Académique Documents
Professionnel Documents
Culture Documents
“He tenido el placer de trabajar con Danielle y Nelson en otros proyectos y he disfrutado sus
libros anteriores. Cuando escuché que estaban trabajando en un nuevo libro llamado Microsoft
Windows Server 2008: Manual de referencia, comencé a esperar con mucho entusiasmo para ho-
jearlo. Estoy impresionado con la manera en que Danielle y Nelson muestran a Windows Server
2008 ejecutando un centro de datos virtualizado y distribuyendo los recursos a aplicaciones y
servidores, a medida que los necesitan. Soy un firme creyente del poder de la virtualización y la
manera en que los negocios de cualquier tamaño pueden obtener beneficios de ella para hacer su
trabajo de manera más eficiente. Si cree que la virtualización no es para usted y vive en el reino
de la prueba y el desarrollo, piénselo de nuevo. Vale la pena leer el ‘Manual de referencia’.”
—Rick Claus,
IT Pro Advisor, Microsoft Canada, blog: http://blogs.technet.com/canitpro
“No tengo dudas en decir que este libro es ‘obligatorio’ para cualquier persona que considere
seriamente implementar Windows Server 2008. Es igualmente útil para personal administrativo
que planea la ejecutar Windows Server 2008, además del administrador de sistemas que trabaja
para hacer la implementación real y la gente que administra la red una vez que ésta se ha com-
pletado.”
—Dilip Naik,
Microsoft File System/Storage MVP,, autor de Inside Windows Storage
“¡Construya su red de manera correcta con consejos de expertos! Este libro proporciona ayuda
real para la implementación de Windows Server 2008 con atención al uso de soluciones de vir-
tualización; cubre todo lo que necesita saber en un manual bien escrito para el éxito.”
—Bob Kelly,
AppDeploy.com y revisor técnico
“Microsoft Windows Server 2008: Manual de referencia es un recurso integral para aprender todos
los pasos esenciales en la configuración de Window Server 2008, pero también es una estupenda
guía para aprovechar la hipervirtualización con Hyper-V, con el fin de transformar su infraestruc-
tura de TI en un entorno dinámico de cómputo.”
—David Greschler,
Director, Integrated Virtualization Strategy, Microsoft
Acerca de los autores
Danielle Ruest se apasiona al ayudar a la gente a obtener lo máximo de la tecnología de la computación. Es una expe-
rimentada arquitecto de flujo de trabajo empresarial y asesora con más de veinte años de experiencia en implementa-
ciones de proyectos. Entre sus clientes se incluyen empresas gubernamentales y privadas de todos los tamaños. En toda
su carrera, ha liderado los procesos de administración del cambio, desarrollado e impartido capacitación, proporcionado
servicios técnicos de escritura y administrado programas de comunicación durante proyectos complejos de implemen-
tación de tecnología. Recientemente, Danielle ha participado en el diseño y soporte de infraestructuras de prueba,
desarrollo y producción con base en tecnologías de virtualización. Está familiarizada con casi todos los componentes del
sistema de servidores de Microsoft Windows, además de implementaciones de seguridad, Servicios de dominio de Active
Directory, Exchange Server, interoperabilidad, capacidad de administración y virtualización. Además, uno de sus mejores
talentos es la comunicación mediante la ilustración, retratando gráficamente conceptos complejos y, por tanto, facili-
tando la comprensión de estos conceptos. Es la profesional más valiosa (MVP, Most Valuable Professional) de Microsoft
para la línea de productos de máquinas virtuales.
Nelson Ruest disfruta hacer las cosas correctas con las tecnologías de Microsoft. Es arquitecto experto en tecnología
de la información empresarial con más de veinticinco años de experiencia en planeación de migraciones y diseño de
soluciones de red, PC, servidor y generales. Fue uno de los primeros ingenieros de sistemas certificados de Micro-
soft (MCSE, Microsoft Certified Systems Engineers) y capacitador certificado de Microsoft en Canadá. En su carrera
de tecnología de la información, ha sido operador de equipos de cómputo, administrador de sistemas, operador de
help desk, ingeniero de soporte, administrador de tecnología de la información, administrador de proyectos y, ahora,
arquitecto de TI. También ha tomado parte en numerosos proyectos de migración, donde era responsable de todo,
desde proyectos hasta diseño de sistema en los sectores público y privado. Está familiarizado con todas las versio-
nes de Microsoft Windows y el sistema de servidores de Windows, además de seguridad, Servicios de dominio de
Active Directory, Exchange Server, administración de sistemas, configuraciones de intranet y extranet, tecnologías
de colaboración, automatización de oficinas y soluciones de interoperabilidad. Es MVP de Microsoft para la línea de
productos Windows Server.
