de eventos|Registros de Windows|Seguridad|panel
Acciones|Propiedades).
SA-12: Limpieza de archivos temporales

Las aplicaciones necesitan crear archivos temporales para asegurar que los usuarios no pier-
dan sus datos mientras trabajan. Esos archivos temporales suelen eliminarse cuando la aplicación
se cierra. Desafortunadamente, no todas las aplicaciones se comportan bien. Debe verificar los
discos de datos en busca de archivos temporales o corruptos para eliminarlos de manera regular.
Puede hacerlo de manera interactiva empleando la utilería de limpieza de disco. Utilice el
siguiente procedimiento para ello:
1. Para lanzar Limpieza de disco, vaya al menú Iniciar | cuadro Iniciar búsqueda y escriba Disk
Cleanup.
2. Elija Archivos de todos los usuarios en este equipo y acepte el indicador de Control de cuentas
de usuario.
3. Limpieza de discos revisa el equipo en busca de archivos que pueden eliminarse. Seleccione
los archivos que habrán de limpiarse o comprimirse y haga clic en Aceptar.
4. Haga clic en Sí para confirmar la operación.
También puede hacer esto al crear una secuencia de comandos global que revise de manera
regular unidades y elimine todos los archivos temporales o corruptos. Esta secuencia de coman-
dos debe ejecutarse en los momentos en que menos usuarios hayan iniciado sesión, aunque
operará apropiadamente cuando los usuarios tengan archivos temporales activos en el volumen,
porque éstos se bloquean y no pueden eliminarse.
La secuencia de comandos debe eliminar los siguientes tipos de archivos:
• *.tmp
• ~*.*
Use los siguientes comandos en su secuencia:
del volumen:*.tmp /s /q >nombrearchivo.txt
del volumen:~*.* /s /q /a:h >nombrearchivo.txt
donde volumen: es el nombre de la unidad de datos. Los interruptores /s y /q significan incluir
los archivos localizados en sus directorios y no pedir confirmación, respectivamente, y el inte-
rruptor /A:H asegura que se eliminen sólo los archivos temporales, porque normalmente están
ocultos de los usuarios (algunos usuarios pueden utilizar la tilde [~] en sus nombres de archivos).
Por último, la canalización de información a un archivo (nombrearchivo.txt) le da una lista com-
pleta de todos los archivos eliminados.
SA-13: Veriicación de parámetros de seguridad

PRECAUCIÓN La seguridad es siempre una preocupación en un entorno de datos en red. Por tanto,
es necesario veriicar que los parámetros de seguridad sean apropiados en las unidades de datos y
del sistema.
La mejor manera de verificar las configuraciones de seguridad es usar el Administrador de
configuración de seguridad en el modo de Análisis. Compara una implementación de seguridad
existente con una plantilla de seguridad de base y delinea las diferencias. Eso significa que debe
mantener seguimiento de todos los cambios que hará a los parámetros de seguridad en las uni-
dades de datos, y que debe actualizar su plantilla de seguridad básica de manera regular.
Para analizar un equipo y compararlo con una directiva de seguridad determinada en modo
gráfico, utilice el Procedimiento SG-22. Si necesita realizar esta verificación en varios sistemas,
debe hacerlo mediante la línea de comandos. El comando que se debe usar es:
secedit /analyze /db nombrearchivo.sdb /log nombrearchivo.log
Además, puede usarse el interruptor /VERBOSE para crear un archivo de registro que esté
muy detallado. Si no se especifica ningún registro, SECEDIT registrará automáticamente toda la
información en el archivo scesrv.log en la carpeta %WINDIR%\SECURITY\LOGS. Para configurar un
equipo en lugar de analizarlo, reemplace el interruptor /ANALIZE con /CONFIGURE.
NOTA Este comando debe ejecutarse localmente. Si crea secuencias de comandos para ejecutarlo,
asegúrese de que las diseña para ejecutarse localmente en cada servidor de archivos.
SA-14: Administración de carpetas cifradas

Para cifrar datos en carpetas compartidas, debe confiarse en los servidores de archivos para
delegación dentro de Servicios de dominio de Active Directory. Se trata de una propiedad de la
cuenta del equipo del servidor dentro del directorio (Nombre del servidor | Propiedades | Delega-
ción | Confiar este equipo para delegación a cualquier servicio (sólo Kerberos)).
Además, las carpetas sólo pueden contener uno de dos valores: compresión o cifrado. Si una
PARTE VII
carpeta no está disponible para cifrado, es porque su valor de comprensión está establecido.
Por último, los valores de cifrados se aplican mediante las propiedades de la carpeta (Propie-
dades | ficha General | Opciones avanzadas), y los archivos y las carpetas cifradas se despliegan
en verde en el Explorador de Windows.
Consulte el capítulo 10 para conocer más información sobre EFS.
SUGERENCIA Para conocer más información sobre EFS consulte “Working with the Encrypting
File System” (trabajo con el sistema de cifrado de archivos), bajo “Advanced PKI” (PKI avanza-
do) en www.reso-net.com/articles.asp?m=8#c.
SA-15: Archivado de datos

Windows Server 2008 no incluye realmente ninguna herramienta esencial para archivado de
datos, aunque sí incluye soporte para tecnologías de archivado, como almacenamiento remoto sin
conexión. Puede utilizar Copia de seguridad de WS08 para realizar una copia de seguridad de los
datos para fines de archivado y luego eliminar los datos de la red para crear espacio libre adicional,
pero ésta no es una tarea necesariamente fácil. Para archivar datos con base en la fecha de creación
o modificación en Windows Server 2008, debe ejecutar el informe de almacenamiento para iden-
tificar todos los archivos antiguos, luego ejecutar la copia de seguridad y eliminarlos (consulte el
procedimiento SA-01 para conocer información sobre el Informe de almacenamiento).
Es mucho más simple crear carpetas compartidas de archivo especiales y pedir a los usuarios
que coloquen los datos que pueden archivarse en esos recursos compartidos especiales. Luego,
de manera regular, cree copias de seguridad de ellos y elimine el contenido de la carpeta.
SUGERENCIA Si hace esto de manera regular, debe adquirir un sistema de retención de contenido
con dirección. Búsquelos en Internet.
SA-16: Administración del servicio de replicación de DFS

En el procedimiento SA-04 se especifica que debe revisar de manera regular el Registro de

eventos de DFSR para asegurarse de que no haya errores de replicación. También debe asegurar-
se de que las reglas de replicación DFS estén configuradas apropiadamente y que cumplan con
las capacidades para replicación de la configuración de su red, aunque esto se hace con menor
frecuencia. Verifique la topología de replicación y también el calendario.
DFSR se administra desde la consola DFS (Administrador del servidor | Funciones | Servicios
de archivo | Administración de DFS | Replicación).
1. Si no ve sus grupos de replicación, utilice el menú Acción para conectarse a ellos (panel Accio-
nes | Agregar grupos de replicación que se van a mostrar), localice el grupo que desea admi-
nistrar, selecciónelo y haga clic en Aceptar.
2. Haga clic en el grupo de replicación en el panel del árbol y vea sus detalles en el panel Detalles.
3. Si parece que hay un problema con el grupo, entonces haga clic con el botón derecho en su
nombre y seleccione Crear informe de diagnóstico.
4. Utilice la información del informe para reparar el grupo y reiniciar la replicación.
5. Revise el estatus de la replicación de cada grupo de replicación DFS.
DFSR utiliza tres topologías diferentes de replicación: concentrador y radio, malla completa
y personalizado. Puede cambiar el modo de replicación al hacer clic con el botón derecho en el
grupo de replicación y seleccionar Nueva topología.
También puede realizar estas operaciones mediante la línea de comandos con el comando
DFSRADMIN. Escriba DFSRADMIN en el indicador de comandos para conocer más información acer-
ca de esta poderosa herramienta.
SA-17: Administración de discos y volúmenes

Administrar servidores de archivo también significa administrar discos, volúmenes y par-

ticiones. La mejor manera de hacerlo consiste en utilizar la herramienta de línea de comandos
DISKPART. Esta herramienta incluye su propio intérprete de comandos. Para lanzar este intér-
prete, abra un indicador de comandos y escriba DISKPART y luego oprima ENTER. El intérprete de
comandos se inicia y presenta una lista del nuevo indicador DISKPART.
Antes de que pueda usar este intérprete de comandos, debe desplegarse la lista, luego selec-
cionar un disco, un volumen o una partición para darle el enfoque. El objeto que tiene el enfoque
desplegará un asterisco. Utilice la siguiente estructura de comandos dentro del intérprete de
comandos de DISKPART:
list disk (or volume, or partition)
select disk número (or volumen etiqueta or partition número)
donde número o etiqueta es el número de disco, volumen o partición, o, en el caso de volúmenes,
su etiqueta (como C, D, E, etcétera).
Una vez que un objeto tiene el enfoque, puede utilizar el entorno del comando DISKPART
para realizar muchas actividades de administración sobre objetos de disco, como activación, des-
activación, extensión, creación, eliminación, reparación y más.
También puede crear actividades de DISKPART al crear una simple secuencia de comandos
basada en texto y utilizar el siguiente comando:
diskpart /s nombresecuencia.txt >archivoregistro.txt
Al agregar archivoregistro.txt al comando, puede redirigir la salida de la secuencia de coman-
dos a un archivo de registro que puede ver en una fecha posterior.
Administración del servicio de impresión

Con Windows Server 2008, la administración de servicios de impresión incluye todo, desde la
instalación de los controladores de impresora apropiados hasta la administración de clústeres
grandes de servidores de impresión que dan soporte a comunidades masivas de usuarios. En
realidad, Microsoft ha probado una configuración de clúster de doble servidor que permite 3 000
colas de impresión. Con Vista como cliente, puede esperar un rendimiento mejor, porque Vista
genera los trabajos localmente y sólo envía un trabajo de impresión preparado al servidor.
WS08 trabaja con controladores de impresión de la versión 3 (controladores diseñados para

integrarse más apropiadamente con el sistema operativo y para proporcionar una mejor toleran-
cia a fallas). Una de las grandes ventajas de sus controladores de impresión es que cuando fallan,
PARTE VII
no se requiere que se reinicie un servidor, sino sólo que se reinicie la cola de impresión. En rea-
lidad, WS08 puede reiniciar automáticamente la cola de impresión cuando falla, haciendo que la
falla sea transparente para la mayoría de los usuarios conectados a la impresora. El único usuario
que notará la falla es aquel cuyo trabajo causó que fallara la cola de impresión.
Esto se debe a que los controladores de Windows 2008 son de modo de usuario, en oposición
a los controladores de modo de kernel. Estos últimos controladores son de versión 2 y se usaban
en versiones anteriores de Windows. Pero un controlador de modo de kernel que falla puede hacer
que falle todo el kernel o, más bien, todo el servidor. Para proporcionar una mejor confiabilidad, los
controladores de Windows 2008 se movieron al modo de usuario. En Windows Server 2008, una
directiva de grupo predeterminada bloquea el uso de los controladores de versión 2.
NOTA En WS08, cada impresora incluye un tema especial de detección y solución de fallas bajo el
menú Ayuda. Esto le proporciona una serie de asistentes que le ayudan a depurar problemas de
impresión.
Además, una directiva de grupo bloquea la administración de impresoras remotas en nuevos
servidores de impresión. Esa directiva debe desactivarse antes de que pueda administrar servi-
dores de impresión desde la comodidad de su escritorio. Debe asegurarse de que la directiva de
grupo que afecta los servidores de impresión tenga la siguiente configuración:
• Permitir que el administrador de trabajos de impresión acepte conexiones cliente: habilitado
(Configuración del equipo | Directivas | Plantillas administrativas | Impresoras).
Esto le permitirá administrar el servidor de impresión de forma remota, aunque no se
compartan impresoras todavía. Esa directiva se activa automáticamente cuando comparte una
impresora en un servidor.
SUGERENCIA WS08 es compatible con administración de impresoras mediante un explorador, pero

esto necesita la instalación del servidor de información de Internet (IIS) en el servidor de impresión.
En casi todos los casos, debe seleccionar que no se instale ISS en sus servidores de impresión, porque
puede suceder que la administración del servidor de impresión se vuelva mucho más compleja y
WS08 es compatible con muchos otros métodos de administración de servidores de impresión remota.
SI-01: Administración de cola de impresión

Debido a que la impresión es una función que todos usan de manera cotidiana, debe realizar to-
dos los días una verificación proactiva de la cola de impresión. Para verificar el estado de impresión:
1. Lance el Explorador de Windows (área Inicio rápido | Explorador de Windows).
2. Conéctese al servidor cuyas impresoras quiere revisar empleando el nombre UNC del servidor
(\\nombreservidor). También puede buscar impresoras en los Servicios de dominio de Active
Directory.
3. Haga clic en cada impresora para ver su estado. Repare su estado, si es necesario.
4. En este caso, tal vez tenga que eliminar o pausar los trabajos y luego reiniciar la cola de impre-
sión. Todos estos comandos se encuentran bajo el mismo archivo.
También puede utilizar la línea de comandos para administrar colas de impresión:
net print \\nombreservidor\nombreimpresoracompartida
Donde \\nombreservidor\nombreimpresoracompartida es el nombre UNC de la impresora. Al
escribir este comando se muestra una lista de los detalles de la cola de impresión. También puede
utilizar los interruptores: /DELETE, /HOLD y /RELEASE para controlar los trabajos de impresión.
Debe proporcionar el número de trabajo para ello. Por ejemplo:
net print \\nombreservidor\nombreimpresoracompartida 10 /delete
SI-02: Administración del acceso a la impresora

SUGERENCIA El acceso a la impresora se controla mediante los derechos de acceso. Como siempre,
la asignación de derechos apropiados y controlados es un aspecto importante del trabajo de un
administrador de sistemas.
Existen tres derechos básicos que pueden asignarse a impresoras compartidas (Impresora |
Propiedades | ficha Seguridad):
• Imprimir
• Administrar impresoras
• Administración de documentos
Estos derechos controlan quién puede hacer cada una de las tareas en una impresora. Como
opción predeterminada, todos pueden utilizar una impresora una vez que se comparte, pero esto
puede cambiarse. Si, por ejemplo, tiene una impresora a color nueva que será reservada sólo para
los administradores, necesita cambiar sus configuraciones de seguridad predeterminadas, elimi-
nando el grupo Todos y asignando derechos de impresión al grupo Administradores. Cualquiera
que tenga derechos de impresión puede administrar sus propios documentos en la impresora.
Como opción predeterminada, los grupos Operadores de impresión, Operadores de servi-
dor y Administradores tienen control completo sobre impresoras compartidas. Esto significa que
pueden administrar documentos y detener e iniciar la cola de impresión. Debe ser un miembro
de uno de sus grupos para realizar actividades de administración de impresión.
SI-03: Administración de controladores de impresoras

Como se mencionó al principio, WS08 utiliza controladores de impresora versión 3. Tal vez
no estén disponibles para todas y cada una de sus impresoras. Si sucede así, deberá monitorear
las impresoras más de cerca, porque los controladores de la versión 2 pueden hacer que un servi-
dor deje de funcionar cuando fallan.
Ésa es la razón por la que debe revisar regularmente el sitio Web del fabricante de la impresora
para buscar controladores de impresora autorizados para Windows Server 2008. Luego, en cuanto
esté disponible un controlador de la versión 3, modifique la impresora compartida para mejorar la
confiabilidad. Asegúrese de que el controlador de la impresora incluye la certificación de Windows

Server 2008. Esto garantizará la compatibilidad del controlador de la impresora con WS08.
WS08 incluye una directiva predeterminada que evita que los controladores de versión 2 se
PARTE VII
puedan instalar (No admitir la instalación de impresoras con controladores en modo kernel, bajo
Configuración del equipo | Directivas | Plantillas administrativas | Impresoras). Si necesita utilizar
controladores de modo de kernel debido a que está utilizando impresoras antiguas, debe habili-
tar esa configuración de directiva.
PRECAUCIÓN Si desactiva esa coniguración, haga que uno de sus principales objetivos sea volver
a habilitarla en cuanto sea posible para mejorar la coniabilidad del servidor de impresión.
Por último, los controladores de impresora de modo de usuario permiten a los usuarios
establecer sus propias preferencias de impresora, pero esas preferencias se derivan de las propie-
dades que usted establezca. Asegúrese de establecer propiedades apropiadas. Por ejemplo, si la
impresora puede imprimir por los dos lados, establezca esta opción como predeterminada. Esto
facilitará el trabajo a los usuarios finales y evitará que se talen algunos árboles, al mismo tiempo.
SI-04: Recursos compartidos de impresora

Los recursos compartidos de impresora son el enfoque principal de la administración de ser-

vidores de impresión. Siempre que comparta impresoras en Windows Server 2008, se inicializará
un proceso que, al final, publicará la impresora en los Servicios de dominio de Active Directory.
Los usuarios podrán buscar en el directorio impresoras a partir del nombre, las propiedades y el
tipo de impresora. Asegúrese de ingresar la mayor cantidad posible de detalles cuando prepare
una impresora para uso compartido.
Para compartir una impresora:
1. Haga clic con el botón derecho en la impresora que desee compartir, y seleccione Compartir.
2. Haga clic en Compartir esta impresora, asigne un nombre de recurso compartido estándar a la
impresora y asegúrese de que está seleccionada la lista en el cuadro del directorio.
3. Si necesita dar soporte a sistemas de clientes diferentes de Windows 2000, XP o 2008, o si ne-
cesita dar soporte a clientes de 32 y 64 bits, entonces haga clic en Controladores adicionales.
4. En el cuadro de diálogo Controladores adicionales, seleccione los otros sistemas de Windows
a los que necesita dar soporte y luego haga clic en Aceptar. WS08 le pedirá que proporcione la
ubicación de los controladores adicionales. Identifique esta ubicación y haga clic en Aceptar.
Haga clic en Aceptar una vez más para cerrar el cuadro de diálogo Controladores adicionales.
5. Vaya a la ficha Opciones avanzadas y establezca las propiedades de cola de impresión. Selec-
cione Iniciar la impresión cuando la última página haya entrado en la cola e Imprimir primero
los documentos de la cola de impresión. Otras configuraciones pueden permanecer como
6. Vaya a la ficha Configuración y asegúrese de que el dispositivo esté configurado apropiada-
mente. Luego oprima el botón Valores predeterminados de impresión y aplique configuracio-
nes predeterminadas de impresora, como dúplex o impresión por doble lado, encuadernado y
tipo de papel en cada bandeja de papel.
7. Si necesita modificar la configuración de seguridad del recurso compartido de impresora,

utilice el procedimiento SI-01. Haga clic en Aceptar, para cerrar el cuadro diálogo propiedades
de la impresora cuando haya terminado.
NOTA Como se están volviendo más ecológicos los centros de datos, ya no tiene sentido imprimir
por un solo lado cuando una impresora tiene la capacidad de imprimir por los dos. Haga las
cuentas: se ahorrará la mitad del papel.
SI-05: Administración de la unidad para la cola de impresión

Los servidores de impresión grandes deben incluir en cola una gran cantidad de trabajos de
impresión. Eso significa una gran cantidad de actividad en disco. La mejor manera de proporcio-
nar impresión rápida y confiable consiste en dedicar una unidad de disco (o una partición) a la
cola de impresión. Esto significa que necesita preparar una unidad especial y asignar la cola de
impresión a esta unidad:
1. En el Explorador de Windows, abra Impresoras, seleccione Propiedades del servidor, del menú
Archivo (o utilice el botón derecho del ratón en cualquier lugar del panel Detalles para selec-
cionar Propiedades de servidor, del menú contextual).
2. Vaya a la ficha Opciones avanzadas y escriba la ubicación de la cola de impresión. Por ejemplo,
podría ser E:\Spool\Printers si E: fue su unidad de cola de impresión dedicada. Haga clic en
Utilice el procedimiento SA-01 de manera regular para asegurarse de que hay suficiente
espacio en la unidad para la cola de impresión.
SI-06: Administración del rastreo de ubicación de impresoras

Windows Server 2008 soporta el rastreo de la ubicación de la unidad (PLT, Printer Location
Tracking). Este componente se basa en la topología de sitio de Servicios de dominio de Active
Directory diseñada para su red. Uno de los elementos clave de la topología del sitio es la sub-
red. Cada subred incluye un nombre y una descripción. También puede incluir información de
ubicación. Esa información se almacena en forma jerárquica en las propiedades de la subred
bajo la ficha ubicación. Cada nivel está separado por una diagonal. Puede usar hasta 256 niveles
en un nombre de ubicación, aunque el nombre total de la ubicación no puede tener más de 260
caracteres de largo. Cada parte del nombre puede incluir hasta 32 caracteres. Por ejemplo, una
impresora localizada en la esquina noreste del primer piso del edificio de las oficinas centrales
podría identificarse como OC/Primer piso/Esquina noreste.
Para habilitar el rastreo de ubicación de impresora en su dominio, necesita los siguientes
elementos:
• Las subredes y sus ubicaciones ingresadas en Sitios y servicios de Active Directory
• Una convención de asignación de nombres de ubicación de impresoras
• La GPO de rastreo de ubicación habilitada
• Configuraciones de ubicación para todas las impresoras

• Configuraciones de ubicación para todas las PC y los servidores
PARTE VII
Para habilitar el rastreo de ubicación de impresora, debe habilitar la configuración del texto
Preparar el texto de búsqueda automática de la ubicación de impresora, bajo Configuración del
equipo | Directiva | Plantillas administrativas | Impresoras. Este parámetro habilita el botón Exa-
minar, en la ficha Ubicación de la impresora, y las propiedades del equipo dentro del directorio.
También habilita este botón en la herramienta Buscar impresoras. Aplique esta configuración en
una directiva de grupo que cubra todas las máquinas de su red.
Las configuraciones de ubicación de impresora están establecidas en la ficha General del
cuadro de diálogo Propiedades. Puede escribir o hacer clic en el botón Examinar para ingresar la
ubicación. Sea lo más específico que pueda.
NOTA Tiene que realizar la misma operación en todos los objetos del equipo en el directorio. Abra el
cuadro diálogo Propiedad y utilice la icha Ubicación para escribir o hacer clic en el botón Exami-
nar para ingresar la ubicación.
Ahora, siempre que los usuarios utilicen la herramienta Buscar para localizar una impresora,
la ubicación de la impresora se ingresará automáticamente en el campo Ubicación, permitiendo
que su comunidad de usuarios encuentren las impresoras cerca de ellos, sin tener que conocer
su estrategia de asignación de nombres de ubicación. Consulte el capítulo 8 para conocer más
información sobre PLT.
SI-07: Administración masiva de impresoras

WS08 ofrece una serie de secuencias de comandos de Host de creación de guiones de

Windows para realizar la administración del servidor de impresión local y remota. Entre éstas se
incluyen:
• Prncnfg.vbs administra las configuraciones de impresora.
• Prndrvr.vbs administra los controladores de impresora.
• Prnjobs.vbs administra los trabajos de impresión.
• Prnmngr.vbs administra las impresoras o las conexiones de la impresora.
• Prnport.vbs administra los puertos TCP/IP de la impresora.
• Prnqctl.vbs administra las colas de impresión.
Cada uno de estos comandos utiliza la siguiente estructura de comando:
cscript comandoimpresión.vbs
donde comandoimpresión es el nombre de la secuencia de comandos que desea utilizar. Si se
utilizan sin interruptores, esos comandos despliegan automáticamente información de ayuda.
También son estupendas herramientas para la administración de impresión remota o para las
operaciones de creación de secuencias de comandos que afectan a varias impresoras a la vez.
PRECAUCIÓN Necesita ejecutar estas secuencias de comandos desde un indicador de comandos

elevado.
NOTA También puede realizar modiicaciones masivas a las impresoras con el Microsoft Print
Migrator. Busque Print Migrator en www.microsoft.com/download para conocer más informa-
ción. Además, consulte el capítulo 12 con el mismo in.
SI-08: Evaluación del modelo de nueva impresoras

De vez en cuando, necesitará evaluar nuevas impresoras. Para imponer la confiabilidad y

simplificar su sobrecarga de administración, debe asegurarse de que todas las nuevas impresoras
cumplan los siguientes criterios:
• Incluyan un controlador firmado digitalmente de la versión 3
• El controlador de la impresora tenga la certificación “Diseñado para Windows Server 2008”
• Aparezcan en la lista del sitio Web de compatibilidad de hardware de Microsoft (HCL, Hardware
Compatibility List), en (www.microsoft.com/hcl) o incluya un controlador certificado
• Incluyan conectividad directa de red
• Incluyan características especiales
NOTA También podría decidir que no es necesario adquirir impresoras PostScript (excepto en casos
especiales, como para edición de documentos de escritorio o equipos gráicos) porque Windows
Unidriver rivaliza con las capacidades de PostScript a un menor costo.
Administración de los servicios de clúster

Una de las principales fortalezas de Windows Server 2008 es su capacidad para dar soporte a
clústeres de servidor. WS08 es compatible con clústeres de servidor, que incluyen de dos a ocho
nodos, pero depende de la edición de WS08 que utilice: la edición Enterprise da soporte a clús-
teres de entre dos y cuatro nodos y la edición Datacenter entre dos y ocho. Ni las ediciones Web
ni Standard dan soporte a clústeres de servidor (aunque permiten clústeres de equilibrio de carga
de red).
La verificación de clúster es importante porque la propia naturaleza de los clústeres consiste
en proporcionar una elevada disponibilidad. Eso sólo es posible si el clúster está operando de
manera apropiada. Si un clúster de uno o dos nodos no funciona apropiadamente, entonces ya
no tiene una solución redundante.
Existen tres herramientas de administración de clústeres:
• Administrador del servidor (Funciones | Clúster de conmutación por error).
• La consola Administración de clústeres (menú Iniciar | Herramientas administrativas | Admi-
nistración de clúster de conmutación por error).
• La herramienta de línea de comandos CLUSTER.
La última proporciona toda la funcionalidad requerida para la administración de clústeres
y también puede incluirse en una secuencia de comandos. Al escribir CLÚSTER /? en la línea de
comandos se proporciona una ayuda muy completa en esta herramienta.
SC-01: Clústeres: Veriicación del estado de clúster

PARTE VII
Los servicios de clúster dependen de la detección de los pulsos para asegurar que cada uno
de los nodos esté funcionando. Si el servicio de clúster no detecta un pulso de un nodo, automá-
ticamente se utilizarán los recursos de protección contra fallas en otros nodos.
Lo primero que debe hacer cuando verifique el estado de sus clústeres es asegurarse de que
cada uno de los nodos esté operando apropiadamente. Utilice el siguiente comando para ello:
ping nombrenodo o direcciónipnodo
donde nombrenodo es el nombre DNS del nodo o direcciónipnodo es la dirección IP física para la
tarjeta de interfaz de red pública en el nodo.
Si los nodos no responden, puede haber problemas. Verifique el estado del nodo con una
Conexión de escritorio remoto. Puede fácilmente incluir este procedimiento en secuencias de
comandos y canalizar todo el proceso en un archivo de texto (utilizando el interruptor >nom-
brearchivo.txt) y simplemente revisar los resultados de su archivo de texto.
SC-02: Clústeres: Veriicación del estatus de la cola de impresión

Los clústeres de servidor también son útiles como servidores de impresión, porque propor-
cionan conmutación por error automática tras fallas de una impresora. Sin embargo, para ello,
todas las impresoras deben usar controladores que se actualicen para cumplir con los requisitos
de Windows Server 2008. Utilice el procedimiento SI-03 para asegurarse de que está usando
controladores de impresión apropiados en el clúster del servidor.
Las colas de impresión del clúster operan de la misma manera que las normales, excepto
que proporcionan capacidades de protección contra fallas. Para verificar el estatus de la cola de
impresión de clúster, utilice el procedimiento SI-01.
SC-03: Clústeres: administración del clúster de servidores

Como se mencionó al principio, la administración de clúster normalmente se realiza con

el Administrador del servidor, la consola Administración de clúster de conmutación por error
(menú Iniciar | Herramientas administrativas | Administración de clúster de conmutación por
error), o la herramienta de línea de comando de clúster. En esencia, debe verificar que todos
los nodos de clúster operan apropiadamente y siguen estando configurados de tal manera. Se
emplean esas herramientas para agregar o eliminar nodos, agregar conjuntos de quórum (al-
macenamiento compartido en discos) y configurar replicación de conjunto de nodos de mayoría
(almacenamiento independiente en discos).
La consola Administración de clúster de conmutación por error es la herramienta más fácil
de usar para agregar o eliminar nodos de clúster, porque incluye una serie muy completa de
asistentes para realizar casi todas las tareas complejas de inclusión en clúster. Para realizar la
administración del clúster del servidor:
1. Lance Administración de clúster de conmutación por error. Si aún no lo ha hecho, utilice el

cuadro de diálogo Abrir la conexión con un clúster para conectarse con un clúster de servidor.
Los clústeres pueden administrarse local o remotamente.
2. Haga clic en el nombre del clúster y vea su estatus.
3. Haga clic en cada uno de los clústeres y vea su estatus.
4. Si tiene que agregar una nueva aplicación a este clúster, haga clic con el botón derecho en el
nombre y seleccione Configurar aplicación. Esto inicia el Asistente para nuevo servidor virtual.
Proporcione las respuestas apropiadas y seleccione el tipo de aplicación apropiado.
Entre las aplicaciones se pueden incluir recursos compartidos de archivo, cola de impresión,
DHCP, coordinador de transacciones distribuidas, cola de mensajería, instantáneas de volumen,
aplicaciones genéricas, etc. Cada tipo de aplicación específica cambiará el comportamiento del
asistente y le planteará las preguntas apropiadas para el tipo de aplicación.
También debe verificar el Registro de eventos del sistema en busca de eventos generados por
el servicio de clúster. Estos eventos son del origen ClusSvc. Utilice el procedimiento SG-03 para
revisar el registro del sistema en el Visor de eventos. Puede ordenar eventos por tipo con sólo
hacer clic en el encabezado de columna Categoría.
SC-04: Clústeres: Veriicación del estado de testigo de quórum o de recurso compartido de archivos
Un quórum depende de una colección de discos que se comparte entre miembros del clúster.
El quórum es el disco compartido que mantiene la consistencia del clúster. En WS08, el quórum
puede ser de dos tipos: unidades únicas de disco que se comparten entre todos los miembros de
clúster o un conjunto de nodos de mayoría. El último, el conjunto de nodos de mayoría, incluye
unidades de disco independientes para cada miembro de un clúster y pueden estar separados
geográficamente. El conjunto de nodo de mayoría elimina el único punto de falla de un clúster de
servidor porque utiliza un testigo de recurso compartido de archivos para determinar el estatus
del clúster, pero además también depende de la replicación para operar apropiadamente.
El servicio de clúster conserva un registro de quórum, y es mediante ese registro que man-
tiene operaciones de quórum. Este archivo de registro se llama QUOLOG.LOG y se localiza bajo la
carpeta \MSCS del quórum (%SYSTEMROOT%\CLUSTER\QUORUMGUID\MSCS).
PRECAUCIÓN El registro de quórum no es un archivo de texto regular. No trate de modiicarlo.

Utilice el procedimiento SC-03 para ver el estado del quórum. Localice el recurso de quórum
bajo Nombreclúster | Nombrenodo | Recursos activos, haga clic con el botón derecho en el
nombre del quórum y seleccione Propiedades. Esto desplegará el estatus del quórum bajo la ficha
General. También puede utilizar el menú contextual para probar fallas (Inicializar falla) o tomar el
recurso de quórum fuera de línea (Desconectar).
PRECAUCIÓN Tenga cuidado con estas operaciones. Asegúrese de que no hay usuarios en el recurso
antes de cualquier simulación de falla o desmonte de recurso de quórum.
También puede usar el comando CLUSTER /QUORUM para ver quorums disponibles.
Como siempre, puede canalizar este comando a un archivo de texto utilizando el interruptor
>NOMBREARCHIVO.TXT, y de utilizar este comando en una secuencia de comandos para automáti-

zar el procedimiento.
PARTE VII
Administrador del servidor de infraestructura de red
Otra función de servidor que es crítica para la operación de la red es la del servidor de infraes-
tructura de red. Este servidor incluye varias actividades diferentes, todas diseñadas para asegurar-
se de que los servicios de red funcionen apropiadamente.
La administración de los servidores de infraestructura de red está dividida en cinco catego-
rías. Entre éstas se incluyen el protocolo de configuración de host dinámico (DHCP, Dynamic
Host Configuration Protocol) y el servicio de asignación de nombres de Internet de Windows
(WINS, Windows Internet Naming Service), los servidores de implementación que ejecutan los
servicios de implementación de Windows, los servidores de equilibrio de carga de red (NLB, Net-
work Load Balancing), los servidores que controlan acceso remoto o conexiones de red privada
virtual (VPN, Virtual Private Network) y servidores de directiva de acceso a red. En la tabla 13-5
se presentan las actividades de administración que debe realizar de manera cotidiana para ase-
gurar la operación apropiada de los servicios de red que entrega, tanto en el nivel de almacén de
recursos como en el de la comunidad de usuarios. También identifica la frecuencia de cada tarea.
NOTA Recuerde que debe utilizar las zonas de nombres globales de DNS (GNZ, GlobalNames
Zones) en lugar de los servidores WINS, si es posible. Consulte el capítulo 6 para conocer más
información.
Observe que en esa tabla no se incluye el servicio de asignación de nombres de dominio
(DNS, Domain Naming Service). Aunque este servicio se ha vinculado tradicionalmente con las
infraestructuras de red, hoy en día está unido a los Servicios de dominio de Active Directory por-
que forma la base de la estructura jerárquica de ADDS. Como tal, se cubrirá en la administración
del servidor de identidad.
Tal vez no necesite realizar todas estas actividades porque no utiliza algunos de los servicios
mencionados aquí. Por ejemplo, las redes grandes rara vez dependen de Windows Server para
acceso remoto. En caso de que sea así, simplemente ignore la tarea.
Tal vez también use un calendario diferente. Recuerde personalizar la lista de tareas para
adaptarla a su entorno.
NOTA Casi todas las actividades de esta sección requieren derechos administrativos locales o dere-
chos apropiados de delegación del servicio apropiado.
Administración de servidores DHCP/WINS

Tanto DHCP y como WINS (si lo usa) son servicios que se han vuelto muy confiables en redes de
Windows. Esto es aún más así con Windows Server 2008 y es una de las razones por las que casi
toda las tareas de esta categoría se realizan de manera ad hoc. En relación con WINS, otra razón
es el hecho de que las redes de Windows dependen cada vez menos de este servicio. Casi todas
las redes de hoy en día incluyen el servicio para fines de compatibilidad y, con Windows Server
2008, puede reemplazarse con GNS de DNZ. Las organizaciones dependen cada vez menos de
este servicio a medida que las aplicaciones de red evolucionan. No obstante, cada tarea de verifi-
cación en esta lista aún se debe realizar por lo menos una vez al mes.
Número de Almacén Ofrecimiento de

DHCP/WINS
DW-01 Veriicación del estado del servidor de DHCP Semanal X
DW-02 Veriicación del estado del servidor de WINS Mensual X
DW-03 Administración de registros de WINS Ad hoc X
DW-04 Administración de atributos de DHCP Ad hoc X
DW-05 Administración del ámbito de DHCP Ad hoc X
DW-06 Administración de la reserva de DHCP Ad hoc X
DW-07 Administración de superámbitos de DHCP Ad hoc X
DW-08 Administración del alcance de multidifusión de DHCP Ad hoc X
DW-09 Administración de clases de opciones de DHCP Ad hoc X
DW-10 Autorización del servidor de DHCP/WDS Ad hoc X
Servidores de implementación
SIM-01 Administración de imágenes de WDS Ad hoc X
Clústeres de NLB
CN-01 Veriicación del estado del clúster de NLB Semanal X
CN-02 Administración del miembro de clúster de NLB Ad hoc X
Directiva y acceso a red
DR-01 Veriicación del estatus del servidor de acceso remoto Semanal X X
DR-02 Veriicación del servicio de acceso y directivas de red Semanal X X
DR-03 Veriicación de las directivas de acceso remoto Mensual X X
DR-04 Administración de conexiones VPN Ad hoc X X
DR-05 Deinición de directivas Ad hoc X X
TABLA 13-5 Lista de tareas de administración de los servicios de infraestructura de red
Las herramientas de uso más común para administrar DHCP y WINS son:
• Administrador del servidor, porque contiene acceso a ambos servicios.
• La herramienta de línea de comandos NETSH administra servicios de DHCP y WINS. Se trata de
un comando de shell; esto significa que crea un entorno de shell cuando se usan y se ingresan
comandos en esta shell una vez que se ha establecido en enfoque.
• El comando NBTSTAT también es útil con WINS. Da soporte a la administración de registros
desde la línea de comandos.
DW-01: Veriicación del estado del servidor de DHCP

Los servidores DHCP están diseñados para proporcionar un servicio que forma la base de
una red TCP/IP: direccionamiento. Cada vez que un nuevo cliente arranca, se pone en contacto
con el servidor DHCP para recibir toda la información que le permitirá que funcione en la red.
Por tanto, la operación apropiada de sus servidores DHCP es crítica.
Una vez a la semana, debe verificar la correcta operación de sus servidores DHCP. En casi
todas las redes, habrá por lo menos dos de estos servidores para proporcionar redundancia al
servicio. Estos servidores utilizarán los mismos ámbitos, pero cada uno de éstos debe estar divi-
dido en porciones 80/20: 80% hospedado en un servidor y 20% en el otro. Esto permite que cada
servidor DHCP proporcione seguridad a cualquier ámbito dado. Por supuesto, si sólo tiene 50 PC
o menos, tendrá un solo servidor DHCP.
Para verificar el estatus de sus servidores DHCP, necesita realizar tres tareas:
PARTE VII
• Revisar estadísticas de servidor
• Reconciliar ámbitos
• Revisar registros de DHCP
La primera le permite identificar el tiempo que su servidor ha estado ejecutándose y lo bien
que se desempeña. El segundo está diseñado para evitar cualquier error en un arrendamiento de
dirección de IP. DHCP almacena información detallada y de resumen acerca de arrendamientos.
Los ámbitos de reconciliación permiten a DHCP revisar ambos conjuntos de información para
ver si hay alguna inconsistencia. En caso de que se encuentren, se reparan durante este proce-
so. La tercera operación le permite ver cómo se comporta su servidor DHCP en una base diaria
(todos los registros se almacenan en un formato de un solo día).
PRECAUCIÓN Tiene que ser miembro de un grupo de administradores de DHCP local o del grupo
Administradores local para operar y conigurar el servidor DHCP.
Para revisar estadísticas del servidor:
1. Lance la consola DHCP (menú Iniciar | Herramientas administrativas | DHCP).
2. Conéctese al servidor apropiado (Acción | Conectar con otro equipo) y escriba el nombre del
3. Asegúrese de que hace clic en el servicio DHCP y que su información se despliega en el panel
Detalles. Luego haga clic con el botón derecho en DHCP para seleccionar Mostrar estadísti-
cas, del menú contextual.
4. Esto desplegará estadísticas actuales para el servidor, incluido tiempo de actividad, descubri-
mientos, ofertas, solicitudes y más. Anote estos valores en su registro DHCP semanal. Haga
clic en Cerrar cuando haya terminado.
Para reconciliar los ámbitos:
1. Una vez más, haga clic con el botón derecho en DHCP y seleccione Reconciliar todos los ám-
bitos.
2. Haga clic en Comprobar, para empezar la reconciliación.
3. Haga clic en Aceptar, cuando DHCP indique que todos los ámbitos son consistentes.
4. Haga clic en Cancelar, para cerrar la ventana Reconciliar todos los ámbitos.
Todos los eventos DHCP están almacenados dentro del registro de eventos del sistema, pero
DHCP también escribe sus propios registros. Éstos se almacenan bajo %SYSTEMROOT%\SYSTEM32\
DHCP. Estos registros están habilitados como opción predeterminada para los ofrecimientos de
DHCP IPv4 e IPv6 y son propiedades del protocolo (vea la figura 13-10).
Para ver registros de DHCP:
1. Abra una Conexión a escritorio remoto con el servidor DHCP.
2. Cuando la conexión esté abierta, lance el Explorador de Windows (vaya a Inicio rápido | Explo-
rador).
3. Vaya a la carpeta %SYSTEMROOT%\SYSTEM32\DHCP.
4. Haga doble clic en cualquiera de los registros de la última semana para verlos. Los archivos de
registro tienen el nombre DHCPSRVLOG-DIA.LOG donde día es la abreviatura de tres caracteres del
día de la semana. Cada uno de los siete archivos de registro se describe en cada semana.
NOTA La cantidad de espacio disponible en el servidor para ines de registro determinará la canti-
dad de información que DHCP almacenará en estos archivos de registro. Asegúrese de que esté
disponible espacio suiciente. Como opción predeterminada, el tamaño mínimo del registro es de
20 megabytes (MB) y el máximo es de 70 MB.
Esta configuración puede encontrarse en las propiedades del servidor de DHCP. El servidor
DHCP también almacena información de registro en el registro de eventos del sistema, pero la
información almacenada en sus propios archivos de registro es mucho más completa.
También puede usar herramientas de línea de comandos para la información acerca del ser-
vidor. Esto significa usar el comando NETSH dentro del ámbito DHCP. Para ver interactivamente
la información del servidor, utilice los siguientes comandos:
netsh
dhcp
server NombreServidor
show all
donde NombreServidor es el nombre DNS del servidor al que desea conectarse. En esencia, el pri-
mer comando abre la consola NETSH, el segundo establece el ámbito DHCP, el tercero establece el
enfoque en un servidor específico y el último solicita información acerca del servidor. Para salir de
la consola de NETSH, escriba:
quit
SUGERENCIA Para ver la información acerca de los comandos NETSH DHCP, escriba /? en el indica-
dor de comandos netsh dhcp>.
FIGURA 13-10
El registro de auditoría
de DHCP está habilitado
como opción
predeterminada.
Para recolectar información automáticamente acerca de un servidor DHCP, escriba:

netsh dhcp server NombreServidor show all >nombrearchivo.txt
PARTE VII
donde NombreServidor es el nombre DNS del servidor DHCP y nombrearchivo.txt es el nom-
bre del archivo de salida en que desea que se almacene la información. Puede poner una serie
de estos comandos en un archivo de comandos y utilizar el procedimiento SG-21 para generar
automáticamente los archivos de salida cada semana. Esto le ayuda a identificar rápidamente el
estado de todos los servidores DHCP en su red.
NOTA Observe la estructura del comando NETSH. Funciona interactivamente si presiona ENTER
después de que escribe cada parte de un comando, o funciona en un modo de procesamiento por
lotes si escribe una cadena de comandos completa a la vez.
DW-02: Veriicación del estado del servidor WINS (opcional)

Aunque los servidores WINS sólo se usan para dar soporte a aplicaciones heredadas, tam-
bién se requieren en casi todas las redes grandes. Una vez al mes, debe verificar la operación
apropiada de sus servidores WINS. En casi todas las redes, habrá por lo menos dos servidores
WINS para proporcionar redundancia al servicio. Estos servidores deben ser socios de replicación
utilizando conexiones persistentes.
Para verificar el estatus de sus servidores WINS, debe realizar tres tareas:
• Revisar estadísticas de servidor.
• Revisar completamente la base de datos para eliminar registros inactivos.
• Revisar registros de WINS en busca de errores.
Tal vez necesite revisar la consistencia de la base de datos y del ID de la versión. La última
trata con la manera en que WINS administra la replicación. A cada registro se le da un ID de
versión. Los registros con el ID de versión más elevado se replican en los socios del servidor.
PRECAUCIÓN Tiene que ser miembro del grupo Usuarios de WINS o del grupo de Administradores
para operar y conigurar el servidor WINS.
Para revisar las estadísticas del servidor:
1. Lance la consola WINS (menú Iniciar | Herramientas administrativas | WINS).
2. Conéctese al servidor apropiado mediante Acción | Conectar con otro equipo. Escriba el nom-
bre de servidor (\\nombreservidor) o utilice el botón Examinar para localizarlo. Haga clic en
3. Asegúrese de hacer clic en el servicio WINS y de que su información se despliega en el panel
Detalles. Luego haga clic con el botón derecho en WINS para seleccionar Desplegar estadísti-
cas, del servidor del menú contextual.
4. Eso desplegará estadísticas actuales para el servidor, incluidos tiempo de actividad, descubri-
mientos, ofrecimientos, solicitudes y más. Tome nota de estos valores en su registro de WINS
mensual. Haga clic en Cerrar cuando haya terminado.
Puede utilizar el mismo menú contextual para seleccionar Rastrear base de datos, Compro-
bar consistencia de bases de datos y Comprobar consistencia del ID de versión.
También puede usar herramientas de línea de comandos para ver información acerca del
servidor. Esto significa el uso del comando NETSH dentro del ámbito de WINS. Para recolectar
automáticamente información acerca del servidor WINS, escriba:
netsh wins server nombreservidor show statistics >nombrearchivo.txt
donde nombreservidor es el nombre DNS del servidor WINS y nombrearchivo.txt es el nombre
del archivo de salida en que quiere almacenar la información. Puede poner una serie de estos
comandos en un archivo de comandos y utilizar el procedimiento SG-21 para generar automá-
ticamente los archivos de salida. También puede incluir el comando INIT SCAVENGE en estos
archivos para iniciar automáticamente la revisión de sus servidores.
SUGERENCIA También puede recolectar información interactivamente al escribir sólo cada coman-
do. Para ver la información acerca de NETSH WINS escriba /? en el indicador de comandos NETSH
WINS>.
Los servidores WINS en Windows Server 2008 dan soporte a compactación dinámica de base
de datos. Esto significa que cada vez que la base de datos del servidor se ha actualizado y que el
servidor está vacío, tratará de recuperar espacio perdido dentro de su base de datos. Desafortu-
nadamente, esto no recupera todo el espacio perdido. Por tanto, debe compactar manualmente
la base de datos al menos una vez al mes para recuperar todo el espacio perdido. Para ello, debe
llevar fuera de línea al servidor WINS.
Use la siguiente serie de comandos para detener el servicio, compacte la base de datos y
reinicie el servicio:
sc \\nombreservidor stop wins
timeout /t 300
netsh wins server nombreservidor init compact
sc \\nombreservidor start wins
Aquí, el comando de tiempo de espera para desconexión es necesario para asegurarse de que
el servicio WINS se ha detenido antes de que empiecen la compactación. Puede insertar estos
comandos en un archivo de comandos y usar el procedimiento SG-21 para realizar automática-
mente esta operación de manera mensual.
DW-03: Administración de registro de WINS (opcional)

De vez en cuando, el registro de WINS de una máquina determinada no aparece en la base
de datos. Esto puede ser causado por diversas razones: el cliente no puede encontrar el servidor
WINS, el servidor está ocupado cuando llega un registro y no puede incluirse en una base de
datos, el servidor no replica un registro, etcétera.
Aquí es donde se vuelve útil el comando NBTSTAT. Puede usarse para actualizar información
de NetBIOS en equipos individuales. El comando más simple para esto es:
nbtstat -RR
Este comando libera la información contenida en el servidor de WINS y actualiza la informa-
ción del NetBIOS. Debe realizarse en el equipo cuyo registro está actualizando.
Para conocer más información sobre este tipo de comandos, escriba NBTSTAT en el indicador
de comandos.
PARTE VII
DW-04: Administración de atributos de DHCP
Junto con las direcciones IP, los servidores DHCP proporcionan atributos de dirección IP a
sus clientes. Esos atributos son globales (es decir, se proporcionan a todos los clientes) o locales
(es decir, se proporcionan a sólo aquellos clientes dentro de un ámbito de dirección determina-
do). Estos atributos pueden cambiar de vez en cuando, por tanto, necesitará modificar atributos
existentes o agregar nuevos atributos.
En la consola DHCP, estos atributos se llaman opciones de ámbito. Las opciones de ámbito
global suelen incluir por lo menos lo siguiente:
• 003 Enrutador La dirección de un enrutador.
• 006 Servidores DNS La dirección de por lo menos dos servidores DNS.
• 015 Nombre de dominio DNS El nombre de dominio del ámbito.
• 044 Servidores WINS/NBNS La dirección de por lo menos dos servidores WINS (opcional).
• 046 Tipo de nodo WINS/NBT Esto debe establecerse en nodo H (opcional). La resolución
de nodo H es la mejor, aún en redes de área amplia, porque reduce en gran medida la canti-
dad de transmisión en cada red.
SUGERENCIA Los servidores DNS se coniguran globalmente aquí para asegurar que todos los
clientes siempre tengan una dirección DNS válida; aunque en Windows Server 2008, con la
integración de Servicios de dominio de Active Directory, el servicio DNS está acoplado al servicio
Controlador de dominio, colocando un servidor DNS en cada lugar donde hay un DC. Debe so-
brescribir los valores globales con valores de ámbito local debido a que las opciones de ámbito local
deben ahora incluir el servidor DNS local, porque DNS ahora está integrado con ADDS y cada
cliente debe encontrar el servidor DNS más cercano, que suele ser uno que es local a su red (sobre
todo en oicinas regionales).
Para configurar opciones de ámbito:
2. Conéctese al servidor apropiado (Acción | Conectar a otros equipos), y escriba el nombre del
3. Vaya al servicio DHCP (Servicios y aplicaciones | DHCP).
4. Para modificaciones globales, haga clic con el botón derecho en Opciones de servidor, bajo el
protocolo apropiado, y elija Configurar opciones, del menú contextual.
5. Configure o modifique las opciones que necesite (o como se delineó antes). Haga clic en
Esto establecerá las opciones globales para todos los ámbitos en este servidor.
Para configurar las opciones de ámbito local, expanda el ámbito al hacer clic en él y utilice el
mismo procedimiento, pero esta vez con las opciones de ámbito.
Para modificar opciones de ámbito global o local mediante la línea de comandos, utilice el
siguiente comando:
netsh dhcp server nombreservidor add optiondef parámetros

donde nombreservidor es el nombre DNS del servidor DHCP y parámetros incluye los detalles
de la modificación que desea hacer. Utilice ADD OPTIONDEF /? para conocer detalles sobre las
opciones de los parámetros.
DW-05: Administración del ámbito de DHCP

De vez en cuando, también necesitará agregar, eliminar o modificar ámbitos de DHCP. Si
utiliza la regla 80/20 para redundancia del ámbito (creando un ámbito en dos servidores y habi-
litando 80% del ámbito en uno y 20% en el otro), necesitará crear cada ámbito y excluir el rango
apropiado en cada servidor. Una vez que todos los ámbitos se hayan creado, debe unirse a ellos
en un superámbito, que son agrupaciones de ámbitos para permitir al servidor DHCP utilizar
más de una red. Son necesarias cada vez que se usa trabajo en varias redes. Utilice el superám-
bito para incluir todos los ámbitos en un conjunto de rangos de servidor. El contenido de los
superámbitos debe ser el mismo en cada uno de los servidores que administra. Utilice el procedi-
miento DW-07 para la administración de superámbitos.
Para configurar un ámbito DHCP:
3. Haga clic con el botón derecho en el protocolo cuyo ámbito desea configurar, bajo el elemento
DHCP, y seleccione Ámbito nuevo del menú contextual. DHCP lanzará el Asistente para ámbito
nuevo. Este asistente le permite insertar todos los valores para el ámbito: nombre, descripción,
dirección de inicio, dirección final, exclusiones e incluso opciones específicas del ámbito.
4. Necesita activar el ámbito una vez que haya terminado. Es mejor esperar a la activación en esta
etapa. Esto le permite revisar todos sus valores antes de que el ámbito empiece a servir solicitudes.
5. Recuerde excluir 80 o 20% del ámbito, dependiendo de dónde quiere que la parte principal del
ámbito esté hospedada.
Para modificar ámbitos, haga clic con el botón derecho en el ámbito y seleccione Propiedades.
Para eliminar un ámbito, desactívelo primero y luego elimínelo mediante el menú contextual.
Para crear o eliminar un ámbito mediante la línea de comandos, utilice los siguientes comandos:
netsh dhcp server nombreservidor add scope parámetros
netsh dhcp server nombreservidor delete scope parámetros
donde nombreservidor es el nombre DNS del servidor DHCP y parámetros incluye los detalles de
la modificación que quiere hacer. Utilice ADD SCOPE /? o /DELETE SCOPE /? para conocer los
detalles de la configuración.
DW-06: Administración de la reserva DHCP

Las reservas de direcciones se utilizan para asegurar que máquinas específicas siempre
reciban la misma dirección, pero aún obtengan los beneficios del direccionamiento dinámico.
Ejemplos de donde utilizaría reservas de dirección son servidores, controladores de dominio y

máquinas cliente que ejecutan aplicaciones que pueden tener direcciones IP incluidas en código.
Para asegurarse de que cada máquina reciba siempre la misma dirección, debe configurar su
PARTE VII
reserva de dirección en cada servidor DHCP que pueda responder a solicitudes de máquinas que
requieren una reserva. Esto asegura que sus clientes no reciban una dirección dinámica por error.
SUGERENCIA Necesitará la dirección de control de acceso a medios (MAC, Media Access Control)
para cada una de las tarjetas de red para las que desee reservar una dirección IP. Las direcciones
MAC pueden desplegarse al escribir IPCONFIG /ALL en el indicador de comandos del sistema
para la cual es necesaria la reserva.
Para configurar una reserva de dirección:
2. Conéctese al servidor apropiado (Acción | Conectar con otro equipo), y escriba el nombre del
3. Seleccione el ámbito apropiado para crear reservas dentro de él. Haga clic en Reservas en el
panel de árbol y luego haga clic con el botón derecho en Reservas.
4. Elija Reserva nueva del menú contextual.
5. Rellene los detalles de la reserva. Cierre el cuadro de diálogo al hacer clic en Agregar. Repita
conforme sea necesario.
SUGERENCIA Si utiliza DHCP para asignar direcciones estáticas a servidores, debe asegurarse de
que la coniguración alterna de las propiedades de protocolo de Internet (TCP/IP) de cada tarjeta
de red esté en los mismos valores que la reserva. Utilice Panel de control|Conexión de red para
ver las propiedades IP de cada tarjeta de red.
DW-07: Administración de superámbitos de DHCP

Los superámbitos son agrupamientos de ámbitos que dan soporte a la asignación de varios
ámbitos que administran diferentes subredes desde el mismo servidor. Los superámbitos reagru-
pan todos esos ámbitos en un solo grupo de administración. Una ventaja de utilizar superámbi-
tos es que puede activar todo el superámbito y todos sus ámbitos en un solo paso.
NOTA Los superámbitos no pueden crearse hasta que por lo menos haya creado un ámbito en un
servidor DHCP.
Para crear un superámbito:
2. Conéctese al servidor apropiado (Acción | Conectar con otro equipo) y escriba el nombre de
3. Una vez que haya creado por lo menos un ámbito, haga clic con el botón derecho en DHCP y
seleccione Superámbito. Esto lanzará el Asistente para crear superámbito nuevo. Haga clic en
Siguiente para seguir adelante.
4. Asigne un nombre al superámbito y luego seleccione los ámbitos que serán parte de él. Cierre
el cuadro de diálogo cuando haya terminado.
Una vez que se ha creado un superámbito, pueden agregársele nuevos ámbitos de una de
dos maneras: el ámbito puede crearse dentro del superámbito al hacer clic con el botón derecho
en el nombre de éste y seleccionar Ámbito nuevo, o puede crearse fuera del superámbito y agre-
garlo una vez que se haya creado. Esto se hace al hacer clic con el botón derecho en el ámbito y
seleccionar Agregar a superámbito.
Todos los ámbitos necesitan activación antes de que puedan empezar a servir a los clientes.
Puede activar varios ámbitos a la vez al activar un superámbito. Revise la configuración de cada
ámbito para asegurarse de que sean apropiados, y luego active el superámbito. Para ello, haga clic
con el botón derecho en el nombre del superámbito y seleccione Activar del menú contextual.
SUGERENCIA La activación del ámbito también puede actuar como un mecanismo de seguridad
contra fallas, porque puede crear ámbitos sobrantes en cada servidor antes de que en realidad se
necesiten y activarlos sólo cuando sean necesarios.
DW-08: Administración del ámbito de multidifusión de DHCP

La multidifusión es muy diferente de la unidifusión en que una sola dirección se usa para
varios clientes. La ventaja de la multidifusión es que una sola difusión pueden recibirla varios
clientes a la vez, reduciendo de manera importante el tráfico de red. La multidifusión puede
usarse cuando se envían archivos grandes a varios clientes y se espera reducir el tráfico de red
general. Ejemplos de uso de multidifusión son la videoconferencia, las implementaciones gran-
des de software y el flujo de audio.
El servidor DHCP de Windows Server 2008 también puede soportar la asignación de varios ám-
bitos. Cuando lo hace así, opera utilizando el protocolo de asignación de clientes dinámicos de direc-
ción de multidifusión (MADCAP, Multicast Address Dynamic Client Allocation Protocol). Los rangos
de direcciones de multidifusión están concentrados en las direcciones IP de clase D. Estos rangos van
de 224.0.0.0 a 239.255.255.255. Las direcciones en esta clase sólo pueden usarse para multidifusión.
Cuando se utiliza el ámbito de multidifusión internamente, tiende a trabajar con ámbi-
tos de multidifusión administrativa. El rango más recomendado para este ámbito empieza con
239.192.0.0 y utiliza una máscara de subred 255.252.0.0 (14 bits de longitud). A este rango se
le conoce como ámbito local de organización IPv4 y está orientado al uso por parte de organiza-
ciones que establecen privadamente ámbitos de multidifusión para uso interno. El uso de esta
dirección puede crear hasta 262 144 direcciones de grupo.
Para crear un ámbito de multidifusión:
3. Haga clic con el botón derecho en el elemento DHCP y seleccione Nuevo ámbito de multi-
difusión del menú contextual. DHCP lanzará el Asistente para crear ámbito de multidifusión.
Este asistente le permite incluir todos los valores del ámbito: nombre, descripción, dirección
de inicio, dirección final y exclusiones.
4. También puede activar el ámbito mediante el asistente. Hágalo sólo si está seguro de que
todos sus parámetros son correctos.
5. Haga clic en Finalizar cuando haya terminado.
PARTE VII
También puede crear ámbitos de multidifusión mediante la línea de comandos. Utilice el
siguiente comando:
netsh dhcp server nombreservidor add mscope parámetros
donde nombreservidor es el de DNS del servidor de DHCP y parámetros incluye los detalles de las
modificaciones que desea hacer. Utilice add MSCOPE /? para conocer los detalles de la configura-
ción de parámetros.
DW-09: Administración de clases de opciones de DHCP

Windows Server 2008 da soporte al uso de clases dentro de DHCP. Se da soporte a dos
clases: de usuario y de proveedor. Cada una puede usarse para identificar máquinas específicas y
proporcionar las configuraciones particulares. Un ejemplo de una clase de usuario útil es una es-
pecial de usuario para clientes móviles. Al identificar a los clientes móviles, puede diferenciarlos
de los clientes de escritorio y establecer su duración de arrendamiento en un periodo más corto
que el de las estaciones de trabajo de PC en su red. Por tanto, cuando un usuario móvil va de un
sitio a otro, las direcciones se liberan al dejar el sitio.
Las clases de usuario son muy útiles cuando quiere designar asignaciones DHCP especiales
para clases específicas de máquinas en su red. Las clases de proveedor suelen usarse cuando
puede garantizar que todos los usuarios tienen máquinas del mismo proveedor. Ambas clases
permiten dar direcciones a sus redes de cliente mediante DHCP. Ambas deben usarse en conjun-
to para funcionar de manera apropiada.
Para definir las clases de usuario:
3. Haga clic con el botón derecho en DHCP y seleccione Definir clases de usuario.
4. Haga clic en Agregar, en el cuadro de diálogo Clases de usuario.
5. En el cuadro de diálogo Nueva clase, escriba el nombre de despliegue de la clase y la descrip-
ción, y luego coloque su cursor directamente debajo de la palabra ASCII. Escriba el nombre de
la clase. Observará que el cuadro de diálogo Nueva clase inserta los valores binarios para cada
caracter ASCII a medida que los escribe. ¡No modifique estos valores! Además, los nombres
de clase son sensibles a las mayúsculas y minúsculas. Deberá tomar nota de cómo especificó
el nombre de clase. Haga clic en Aceptar cuando haya terminado.
6. Repita el proceso para cada clase que deba agregar. Cuando se hayan agregado todas las cla-
ses, haga clic en Cerrar para regresar a la consola DHCP.
7. A continuación, haga clic con el botón derecho en el elemento Opciones de servidor, y se-
leccione Configurar opciones. Vaya a la ficha Opciones avanzadas y seleccione Opciones de
Microsoft Windows 2000 como clase de proveedor y Usuarios móviles como clase de usuario.
8. Establezca el valor en el número 02, Concesión de DHCP para la versión de Microsoft en la

opción de apagado, al seleccionar la casilla de verificación correspondiente.
9. A continuación, cambie la clase de proveedor a Opciones estándar de DHCP para establecer
la opción 51, Concesión. El valor está en 0xsegundos, donde segundos es el número de segun-
dos de la duración del arrendamiento. Por ejemplo, 0x86400 significa 24 horas.
10. Por último, necesitará establecer esa clase de usuario en todos los sistemas móviles. Para ello,
debe utilizar el comando IPCONFIG en cada equipo. Esta configuración puede realizarse en la
puesta en funcionamiento de la PC. La estructura de comandos es como sigue:
ipconfig /setclassid nombre_adaptador id_clase
Por ejemplo, si su ID de clase es “TandTMóvil”, el comando sería:
ipconfig /setclassid “Local Area Connection” TandTMóvil
SUGERENCIA Los ID de clase son sensibles a mayúsculas y minúsculas. Debe escribir las palabras
del ID de clase exactas para que funcione apropiadamente.
Las opciones de clase definidas por el usuario pueden asignarse al servidor o a las opciones
de ámbito, dependiendo de si se aplican a sistemas en todos los ámbitos o sólo a los sistemas de
ámbitos específicos.
SUGERENCIA Las clases deinidas por el usuario también son útiles para la asignación de nombres
de dominio a sistemas que están localizados en ubicaciones físicas pero que utilizan dominios múl-
tiples. Por ejemplo, si tiene usuarios en la misma ubicación física que usan diferentes dominios,
como una intranet y un dominio de desarrollo, puede utilizar una clase deinida por el usuario
para asegurarse de que los sistemas registran valores DNS en el controlador de dominio DNS
apropiado. Utilice la clase deinida por el usuario sólo para el número más pequeño de sistemas.
Esto facilitará la puesta en funcionamiento y administración de los sistemas.
Para agregar una clase mediante la línea de comandos, utilice los siguientes comandos:
netsh dhcp server nombreservidor add class parámetros
donde nombreservidor es el nombre DNS del servidor DHCP y parámetros incluye los detalles de
las modificaciones que quiere hacer. Utilice ADD CLASS /? para conocer los detalles de la confi-
guración.
DW-10: Autorización del servidor de DHCP/RIS

En una red de Windows Server 2008 que utiliza Active Directory, deben autorizarse los
servidores que afectarán a varios sistemas. Esto incluye servicios DHCP, además de servicios
de instalación remota (RIS, Remote Installation Services). Esa característica está diseñada para
asegurarse de que equipos falsos no puedan enviar direcciones falsas a clientes. También es útil
porque puede configurar su servidor, revisar todas las configuraciones y corregir posibles errores
antes de colocar el servidor en servicio.
PRECAUCIÓN La autorización del servidor sólo pueden hacerla usuarios con las credenciales
apropiadas. Debe ser un administrador de dominio para activar un servidor.
Para autorizar un servidor:

PARTE VII
3. Dependiendo del servicio que esté autorizando, haga clic con el botón derecho en DHCP y
seleccione Administrar servidores autorizados del menú contextual.
4. Haga clic en Autorizar, escriba el nombre de servidor que desea autorizar y haga clic en Aceptar.
5. Haga clic en Cerrar cuando haya terminado.
Su servidor está listo para servir a los clientes.
Servidores de implementación
Windows Server 2008 incluye una tecnología de implementación central: Servicios de implemen-
tación de Windows (WDS, Windows Deployment Services). WDS puede utilizarse para servi-
dores y estaciones de trabajo, pero en el centro de datos dinámico es más útil para estaciones
de trabajo, porque los servidores se implementan mediante la replicación de un equipo virtual
para ofrecimiento de servicios virtuales o la replicación de una partición de almacenamiento
compartida para almacenes de recursos. WDS depende del uso de la tarjeta de red del entorno
de ejecución previo al arranque (PXE, Preboot eXecution Environment). Esto significa que puede
iniciar un nuevo equipo que no incluya un sistema operativo, oprimir F12 durante la secuencia de
arranque, iniciar desde la tarjeta de interfaz de red y seleccionar el sistema operativo que habrá
de instalarse a partir de las opciones que se le presentan.
También puede usar WDS para implementar sistemas operativos en máquinas sin dispo-
sitivos conectados mediante el uso de Windows PE. Debido a que WDS utiliza la secuencia de
arranque de una tarjeta de red para ponerse en contacto con la máquina que habrá de ponerse
en funcionamiento, debe proporcionar a esta máquina una dirección IP, de manera muy parecida
a como lo hace DHCP. Debido a esto, WDS también debe estar autorizada en los Servicios de
dominio de Active Directory para funcionar.
Los servidores de WDS se administran principalmente mediante la interfaz gráfica (porque
suelen tener sólo unos cuantos tipos de servidores en cualquier red).
SIM-01: Administración de imágenes de WDS

De vez en cuando, necesitará modificar o actualizar las imágenes de instalación de WDS. La
modificación se da cuando se agregan nuevos componentes para agregar imágenes completas,
como paquetes de servicio, correcciones activas y otras actualizaciones de programa.
Debe utilizar el Asistente para agregar imagen, para agregar o actualizar una imagen:
1. Instale y personalice el sistema de referencia. Esto también debe incluir cualquier software
adicional, además de la personalización de elementos, como el perfil predeterminado de usua-
rio, la personalización de escritorio y la configuración de herramientas.
2. Capture la imagen utilizando ImageX (consulte el capítulo 4) y almacénelo en la carpeta de
imágenes de WDS.
3. Lance la consola WDS (menú Iniciar | Herramientas administrativas | Servicios de implemen-
tación de Windows).
4. Expanda el panel de árbol para ver la carpeta Imágenes de instalación, en el servidor en que se
está trabajando.
5. Haga clic con el botón derecho en la carpeta y seleccione Agregar imagen de instalación. Eso
lanza el Asistente para agregar imagen.
6. Las imágenes se almacenan en grupos de imágenes. Si no encuentra un grupo de imágenes,
el asistente empezará por solicitarle que cree uno. Cree el grupo de imágenes o seleccione el
apropiado para almacenar esta imagen. Haga clic en Siguiente.
7. Señale la imagen que quiere cargar. Las imágenes se encuentran en formato .wim. Seleccione
la imagen y haga clic en Aceptar. Haga clic en Siguiente.
8. Asigne un nombre a la imagen y agregue una descripción. Haga clic en Siguiente. El sistema
validará la imagen.
9. Haga clic en Finalizar cuando haya terminado.
Utilice el mismo proceso para agregar una imagen de arranque.
También puede realizar esas tareas desde la línea de comandos. Utilice las siguientes líneas
para realizar las mismas operaciones:
wdsutil /add-image /imagefile:\\nombreservidor\nombrerecurso\nombreimagen.wim
/imagetype:install
wdsutil /add-image /imagefile:\\nombreservidor\nombrerecurso\nombreimagen.wim
/imagetype:boot
Las imágenes se validan y después se cargan en el almacén WDS.
NOTA Las instrucciones paso a paso para realizar otras operaciones de WDS pueden encon-
trarse en http://technet2.microsoft.com/WindowsVista/en/library/9e197135-6711-4c20-bfad-
fc80fc2151301033.mspx?mfr=true.
Clústeres de NLB
El servicio Equilibrio de carga de red (NLB) proporciona una elevada disponibilidad y escalabili-
dad para servicios de IP (tanto TCP como UDP) y aplicaciones al combinar hasta 32 servidores en
un solo clúster. Los clientes acceden al clúster de NLB al acceder a una sola dirección IP de todo
el grupo. Los servicios de NLB redirigen automáticamente al cliente a un servidor de trabajo.
Están instalados como opción predeterminada en Windows Server 2008. Los clústeres de NLB
son útiles para servicios de terminal de equilibrio de carga, flujo de medios, aplicaciones Web y
servidores de red privada virtual.
Se usan dos herramientas para administrar clústeres de NLB:
• El Administrador de equilibrio de carga de red es una interfaz gráfica que proporciona acceso a
todos los comandos de administración de NLB. Es la herramienta de administración preferida.
• NLB.EXE es una herramienta de línea de comandos diseñada para administrar clústeres de
NLB. El control remoto debe habilitarse en el clúster para que funcione NLB.EXE.
PRECAUCIÓN Se recomienda que evite activar Control remoto en clústeres en NLB y que también evite
el uso de la herramienta de línea de comandos NLB.EXE, porque expone el clúster a posible daño de
personas con intentos maliciosos. Utilice, en cambio, el Administrador de equilibrio de carga de red.
También puede iniciar el Administrador de equilibrio de carga de red de la línea de coman-
dos utilizando NLBMGR.EXE.
CN-01: Veriicación del estado de clúster de NLB

PARTE VII
Los clústeres de NLB están compuestos por varios servidores que responden a elementos
semejantes a solicitudes. Una de las mejores maneras de identificar el estatus del clúster de NLB
consiste en habilitar el registro y verificar el archivo del registro de manera regular.
Para habilitar el registro:
1. Lance el administrador de NLB (Iniciar | Herramientas administrativas | Administrador de
equilibrio de carga de red).
2. Seleccione Configuración de registro, del menú Opciones.
3. En el cuadro de diálogo Configuración de registro, seleccione Habilitar registro y, en el nom-
bre del archivo de registro, localice el archivo en C:\Toolkit y asígnele el nombre NLBLog.txt.
4. Haga clic en Aceptar para cerrar el cuadro de diálogo.
A partir de ahora, toda la actividad de NLB será registrada en el archivo NLBLog. Este archi-
vo es muy útil, aunque toda la actividad se despliegue en el panel inferior de la ventana del ad-
ministrador de NLB, porque éste sólo despliega información acerca de la sesión actual, mientras
el archivo de registro proporciona información acerca de todas las sesiones.
Para revisar el estatus del clúster de NLB, localice el archivo NLBLog y haga doble clic en él.
Organice la información almacenada en el archivo. Revise ese archivo de manera semanal.
CN-02: Administración de miembros de clúster de NLB

De vez en cuando, necesitará habilitar y deshabilitar los miembros de clúster de NLB para
mantenimiento y otros fines. Utilice el Administrador de equilibrio de carga de red para ello:
1. Utilice la consola Escritorio remoto para conectarse a un miembro del clúster de NLB (Escrito-
rio remoto | Nombre de la conexión).
2. Lance el Administrador de equilibrio de carga de red (Iniciar | Herramientas administrativas |
Administrador de equilibrio de carga de red).
3. Seleccione Conectarse a uno existente, del menú Clúster.
4. En el cuadro de diálogo Conectar, escriba el nombre de un host, haga clic en Conectar, selec-
cione el nombre del clúster y haga clic en Finalizar.
5. Para agregar un host al clúster, haga clic con el botón derecho en el nombre del clúster y selec-
cione Agregar host a clúster. Siga las instrucciones del asistente para completar la operación.
6. Para detener un host con fines de mantenimiento, haga clic con el botón derecho en el
nombre del host y seleccione Controlar host | Detener. Utilice el mismo procedimiento con
Controlar host | Inicio para reiniciar el host una vez que se haya realizado el mantenimiento.
7. Cierre el Administrador de equilibrio de carga de red cuando haya terminado.
La administración de su host NLB debe ser relativamente sencilla.
Directivas de red y servicios de acceso

El servicio de enrutamiento y acceso remoto (RRAS, Rounting and Remote Access Service) en
Windows Server 2008 da soporte a varias funciones:
• Administración y autorización de acceso remoto

• Conexiones VPN
• Enrutamiento dentro de redes
• Compartir conexión o traducción de dirección de red (NAT, Network Address Translation)
Mientras que son pocas las organizaciones de cualquier tamaño utilizan las características
del servicio RRAS, muchas utilizan el servicio de acceso remoto (RAS, Remote Access Service) y
conexiones VPN, sobre todo si emplean redes inalámbricas.
Están disponibles varias herramientas para administración de estos servicios. Una vez más,
la consola MMC personalizada creada en el procedimiento SG-17 será útil para administrar me-
diante la interfaz gráfica. En el caso de quienes prefieren utilizar la línea de comandos, el coman-
do NETSH proporcionará la mayor parte de la funcionalidad que requieren.
DR-01: Veriicación del estatus del servidor de acceso remoto

La primera actividad administrativa vinculada con RAS es la verificación del estatus de sus
servidores de acceso remoto. Esto debe hacerse de manera semanal.
Para verificar el estatus de un servidor RAS:
1. Lance la consola Enrutamiento y acceso remoto (menú Iniciar | Herramientas administrativas |
Enrutamiento y acceso remoto).
3. Haga clic en Estado del servidor. El estatus del servidor, incluido el número de conexiones que
administra actualmente, se desplegará en el panel de la ventana derecha.
4. Tome nota del estatus del servidor en su informe semanal.
También debe realizar el registro de actividad del servidor RAS. Este registro está almacena-
do en la carpeta %SYSTEMROOT%\SYSTEM32\LOGFILES, como opción predeterminada. Para revisar
el registro:
1. Utilice la consola Escritorio remoto para conectarse al servidor RAS que desee verificar (Escri-
torio remoto | Nombre de la conexión).
2. Lance el Explorador de Windows (área Inicio rápido | Explorador de Windows) y vaya a la
carpeta %SYSTEMROOT%\SYSTEM32\LOGFILES.
3. Localice el archivo del registro de la semana actual y haga doble clic en él. El nombre del
archivo de registro es INYYMMWW.LOG.
4. Revise de cualquier anomalía en el archivo.
NOTA Antes de que pueda ver los archivos del registro de RAS, debe conigurarlos. La conigura-
ción se realiza bajo Registro de acceso remoto (Administración de equipos|Servicios y aplicacio-
nes |Enrutamiento y acceso remoto|Registro de acceso remoto). Haga doble clic en archivo local
para establecer parámetros de registro. Seleccione cada uno de los elementos que desea registrar,
en la icha Coniguración, y establezca el formato del archivo de registro, además de la nueva fre-
cuencia de archivo en la icha Archivo de registro. Asegúrese de que la nueva frecuencia de archivo
está establecida en semanal.
DR-02: Veriicación del servicio de acceso y directivas de red

PARTE VII
Windows Server 2008 proporciona un poderoso motor para protección de redes. La protec-
ción de acceso de redes depende de dos funciones de servidor claves para proporcionar pro-
tección a las conexiones de su red. Estas conexiones pueden hacerse mediante red cableada o
inalámbrica y pueden ser internas o externas.
Cada semana, debe verificar la operación apropiada de sus servicios de acceso y directivas de
red para asegurar que la protección de acceso a redes funciona apropiadamente. La verificación
del estatus del servicio puede depender del procedimiento SG-02, que le permite revisar si el
servicio está en operación o no.
También puede depender del Administrador del servidor para verificar que la protección de
acceso a redes esté funcionando apropiadamente:
1. Utilice Escritorio remoto para conectarse al servidor apropiado, o utilice la aplicación del Ad-
ministrador del servidor que está compartida mediante RemoteApps.
2. Lance Administrador del servidor y vaya a servicios de directiva de red y acceso (Funciones |
Servicios de acceso y directivas de red).
3. Revise el estatus de su servidor en los detalles de resumen del panel de Detalles.
4. Investigue y repare cualquier evento extraño.
Esto le ayudará a asegurar que sus conexiones de red están protegidas todo el tiempo.
DR-03: Veriicación de las directivas de acceso remoto

Windows Server 2008 administra el acceso remoto mediante directivas. Estas directivas están en
un conjunto ordenado de reglas que definen si el acceso se otorga o se niega. Cada directiva consta
de un conjunto de condiciones, un conjunto de perfiles al que las condiciones se aplican y un con-
junto de permisos de acceso remoto. Las directivas se aplican en el orden en que aparecen en la lista.
WS08 le permite administrar centralmente todas las directivas de acceso en una sola ubi-
cación. Eso incluye directivas para solicitudes de conexión, red y estatus. Las directivas de RAS
están ubicadas bajo directivas de red. La configuración de las directivas se localizan bajo Admi-
nistrador del servidor | Funciones | Servicios de acceso y directivas de red | NPS | Directivas.
DR-04: Administración de conexiones VPN

Las conexiones VPN también se administran mediante Enrutamiento y acceso remoto. Éstas
incluyen conexiones externas de clientes que acceden a la red interna, además de túneles VPN
entre servidores, como en la conexión de sucursales con sitios más grandes.
Las conexiones VPN que se ejecutan en Windows Server 2008 pueden utilizar el protocolo
de entunelamiento de punto a punto (PPTP, Point to Point Tunneling Protocol) o el protocolo de
entunelamiento de capa 2 (L2TP, Layer 2 Tunneling Protocol). Debe orientarse a usar el último,
siempre que sea posible. Funciona en conjunto con el protocolo de seguridad de protocolo de
Internet (IPSec) para proporcionar conexiones más seguras que PPTP.
Para crear una nueva interfaz VPN:
1. Lance Administrador del servidor (área Inicio rápido | Administrador del servidor).
2. Vaya a Interfaces de red (Administrador del servidor | Funciones | Servicios de acceso y directi-
vas de red | Enrutamiento y acceso remoto | Interfaces de red) y haga clic en él una vez.
3. Haga clic con el botón derecho en Interfaces de red y seleccione Interfaz de marcado a peti-
ción nueva, del menú contextual. Esto lanza el Asistente para interfaz de marcado a petición.
Haga clic en Siguiente.
4. Asigne un nombre a la interfaz y haga clic en Siguiente.
5. Seleccione Conectar utilizando una red privada virtual y haga clic en Siguiente.
6. Seleccione Selección automática, o, si está seguro de que quiere usar L2TP, seleccione L2TP y
7. Inserte el nombre de la dirección de destino en el formato de nombre de host y haga clic en
Siguiente.
8. Seleccione Enrutar paquetes IP en esta interfaz y Agregar una cuenta de usuario para que un
enrutador remoto pueda conectarse, y haga clic en Siguiente.
9. Agregue la ruta remota de esta interfaz. Utilice el botón Agregar para agregar cada parte de la
ruta y después haga clic en Siguiente.
10. Escriba la contraseña para la conexión de marcado telefónico, haga clic en Siguiente, escriba
las credenciales para la conexión de marcado y haga clic en Siguiente. Haga clic en Finalizar
para crear la interfaz.
A partir de ahora, haga clic con el botón derecho en la interfaz y seleccione Propiedades,
para revisar su configuración.
DR-05: Deinición de directivas

Cada tanto, deberá definir o revisar la definición de sus directivas de acceso a red. Como se
mencionó en el Procedimiento DR-03, las directivas se localizan bajo Administrador del servidor
| Funciones | Servicios de acceso y directivas de red | NPS | Directivas. Este contenedor incluye
tres tipos de directivas:
• Directivas de solicitud de conexión
• Directivas de red
• Directivas de acceso
Cada uno contiene directivas que se usan para determinar si los sistemas pueden conectar-
se a una red o no. La configuración de directivas se realiza al ir al nodo y luego hacer clic con el
botón derecho en el subnodo de su elección. Cada proceso de definición de directiva es similar,
porque la protección de acceso a redes depende de un conjunto de asistentes para generar la
directiva. Las directivas están unidas al tipo de acceso que desee controlar. Si selecciona No
especificada, en la sección Tipo de servidor de acceso a redes, entonces la directiva se aplicará a
cualquier tipo de acceso.
Seleccione sus directivas con cuidado y verifíquelas de manera regular. No querrá recibir una
serie completa de llamadas de usuarios furiosos que no pueden conectarse a recursos internos
porque sus directivas son demasiado estrictas.
Administrador del servidor de identidad

Servicios de dominio de Active Directory es la esencia de la red de Windows Server. Administra la
PARTE VII
identidad del usuario y las cuentas del equipo; controla grupos; y da soporte a la estructuración
y organización de objetos mediante bosques, dominios y unidades organizativas. Por medio del
poder de las directivas del grupo, controla el comportamiento de los objetos que contiene.
La administración de los servidores de identidad se divide en dos categorías. Éstas incluyen la
administración de controladores de dominio y todos los objetos que contienen, además de la admi-
nistración de los servidores DNS. Aquí se contienen porque ese servicio es la base de ADDS. Sin los
servicios DNS plenamente funcionales, ADDS sería inalcanzable por completo, porque todos sus
servicios se basan en la estructura jerárquica y los registros de DNS. En realidad, para asegurar una
operación apropiada de ADDS, cada controlador de dominio también debe hospedar el servicio DNS.
En la tabla 13-6 se delinean las actividades administrativas que debe realizar de manera
continua para asegurar la operación apropiada de los servicios que entrega a su comunidad de
usuarios. También se identifica la frecuencia de cada tarea para almacenes de recursos y ofreci-
mientos de servicios virtuales.
Tal vez necesite realizar todas estas actividades porque no utiliza alguno de los servicios
mencionados aquí. También puede utilizar un programa diferente. Recuerde personalizar la lista
de tareas para adaptarla a su entorno.
NOTA Casi todas las actividades de esta sección requieren derechos administrativos de dominio o
bosque (empresarial) o derechos de delegación apropiados para el servicio adecuado.
Administración de controladores de dominio

La administración de controladores de dominio es realmente la administración de Servicios de
dominio de Active Directory. Aunque debe administrar la operación de los propios controladores
de dominio, también debe administrar el contenido de los ADDS. Esto significa el uso de una
amplia variedad de herramientas, tanto en modo gráfico como de línea de comandos. Entre las
herramientas que se usan para administrar ADDS se incluyen:
• Las cuatro consolas de Active Directory: Usuarios y equipos, Sitios y servicios, Dominios y
confianzas y Esquema.
• La consola Administración de directivas del grupo.
• La herramienta de línea de comandos CSVDE, que está diseñada para realizar operaciones
masivas de cuentas de usuario y equipos.
• El comando DS (para Directory Service, servicio de directorio), una serie de comandos que da
soporte a la administración de objetos de directorio.
• El comando LDIFDE, una herramienta poderosa que aun le permite modificar esquemas o
estructuras de base de datos de ADDS.
• El comando NTDSUTIL, que está diseñado especialmente para administrar la base de datos de
ADDS.
• Una serie de comandos orientados a la administración de directivas del grupo, como
GPRESULT, que identifica el resultado de la aplicación de GPO; gpupdate, que actualiza
GPO en un sistema; y la herramienta DCGPOFIX, que restablece el GPO a sus valores
predeterminados tras la instalación.
Ofrecimientos
Número de Almacén de servicios
procedimiento Actividad Frecuencia de recursos virtuales
Controladores de dominio
CD-01 Administración del usuario Diaria X
CD-02 Restablecimiento de la contraseña de usuario Diaria X
CD-03 Veriicación de eventos del registro del servicio de directorio Diaria X X
CD-04 Administración de cuenta Diaria X
CD-05 Administración de grupos de seguridad Diaria X
CD-06 Administración del estatus del servicio KCC Semanal X X
CD-07 Veriicación de la topología de replicación Active Directory Semanal X X
CD-08 Veriicación del estatus del catálogo global Semanal X X
CD-09 Administración del grupo de administración universal Semanal X X
CD-10 Veriicación de la directiva de cuenta Semanal X
CD-11 Veriicación de servicio ADCS Semanal X
CD-12 Veriicación de las cuentas administrativas y de servicio de Mensual X X
Active Directory
CD-13 Administración de objetos perdidos Mensual X
CD-14 Administración de delegación de derechos Ad hoc X
CD-15 Administración de la instalación de software Ad hoc X
CD-16 Administración de GPO Ad hoc X X
CD-17 Administración de objeto de equipo Ad hoc X
CD-18 Administración del grupo de distribución Ad hoc X
CD-19 Administración del bosque de ADDS Ad hoc X X
CD-20 Administración de información de ADDS Ad hoc X
CD-21 Administración de esquema Ad hoc X
CD-22 Administración del acceso al esquema Ad hoc X
CD-23 Modiicación del contenido del esquema Ad hoc X
CD-24 Evaluación de software para modiicación de esquemas Ad hoc X
Controladores de dominio
CD-25 Administración de la función Maestro de operaciones Ad hoc X X
CD-26 Transferencia de la función Maestro de operaciones Ad hoc X X
CD-27 Recuperación de desastres de Maestro de operaciones Ad hoc X X
CD-28 Promoción del controlador de dominio Ad hoc X X
CD-29 Recuperación de desastres del controlador de dominio Ad hoc X X
CD-30 Administración de conianza Ad hoc X
CD-31 Administración de estructura de bosque/dominio/OU Ad hoc X
CD-32 Administración de servicios de tiempo en bosques Ad hoc X X
CD-33 Administración de listas de control de acceso Ad hoc X
CD-34 Administración de consultas guardadas Ad hoc X
CD-35 Administración de espacio dentro de ADDS Ad hoc X X
CD-36 Administración de la directiva de consultas de LDAP Ad hoc X
CD-37 Administración de la base de datos de ADDS Ad hoc X X
CD-38 Eliminación de RODC Ad hoc X
Administración de nombres de espacio (DNS)
DN-01 Veriicación de registro de eventos DNS Diaria X X
DN-02 Administración de coniguración de DNS Mensual X X
DN-03 Administración del registro DNS Ad hoc X
DN-04 Administración de particiones de aplicaciones de DNS Ad hoc X
TABLA 13-6 Lista de tareas de administración del servidor de identidad

Debido a que el servicio ADDS es tan crítico para la operación apropiada de la red de Windows
Server 2008, se deben realizar varias actividades de manera más frecuente que con otros servicios.
PARTE VII
SUGERENCIA El centro de secuencia de comandos TechNet de Microsoft incluye una serie de hosts
de secuencia de comandos de Windows (WSH) y secuencias de comandos de ejemplo de Power-
Shell que le ayudan a realizar tareas de administración de usuarios y grupos. Éstas se encuentran
en www.microsoft.com/technet/scriptcenter/default.mspx. Debido a esto, las referencias a las
secuencias de comandos no se repetirán en cada actividad relacionada con usuarios o grupos, a
menos que haya una secuencia de comandos especíica que atienda la tarea.
CD-01: Administración de usuarios