En 2007, Danielle y Nelson lanzaron un libro electrónico gratuito: The Deinitive Guide to Vista Migration (www.
realtime-nexus.com/dgvm.htm). También completaron un kit de capacitación de Microsoft Press: MCITP Self-Paced
Training Kit (Exam 70-238) Deploying Messaging Solutions with Microsoft Exchange Server 2007 y escribieron la segunda
mitad de Deploying and Administrating Windows Vista Bible para Wiley, además del MCTS Self-Paced Training Kit (Exam
70-640): Coniguring Windows Server® 2008 Active Directory para Microsoft Press. Nelson y Danielle están realizando
un recorrido por varias ciudades impartiendo el curso Virtualization: Controlling Server Sprawl (http://events.techtarget.
com/virtualization2008), diseñado para ayudar a las organizaciones a moverse a una infraestructura virtual.
Ambos son también coautores de Preparing for .NET Enterprise Technologies (www.Reso-Net.com/EMF), que,
a pesar de su nombre, se concentra en implementar y administrar escritorios bloqueados, Windows Server 2003: Best
Practices for Enterprise Deployments (www.Reso-Net.com/WindowsServer), una guía paso a paso para la implementa-
ción de una red empresarial, y Windows Server 2003 Pocket Administrator (www.Reso-Net.com/PocketAdmin), una guía
para administrar una red de manera cotidiana. Ambos participan como autores freelance de varias publicaciones de TI,
además de producir manuales para varios comercializadores (www.reso-net.com/articles.asp?m=8), así como Webcasts y
conferencias (www.reso-net.com/presentation.asp?m=7).
Nelson y Danielle trabajan para Resolutions Enterprises, una firma de consultoría enfocada en el diseño de infraes-
tructuras de TI. Resolutions Enterprises se encuentra en www.Reso-Net.com.
Traducción
Eloy Pineda Rojas
Traductor profesional
ISBN: 978-970-10-6953-0
ISBN: 978-0-07-226365-7
1234567890 0876543219
vii
Contenido
Prefacio ...................................................................................................................... xvii
Agradecimientos ........................................................................................................ xix
Introducción ............................................................................................................... xxi
ix
x Windows Server 2008 Manual de referencia
C
uando conocí a Danielle y Nelson Ruest, me dibujaron una imagen de un tiro al blanco y
dijeron que éste era el futuro de la administración del software. Explicaron que cada círcu-
lo representaba una parte diferente del cúmulo de la computación. En el centro estaba la
aplicación. En el anillo que rodeaba el centro estaban los datos y, en el anillo exterior, el sistema
operativo. Si pudiéramos aislar cada una de estas capas empleando virtualización, describieron,
se facilitaría de manera importante la administración del software. Todas las piezas podrían inte-
grarse sin la prueba y configuración que todos han llegado a suponer que era parte del proceso.
En cambio, su sistema de administración sabría qué sistema operativo, datos y aplicaciones nece-
sitaba cada persona, y dispararía justo en el blanco de la persona correcta en tiempo real. Estu-
vimos de acuerdo en que ésta era una versión excelente de la virtualización, pero que tardarían
varios años en que se hiciera realidad.
Con la llegada de Windows Server 2008, este sueño está un paso más cerca de la realidad.
Windows Server 2008 representa avances sustanciales alrededor de la Web y la seguridad, pero
también incluye una nueva característica: virtualización. Llamada Hyper-V, esta característica
significa que la virtualización será una parte estándar del uso de los servidores Windows. Todos
los beneficios de la virtualización de servidor de hoy en día (consolidación, ahorros de energía
y espacio, y aprovisionamiento acelerado de la carga de trabajo y continuidad del negocio) se
volverán parte integral de la manera en que las compañías administran su infraestructura de
Windows Server.