La administración de usuarios se establece en una frecuencia diaria porque, en redes más
grandes, se necesita la creación o modificación de cuentas de usuarios de manera regular. Esta
actividad se inicia principalmente al solicitar formularios que provienen de su base de usuarios.
Como tal, a menudo se realiza de manera ad hoc durante el día, porque muchos administradores
la realizan cuando llega la solicitud. Pero si quiere estructurar su día de modo que pueda realizar
actividades de manera organizada, debe recolectar todas las solicitudes de creación o modifica-
ción de cuentas y realizar esta actividad sólo durante un periodo determinado cada día.
NOTA Esa actividad se realiza en el almacén de recursos, pero no se acerca a la frecuencia presente
en los ofrecimientos de servicio virtual.
Para crear un nuevo objeto de usuario:
1. Lance el Administrador del servidor (área Inicio rápido | Administrador del servidor). La con-
sola se conecta automáticamente a su dominio predeterminado. Si necesita trabajar con un
bosque o un controlador de dominio diferente, utilice Usuarios y equipos de Active Directory
(menú Iniciar | Herramientas administrativas | Usuarios y equipos de Active Directory) y haga
clic en la parte superior del nodo de árbol para seleccionar otro bosque o dominio.
2. Vaya a la unidad organizativa (OU) apropiada. Esto debe ser algún lugar en la estructura de la
OU Persona.
3. Haga clic con el botón derecho en el panel Detalles para seleccionar Nuevo | Usuario, en el
menú contextual o utilice el icono Nuevo usuario de la barra de herramientas de la consola.
Esto activa el asistente Nuevo objeto-Usuario.
4. Este asistente despliega dos cuadros de diálogo. El primero trata con los nombres de cuenta.
Aquí usted establece el nombre completo del usuario, el nombre de despliegue del usuario, su
nombre de inicio de sesión o su nombre principal de usuario (UPN, User Principal Name), y
su nombre de nivel inferior (o previo a Windows 2000). Haga clic en Siguiente.
5. La segunda pantalla trata las restricciones de contraseña y cuenta. Escriba la de ese usuario, y
asegúrese de que la casilla de verificación El usuario debe cambiar la contraseña al iniciar una
sesión de nuevo esté seleccionada. Si el usuario no está listo para tomar posesión inmediata
de la cuenta, entonces también debe seleccionar la opción La cuenta está deshabilitada. Haga
clic en Finalizar cuando haya terminado.
PRECAUCIÓN Tenga cuidado al establecer una contraseña que nunca caduca. Si es para una cuenta
que no es de usuario, como una de servicio (cuentas que están diseñadas para operar servicios) o
para una cuenta de propósito genérico, también debe asegurarse de seleccionar la opción El usua-
rio no puede cambiar la contraseña. De esta manera, nadie puede usar la cuenta para cambiar su
contraseña.
También puede utilizar casi el mismo procedimiento para modificar cuentas existentes y
realizar operaciones como habilitar cuentas, cambiar nombre y reasignarlas.
También puede automatizar el proceso de creación de usuarios. El comando CSVDE está di-
señado para realizar modificaciones masivas de usuarios en Active Directory. Utilice el siguiente
comando para crear varios usuarios a la vez:
csvde -i -f nombrearchivo.csv -v -k >nombrearchivosalida.txt
donde -i activa el modo de exportación, -f indica el archivo de origen para la importación (nom-
brearchivo.csv); este archivo de origen debe estar en un formato de valor separado por comas
(CSV, Comma-separated Value). Además, -v coloca el comando en modo de texto extenso, y -k
le indica que ignore los errores y continúe hasta el final. Puede revisar el archivo nombrearchivo-
salida.txt para conocer los resultados de la operación.
NOTA Los archivos CSV sólo pueden crearse en Microsoft Excel. Por lo general contiene una
primera línea que indica cuáles valores deben esperarse. Por ejemplo: CN,Nombre,Apellido,
Descripción debe dar soporte a valores como fdetal,Juan,DeTal,Administrador o japineda,Jorge,
Ramos,Técnico, etc. Una vez creado, utilice Excel para guardar el archivo como un archivo CSV
(Delimitado por comas).
Si necesita migrar información de un dominio a otro, utilice el comando CSVDE para exportar
primero la información y luego importarla de un dominio a otro. Escriba CSVDE -? para conocer
más información.
NOTA También puede crear otros dos tipos de objetos de usuario. InetOrgPerson es un objeto de usuario
que tiene exactamente las mismas propiedades que el objeto Usuario. Se usa para mantener compati-
bilidad con otros servicios de directorio que no son de Microsoft. Contacto es un objeto de usuario que
no puede ser un principal de seguridad. Se crea sólo para incluir su información en el directorio.
CD-02: Restablecimiento de la contraseña de usuario

La actividad más común que los administradores deben realizar en cuentas de usuario es el
restablecimiento de contraseñas. Ésta es una de las razones por las que se establece como tarea
diaria. Dependiendo del tamaño de su red, tal vez no tenga que restablecer contraseñas diaria-
mente, pero es probable que tenga que hacerlo más de una vez a la semana.
PRECAUCIÓN Para evitar el retraso de la replicación, sobre todo cuando restablece una contraseña
de un usuario regional, siempre debe conectarse al controlador de dominio más cercano al usuario
para restablecer la contraseña. De esta manera, los usuarios no tienen que esperar a que se repli-
quen los cambios del DC central a los DC regionales para poder usar la nueva contraseña.
Para restablecer una contraseña de usuario:

1. Empiece por lanzar la parte Usuarios y equipos de Active Directory del Administrador del
servidor.
PARTE VII
2. Una vez conectado, haga clic con el botón derecho en el nombre de dominio y seleccione
Buscar.
3. Escriba el nombre del usuario en el cuadro de diálogo Buscar y haga clic en Buscar ahora.
4. Una vez que localice al usuario apropiado, haga clic con el botón derecho en su nombre y
seleccione Restablecer contraseña.
5. En el cuadro de diálogo Restablecer contraseña, escriba la nueva contraseña, confírmela y
seleccione El usuario debe cambiar la contraseña al iniciar una sesión de nuevo.
7. Notifique al usuario la nueva contraseña.
También puede cambiar contraseñas mediante la línea de comandos:
dsmod user “DNUsuario” -pwd a5B4c#D2eI -mustchpwd yes
donde DNUsuario es el nombre distinguido del usuario. Por ejemplo, “CN=Fulano de Tal,
OU=Persona, DC=Intranet, DC=TandT, DC=NET” hace referencia al usuario Fulano de Tal en
la OU persona del dominio Intranet.TandT.Net. Utilice comillas para abarcar el nombre completo
del usuario.
El directorio también almacena una gran cantidad de información que no está necesaria-
mente disponible para los administradores. Un ejemplo es la información de cuenta. Una herra-
mienta poderosa, ACCTINFO.DLL, puede encontrarse en las herramientas de bloqueo de cuenta
(búsquela en www.microsoft.com/download).
Esta herramienta debe registrarse en el servidor o la estación de trabajo utilizando la con-
sola Usuarios y equipos de Active Directory antes de que pueda utilizarla. Ejecute este comando
desde un indicador de comandos elevado:
regsvr32 acctinfo.dll
Una vez registrado, agrega una nueva ficha a la página Propiedad: La ficha Informe de cuen-
ta adicional (vea la figura 13-11). Esa ficha es muy útil porque proporciona información adicional
acerca del estatus de la cuenta y también proporciona un botón para restablecer contraseñas
regionales de usuario directamente en su DC de sitio (Establezca PWD en DC de sitio), evitando
las demoras de replicación.
PRECAUCIÓN Cuando registra este DLL, debe detener y reiniciar la consola que está usando para
que se aplique. Además, este DLL parece funcionar sólo en la consola real de Usuarios y equipos
de Active Directory, no en el Administrador del servidor. Por último, si creó una consola per-
sonalizada de acuerdo con el procedimiento SG-17, entonces debe descargar y volver a cargar el
complemento Usuarios y equipos de Active Directory para que se muestre el DLL.
CD-03: Veriicación de eventos de registro del servicio de directorio

Los Servicios de dominio de Active Directory almacenan toda la información en un regis-

tro de eventos especial, el Registro de servicios de directorio. Como todos los registros, éste se
FIGURA 13-11 Ficha Informe de cuenta adicional en la página Propiedad del usuario.
encuentra localizado bajo el encabezado Registro de eventos en Diagnóstico | Visor de eventos

| Registros de aplicaciones y servicios, del Administrador del servidor. Este registro presenta los
eventos relacionados con la operación del directorio. Cubre el servicio Revisor de la consistencia
de conocimiento (KCC, Knowledge Consistency Checker), cuyo trabajo consiste en verificar y ac-
tualizar la topología de replicación de DC; cubre la replicación de directorio; cubre el estatus de la
base de datos de ADDS, NTDS.DIT (localizado en la carpeta %SYSTEMROOT%\NTDS) y mucho más.
Utilice el procedimiento SG-03 para ver el Registro de servicios de directorio. Puede exportar
los datos para referencia, o puede tomar nota de cualquier anomalía y proceder a repararla.
Como todos los demás registros, el de servicios de directorio incluye información importante
acerca de la reparación de problemas, cuando ocurren. Registre esta actividad en su registro de
actividades diarias (procedimiento SG-06).
CD-04: Administración de cuentas

Las actividades de administración de cuentas pueden ir de una simple modificación de los

datos contenidos en la cuenta de usuario a la creación masiva de cuentas. Por esto hay varias
herramientas asociadas con esta actividad.
Además, como hay más de 200 atributos asociados con la cuenta de usuario, casi todas las
organizaciones comparten la carga de la administración de datos entre diferentes funciones. Los
usuarios, por ejemplo, son responsables de actualizar su propia información en el directorio. Esto
PARTE VII
incluye su dirección, su función en la organización, y otra información específica de la ubicación.
Los representantes del usuario son a menudo responsables de la información relacionada con
grupos de trabajo en el directorio: para quién trabaja el usuario, en cuál departamento, etc. Los
administradores a menudo se quedan con la creación de cuentas de usuario, el restablecimiento de
contraseñas, la terminación del bloqueo de cuentas y otras tareas relacionadas con el servicio. Los
usuarios actualizan su propia información mediante la herramienta Buscar, de Windows, o median-
te una herramienta de terceros; buscan su nombre en el directorio, luego modifican los campos que
están disponibles para ellos (consulte el capítulo 7 para conocer información acerca de una herra-
mienta gratuita para las actualizaciones de usuario). Los representantes de usuarios suelen trabajar
con consolas de delegación y tienen acceso sólo a los objetos de los que son responsables en el
directorio. Los administradores utilizan la consola Usuarios y equipos de Active Directory.
Los equipos también tienen cuentas que es posible administrar en Active Directory. Están
incluidas en un contenedor especial de directorio, como opción predeterminada: el contenedor
Computers. Como el contenedor Users, Computers no es un OU. Esto significa que necesita crear
previamente las cuentas en OU apropiadas o mover las cuentas a estas OU una vez creadas.
NOTA Microsoft ofrece un complemento que le permite hacer clic con el botón derecho en una cuen-
ta de equipo y seleccionar Control remoto. Ese complemento se llama Remote Control AD-on for
Active Directory Users and Computers, y se localiza en www.microsoft.com/downloads/details.
aspx?FamilyID=0A91D2E7-7594-4ABB-8239-7A7ECA6A6CB1&displaylang=en. Además,
Special Operations Software ofrece un complemento gratuito que le permite controlar equipos
de Wake-On-LAN para equipos mediante Usuarios y equipos de Active Directory en
www.specopssoft.com/products/specopsgpupdate.
Utilice los procedimientos CD-01 y CD-02 para crear nuevas cuentas o modificar existentes.
NOTA También se usa el comando CSVDE delineado en el procedimiento CD-01 para precargar el
directorio con nombres de equipos. Esto resulta realmente útil cuando necesita instalar nuevos
equipos y quiere crear todas las cuentas de equipo en una OU especíica.
CD-05: Administración de grupos de seguridad

Windows Server 2008 da soporte a dos tipos de grupos:

• Los grupos de seguridad se consideran objetos de seguridad y pueden usarse para asignar de-
rechos y permisos de acceso. Estos grupos también pueden usarse como direcciones de correo
electrónico. Los correos electrónicos enviados a grupos se reciben por cada usuario individual
que es miembro del grupo.
• Los grupos de distribución no están habilitados para seguridad. Se usan principalmente
junto con aplicaciones de correo electrónico, como Microsoft Exchange, o para distribución
de software.
NOTA Los grupos dentro de bosques plenamente funcionales de Windows Server pueden convertir-
se de un tipo a otro en cualquier momento. Por tanto, si encuentra que un grupo ya no requiere
sus características de seguridad, puede cambiarlo a un grupo de distribución y eliminar sus
derechos de acceso.
Además del tipo de grupo, Windows Server da soporte a varios ámbitos de grupo diferentes.
Los ámbitos del grupo están determinados por ubicación del grupo. Si el grupo está localizado
en un equipo local, su ámbito será local. Eso significa que sus miembros y los permisos que le
asigne afectarán sólo al equipo en que el grupo está localizado. Si el grupo se encuentra dentro
de un dominio en un bosque, tendrá un ámbito de dominio o bosque. Los modos de dominio y
bosque afectan la funcionalidad del grupo. En un bosque de Windows Server plenamente funcio-
nal, podrá trabajar con los siguientes ámbitos de grupo:
• Entre los miembros locales de dominio se pueden incluir cuentas (usuario y equipo), otros
grupos locales de dominio, grupos globales y grupos universales.
• Entre los miembros globales se pueden incluir cuentas y otros grupos globales dentro del
mismo dominio.
• Entre los miembros universales se pueden incluir cuentas, grupos globales y grupos universa-
les de cualquier lugar del bosque, o incluso entre bosques, si existe confianza.
Los grupos, sobre todo los de seguridad, tienen funciones específicas. Estas funciones están ba-
sadas en la regla AGLP. Esta regla está delineada en el capítulo 7. De acuerdo con ella, los usuarios
deben colocarse en grupos globales, los grupos globales se colocan en grupos locales de dominio o
locales y los permisos se asignan a los grupos locales de dominio o locales. Los grupos universales
se usan como puente entre dominios y bosques al colocar grupos globales dentro de ellos y colo-
carlos dentro de los grupos locales de dominio o locales para otorgar acceso a recursos.
La regla AGLP simplifica la determinación del tipo de grupo que necesita crear porque es
muy lógica. Utilice esta lógica para determinar el ámbito del grupo y el tipo del grupo cuando se
crean éstos. Eso simplifica en gran medida la administración del grupo.
Utilice el procedimiento CD-01 para crear grupos. Elija Nuevo | Grupo del menú contextual.
Siga las instrucciones del asistente para crear el grupo. Si está seguro de lo que quiere crear, utili-
ce el siguiente comando:
dsadd group “DNgrupo” -secgrp yes -scope ámbito -desc descripción
donde DNgrupo es el nombre distinguido del grupo y ámbito es “l”,“g” o “u” para cada uno de los
ámbitos disponibles. Descripción es la descripción que quiere agregar al grupo.
Para administrar los usuarios de un grupo, primero utilice el procedimiento CD-02 para loca-
lizar el grupo, luego haga doble clic en el nombre del grupo. Vaya a la ficha Miembros y haga clic
en Agregar. Escriba los nombres de los objetos que habrán de agregarse, y haga clic en Compro-
bar nombres. Si se despliegan varios resultados, seleccione el objeto o los objetos apropiados y
haga clic en Aceptar. Haga clic en Aceptar para agregar el objeto. Haga clic en Aceptar para cerrar
el cuadro del diálogo Propiedades del grupo.
NOTA También puede navegar al contenedor en que quiere que se agreguen o almacenen los objetos,
seleccionarlos, hacer clic con el botón derecho en ellos y seleccionar Agregar al grupo, para agre-
gar varios objetos a la vez.
CD-06: Administración del estatus del servicio KCC

PARTE VII
La replicación es la esencia de los Servicios de dominio de Active Directory. Ocurre dentro de un
sitio determinado si hay más de un DC en el sitio y ocurre entre sitios si hay DC localizados en dife-
rentes sitios. Como opción determinada, las rutas de replicación entre sitios las administra el servicio
KCC. Para que esto ocurra entre sitios, debe crearse por lo menos un vínculo entre cada sitio que
contiene un controlador de dominio. Este vínculo de sitio incluye información de costos. También
incluye información de programación de replicación; es decir, cuando se permite replicar al DC.
NOTA Los bosques y dominios plenamente funcionales de WS08 dependerán de la replicación de

DFS (DFSR), que sólo replica los cambios a objetos. Los dominios de bajo nivel y los bosques de-
penden del Servicio de replicación de archivos (FRS), que replica objetos completos, sin importar
cuáles cambios han ocurrido dentro de ellos.
KCC utiliza el vínculo de sitio, el programa de vínculos de sitio y la información de costo
para determinar cuándo replicar, cómo replicar (cuál ruta tomar) y el número de servidores con
los cuales replicar. Los datos que se replican entre sitios también se comprimen. DFSR comprime
datos de replicación y sólo replica deltas.
PRECAUCIÓN Valores especiales, como cambios de contraseña o desactivaciones de cuenta, se re-

plican de inmediato al emulador PDC en el dominio, a pesar de los programas especíicos de sitio.
Esto asegura que los bloqueos y los cambios de contraseña están disponibles de inmediato para
todo el dominio.
Para verificar la frecuencia de su replicación entre sitios:
1. Empiece por lanzar la parte Sitios y servicios de Active Directory del Administrador del servidor.
2. Vaya a IP de Inter-Site Transports (Funciones | Servicios de dominio de Active Directory | Sitios
y servicios de Active Directory | Sites | Inter-Site Transports | IP).
3. Haga clic con el botón derecho en el vínculo de sitio que se verifica, y seleccione Propiedades.
La frecuencia de replicación está en la ficha General bajo Replicar cada.
También puede utilizar el procedimiento CD-03 para revisar los mensajes relacionados con
KCC en el Registro de eventos de los servicios de directorio. Para realizar una revisión de consis-
tencia de KCC, utilice el comando REPADMIN:
repadmin /kcc ListaDC
Donde ListaDC es la lista de los DC que desea revisar. También puede usar el interruptor
/ASYNCH para evitar que la replicación empiece de inmediato si tiene varios DC en su lista.
NOTA El comando REPADMIN también es útil para desplegar información acerca de diferentes aspec-
tos de la replicación. Utilice REPADMIN /? para conocer más información.
SUGERENCIA El centro de comandos de TechNet de Microsoft incluye una secuencia de comando

de ejemplo de PowerShell que le ayuda a realizar tareas de administración de servicio. La encon-
trará en www.microsoft.com/technet/scriptcenter/scripts/msh/default.mspx?mfr=true.
CD-07: Veriicación de la topología de replicación Active Directory

Recuerde de la actividad: semanal
Este procedimiento está relacionado de cerca con el CD-06. Para que KCC funcione de
manera apropiada, debe definirse adecuadamente la topología de sitio. Es una buena idea com-
probar el estado de la topología de su sitio una vez a la semana, al mismo tiempo que realiza la
comprobación del servicio de KCC. Esto depende de la verificación del registro de eventos de
servicios de directorio en busca de errores orientados a la replicación. Utilice el procedimiento
CD-03 para hacerlo.
Hay varios factores importantes que hacen que funcione la replicación entre sitios. Uno de
los más importantes es la latencia de la replicación de su red. Ésta se calcula al multiplicar el
número de saltos de replicación entre los extremos más distantes de su red de área amplia por
la frecuencia de replicación que esté establecida. Por ejemplo, si tiene tres saltos (el sitio 1 debe
enviar al sitio 2, el sitio 2 al 3 y el sitio 3 al 4) y su frecuencia de replicación es la opción predeter-
minada de 180 minutos, tomará tres veces 180 minutos, o 540 minutos, replicar en el sitio 4 un
cambio que se hizo en el sitio 1. Tenga esto en cuenta cuando diseñe su topología de replicación.
Para verificar la topología de replicación:
1. Empiece por lanzar la parte Sitios y servicios de Active Directory, del Administrador del servidor.
2. Vaya a NTDS Settings (Funciones | Servicios de dominio de Active Directory | Sitios y servi-
cios de Active Directory | Sites | nombresitio | Server | nombreservidor | NTDS Settings), donde
nombresitio y nombreservidor son el sitio y el servidor que desea verificar, y haga clic en él.
3. Haga clic con el botón derecho en NTDS Settings para seleccionar Toda las tareas | Compro-
bar la topología de replicación.
4. Haga clic en Aceptar para cerrar el cuadro de diálogo Comprobar topología de replicación.
5. Oprima la tecla F5 o seleccione el icono Actualizar, de la barra de herramientas, para actualizar
las conexiones en el panel de la derecha.
También puede utilizar el mismo procedimiento para imponer la replicación si necesita
hacerlo:
1. Seleccione NTDS Settings, vaya al panel Detalles y seleccione el vínculo que desea verificar.
2. Haga clic con el botón derecho en el vínculo para seleccionar Replicar ahora, del menú con-
textual.
3. Haga clic en Aceptar para cerrar el cuadro del diálogo estatus de la replicación.
También hay dos herramientas de línea de comandos que pueden usarse para verificar el
estatus de la replicación. Para verificarlo en un DC específico:
repadmin /showreps nombreservidor
donde nombreservidor es el nombre DNS del servidor que desee revisar. Para validar las conexio-
nes DNS para replicación:
dcdiag /test:replications
Este comando presentará cualquier replicación entre controladores de dominio. Puede ca-
nalizar los resultados de ambos comandos a un nombre de archivo para guardar la información.
Ingrese cualquier anomalía en su registro de actividades semanales.
CD-08: Veriicación del estatus del catálogo global

PARTE VII
El Catálogo global es crucial para la operación apropiada de los Servicios de dominio de Ac-
tive Directory. Sin él, nadie puede encontrar ninguno de los objetos almacenados en el directorio.
De modo que debe verificarse su operación apropiada de manera regular.
Los catálogos globales contienen dos tipos de información: objetos que se han marcado
como globalmente útiles y, por tanto, deben estar disponibles para todos en todo momento, y
pertenencia al grupo universal. Por ello, debe designarse al menos un controlador de dominio en
cada sitio como servidor de catálogo global (GCS, Global Catalog Server). Además, los sitios sin
un GC pero con un DC deben tener habilitado el Caché de pertenencia a. Esto debe reducir en
gran medida la cantidad de replicación requerida entre estos sitios.
NOTA Como se delineó en el procedimiento CD-05, los grupos universales sólo deben contener otros
grupos, sobre todo grupos globales. Por tanto, no necesita replicar información cuando se modiica
la membresía global, porque hasta donde abarca al grupo universal, no ha habido cambio.
Para verificar que la información de catálogo global esté disponible en sitios remotos:
dsquery * -gc -s nombreservidor
donde nombreservidor es el nombre del servidor remoto que desea verificar. El interruptor -GC
también asegura que es un Servidor de catálogo global que responde a las respuestas. Este coman-
do debe devolver una lista de 100 resultados (el volumen predeterminado de la salida del comando
DSQUERY). Si esta consulta no funciona, utilice el procedimiento CD-07 para forzar la replicación.
También puede automatizar este proceso al colocarlo en un archivo de comandos junto con
el procedimiento SG-21.
Para que un DC se vuelva un GCS:
2. Vaya a NTDS Settings (Funciones | Servicios de dominio de Active Directory | Sitios y servi-
cios de Active Directory | Sites | nombresitio | Server | nombreservidor | NTDS Settings), donde
nombresitio y nombreservidor son el sitio y el servidor que desea verificar, y haga clic en él.
3. Haga clic con el botón derecho en NTDS Settings, y seleccione Propiedades, del menú contextual.
4. Seleccione la opción Catálogo global, en la ficha General. Haga clic en Aceptar, para cerrar el
cuadro de diálogo Propiedades.
Para establecer el almacenamiento en caché de la pertenencia al grupo universal:
2. Vaya al sitio que desee modificar (Funciones | Servicios de dominio de Active Directory | Sitios
y servicios de Active Directory | Sites | nombresitio) donde nombresitio es el sitio que desea
modificar, y haga clic en él.
3. Vaya al panel de la derecha, y haga clic con el botón derecho en NTDS Site Settings, para
seleccionar Propiedades, del menú contextual.
4. Seleccione Habilitar caché de pertenencia al grupo universal y haga clic en Aceptar, para cerrar
el cuadro de diálogo.
CD-09: Administración del grupo de administración universal

Windows Server 2008 incluye dos grupos de administración universal: Administradores de

empresa y Administradores de esquema. Estos grupos tienen otorgados los derechos más elevados
en un bosque de ADDS. Como opción predeterminada, debe asegurarse de que el grupo Admi-
nistradores de esquema esté vacío. Sólo debe contener un usuario cuando se requiera una modifi-
cación de esquema real (consulte el procedimiento CD-22). El grupo Administradores de empresa
también debe estar muy controlado. Por esto es que la operación es una actividad semanal.
Windows Server incluye una configuración de directivas de grupo que restringirá automáti-
camente el número de usuarios en los grupos. Esta directiva está localizada en: Configuración del
equipo | Directiva | Configuración de Windows | Configuración de seguridad | Grupos restringidos.
Debe agregar ambos grupos de administración universal a esta directiva. Como se mencionó,
debe establecerse que el grupo Administradores de esquema esté vacío, como opción predeter-
minada. El grupo Administradores de empresas sólo debe contener cuentas administrativas auto-
rizadas. Utilice el procedimiento CD-16 para modificar esta directiva.
PRECAUCIÓN Para asegurarse de que esta directiva se aplique a todo, haga esta coniguración en
la directiva de dominio predeterminada del dominio raíz de cada uno de los bosques que usted
administra.
Aunque establezca esta directiva, es posible que alguien con suficientes derechos adminis-
trativos y las habilidades apropiadas pueda “darle la vuelta” por breves periodos (los GPO se
actualizan cada cinco minutos en DC). Por eso debe revisar regularmente la pertenencia a estos
grupos para asegurarse de que nadie los ha modificado y se ha agregado a los grupos. También
puede usar el procedimiento de auditoría de cambios de ADDS delineado en el capítulo 10 para
atrapar todas las modificaciones a ADDS.
PRECAUCIÓN Es una buena idea crear el mismo tipo de directivas de grupo restringido para el
grupo Administradores de dominio en cada uno de los dominios de su bosque, porque este grupo
también tiene derechos elevados.
CD-10: Veriicación de la directiva de cuenta

La directiva de cuenta es la que determina cuántas cuentas se administran dentro de un

dominio específico. Esta directiva suele almacenarse dentro de la directiva de dominio prede-
terminada para asegurar que afecta a todos los objetos del dominio. La directiva de cuenta se
localiza bajo Configuración del equipo | Directiva | Configuración de Windows | Configuración de
seguridad. Los parámetros recomendados para esta directiva aparecen en la tabla 13-7. Adáptelos
a sus propias necesidades.
Necesita verificar esta directiva de manera regular, sobre todo para asegurarse de que nadie
la ha modificado inadvertidamente. Utilice el procedimiento CD-16 para verificar que su directiva
de cuenta no se ha modificado.
NOTA Puede combinar esa directiva con directivas de contraseña adicionales más inas. Consulte el
capítulo 10 para conocer más información.
PARTE VII
NOTA Todas las coniguraciones recomendadas de la directiva Kerberos están establecidas en las
coniguraciones predeterminadas de Windows Server, pero al establecerlas explícitamente se ayu-
da a los operadores de directivas de grupo para que sepan lo que en realidad es esta coniguración
predeterminada.
CD-11: Veriicación del servicio ADCS

Los Servicios de Certificate Server de Active Directory (ADCS) se usan en diversas instan-
cias dentro de la red de Windows Server. Dan soporte al sistema de cifrado de archivos; auten-
tificación inalámbrica; autenticación de tarjeta inteligente; conexiones de red privada virtual; y,
cuando se utiliza con directivas de restricciones, pueden certificar sus secuencias de comandos
y sus paquetes de software, protegiéndolas de virus incluidos en secuencias de comando. La
administración del servicio ADCS en Windows Server puede hacerse mediante el complemento
Autoridades de certificado o el comando CERTUTIL.
Utilice el siguiente comando para ver el estatus de un servidor de certificado:
certutil -cainfo -config nombremaquinaca\nombreac
donde nombremaquinaca y nombreac son el nombre del equipo y el nombre de la autoridad de
certificados para la máquina de destino.
El comando CERTUTIL es poderoso y da soporte a casi todas las operaciones relacionadas
con administración de certificados de Windows Server 2008. Para conocer más información sobre
este comando, escriba CERTUTIL /? en el indicador de comandos.
También puede utilizar Herramientas administrativas | Visor de PKI para verificar el estatus
de sus servidores ADCS en la red. Por último, también puede usar el administrador de certifica-
dos para ver los certificados relacionados con el equipo o las cuentas de usuario. Para ello, utilice
menú Iniciar | Iniciar búsqueda | CertMgr.msc.
CD-12: Veriicación de las cuentas administrativas y de servicio de Active Directory

En el procedimiento SG-05 se delinea la manera de crear cuentas de servicio y administrati-

vas. También se delinea la manera de modificar sus contraseñas de manera regular. Las cuentas
administrativas y de servicio son tipos de cuenta privilegiadas porque ambas tienen derechos
de acceso y asignación de derechos con los que no cuentan otros tipos. Por eso debe tomarse
el tiempo de verificar el estatus de estas cuentas de manera mensual. Al hacerlo, se le ayudará
a asegurarse de que no haya abusos ni errores en el uso de estas cuentas o la manera en que se
configuran.
Utilice el procedimiento CD-16 para verificar el estatus del conjunto de asignaciones de
derechos para cuentas de servicio. Utilice el procedimiento CD-09 para asegurarse de que se
controla fuertemente la pertenencia a un grupo de todas las cuentas privilegiadas. Ingrese la
información en su registro de actividades.
Configuración Recomendación Comentarios

Directivas de cuenta | Directiva de contraseña
Exigir historial de contraseñas 24 contraseñas recordadas A la velocidad de un cambio de contraseña mensual,
este valor recuerda dos años de contraseñas.
Vigencia máxima de la contraseña 42 días Es más o menos un mes y medio.
Vigencia mínima de la contraseña 2 días Esto evita que los usuarios cambien su contraseña
con demasiada frecuencia.
Longitud mínima de la contraseña 8 caracteres Éste es el umbral en el que quienes tratan de
descubrir contraseñas empiezan a tomar demasiado
tiempo en descifrarlas.
La contraseña debe cumplir los requisitos Habilitada Esto asegura que las contraseñas deban contener
de seguridad caracteres tanto alfabéticos como numéricos, en
mayúsculas y minúsculas, además de símbolos
especiales.
Almacenar contraseñas con cifrado Deshabilitado La habilitación de esta coniguración es lo mismo
reversible que almacenar contraseñas en texto simple. Esta
coniguración nunca debe habilitarse.
Directivas de cuenta | Directiva de bloqueo de cuenta
Duración del bloqueo de cuenta 60 minutos Esta coniguración determina cuánto tiempo se
bloquea una cuenta después de varios intentos de
inicios de sesión erróneos.
Umbral de bloqueo de cuenta 3 intentos de inicio de Después de tres intentos erróneos de inicio de
sesión no válidos sesión, la cuenta se bloquea.
Restablecer el bloqueo de cuenta 60 minutos Esto debe ser igual o mayor a la duración de blo-
después de queo de la cuenta.
Directivas de cuenta | Directiva Kerberos
Aplicar restricciones de inicio de sesión Habilitada (opción predeter- Esto asegura que los usuarios tengan el derecho
de usuario minada) a acceder a recursos locales o de red antes de
otorgarles un vale de Kerberos.
Vigencia máxima del vale de servicio 600 minutos (opción prede- Esto establece la duración del vale de sesión que se
terminada) usa para iniciar una conexión con un servidor. Debe
renovarse cuando se necesite.
Vigencia máxima del vale de usuario 10 horas (opción predeter- Debe ser mayor o igual que el valor previo. Debe
minada) renovarse cuando expira.
Vigencia máxima de renovación de vales 7 días (opción predetermi- Esto detalla la duración de un vale que otorga vale
de usuario nada) de un usuario. El usuario debe iniciar sesión de
nuevo una vez que este vale expira.
Tolerancia máxima para la sincronización 5 minutos (opción predeter- Kerberos usa estampas de tiempo para otorgar
de los relojes de los equipos minada) vales. Todos los equipos con un dominio están sin-
cronizados mediante los controladores de dominio.
TABLA 13-7 Coniguraciones recomendadas de directiva de cuenta
CD-13: Administración de objetos perdidos

De vez en cuando, sobre todo en bosques grandes, alguien eliminará un contenedor al

mismo tiempo que alguien más está creando un objeto en el mismo contenedor. Eso puede
ocurrir en DC completamente diferentes, pero cuando la replicación se presenta para sincronizar
los datos en los DC, el objeto recién creado ya no tiene un hogar. Cuando esto sucede, ADDS
almacena automáticamente estos objetos dentro del contenedor LostAndFound. Ese contenedor
especial administra objetos perdidos dentro del dominio. Otro contenedor especial, LostAnd-
PARTE VII
FoundConfig, administra objetos perdidos en el bosque. El último está sólo en un dominio raíz
de bosque.
Por tanto, una vez al mes, debe verificar los contenedores LostAndFound y LostAndFound-
Config en busca de objetos para determinar si deben moverse a los contenedores o simplemente
eliminarse del directorio.
Para verificar los contenedores LostAndFound:
1. Empiece por lanzar Usuarios y equipos de Active Directory del Administrador del servidor.
2. Asegúrese de que Vista avanzada está activada (Ver | Características avanzadas), y haga clic en
el contenedor LostAndFound.
3. Identifique cualquier objeto localizado dentro de esta carpeta. Decida si necesitan moverse a
otro contenedor o si debe eliminar los objetos.
Esto ocurre con menos frecuencia en bosques de WS08 debido a la nueva característica
Bloquear objeto, asignada a todos los nuevos objetos, pero aún debe verificar este contenedor de
manera regular.
PRECAUCIÓN Tenga cuidado con eliminar objetos. Asegúrese de revisar las propiedades del objeto
antes de hacerlo. En ocasiones, es mejor mover el objeto y desactivarlo mientras se comunica con
sus colegas para ver si es un objeto necesario. Recuerde que una vez eliminado, los SID se habrán
ido para siempre.
CD-14: Administración de delegación de derechos

La administración de Active Directory en entornos complejos depende del concepto de

delegación. En Active Directory, es fácil delegar actividades de administración. Las delegaciones
pueden realizarse en varios niveles: sitios, unidades organizativas o incluso dominios completos.
NOTA La delegación se hace principalmente con unidades organizativas. Los sitios y dominio rara
vez deben delegarse.
La delegación se realiza mediante el Asistente para delegación de control. Además de la
delegación de control, a menudo tiene que crear consolas personalizadas para dar a los adminis-
tradores delegados acceso a los objetos que ha delegado para ellos. Si la consola está basada en
un complemento determinado, también tendrá que asegurarse de que está instalada en el equipo
del usuario, antes de que puedan usar la consola personalizada.
NOTA También puede realizar algún grado de delegación mediante el uso de los grupos integrados
de Windows Server. Windows Server incluye grupos especiales para administración de Cuen-
tas, Copias de seguridad, Coniguración de red, Directiva de grupo, DNS, Impresión y Servidor,
además de Supervisión de rendimiento, Publicación de certiicados y más. Estos grupos deben
utilizarse junto con el asistente de delegación de control de ADDS para delegar operaciones en
ADDS.
Para delegar derechos en Active Directory:

1. Empiece por lanzar la parte Usuarios equipos de Active Directory del Administrador del servidor.
2. Localice el objeto que desee delegar, y haga clic con el botón derecho en él para seleccionar
Delegar control, del menú contextual. Esto lanza el Asistente para delegación de control. Haga
clic en Siguiente.
3. Haga clic en el botón Agregar para seleccionar los grupos que se delegan. Escriba el nombre
del grupo, y haga clic en Comprobar nombres. Seleccione el grupo apropiado de los resulta-
dos, y haga clic en Aceptar. Haga clic en Siguiente.
4. Seleccione las tareas que desee delegar, y haga clic en Siguiente. Como opción, puede crear
una tarea personalizada para delegar. Esto cambiará el comportamiento del asistente, y le
pedirá a qué tarea específica desea delegar en qué tipo de objeto.
5. Haga clic en Finalizar para cerrar el asistente y completar la delegación.
Para crear una consola personalizada, necesita iniciar el programa de consola en el modo de
autoría de la misma manera normal que se describe en el procedimiento SG-17. Compleméntela
con las instrucciones encontradas en el capítulo 7. Pruebe la consola para asegurarse de que ope-
ra como se diseñó. Ábrala en el modo de operación (en oposición al modo de autoría) al hacer
doble clic en su icono.
Puede distribuir la consola al enviarla a los administradores del archivo, pero si está basada en
un complemento que no tienen instalado, necesitará hacer esto primero. Esto puede hacerse me-
diante directivas de grupo empleando distribución de software. Si elige utilizar directivas del grupo
para la instalación de complementos, puede incluir la consola también en el mismo ejecutable
del Instalador de Windows (consulte el procedimiento CD-15). También puede usar RemoteApp
Terminal de Services para publicar la consola. Este método en realidad es mucho más fácil, porque
la consola sólo necesita mantenerse en servidores centrales (consulte el procedimiento TS-06).
SUGERENCIA Si quiere instalar sólo una parte de las herramientas administrativas de Windows
Server en un equipo, en lugar de todos ellos, consulte el artículo de la base de conocimientos
314 978 en http://support.microsoft.com/kb/314978.
CD-15: Administración de la instalación de software

Recuerde de la actividad: ad hoc
La directiva de grupo puede usarse para una amplia variedad de actividades de administra-
ción, una de las cuales es la entrega remota de software a usuarios o equipos. Es preferible tomar
como destino máquinas cuando se entrega software, porque los usuarios pueden moverse de un
sistema a otro y, por tanto, recibir una instalación varias veces.
El software puede asignarse o publicarse mediante GPO. El software asignado se instala au-
tomáticamente en máquinas de destino. El software publicado aparecerá en el elemento Agregar
o quitar programas, del Panel de control. Entonces los usuarios pueden elegir si lo instalan o no.
El software publicado sólo debe incluir productos que sean opcionales en su red. Todo el demás
software debe ser asignado.
Además, todo el software debe empaquetarse en el formato del Instalador de Windows.
Esto puede hacerse con diferentes herramientas; la mejor de ellas es Altiris Wise Package Studio
(www.wise.com) o Macrovision Installshield AdminStudio (www.installshield.com). Ésta es un
área donde no querrá tratar de trabajar con herramientas gratuitas.
Para asignar un paquete de software:

1. Empiece por colocar el archivo de configuración del Instalador de Windows (extensión .MSI)
en una carpeta compartida.
PARTE VII
2. Lance la consola Administración de directivas de grupo.
3. Vaya al contenedor Objetos de directivas de grupo (Administración de directivas de grupo |
Bosque: nombrebosque | Dominios | nombredominio | Objetos de directivas de grupo).
4. Localice el GPO que desea editar, o cree un nuevo GPO para editarlo (haga clic con el botón
derecho en el panel de la derecha, seleccione Nuevo, asigne un nombre y haga clic en Acep-
tar). Debido a que el software se asigna a equipos, haga clic con el botón derecho en el GPO y
seleccione Configuración de usuario deshabilitada, del elemento de menú Estado de GPO.
5. Haga clic con el botón derecho en el GPO que habrá de editarse y seleccione Editar. Esto
lanza el editor de GPO.
6. Vaya a Instalación de software (Configuración del equipo | Directivas | Configuración de
software) y haga clic con el botón derecho en el panel de la derecha para seleccionar Nuevo |
Paquete, del menú contextual.
7. Vaya a la carpeta compartida que contiene su paquete y selecciónelo. Haga clic en Abrir.
8. Seleccione Asignado y haga clic en Aceptar, del cuadro de diálogo Implementación.
Puede hacer clic con el botón derecho en el paquete recién creado para ver sus propiedades
y modificar configuraciones adicionales. Por ejemplo, tal vez quiera agregar un archivo de trans-
formación al paquete (extensión .MST) para personalizar su comportamiento. También puede
asegurarse de descifrar automáticamente cuando ya no sea válido.
NOTA También pueden iltrar instalaciones de software con grupos de seguridad. Esto le permite
asignar instalaciones de software mediante un solo GPO mientras se dirige a diferentes sistemas.
Para tomar como destino un grupo específico con una instalación de software:
1. Localice el paquete que quiere tomar como destino (Editor de GPO | Configuración del equi-
po | Directivas | Configuración de software | Instalación de software).
2. Haga clic con el botón derecho del paquete y seleccione Propiedades.
3. Vaya a la ficha Seguridad.
4. Elimine el grupo Usuarios autentificados y agregue el grupo apropiado (puede ser un grupo
global que contiene sólo cuentas de equipo) con derechos de lectura.
Su instalación sólo se aplicará en el grupo de destino porque los otros sistemas no podrán
leerlo en el directorio.
NOTA Rápidamente, las instalaciones de software se están volviendo algo del pasado, porque están
siendo reemplazadas con virtualización de aplicaciones. Para conocer más información sobre los
beneicios de la virtualización de aplicaciones, consulte “Virtualize Your Business Desktop
Environment” (Virtualice su entorno de escritorio de negocios) en www.altiris.com/upload/
wp_virtualizeyourbussinessdesktopdeployment_072606.pdf. Además, consulte The Definitive
Guide to Vista Migration, un libro electrónico gratuito de www.realtime-nexus.com/dgvm.htm.
CD-16: Administración de GPO

Las directivas de grupo son una de las herramientas más poderosas de Windows Server
2008. Hay más de 2 400 configuraciones de GPO que pueden aplicarse en un bosque de Win-
dows Server. Esas configuraciones controlan todo, desde la apariencia de un escritorio hasta la
configuración de Terminal Services para todos los usuarios. Por eso estará trabajando con GPO
de manera regular.
PRECAUCIÓN Tenga cuidado con el número de GPO que crea. Evite el uso de GPO de un solo
propósito y use iltros de GPO para reinar su aplicación.
1. Empiece por lanzar la consola Administración de directivas de grupo (GPMC) mediante el
menú Iniciar | Herramientas administrativas | Administración de directivas de grupo.
Bosque: nombrebosque | Dominio | nombredominio | Objetos de directiva de grupo).
3. Localice el GPO que habrá de editarse y haga clic con el botón derecho en él para seleccionar
Editar, de menú contextual.
4. Realice la modificación apropiada en el editor de GPO.
5. Agregue un comentario a este GPO, al hacer clic en el botón derecho en el nombre de GPO
en el editor y elegir Propiedades. Agregue comentarios a la ficha Comentarios. Los comenta-
rios se ven en la ficha Detalles de la consola GPMC.
GPO puede vincularse rápidamente con cualquier contenedor dado dentro de la consola de ad-
ministración de directivas de grupo. Para ello, arrastre y coloque el GPO en el contenedor apropiado.
Los GPO también pueden filtrarse. Están disponibles dos tipos de filtros: seguridad e instru-
mentación de administración de Windows (WMI). Los filtros de seguridad son simplemente dere-
chos de acceso otorgados o negados a grupos específicos. Los filtros WMI toman como destino re-
sultados específicos de una consulta WMI. Por ejemplo, si todos sus equipos portátiles son Toshiba,
puede utilizar un filtro WMI para tomar como destino todas las máquinas Toshiba en su dominio.
Para aplicar filtros a GPO:
1. Empiece por lanzar la consola Administración de directivas de grupos.
Bosque: nombrebosque | Dominio | nombredominio | Objetos de directiva de grupo).
3. Haga clic en el GPO que se filtrará. En el panel de la derecha, agregue o elimine grupos de
seguridad para filtrar el GPO con seguridad.
4. Para filtrar el GPO con una consulta a WMI, haga clic en la lista desplegable y seleccione el
filtro apropiado. Responda Sí cuando se le consulte en el cuadro de diálogo del filtro WMI.
Los filtros WMI deben crearse antes de que pueda aplicarlos.
Los filtros WMI se crean al hacer clic con el botón derecho en Filtro WMI y seleccionar Nue-
vo, del menú contextual. Los filtros WMI son comparables a consultas SQL, aunque utilicen un
lenguaje diferente: el lenguaje de consulta de Windows (WQL, Windows Query Language). Un
ejemplo de un filtro para localizar laptops Toshiba es:
Root\CimV2; Select * from Win32_ComputerSystem where manufacturer = “Toshiba”
and Model = “Satellite Pro 4200” OR Model = “Satellite Pro 4100”
Los filtros WMI pueden crearse en archivos de texto simple e importarse directamente en la
consola Administración de directivas de grupo.
Por último, tres comandos GPO son realmente útiles cuando trabaja con directivas de grupo.
PARTE VII
Para actualizar directiva de grupo en un objeto teclee:
gpupdate
Como opción determinada, esto actualizará las directivas de usuario y equipo en el sistema
de destino, pero sólo cambiará la configuración. Utilice el interruptor /FORCE para volver a aplicar
todas las configuraciones de directiva. Utilice /? para conocer más información.
Para identificar el conjunto resultante de directivas en un objeto:
gpresult /S nombreequipo /USER nombreusuariodestino /Z
donde nombreequipo es el nombre del equipo para verificar resultados y nombreusuariodestino el
nombre del usuario cuya directiva desea verificar. El interruptor /Z permite el modo supertextual,
que le da una información muy detallada. Tal vez quiera canalizar este comando a un nombre de
archivo para capturar todos los resultados.
Para restablecer el GPO Default Domain Policy o Default Domain Controller Policy a su
configuración original:
dcgpofix /ignoreschema
Como opción predeterminada, este comando actualiza ambas directivas predeterminadas.
El interruptor /IGNORESCHEMA es el que necesitará más probablemente si ha agregado cualquier
modificación al esquema o cualquier software para este efecto a su red. Si el esquema ya no se
encuentra en su estado predeterminado y el interruptor no se usa, el comando no funcionará.
CD-17: Administración de objeto de equipo

Todos los objetos del equipo de Windows Server 2008 deben tener una cuenta dentro del direc-
torio. Esto se debe a que esta cuenta habilita al directorio para que interactúe con cada máquina de
la red. Por eso es que las máquinas deben unirse a un dominio ADDS. Esta unión le ayuda a poner
en su lugar todos los elementos que dan soporte a la administración de sistema dentro de ADDS.
Hay dos maneras de crear objetos de equipo. En primer lugar, pueden crearse durante la
puesta en funcionamiento del sistema, cuando los parámetros de red del equipo están definidos,
pero el empleo de este método significa otorgar a los técnicos el derecho Agregar estación de tra-
bajo a dominio. El segundo método le permite crear previamente las cuentas del equipo dentro
del dominio. La ventaja de este método es que puede tomar como destino la unidad organizativa
apropiada para la cuenta del equipo, asegurándose de obtener beneficios inmediatos de la confi-
guración de GPO que requiere.
Para crear previamente un nuevo objeto de equipo:
1. Lance el Administrador del servidor.
2. Vaya a la OU apropiado, bajo la estructura de la OU PC.
PRECAUCIÓN El contenedor Computers predeterminado en ADDS no es una unidad organizativa

y, por tanto, no puede dar soporte a la delegación o la asignación de objetos de directivas de grupo.
Los GPO deben asignarse en el nivel de dominio para afectar este contenedor. Si quiere asignar
GPO a objeto de equipo pero no en el nivel de dominio, debe crear una estructura OU de la PC.
3. Haga clic con el botón derecho en el panel de la ventana derecha para seleccionar el comando
Nuevo | Equipo, en el menú contextual o utilice el icono Nuevo equipo, en la barra de herra-
mientas de la consola. Esto activa el asistente Nuevo objeto - Equipo.
4. Este asistente despliega dos cuadros de diálogo. El primero contiene los nombres de cuen-
ta. Aquí se establece el nombre del equipo. También tiene la oportunidad de identificar cuál
grupo de usuarios puede agregar este equipo a un dominio. Para ello, haga clic en Cambiar,
escriba el nombre del grupo, haga clic en Comprobar nombres, seleccione el grupo correcto y
haga clic en Aceptar. Haga clic en Siguiente.
SUGERENCIA Puede crear un grupo Técnicos que pueda asignarse a esta función. De esta manera
no necesita asignarles más derechos de los requeridos.
5. La segunda pantalla trata con el estatus del equipo en el directorio. Si se trata de un equipo
administrado, debe hacer clic en éste y escribir su identificador único global (GUID, Globally
Unique Identifier). Haga clic en Siguiente.
NOTA Todo equipo tiene un GUID. Puede encontrarse en el BIOS del equipo o en la etiqueta del
equipo, junto con su número de serie. Si compró equipos al mayoreo (como lo debe hacer para
evitar lo más posible la diversidad), debe hacer que el fabricante le proporcione una lista de hoja de
cálculo con los GUID de cada equipo del lote. También puede depender de esta hoja de cálculo para
crear previamente sus cuentas.
6. Haga clic en Finalizar para crear la cuenta.
NOTA Debe tomarse el tiempo de revisar y llenar las propiedades de la cuenta. Por lo menos debe
ser miembro de grupos apropiados para recibir las instalaciones de software apropiadas (consulte
el procedimiento CD-15).
También puede volver automático el proceso de creación de cuentas de equipos. El comando
CSVDE está diseñado para realizar modificaciones de cuenta masivas en ADDS. Utilice el siguien-
te comando para crear varias cuentas de equipos a la vez:
csvde -i -f nombrearchivo.csv -v -k >nombrearchivosalida.txt
donde -i habilita el modo de importación, -f indica el archivo de origen para la importación
(nombrearchivo.csv), que debe estar en formato CSV, -v coloca el comando en modo de texto ex-
tenso y -k le indica que ignore errores y siga al final. Puede revisar el archivo nombrearchivosalida.
txt para conocer los resultados de la operación.
SUGERENCIA Si recibe de su revendedor de equipos una hoja de cálculo que contiene GUID, puede
utilizar estas hojas como la base de su archivo de origen separado por comas de creación de cuentas.
CD-18: Administración del grupo de distribución

Como se mencionó en el procedimiento CD-05, los grupos de distribución están diseñados
para ayudar a reagrupar objetos que no necesitan o no soportan derechos de acceso. Un ejemplo
excelente de un grupo de distribución es una lista de correo de contactos externos. Los usuarios
pueden atender el nombre del grupo y enviar automáticamente un correo electrónico a cada
miembro del grupo.
PARTE VII
PRECAUCIÓN No utilice grupos de distribución para duplicar grupos de seguridad. Estos grupos
tienen las mismas características que los de distribución y también pueden usarse para tomar
como destino correo electrónico. Por esta razón, estos grupos se usan mucho menos que los de se-
guridad. Debido a que no es necesario duplicar los grupos de seguridad para ines de distribución,
debe tener un número mucho menor de grupos de distribución que de seguridad.
Utilice el procedimiento CD-05 para crear sus grupos de distribución.
CD-19: Administración del bosque de ADDS

Los administradores de bosques necesitan administrar actividades globales dentro del bosque.
En primer lugar y ante todo, el administrador del bosque debe autorizar la creación de nuevos bos-
ques, sobre todo los permanentes. También debe orientarse a limitar el número de bosques perma-
nentes en su red. Esto le ayudará a controlar el costo total de la propiedad de su red.
PRECAUCIÓN Recuerde que cada instancia única de los Servicios de dominio de Active Directory
es un bosque.
Los bosques se crean por las siguientes razones:
• Esquemas diferentes de base de datos Sólo puede almacenarse una estructura de base
de datos dentro de un solo bosque. Si el esquema debe ser diferente, estará contenido en un
bosque diferente. Pero con los Servicios de directorio ligero de Active Directory (ADLDS), hay
poca necesidad de hospedar varios bosques por razones de esquema.
• Prueba o desarrollo Si se requiere una prueba especial (por ejemplo, para herramientas
que modificarán el esquema de su bosque de producción), tal vez necesite crear un bosque de
prueba. Lo mismo se aplica para proyectos de desarrollo.
• Bosques de perímetro Si su organización hospeda una extranet o un sitio de Internet, tal
vez necesite un bosque diferente para agregar y proteger objetos internos del perímetro. Re-
cuerde que también puede depender de ADLDS para esta función.
PRECAUCIÓN Es una muy buena idea segregar bosques internos de los perímetros externos. De
esta manera, no se compromete la seguridad interna si su perímetro es atacado.
También debe limitar el número de dominios contenidos dentro de su bosque. Tanto los do-
minios como los bosques deben justificarse antes de crearse. Las razones para crear un dominio
incluyen:
• Reglas diferentes de autentiicación Los dominios forman los límites de las reglas utilizadas
para autentificar usuarios y equipos, porque son el contenedor en que estos objetos están creados.
• Diferentes directivas de seguridad para cuentas de usuario Las directivas de seguridad
que se aplican a cuentas de usuario están almacenadas dentro del dominio. Tal vez éstas nece-
sitan ser diferentes entre dominios. Por ejemplo, los desarrolladores requieren privilegios más
elevados que los usuarios normales. Es una buena idea dejar que los desarrolladores trabajen
en dominios separados para evitar compromisos de seguridad en su dominio de producción.

Sin embargo, puede utilizar directivas de contraseña más finas para lograr el mismo objetivo,
pero en realidad debe tener un dominio separado debido a que su dominio de producción
nunca debe incluir cuentas genéricas (cuentas que no están destinadas a un usuario específi-
co), porque son difíciles de rastrear.
• Diferentes servicios de publicación para recursos compartidos Los recursos que pueden
compartirse dentro de un dominio están publicados en Active Directory. Como opción prede-
terminada, estos recursos (impresoras y carpetas compartidas) sólo se publican para miembros
del dominio. Puede justificar un dominio diferente para proteger recursos críticos.
Los administradores de bosques deben autorizar la creación de dominios secundarios antes
de que puedan ponerse en funcionamiento. Utilice los siguientes comandos para autorizar pre-
viamente un dominio secundario en el directorio:
ntdsutil
domain management
precreate DNDominio nombreprimerdc
quit
quit
donde DNDominio es el nombre distinguido del dominio secundario (por ejemplo, para el domi-
nio prueba.tandt.net, dc=prueba,dc=tandt,dc=net) y nombreprimerdc es el nombre DNS plena-
mente calificado para el servidor que hospedará la creación del dominio secundario. También
debe delegar los derechos de creación de dominio al administrador que realiza la promoción DC.
Utilice el procedimiento CD-14 para ello.
CD-20: Administración de información de ADDS

Contrario a un administrador de cuentas de seguridad (SAM, Security Account Manager),

Active Directory parte de la información. Por ejemplo, cuando publica una carpeta comparti-
da en el directorio (consulte el procedimiento SA-03), debe tomarse el tiempo de identificar al
propietario de la carpeta en el directorio. De esta manera, si tiene problemas con la carpeta, sabe
a quién contactar. Lo mismo es cierto para agregar información de usuario o identificar adminis-
tradores del grupo. Cuanta más información ponga en el directorio, más fácil será administrarla.
Puede utilizar los procedimientos CD-01 y CD-05 para agregar información adicional de usuario
y administradores de grupo, pero también puede usar métodos de administración masiva de
información para agregar información faltante.
Por ejemplo, el procedimiento CD-01 delinea la manera de usar el comando CSVDE para
agregar varios usuarios a la vez. Esta herramienta también puede usarse para agregar informa-
ción adicional cuando crea grupos y otros tipos de objeto.
PRECAUCIÓN Si decide agregar información adicional, como administradores de grupo y propieta-

rios de carpetas compartidas, tendrá que asegurarse de no eliminar cuentas cuando los usuarios
se van o cambian de ubicación. Si lo hace así, tendrá que modiicar la propiedad de cada objeto,
mientras que si sencillamente cambia el nombre de cuentas existentes y las reasigna, permanece-
rán en todas las ubicaciones de directorio.
CD-21: Administración de esquema

PARTE VII
El esquema de Servicios de dominio de Active Directory define la estructura de una base de
datos de bosque. Como opción predeterminada, el esquema de Windows Server 2008 contiene
más de 200 diferentes tipos de objeto y más de 1 000 atributos. El esquema de ADDS es extensi-
ble; le permite agregar nuevas estructuras a la base de datos para que pueda agregar el contenido
de su elección. Pueden utilizarse varias herramientas para extender el esquema, pero antes de
hacerlo debe preguntarse si realmente son necesarios.
La base de datos de ADDS es distribuida. Esto significa que está dispersa por toda su organi-
zación, y que a menudo tiene controladores de dominio en cada oficina regional, además de las
oficinas centrales. Cada vez que cambia el esquema de ADDS, se aplicará a todas las ubicaciones.
Otro factor que debe contener su deseo de cambiar el esquema es que los cambios no pueden
deshacerse. Aunque pueda desactivar clases de nuevos objetos o atributos agregados al esquema,
no puede eliminarlos. Sin embargo, puede cambiar su nombre y volverlos a usar.
Con versiones anteriores de Windows, éste era un dilema importante, pero no lo es con
Windows Server 2008, porque da soporte a los Servicios de directorio ligero de Active Direc-
tory. ADLDS es como un mini ADDS que puede ejecutar varias instancias en una sola máquina
(Windows Vista o Windows Server). Esto significa que en lugar de planear la modificación del
ADDS de su sistema operativo de red, siempre debe considerar la posibilidad de reemplazar esta
modificación con una instancia de ADLDS. Esto mantendrá su ADDS de sistema operativo de
red en la versión más prístina posible.
Sin embargo, habrá algunos casos en que la modificación de los esquemas será obligatoria.
Esto se relaciona principalmente con herramientas para sistemas operativos de red; un ejemplo
son complementos como Microsoft Exchange Server. Por ejemplo, Exchange lleva a más del
doble el número de objetos y atributos en el esquema del sistema operativo de red. En este caso,
debe utilizar el procedimiento CD-22 y CD-23 para hacer las modificaciones al esquema.
Si decide modificar el esquema, debe hacerlo de acuerdo con una directiva de modificación
del esquema. Esa directiva incluye:
• Una lista detallada de los miembros del grupo universal Administradores de empresa.
• Una estrategia de seguridad y administración para el grupo universal Administradores de
esquema (consulte el procedimiento CD-22).
• La creación de la función contenedor de directiva de cambio de esquema (SCPH, Schema
Change Policy Holder). Esta función es responsable de la aprobación o negación de los cam-
bios al esquema.
• Documentación completa de la estrategia de administración de cambio del esquema, incluido:
• Soporte a la documentación de solicitudes de cambios, lo que proporciona una descripción
y justificación de la modificación deseada.
• Un análisis de impacto del cambio, impactos de la replicación a corto y largo plazos, costos
del cambio solicitado y beneficios del cambio a corto y largo plazos.
• Un identificador de objeto globalmente único para la nueva clase o atributo. Debe obtener-
se de una fuente válida (consulte el procedimiento CD-23).
• Una descripción de clase oficial, incluidos el tipo de clase y localización en la jerarquía.
• Resultados de prueba de estabilidad de sistema y seguridad. Diseñe un conjunto estándar
de pruebas para todas las modificaciones.
• Un método de recuperación de modificaciones documentado. Asegúrese de que cada mo-

dificación propuesta incluye una estrategia de regreso a la última configuración correcta.
• Un proceso de autorización de modificación. Esto describe la estructura de unión que se utili-
za para revisar una recomendación para la modificación.
• Un proceso de implementación de modificaciones que establece cuándo debe realizarse el
cambio (horas fuera de producción), cómo debe realizarse y quién debe realizarlo.
• Una documentación de informe de modificación. ¿La modificación alcanza a todos los DC?
¿La replicación regresa a los niveles esperados?
La modificación del esquema es un proceso que tiene un efecto importante. No debe tomar-
se a la ligera.
CD-22: Administración del acceso al esquema

Windows Server incluye dos grupos de administración universal: Administradores de

empresa y Administradores de esquema. Los primeros son los administradores del bosque. Son
responsables de la operación general del bosque. Se trata de una tarea continua.
PRECAUCIÓN Los administradores de esquema no son operativos en el sentido de que sólo se

requieren cuando se realiza una modiicación del esquema. Esto debe hacerse, en el mejor de los
casos, en raras ocasiones. Por tanto, es una mejor práctica de seguridad mantener vacío el grupo
Administradores del esquema todo el tiempo.
En realidad, su estrategia de seguridad y administración para el grupo universal Administra-
dores de esquema debe concentrarse en mantener vacío este grupo. Los miembros deben agre-
garse sólo cuando se requiera una modificación y deben eliminarse una vez que la modificación
se haya realizado.
NOTA Todas las modiicaciones del esquema deben realizarse directamente en el Master de operacio-
nes del esquema.
PRECAUCIÓN Debe ser un miembro del grupo Administradores de empresa para realizar este
procedimiento.
Utilice el siguiente procedimiento para controlar el acceso al esquema:
1. Utilice el procedimiento CD-05 para agregar un usuario autorizado al grupo Administradores
de esquema. Este procedimiento debe realizarse en el dominio raíz de su bosque.
2. Permita que el usuario autorizado realice la modificación.
3. Utilice el procedimiento CD-05 para eliminar al usuario del grupo Administradores de esquema.
PRECAUCIÓN Todas las modiicaciones del esquema deben probarse completamente en un entorno
de laboratorio antes de realizarse en la red de producción.
CD-23: Modiicación del contenido del esquema

PARTE VII
La mejor manera de proteger su esquema de producción es formar una directiva de modifi-
cación de esquema (consulte el procedimiento CD-21). Esta directiva se mantiene en el contene-
dor de directivas de cambio de esquema, al cual se presentan todos los cambios de los esquemas
para su aprobación. La directiva no sólo determina quién tiene la función contenedor de directiva
de cambio de esquema, sino también la manera en que se aprobarán, prepararán y desplegarán
las modificaciones al esquema. La asignación de la función para administrar el esquema asegura
que grupos que no se comunican entre sí no harán las modificaciones de manera ad hoc. Debido
a que, ante todo, el contenedor de directiva de cambio de esquema debe aprobar todas las modi-
ficaciones, el proceso es claro para todos.
La estructura X.500 de la base de datos ADDS está basada en un esquema de numeración
de objetos que es globalmente único. Por tanto, una autoridad central tiene la capacidad de
generar identificadores de objetos para nuevos objetos X.500: La International Standards Or-
ganization (ISO). Los números también pueden obtenerse del American National Standards
Institute (ANSI). Como tal, la numeración X.500 puede obtenerse en www.iso.org o www.ansi.
org. Microsoft también ofrece numeración X.500 en un árbol de clases de objetos adquirido con
el fin de dar soporte a Active Directory. Puede recibir ID de objeto de Microsoft al enviar correo
electrónico a oids@microsoft.com. En su correo electrónico, incluya el prefijo de asignación de
nombre de la organización y la siguiente información de contacto: nombre de contacto, dirección
de contacto y número telefónico de contacto. Para obtener el prefijo de asignación de nombres
de su organización, lea la parte Servicios de dominio de Active Directory de los estándares de
aplicaciones en http://msdn2.microsoft.com/en-us/library/ms954370.aspx.
Los identificadores de objeto son cadenas en una notación tipo “punto”, similar a las direc-
ciones IP. Las autoridades que los expiden pueden dar un identificador de objeto en un subni-
vel a otras autoridades. El ISO es la autoridad raíz. ISO tiene un número 1. Cuando asigna un
número a otra organización, ese número se utiliza para identificar a dicha organización. Si se le
asigna a una organización el número 488077 y se expide a un desarrollador y éste asignó 10 a
una aplicación, el número de aplicación sería “1.488077.1.10”.
Los identificadores de objeto son necesarios cada vez que se agrega un objeto o atributo al
esquema. Obtenga estos identificadores antes de seguir adelante para modificar el esquema.
Las modificaciones al esquema no sólo residen con objetos o adiciones de atributos. Puede
modificar el esquema para:
• Agregar un objeto o atributo al catálogo global. Esto lo hace disponible a todos los usuarios de
su organización.
• Indizar un objeto dentro del directorio. Esto genera el objeto que permite la búsqueda.
• Desactivar un objeto o atributo. Esto hace que el objeto quede en estado latente en su directo-
rio. Sólo es posible desactivar los objetos agregados al directorio.
• Cambiar el nombre y reciclar un objeto o atributo agregados.
Las modificaciones pueden realizarse de manera interactiva, mediante herramientas de línea
de comandos, o programación. Para modificar el esquema de directorio de manera interactiva:
1. Asegúrese de que ha agregado el grupo Administradores de esquema (consulte el procedi-
miento CD-22).
2. Registre el DLL de administración del esquema en su equipo. Abra un indicador de comandos

elevado y escriba:
regsvr32 schmmgmt.dll
3. Haga clic en Aceptar cuando el cuadro de diálogo REGSVR32 le indique que se ha registrado
exitosamente el DLL.
4. Utilice el procedimiento SG-17 para agregar el complemento Administración del esquema de
ADDS a su MMC personalizada.
5. En la MMC personalizada, haga clic con el botón derecho en Esquema de Active Directory y
seleccione el controlador de dominio. Seleccione Especificar nombre, escriba el nombre DNS
de su Maestro de operaciones de esquema y haga clic en Aceptar.
6. Haga clic en Esquema de Active Directory para desplegar sus contenidos.
7. Para crear una clase o un atributo, haga clic con el botón derecho y seleccione Crear clase o
Crear atributo, del menú contextual. Windows Server le presentará una advertencia acerca de
la permanencia de esta operación. Siga adelante con cuidado.
8. Para modificar cualquiera de las clases o los atributos existentes, haga clic con el botón dere-
cho en el objeto y seleccione Propiedades. Seleccione la propiedad adecuada para modificar y
haga clic en Aceptar cuando haya terminado.
9. Para desactivar o cambiar el nombre de clases o atributos que ya ha agregado, haga clic con el
botón derecho en el objeto apropiado y seleccione el indicador de comandos del menú con-
textual. Siga adelante con cuidado.
10. Tome nota de cualquier cambio que haga, y notifique al administrador de empresa cuando
haya completado su operación, de modo que su cuenta pueda eliminarse del grupo Adminis-
tradores de esquema.
También puede utilizar otras herramientas diversas para modificaciones de esquema más
masivas. Por ejemplo, el comando LDIFDE propone una manera estructurada de modificar el
esquema a través de la línea de comandos. Escriba LDIFDE /? en el indicador de comandos para
obtener más información.
NOTA Si, después de todo, decide modiicar su esquema, puede documentar sus modiicaciones con
un programa de documentación de esquema disponible en www.microsoft.com/downloads/details.
aspx?FamilyID=BEF87B1D-D2F1-4795-88C5-CA66CFC3AB29&displaylang=en.
CD-24: Evaluación de software para modiicación de esquemas

Tanto Microsoft como otros desarrolladores utilizan extensiones de esquema para integrar de
manera más completa sus productos con Active Directory. Microsoft Exchange es el producto que
hace la mayor parte de las modificaciones al esquema porque casi duplica su estructura.
Debe estar consciente del software de modificación de esquema porque tiene un impacto
a largo plazo en su directorio de sistema operativo de red. Recuerde que el directorio que cree
en su red durará mucho tiempo y necesitará contar con la posibilidad de actualizarlo fácilmente
cuando surjan nuevas versiones de productos de Windows Server.
Cuando deba decidir si procederá con un producto determinado que modifique el esquema,
debe tomar los siguientes elementos en consideración:
• ¿Cuál es la reputación y el estado financiero del fabricante del producto? No querrá encon-
trarse unido a un producto que dentro de poco ya no tendrá el soporte después de que lo haya
implementado.
PARTE VII
• ¿Es realmente esencial la función que proporciona el producto? ¿Hay otros productos en el
mercado que realizan la misma función sin modificar el esquema?
• ¿Cuál es el método del fabricante para los Servicios de directorio ligero de Active Directory?
¿Están comprometidos con la integración de ADLDS en lugar de estarlo con modificaciones al
directorio del sistema operativo de red?
Las respuestas a esas preguntas le ayudarán a determinar si debe implementar el producto
o no. Por supuesto, en algunos casos, la pregunta en realidad no se plantea. Por ejemplo, si su
organización está ejecutando Exchange y ha migrado a Windows Server, no lo pensará dos veces
para modificar el esquema.
Una vez que haya tomado la decisión de seguir adelante, utilice los procedimientos CD-21,
CD-22 y CD-23 para realizar la modificación.
CD-25: Administración de la función Maestro de operaciones

Las funciones de Maestro de operaciones son servicios de ADDS que administran solicitudes
de cambios específicos a la información en el nivel del bosque o de dominio. Sin estos servicios,
ADDS no puede operar. Caen en dos grupos: funciones de Maestro de operaciones de todo el
bosque y centradas en dominio. A las funciones de Maestro de operaciones en ocasiones se les
llama maestro de operaciones flexible único (FSMO, Flexible Single of Master Operations) porque,
a pesar de que sólo puede existir una instancia en el bosque o el dominio, ésta no se encuentra
enraizada en un servidor determinado; puede transformarse de un controlador de dominio a otro.
Esto lo hace flexible; debe ser único porque no puede haber otro dentro de su ámbito de influencia.
Las funciones de Maestro de operaciones de todo el bosque son:
• Maestro de esquema Servicio maestro que mantiene la estructura de la base de datos del
bosque y autoriza los cambios al esquema.
• Maestro de asignación de nombres de dominio Servicio maestro que controla y autoriza
la asignación de nombres de dominio dentro del bosque.
En un momento determinado, sólo puede existir una instancia de estos servicios en el bosque.
Ambos servicios pueden localizarse en el mismo controlador de dominio, si es necesario. En bos-
ques más grandes, estos servicios están distribuidos en dos controladores de dominio separados.
Además de las funciones Maestro de operaciones de todo el bosque, existen las funciones
Maestro de operaciones centradas en dominio. Si sólo tiene un dominio en su bosque, tendrá
una sola instancia de cada una de estas funciones, pero si tiene más de uno, todos los dominios
tendrán una instancia de cada uno de estos servicios. Entre éstos se incluyen:
• Maestro de ID relativo (RID, Relative ID) Servicio maestro responsable de la asignación
de ID relativos a otros controladores de dominio dentro del dominio. Cada vez que un nuevo
objeto (usuario, equipo, servidor o grupo) se crea dentro de un dominio, el controlador de do-
minio que está realizando la creación asignará un número ID único. Este número consta de un
número de identificación de dominio seguido por uno de identificación relativo, que se asigna
a la creación del objeto. Cuando un controlador de dominio se queda sin su almacén de ID
relativos, solicita un almacén adicional al Maestro de RID. La función ID relativo también es

el marcador de posición del dominio. Si necesita mover objetos entre dominios en el mismo
bosque, necesita iniciar el movimiento desde el maestro de RID.
• Emulador de Controlador de dominio primario (PDC, Primary Domain Controller)
Servicio maestro que proporciona compatibilidad con versiones anteriores de Windows NT.
Si hay controladores de dominio de Windows NT o clientes de red de Windows NT dentro
del dominio, este servidor actúa como el controlador de dominio primario para el dominio.
Administra toda la replicación para crear copias de seguridad de controladores de dominio (en
NT, por supuesto). Si el bosque opera en modo nativo, el emulador de PDC se concentra en
sus otras dos funciones: sincronización de tiempo en todos los DC y equipos y replicación de
modificaciones de cuentas preferenciales para otros DC. Todos los controladores de dominio
en el dominio establecerán sus relojes de acuerdo con el emulador de PDC. Además, cualquier
modificación crítica a la cuenta, como modificación de contraseñas o desactivación de cuentas,
se replicará de inmediato al emulador de PDC del servidor que lo origina. Si falla un intento
de inicio de sesión en un DC determinado, se revisa con el emulador de PDC antes de recha-
zar el intento, porque tal vez no haya recibido cambios recientes de contraseñas.
• Maestro de infraestructura Servicio maestro que administra dos tareas críticas. La actua-
lización de referencias de objetos en su dominio a objetos en otros dominios. Así es como
el bosque sabe a qué dominio pertenece un objeto. El maestro de infraestructura tiene una
relación cercana con el Catálogo global (GC). Si encuentra que algunos de sus objetos están
obsoletos en comparación con los del GC, se necesitará actualizar éste y enviar la información
actualizada a otros desde dentro del dominio. Por esta razón, el servicio Catálogo global no
debe estar en un DC que actúe como maestro de infraestructura. El maestro de infraestructura
también administra la actualización y modificación de miembros del grupo dentro del domi-
nio. Si un grupo incluye objetos de otro dominio y se cambia el nombre de estos objetos o se
mueven, el maestro de infraestructura mantiene la consistencia del grupo y lo replica a todos
los controladores de dominio. Eso asegura que los usuarios conserven sus derechos de acceso,
aunque realice operaciones de mantenimiento en sus cuentas.
Las funciones de maestro centradas en dominio deben estar separadas, si es posible. Eso de-
pende, por supuesto, del tamaño de cada dominio. Cualquiera que sea su tamaño, cada dominio
debe tener por lo menos dos controladores de dominio para redundancia, equilibrio de carga y
disponibilidad.
Las funciones Maestro de operaciones pueden administrarse gráficamente y mediante la
línea de comandos. Las tres funciones de Maestro centradas en dominio pueden identificarse
mediante la consola Usuarios y equipos de Active Directory, al hacer clic con el botón derecho
en el nombre de dominio y seleccionar Propiedades. En el cuadro de diálogo Propiedades del
dominio, utilice la ficha apropiada para identificar el DC que contiene cada función. Las funcio-
nes de Maestro de todo el bosque son más independientes. Utilice la consola Dominios y confianza
de Active Directory para encontrar el Maestro de asignación de nombres de dominio. Una vez
más, haga clic con el botón derecho en el nombre de dominio y seleccione Maestro de operacio-
nes. Para encontrar el Maestro del esquema, utilice el esquema de Active Directory creada en el
procedimiento CD-23.
La manera más fácil de encontrar las funciones de Maestro de operaciones es mediante la
línea de comandos:
dsquery server -hasfsmo nombrefsmo
Este comando funciona para cada una de las cinco funciones. El nombrefsmo de cada función
es como sigue: NAME para el Maestro de asignación de nombres de dominio, INFR para el Maes-
PARTE VII
tro de infraestructura, PDC para el emulador de PDC, RID para el Maestro de RID y SCHEMA para el
maestro de esquema.
PRECAUCIÓN Los controladores de dominio de sólo lectura no pueden contener ninguna función
de FSMO.
CD-26: Transferencia de la función Maestro de operaciones

Como sabe, sólo puede haber una instancia de cada función de Maestro de operaciones
dentro de cada ámbito, bosque o dominio. Aunque en casi todos los casos, el bosque o dominio
operarán por periodos cortos cuando uno u otro maestro está caído, es preferible transferir la
función de un DC a otro si sabe que uno de los DC de Maestro de operaciones estará caído por
un periodo importante. Esto puede suceder cuando se programa el mantenimiento del servidor.
PRECAUCIÓN La transferencia de las funciones del Maestro de operaciones puede ser peligrosa
para su red de producción si no la realiza adecuadamente. Por ejemplo, transferir la función
Maestro de esquema de manera impropia puede dañar todo el esquema del bosque, obligándolo a
recuperar Active Directory a partir de copias de seguridad. Asegúrese de realizar estas operacio-
nes con todo cuidado.
Para transformar cualquiera de las funciones mediante la interfaz gráfica, necesita básica-
mente utilizar el procedimiento de identificación de FSMO, como se delineó en el procedimiento
CD-25. He aquí cómo hacerlo:
1. Lance o vaya a la consola apropiada del FSMO que quiera transferir.
2. Haga clic con el botón derecho en el nombre de dominio, seleccione Conectar con un contro-
lador de dominio, escriba el nombre del DC al que quiere transferir la función y haga clic en
Aceptar.
3. Vea el cuadro de diálogo Propiedades de FSMO, y haga clic en Cambiar.
Nuevamente, resulta más fácil hacerlo mediante la línea de comandos:
ntdsutil
roles
connection
quit
transfer nombreFSMO
quit
quit
donde nombreservidor es el nombre DNS del DC al que quiere transferir la función y Nombre
FSMO es la función que desea transferir. Escriba HELP en el indicador FSMO MAINTENANCE para
identificar los nombres de FSMO de este comando, o consulte el procedimiento CD-25.
CD-27: Recuperación de desastres del Maestro de operaciones

El procedimiento CD-26 sólo funciona cuando el FSMO que quiere transferir aún está
operando. En el caso de una falla total del sistema de un FSMO, necesita tomar el control de la
función de FSMO; es decir, necesita indicar al directorio que la función debe transferirse, aunque
no puedan ponerse en contacto con el FSMO que la origina.
PRECAUCIÓN No tome el control de ninguna función si puede transferirla en cambio. La toma de

control de la función no elimina ésta del servidor que la origina. La operación de dos FSMO con
la misma función en el mismo dominio o bosque puede dañar gravemente el directorio.
La toma de control de la función se realiza mediante el comando NTDSUTIL:
ntdsutil
roles
connection
quit
seize NombreFSMO
quit
quit
donde nombreservidor es el nombre DNS del DC al que quiere transferir la función y Nombre
FSMO es la función que desea transferir. Escriba help en el indicador FSMO MAINTENANCE para
identificar los nombres de FSMO de este comando, o consulte el procedimiento CD-25.
PRECAUCIÓN Si toma el control de cualquier función, asegúrese de que ésta se elimina por com-
pleto del servidor que la origina antes de traerla de vuelta en línea al bosque o el dominio. De lo
contrario, puede haber serios daños para su ADDS.
CD-28: Promoción del controlador de dominio

Los controladores de dominio en Windows Server 2008 son muy diferentes de las versiones
anteriores de Windows. En Windows Server, puede convertir fácilmente un servidor de DC en un
servidor miembro y viceversa, si lo desea. Todo se hace mediante el comando DCPromo. Se acce-
de a este comando a través de varios métodos: línea de comandos, el comando Agregar funcio-
nes del Administrador del servidor, el comando Ejecutar, etc. El método más fácil es mediante el
Administrador del servidor. Se lanza automáticamente al inicio del sistema o mediante el menú
Iniciar | Herramientas administrativas.
La promoción de un controlador de dominio puede hacerse en varias situaciones diferentes.
Puede darse para crear un nuevo bosque. En esta instancia, se le indica a DCPromo que quie-
re instalar el primer DC en un bosque. Puede ser para un nuevo árbol en un bosque existente.
Puede ser para un dominio secundario. También puede ser para otro DC en un dominio existente
o incluso para un controlador de dominio de sólo lectura (RODC).
PRECAUCIÓN Para utilizar DCPromo, necesita tener derechos de Administrador de empresa o Ad-
ministrador de dominio, o tener delegados los derechos apropiados. Los derechos delegados pueden
PARTE VII
proporcionarse junto con el procedimiento CD-19, si trata de crear un nuevo dominio secundario
o un árbol en un bosque existente.
La promoción de un DC es un proceso de dos pasos. En primer lugar, debe instalar la fun-
ción ADDS. Luego debe ejecutar el comando DCPromo. Consulte el capítulo 6 para conocer más
información.
PRECAUCIÓN Si está creando un dominio secundario en un bosque existente, debe realizar el pro-
cedimiento DN-04 antes de ejecutar DCPromo.
Cuando crea controladores de dominio regionales, es útil cargar previamente los datos del
directorio durante la promoción de DC. Esto reduce en gran medida los requisitos de replicación,
porque sólo se replican las diferencias entre el directorio real y la copia de seguridad a partir de la
cual se realiza la carga previa.
NOTA Antes de que pueda promover un DC empleando información de carga previa, debe utilizar el
procedimiento RSC-01 para crear una copia de seguridad de un DC en el dominio de destino.
Para realizar la promoción de un DC a partir de archivos de copia de seguridad, o para acce-
der a las características avanzadas de la promoción del DC, utilice:
dcpromo /adv
o haga clic en la opción Características avanzadas, en la versión gráfica de DCPromo.
CD-29: Recuperación de desastres del controlador de dominio

Es raro perder por completo un DC, pero sucede con tal frecuencia que hay un procedimien-
to de recuperación de desastres en DC. Existen dos tipos de operaciones de recuperación de
desastres del DC: con capacidad de autorización y sin ella.
La primera es la más simple. Implica que el DC que se perdió no tiene ningún dato sin replicar
dentro de su almacén de directorio. Cuando ése es el caso, simplemente puede reconstruir el servi-
dor, realizar el procedimiento CD-28 para reconstruir el DC (con o sin datos de copia de seguridad)
y dejar que la replicación de ADDS haga el resto. Automáticamente actualizará el servidor.
Si se perdieron datos, o si hubo una pérdida importante de datos dentro del directorio, y
debe realizar una reinstalación autorizada, debe utilizar la herramienta NTDSUTIL para que la
restauración sea autorizada. Para realizar una restauración de este tipo, debe empezar con una
restauración normal. Luego, una vez que los datos se hayan restaurado y el controlador de domi-
nio esté aún sin conexión, escriba NTDSUTIL para finalizar el trabajo. La restauración autorizada
puede incluir todo o sólo una parte de los datos de ADDS restaurados.
1. Repare el servidor, si es necesario, e inícielo. Durante el arranque, oprima F8 para ver los mo-
dos de arranque.
2. Seleccione el Modo de restauración de servicios de directorio y oprima ENTER.
3. Esto iniciará Windows. Inicie sesión con la cuenta de restauración del directorio. Lance la uti-
lería de copia de seguridad y realice la restauración. Una vez que se haya terminado la restau-
ración, reinicie el servidor.
4. Oprima F8 una vez más para seleccionar Modo de restauración de servicios de directorio, y
oprima ENTER. Inicie sesión con la cuenta de restauración de directorios. Lance el indicador de
comandos:
ntdsutil
authoritative restore
restore database
quit
quit
5. Reinicie el servidor en el modo normal.
El comando de la base de datos de restauración marca todos los datos en la base de datos
NTDS.DIT de este DC como autorizado. Una vez que se restaure el servidor, empezará el proceso
de replicación y la información restaurada se replicará a todos los demás controladores de dominio.
Si quiere restaurar sólo una parte del directorio, utilice el siguiente comando de restauración:
restore subtree ou=nombreou, dc=nombredc, dc=nombredc
donde debe proporcionar el nombre distinguido de la OU que desee restaurar.
CD-30: Administración de conianza

Los bosques de Windows Server 2008 incluyen automáticamente confianzas entre todos sus
dominios. Estas confianzas deben operar apropiadamente para que el bosque funcione. Estas
confianzas dan soporte a la operación del bosque mediante replicación en todo el bosque, lo que
incluye el contenido del catálogo global, el esquema y la configuración del bosque.
Si se encuentra dentro de un bosque muy grande y hay una cantidad importante de acti-
vidad operativa entre los dominios, es posible que también deba tomar en cuenta la creación
de confianzas de acceso directo (confianzas manuales que se crean para vincular dos dominios
en un bosque). La confianza de acceso directo acelera la operación porque las comunicaciones
no necesitan recorrer la jerarquía del bosque. En realidad, los bosques de Windows Server dan
soporte a varios tipos diferentes de confianzas (consulte la tabla 13-8).
Los primeros dos tipos de confianza que aparecen en la tabla 13-8 se crean automáticamente
cuando se utiliza el procedimiento CD-28 para crear un nuevo dominio secundario o un árbol
en un bosque. Los otros se crean manualmente para mejorar el rendimiento o para habilitar la
interacción entre una zona de autentificación y otra.
PRECAUCIÓN Las operaciones de conianza requieren privilegios elevados. Esto signiica Admi-
nistradores de dominio o los Administradores de empresa (dependiendo del nivel de conianza
necesario). También necesitará credenciales privilegiadas en el dominio de destino, sobre todo si
está creando conianzas transmitidas de dos vías.
Para crear una confianza:
1. Lance Dominios y confianzas de Active Directory (menú Iniciar | Herramientas administrativas).
2. Haga clic con el botón derecho en el dominio al que desea asignar la confianza y seleccione
Propiedades.
3. Vaya a la ficha Confía, del cuadro de diálogo Propiedades, y haga clic en Nueva confianza.
Esto lanzará el Asistente para nueva confianza. Haga clic en Siguiente.
Tipo de confianza Dirección y naturaleza Comentarios

Principal y secundario Transitiva de dos vías Son las conianzas automáticas que se establecen cuando se crea
un dominio secundario.
PARTE VII
Árbol-raíz Transitiva de dos vías Son las conianzas automáticas que se establecen cuando se crea
un nuevo árbol.
Bosque Transitiva de una o dos vías Extiende la transitividad de las conianzas de un bosque a otro.
Acceso directo Transitiva de una o dos vías Crea una ruta de acceso directo para autentiicación entre dos domi-
nios. Pueden usar esta ruta para autentiicación en lugar de tener que
recorrer la jerarquía del bosque.
Reino Transitiva o intransitiva de Crea un vínculo de autentiicación entre un dominio y un reino de
una o dos vías Kerberos que no es de Windows (como UNIX).
Externa Intransitiva de una o dos vías Crea un vínculo de autentiicación entre un dominio de WS08 y uno
heredado.
TABLA 13-8 Tipos de conianza de Windows Server
4. Escriba el nombre del dominio o bosque con el que desee establecer la confianza. Los nom-
bres de dominio pueden estar en formato NetBIOS, pero los nombres del bosque deben estar
en formato DNS. Haga clic en Siguiente.
5. Seleccione el tipo de confianza que desee crear (Bidireccional, Unidireccional de entrada o
Unidireccional de salida).
6. Si tiene derechos administrativos en ambos dominios, puede seleccionar Este dominio y el
dominio especificado para crear ambos lados de la confianza al mismo tiempo. Haga clic en
Siguiente.
7. Escriba sus credenciales administrativas para el dominio o el bosque de destino. Haga clic en
Siguiente.
8. El asistente está listo para crear la confianza saliente en el dominio o el bosque de destino.
Haga clic en Siguiente. Una vez terminado, le pedirá que configure la nueva confianza. Haga
clic en Siguiente.
9. Seleccione Sí, confirme la confianza saliente y luego haga clic en Siguiente. La confirmación
de la confianza es una buena idea porque prueba de inmediato la nueva confianza.
10. Seleccione Sí, confirme la confianza entrante y luego haga clic en Siguiente. Revise sus cam-
bios y haga clic en Finalizar cuando haya terminado.
PRECAUCIÓN Si no tiene credenciales para ambos dominios, debe ejecutar el Asistente para nueva
conianza una vez en cada dominio. En este caso, debe proporcionar la misma contraseña de con-
ianza cada vez. Es una buena idea utilizar contraseñas muy fuertes para relaciones de conianza.
Esto signiica contraseñas complejas que tienen por lo menos 15 caracteres.
Utilice el mismo procedimiento para crear todos los demás tipos de confianzas. El asistente
automáticamente cambiará su comportamiento con base en los valores que ingrese en la segun-
da página.
Para verificar confianzas:
1. Lance Dominios y confianzas de Active Directory.
2. Haga clic con el botón derecho en el dominio que contiene las confianzas que desea verificar
y seleccione Propiedades.
3. Vaya a la ficha Confía, en el cuadro de diálogo Propiedades, y seleccione la confianza que

desee verificar (entrante o saliente). Haga clic en Propiedades.
4. Haga clic en Validar. En el diálogo Validar confianza, determine si quiere validar la confianza en
ambas direcciones (si es una confianza de dos vías), y haga clic en Aceptar.
PRECAUCIÓN Si comprueba conianzas bidireccionales en ambas direcciones, necesita credenciales

apropiadas en el dominio de destino.
Para verificar las confianzas en la línea de comandos:
netdom trust nombredominioconfiable /d:nombredominioconfiable /verify
donde los nombres dominio deben estar en formato DNS. Si la confianza es bidireccional, deberá
proporcionar credenciales apropiadas para el dominio de destino.
CD-31: Administración de estructura de bosque/dominio/OU

Servicios de dominio de Active Directory es un entorno completamente virtual. Esto significa
que hay una gran cantidad de acciones de reestructuración disponibles en él. No es necesario que
su estructura de bosque de dominio sea absolutamente definitiva cuando lo ponga en funciona-
miento. Por supuesto, debe tratar de planear la manera más eficaz posible cuando prepara por
primera vez su ADDS, pero lo más probable es que descubra que a medida que se familiariza
con ADDS, querrá mejorar su diseño original. Windows Server ofrece varias herramientas para
reestructuración de dominios o bosques:
• La consola Usuarios y equipos de Active Directory es completamente compatible con arrastrar
y colocar. Por tanto, es relativamente simple reestructurar el contenido de un solo dominio
al arrastrar y colocar objetos como usuarios, equipos e incluso unidades organizativas de un
lugar a otro. Incluso puede buscar objetos que contienen características determinadas y mo-
verlos todos juntos. Asegúrese de utilizar el procedimiento CD-16 para verificar vínculos GPO
después de cualquier actividad de reestructuración de OU. Además, recuerde desbloquear
objetos que se han protegido de la eliminación antes de moverlos.
• El comando MOVETREE es el equivalente en línea de comandos de la consola Usuarios y equi-
pos de Active Directory. Proporciona más funcionalidad porque moverá objetos entre domi-
nios en el mismo bosque, algo que la consola no puede hacer.
• También puede utilizar el comando RENDOM para cambiar el nombre de los dominios (se encuen-
tra en el sitio Web de Microsoft). Este comando es útil para dar soporte a la reestructuración de
bosques durante las fusiones o las adquisiciones corporativas o durante reorganizaciones. Incluso
puede usar esta herramienta para cambiar el nombre de todo un bosque, dominio por dominio.
• La Herramienta de migración de Active Directory (ADMT, Active Directory Migration Tool)
da soporte a movimientos masivos de objetos dentro del bosque o entre bosques, o incluso
dominios de NT (se encuentran en el sitio Web de Microsoft). Esta poderosa herramienta le
da mayor flexibilidad durante reorganizaciones grandes. Consulte el capítulo 12 para conocer
más información sobre el tema.
NOTA Las últimas dos herramientas son muy complejas y requieren una gran cantidad de prueba
antes de que siga adelante. Asegúrese de familiarizarse con ellas antes de usarlas en un entorno de
producción. Por ejemplo, si utiliza la herramienta para cambiar nombres de dominio de manera in-
apropiada, su dominio podría corromperse, forzándole a recuperarse a partir de copias de seguridad.
PARTE VII
El comando MOVETREE le permite mover objetos y rastrear el movimiento al canalizar la infor-
mación en archivos de registro que pueden archivarse. Además, incluye un interruptor /CHECK, que
sólo probará el movimiento. Junto con el interruptor /VERBOSE, le dará una gran cantidad informa-
ción acerca de los posibles movimientos antes de que en realidad los realice. Además, como opción
predeterminada, el interruptor /START verificará automáticamente un movimiento y realizará el
movimiento sólo si la verificación de operación se completa sin errores. Por ejemplo, para probar un
movimiento de la OU Recursos humanos a la OU Administración del Servidor 1 a Servidor 2 en el
dominio TandT.net y canalizar los resultados en un archivo, escriba:
movetree /check /s server1.tandt.net /d server2.tandt.net /sdn OU=“Recursos
Humanos”, DC=tandt,DC=net /ddn OU=“Recursos Humanos”,OU=Administración,DC=tandt,
DC=net /verbose >nombrearchivo.txt
Utilice MOVETREE /? para conocer más información.
NOTA Recuerde que las unidades organizativas se utilizan por cuatro razones: para delegar admi-
nistración de objetos, asignar directivas de grupo a objetos, reagrupar o separar objetos en catego-
rías y ocultar objetos. La última se realiza mediante la asignación o negación de permisos reales a
la OU. Utilice el procedimiento CD-34 para asignar permisos apropiados a OU.
CD-32: Administración de servicios de tiempo en bosques