Pero éste es sólo el principio. A medida que más y más servidores se virtualizan con Hyper-V, la
idea del“tiro al blanco” para la administración de software estará más cerca de la realidad a medida
que las empresas transformen sus granjas de servidores en “granjas de hipervisores” (almacenes
con capacidad de cómputo definidos por el poder total de cómputo de los servidores físicos que se
hayan virtualizado). Ésta es la visión del centro de datos dinámico, donde las cargas de trabajo se
proporcionan en tiempo real y se mueven con base en la carga y las prioridades, lo que da como
resultado un entorno de tecnología de la información más ágil, que puede responder de manera
mucho más rápida a las necesidades del negocio. Sin embargo, la virtualización por sí sola no será
suficiente para que esta visión se vuelva realidad. También requiere de administración.
Con la virtualización, la función de administración de sistemas pasa de ser importante a
esencial. La administración le muestra dónde residen los recursos virtualizados (porque ya no
están instalados en una ubicación) y, lo que es aún más importante, permite la asignación en
tiempo real de recursos (que es una de las tareas principales de un centro de datos dinámico).
En Microsoft, hemos diseñado la suite de administración System Center (integrada por Virtual
Machina Manager, Operations Manager, Configuration Manager y Data Protection Manager)
para construir las bases de un centro de datos dinámico, al proporcionar el aprovisionamiento,
el monitoreo y las herramientas de copia de seguridad para entornos virtuales y físicos, tanto de
escritorios como de servidores, en sistemas operativos y aplicaciones y entre varios hipervisores
(todo desde una sola consola de administración).
xvii
xviii Windows Server 2008 Manual de referencia
Hoy en día, los analistas de la industria estiman que menos de 10% de los servidores de
todo el mundo están virtualizados. Parte de lo estupendo de hacer que la virtualización sea una
característica clave de Windows Server es que el personal de TI de la empresa ya está entrenado
en Windows, y agregar la virtualización representa una extensión natural de habilidades. Esto
debe acelerar de manera importante el porcentaje de servidores que se virtualizarán en los años
siguientes, y aquí es donde el excelente libro de Danielle y Nelson desempeña una función crítica.
Microsoft Windows Server 2008: Manual de referencia es un libro indispensable para aprender
todo los pasos esenciales para la configuración de Windows Server 2008 (pero también es una
estupenda guía sobre la manera de aprovechar la virtualización de Hyper-V para transformar su
infraestructura de IP en un entorno de computación dinámico). Danielle y Nelson han infundido
su visión del tiro al blanco en el libro, explicando no sólo los usos prácticos de esta tecnología,
sino también la manera de pensar estratégicamente acerca de la virtualización con Windows
Server 2008.
—David Greschler
Director, Integrated Virtualization Strategy, Microsoft Corporation
Agradecimientos
G
racias a nuestros clientes por ayudarnos a trabajar con ellos para aprender a crear, con
tecnologías de Windows Server, redes que son mejores y completamente funcionales.
Además, gracias a las organizaciones que participaron con nosotros para dar forma a las
tareas administrativas que aparecen en el capítulo 13. Esta lista de tareas se ha usado como base
de un curso de capacitación durante más de cuatro años. Gracias a los asistentes a los cursos por
sus útiles e informados comentarios.
Juntos, hemos creado un libro que debe ayudarle, de una vez por todas, a obtener el control
de los desafiantes entornos Windows que parecen poblar el mundo.
Gracias a Bob Kelly por sus diligentes esfuerzos en corregir las pruebas de nuestro libro y
asegurarse de que su contenido técnico fuera lo más correcto posible.
Gracias a David Greschler por apartar tiempo de su ocupado calendario para revisar y co-
mentar este trabajo.
Gracias al equipo editorial y de preparación, sobre todo a Lisa McCoy por su ojo de águila
en la edición, a Madhu Bhardwaj y Patty Mon por una maravillosa experiencia en la preparación,
y a Jane Brownlow y McGraw-Hill por darnos la oportunidad de ayudar a los profesionales de la
tecnología de la información de todo el mundo mediante este libro.
xix
Introducción
I
magine un cautivador ambiente alpino, una pequeña villa asentada entre las montañas de la
costa del Pacífico. Dos planicies corren desde la base de las montañas (una hacia Blackcomb
y otra hacia Whistler); ambas ofrecen algunos de los mejores lugares para esquiar en el Oeste
de Canadá y una solitaria cantina localizada en la base de ambas montañas, el Longhorn Saloon.