Active Directory incluye una jerarquía de sincronización de tiempo. Se basa en el emulador
de PDC dentro de cada dominio del bosque. El emulador de PDC del dominio raíz del bosque
suele sincronizarse con una fuente de tiempo externa, y cada emulador de PDC de dominio
secundario se sincroniza con el del dominio raíz del bosque. Cada equipo o servidor de cada
dominio se sincroniza con su propio emulador de PDC.
La sincronización de tiempo en Windows Server se administra de dos maneras: la primera es
mediante el comando W32TM. Este comando le permite controlar el tiempo en equipos individuales. El
segundo es mediante la jerarquía de dominio. Si desea utilizar fuentes de tiempo alternas, Windows
Server incluye varios GPO que le permiten controlar globalmente el tiempo dentro de dominios.
Como opción predeterminada, las redes de Windows Server 2008 están configuradas para
utilizar TIME.WINDOWS.COM como origen de la hora en el protocolo simple de tiempo de red
(SNTP, Simple Network Time Protocol). Si su red no puede alcanzar este origen, su servidor
generará errores de W32Time, como un error número 12.
Si desea establecer un servidor de origen de tiempo diferente para el emulador de PDC del bos-
que de raíz, utilice la herramienta de línea de comandos W32TM. Por ejemplo, el comando que se usa
para establecer un reloj en la zona horaria occidental con tres servidores de tiempo de origen sería:
w32tm /config /maulpeerlist:”ntp2.usno.navy.mil, tick.usno.navy.mil, tock.usno.
navy.mil” /update
Esto establecerá el emulador de PDC de raíz del bosque para sincronizar el tiempo con uno
de los tres sistemas de cómputo de la lista, e inmediatamente actualizará el servicio de tiempo.
Recuerde que para hacer esto tendrá que abrir el puerto 123 de UDP de su firewall para permitir
tráfico de SNTP. Otros orígenes de tiempo están disponibles. Utilice su herramienta de búsqueda
favorita de Internet para localizarlos.
Para verificar que el comando tuvo éxito, escriba:
net time /querysntp
Esto debe devolver los tres nuevos orígenes de tiempo como resultado.
NOTA Una lista de servidores de tiempo públicos está disponible en http://support.ntp.org/bin/view/

Servers/WebHome. Debe escribir la dirección con mayúsculas y minúsculas para que funcione.
En realidad no es necesario configurar GPO para sincronización de tiempo, porque todo el
equipo que se une a un dominio obtiene automáticamente su configuración de tiempo del emu-
lador de PDC.
CD-33: Administración de listas de control de acceso

Una de las cuatro razones por las que se utilizan unidades organizativas es para ocultar ob-
jetos en el directorio. Debido a que los usuarios tienen capacidad para consultar el directorio, es
una buena idea ocultar objetos confidenciales, como cuentas de servicio o administrativas.
PRECAUCIÓN Esto debe tomarse como una mejor práctica de seguridad. La primera parte del hac-
keo consiste en tener la información a la mano. Si oculta la información al aplicar listas de control
de acceso a OU, tendrá una red más segura.
NOTA Antes de realizar esta tarea, utilice el procedimiento CD-05 para crear un grupo de seguridad
llamado Usuarios negados, y asigne todos los usuarios a los que desea ocultar la información a este
grupo. Asegúrese de que no incluye sus cuentas administrativas en este grupo; de otra manera,
también se le negará acceso a la información oculta. No asigne el grupo Usuarios de dominio a este
grupo porque incluirá su cuenta. Además podría agregar en este grupo la cuenta de usuarios de
plantilla para que se asigne como opción predeterminada a cada nueva cuenta de usuario.
Para asegurar el contenido de una OU:
1. Lance el Administrador del servidor y vaya a Usuarios y equipos de Active Directory (Funcio-
nes | Servicios de dominio de Active Directory | Usuarios y equipos de Active Directory).
2. Expanda el nombre de dominio y vaya a la OU que quiere modificar, o cree una. Para crear
una OU, haga clic con el botón derecho en el objeto principal (dominio u OU principal), y
seleccione Nueva | Unidad organizativa.
3. Haga clic con el botón derecho en la OU y seleccione Propiedades, del menú contextual.
4. Vaya a la ficha Seguridad. Haga clic en Agregar. Escriba Usuarios negados y haga clic en
Aceptar.
5. Asigne al grupo Usuarios negados el permiso Denegar en el área Lectura. Haga clic en Acep-
tar para cerrar el cuadro de diálogo.
A partir de ahora, todos los objetos que coloque en esta OU estarán ocultos para todos los
usuarios que sean miembros del grupo Usuarios negados.
PRECAUCIÓN Tenga cuidado con esta operación porque, en ADDS, la negación siempre sobrescri-
be permisos, de modo que aunque usted (como administrador) tenga derechos plenos sobre este
PARTE VII
objeto, todo lo que tiene que hacer es ser miembro del grupo Usuarios negados para perder acceso
a los objetos en la OU.
CD-34: Administración de consultas guardadas

Servicios de dominio de Active Directory le permiten crear y guardar consultas que usted uti-
liza de manera regular. Esto significa que si está buscando una serie de objetos cuya selección es
compleja, puede crear una vez la consulta, guardarla y luego volver a utilizarla de manera regular.
Todas las consultas guardadas se almacenan dentro de la carpeta Saved Queries, dentro
del directorio. Esta carpeta está localizada directamente debajo de Usuarios y equipos de Active
Directory en su consola.
Para crear una consulta guardada:
1. Lance el Administrador del servidor y vaya a Usuarios y equipos de Active Directory (Funcio-
nes | Servicios de dominio de Active Directory | Usuarios y equipos de Active Directory).
2. Haga clic con el botón derecho en Saved Queries y seleccione Nueva | Consulta.
3. Escriba el nombre de la consulta (por ejemplo, Cuentas deshabilitadas) y una descripción de
ella. Para definir la consulta, haga clic en Definir consulta.
4. En el cuadro de diálogo Definir consulta, seleccione los criterios de su consulta. Por ejemplo,
si está buscando todas las cuentas deshabilitadas, seleccione Cuentas deshabilitadas en la
categoría Consultas comunes. Haga clic en Aceptar.
5. Haga clic de nuevo en Aceptar para guardar la consulta.
A partir de ahora, todo lo que necesita hacer para localizar todas las cuentas deshabilitadas
en su directorio es hacer doble clic en la consulta Cuentas deshabilitadas.
CD-35: Administración de espacio dentro de ADDS

Windows Server 2008 da soporte a la asignación de cuotas de servicio de directorio NT
(NTDS), cuotas que están asignadas a principales de seguridad dentro de Active Directory. Estas
cuotas controlan el número de objetos que un principal de seguridad puede crear dentro de cual-
quier partición de ADDS determinada.
PRECAUCIÓN La asignación de cuotas de NTDS es una buena práctica, porque asegura que
ninguna cuenta de usuario o equipo cree objetos suicientes en ADDS para crear una situación
de negación del servicio al crear tantos objetos que el DC se quede sin espacio de almacenamiento.
Esta situación también puede afectar el ancho de banda de la red porque el DC atacado trata de
replicar todos los nuevos datos a sus colegas.
Las cuotas afectan a todos los objetos del directorio. Por ejemplo, si establece cuotas gene-
rales de 1000, eso significa que ningún objeto ADDS simple puede poseer más de 1000 objetos
distintos. Esto incluye objetos activos y muertos (objetos que se han eliminado del directorio pero
que aún no se han borrado, porque la eliminación no se ha replicado a todos los socios). También
puede asignar un peso a los datos muertos. Eso significa que, en lugar de permitir que un objeto
muerto tenga el mismo peso que uno activo, puede indicarle al directorio que tome menos espa-
cio que los objetos activos.
Por último, también puede crear grupos y asignarles cuotas diferentes de la general. Por
ejemplo, si quiere dar a los servidores de impresión el derecho de poseer más de 1000 colas de
impresión, crearía un grupo, incluiría todos los servidores de impresión en él y le otorgaría una
cuota más elevada. Como opción predeterminada, el directorio no contiene ninguna cuota.
Es posible asignar cuotas a todas las particiones del directorio: configuración, dominio y
aplicación, pero no a la partición del esquema. La última no puede contener cuotas. Para conocer
más información sobre las particiones de aplicaciones, consulte el procedimiento de DN-04.
NOTA Un valor de cuota de -1 signiica una cuota ilimitada.

Para establecer cuotas generales:
dsadd quota nombrepartición -acct nombrecuota -qlimit valor
donde nombrepartición es el nombre distinguido de la partición a la que quiere agregar una cuota,
nombrecuota es el nombre distinguido de la cuenta (puede ser un usuario, un grupo, un equipo o
el objeto InetOrgPerson) y valor es la cantidad de la cuota que está agregando.
Para obtener el nombre de las particiones en su directorio, Escriba:
dsquery partition
Para ver un límite de cuota o verificar los resultados de sus comandos anteriores, escriba:
dsget quota domainroot -qlimit “>=499”
Esto presentará una lista de todas las cuentas que tienen un límite mayor o igual a 499.
Debe establecer cuotas en todas las particiones (excepto el esquema, por supuesto). En casi
todas las organizaciones, un límite de cuota de 500 será apropiado. Recuerde que siempre pue-
den crear cuotas de excepción.
Las cuotas deben establecerse para dos grupos: Usuarios de dominio y Equipos de dominio.
De esta manera, se atienden casi todas las cuentas válidas en sus dominios.
PRECAUCIÓN Las cuotas se establecen en el nivel del dominio. Asegúrese de asignar cuotas en cada
dominio de su bosque.
Por ejemplo, para establecer una cuota de 500 para el grupo Usuarios de dominio en la parti-
ción de dominio TandT.net, escriba:
dsadd quota dc=TandT,dc=net -acct “cn=Usuarios de dominio,cn=usuarios,dc=TandT,
dc=net” -qlimit 500
NOTA El nombre distinguido Usuarios de dominio está entre comillas porque hay un espacio en el
nombre del grupo.
CD-36: Administración de la directiva de consultas de LDAP

Como opción predeterminada, los Servicios de dominio de Active Directory no contienen
una directiva de consultas de LDAP. Esa directiva controla la manera en que el directorio tratará
las consultas de LDAP. Al menos una directiva debe asignarse a cada dominio de su bosque.
PRECAUCIÓN La asignación de una directiva de consulta LDAP es una buena práctica, porque
protege al directorio de ataques de negación de servicio basados en consultas de LDAP. Aunque se
PARTE VII
trata de una buena práctica para directorios internos, es una obligación absoluta para cualquier
Active Directory que esté localizado en un perímetro o una zona de red desmilitarizada.
No se preocupe si siente que no sabe lo suficiente acerca de LDAP para definir una directi-
va de consulta; ADDS incluye una directiva de consulta predeterminada que puede usarse para
proteger su directorio. Para asignar la directiva de consulta predeterminada a su directorio:
1. Lance Administrador del servidor y vaya a Sitios y servicios de Active Directory (Funciones |
Servicios de dominio de Active Directory | Sitios y servicios de Active Directory).
2. Haga clic en el nombre del controlador de dominio (Administración de equipos | Sitios y servi-
cios de Active Directory | Sites|nombresitio | Servers | nombreDC) donde nombresitio y nombreDC
son los nombres del sitio donde está localizado el DC y el nombre del DC que desea ver.
3. Haga clic con el botón derecho en NTDS Settings, en el panel Detalles, y seleccione Propiedades.
4. En la ficha General, seleccione Default Query Policy, de la lista desplegable Consultar directiva.
5. Haga clic en Aceptar.
Esta operación sólo se requiere en un DC del dominio.
Para modificar o crear su propia directiva de consulta, utilice el comando NTDSUTIL en el
contexto LDAP POLICIES. Utilice el sistema de ayuda de WS08 para encontrar más información
acerca de este comando.
CD-37: Administración de la base de datos de ADDS

Los Servicios de dominio de Active Directory compactan automáticamente la base de datos
NTDS.DIT de manera regular, pero esta compactación no limpia el espacio sin usar de la base de
datos (sólo reorganiza los datos para que sean más accesibles). De vez en cuando deberá com-
pactar la base de datos para limpiar el espacio que no se usa y reducir su tamaño. El comando
que se emplea para esto es NTDSUTIL.
PRECAUCIÓN La compactación de la base de datos debe hacerse fuera de línea. Esto signiica que
debe detener el servicio ADDS antes de realizar esta operación. Este servicio sólo puede detenerse
si el DC que está deteniendo puede ponerse en contacto con otro DC en la red (una buena razón
más para tener por lo menos dos DC en cualquier dominio). También puede utilizar el comando
NET STOP NTDS para ello.
1. Una vez que se ha detenido el servicio ADDS, lance una consola de comando elevada y escriba:
ntdsutil
files
compact to nombrecarpetatemporal
quit
quit
donde nombrecarpetatemporal es el nombre de la carpeta de destino donde la base de datos com-
pactada se almacenará temporalmente. Asegúrese de que la operación se completa de manera
apropiada.
NOTA En casi todos los directorios grandes, esta operación puede tomar algo de tiempo.
2. A continuación, elimine todos los archivos de registro:
cd\windows\ntds
Del *.log
3. Ahora haga una copia de seguridad de NTDS.DIT:
copy NTDS.DIT carpetacopia
donde carpetacopia es el nombre de la carpeta de destino donde se almacenará la base de da-
tos que se ha copiado. Asegúrese de que la copia de seguridad esté completamente asegurada.
4. Copie de nuevo la base de datos compactada en su carpeta original:
copy nombrecarpetatemporal\ntds.dit
donde nombrecarpetatemporal es el nombre de la carpeta de destino donde debe almacenarse
temporalmente la base de datos compactada. Sobrescribe el archivo NTDS.DIT original.
5. Ahora revise la integridad del nuevo archivo compactado:
ntdsutil
files
integrity
quit
quit
Una vez que esté completa la comprobación de integridad, reinicie el servicio ADDS. Repita
en cada DC en su bosque.
Puede incluir toda la operación en una secuencia al utilizar la línea de comandos, si quiere
automatizarlo. Sin embargo, debe realizar la operación interactivamente, porque si algo sale mal
y no está consciente de ello, su DC no será funcional.
CD-38: Eliminación de RODC

Los controladores de dominio de sólo lectura se usan para proporcionar servicios de auten-
tificación en oficinas remotas donde no puede garantizar la seguridad del servidor. De vez en
cuando puede perder un RODC. En este caso, necesita eliminarlo de su directorio para que se
restablezcan automáticamente las contraseñas de cada cuenta de usuario que estaba almacenada
en el RODC comprometido. De esta manera, los atacantes maliciosos no podrán usar esas con-
traseñas para iniciar sesión en su red.
Para eliminar el RODC y restablecer contraseñas:
1. Utilice el Administrador del servidor para ir a Usuarios y equipos de Active Directory (Funcio-
nes | Servicios y dominios de Active Directory | Usuarios y equipos de Active Directory).
2. Vaya a la OU Domain Controllers.
PRECAUCIÓN Todos los DC deben dejarse dentro de la OU Domain Controllers, porque se verán
afectados por las directivas de grupo especiales que aseguran esta función de servidor virtual.
3. Localice el RODC faltante, selecciónelo y oprima SUPR.
4. En el cuadro de diálogo Eliminar controlador de dominio, seleccione Restablecer todas las
contraseñas de cuentas de usuario en caché en este DC de sólo lectura, además de Exportar la
lista de cuentas que se almacenaron en caché en este controlador de dominio de sólo lectura a
este archivo, e ingrese el nombre del archivo al que se exportará la lista. Haga clic en Aceptar
para realizar la eliminación.
PARTE VII
5. Utilice la lista exportada para informar a los usuarios afectados que sus contraseñas se han
restablecido y que se deberán poner en contacto con el escritorio de ayuda antes de que pue-
dan iniciar sesión.
Por fortuna, nunca necesitará realizar esta operación. Pero en caso de que la tenga que hacer,
seguirá asegurando el acceso a su directorio.
Administración del servidor de espacio de nombres (DNS)

El servicio de asignación de nombres de dominio (DNS, Domain Naming Service) es la esencia
de la operación de los Servicios de dominio de Active Directory. Da soporte al proceso de inicio de
sesión y proporciona la estructura jerárquica de la base de datos de ADDS. Como mejor práctica,
siempre debe unirlo a la función de controlador de dominio con el servicio DNS.
Como todos los servicios, el DNS de Windows NT incluye varias herramientas para admi-
nistración y manejo. La primera es la consola DNS, que se agrega automáticamente a la consola
Administración de equipos en servidores donde el servicio está instalado. Esta consola DNS tam-
bién puede accederse mediante la interfaz Administrador del servidor. Además, Windows Server
incluye la herramienta de línea de comandos DNSCMD. Por último, los comandos NSLOOKUP e
IPCONFIG son útiles para actualizaciones de DNS y detección y solución de problemas.
DN-01: Veriicación de registro de eventos DNS

DNS registra automáticamente su información de eventos en el registro del servidor DNS
del Visor de eventos. Se recomienda que revise este registro diariamente para asegurar la opera-
ción apropiada de su DNS. Para verificar el registro de eventos DNS:
1. Lance el Administrador del servidor y vaya a Diagnóstico | Visor de eventos | Registro de apli-
caciones y servicios | Servidor DNS.
2. Revise el contenido del registro del último día. Tome la acción apropiada, si identifica adver-
tencias o errores.
También puede habilitar un registro de traza temporal directamente dentro de DNS. Para
ello, haga clic con el botón derecho en el nombre del servidor DNS (Administración de equipos
| Servicios y aplicaciones | DNS | nombreservidor), vaya a la ficha Depurar registro y habilite la
opción Registrar paquetes para depuración. Puede escribir el nombre de archivo del registro, si lo
desea, pero como opción predeterminada, el archivo se denomina DNS.LOG y está localizado en
la carpeta %SYSTEMROOT%\SYSTEM32\DNS. No olvide desactivar el registro adicional cuando haya
terminado, porque coloca una carga adicional en su servidor DNS.
DN-02: Administración de coniguración de DNS

Casi todas las organizaciones utilizn dos infraestructuras DNS: una interna basada en
Windows Server e integrada a los Servicios de dominio de Active Directory de producción, y una
externa que puede estar o no basada en tecnologías de Windows.
La última depende del momento en que creó sus zonas de Internet y las decisiones tecnoló-
gicas que tomó entonces.
Una cosa es cierta (o debe serlo): su estructura interna DNS se ejecutará en Windows Server
porque está usando ADDS. Debido a que Windows Server da soporte a la adición y eliminación
de registros DNS (en conjunción con el servicio DHCP), todos sus servidores DNS deben esta-
blecerse para habilitar el rastreo de los registros inactivos (Administrador del servidor | Funciones
| Servidor DNS | DNS | nombreservidor | Propiedades | ficha Opciones avanzadas). Esto mantiene
automáticamente su base de datos DNS limpia.
Puede realizar esta actividad manualmente al hacer clic con el botón derecho en el nombre
de servidor, en la consola DNS, y seleccionar Explorar registro de recursos inactivos. También es
una buena idea seleccionar Actualizar archivos de datos del servidor (del mismo menú contex-
tual) de manera regular. Además, puede iniciar el rastreo desde la línea de comandos:
dnscmd nombreservidor /startscavenging
donde nombreservidor es el nombre del servidor que desea iniciar para rastrear.
DN-03: Administración del registro DNS

Aunque DNS es dinámico en Windows Server, encontrará que necesita agregar y eliminar
registros manualmente de vez en cuando. Para agregar un registro de DNS:
2. Vaya a DNS (Funciones | Servidor DNS | DNS). Haga clic en la zona de búsqueda apropiada
directa o inversa para cargarla en la consola.
3. Haga clic con el botón derecho en la zona y seleccione Nuevo tiporegistro, donde tiporegistro
es el tipo de registro que desea crear.
4. Rellene la información apropiada del registro, y haga clic en Aceptar, para crearlo.
También puede administrar registros desde la línea de comandos:
dnscmd nombreservidor /recordad zona nodename recordtype recorddata
donde nombreservidor es el servidor que desea que realice la operación, en zona y nodename es don-
de se ubicará el archivo en DNS, recordtype es el tipo de archivo que desea agregar y recorddata
es la información del archivo. También puede usar el comando DNSCMD para numerar todos los
registros en un servidor.
dnscmd nombreservidor /enumrecords zona @ >nombrearchivo.txt
El uso del símbolo @ enumera automáticamente todos los registros en la raíz de la zona. Se
canaliza este comando en un archivo para capturar toda la salida.
DN-04: Administración de particiones de aplicaciones de DNS

Los Servicios de dominio de Active Directory almacenan información de DNS en particiones
de aplicaciones. Estas particiones le permiten crear un ámbito de replicación específico dentro del
directorio. Por ejemplo, como opción predeterminada, la información DNS de todo el bosque
está contenida en una partición de todo el bosque y la información centrada en dominio está
contenida sólo dentro del dominio real. La aplicación DNS se crea automáticamente mientras
instala DNS mediante DCPromo (procedimiento CD-28), pero también puede crearlos manual-
mente mediante el menú contextual del servidor DNS en la consola DNS.
PARTE VII
También puede utilizar el comando DNSCMD para crear particiones adicionales:
dnscmd /CreateBuiltinDirectoryPartitions opción
donde opción alude al ámbito de la partición y puede ser /DOMAIN, /FOREST o /ALLDOMAINS. Para
enumerar las particiones existentes:
dnscmd /EnumDirectoryPartitions
SUGERENCIA Cuando cree un bosque de varios dominios, utilice delegaciones “modelo” para forzar
al asistente para DCPromo a instalar DNS y crear las particiones de aplicación de dominio en el
propio dominio. Ahora DCPromo se ocupa de esta operación automáticamente porque promueve el
primer DC en un dominio secundario.
Administración del servidor de aplicaciones y de colaboración

Hasta ahora, ha cubierto varias tareas administrativas diferentes relacionadas con servidores
miembros y controladores de dominio. Las tareas finales analizadas aquí se concentran en
compartir aplicaciones para dar soporte a funcionalidades genéricas y críticas de la misión dentro
de su red. Debido a esto, varias funciones de servidor se cubren en el mismo capítulo. Cada una
desempeña una función en el proceso de intercambio de aplicaciones.
Los servidores de aplicaciones incluyen servidores que ejecutan aplicaciones basadas en Web
empleando .NET Framework o aplicaciones convencionales cuyas funcionalidades en ocasiones
se proporcionan remotamente mediante Terminal Services de Windows. Los servidores de aplica-
ciones también incluyen Windows SharePoint Services.
Además, como administrador, necesitará supervisar la operación apropiada de todos los
servidores, sobre todo para identificar si los recursos que se han proporcionado para cada servicio
cumplen las exigencias. En la tabla 13-9 se delinean las actividades administrativas necesarias
para asegurar la operación apropiada de los servicios de aplicaciones que entrega a su comuni-
dad de usuarios. También incluye actividades relacionadas con administración de rendimiento.
Como siempre, también se cubre en esta tabla la frecuencia de cada tarea, además de su capaci-
dad de aplicar almacenes de recursos y ofrecimientos de servicios virtuales.
Recuerde personalizar la lista de tareas para adaptarla a su entorno.
NOTA Casi todas las actividades de esta sección requieren derechos administrativos locales o dere-
chos de delegación apropiados para el servicio adecuado.
Administración de servidores Web dedicados

Windows Server 2008 incluye el servidor Web dedicado mediante su edición Web. Esta edición es
una versión recortada de la edición estándar y tiene una funcionalidad limitada en ciertos niveles.
Por ejemplo, no puede soportar la función de controlador de dominio.
Aunque no todos sus servidores Web serán dedicados, las acciones que realice para adminis-
trar los servidores Web son las mismas, sean dedicados o no. Sin embargo, debe tomar en con-
sideración la ejecución de servidores Web dedicados debido a razones de seguridad: cuanto más
pequeña sea la recolección de información del servicio en un servidor, mejor podrá protegerlo.
Ofrecimientos
Número de Almacén de servicios
procedimiento Actividad Frecuencia de recursos virtuales
Servidores Web dedicados
SW-01 Veriicación del registro de eventos de aplicaciones Diaria X X
SW-02 Veriicación del estatus del servidor de IIS Semanal X
SW-03 Generación de estadísticas de uso del servidor IIS Mensual X
SW-04 Veriicación de registro del servidor Web Mensual X
SW-05 Veriicación de parches de seguridad de IIS Ad hoc X
SW-06 Administración de la coniguración del servidor Web Ad hoc X
Servidores de aplicaciones
SAP-01 Veriicación de estado de aplicaciones compartidas Semanal X
SAP-02 Administración de aplicaciones COM+ Semanal X
SAP-03 Administración del servidor de base de datos Semanal X
SAP-04 Acceso de cliente a aplicaciones de servidor Ad hoc X
Terminal Services
TS-01 Administración de las conexiones de Terminal Services Semanal X X
TS-02 Administración de impresoras de Terminal Services Ad hoc X
TS-03 Administración de licencias de Terminal Services Ad hoc X
TS-04 Administración de acceso de usuarios de Terminal Services Ad hoc X
TS-05 Administración de RemoteApp de Terminal Services Ad hoc X X
Windows SharePoint Services
SP-01 Veriicación de Windows SharePoint Services Diaria X
SP-02 Generación de copias de seguridad de Windows SharePoint Diaria X
Services
SP-03 Registro de diagnóstico Mensual X
SP-04 Análisis de uso Mensual X
SP-05 Veriicación de credenciales de seguridad Ad hoc X
Rendimiento y monitoreo
RM-01 Veriicación del registro de enrutamiento y irewall Diaria X X
RM-02 Monitoreo del espacio en disco general Semanal X X
RM-03 Administración de recursos del sistema Semanal X X
RM-04 Monitoreo del tráico de red Semanal X X
RM-05 Administración de la capacidad del servidor Mensual X X
RM-06 Diagnósticos del sistema Ad hoc X X
TABLA 13-9 Lista de tareas de administración de servicios de aplicación
Las actividades cubiertas aquí se concentrarán principalmente en el uso de la consola Admi-

nistrador de Internet Information Services (IIS) y la herramienta de línea de comandos APPCMD.
SW-01: Veriicación del registro de eventos de aplicaciones

IIS envía sus errores al registro de eventos de aplicaciones de Windows. Estos errores
incluyen cualquier cosa, desde lanzar el sitio Web hasta errores cuando fallan las solicitudes de
clientes. Para ver este registro, puede dar los mismos pasos que en el procedimiento SG-03.

2. Vaya al Registro de eventos de aplicaciones (Diagnóstico | Visor de eventos | Registros de Win-
dows | Aplicación).
PARTE VII
3. Este registro almacena todos los eventos relacionados con las aplicaciones. Tal vez quiera fil-
trar u ordenar eventos para ver sólo eventos IIS. La mejor manera de hacerlo es haciendo clic
en el botón Origen, en el encabezado del panel Detalles. Esto ordena automáticamente todos
los errores de acuerdo con el origen. Localice eventos ISS al buscar eventos del proveedor de
servicios para aplicaciones (ASP, Application Service Provider).
4. Identifique cualquier error o advertencia. Tome la acción apropiada si aparece alguno de ellos.
Como opción predeterminada, ISS sólo registra un subconjunto de errores de ASP en el
registro de eventos. Otros registros son generados por el propio IIS y se almacenan en
%SYSTEMDRIVE%\INETPUB\LOGS\LOGFILES.
SW-02: Veriicación del estatus del servidor de IIS

También debe verificar de manera regular el estatus de sus servidores Web y los sitios Web
que hospedan. Esta tarea se establece con una frecuencia semanal, pero si es crítica para su ser-
vidor Web (presencia externa, punto de acceso de la compañía, operación las 24 horas del día, los
siete días de la semana), puede realizarla a diario.
Hay dos maneras de hacerlo. La primera incluye la consola Administrador de Internet Infor-
mation Service (IIS). Para verificar el estatus de los servidores Web:
1. Lance el Administrador de Internet Information Services (IIS) (menú Iniciar | Herramientas
administrativas | Administrador de Internet Information Services (IIS)).
2. Verifique que cada sitio Web esté ejecutándose al hacer clic con el botón derecho en él y ver el
estatus de su servicio. También puede hacer clic con el botón derecho en el sitio y seleccionar
Examinar, del menú contextual. El administrador IIS desplegará el sitio en el panel Detalles.
3. Cierre o minimice el administrador IIS cuando haya terminado.
También puede verificar el estatus de cada servidor y sitio Web mediante la línea de coman-
dos. Ésta es la segunda manera de verificar el estatus del servidor. Utilice el siguiente comando:
appcmd list site
Debe conectarse primero al servidor para ejecutar este comando.
SW-03: Generación de estadísticas de uso del servidor IIS

Una de las actividades que debe hacer de manera regular (mensualmente) es la recolección
de estadísticas de uso de servidor Web. Estas estadísticas ayudarán a identificar si sus servidores
tienen la capacidad de responder a todas las solicitudes con el tiempo. También serán útiles para
la evaluación de uso del sitio Web en horas pico y en las que no lo son.
La mejor manera de ver las estadísticas del servidor Web consiste en usar contadores de
rendimiento. Puede crear una consola de monitoreo de rendimiento que lleve registro automáti-
co del uso de sitio Web en todos los servidores. Esta consola necesitará derechos de acceso para
que funcionen los contadores en cada servidor que monitoree, de modo que es mejor emplear el
comando Ejecutar como administrador para lanzar el Administrador del servidor y luego proce-
der de la siguiente manera:
1. Utilice el procedimiento SA-01 para crear un nuevo conjunto recopilador de datos.
2. Agregue contadores para el servicio Web como objeto de rendimiento, y agregue los siguientes
contadores empleando todas las instancias:
• Usuarios anónimos/sec.
• Usuarios anónimos actuales.
• Usuarios no anónimos/sec.
• Usuarios no anónimos actuales.
• Intentos de conexión/sec.
3. Repita el procedimiento con Caché de servicio Web y Visitas de caché de archivos como obje-
tos de rendimiento.
NOTA Debe supervisar el servicio Web y el caché de servicio Web si quiere ver el número total de
usuarios que visitan sus sitios.
4. Repita en cada uno de los servidores Web.
5. Establezca el calendario para que se ejecute mensualmente.
Esto registrará automáticamente toda la actividad de uso Web.
SW-04: Veriicación de registro del servidor Web

Además de registrar eventos en el Registro de eventos, IIS registra todos los eventos auto-
máticamente en su propio diario. Incluye información detallada acerca de cada sitio Web.
Los archivos de registro se almacenan bajo la carpeta %SYSTEMDRIVE%\INETPUB\LOGS\
LOGFILES. Para ver el contenido de sus archivos de registro, vaya a esta carpeta y haga doble clic
en cualquier archivo.
PRECAUCIÓN Es una buena idea revisar los archivos de registro de IIS de manera regular para de-
tectar posibles ataques. Busque patrones de repetición en la manera en que los usuarios visitan su
sitio. Si su sitio tiene habilitada la autentiicación, busque los intentos repetidos de iniciar sesión
de fuentes desconocidas.
NOTA Debe utilizar el procedimiento SA-02 para hacer copias de seguridad regulares de sus archi-
vos de registro IIS. También debe limpiar los archivos de registro después de que los respalde para
limpiar el espacio en disco en el servidor IIS.
SW-05: Veriicación de parches de seguridad de IIS

IIS ha sido el favorito de los hackers. Por esto es que necesita prestar especial atención a los
parches de seguridad para este servicio.
NOTA Esta tarea se establece como ad hoc porque nunca sabrá cuándo será necesario realizarla. Por
lo menos, debe realizarla una vez cada mes.
PARTE VII
Utilice el procedimiento SG-14 para verificar actualizaciones de seguridad desde el sitio
Web de Microsoft y otros sitios como el SANS Institute. Para información de Microsoft, vaya al
sitio del boletín de seguridad de Microsoft en www.microsoft.com/technet/security/current.aspx.
Seleccione IIS 7.0 bajo Product/Technology y haga clic en Ir.
Descargue, pruebe e instale cualquier parche aplicable. Si aún no lo ha hecho, debe utilizar el
procedimiento SG-13 para suscribirse en la notificación de boletín de seguridad.
SUGERENCIA También puede suscribirse a la fuente del boletín de seguridad y a correcciones

activas de Microsoft en www.microsoft.com/technet/security/bulletin/secrss.aspx.
SW-06: Administración de la coniguración del servidor Web

IIS incluye la capacidad de compartir configuraciones entre servidores. Esto se realiza me-
diante la característica Configuración compartida. En esencia, se establece cada servidor IIS para
que comparta una configuración central. De esta manera, sólo necesita hacer un cambio en una
ubicación y aplicarlo a varios servidores. Si está ejecutando una granja Web utilizando el servicio
de equilibrio de carga de red, puede generar fácilmente una sola configuración para los servido-
res Web cliente y luego compartirla con todos los demás.
Asegúrese de que su configuración del servidor Web finalice, y luego proceda de la siguiente
manera de compartir la configuración:
1. Las configuraciones están almacenadas dentro de la carpeta %SYSTEMROOT%\SYSTEM32\
INETSRV\CONFIG. Comparta esta carpeta en el servidor de origen.
2. Asigne una unidad de red a la carpeta compartida, con credenciales apropiadas de los servi-
dores con los que quiere compartir la configuración. Utilice una cuenta de servicio (consulte el
procedimiento SG-05) para asignar esta unidad de modo que siempre funcione.
3. Lance Administrador de Internet Information Services (IIS) (Herramientas administrativas |
Administrador de Internet Information Services (IIS)). En la página de inicio, haga doble clic
en Configuración compartida, bajo la sección Administración.
4. Seleccione Habilitar configuración compartida, escriba la ruta de archivo compartido em-
pleando la unidad asignada (también puede usar una ruta UNC). Escriba el nombre de
usuario y la contraseña de la cuenta de servicio y haga clic en Aplicar en el panel Acciones. Sus
servidores compartirán la misma configuración.
5. Regrese al servidor de origen, vaya a Configuración compartida y haga clic en Exportar con-
figuración en el panel Acciones. Escriba la contraseña de cifrado y haga clic en Aceptar. Esto
creará una copia de seguridad de su configuración de origen para protegerla.
Para crear una copia de seguridad de la configuración utilizando la línea de comandos:
appcmd add backup NombreCopia
donde NombreCopia es el nombre de la copia de seguridad. Eso protegerá aún más la configura-
ción de origen.
Administración de servidores de aplicaciones

Los servidores de aplicaciones convencionales ejecutan aplicaciones en modo compartido. En com-
paración con los servidores Web, el servidor de aplicaciones se parece mucho más a un servidor de
archivos que comparte una carpeta de aplicaciones. Las aplicaciones están cargadas en la memoria
del servidor, y los usuarios usan la capacidad del servidor para ejecutar la aplicación compartida.
Debido a la naturaleza de los servidores de aplicaciones convencionales, muchas de las ope-
raciones empleadas para administrarlos se parecen a las utilizadas para administrar servidores de
archivos.
Los servidores de aplicaciones también ejecutan aplicaciones de COM+ y .NET Framework.
Además, pueden hospedar bases de datos y sistemas de bases de datos relacionales. Por último,
necesita administrar los recursos en servidores de aplicaciones para asegurar que proporcionan
rendimiento adecuado.
SAP-01: Veriicación de estado de aplicaciones compartidas

Debe verificar regularmente el estado de las aplicaciones compartidas que ejecuta. Hay
varias maneras de hacerlo, pero la que elija dependerá del tipo de aplicaciones que está ejecutan-
do. Tome, por ejemplo, una versión compartida de Microsoft Office. La versión compartida está
configurada para realizar una instalación administrativa de Office en un servidor, en un recurso
compartido de archivos. Luego debe realizar una instalación mínima en equipos de usuarios.
Los usuarios ejecutan la aplicación al lanzarla en sus escritorios. La aplicación se ejecuta princi-
palmente en el servidor empleando la capacidad de procesamiento del servidor para realizar las
operaciones que los usuarios necesitan.
Pero debido a que Office se ejecuta de esta manera, es difícil verificar si la aplicación se está
ejecutando apropiadamente. Siempre puede ir a un equipo que tiene los componentes de cliente
instalados y simplemente lanzar la aplicación. Esto le indicará si está desempeñándose apropia-
damente. Pero también puede usar las herramientas de conectividad de Windows Server para ver
conexiones a la carpeta compartida de la aplicación. Esto le indicará el número de usuarios que
actualmente están ejecutando la aplicación y los archivos que actualmente se han abierto, deján-
dole divisar cuáles aplicaciones están abiertas.
Para verificar las conexiones y abrir archivos:
1. Lance Administración de equipos y vaya al nodo Sesiones (Administración de equipos | He-
rramientas de sistema | Carpetas compartidas | Sesiones). Vea el número de sesiones abiertas
en el panel Detalles.
2. A continuación, vaya a Archivos abiertos (Administración de equipos | Herramientas del sistema |
Carpetas compartidas | Archivos abiertos). Vea los archivos que están en uso en el panel Detalles.
3. Si necesita cerrar el recurso compartido o un archivo abierto, puede hacer clic con el botón
derecho en el recurso compartido o el archivo, en el panel Detalles y seleccionar Cerrar sesión
o Cerrar archivo abierto, del menú contextual.
NOTA Debe enviar un mensaje a los usuarios si va a cerrar una sesión o un archivo. Utilice el
comando NET SEND para ello. Escriba NET SEND /? para conocer más información.
También puede ver sesiones abiertas y archivos abiertos mediante la línea de comandos
net session nombreservidor
net file
PARTE VII
donde nombreservidor es el nombre NetBIOS del servidor en el formato \\nombreservidor.
NOTA Al igual que el Administrador del servidor, no es posible ejecutar remotamente el comando
NET FILE. Debe estar en el propio servidor para usar este comando.
SAP-02: Administración de aplicaciones COM+

La administración de aplicaciones de COM+ es facilitada en gran medida en Windows Ser-
ver 2008. Esta versión de Windows ofrece varias características de administración poderosas para
la operación de aplicaciones de COM+:
• Aplicaciones como servicios NT Todas las aplicaciones COM+ pueden configurarse como
servicios NT, haciendo que las aplicaciones se carguen al arranque o bajo pedido, de acuerdo
con lo que se necesite.
• Compuertas de activación de memoria baja Windows Server puede verificar las asig-
naciones de memoria antes de empezar un proceso, permitiéndole cerrar una aplicación si
acabará con los recursos de memoria. Esto permite que otras aplicaciones se ejecuten en el
servidor para seguir su operación mientras sólo la aplicación con falla deja de funcionar.
• Servicios Web Cualquier objeto de COM+ puede tratarse como un servicio Web, y cual-
quier servicio Web puede tratarse como un objeto de COM+, extendiendo en gran medida las
capacidades remotas de sus aplicaciones.
• Particiones de aplicaciones En cuanto a soporte de aplicaciones, estas particiones le permi-
ten hospedar varias instancias de la misma o de diferentes versiones de objetos COM+ en el
mismo servidor. Si tiene 500 clientes que ejecutan una aplicación hospedada, puede crear 500
particiones, una para cada cliente, segregando sus entornos operacionales de los de los demás.
• Reciclado de aplicaciones Algunas aplicaciones tienen tendencia a mostrar un rendimien-
to degradado con el tiempo debido a fugas de memoria y otros problemas de programación.
Windows Server puede reciclar un proceso al apagarlo sin problemas y reiniciarlo de manera
regular. Esto puede hacerse administrativamente o mediante el kit de desarrollo de software
de COM+. Administrativamente, se aplica mediante la consola Servicios de componente, al
hacer clic con el botón derecho en un componente de COM+, seleccionar Propiedades y mo-
dificar los elementos en la ficha Almacenamiento y reciclado. Como opción predeterminada,
todas las aplicaciones de COM+ usan reciclado.
La verificación del estado de las aplicaciones de COM+ se concentra en el uso del comple-
mento Servicios de componente para verificar si los componentes de COM+ se están ejecutando
o no. También puede utilizar la nueva característica COM+ de Windows Server para agregar
resistencia a sus aplicaciones de COM+.
PRECAUCIÓN Esté consciente de la modiicación de las coniguraciones de seguridad en componen-

tes de COM+. Un movimiento incorrecto y la aplicación dejará de funcionar y pasará momentos
difíciles tratando de encontrar el problema.
Para ejecutar una aplicación como servicio:

1. Lance la consola Administración de equipos.
2. Vaya a Equipos en Servicios de componente (Administración de equipos | Servicios de compo-
nentes | Equipos).
3. Conéctese al servidor apropiado, si es necesario (Acción | Nuevo | Equipo) y escriba el nom-
bre del servidor (\\nombreservidor) o utilice el botón Examinar, para localizarlo. Haga clic en
4. Localice el componente COM+ que desee ejecutar como servicio y haga clic con el botón
derecho en él para seleccionar Propiedades de menú contextual.
5. Vaya a la ficha Activación y haga clic en Ejecutar como servicio NT. Windows Server le adver-
tirá que puede restablecer algunas configuraciones. Haga clic en Aceptar, en Siguiente y en
Configurar nuevo servicio.
6. En el cuadro de diálogo Configurar servicio, elija el tipo de arranque, establezca el nivel de
manejo de errores e identifique dependencias. Haga clic en Crear, para configurar el servicio.
Para habilitar y administrar particiones de aplicación de Active Directory, primero habilite las
particiones del servidor:
1. Lance la consola Administración de equipos.
2. Vaya a Equipos en Servicios de componente (Administración de equipos | Servicios de compo-
nentes | Equipos).
3. Conéctese al servidor apropiado, si es necesario (Acción | Nuevo | Equipo) y escriba el nom-
bre del servidor (\\nombreservidor) o utilice el botón Examinar para localizarlo. Haga clic en
4. Localice el servidor para el que desea habilitar particiones y haga clic con el botón derecho en
él para seleccionar Propiedades, del menú contextual.
5. Vaya a la ficha Opciones, y seleccione Habilitar particiones. También puede seleccionar Revisar
almacén local, cuando se eligen particiones para usuario, pero hágalo sólo si quiere que el servi-
dor almacene particiones locamente, además de hacerlo dentro de ADDS. Haga clic en Aceptar.
6. A continuación, vaya a Usuarios y equipos de Active Directory, habilite Características avanza-
das (Ver | Características avanzadas).
7. Cree particiones en el contenedor ComPartitions (Usuarios y equipos de Active Directory | Siste-
ma | ComPartitions) y cree conjuntos de particiones o grupos de particiones bajo ComPartitions-
Sets. Los conjuntos de particiones se usan para asignar acceso a partición a usuarios y grupos.
8. Una vez que se han creado las particiones ADDS, regrese a Servicios de componente en Ad-
ministración de equipos, localice el equipo que desee incluir en la partición y haga clic con el
botón derecho en Particiones COM+ para seleccionar Nueva | Partición. Esto lanza el asistente
para nueva partición.
9. Haga clic en Siguiente. Determine el tipo de partición. Puede ser una partición previamen-
te exportada, o una vacía. Si su equipo de desarrollo ha preparado previamente la partición,
seleccione la primera opción; de otra manera, seleccione Crear una partición vacía. Haga clic
en Explorar directorio para encontrar la partición que creó en ADDS, seleccione la partición y
haga clic en Agregar. Haga clic en Siguiente y luego en Finalizar.
10. Por último, puede proteger la partición de la eliminación al hacer clic con el botón derecho
en ella y seleccionar Propiedades. Haga clic en Deshabilitar eliminación, en la ficha Opciones
avanzadas. Haga clic en Aceptar cuando haya terminado.
Los usuarios de la partición de aplicaciones deben asignarse en ADDS, de modo que estén
disponibles en todo el dominio.
PARTE VII
SAP-03: Administración del servidor de base de datos
Windows Server 2008 es el servidor de base de datos ideal, porque tiene capacidad para admi-
nistrar inteligentemente los procesos. SQL Server 2005 y 2008 han sido optimizados para ejecutarse
en esta plataforma, pero Windows Server también da soporte a otras bases de datos que se ejecutan
en Windows. WS08 incluye la base de datos interna de Windows, que es una versión en tiempo de
ejecución de SQL Server 2005 Express. Pocas actividades de administración se aplican a esta base
de datos interna, porque es, ante todo, una base de datos en tiempo de ejecución. Aún es importan-
te mencionar que una de sus tareas de administración de sistemas para servidores de aplicaciones
incluye la administración de bases de datos. Al final, significa que necesita comprobar el estatus del
servidor, su disponibilidad de memoria y la operación apropiada de sus discos.
Utilice el procedimiento SG-02 para verificar el estatus de sus servicios de base de datos.
Utilice el procedimiento SA-01 o RM-02 para verificar el estatus de los discos que se ejecutan
en el sistema de la base de datos. Y utilice el procedimiento RM-05 para verificar el estatus de la
memoria de acceso directo (RAM, Random Access Memory) en sus servidores de base de datos.
SAP-04: Acceso de cliente a aplicaciones de servidor

El otorgamiento del acceso a aplicaciones convencionales se realiza de una manera muy pare-
cida al otorgamiento de acceso a los recursos compartidos de archivo. En realidad, debido a que la
aplicación reside en el recurso compartido de archivos y que el acceso a éste se administra median-
te grupos (por lo general grupos globales), el otorgamiento o la negación de acceso a una aplicación
puede ser tan simple como insertar o eliminar una cuenta de acceso del grupo apropiado. Utilice el
procedimiento SA-03 para otorgar acceso de grupo a nuevas aplicaciones compartidas, y el proce-
dimiento CD-05 para agregar o eliminar usuarios del grupo de seguridad apropiado.
Pero algunas aplicaciones compartidas requieren la entrega de una parte de código en el
escritorio para que pueda ejecutarse. Éste es el caso de Microsoft Office, por ejemplo. Utilice el
procedimiento CD-15 para entregarlo a los escritorios correctos.
Administración de Terminal Services

Una de las mejores características de Windows Server 2008 es Terminal Services (TS). Este servi-
cio le permite publicar aplicaciones en equipos remotos, dándoles acceso completo a programas
que se ejecutan en un entorno de Windows Server. La mayor ventaja está en la implementación.
Debido a que la aplicación opera en el servidor TS, es el único lugar en que necesita instalarse,
actualizarse y mantenerse. A diferencia de las aplicaciones compartidas convencionales, no se
requiere ningún componente de cliente aparte del agente Conexión de escritorio remoto (RDC).
Además del cliente RDC, sólo necesita implementar un acceso directo a usuarios, y éste no cam-
bia, aunque tal vez actualice o modifique de otra manera la aplicación.
NOTA Si los clientes están ejecutando Windows Vista, ya tienen el cliente RDC.
Terminal Services da soporte a redirección de sonido a clientes de PC; por tanto, si opera una
aplicación multimedia en el servidor, los usuarios escucharán la información como si la aplicación
se estuviera ejecutando en su propia estación de trabajo. Además, la versión de Windows Server de
Terminal Services da soporte a imágenes de mayor calidad, incluido color verdadero y el mayor ni-
vel de resolución al que da soporte el hardware del cliente, además de distribución entre monitores,
cuando los sistemas de usuario tienen varios monitores. La resolución y el color deben establecerse
en el cliente y en el servidor para que operen. Por último, TS está ahora integrada con directivas de
grupo, lo que permite controlar centralmente las características de Terminal Services.
Los modelos de cliente delgado se están volviendo cada vez más populares, sobre todo con
la proliferación de las Pocket PC y Tablet PC inalámbricas. Ambas hacen que el hospedaje de
aplicaciones sea cada vez más atractivo.
PRECAUCIÓN No todas las aplicaciones están “conscientes de Terminal Services”. Asegúrese de

veriicar el soporte que tiene una aplicación para Terminal Services antes de adquirirla.
Entre las herramientas que se utilizan para trabajar con Terminal Services se incluyen:
• Administrador del servidor, para agregar la función y configurar Terminal Services.
• La consola Administración de directivas de grupo, para controlar centralmente los GPO de TS.
• El Administrador de Terminal Services, para configurar las conexiones de TS.
• Herramientas de línea de comandos, para administración de sesión y usuario.
TS-01: Administración de las conexiones de Terminal Services

Debe verificar las conexiones de TS por lo menos de manera semanal. La mejor herramien-
ta para hacerlo es el Administrador de Terminal Services. Desafortunadamente, esta consola no
puede agregarse a la MMC global.
NOTA Para obtener funcionalidad completa de la consola Administrador de Terminal Services, primero
debe conectarse remotamente al servidor TS y luego lanzar la consola del servidor. Eso lo coloca dentro
del entorno de TS y le da acceso a características como control remoto y creaciones de conexiones.
Para verificar las conexiones de TS:
1. Abra una conexión de RDC con el servidor apropiado.
2. En el servidor TS, lance el Administrador de Terminal Services (menú Iniciar | Herramientas
administrativas | Administrador de Terminal Services).
NOTA Es una buena idea colocar esta herramienta en el área Inicio rápido para cada servidor TS.
3. Haga clic en el nombre del servidor, en el panel de la izquierda, para ver conexiones actuales.
Haga clic en el nombre de dominio en el panel de la izquierda para ver las conexiones de los
servidores de su dominio.
4. Revise el estatus de cada conexión.
Puede utilizar el Administrador de TS para realizar actividades administrativas. Por ejemplo,
si quiere ver una sesión en progreso o ayudar a un usuario, haga clic con el botón derecho en
la conexión de usuario y seleccione Control remoto. Eso lanzará una ventana, dejándole ver las
acciones del usuario en el servidor.
También puede revisar conexiones mediante la línea de comandos. Para identificar todos los
PARTE VII
servidores TS en su dominio:
query termserver
Este comando presenta una lista de todos los servidores de Terminal Services en su dominio.
Si se despliega más de una sola página, haga pausa en cada página nueva.
Para ver las conexiones en un servidor TS:
query session /Server:nombreservidor /counter
donde nombreservidor es el nombre DNS del servidor. El empleo del interruptor /COUNTER también
despliega la información acerca de los contadores actuales de TS, incluido el número de sesiones
creadas y terminadas. También puede canalizar los resultados de esta consulta hacia un archivo de
texto y programar la tarea empleando el procedimiento SG-21 de manera semanal. Esto le permite
comprobar el estado de la conexión con sólo revisar los resultados en el archivo de texto.
TS-02: Administración de impresoras de Terminal Services

Mediante la configuración de directivas de grupo para Terminal Services, pueden crearse
impresoras automáticamente cuando los usuarios se conectan a una sesión de Terminal Services.
Cuando se desconectan, aunque a veces no siempre utilicen el método apropiado, estas im-
presoras se eliminan automáticamente del servidor de Terminal Services. Pero deben cumplirse
condiciones especiales para que se creen las impresoras.
Sobre todo, su GPO debe definir la configuración de impresión del cliente. La configura-
ción de impresión de Terminal Services se encuentra en Configuración del equipo | Directivas
| Plantillas administrativas | Componentes de Windows | Terminal Services | Terminal Server |
Redirección de impresoras. Como opción predeterminada, Terminal Services permite el redirec-
cionamiento de impresoras y de puerto LPT, y establece automáticamente la impresora prede-
terminada del cliente como la predeterminada para las sesiones de TS. Si quiere especificar estos
parámetros de manera explícita, utilice el procedimiento CD-16 para aplicar estas configuracio-
nes a un GPO que afecte a todos los usuarios de TS.
TS-03: Administración de licencias de Terminal Services

Los servidores de TS sin licencia sólo permitirán que los clientes operen durante 120 días;
después de este periodo, todas las sesiones se terminarán y el servidor Terminal Services ya no
responderá a las solicitudes de cliente. Con el fin de asignar licencias a los servidores, debe insta-
lar un servidor de licencias de Terminal Service. Microsoft debe activar ese servidor antes de que
pueda empezar a expedir licencias a su empresa. La activación es automática si su servidor está
conectado a Internet.
Una vez que el servidor está activado, puede agregar nuevos paquetes de clave de licencias
de cliente (CLK, Cliente Licence Key), a medida que su población de clientes de TS crece. Es
necesario comprar estos paquetes a Microsoft antes de que puedan agregarse a su red.
Para agregar un nuevo paquete CLK:

1. Lance la consola Licencias de Terminal Services (menú Iniciar | Herramientas administrativas |
Licencias de Terminal Services).
2. Haga clic con el botón derecho en el nombre de servidor y seleccione Instalar licencias, del
menú contextual. Esto inicia el Asistente para instalación del CAL de Terminal Service.
3. Ingrese la información apropiada de las licencias en Información de licencias de programas y
clientes, y haga clic en Siguiente.
4. El asistente lo conecta entonces con el almacén de Microsoft e instala los paquetes de clave de
licencia. Haga clic en Finalizar cuando haya terminado.
TS-04: Administración de acceso de usuarios de Terminal Services

Como opción predeterminada, los servidores Terminal Services expiden licencias a cualquier
equipo que las solicite. Debe habilitar la configuración de GPO Grupo de seguridad del servidor
de licencias (Configuración del equipo | Directivas | Plantillas administrativas | Componentes de
Windows | Terminal Services | Licencia de Terminal Server) para restringir las sesiones de TS a
grupos autorizados de equipos o usuarios. Utilice el procedimiento CD-16 para ello, y asegúrese
de que esta directiva se aplica a todos los servidores TS.
Una vez que se haya hecho esto, deberá crear grupos globales para usuarios (o equipos) que
tienen permitido utilizar Terminal Services y colocar estos grupos dentro del grupo local Equipos
de Terminal Services que crea la directiva. Entonces puede utilizar el procedimiento CD-05 para
agregar o eliminar usuarios del grupo global y, por tanto, habilitar o deshabilitar su acceso a sus
servidores TS.
TS-05: Administración de RemoteApp de Terminal Services

Las aplicaciones de Terminal Services deben instalarse en modo multiusuario. Esto es un
requisito para todas las aplicaciones que son compartidas mediante Terminal Services.
Para instalar una nueva aplicación en un servidor Terminal Services, escriba el siguiente co-
mando en un indicador de comandos elevados:
change user /install
que establece el servidor Terminal Services en el modo de instalación. Realice la instalación de la
aplicación. Luego escriba el siguiente comando:.
change user /execute
Esto restablece el servidor Terminal Services en modo de ejecución.
NOTA El modelo de operación de las aplicaciones de Terminal Services es ligeramente diferente del
modelo estándar de Windows debido al entorno multiusuarios. Siempre debe revisar las secuen-
cias de comandos de compatibilidad para las aplicaciones que instale. Estas secuencias modiican
instalaciones estándar para hacerlas compatibles con TS. Deben ejecutarse después de la instala-
ción de la aplicación. Las secuencias de comandos se encuentran en la carpeta %SYSTEMROOT%\
APPLICATION COMPATIBILITY SCRIPT\INSTALL.
1. Una vez que la aplicación esté instalada, muévase al Administrador del servidor y vaya a Fun-
ciones | Terminal Services | Administrador de RemoteApp de TS.
2. Haga clic en Agregar RemoteApps, en el panel de acciones. Esto lanza el Asistente para Re-
PARTE VII
moteApps. Haga clic en Siguiente.
3. Seleccione el programa que se agregará a la lista de RemoteApps. Esa lista despliega todas las
aplicaciones instaladas conocidas. Puede ver sus propiedades antes de pasar a la siguiente pá-
gina. La página Propiedades le permite controlar argumentos de línea de comandos, además
de iconos, y si las aplicaciones estarán disponibles en Acceso Web de TS o no. Haga clic en
4. También puede agregar todas las aplicaciones a la vez en esta página, si lo quiere. Haga clic en
Siguiente.
5. Revise sus opciones y haga clic en Finalizar cuando esté listo. Utilice el botón Anterior para
corregir cualquier parámetro que no parezca correcto.
Consulte el capítulo 6 para conocer instrucciones sobre la manera de implementar el Remo-
teApp que acaba de poner a disposición de los usuarios.
Administración de Windows SharePoint Services

Windows SharePoint Services (WSS) proporciona un modelo poderoso para la colaboración en
equipo mediante la integración de varias tecnologías Web, incluidos blogs, sitios de equipo, Mis
sitios y mucho más. WSS está construido sobre IIS 7, pero incluye sus propias herramientas para
administración del sistema:
• El sitio Web Administración central de SharePoint 3. 0
• El comando STSADM
Ambos proporcionan soporte a las tareas administrativas que debe realizar. SharePoint, en
realidad, está bien organizado para administración, porque el sitio Web Administración central
incluye una página especial de operaciones que presenta actividades que los operadores deben
realizar (vea la figura 13-12). Muchas son operaciones de una sola vez para configuración del
servidor, mientras que otras son operaciones continuas. Estas últimas se cubrirán aquí. Las ope-
raciones de configuración de una sola vez se cubrieron en el capítulo 9.
SUGERENCIA Para conocer más información sobre WSS, vaya al TechCenter de WSS en
http://technet2.microsoft.com/windowsserver/WSS/en/library/dec1c405-b54b-4c1b-976f-3
fa6d814cda51033.mspx?mfr=true.
SP-01: Veriicación de Windows SharePoint Services

Debido a que WSS está construido sobre IIS versión 7, depende de la misma interfaz para
registro de eventos. Por tanto, puede depender del procedimiento SAP-01 para verificar el regis-
tro de eventos de Windows SharePoint Services. Por supuesto, también puede usar Administra-
dor del servidor | Funciones | Windows SharePoint Services para obtener una rápida revisión del
estatus de sus servicios de WSS. Si ocurre cualquier evento impredecible, se desplegará en la vista
Resumen incluida en este nodo.
FIGURA 13-12 Página Operaciones de Administración central de SharePoint Center.
Pero para una revisión completa de eventos, en realidad debe ir al Registro de eventos (Ad-
ministrador del servidor | Diagnóstico | Visor de eventos). Verifique estos registros a diario.
SP-02: Generación de copias de seguridad de Windows SharePoint Services

SharePoint Services no depende de Copias de seguridad de Windows Server para realizar co-
pias de seguridad, aunque, por supuesto, cuando cree una copia de seguridad completa del servi-
dor, también generará una completa de los datos de WSS. Pero la restauración de WSS a partir de
una copia de seguridad completa resulta difícil. Por esto es por lo que debe usar la herramienta
Copia de seguridad de WSS para realizar estas copias.
Las copias de seguridad y las restauraciones se administran desde el sitio Web Administra-
ción central:
1. Lance Administración central de SharePoint (menú Iniciar | Herramientas administrativas).
2. Haga clic en la ficha Operaciones. Esto lo lleva a la página Operaciones.
3. Haga clic en Realizar copia de seguridad, bajo la sección Copias de seguridad y restauración.
Esto despliega la página para realizar copias de seguridad.
4. Seleccione el componente que habrá de copiarse. Si es su primera copia de seguridad, se-
leccione todos los componentes. Al hacer clic en el componente Conjunto de servidores, se
seleccionarán automáticamente todos los componentes.
5. Haga clic en Continuar a opciones de copia de seguridad.

6. Ingrese la ruta a la carpeta de copia de seguridad. Lo ideal es que sea una ubicación de red en
el formato UNC.
PARTE VII
7. Haga clic en Aceptar para empezar la copia de seguridad.
La copia de seguridad empieza y despliega información del progreso. Esta información se
actualiza cada 30 segundos. También se escribe un registro de la copia de seguridad en la carpeta
de destino. El nombre del archivo del registro es SPBACKUP. LOG.
Para realizar la misma operación mediante la línea de comandos, utilice:
stsadm –o backup –directory \nombreservidor\nombrerecursocompartido
–backupmethod full
donde nombreservidor y nombrerecursocompartido son la ruta UNC para el conjunto de servidores.
Esto crea una copia de seguridad de todo el conjunto de servidores. Utilice el procedimiento SG-
21 para crear una tarea programada que realice esta copia de seguridad todos los días.
NOTA El comando STSADM se encuentra en la carpeta bin de SharePoint, que se localiza bajo %
PROGRAMFILES%\COMMON FILES\MICROSOFT SHARED\WEB SERVER EXTENSIONS\12\BIN
en un servidor x86 y %DRIVE%\PROGRAM FILES (X86) \COMMON FILES\MICROSOFT
SHARED\WEB SERVER EXTENSIONS\12\BIN en un servidor x64. Debido a que esta ruta no se in-
cluye en su variable de servidor de rutas automatizadas, ésta es una excelente oportunidad para usar
la característica Elevated Command Prompt Here analizada en el procedimiento SG-01.
Utilice un procedimiento similar para restaurar los datos en el caso de pérdida. Pruebe sus
copias de seguridad de manera regular para asegurar que funcionan apropiadamente.
SP-03: Registro de diagnóstico

Cuando verifica si su infraestructura de WSS funciona apropiadamente, necesita ver los
informes de diagnóstico. WSS genera automáticamente registros de seguimiento. Los paráme-
tros de estos registros están establecidos en la página Registro de diagnóstico (Administración
central | Operaciones | Crear registros e informes | Registro de diagnóstico | sección Registro de
seguimiento). Como opción predeterminada, estos registros se almacenan bajo %PROGRAMFILES%\
COMMON FILES\MICROSOFT SHARED\WEB SERVER EXTENSIONS\12\LOGS en servidores x86 y
%DRIVE%\PROGRAM FILES (X86) \COMMON FILES\MICROSOFT SHARED\WEB SERVER EXTENSIONS
\12\LOGS en servidores x64.
Revise el contenido de estos registros una vez al mes. Busque eventos inusuales, y tome la
acción apropiada, si los descubre.
SP-04: Análisis de uso

WSS es una herramienta de colaboración poderosa, y a diferencia de los servicios de archivo,

puede descubrir qué tan popular es en su organización al realizar el análisis de uso y generar
informes de uso. En primer lugar, debe habilitar el procesamiento de análisis de uso.
1. Vaya a la página Operaciones, de Administración central, y haga clic en Procesamiento de

análisis de uso, bajo la sección Crear registros e informes. En primer lugar, habilite el registro.
Luego identifique la ubicación para almacenar los archivos de registro y, por último, identifi-
que el número de archivos del registro que habrán de crearse. La creación de varios archivos
mantendrá cada archivo más pequeño.
2. A continuación, habilite los parámetros de procesamiento. Seleccione Habilitar el procesa-
miento de análisis de uso, y luego identifique las horas del día cuyo uso habrá de procesarse.
Lo ideal es que utilice horas pico, pero debe contrastar esto con la capacidad de respuesta del
servicio, porque el procesamiento ocupa recursos del servidor WSS. Ésta es la razón por la que
eso se hace de manera mensual.
3. Revise los archivos de registro una vez que se hayan generado.
SP-05: Veriicación de credenciales de seguridad

De vez en cuando debe cambiar sus contraseñas de cuenta de servicios. En SharePoint, esas
contraseñas están almacenadas dentro de la configuración de SharePoint. Debido a esto, el cam-
bio de las contraseñas de las cuentas de servicio que ejecutan SharePoint no sólo puede hacerse
dentro de ADDS. También debe hacerse en SharePoint.
NOTA Esta tarea se establece como ad hoc, porque en realidad depende del programa que establezca
para los cambios de contraseña de la cuenta de servicio. Sin embargo, debe hacerse de manera re-
gular (por ejemplo, cada dos meses) y, por supuesto, debe hacerse en cualquier momento que crea
que las contraseñas están comprometidas.
Entre las contraseñas posiblemente afectadas se incluyen las de los siguientes servicios:
• Servicio SQL Server (MSSQLSERVER)
• Servicio Agente SQL Server (MSSQLSERVER)
• Servicio Búsqueda de texto de SQL Server (MSSQLSERVER) [opcional]
• Almacén de aplicaciones del Sitio Web Administración central de SharePoint
• Servicio Timer de Windows SharePoint Services
• Servicio Búsqueda de Windows SharePoint Services
• La cuenta de acceso predeterminada
• La identidad del almacén de aplicaciones de todas las aplicaciones Web usada por Windows
SharePoint Services 3.0
Utilice la siguiente estrategia para cambiar las contraseñas:
1. Primero, cambie todas las contraseñas en ADDS. Utilice el procedimiento SG-05 para este efecto.
2. A continuación, vaya al nodo Servicios en el Administrador del servidor (Configuración |
Servicios), localice los siguientes servicios, haga clic con el botón derecho en ellos, seleccione
Propiedades, vaya a la ficha Iniciar sesión y escriba y confirme la nueva contraseña. Detenga y
reinicie el servicio para asegurar que la nueva contraseña sea correcta.
• Servicio SQL Server (MSSQLSERVER)
• Servicio Agente SQL Server (MSSQLSERVER)
• Servicio Búsqueda de texto de SQL Server (MSSQLSERVER) [opcional]
3. A continuación, cambie las contraseñas del almacén de aplicaciones del sitio Web Adminis-
tración central y el servicio Timer de SharePoint Services empleando la herramienta STSADM.
Vaya a la ubicación apropiada (consulte el procedimiento SP-02) y abra un indicador de
PARTE VII
comandos elevado:
stsadmn –o updatefarmcredentials –userlogin dominio\nombreusuario password
nuevacontraseña
iisrest /noforce
donde dominio\nombreusuario es el nombre de usuario de bajo nivel y nuevacontraseña es la
contraseña cambiada. Cuando haya terminado, restablezca el servicio IIS.
4. Ahora cambie la contraseña del servicio Búsqueda de SharePoint Services, además de la cuenta
de acceso predeterminada. En Administración central, vaya a la página Operaciones. Haga clic en
Servicios del servidor, bajo la sección Topología y servicios. Haga clic en Windows SharePoint Servi-
ces Search. Escriba las contraseñas aplicables en cada cuadro de contraseña de esta página y haga
clic en Aceptar. El uso de Administración central asegura que la operación que realiza en el paso 3
funcionó, pero también puede cambiar esas contraseñas mediante la línea de comandos:
stsadmn –o spsearch -farmserviceaccount dominio\nombreusuario
-farmservicepassword nuevacontraseña
stsadmn –o spsearch -farmcontentaccesaccount dominio\nombreusuario
-farmcontentaccesspassword nuevacontraseña
5. Ahora establezca la contraseña para los almacenes de aplicaciones Web. Regrese a la página
Operaciones, y haga clic en Cuentas de servicio, bajo la sección Configuración de seguridad.
Haga clic en Grupo de aplicaciones Web, seleccione Aplicación Web de Windows SharePoint
Services de la lista desplegable Servicio Web y seleccione SharePoint – 80 de la lista desple-
gable Grupo de aplicaciones. Escriba la nueva contraseña y haga clic en aceptar. Verifique que
WSS funciona apropiadamente cuando haya terminado.
SUGERENCIA Conocerá más información sobre este procedimiento en http://technet2.

microsoft.com/windowsserver/WSS/en/library/dec1c405-b54b-4c1b-976f-3fa6d814cda51033.
mspx?mfr=true.
Administración de rendimiento y monitoreo

La última categoría de actividad que los administradores deben planear en su programa de
trabajo es el rendimiento y monitoreo, lo que significa evaluar si las tecnologías que puso en fun-
cionamiento trabajan bien, si su capacidad es adecuada para la tarea y si requieren afinación de
componentes adicionales. También incluye la verificación y el monitoreo de sistemas críticos para
asegurar que operan apropiadamente. Se pueden utilizar varias herramientas para esta actividad.
Tres son especialmente útiles:
• La consola Rendimiento, que incluye el monitor de confiabilidad
• El monitor de red
• El Administrador de recursos del sistema de Windows
Estas herramientas proporcionan una poderosa administración del rendimiento.
RM-01: Veriicación del registro de enrutamiento y irewall

Las actividades de monitoreo incluyen la verificación de los archivos de registro de todos
los orígenes. Los enrutadores y las firewalls no está necesariamente basados en Windows Server
2008, aunque este sistema operativo puede realizar ambas tareas. En realidad, las capacidades de
Windows Server rivalizan con las que enrutadores complejos como los de Cisco o Nortel pueden
proporcionar. Los enrutadores de Windows Server incluso dan soporte al enrutamiento de abrir
primero la ruta más corta (OSPF, Open Shortest Path Firts).
NOTA Muchas redes no sólo dependen de Windows Server para protección del enrutamiento o la
irewall. En cambio, dependen de hardware especializado para realizar esas tareas. Si éste es el
caso de su red, también debe veriicar ambos registros de manera semanal.
Tanto las características de la firewall como del enrutamiento de Windows Server dan sopor-
te al registro de actividades. La característica de enrutamiento utiliza principalmente el registro
de eventos del sistema para el registro de actividad. Puede utilizar el procedimiento SG-03 para
revisar los registros apropiados de manera semanal.
Si no utiliza de WS08 para protección de enrutamiento y firewall, entonces verifique los re-
gistros del sistema de los que depende. Cuando verifique los registros de enrutamiento o firewall,
busque patrones inusuales en las entradas del registro. Esto le ayudará a identificar comporta-
mientos sospechosos.
RM-02: Monitoreo del espacio en disco general

En el procedimiento SA-01, verificó el espacio libre en disco para los discos de datos en los
servidores de archivo. También es una buena práctica realizar la misma verificación en todos
los discos de sus servidores. Puede utilizar el mismo procedimiento para realizar esta verifica-
ción. Los discos de sistema tienden a almacenar, en especial, archivos temporales y, por tanto,
tienen la capacidad de quedarse sin espacio.
Además, los almacenes de recursos tienen tendencia a utilizar una gran cantidad de espacio
debido a que los ofrecimientos de servicios virtuales a menudo utilizan discos dinámicos (discos
que automáticamente expandirán su tamaño a medida que se almacena información en ellos).
Como una buena práctica, debe asegurarse de que todos los discos de datos para los almacenes
de recursos incluyen más espacio que el tamaño máximo de todos los discos de ofrecimientos de
servicios virtuales que están almacenados en ellos. No obstante, debe realizar verificaciones de
espacio en disco de manera constante. Debe revisar esta consola de manera semanal.
NOTA Si se necesitan más soluciones automatizadas, el administrador de operaciones del centro del
sistema de Microsoft (SCOM, System Center Operation Manager) puede utilizarse para propor-
cionar alertas productivas en problemas con espacio en disco. Conocerá más información en el
sitio Web de Microsoft.
RM-03: Administración de recursos del sistema

PARTE VII
Las ediciones Enterprise y Datacenter de Windows Server 2008 incluyen una herramienta
adicional para administración de recursos del sistema. Es el administrador de recursos del siste-
ma de Windows (WSRM, Windows System Resource Manager). Esta herramienta es una caracte-
rística y puede agregarse mediante Agregar características, en el Administrador del servidor.
WSRM puede utilizarse de dos maneras. En primer lugar, para perfilar aplicaciones. Eso signifi-
ca que le ayuda a identificar cuántos recursos requiere una aplicación de manera regular. Cuando
se opera de este modo, WSRM sólo actúa sobre el Registro de eventos de aplicaciones cuando la
aplicación excede sus límites permitidos. Esto ayuda a afinar los requisitos de las aplicaciones.
El segundo modo ofrecido por WSRM es el de administración. En éste, utiliza sus directivas
de asignación para controlar cuántos recursos pueden usar las aplicaciones en un servidor. Si
éstas exceden sus asignaciones de recursos, WSRM puede incluso detener la aplicación.
WSRM también da soporte al monitoreo de alertas y eventos. Se trata de una herramienta
poderosa diseñada para ayudar a controlar el uso de CPU, disco y memoria en servidores de
multiprocesamiento grandes.
Como opción predeterminada, WSRM incluye dos directivas de administración: la predeter-
minada, que simplemente informa sobre el uso de aplicaciones, y la directiva Igual por usuario,
que asigna recursos iguales de acuerdo con el número de usuarios conectados a una aplicación.
La operación de WSRM es similar a la de la consola Rendimiento: usted determina lo que se
administra al agregar y eliminar contadores de objetos específicos. Por último, WSRM da soporte
a la auditoría de aplicaciones, permitiéndole saber cómo y cuándo se usan las aplicaciones en sus
servidores.
Utilice WSRM para evaluar, en primer lugar, cómo se están usando sus aplicaciones. Y luego
aplique la directiva de administración. Asegúrese de probar por completo sus directivas antes
de aplicarlas en su entorno de producción. Puede utilizar el procedimiento CD-05 para crear
grupos especiales de seguridad que puedan utilizarse como pilotos para sus nuevas directivas
de administración. De esta manera, podrá familiarizarse con WSRM antes de implementarlo por
completo en su red. Cuando esté listo, puede utilizar el calendario para determinar cuándo debe
aplicarse esta directiva.
NOTA Si está administrando varios servidores con WSRM, tal vez necesite dedicarle recursos, por-
que ocupa muchos de éstos. Podría pensar en colocarlo en un servidor de administración dedicado,
si éste es el caso.
RM-04: Monitoreo del tráico de red

Windows Server 2008 también puede ejecutar el monitor de red, una herramienta que le
permite capturar paquetes de red y ver el contenido del tráfico en sus redes. Esta herramienta no
está disponible como opción predeterminada.
SUGERENCIA El monitor de red debe descargarse de www.microsoft.com/downloads/details.

aspx?FamilyID=18b1d59d-f4d8-4213-8d17-2f6dde7d7aac&DisplayLang=en.
Esta herramienta se instala mejor en una estación de trabajo, porque puede monitorear
remotamente el tráfico. Una vez que el monitor de red está instalado, puede accederse mediante
el menú Iniciar | Todos los programas|Microsoft Network Monitor 3.1. Debido a que tratará de
utilizar esta herramienta de manera semanal, debe colocarlo en su área Inicio rápido.
PRECAUCIÓN El monitor de red debe instalarse en servidores o estaciones de trabajo. Es preferible

instalar esta herramienta en una estación de trabajo para asegurar y limitar su uso.
Para ver el tráfico en su red:
1. Lance el monitor de red y proporcione credenciales apropiadas para su uso.
2. Elija la interfaz de red que habrá de monitorearse. Como opción predeterminada, el monitor
de red selecciona la interfaz de red local.
3. Haga clic en el botón Start Capture de la barra de herramientas para empezar a capturar paquetes.
4. Haga clic en Stop and View Traffic, cuando haya capturado suficientes datos.
5. En el panel View Traffic, examine los datos proporcionados por el tráfico en su red. Cierre el
panel para regresar al monitor de red. Guarde la captura para que pueda realizar comparacio-
nes futuras. Cierre el monitor de red cuando haya terminado.
Busque patrones inusuales para identificar comportamientos no autorizados en su red. Esta
tarea debe hacerse de manera semanal, pero puede decidir que se realice en diferentes momen-
tos para obtener una imagen más completa de los patrones de su red.
RM-05: Administración de la capacidad del servidor

La administración de la capacidad del servidor debe realizarse de manera mensual. La mejor
herramienta para ver la capacidad del servidor es la consola Rendimiento. Le permite capturar
datos sobre la manera en que se desempeñan sus servidores, de manera regular.
NOTA También debe utilizar este procedimiento cada vez que pone en funcionamiento un nuevo
servidor, para crear una línea de base original para él. De esta manera, puede comparar resultados
con la línea de base original y determinar la manera en que la carga de trabajo está cambiando,
además de lo que necesita modiicar en el servidor para mantener los niveles de rendimiento.
Puede utilizar el procedimiento SA-01 para crear una consola especial de monitoreo de la
capacidad del servidor, que pueda rastrear los siguientes elementos de cada servidor en su red:
• Espacio libre en disco (% espacio disponible en disco físico y % espacio disponible en disco lógico)
• Tiempo de uso del disco (% de tiempo de disco físico y % de tiempo de disco lógico)
• Lecturas y escrituras de disco (lecturas de disco físico por segundo y escrituras de disco físico
por segundo)
• Cola de disco (longitud promedio de cola de disco), activa como opción predeterminada
• Uso de memoria (bytes disponibles)
• Paginación de memoria (páginas por segundo), activa como opción predeterminada
• Actividad de paginación de archivos (%de uso)
• Uso del procesador (% tiempo de procesador), activa como opción predeterminada
• Interrupciones (interrupciones de procesador por segundo)
• Uso de varios procesadores (longitud de la cola del procesador del sistema)

• Servicio del servidor (bytes totales por segundo)
• Elementos de trabajo del servidor (falta de elementos de trabajo del servidor)
PARTE VII
• Colas de trabajo del servidor (longitud de la cola de trabajo del servidor)
• Almacén paginado del servidor (pico paginado de almacén del servidor)
Utilice el botón Mostrar descripción para aprender lo que cada configuración significa.
Monitoree estos parámetros con el tiempo para identificar cómo se desempeñan sus servidores.
Una vez que tenga confianza de que sabe cómo deben desempeñarse sus servidores, establezca
o ajuste sus acuerdos de nivel de servicio basados en este rendimiento. Luego, si ve desviaciones
del rendimiento a largo plazo (comparadas con la línea de base original), puede aumentar la
capacidad del servidor mediante sus mecanismos de crecimiento.
RM-06: Diagnósticos del sistema

De vez en cuando deberá realizar diagnósticos de sistema en un servidor para ayudar a
identificar problemas recurrentes. Hasta ahora, ha utilizado varios procedimientos para ayudarle
a examinar elementos como el registro de eventos y revisar cómo funcionan los servidores de
manera regular. Pero cuando identifique los problemas, en ocasiones necesitará obtener más in-
formación acerca del sistema de detección y solución de problemas. Una buena herramienta para
FIGURA 13-13 El monitor de coniabilidad le permite identiicar cambios en el tiempo.

este trabajo es la consola Información del sistema (menú Iniciar | Todos los programas | Acceso-
rios | Herramientas del sistema | Información del sistema).
Esta consola proporciona información acerca de los recursos del hardware, los componentes,
el entorno del software y la configuración de Internet en cualquier servidor de su red. Para ver
información de otro servidor, haga clic en Ver | Equipo remoto y es el nombre del servidor que
desea ver.
También puede ver la historia del sistema mediante el Monitor de confiabilidad de Windows
(Administrador del servidor | Diagnóstico | Confiabilidad y rendimiento | Herramientas de mo-
nitoreo | Monitor de confiabilidad), lo que le permite identificar cambios a sus sistemas con el
tiempo (vea la figura 13-13).
El Monitor de confiabilidad rastrea cada cambio a su sistema y le permite encontrar lo que
pudo haber sucedido para hacer que su sistema dejara de responder. Verifíquelo cada vez que un
problema afecte el rendimiento de un servidor.
Notas inales
En este capítulo se proporcionaron más de 150 diferentes tareas que los administradores deben
realizar de manera regular para administrar apropiadamente sus redes de Windows Server. Su
objetivo es ayudar a simplificar la carga de trabajo que los administradores deben emprender
en todo lugar para asegurar que su red entrega servicios apropiadamente a sus comunidades
de usuario y para asegurar que sus almacenes de recursos dan soporte a estos ofrecimientos de
servicios virtuales de manera apropiada.
Utilice el calendario delineado aquí. Varios cientos de administradores han seguido el curso
en que está basado esta lista y han aprendido que, aunque el tiempo extra tal vez no sea una cosa
del pasado, por lo menos ya no es una constante.
Si encuentra que algunas tareas no se han cubierto, o si encuentra maneras nuevas e inno-
vadoras de realizar esas tareas, siéntase con la libertad de compartirlas con nosotros. Nosotros,
a la vez, las colocaremos en el sitio Web que acompaña a este libro para ayudar al mejoramiento
adicional de la experiencia de administración de las redes de Windows Server.
Puede ponerse en contacto con nosotros en Infos@Reso-Net.com. No olvide visitar el sitio
Web que acompaña a este libro en www.reso-net.com/livre.asp?p=main&b=WS08.
Índice
A ActiveX, opción, 58
Abrir primero la ruta más corta (OSPF), Actividades para la puesta en funcionamiento
enrutamiento de, 782 del bosque creación del segundo DC en el
ABU (enumeración basada en acceso), 534 dominio raíz del bosque, 280-282
Acceso DC de dominio secundario, 282-284
de cliente a aplicaciones de servidor, 773 instalación del primer servidor,
remoto, 719, 720 configuración de administración de
verificación de las directivas, 721 alertas, 278-279
verificación del estatus del servidor, configuración del servicio de hora,
720 277-278
Web de TS (TWA), 471 directiva de grupo predeterminada y
ACL (listas de control de acceso), 622, 758 personalización de seguridad, 279-
Active Directory (AD). Véase también Servicios 280
de dominio de Active Directory (ADDS); finalización de la configuración de
Servicios de federación de Active Directory DNS, 275-277
(ADFS); Servicios de directorio ligero de instalación y configuración, 272, 280
Active Directory (ADLDS); Active Directory realización de la promoción de DC,
Rights Management Services (ADRMS) 272-275
modos, 253 servidor de administración de claves,
PKI, 175-176 279
publicación/búsqueda de recursos revisión general, 271
compartidos, 413 Actualizaciones
Rights Management Services (ADRMS), Active Directory existente, 300-304
9, 20, 21, 43, 502, 548-549 archivos de instalación no atendida, 161-
verificación, 735-737 162
verificación de la topología de opción de actualización, 138
replicación, 732 para software/aplicaciones, 439
787
788 Índice
Acuerdos del nivel del servicio (SLA), 86, 560, diseño de OU para administración de
675 PC, 323
Ad hoc, actividades, 665-675 administración centralizada
AD. Véase Active Directory de PC, 323-330
ADCS (Servicios de certificado de Active administración descentralizada de PC,
Directory), 21, 38, 42, 64, 500, 735 331-332
ADFS. Véase Servicios de federación de Active estructura de OU Persona,
Directory infraestructura, 387-390
ADLDS (Servicios de directorio ligero de terminación, 387-390
Active Directory), 236-237, 452-453, 500 grupos,
Administración administración de propiedad de
central, sitio Web, 480-481 grupo, 373-375
de empresa, 734, 745 estrategia de asignación estándar de
de servicio, 203 nombre, 371-373
de sistema, 3-4 grupos globales, 375-376
de virtualización de Windows, consola, regla AGLP, 369-371
670-671 revisión general, 362-363
Administración de objetos tipos/ámbitos, 363-369
ADDS, objetos de usuario, 348-362
bucle invertido de la directiva, 317 Administración/creación de grupos
conceptos de GPO, 308-310 estrategia de asignación estándar de
diseño de directivas, 321 nombre a grupos, 371-373
estrategia de GPO, 321-323 grupos globales, 375-376
filtrado de directiva, 318 propiedad, 373-375
optimización de inicio de sesión regla AGLP, 369-371
rápido, 319-321 revisión general, 362-363
procesamiento de GPO, 310-317 tipos/ámbitos, 363-369
administración de PC, Administrador
entrega de software en la red, 340-344 de clúster, consola, 703
instalaciones de software, 337-340 de configuración de seguridad, 694
completar la estrategia de OU, 344-348 de cuentas de seguridad (SAM), 254,
delegación, 371, 744
dentro de ADDS, 332-335 de dispositivos, herramienta, 677
diseño de estrategia, 335-337 de equipos virtuales (VMM), 130
revisión general, 332 de imágenes del sistema (SIM), 136
diseño de OU, de imágenes del sistema de Windows
administración de datos de usuario, (SIM), 153, 156-157
383-386 de licencias de TS (TSLM), 459
conceptos de GPO relacionados con de recursos del servidor de archivos
el usuario, 379-383 (FSRM), 401
estructura de la OU Persona, 377-379 de recursos del sistema de Windows
secuencias de comandos de inicio y (WSRM), 28-29, 783-784
cierre sesión, 386-387 de reinicio, aplicación, 105
Índice 789
Administrador del servidor (SM) funciones, 631-633

administración de funciones y herramientas de administración del
características, 63-66 servidor remoto para, 636-637
consola, 61, 66 instantáneas para, 402-403
revisión general, 21-22, 61-63 laboratorios virtuales y, 114-115
súper consola de administración de protección de datos, 591-593
Microsoft, 66-67 que son la cara hacia el exterior, 77
AdminScriptEditor (ASE), 648 que son la cara hacia el interior, 78
ADMT (Herramienta de migración para Active recomendaciones de tamaño para, 126
Directory), 264, 362, 609-610, 614-618, 756 redundancia del sistema, 558-562
ADRMS (Active Directory Rights replicación de DFS para, 419
Management Services), 9, 38, 43, 502, 548- servicios de clúster para, 563-564
549 técnicas de detección y solución de
ADSI (Interfaz de servicios de Active problemas, 589-591
Directory), 66, 236, 357, 648 volúmenes de disco para, 395-396
Aero de Vista, Cristal, 54 y ADDS, 242
Aero de Windows, característica de interfaz de Altiris Wise Package Studio, herramienta,
usuario, 18, 19 738
Afinidad única, modo, 568 AM (antimalware), herramientas, 522-523
African Network Information Centre Ámbitos
(AfriNIC), 274 de grupo, 363-364, 730
AFS (servidor de federación de cuenta), 554 de reconciliación, 707
AGLP (Cuenta-Grupo global-Grupo local- opciones de, 711
Permisos), regla, 369-371, 546, 613-614 American National Standards Institute
Almacén (ANSI), 747
de directorios, 180 American Registry for Internet Numbers
de instancia, un sólo (SIS), 118 (ARIN), 274
Almacenamiento Análisis de las necesidades, 104-108
adjunto a red (NAS), 124, 247, 395, 405 ANSI (American National Standards
compartido, 395 Institute), 747
en caché de archivos sin conexión, 404-405 Antimalware (AM), herramientas, 522-523
Almacenes de recursos API (interfaz de programación de
aplicación del sistema de defensa del aplicaciones), 522, 571-572
castillo a, 502-504 Aplicaciones
construcción de infraestructura, comerciales,
bosque de utilerías, 245-246 ad hoc, 91
revisión general, 241-245 intercambio, 439-440
servicio instantáneas de volumen, corporativas, 92, 439-440
246-249 basadas en funciones, 92
definidos, 77 integradas, 214-215
en comparación con ofrecimientos de APNIC (Asia-Pacific Network Information
servicios virtuales, 4, 92-94 Centre), 274
equipo de administración, 631-633 Application Compatibility Toolkit, 439
790 Índice
Árbol(es), 178-179, 189, 193 para programar copias de seguridad,

de decisiones, 415 678-679
Archivado de datos, 695 para reanudar la configuración, 54
Archivos para recuperación, 680
compartidos, 393-395 para reportes, 616
de administración del sistema, 394 para superámbito nuevo, 291
de datos de proyecto, 394 para tarea básica, 672
de datos de usuario, 393 para traducción de seguridad, 617
de datos departamentales, 394 Atributos, administración de, 351, 357
de datos públicos, 393 Auditoría de acceso, 547-548
de imagen, 168-169 Autentificación
de respuesta, 156-161 de tarjeta inteligente, 538
ARIN (American Registry for Internet de usuario en ADDS, 539
Numbers), 274 Autoafinación de rendimiento y diagnóstico
ARP (protocolo de resolución de direcciones), de hardware, característica, 13, 15
568 Automatización de instalaciones
Arquitectura de autentificación de inicio de imágenes del sistema personalizadas,
sesión insertable, 39, 44-45 captura de imágenes, 167-168
Arquitectura(s) creación de CD de WinPE, 165-167
de procesador, 260 implementación de la imagen de
de red, 99, 115 prueba, 168-169
lógicas, 99-101 preparación de archivos unattend.
orientada a servicio (SOA), 185 XML, 164-165
Arranque dual, 126-127 Sysprep y formato de imagen de
Arrastrar y colocar, característica, 756 Windows, 165
ASE (AdminScriptEditor), 648-649 instalaciones no atendidas,
Asia-Pacific Network Information Centre archivos de instalación no atendida
(APNIC), 274 para actualizaciones, 161-162
Asignación(es) archivos de respuesta automatizados,
de software, 342-343 156-161
de tamaño a disco, 122-123 de Server Core, 162-163
Asistente revisión general, 155
digital personal (PDA), 185 preparación y prerrequisitos, 154
para agregar imagen, 717-718 revisión general, 153
para compatibilidad del programa, 439- servicios de implementación de
440 Windows, 169-172
para configuración de seguridad (SCW),
38, 39, 492, 519-520, 543
para crear ámbito de multidifusión, B
714 Base de datos
para crear clúster, 585-586 de administración de activos, 351
para espacios de nombres, 415-416 de administración de la configuración
para nueva confianza, 754 (CMDB), 81
Índice 791
de recursos humanos, 351 de aplicaciones corporativas basadas en

interna de Windows (WID), 479, 628 función, 92
Biblioteca dinámica de vínculos (DLL), 500 de conexiones seguras (SSL), 58, 236,
BIND (dominio de nombres de Internet de 568
Berkeley), 269 modelo PASS, 87-90
BIOS (sistema básico de entrada y salida), 509, Carpetas
676 administración de carpetas cifradas, 694-
64 bits, servidores, 122, 125, 260-262, 602 695
Blade, servidores, 80, 124, 242 administración de la disponibilidad,
Bloque de mensajes de servidor (SMB), 410 DFS, 414-418
Bosques, 177-181 DFSR, 419-422
administración de, 304 revisión general, 413
administración de estructura, 756-757 búsqueda, 56
administración de servicios de tiempo, compartidas, 393-395, 410-411, 688
757-758 compartir archivos, 393-395, 410-411
ámbitos de grupo, 363-364 creación en la unidad D:, 397-398
de desarrollo, 198 estructuras, 407-408
de perímetro, 198 redireccionamiento de, 320, 384, 420-422
de utilerías, 198, 245-246 virtuales, 56
diseño de, 189-194, 198 Catálogo (.clg), archivo de, 156
posicionamiento del servidor de GC, Catálogo global (GC), 180, 187, 189, 218-219,
218-219 733
razones para, 743 Center for Internet Security (CIS), 514
recomendaciones de generación, 261- Centro
263 de ayuda y soporte técnico (HSC), 71-72
Bucle invertido de la directiva, 317 de bienvenida, 59
Bus serial universal (USB), 57, 118 de datos, 4
Búsqueda de seguridad, 59
herramientas, 53-54 Cero administración para Windows (ZAW),
instantánea, característica, 19-20 404
Ciclos de vida, 79-87, 100
de ofrecimiento de servicios, 82-87
C Cifrado
Caché de sistema de archivos (EFS), 385, 499,
de archivos sin conexión, 404-405 533-534, 623
de pertenencia a grupo universal de unidad BitLocker, 46, 49-50, 63, 84,
(UGMC), 531, 733 139, 143, 521-522, 533
opciones, 410 CIO (directores de información), 491
Calidad de servicio (QoS), 484 CIS (Center for Internet Security), 514
Cambio rápido de usuario, característica, 58 Citrix, 4
Capa(s) Clases
de abstracción de software (HAL), 118 de proveedor, 715-716
792 Índice
de usuario, 291-292, 715-716 equilibrio de carga de componente

Claves (CLB), 563
de activación de volumen (VAK), 279 instalación y configuración, 568-570
múltiples de activación (MAK), 279 lista de compatibilidad, 571-574
CLB (equilibrio de carga de componente), mejoras en, 106
servicios de clúster, 563 nodos,
.clg (catálogo), archivo de, 156 activos, 572, 576
CLK (clave de licencia de cliente), paquetes pasivos, 572, 576
de, 775-776 para almacenes de recursos, 563-564
CLR (motor en tiempo de ejecución de para ofrecimientos de servicios virtuales,
lenguaje común), 535-536 565-566
Clúster de conmutación por error terminal services y, 454-456
almacenes de recursos, tareas de administración, 702-704
para ofrecimientos de servicios tipos de, 562-563
virtuales, 583-586 Clústeres, 702-704
proceso de construcción, 579-583 CMDB (base de datos de administración de la
conceptos, 571-575 configuración), 81
configuración de, 575-576 Código administrado, 535-536
definido, 36 Cola
dispersos geográficamente, 576-577 de impresión, administración de, 697-
lista de compatibilidad, 571-572 698
mejoras de características, 28 de mensajes de Microsoft (MSMQ),
Clúster, servicios servicios, 442
clústeres de conmutación por error, Colaboración, servidores
almacenes de recursos, 579-583 definidos, 437
conceptos, 571-575 infraestructura de servicio, 391-392
configuraciones de, 575-576 revisión general, 478-479
de Windows Server (WSFC), 571-586 WSM, 484
dispersos geográficamente, 576-577 WSS,
lista de compatibilidad, 571-572 acceso a administración central, 480-
ofrecimientos de servicios virtuales, 481
583-586 finalización de la configuración, 481-
clústeres NLB, 483
administración de miembros, 719 implementación, 479-484
asistente para creación de clústeres, número de puerto de administración,
570 483-484
definidos, 562 COM+, administración de aplicaciones, 771-
lista de compatibilidad, 571-572 773
modo de afinidad, 568 Combinación, modo, 317
modos de multidifusión/unidifusión, Comercializadores independientes de
567 software, 112
verificación de estado, 719 Commvault Systems, Inc., 678
configuraciones de quórum, 577-578 Compactación dinámica de base de datos, 710
Índice 793
Compra por volumen, 80 de directiva de cambio de esquema

Conexión de Escritorio remoto (RDC), 473- (SCPH), función, 745, 747
478, 606, 681-682, 685, 773-774 de directivas de grupo (GPC), 315
Confianzas, 545-546, 608, 611-613, 754-756 de usuario, 307
de acceso directo, 545 geográficos, 331
de reino, 755 GPO, 315
externas, 545 predeterminados, 204-205, 322
principal y secundaria, 755 Contraseñas
raíz de árbol, 755 cambio de, 780-781
transitivas, 545 complejas, 140, 511-512
Configuración directivas de contraseñas más finas, 526-
administración de alertas, 278-279 527
archivos sin conexión, 420 directivas para, 321, 358
basada en imagen (IBS), 91, 117, 137- restablecimiento, 726-727
138, 298 tareas de configuración posterior a la
bucle invertido, 317, 386 instalación de Server Core, 148-149
de servidor básica, 158-160 Control(es)
de usuario, 321, 326 de acceso a medios (MAC), 109, 124, 291,
directivas de dominio predeterminadas, 713
542-544 de acceso basado en función (RBAC),
posterior a la instalación, tareas, 501
instalaciones completas, 140-148 de cuentas de usuario (UAC), 57-58, 85,
Server Core, 148-153 256, 400, 502, 651
Conjunto(s) de dispositivo, 520-521
aleatorios de discos económicos (RAID), Controlador
123, 559 de dominio principal (PDC), 217, 277-
aleatorios de redes económicas (RAIN), 278, 281, 629-630, 750
124, 559 de impresora, 423
de nodos de mayoría (MNS), 577, 703-704 en modo de kernel, 422
resultante de directivas (RSoP), 315 Controlador de dominio, tareas de
Consola Administración de directivas de administración
grupo (GPMC), 311-312, 314, 315, 319, 528, administración,
655, 740 de acceso del esquema, 746
Consola de rendimiento, 784-785 de base de datos de ADDS, 761-762
y diagnóstico, característica, 13, 16 de bosque de ADDS, 743-744
Consolas de administración de Microsoft (MMC) de confianza, 754-756
complementos y, 66-67 de consultas guardadas, 759
personalizadas, 333-335, 666-668 de cuentas, 728-729
revisión general, 14-15 de delegación de derechos, 737-738
seguridad y, 259 de directiva de consultas de LDAP,
Consultas, 759 760-761
Contadores de rendimiento, 768 de espacio dentro de ADDS, 759-760
Contenedor(es) de esquema, 745-746
794 Índice
de estatus del servicio KCC, 731 del servicio ADCS, 735

de estructura de bosque/dominio/OU, Controladores de dominio (DC). Véase también
756-757 Actividades de puesta en funcionamiento
de GPO, 740-741 de bosque
de grupo de administración universal, aseguramiento, 192
734 creación en dominios secundarios, 282-
de grupo de distribución, 742-743 284
de grupo de seguridad, 729-730 creación para redes paralelas, 268-269
de información de ADDS, 744 en ADDS, 216, 268
de instalación de software, 738-739 funciones de, 392
de la función Maestro de operaciones, posicionamiento, 219
749-751 promoción, 752-753
de la lista de control de acceso, 758 recuperación de desastres, 753-754
de objeto de equipo, 741-742 reservas de dirección, 712-713
de objetos perdidos, 736-737 Controladores de dominio de sólo lectura
de servicios de tiempo en bosques, (RODC)
757-758 compatibilidad de servidor con, 245
de usuarios, 725-726 contraseñas y, 39
eliminación de RODC, 762-763 definidos, 187, 502
evaluación de software para eliminación, 762-763
modificación de esquemas, 748-749 endurecimiento de sistema operativo,
modificación del contenido del esquema, 530-532
747-748 promoción de DC, 752-753
promoción del controlador de dominio, protección de DC, 192
752-753 protección de directorio de datos, 180
recuperación de desastres, revisión general, 45
del controlador de dominio, 752-753 Convención de asignación de nombres
del Maestro de operaciones, 752 universal (UNC), 412-413, 686
restablecimiento de la contraseña de Copias de seguridad de Windows,
usuario, 726-727 característica, 13-14
revisión general, 723 Copias de seguridad y restauración, tareas de
transferencia de la función Maestro de administración
operaciones, 751 administración de copias de seguridad
verificación, fuera del sitio, 679
de cuentas de servicio/administración generación de copias de seguridad del
de Active Directory, 735 disco del sistema, 678
de eventos de registro del servicio de prueba,
directorio, 727-728 de estrategia de restauración de
de la directiva de cuenta, 734-735 desastres, 680
de la topología de replicación Active de procedimientos de restauración,
Directory, 732 680
del estatus del catálogo global, revisión de la estrategia de copia de
733 seguridad, 680-681
Índice 795
verificación de copia de seguridad, 678- DAP (protocolo de autentificación de

679 compendio), 501
Copias de seguridad, 165, 286, 403, 591-596 Datos
de datos, administración, 687-688 adjuntos seriales de tecnología avanzada
herramientas de terceros, 594-595 (SATA), discos, 394-395
Costo total administración de, 383-386
de operaciones, 445 DC. Véase Controladores de dominio
de propiedad, 743-744 DCPromo, comando, 752-753
CPU (unidad de procesamiento central), 105, DDCP (directiva predeterminada de
121 controladores de dominio), 204, 528
Creación de imágenes DDoS (negación del servicio distribuida), 498,
de disco, 163 558
del sistema, 163 Definiciones
Criterios comunes (Common criteria), 492 de directivas, 722
CRL (listas de revocación de certificados), de tamaño de la organización, 5-7
500 Delegación
Cronograma de migración, 257 administración de, 737-738
CSV (valor separado por comas), formato de de característica, icono, 452
archivo, 726 de derechos, administración, 737-738
Cuadrículas de información, 345 dentro de ADDS,
Cuarentenas, NAP, 554-555 a través de pertenencia a grupos, 333
Cuenta(s) consolas personalizadas de
administración de, 728-729 administración de Microsoft
de administrador de copias de seguridad, (MMC), 333-335
146 diseño de estrategias, 335-337
de plantilla, 361 estrategias, 307-308, 346-347, 379-380
de servicio, 207, 656 estructura de OU Persona, 378-379
genéricas de usuario, 197 revisión general, 332
global grupo-local-permisos-grupo DEP (prevención de ejecución de datos), 122
(AGLP), regla, 369-371, 546, 613-614 Derechos
predeterminadas, 359-360 administrativos, 324, 393
Cuñas, 439 de acceso, 613
Cuotas, 408-409, 691, 759 Desactivación
automáticas, 402 historial de SID, 630
de disco, 401-402 optimización de inicio de sesión rápido,
de servidor de archivos, 46, 48 320-321
definitivas, 401 Desastres, preparación para, 562-566
duras, 401 naturales, 562
producidos por el hombre, 562
D Descripción, descubrimiento e integración
DACL (listas de control de acceso universal (UDDI), servicio, 454
discrecionales), 525 (listas de control de Desfragmentación
acceso al diccionario), 539 automática de disco, 46, 50
796 Índice
del disco de datos, 692 del estatus del servidor de acceso

Detección y solución de problemas, técnicas remoto, 720
de, 589-591 del servicio de acceso y directivas de
DFS. Véase Sistema de archivos distribuido red, 721
DFSR (servicio de replicación del sistema de Directiva(s)
archivos distribuidos), 414-415, 419-420, acceso de red, 722
688-689, 695-696, 731 básicas del servidor miembro, 544-545
DHCP (protocolo dinámico de configuración controlador de dominio local, 544
de host) de bloqueo de cuentas, 321
administración de servidor de red, 705 de impresora, 425-426
ámbitos, 289-291 de restricción de software,
autorización de servidor, 716 endurecimiento del sistema operativo,
configuración de segundo servidor de 523-524
infraestructura de red, 295-296 reglas de certificado, 665
direcciones IP, 61 reglas de hash, 665
IPv4 y, 109, 142 reglas de ruta de acceso, 665
migración de, 605 reglas de zona de red, 665
seguridad de red y, 510 de seguridad local (LSP), 656
tareas de administración del servidor, de usuario, 380-383
administración de ámbito, 712 diseño de, 321
administración de ámbito de dominio predeterminado, 204, 542-544
multidifusión, 714-715 FGPP (directivas de contraseña más
administración de atributos, 711-712 finas), 526-527
administración de clases de opciones, filtrado de WMI, 318-319
715-716 impresora, 425-427
administración de la reserva, 712-713 no técnica, 660
administración de superámbitos, 713- predeterminada de controladores de
714 dominio (DDCP), 204
autorización de servidor, 716-717 seguridad, 179, 195, 254, 258-259, 494-
revisión general, 705-706 506
verificación del estado del servidor, SRP (directiva de restricción de
706-708 software), 523-524, 665-666
DHTML (lenguaje dinámico de marcado de técnicas, 660
hipertexto), 687 usuario, 380-383
Diagnósticos del sistema, 785-786 verdes, 325
Directiva de red y servicios de acceso, tareas Directores de información (CIO), 491
de administración Directorios, 212-216. Véase también Servicios
administración de conexiones VPN, 721- de dominio de Active Directory (ADDS)
722 de inicio, 383-385
definición de directivas, 722 del sistema operativo, 214-215
revisión general, 719-720 Discos, 160, 394-395, 782
verificación, básicos, 395
de las directiva de acceso remoto, 721 compartidos, 123
Índice 797
dinámicos, 395, 782 del grupo de seguridad, 191

flexibles, 161 Dominio(s), 210
y volúmenes, administración de, 696 de producción secundario global
Diseño de bosque de producción, 193-194, (GCPD), 266, 282-286, 611
198 funcionales, 197
Dispositivo flash universal (UFD), 154 principales, 198
DLL (biblioteca dinámica de vínculos), 500 secundarios, 198, 200-201, 282-286, 310
DMI (interfaz de administración de escritorio),
318, 509 E
DMTF (fuerza de tareas de administración de Editor de directiva de grupo (GPEdit), 311-
escritorio), 90, 676, 677 312, 655
DMZ (zona desmilitarizada), 96, 176, 237, 549 EFS (cifrado de sistema de archivos), 385, 499,
DNS (sistema/servicios de nombres de 533-534, 623
dominio), 7 Ejecutar como, comandos tipo, 57
administración de la configuración, 763- Eliminación de la comisión de la red
764 heredada, 629-630
administración de particiones de Empaquetamiento de ofrecimientos de
aplicaciones, 764-765 servicios, 86
administración del registro, 764 Endurecimiento del sistema operativo
características, 269-270 actividades finales, 537
definido, 109 ADDS, 524-525
en ADDS, 187, 200 asistente para configuración de
en bosques de utilerías, 245-246 seguridad, 519-520
estrategia de asignación de nombres, cifrado de unidad Bitlocker, 521-522
199-201 configuración de seguridad del sistema,
estructura de base de datos jerárquica, 510-511
177-178 control de dispositivos, 520-521
finalización de la configuración, 275-277, dentro del directorio, 525-526
283 EFS (cifrado de sistema de archivos),
infraestructura de red, 22, 25 533-534
posicionamiento del servidor, 219-220 FGPP (directivas de contraseña más
tipo round-robin, 567 finas), 526-527
verificación de registro de eventos, 763 herramientas AM, 522-523
zonas de nombre global, 293-294 IIS 7.0, 537
Documentación lista de verificación posterior a la
de la instalación, 128-130 instalación, 511-512
métodos de, 376 .NET Framework, 535
Dominio raíz plantillas de seguridad, 512-520
administradores, 191 proceso de evaluación para código
de bosque protegido (PFRD), 196, 224- administrado, 535-536
226, 524, 541 revisión general, 510-511
propietario, RODC, 530-532
de datos, 191 sistema,
798 Índice
de archivos, 532-533 de asignación de nombres de objetos,

de impresión, 535 200-201
SRP (directivas de restricción de de direccionamiento, 110
software), 523-524 estrategia de modificación, 187, 232-237
Enrutadores, 109 evaluación de software para
Entorno modificación de, 748-749
de preinstalación de Windows (WinPE), extensiones, 215
126, 154, 163-168 modificación del contenido, 747-748
de recuperación de Windows (WinRE), Estaciones de laboratorio, 112
123, 126-127, 146 Estado de evento
Entorno de ejecución previo al arranque (PXE) advertencia, 654
replicación de modificación preferencial de errores, 654
de cuenta, 217 de información, 654
tarjetas de red, 170, 717 del sistema, 653-654
WDS y, 299 Estándar de procesamiento de información
Enumeración basada en acceso (ABU), 534 federal (FIPS), 500-501
Equilibrio de carga de componente (CLB), Estandarización, 84, 89-91
servicio de clúster, 562-563 Estrategias
Equilibrio de carga de red (NLB) de asignación estándar de nombres, 371-
afinidad sencilla contra falta de afinidad, 373
568 migración de datos, 285-286
asistente para crear clúster, 570 Estructuras
definido, 9, 563 de disco. Véase Volúmenes de disco,
instalación/configuración de clústeres, estructura
568-570 de unidad organizativa del dominio de
lista de compatibilidad de clúster, 571-572 producción,
modos multidifusión/unidifusión, 567- mejores prácticas, 210-212
568 ofrecimientos de servicios, 206-208
revisión general, 566-567 PC, 206
tareas de administración de clústeres, Persona, 208-210
718-719 proceso de diseño, 203-206
Escritorio, 55 replicación a otros dominios, 210
Espacios de nombres, Servicios de dominio de revisión general, 203
Active Directory, 199-202 de volúmenes de disco,
Especificaciones de papel de XML (XPS), 20, cuotas de disco, 401-402
143 definida, 395
Específico, medible, alcanzable, orientado a para almacenamiento de recursos,
resultados y a tiempo (SMART), método, 97 395-396
Esquema para ofrecimientos de servicios
administración, 745-746 virtuales, 397-402
de acceso, 746 permisos NTFS, 398-401
administradores de, 734, 746 revisión general, 395-398
Índice 799
Evaluación del modelo de nuevas impresoras, 702 GCPD (dominio de producción secundario
Experiencia de calidad de audio y video de global), 266, 282-286
Windows (qWave), motor de, 484 GCS (servidor de catálogo global), 733
Exploración Web, 58 Gigabytes (GB), 118
Explorador de Windows, 56-57 GNZ (zona de nombres globales), 288, 293-
Extensión de dirección física (PAE), 122 294, 705
GPC (contenedor de directivas de grupo),
F 315
Fase de retiro, 87 GPEdit (editor de directiva de grupo), 311-
Federal Information Technology Security 312, 655
Assessment Framework (FITSAF), 492 GPMC (consola de administración de
FGPP (directivas de contraseña más finas), directiva de grupo), 311-312, 314-315, 528,
526-527 655, 740
FileShare Migration Manager para SharePoint, GPO de directiva de dominio de Internet,
herramienta, 629 424
Filtros, 56 GPT (plantillas de directiva de grupo),
de indización, 404 315
FIPS (estándar de procesamiento de Grupos, 179
información federal), 500-501 administración del grupo de
Firewall, servicios de, 8 administración universal, 734
Físico a virtual (P2V) anidamiento global, 613-614
conversiones, 301 de distribución, 729, 742-743
migraciones, 104 de dominio local, 371
FITSAF (Federal Information Technology de seguridad globales, 347
Security Assessment Framework), 492 de trabajo, 79
FLO (optimización de inicio de sesión rápido), globales,
317, 320-321, 384 administrativos especiales, 376
Flujo de datos de Windows Media (WSM), 484 basados en proyecto, 376
Formato de imagen de Windows, 25, 27, 165 de línea de negocios, 375
Fragmentos de código, 439 funciones de TI, 375
FRS (servicio de replicación de archivos), 731 operativos, 376
FSMO (maestro de operaciones flexible predeterminados, 365-369
único), 187, 216-217, 749 de bosque, 365-369
FSRM (administrador de recursos del servidor locales y de dominio, 365-369
de archivos), 401 regla AGLP, 369-371
Fuentes de noticias RSS, 58 administración de propiedad, 373-
Fuerza de tareas de administración de 375
escritorio (DMTF), 90, 676-677 globales, 375-376
tipos, 363
G GUI (interfaz gráfica de usuario),
Galaxy, herramienta de copias de seguridad, 148
678 GUID (identificador global único), 123, 373,
GC (catálogo global), 180, 187, 218-219, 733 584-585, 742
800 Índice
H I
Habilitar comentarios y actualizaciones IAS (servidor de autentificación de Internet),
automáticas de Windows, cuadro de 500
diálogo, 142 IBS (configuración basada en imagen), 91,
Hackeo del registro, 652 117, 298
HAL (capa de abstracción de hardware), Iconos, 308
118 ICT (tareas de configuración inicial), 25, 27-28,
Hardware, tareas de administración 54, 59-61, 67, 143
administración, 676 ID relativo (RID), maestro de, 217, 751
de actualización del software de Identidad, administración. Véase Servicios de
administración de firmware y dominio de Active Directory (ADDS)
servidor, 676 Identificación de usuario, 538-539
de dispositivos, 677 Identificador
del BIOS, 676 de seguridad (SID), 250, 362-363, 373,
revisión de hardware de red, 676 609, 617, 630
HCAP (protocolo de autorización de global único (GUID), 123, 373, 584-585,
credenciales de host), 555 742
HCL (lista de compatibilidad de hardware), IE (Internet Explorer), 28, 35, 53, 58-59
124, 423, 702 IETF (Internet Engineering Task Force), 22, 109
Herramienta(s) IGMP (protocolo de multidifusión de grupo
administrativas, 637-640 de Internet), 569
de administración remota, IIFP (paquete de características de integración
del servidor (RSAT), 666-667, 669 de identidad), 213
para almacenes de recursos, 637 IIS (Internet Information Services)
para ofrecimientos de servicios aplicaciones Web, 9
virtuales, 638 conjunto de características, 446-449
revisión general, 635-637 consola del administrador, 767-769
de migración comercial, 618 consolidación del servidor, 586-587
de migración para Active Directory endurecimiento del sistema operativo,
(ADMT), 264, 362, 609, 614-618, 756 537
de rastreo previo a la actualización generación de estadísticas de uso del
(PUST), 628 servidor, 767-768
Hipervisor, 4, 78, 81, 106 herramienta de migración, 621
Host físico, 120 revisión general, 33-34
Hosts de secuencias de comandos de seguridad, 537
Windows (WSH, Windows Scripting Host), servidores,
361 de impresión e, 697-698
HSC (centro de ayuda y soporte técnico), 71- Web dedicados, 437
72 verificación,
Huellas de seguimiento, barra de acceso con, de estatus del servidor, 767
56 de parches de seguridad, 768-769
Hyper-V, característica, 8, 13, 17-18, 243-244, Imágenes
251, 669 basadas en archivos, 163
Índice 801
de disco, 163 Infraestructura de clave pública (PKI), 66, 213,

de Windows (.wim), archivo, 117-118, 499, 500, 551-553
136, 156 Infraestructura de ofrecimientos de servicios
personalizadas del sistema, virtuales
archivo unattend.XML, 165 estructura de OU, 485-487
captura de imágenes, 167-168 requisitos por función, 485
CD de WinPE, 165-167 revisión general, 437-438
formato de Sysprep/Windows Image, servidores de aplicaciones,
165 comerciales y corporativas, 439-440
imágenes de prueba, 168-169 revisión general, 438-439
revisión general, 163 soporte al desarrollo, 440-442
virtuales, 94-95 tipos, 443
ImageX, 154, 164, 168 virtualización de, 444-445
Implementación y software heredados, prueba de, 442-
de aplicaciones, 91 443
de la imagen de prueba de, 168-169 servidores de colaboración,
de ofrecimientos de servicios, 86 WSM, 484
nuevas características de WSS, 480-483
infraestructura, 25-28 servidores de terminal,
de tareas de administración de RDC, 473-478
servidores, 717 TS, 454-478
secuencial, 264 servidores Web (dedicados o de
Impresora(s) aplicación),
administración masiva de, 701-702 IIS 7, 446-452
remota de línea (LPR), formato de, 429 instalación, 449-451
Indicador de comandos, 68-70 revisión general, 445-446
Indización de Windows Server 2003, servicio, 404 servicios de soporte a aplicaciones,
InetOrgPerson, 349-350 452-453
Información del sistema, consola, 784-785 Infraestructura de red. Véase también
Informes de datos de dominio, 616-617 Actividades de puesta en función de bosque,
Infraestructura de aplicaciones servidor de infraestructura de red, tareas de
clúster de conmutación por error, 36 administración; migración de servidores
función servidor de aplicaciones, 34-35 de infraestructura de red
IIS 7.0, 33-34 actualización de AD existentes, 300-304
Internet Explorer 7, 35 infraestructura de almacén de recursos,
nuevas características de WS08, 28-38 bosque de utilerías, 245-246
servicios de activación de procesos de revisión general, 241-245
Windows, 37 servicio de instantáneas de volumen
servidor de fax, 38 (VSS), 246-249
terminal Services, 29-33 migración,
Windows SharePoint Services, 36-37 arquitecturas de procesador, 260
WSRM (administrador de recursos del asignación de recursos a ofrecimientos
sistema de Windows), 28, 29 de servicios virtuales, 260-263
802 Índice
consideraciones de seguridad, 258- herramientas necesarias, 135-136

259 instalación inicial, 137-139
consideraciones sobre licencias, 259- listas de verificación, 128, 136
260 procedimiento operativo estándar, 135
preparación de inventarios detallados, revisión general, 131-134
257-258 virtualice ofrecimientos de servicios,
revisión general, 250-252 134-135
servidores de identidad, 253-254 recomendaciones de tamaño para
servidores miembro, 254-257 almacenes de recursos, 126
ofrecimientos de servicios virtuales, 249- requisitos de hardware, 119
250 servicios de implementación de
redes paralelas, Windows (WDS), 298-299
creación de la estructura de ADDS, servidor en funcionamiento, 172
263-268 virtual, 128, 130, 134-135
preparación, 266-268 Instalador(es)
revisión general, 263-266 de Windows, 337-339, 465-466
revisión general, 241 del sistema, 207
WDS, 298-299 Instantáneas, característica, 402-403, 409
Infraestructura de servicio, 395 Instrumentación de administración de
Inicio Windows (WMI), 62, 318-319, 648, 740-741
rápido, área de, 55, 61, 145 Integración
y cierre sesión, secuencias de comandos con ADDS, 212-216, 423-433
de, 386-387 prueba de, 86, 114
Instalación. Véase también Automatización Intercambio
de instalaciones; actividades de puesta de archivos, 393-395
en funcionamiento de bosque; tareas de de recursos, 112
configuración posteriores a la instalación Interconexión de sistemas abiertos (OSI), 87
archivos de origen, 393 Interfaz(ces)
asignación de tamaño al servidor, 119-128 acciones cambiadas en WS08, 72-74
consideraciones sobre el arranque dual, administrador del servidor,
126-127 administración de funciones y
documentación, 128-130 características, 63-66
física, 128-130, 133 revisión general, 61-63
métodos, 117-119, 132-134 súper consolas de administración de
no atendida, Microsoft, 66-67
archivos de configuración no atendida centro de ayuda y soporte técnico, 71-
para actualizaciones, 161-162 72
archivos de respuesta automatizados, de administración de escritorio (DMI),
156-161 318, 509
de Server Core, 162-163 de programación de aplicación de
revisión general, 155-156 mensajería simple (MAPI), 683
preparación para, de programación de aplicaciones (API),
automatización, 153-154 522, 571-572
Índice 803
de servicios de Active Directory (ADSI), ISDN (red digital de servicios integrados), 6

66, 236, 357, 648 ISO (International Standards Organization),
gráfica de usuario (GUI), 148 747
indicador de comandos, 68-69 ISO 17799 estándar, 492
pequeña de sistema de cómputo (SCSI), ISP (proveedor de servicios de Internet), 108
395, 564 iTripoli, empresa, 648
de Internet (iSCSI), 395, 564
protocolo de escritorio remoto, 67-68
revisión general, 54-55
K
KCC (revisor de consistencias del
tareas de configuración inicial, 59-61
conocimiento), 228, 296, 728, 731
UI (interfaz de usuario),
Kerberos, 321, 434, 537-538
control de cuentas de usuario, 57-58
Kernel
escritorio, 55
función de servidor de aplicaciones y,
Explorador de Windows, 56-57
438
Internet Explorer 7, 58-59
servidores, 92
Panel de control, 59
de 64 bits y, 122
revisión general, 54-55
de red paralela y, 267
Windows PowerShell, 70-71
sistema PASS, 89-92
Interfaz de usuario (UI)
KMS (servicios de administración de claves),
control de cuentas de usuario, 57-58
9, 13, 16-17, 279
escritorio, 55
Explorador de Windows, 56-57
Internet Explorer 7, 58-59 L
panel de control, 59 L2TP (protocolo de entunelamiento de capa
revisión general, 54-55 2), 568, 721
International Standards Organization (ISO), 747 Laboratorios
Internet tecnológicos, 112-115
Engineering Task Force (IETF), 22, 109 virtuales, 114-115
Explorer (IE), 28, 35, 53, 58-59 LACNIC (Latin American and Caribbean
Information Services. Véase IIS (Internet Internet Address Registry), 274
Information Services) LAN (red de área local), 110, 493
Intérprete de comandos, 696 LANDesk, herramienta, 676
Intranet, página Web, 357 Latencia de replicación, 230
Inventarios, servidor, 104, 257-258 Latin American and Caribbean Internet
IP (protocolo de Internet), 181, 229, 242 Address Registry (LACNIC), 274
IPSec (seguridad de protocolo de Internet), 39, LDAP (protocolo ligero de acceso a
533, 550, 721 directorio), 236, 315, 349, 452
IPSec (seguridad en el nivel de IP), 500 Lenguaje
IPv4 (protocolo de Internet versión 4), 714 de consulta de Windows (WQL), 740
IPv6 (protocolo de Internet versión 6), 22, 23, de marcado extensible (XML), 61, 118,
274 329, 501, 648
iSCSI (interfaz pequeña de sistema de dinámico de marcado de hipertexto
cómputo de Internet), 395, 564 (DHTML), 687
804 Índice
Licencias MAN (red de área metropolitana), 221

infraestructura de red, 259-260 MAPI (interfaz de programación de aplicación
servidor, 81 de mensajería simple), 683
Limpieza de archivos temporales, 693-694 Máquina(s) virtual(es)
Líneas de comandos, herramientas, 69-70, 396 administración de imágenes en, 94-95
Linux, equipos, 433 almacenes de recursos y, 126
Lista(s) configuración de blade y, 242
de compatibilidad de hardware (HCL) copias de seguridad y, 165
de Microsoft, 124, 423, 702 intercambio de archivos e impresoras, 394
de compatibilidad de hardware de host de una sola, 260-263
Windows, 577 licencias, 81
de control de acceso (ACL), 622, migraciones de ofrecimientos de
de control de acceso discrecional servicios y, 77-78
(DACL), 525, 539 RAM y, 114-115, 122
de revocación de certificados (CRL), 500 sistema de archivos distribuido (DFS) y,
Llamadas a procedimientos remotos (RPC), 244
228 Matriz gráfica de video (VGA), 164
Logon Script Generator, 647 MBR (registro maestro de arranque), 123
LostAndFound, contenedor, 737 MBSA (Microsoft Baseline Security Analyzer),
LPR (impresora remota de línea), formato, 429 661-662, 664
LSP (directiva de seguridad local), 656 Megabytes (MB), 114
LUN (unidad de almacenamiento lógico), Mejoras en velocidad, 57
242 Metalogix FileShare Migration Manager para
SharePoint, herramienta, 629
M Microsoft
MAC (control de acceso a medios), 109, 124, Baseline Security Analyzer (MBSA), 661-
291, 713 662, 664
Macintosh, conectividad de, 433 Exchange, software, 748
Macros, archivos, 523-524 Identity Lifecycle Manager (MILM), 213
Macrovision Installshield AdminStudio, Inventory Analysis (MSIA), herramienta,
herramienta, 738 663-664
MADCAP (protocolo de asignación de Print Migrator, 702
clientes dinámicos de dirección de Product Support’s Reporting Tools, 674
multidifusión), 714 System Center Operations Manager
Maestro de infraestructura, 750 (SCOM), 665, 782
Maestro de operaciones, 216-218 System Center Virtual Machine Manager
centrado en dominio, funciones, 750 (SCVMM), 244,
funciones, 281-282, 749-751 Visio, 664
administración, 749-751 WS08 Security Guide, (Guía de
transferencia, 751 seguridad de Microsoft WS08) 499
recuperación de desastres, 752 Migración
único y flexible (FSMO), 187, 216-217, 749 a la red paralela de ofrecimientos de
MAK (claves múltiples de activación), 279 servicios virtuales,
Índice 805
eliminación de la comisión de la red arquitectónico, 87

heredada, 629-630 de construcción y administración del
orden de la migración, 604-608 sistema, 79
principales de seguridad, 608-619 Modos, 567-568
proceso de rotación del servidor, 602- de afinidad, 568
604 de autentificación, 547
revisión general, 601-602 de compatibilidad, 439
servidores de archivo, 621-625 multidifusión, 567-568
servidores de impresión, 626-627 Monitor
servidores de infraestructura de red, de confiabilidad de Windows,
619-620 786
servidores TS, 621 de red, herramienta, 783-784
sitios de SharePoint, 627-629 de rendimiento, 82, 685-686
sitios Web, 621 Monitoreo
arquitectura de procesador, 260 de alertas y eventos, herramienta, 783
consideraciones de seguridad, 258-259 del espacio en disco general,
de aplicaciones personalizadas, 604-605 782
de PC, 604 del tráfico de red, 783-784
de servidores de identidad, 253-254 Motor en tiempo de ejecución de lenguaje
herramientas, 618 común (CLR), 535
infraestructura de red, MSIA (Microsoft Inventory Analysis),
arquitectura de procesador, 260 herramienta, 663-664
asignación de recursos a ofrecimientos MSMQ (cola de mensajes de Microsoft),
de servicios virtuales, 260-263 servicios, 442
consideraciones de seguridad, 258-259 Multidifusión, 714
consideraciones sobre licencias, 259- Murgolo, Michael, 652
260
preparación de inventarios detallados,
257-258 N
revisión general, 250-252 NAP. Véase Protección de acceso a redes
servidores de identidad, 253-254 NAS (almacenamiento adjunto a red), 124,
servidores miembro, 254-257 247, 395, 405
preparación de inventarios detallados, NAS (servicios de acceso a red), 8, 22
257-258 NAT (traducción de direcciones de red), 108,
revisión general, 250-252 720
técnicas/directrices, 107-108 National Security Agency (NSA), 514
MILM (Microsoft Identity Lifecycle Manager), Negación de servicio distribuida (DDoS), 558
213 .NET Framework
MMC. Véase Consolas de administración de endurecimiento del sistema operativo,
Microsoft 535
MNS (conjuntos de nodos de mayoría), 577, sistema de defensa del castillo, 547
703-704 Netsh, comando, 149
Modelo NFS (sistema de archivos de red), 406, 410
806 Índice
NIC (tarjetas de interfaz de red), 126 plantillas administrativas, 329-330

NLB. Véase Equilibrio de carga de red predeterminados, 279-280
”No break”, 559 proceso de aplicación, 316
Nodos reglas de dominio, 179
activos, 572 revisión general, 308
pasivos, 572 servidor de dominio de Intranet/servidor
Nombres de inicio de sesión, 358 base, 539-541
de nivel inferior, 358 sistema de defensa del castillo, 539-541
Nombres principales universales (UPN), 179, Terminal Services (TS), 462-468
218 Objetos de usuario
NOS (sistema operativo de red), 216, 500, administración masiva de usuario, 361-
745 362
NSA (National Security Agency), 514 con ADDS,
NTFS (sistema de archivos de nueva comparación entre User e
tecnología), 126, 298, 394, 398-401, 688 InetOrgPerson, 349-350
NTFS de sanado automático, 46, 51 creación de, 358
Número de puerto de administración, 483-484 cuentas predeterminadas, 359-360
hojas de propiedades, 350-358
nombres principales de usuario
O (UPN), 358-359
Objeto(s) objeto de clase contacto, 350
de clase de objeto, 350 cuentas de plantilla, 361-362
de configuración de contraseñas (PSO), OCTAVE (Operationally Critical Threat, Asset
527 and Vulnerability Evaluation), 492
de equipo, administración de, 741-742 Oficina de administración y presupuesto
perdidos, administración de, 736-737 (OMB), 110
Objetos de directiva de grupo (GPO) Ofrecimientos de servicio. Véase también
administración, 740-741 Ofrecimientos de servicios virtuales
administración de objetos, con cara hacia el exterior, 77
ADDS y, 204 definidos, 77
conceptos, 308-310 implementación de, 86
herencia/bloqueo, 310-317 unidades organizativas, 207-208
categorías y contenido, 326-329 virtualización, 134
conceptos relacionados con el usuario, Ofrecimientos de servicios virtuales. Véase
379-383 también Infraestructura de ofrecimientos de
configuración, 740 servicios virtuales
diseño de la estructura de la OU almacenamiento compartido y, 559
Ofrecimientos de servicios virtuales, asignación de recursos a, 260-263
438 construcción, 249-250
estrategia, en comparación con almacenes de
aplicación y velocidad de recursos, 4, 92-94
procesamiento, 322-323 estructura de volúmenes de discos para,
Índice 807
herramientas administrativas remotas Operationally Critical Threat, Asset, and

para, 636-637, 639 Vulnerability Evaluation (OCTAVE), 492
migración a la red paralela de, Optimización rápida de inicio de sesión
eliminación de la comisión de la red (FLO), 317, 320-321, 384
heredada, 629-630 Organigramas, 208
orden de migración, 604-608 OS (sistema operativo), 12-18
principales de seguridad, 608-619 OSI (interconexión de sistemas abiertos), 87
proceso de rotación del servidor, 602- OSPF (abrir primero la ruta más corta),
604 enrutamiento, 782
revisión general, 601-602 OU, diseño. Véase Unidad organizativa (OU),
servidores de archivos, 621-625 diseño
servidores de impresión, 626-627
servidores de infraestructura de red, P
619-620 P2V. Véase Físico a virtual
servidores TS, 621 PAE (extensión de dirección física), 122
sitios de SharePoint, 627-629 Panel de control, 59
sitios Web, 621 Paquete de características de integración de
preparación de nuevas estructura de identidad (IIFP), 213
soporte, Partición de ADDS
funciones del almacén de recursos, 632 definición de espacio de nombres, 199-
funciones de TI de ADDS, 631-632 201
herramientas de administración estrategia de bosque/árbol/dominio,
remotas, 636-637 diseño de bosque, 189-194
lista de tareas administrativas, 640- diseño de bosque de producción, 193-
642 194
nuevo método de administración, estrategia de dominio, 194-198
638-640 estrategia de modificación de esquema,
plan de administración de servicios, 232-237
633-635 estructura de OU del dominio de
revisión general, 630 producción, 203-212
protección de datos, 593-594 mejores prácticas, 210-212
redundancia del sistema, 561-562 ofrecimientos de servicios, 206-208
seguridad y, 504-506 PC, 206
servicios de clúster para, 565-566 Persona, 208-210
técnicas de detección y solución de proceso de diseño, 203-206
problemas, 589-591 replicación a otros dominios, 210
OMB (oficina de administración y revisión general, 203
presupuesto), 110 integración con otros directorios, 212-
Opción(es) 216
de reparación del sistema, 138 posicionamiento del servicio, 187, 216-
personalizada (avanzada), 138 226
Operaciones de línea de comandos, 651-652 catálogo global, 218-219
Operador de dominio, 203 controladores de dominio, 219
808 Índice
DNS, 219-220 Permisos, 362, 398-401, 425, 526

escenarios, 221-226 de impresora, 425
maestro de operaciones único y administración, 425
flexible, 216-217 Persona, unidad organizativa (OU), estructura
mejores prácticas, 220-221 delegación, 378-379
revisión general, 216 estructura de OU relacionada con grupo,
topología de sitio, 226-231 infraestructura, 389-390
Particiones, 394 revisión general, 208-210
de aplicaciones, 181 terminación, 387-389
de disco, 123-124 Pertenencia al grupo universal (UGM), 219
PASS, modelo. Véase Punto de acceso a PES (servidor de exportación de contraseñas),
servicios seguros, modelo 615, 616
PC PFRD (dominio raíz de bosque protegido),
de escritorio unidad organizativa (OU), 196, 223, 226-229, 524, 541
324-325 Pila de red, 79
móviles, unidad organizativa, 325 PKI (infraestructura de clave pública), 66, 213,
PC, administración 499, 500, 551-553
centralizada, Planeación de recuperación
contenido de directiva de equipo, 326- estrategias, 588-589
329 herramienta de copia de seguridad de
OU externas, 325-326 terceros, 594-596
OU PC de escritorio, 324-325 protección de datos, 591-593
OU PC móviles, 325 técnicas de detección y solución de
plantillas administrativas en Vista, problemas,
329-330 almacenes de recursos y ofrecimientos
descentralizada, 331-332 de servicios virtuales, 590-591
PC, manejo revisión general, 589-590
administración de objetos, Planeación de recursos empresariales (ERP),
entrega de software en la red, 340-344 212
instalaciones de software, 337-340 Planes
diseño de infraestructura, 307 de administración de servicios, 633-635
diseño de OU para, de implementación, 185, 187-188, 237-
administración centralizada de PC, 238
323-330 implementación de ADDS, 187-188
administración descentralizada de PC, Plantillas
331-332 administrativas, 329-330
PDA (asistentes digitales personales), 185 en Vista, 329-330
PDC (controlador de dominio principal), 217, de directiva de grupo (GPT), 315
277-278, 281, 629-630, 750 de seguridad, 512-519, 544
Perfiles Plataforma de filtrado de Windows (WFP), 111
de usuario, 256, 320 PNRP (protocolo de resolución de nombre de
obligatorios, 386 igual a igual), 277
Índice 809
POC (prueba de concepto), 86 proceso del diseño arquitectónico lógico,

Posicionamiento 99-100
de servicio, ADDS, revisión general, 97-98
catálogo global, 218-219 secuencias de comandos y, 635
controladores de dominio, 219 Procesadores de varios núcleos, 121
DNS, 219-220 Procesos
escenarios, 221-226 creación de grupos, 375
maestro de operaciones único y de descubrimiento, 136
flexible, 216-217 de la puesta en funcionamiento, 81, 86
mejores prácticas, 220-221 sincrónicos, 317
revisión general, 187, 216-217 Programador de tareas
de servidor, 221-226 de Windows, 68
Posterior a la instalación herramienta, 672-673
lista de verificación, 130 Promoción del controlador de dominio (DC),
tareas, 140-148, 154-155 272-275, 280-281, 283
PowerGUI, interfaz, 647 Propiedades retenidas, 360-361
PowerShell Propietarios de bosques, 190-191
herramienta, 647-648 Protección
secuencias de comandos, 653, 658 almacenes de recursos, 559-561
PPTP (protocolo de entunelamiento de punto de datos, 591-593
a punto), 568, 721 ofrecimientos de servicios virtuales, 561-
Preparación del sistema, herramienta. Véase 562
Sysprep, herramienta sistemas de cómputo, 508-510
Prevención de la ejecución de datos (DEP), Protección de acceso a redes (NAP)
122 cuarentenas, 554-555
PrimalScript, motor de secuencia de definida, 39
comandos, 647-648 revisión general, 44
Principales de seguridad seguridad y, 500
ADMT, 614-615, 617-618 sistema de defensa del castillo, 554-
anidamiento de grupos globales, 613-614 556
confianzas de dos vías, 611-613 verificación del servicio de acceso y
herramientas de migración comercial, directivas de red, 721
618 Protocolo
informes de datos de dominio, 616-617 de asignación de clientes dinámicos
revisión general, 608-609 de dirección de multidifusión
servidor de exportación de contraseñas (MADCAP), 714
(PES), 615-616 de autentificación de compendio (DAP),
transferencia de datos de usuario en red, 501
618-619 de autorización de credenciales de host
Procedimientos operativos estándar (HCAP), 555
ejemplo, 102-104 de control de transmisión/protocolo de
instalaciones de software y, 131-136 Internet (TCP/IP), 108-111, 176, 280,
mejores prácticas, 98-99 427
810 Índice
de entunelamiento, beneficios de, 89-92

de capa 2 (L2TP), 568, 721 capas de, 88-89
de conexión segura (SSTP), 39, 45-46, diseño del kernel de servidor, 92-94
500, 533 funciones de servidor, 95-96
de punto a punto (PPTP), 568, 721 revisión general, 87-89
de Escritorio remoto (RDP), archivos, PUST (herramienta de rastreo previa la
469-470 actualización), 628
de Internet (IP), 181, 229, 242 PXE. Véase Entorno de ejecución previa al
de Internet versión 4 (IPv4), 714 arranque
de Internet versión 6 (IPv6), 22-23, 272
de multidifusión de grupo de Internet Q
(IGMP), 569 Quest Software, compañía, 647
de resolución de dirección (ARP), 568 Quórum
de resolución de nombre de igual a igual configuración, 575-576
(PNRP), 277 definido, 703-704
dinámico de configuración de host. Véase qWave (Experiencia de calidad de audio y
DHCP video de Windows), motor, 484
ligero de acceso a directorios (LDAP),
236-237, 315, 349, 452 R
simple, Racionalización, proceso, 84-85, 107
de acceso a objetos (SOAP), 185 RADIUS (servidor de usuarios de marcado
de administración de red (SNMP), telefónico de autentificación remota), 500
143, 278 RAID (grupos aleatorios de discos
de tiempo de red (SNTP), 757 económicos), 123, 559
de transferencia de correo (SMTP), 7, RAIN (grupos aleatorios de redes
227, 407 económicas), 124, 559
Proveedor de servicios de Internet (ISP), 108 RAM (memoria de acceso directo)
Proyectos piloto, 86 adición de funciones de servidor, 114
Prueba aplicaciones y, 57
de aceptación, 86 asignación de tamaño, 121-122
de concepto (POC), 86 preparación de red paralela y, 267
de puesta en funcionamiento, 114 servidor con varios gigabytes de, 119
de software, 442-443 verificación de estatus de, 773
de unidad, 86, 113 Rastreador de eventos de apagado, 82, 660
funcionales, 86, 113 RBAC (controles de acceso basado en
implementación de la imagen de, 168-169 función), 501
piloto, 114 RDC (conexión de Escritorio remoto), 473-478
PSO (objetos de configuración de contraseña), consola, 606
527 cliente, 680-682
Puentes de vínculo de sitio, 229-230 conexiones, 685
Puesta en funcionamiento de bosques, 198 conexión, 773
Punto de acceso a servicios seguros (PASS), RDP. Véase Protocolo de Escritorio remoto
modelo ReadyBoost, característica, 57
Índice 811
Recurso(s) beneficios de, 89-92

compartido(s), funciones del servidor, 95-96
búsqueda en ADDS, 413 kernel del servidor, 92-94
de archivos testigo (WFS), 576 revisión general, 87-89
de archivos y carpetas, 393-395 Redundancia
publicación en ADDS, 411-413 del servicio, 561
del sistema, administración de, 782-783 del sistema, 558-562
Red(es) Reemplazo, modo, 317
de área amplia (WAN), 110, 125, 197, Reestructuración de dominios, 263-264
245, 493, 559 Registro(s), 144
de área de almacenamiento (SAN), 9, 46, comunes, sistema de archivos de, 46-48
48-49, 105, 124, 405, 661 de diagnóstico, 779
de área local (LAN), 110, 493 de eventos, 727-728, 777
de área local virtual (VLAN), 227, 242, 577 de Internet regionales (RIR), 274
de área metropolitana (MAN), 221 maestro de arranque (MBR), 123
de perímetro, 549-550 Regla de cálculo, 252
digital de servicios integrados (ISDN), 6 RemoteApps, 468-470
heredadas, eliminación de la comisión Rendimiento por inversión (ROI), 251
de, 629-630 Rendimiento y monitoreo, tareas de
paralelas, administración
aceptación de equipos y usuarios administración,
cliente, 286-287 de la capacidad del servidor, 784-785
ADDS, 263-266 de recursos del sistema, 782-783
estrategia de resistencia para, 597 diagnósticos del sistema, 785-786
migración y, 250-251 monitoreo,
preparación, 266-268 del espacio en disco general, 782
revisión general, 263-266 del tráfico de red, 783-784
privadas virtuales (VPN), 8, 721-722 revisión general, 781
Redes empresariales. Véase también verificación del registro de enrutamiento
Infraestructura de red y firewall, 781-782
construcción de las bases de, Replicación
ciclo de vida de ofrecimiento del de dominio, 296-298
servicio, 82-87 del bosque, 226-228
ciclo de vida del servidor, 79-82 del sistema de archivos distribuido
revisión general, 79 (DFSR), servicio, 414-415, 419-422,
diseño de la arquitectura de, 688-689, 695, 731
revisión de la situación y análisis de multimaestra, 180
necesidades, 104-108 Requisitos de hardware, 119
revisión general, 96-97 Reservas de direcciones, 712-713
trabajo en red con Windows Server Resistencia del sistema, 557, 597
2008, 108-110 Revisión de la situación, 104-108
laboratorios tecnológicos, 112-115 Revisor de consistencias del conocimiento
modelo PASS, (KCC), 228, 296, 728, 731
812 Índice
RFS (servidor de federación de recursos), 554 de Visual Basic (VBScripts), 361, 658
RID (ID relativo), maestro de, 217, 749-750 Seguridad
RIPE Network Coordination Centre (RIPE administración, 556
NCC), 274 de grupo, 729-730
RIR (Registros de Internet regionales), 274 almacenes de recursos, 502-504
RIS (servicios de instalación remota), 169, 716 características de WS08, 499-502
Roaming, perfiles de, 320, 385-386 de capa de transporte (TLS), 58
RODC. Véase Controladores de dominio de del protocolo de Internet (IPSec), 39,
sólo lectura 533, 549-550, 721
ROI (rendimiento por inversión), 251 del sistema de archivos, 532-533
round-robin, DNS tipo, 567 diseño de directiva, 494-506
RPC (llamadas a procedimientos remotos), 228 en el ciclo de vida de ofrecimiento de
RRAS (servicio de enrutamiento y acceso en el nivel de IP (IPSec), 500
remoto), 719 Servicios, 86
RSAT (herramientas de administración remota filtros de, 740
del servidor), 666-668 fundamentos de, 493-494
RSoPs (conjuntos de directivas resultantes), grupos, 729-730
315 guía de seguridad de Microsoft WS08,
RSS, fuentes de noticias, 58 497-499
herramientas de soporte/recursos y, 635
infraestructura de red, 258-259, 279-280
S mejoras en, 38-46
SAM (administrador de cuentas de ofrecimientos de servicios virtuales, 504-
seguridad), 254, 371, 744 506
SAN (redes de área de almacenamiento), 9, personalización de servidor de bosque
46, 48-49, 105, 124, 405, 661 de ofrecimientos de servicios virtuales,
Sapien Technologies, 647 279-280
SATA (datos adjuntos seriales de tecnología planes, 496-497
avanzada), discos, 395 protección de acceso a redes y, 500
SBS08 (Windows Small Business Server 2008), revisión general, 491-492
6 sistema de defensa del castillo,
SCOM (Microsoft System Center Operations acceso a información, 537-549
Manager), 665, 782 acceso externo, 549-556
SCPH (contenedor de directiva de cambio de endurecimiento del sistema operativo,
esquema), función, 745, 747 510-537
SCSI (interfaz pequeña de sistema de información crítica, 507-508
cómputo), 395, 564 protección física, 508-510
SCVMM (System Center Virtual Machine revisión general, 494-496
Manager), 244 tipos de ataque, 496-497
SCW (Asistente para configuración de verificación,
seguridad), 38, 39, 492, 519-520, 543 de credenciales, 780-781
Secuencias de comandos, 386-387, 523-524, de parámetros, 694
637, 647-648 Server Core, característica, 12, 70, 161
Índice 813
Servicio de archivos, tarea de administración de activación de Windows, característica,

administración, 29, 37
de carpetas cifradas, 694-695 de actualización de Windows Server
de carpetas compartidas, 688 (WSUS), 8inglés, 619, 661-663
de copia de seguridad de datos, 687- de administración de claves (KMS), 9, 13,
688 16-17, 279
de cuotas, 691 de asignación de nombre de Internet de
de discos y volúmenes, 696 Windows (WINS), 109, 142, 269, 294-
de instantáneas de volumen, 689-690 295, 605, 708-710
de servicio de búsqueda, 691 de búsqueda, 404, 691
de servicio de replicación de DFS, de certificado de Active Directory
695-696 (ADCS), 21, 38, 42, 64, 500, 735
de sistema de archivos distribuido, de clúster de Windows (WCS), 9
690-691 de directorio ligero de Active Directory
archivado de datos, 695 (ADLDS), 236-237, 452-453, 500
del servicio de replicación de DFS, 688- de disco virtual (VDS), 153, 580
689 de enrutamiento y acceso remoto
desfragmentación de disco de datos, 692 (RRAS), 719
limpieza de archivos temporales, 693- de implementación de Windows (WDS),
694 25-26, 168-172, 298-299, 605, 705,
verificación, 717-718
de la integridad del disco de datos, de impresión compartidos, 421-433
692 de indización, 404, 409-410
de parámetros de seguridad, 694 de instalación remota (RIS), 169, 716
del espacio libre disponible, 685-687 de instantáneas de volumen (VSS), 244,
del registro de auditoría de acceso a 246-249, 587, 689-690
archivos, 692-693 de replicación de archivos (FRS), 731
Servicio de impresión, tareas de de soporte, 452-453
administración de Windows Media (WMS), 485
administración, hora de Windows, 277-278
de acceso a impresoras, 698 Servicios de dominio de Active Directory
de cola de impresión, 697-698 (ADDS). Véase también Particionamiento,
de controladores de impresoras, 698- ADDS
699 administración,
de rastreo de ubicación de impresoras de bosque, 743-744
(PLT), 700-701 de grupo, 363
masiva de impresoras, 701 de información, 744
evaluación del modelo de nuevas de objetos de usuario, 348-362
impresoras, 702 masiva de usuarios, 361-362
recursos compartidos de impresora, 699- almacenes de recursos y, 242
700 asignaciones de software, 342-343
Servicio(s) auditoría de, 527-530
de acceso a red (NAS), 8, 22 autentificación de usuario, 539
814 Índice
bucle invertido de la directiva, 317 rastreo de ubicación de impresoras, 424

búsqueda de recursos compartidos en, relaciones de función de TI, 630
412 revisión general, 41-42, 175-182, 422-423
componentes de, 183-184 UPN, 359-360
conceptos de GPO, 308-310 uso de identificadores de seguridad
creación, (SID), 374
de DC para redes paralelas, 268-270 Servicios de federación de Active Directory
de objetos de usuario, 358 (ADFS)
de servidores de impresión, 428-433 definido, 21, 38
cuentas, revisión general, 40-41
de plantilla, 361 seguridad y, 553-554
predeterminadas, 359-360 sistema de defensa del castillo, 553-554
definidos, 38 trabajo con organizaciones similares, 500
delegación dentro de, 332-335 Servicios de soporte a aplicaciones
directivas de impresora compartida, 425- ADLDS, 452-453
427 revisión general, 452-453
diseño de directiva, 321 UDDI, 453
DNS en, 7, 187, 200 Servidor de aplicaciones, tareas de
endurecimiento del sistema operativo, administración
524-525 acceso de cliente a aplicaciones de
estrategia de GPO, 321-322 servidor, 773
filtrado de directivas, 318 administración,
herramientas de copia de seguridad de de aplicaciones de COM+, 771-773
terceros, 594-596 del servidor de base de datos, 773
hojas de propiedades de objeto user, revisión general, 770
350-358 verificación del estado de aplicaciones
integración, 215-216 compartidas, 770-771
intercambio de carpetas, 400 Servidor de aplicaciones y de colaboración,
nuevas características, 182-183 tareas de administración
objeto de clase, rendimiento y monitoreo,
de contacto, 350 administración de la capacidad del
InetOrgPerson, 349-350 servidor, 784-785
User, 350-351 administración de recursos del
omisión de grupos de trabajo, 79 sistema, 782-783
optimización de inicio de sesión rápido, diagnóstico del sistema, 785-786
319-320 monitoreo del espacio en disco
permisos de impresora, 425 general, 782
plan de implementación, 237-238 monitoreo del tráfico de red, 783-784
planes de diseño, 185-188 revisión general, 781
procesamiento de GPO, 310-317 verificación del registro de
proceso de diseño, 238-240 enrutamiento y firewall, 781-782
publicación de recursos compartidos en, revisión general, 765
411-413 servidor de aplicaciones,
Índice 815
acceso de cliente a aplicaciones de archivado de datos, 695

servidor, 773 lista de tareas, 684
administración de aplicaciones de revisión general, 683-685
COM+, 771-773 servicio de archivos,
administración del servidor de base de administración de carpeta cifrada,
datos, 773 694-695
revisión general, 770 administración de carpeta compartida,
verificación de estado de aplicaciones 688
compartidas, 770-771 administración de copia de seguridad
servidor Web dedicado, de datos, 687-688
administración de configuración, 769 administración de cuotas, 691
generación de estadísticas de uso del administración de discos y volúmenes,
servidor IIS, 767-768 696
revisión general, 765-769 administración de instantáneas de
verificación de parches de seguridad volumen, 689-690
de IIS, 768-769 administración del servicio de
verificación del estatus del servidor búsqueda, 691
IIS, 767 administración del servicio de
verificación del registro, 768 replicación de DFS, 695-696
verificación del registro de eventos de administración del sistema de
aplicaciones, 766-767 archivos distribuido, 690-691
Terminal Services (TS), archivado de datos, 695
administración de acceso de usuario, 776 desfragmentación del disco de datos,
administración de impresoras, 775 692
administración de la conexión, 774- limpieza de archivos temporales, 693-
775 694
administración de licencias, 775-776 verificación de espacio libre
administración de RemoteApps, 776- disponible, 685-687
777 verificación de parámetros de
revisión general, 773-774 seguridad, 694
Windows SharePoint Services (WSS), verificación del registro de auditoría
análisis de uso, 779-780 de acceso a archivos, 692-693
generación de copias de seguridad, verificación del servicio de replicación
778-779 de DFS, 688-689
registro de diagnóstico, 779 verificación en integridad del disco de
revisión general, 777 datos, 692
verificación, 777-788 servicio de impresión,
verificación de credenciales de administración de acceso a impresora,
seguridad, 780-781 698
Servidor de archivos e impresión, tareas de administración de controladores de
administración impresora, 698-699
administración de servicios de clúster, administración de la cola de
701-705 impresión, 697-698
816 Índice
administración de la unidad para la administración de cuentas, 728-729

cola de impresión, 700 administración de delegación de
administración del rastreo de derechos, 737-738
ubicación de impresora (PLT), 700- administración de espacio dentro de
701 ADDS, 759-760
administración masiva de impresoras, administración de esquema, 745-746
701-702 administración de estructura bosque/
evaluación modelo de nuevas dominio/OU, 756-757
impresoras, 702 administración de GPO, 740-741
recursos compartidos de impresora, administración de grupos de
699-700 seguridad, 729-730
verificación del espacio libre disponible, administración de información de
685-687 ADDS, 744
Servidor de espacios de nombre, tareas de administración de la base de datos de
administración ADDS, 761-762
administración, administración de la directiva de
de configuración de DNS, 763-764 consultas LDAP, 760-761
de particiones de aplicaciones de administración de la función Maestro
DNS, 764-765 de operaciones, 749-751
del registro de DNS, 764 administración de la instalación de
revisión general, 763 software, 738-739
verificación de registro de eventos DNS, administración de listas de control de
763 acceso, 758-759
Servidor de identidad, tareas de administración de objeto de equipo,
administración 741-742
administración del servidor de espacio administración de objetos perdidos,
de nombres, 736-737
administración de configuración de administración de servicios de tiempo
DNS, 763-764 en bosques, 757-758
administración de particiones de administración de usuarios, 725-726
aplicaciones de DNS, 764-765 administración del bosque de ADDS,
administración del registro de DNS, 743-744
764 administración del estatus del servicio
revisión general, 763 KCC, 731
verificación de registro de eventos de administración del grupo de
DNS, 763 administración universal, 734
controlador de dominio, administración del grupo de
administración de acceso al esquema, distribución, 742-743
746 eliminación de RODC, 762-763
administración de confianzas, 754- evaluación de software para
756 modificación de esquemas, 748-749
administración de consultas modificación del contenido del
guardadas, 759 esquema, 747-748
Índice 817
promoción del controlador de administración de clases de opciones,

dominio, 752-753 715-716
recuperación de desastres del administración de la reserva, 712-713
controlador de dominio, 753-754 administración de superámbitos, 713-
recuperación de desastres del Maestro 714
de operaciones, 752 administración del ámbito, 712
restablecimiento de la contraseña de administración del ámbito de
usuario, 726-727 multidifusión, 714-715
revisión general, 723-725 autorización del servidor, 716
transferencia de la función Maestro de verificación del estado del servidor,
operaciones, 751 706-708
verificación de eventos de registro del servidor WINS,
servicio de directorio, 727-728 administración de registro, 710-711
verificación de la directiva de cuenta, verificación del estado del servidor,
734-735 708-710
verificación de la topología de servidores de implementación,
replicación Active Directory, 732 administración de imágenes de WDS
verificación de las cuentas (DS-01), 717-718
administrativas y de servicio de revisión general, 717
Active Directory, 735 Servidor general, tareas de administración
verificación del estatus del catálogo actualización,
global, 733 de definición antimalware, 657
verificación del servicio ADCS, 735 de services packs y correcciones
revisión general, 723 activas, 662-663
Servidor de infraestructura de red, tareas de administración,
administración de informes de tiempo de actividad,
directivas de red y servicios de acceso, 657-658
administración de conexiones VPN, de las cuentas de servicio y
721-722 administrativas, 655-656
definición de directivas, 722 de prioridades de la solución y
revisión general, 719-720 detección de problemas, 675
verificación de las directivas de acceso de secuencias de comandos, 658-659
remoto, 721 del acuerdo de nivel de servicio, 675
verificación del estatus del servidor de del inventario, 663-664
acceso remoto, 720 comando Ejecutar como administrador,
verificación del servicio de acceso y 649-651
directivas de red, 721 copia de seguridad y restauración,
equilibrio de carga de red (NLB), administración de copias de seguridad
clústeres de, 718-719 fuera del sitio, 679
revisión general, 705 generación de copias de seguridad del
servidor DHCP, disco del sistema, 678
administración de atributos, 711- prueba de la estrategia de
712 restauración de desastres, 680
818 Índice
prueba de procedimientos de administración de identidad, 391

restauración, 680 almacenamiento central de archivos, 393
revisión de la estrategia de copia de aplicaciones,
seguridad, 680 central, 443
verificación de las copias de comerciales y corporativas, 439-440
seguridad, 678-679 compartidas, 443
creación, definida, 437
de la consola de administración del infraestructura de servicio, 391
almacén de recursos, 668-669 prueba y software heredados, 442-443
de una MMC personalizada, 666-668 revisión general, 438-439
o modificación de plantillas de soporte al desarrollo, 440-442
seguridad, 672-674 tipos de, 443
directiva de restricción de software, 665- valores de instalación, 449-450
666 virtualización de, 437-439
documentación del sistema y la red, 674- archivos e impresión,
675 compartir archivos y carpetas, 393-395
evaluación de nuevo software, 665 compartir servicios de impresión, 421-
generación y verificación de tareas 433
programadas, 671-672 creación, 405-406
hardware, 676-677 diseño de la estructura de la OU
mantenimiento del registro de actividad, Ofrecimientos de servicios
656 virtuales, 434-436
puesta en funcionamiento del servidor, disponibilidad de carpetas, 413-422
669-670 estructuración de volúmenes de
recepción automática de firmas de discos, 395-402
antivirus o antimalware, 670-71 infraestructura de servicio, 391
reinicio del servidor, 659-660 instantáneas, 402-403
remoto, 681-683 migración, 621-627
revisión, requisitos por función, 434
de la carga de trabajo, 675 revisión general, 393
del entorno técnico, 674 SAN, 405
general, 649 servicios de búsqueda, 404
o actualización de directivas de asignación de tamaño, 126, 127
seguridad, 660 para almacenes de recursos y
verificación, ofrecimientos de servicios virtuales,
de parches de seguridad, 660-661 119-126
del estatus del servicio general, 652-653 64 bits, 122, 125, 260-262, 602
del registro de eventos de seguridad, blade, 80, 124, 242
654-655 cambios en la función de, 105
del registro de eventos de sistema, capacidad, 121, 784-785
653-654 características, 392
Servidor(es). Véase también Infraestructura de ciclo de vida, 79, 80-82
red colaboración,
Índice 819
definida, 437 de referencia, preferencia, 135

infraestructura de servicios, 391-392 de seguridad contra fallas, 96, 261, 262,
revisión general, 478-479 391, 562
WSM, 484 de usuarios de marcado telefónico de
WSS, 480-483 autentificación remota (RADIUS), 500
colocación de, 171 estandarización, 393
configuración de funciones, 95-96 físicos, 80, 82, 92, 120
consolidación, 586-587 hojas de datos, 128-129
mediante almacenes de recursos, 105- infraestructura de red, 286-298, 391, 619-
107 620
de almacenamiento central de archivos, 393 instrucciones de implementación, 392
de aplicaciones, inventarios, 104
centrales, 443 miembro, 254-257
comerciales y corporativas, 91-92, directiva básica, 544-545
439-440 migraciones, 604
compartidas, 443 multiprocesamiento, 121
definidos, 437 posicionamiento, 219-226
infraestructura de servicio, 391 proceso,
prueba de software heredado, 442-443 de compra, 80
revisión general, 438-439 de rotación, 602-604
soporte al desarrollo, 440-442 prueba, 81
tipos de, 443 remotos, administración, 67-68
valores de instalación, 449, 451 requisitos,
virtualización de, 444-445 de hardware, 434
de archivos, 406-407, 621-625. Véase funcionales, 392
también Servidores de archivos e revisión general, 95-96
impresión sin cabeza, 105
de autentificación de Internet (IAS), 500 terminal,
de base de datos, administración del, 773 definida, 437
de catálogo global (GCS), 733 infraestructura de servicios, 391
de directiva de acceso a redes, 705 RDC, 474-478
de exportación de contraseña (PES), Services (TS), 621
615-616 virtual, 79-82, 91, 92, 105-106, 120
de fax, característica, 29, 38 Web (dedicado o de aplicaciones), 445-
de federación de cuenta (AFS), 554 454
de federación de recursos (RFS), 554 Web dedicado, 391, 437, 443
de hora, configuración del, 277-278 zonas de nombres globales (GNZ), 705
de identidad, 253-254 Servidores de archivos e impresión. Véase
de implementación, 717-718 también Administración del servidor de
de impresión, 393, 428-433, 626-627. archivos e impresión
Véase también Servidores de archivos e almacenamiento en caché de archivos
impresión sin conexión, 404-405
de multiprocesamiento, 121 archivos y carpetas compartidas, 393-395
820 Índice
creación, SAN, 405

búsqueda de recursos compartidos en servicios de búsqueda, 404
ADDS, 413 Servidores de infraestructura de red. Véase
carpetas compartidas, 410-411 también Servidor de infraestructura de red,
estructuras de carpeta, 407-408 tareas de administración
habilitación de procesos del servidor actividades para la puesta en
de archivos, 408-411 funcionamiento, 287
instalación de funciones del servidor configuración,
de archivos, 406-407 de replicación de dominio, 296-298
publicación de recursos compartidos de segundo servidor, 295-296
en ADDS, 411-413 definición de clases de usuario, 291-293
revisión general, 405-406 instalación de WINS, 294-295
diseño de estructuras de OU de instalación y configuración del servicio,
ofrecimientos de servicios virtuales, 288-289
434-436 migración, 619-620
disponibilidad de carpetas, movimiento de servidores, 296-298
redireccionamiento de carpetas y revisión general, 286-287
configuraciones de archivos sin valores DHCP, 289-291
conexión, 420-422 zonas de nombre global en DNS, 293-294
replicación de DFS para almacenes de Servidores Web
recursos, 419-420 administración de configuración, 769
sistemas de archivos distribuidos, control de acceso, 546-547
414-418 IIS 7, 446-449
estructuración de volúmenes de disco instalación de funciones servidor, 449-
para almacenamiento de recursos, 452
395-396 servicios de soporte a aplicaciones,
estructuración de volúmenes de disco ADLDS, 452-453
para ofrecimientos de servicios revisión general, 452-453
virtuales, UDDI, 453
cuotas de disco, 401-402 verificación de registro, 768
permisos de NTFS, 398-401 Servidores Web dedicados, 449—451
revisión general, 397-398 definidos, 437
infraestructura de servicio, 391 infraestructura del servicio, 391
instantáneas, 402-403 tareas de administración,
intercambio de servicios de impresión, administración de configuración del
controladores de impresión de WS08, servidor Web, 769
423 generación de estadísticas de uso del
integración con Servicios de dominio servidor IIS, 767-768
de Active Directory, 423-433 revisión general, 765-769
para clientes que no son de Windows, verificación de parches de seguridad
433-434 de IIS, 768-769
requisitos por función, 434 verificación del estatus del servidor de
revisión general, 393 IIS, 767
Índice 821
verificación del registro de eventos de acceso a la información,

aplicaciones, 766-767 administración de derechos de
verificación del registro del servidor información, 548-549
Web, 768 auditoría, 547-548
SGCD (un solo dominio secundario global), autentificación de .NET Framework,
196 547
SharePoint autentificación de tarjeta inteligente,
Portal Server (SPS), 436 538
sitios, 627-629. Véase también Windows autentificación de usuario en ADDS,
SharePoint Services (WSS) 539
Shell remota de Windows (WinRS), 153 confianzas, 545-546
SID (identificador de seguridad), 250, 362-363, control de acceso de servidor Web,
373, 609-613, 617, 630 546-547
Sidebar de Vista, 55 directiva básica del servidor miembro,
SIM (administrador de imagen del sistema), 544-545
136 directivas de controlador de dominio
Sincronización de tiempo, 217, 277-278, 757- locales, 544
758 directivas de dominio
Single sign-on (SSO), operación, 185, 480 predeterminadas, 542-544
SIS (un solo almacén de instancia), 118 GPO, 539-541
Sistema de archivos distribuido (DFS) identificación del usuario, 538-539
accesos directos, 417 revisión general, 537-538
administración, 690-691 acceso externo,
alias, 414 ADFS, 553-554
carpetas, 417 NAP, 554-556
clientes, 417-418 PKI, 551-553
consciente de los sitios, 414 revisión general, 549-550
definido, 690-691 SSTP, 550-551
destinos, 414 WSFAS, 550
direcciones de servidor Web, 414 aplicación a almacenes de recursos, 502-
espacio de nombres de dominio, 415-417 504
espacio de nombres y replicación, capas,
característica, 46, 47 acceso a información, 537-549
estructura virtual, 414 acceso externo, 549-556
implementación de software, 341 endurecimiento del sistema operativo,
máquinas virtuales y, 244 510-537
organizaciones grandes para redes y, 6 información crítica, 507-508
para datos de usuario, 384 protección física, 508-510
referencias, 414 endurecimiento del sistema operativo,
replicación delta comprimida en el nivel actividades finales, 537
de bloque, 414 asistente para configuración de
revisión general, 414 seguridad, 519-520
Sistema de defensa del castillo auditoría de ADDS, 527-530
822 Índice
cifrado de sistema de archivos (EFS), operativo de red (NOS), 186, 216, 500,
533-534 745
cifrado de unidad Bitlocker, 521-522 y servicio de nombre de dominio. Véase
configuración de seguridad del DNS
sistema, 510-511 Sitios Web, migración, 620-621
control de dispositivos, 520-521 SLA (acuerdos del nivel del servicio), 86, 560,
dentro del directorio, 525-526 675
directivas de contraseña más fina, SM. Véase Administrador del servidor
526-527 SMART (específico, medible, alcanzable,
directivas de restricción de software, orientado a resultados y a tiempo), método,
523-524 97
herramientas antimalware, 522-523 SMB (bloque de mensajes de servidor), 410
IIS 7.0, 537 SMTP (protocolo simple de transferencia de
.NET Framework, 535 correo), 7, 227, 407
plantillas de seguridad, 512-519 SNMP (protocolo simple de administración de
proceso de evaluación de código red), 143, 278
administrado, 535-536 SNTP (protocolo simple de tiempo de red),
revisión general, 510 757
RODC, 530-532 SOA (arquitectura orientada a servicio), 185
seguridad posterior a la instalación, SOAP (protocolo simple de acceso a objetos),
511-512 185
servicios de dominio de Active Software
Directory, 524-525 activos de, 339-340
sistema de archivos, 532-533 entrega en la red,
sistema de impresión, 535 asignaciones, 342-343
información crítica, 507-508 conceptos de implementación, 341-
protección física, 508-510 342
revisión general, 494-496 legalidad y asignaciones de PC
seguridad de .NET framework, 535 regionales, 343-344
seguridad del sistema de impresión, 535 revisión general, 340-341
Sistema(s) instalaciones,
básico de entrada y salida (BIOS), 509, administración, 738-739
676 optimización de inicio de sesión
de archivos de nueva tecnología (NTFS), rápido, 320-321
126, 298, 394, 398-401, 688 procedimientos operativos estándar y,
de archivos de red (NFS), 406, 410 131-137
de espejo de disco, 123 red heredada, 442-443
de impresión, seguridad de, 535 reempaquetamiento, 339
de información (IS), 193 revisión general, 337-339
de Windows Server (WSS), 214 Soporte al desarrollo de aplicaciones, 440-442
externos administrados, 325 almacenamiento de aplicaciones, 440
externos no administrados, 325 aplicaciones como servicios de NT, 441
operativo, 12-18 cola de mensajes, 442
Índice 823
compuertas de activación de memoria revisión general, 645-648

baja, 441 servidores de aplicación y de
.NET framework, 441-442 colaboración,
particiones de aplicaciones, 441 convencionales, 770-773
reciclaje de aplicaciones, 440 rendimiento y monitoreo, 781-786
servicios UDDI, 442 revisión general, 765
servicios Web, 441 servidores Web dedicados, 765-769
SOAP, 442 Terminal Services (TS), 773-777
Soporte, ciclos de vida de, 439 Windows SharePoint Services (WSS),
SPS (SharePoint Portal Server), 436 777-781
SRP. Véase Directivas de restricción de servidores de archivos e impresión,
software revisión general, 683-685
SSL (capa de conexiones seguras), 58, 236, 568 servicio de archivos, 685-696
SSO (single sign-on), operación, 185, 480 servicios de clúster, 702-705
SSTP (protocolo de entunelamiento de servicios de impresión, 696-702
conexión segura), 39, 45-46, 500, 533 servidores de identidad, 723-765
conector seguro, 551 conector seguro servidores de infraestructura de red,
Subredes, 424, 700 clústeres NLB, 718-719
Subsistema de discos y archivos, 46-52 directiva de red y servicios de acceso,
Superámbitos, 713-714 719-722
SuperFetch, característica, 57 revisión general, 705
Symantec Corporation, 523 servidores de implementación, 717-
Sysprep, herramienta, 154, 165, 170, 272 718
System Center Operations Manager (SCOM), servidores DHCP/WINS, 705-717
665, 782 servidores generales,
System Center Virtual Machine Manager actividades, 649-675
(SCVMM), 244 conexiones de escritorio remoto
(RDC), 681-682
copia de seguridad/restauración, 677-
T 680
Tareas hardware, 676-677
de configuración inicial (ICT), 25, 27-28, revisión general, 649
54, 59-61, 67 Tarjeta de interfaz de red (NIC), 126
posteriores a la actualización, 303-304, TCP/IP (protocolo de control de transmisión/
140-142 protocolo de Internet), 108-112, 176, 280,
Tareas de administración 427
masiva de usuarios, 361-362 Técnicos de soporte, 207
remotas, Tecnología(s)
administración de RDC de PC, 682 de almacenamiento, 394-395
administración de RDC del servidor, de la información (IT), funciones, 238
681-682 de virtualización de aplicaciones, 340,
soporte a usuarios mediante 444
asistencia remota, 682-683 Terabytes (TB), 122
824 Índice
Terminal Services (TS) TS. Véase Terminal Services

archivos RDP, 469-470 TSLM (Administrador de licencias de TS), 459
definida, 8 TWA (Acceso Web de TS), 471
distribución de consola, 335
GPO, 461-468 U
implementación de aplicaciones, UDDI (Descripción, descubrimiento e
adición de RemoteApps, 468-469 integración universal), servicio, 454
con archivos RDP, 469-470 UFD (dispositivo flash universal), 154
mediante acceso Web de TS (TWA), 471 UGM (pertenencia a grupo universal), 219
paquetes del Instalador de Windows, UGMC (caché de pertenencia a grupo
471-472 universal), 531
instalación/configuración, 455-456 UI. Véase Interfaz de usuario
licencia, 456-468 Un solo dominio secundario global (SGCD),
migración y, 606 196
modo de escritorio completo, 469 Unattend.XML, archivos, 164-165
RDC, 473-478 UNC (convención de asignación de nombres
revisión general, 28, 29-33 universales), 412-413, 686
tareas de administración, Unidad organizativa (OU), diseño
administración de acceso de usuarios, administración de datos de usuario, 383-
776 386
administración de conexiones, 774- estructura de OU Persona, 377, 387-
775 390
administración de impresoras, 775 delegación, 378-379
administración de licencias, 775-776 relacionada con grupo, 377-378
administración de RemoteApps, 776- mejores prácticas, 210-212
777 para administración de PC,
revisión general, 773-774 administración centralizada de PC,
virtualización de presentaciones, 455 323-330
TI (tecnología de la información), funciones, administración descentralizada de PC,
238, 240 331-332
TLS (seguridad de capa de transporte), 58 secuencias de comandos de inicio y
Topologías cierre de sesión, 386-387
de replicación, 695, 732 Unidad(es)
de sitio, 187, 228-231, 296 asignadas, 413
Trabajo en red de almacenamiento lógico (LUN), 242
características de nueva infraestructura, de disco, 395
22-25 de discos duros virtuales (VHD), 563
definiciones del tamaño de la de procesamiento central (CPU), 105,
organización, 5-7 121
funciones comunes, 7-11 organizativa (OU),
Traducción de direcciones de red (NAT), 108, de grupo, estructura, 377-378
720 del objeto PC, 206
Tripwire for Servers, utilería, 533 estructura, 485-487
Índice 825
Unidifusión, modo, 567-568 VMM (administrador de equipos virtuales),

UNIX, equipos, 433 130
UPN (nombres de principales universales), VMware, 4
179, 218, 358-359, 611 Volúmenes de disco. Véase Estructura de
USB (bus serial universal), 57, 118 volúmenes de disco
Usuarios, administración, 725-726 Volúmenes. Véase Estructura de volúmenes de
estructurada, 308 discos
Utilería de limpieza de disco, 693-694 VPN (redes privadas virtuales), 8, 721-722
VSS (servicio de instantáneas de volumen),
V 244, 246-249, 588, 689-690
VAK (claves de activación de volumen), 279
Valor separado por comas (CSV), formato de W
archivo, 726 WAN (red de área amplia), 110, 125, 197, 245,
Varias particiones de arranque, 126-127 493, 559
VBScripts (secuencias de comandos de Visual WCS (servicio de clúster de Windows), 9
Basic), 361, 658 WDS (servicios de implementación de
VDS (servicio de disco virtual), 153, 580 Windows), 25-26, 169-172, 298-299, 605,
Verificación 705, 717-718
de estado de aplicaciones compartidas, WEBS (Windows Essential Business Server
770-771 2008), 6
de eventos de registro del servicio de WFP (plataforma de filtrado de Windows), 111
directorio, 727-728 WFS (recurso compartido de archivos testigo),
de la directiva de cuenta, 734-735 576
del espacio libre disponible, 685-687 WFSC, categoría compatible con, 571-572
del registro, WID (base de datos interna de Windows), 479,
de auditoría de acceso a archivos, 692- 628
693 .wim (imagen de Windows), archivo, 117-118,
de enrutamiento y firewall, 782 136, 156
de eventos de aplicaciones, 766-767 Windows
del servicio de acceso y directivas de red, Defender, 39, 43, 84
721 Essential Business Server 2008 (WEBS),
en integridad del disco de datos, 692 6
VGA (matriz gráfica de video), 164 Logo, programa, 214
VHD (unidades de discos duros virtuales), 563 PowerShell, 67, 70-71
Vinculación simbólica, herramienta, 46, 51 ReadyDrive, 46, 49
Virtual Iron, 4 SIM (Administrador de imágenes del
Virtualización, 77-78, 81, 96, 106, 112, 444-445 sistema de Windows), 153-154, 157-
de presentaciones, 454-455 158
Visión del proyecto, 96-97 Small Business Server 2008 (SBS08), 6
Visor de eventos, 672 Windows, Firewall de, 61-62, 151
Vista, plantillas administrativas en, 329-330 con seguridad avanzada, 38, 40
VLAN (red de área local virtual), 227, 242, Server con seguridad avanzada
577 (WSFAS), 550
826 Índice
Windows Server 2008 (WS08), nuevas WinRE (entorno de recuperación de

características, 4-5 Windows), 123, 126-127, 146
elementos fundamentales del sistema WinRS (shell remota de Windows), 153
operativo, 12-18 WINS (servicio de asignación de nombre de
facilidad de uso, 18-22 Internet de Windows), 109, 142, 269, 294-
infraestructura, 295, 605, 708-710
de aplicaciones, 28-38 WMI (instrumentación de administración de
de implementación, 25-28 Windows), 62, 318-319, 648, 740-741
de red, 22-25 WMS (servicios de Windows Media), 485
de seguridad, 38-46 WQL (lenguaje de consulta de Windows), 740
revisión general, 4-5, 11-12 WS08, nuevas características. Véase Windows
subsistema de discos y archivos, 46-52 Server 2008 (WS08), nuevas características
Windows SharePoint Services (WSS) WSFAS (Firewall de Windows Server con
acceso al sitio Web Administración seguridad avanzada), 550
Central, 480-481 WSH (host de secuencia de comandos de
finalización de configuración, 481- Windows), 361
483 WSM (flujo de datos de Windows Media), 484
implementación, 479-484 WSRM (administrador de recursos de sistema
migración, 627-629 de Windows), 28-29, 782-783
número de puerto, 483 WSS. Véase Windows SharePoint Services
de administración, 483-484 WSUS (servicios de actualización de Windows
revisión general, 36-37 Server), 619, 661-663
servicios de colaboración, 7
tareas de administración,
análisis de uso, 779-780 X
generación de copias de seguridad, XML (lenguaje de marcado extensible), 61,
778-779 118, 329, 501, 648
registro de diagnóstico, 779
revisión general, 777
verificación, 777-778 Z
verificación de credenciales de Zona
seguridad, 780-781 de nombres globales (GNZ), 288, 293-
WinPE (entorno de preinstalación de 294, 705
Windows), 126, 154, 163-168 desmilitarizada (DMZ), 96, 176, 237, 549
Forma tu biblioteca del IT PRO
Scambray Levine. Windows Vista. Petersen. Linux.

Hackers en Windows Manual de referencia Manual de referencia sexta edición
970106755X 9701062876 9701067584
Simmons Howson Matthews

Hágalo usted mismo Business Intelligence Windows Server 2008.
con Windows Vista 9701067592 Guía para el administrador
9701067355 970106917X

Windows Server 2008 - Danielle PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Windows Server 2008 - Danielle PDF

Transféré par

Droits d'auteur :

Formats disponibles

Reseñas de Microsoft Windows Server 2008: Manual de referencia

Acerca del editor técnico

MÉXICO • BOGOTÁ • BUENOS AIRES • CARACAS • GUATEMALA • LISBOA • MADRID

WINDOWS SERVER 2008 MANUAL DE REFERENCIA

Prohibida la reproducción total o parcial de esta obra,

DERECHOS RESERVADOS © 2009, respecto a la primera edición en español por

Traducido de la primera edición de

Impreso en México Printed in Mexico

Parte II Planee y prepare

Parte III Diseñe funciones de servidor

Parte IV Administre objetos con Windows Server 2008

Parte V Asegure Windows Server 2008

Parte VI Migre a Windows Server 2008

Parte VII Administre Windows Server 2008

Índice ...................................................................................................................... 787

Parte I Recorrido por Windows Server 2008

Parte II Planee y prepare

Diseñe la arquitectura de red .....................................................................................96

Parte III Diseñe funciones de servidor

Mejores prácticas de asignación de nombres ...............................................202

Cree el segundo DC en el dominio raíz del bosque .....................................280

Parte IV Administre objetos con Windows Server 2008

Mejores prácticas para administración y creación de grupos ......................371

Explore la virtualización de aplicaciones ......................................................443

Parte V Asegure Windows Server 2008

Aﬁnidad sencilla contra falta de aﬁnidad .....................................................568

Parte VI Migre a Windows Server 2008

Construya un nuevo método para la administración ..................................638

Parte VII Administre Windows Server 2008

Utilice una red paralela

Ediciones de Windows Server 2008

Cada versión incluye conjuntos especíﬁcos de características, que se describen de la siguiente

plementación de aplicaciones a pequeña escala y escenarios de colaboración. Está diseñado para

El cliente perfecto: Windows Vista

Construya el centro de datos dinámico

Ejecute máquinas físicas o virtuales

virtuales más. En promedio, las organizaciones ejecutarán hasta 16 máquinas virtuales en un

Expanda la envoltura de la virtualización

SUGERENCIA Microsoft ofrece las soluciones de evaluación y planeación de Microsoft (MAPS,

Administre como un proyecto

FIGURA 2 Cronograma de migración de Windows Server 2008.

El sitio Web que acompaña a este libro (en inglés)

Windows Server 2008 Server 2008

Almacenes de recursos en comparación con ofrecimientos

NOTA Hyper-V, el nuevo motor de virtualización integrado en Windows Server, no se incluye en la

Listados de nuevas características

Construya la red de Windows Server 2008

Deiniciones de tamaño de organización

Funciones comunes de red

• Intercambio de archivos e impresoras El almacenamiento central de documentos siempre ha

de un lugar a otro. La implementación de estos sistemas es más compleja que estructuras de un

• Servicios de administración de derechos Las organizaciones preocupadas por la protec-

Servicios de Servicios de Servicios de Servicios de copia Servicios Servicios de Servicios de Servicios de

Servicios de Servicios de Servicios de Servicios Servicios de Servicios de Servicios de Servicios de

Servicios de Servicios de Servicios de Servicios de Servicios de Windows Terminal Servicios

Servicios de Aplicaciones Servicios de Active

FIGURA 1-1 Leyenda gráica para tipos de servidor de red.

Nuevas características de Windows Server 2008

Este conjunto de características cae dentro de las siguientes categorías:

Mejoras a los elementos fundamentales del sistema operativo

• Copia de seguridad de Windows Una aplicación completamente nueva de copia de se-

Característica Copias de seguridad de Windows

Característica: Nueva Mejora Actualización ✓ Reemplazo