Aquí, los esquiadores vienen a descansar después de practicar este deporte todo el día, y éste es
el ambiente donde el software que se está preparando para implementar, Windows Server 2008,
fue bautizado con su primer nombre “Longhorn” Server.
Microsoft ha logrado que su sistema operativo Windows se convierta en el más popular del
planeta, a pesar de los mejores esfuerzos de la competencia. Esto se aplica tanto a los sistemas
operativos de escritorio como de servidor. Ahora, con el lanzamiento de una nueva versión de su
sistema operativo de servidor insignia, Windows Server 2008 (WS08), Microsoft espera introdu-
cir un nuevo estándar en facilidad de uso, capacidades de administración integradas, seguridad
completa y simplicidad de implementación, además de interacción con otros sistemas operativos
como UNIX y Linux. No se equivoque: Microsoft ha invertido mucho en WS08 y ha entregado
una base firme como roca para cualquier red.
WS08 se basa en Windows 2000, Windows Server 2003 (WS03) y Windows Server 2003 R2
para proporcionar un conjunto completo de funciones y funcionalidades para redes cableadas e
inalámbricas de todos los tamaños. La mayoría de ustedes ya debe estar usando una versión de
uno de los sistemas operativos antes mencionados, de modo que le resultarán familiares muchos
de los conceptos de este libro, como Active Directory, directivas de grupo, consola de administra-
ción de Microsoft (MMC, Microsoft Management Console) y otras tecnologías de administración
de los modernos sistemas operativos de servidor de Windows. Si, por alguna razón desconocida,
aún está trabajando con Windows NT, este libro también le resultará muy útil, porque incluye va-
rios capítulos en que se revisa información crítica como el diseño de Active Directory y la utilidad
de las directivas de grupo.
Debido a que WS08 es un sistema operativo de servidor, este libro está estructurado alrede-
dor de la estrategia que se debe usar para construir una red desde la base, dependiendo de las
más recientes y estupendas características ofrecidas por el nuevo sistema operativo. Por ello, está
dividido en siete partes, cada una concentrada en un aspecto de la implementación de un nuevo
sistema operativo de servidor. Éstas son las partes:
• Parte I: Recorra Windows Server 2008, que cubre el nuevo conjunto de características de
Windows Server 2008, además de los cambios a la interfaz integrados en el sistema operativo.
• Parte II: Planee y prepare, que le ayuda a planear su migración a su red y comienza el proce-
so de preparación del servidor mediante la descripción de las nuevas capacidades de creación
de imagen y puesta en funcionamiento en WS08.
xxi
xxii Windows Server 2008 Manual de referencia
• Parte III: Diseñe las reglas del servidor, que proporciona directrices para la elaboración de
servicios de red como Active Directory, Internet y conectividad remota, además de delinear la
manera en que pondrá estos servicios esenciales en funcionamiento.
• Parte IV: Administre objetos con Windows Server 2008, que delinea las estrategias de ad-
ministración que debe utilizar con WS08 para mantener y ofrecer servicios a equipos, usuarios
y servicios dentro de su red.
• Parte V: Asegure Windows Server 2008, que se concentra en los elementos de seguridad
críticos que cada red puede poner en funcionamiento para proteger los activos que contiene.
Aunque esta sección trata específicamente con la seguridad, los conceptos de seguridad de red
estándares se usan en todo el libro.
• Parte VI: Migre a Windows Server 2008, que se concentra en la manera de migrar compo-
nentes existentes de red a una infraestructura de WS08.
• Parte VII: Administre Windows Server 2008, que proporciona un conjunto muy completo
de tareas para administración diaria, semanal y mensual de una red de WS08.
La preparación de una red es un proceso complejo (incluso más ahora que Windows se en-
cuentra en su tercera edición posterior a NT). Con Windows NT, las decisiones eran relativamente
simples porque las opciones estaban limitadas. Pero con Windows Server 2008, esto ya no es así.
No es de sorprender, porque la red ha evolucionado hoy en día de ser una serie apenas acoplada de
servidores y equipos a una infraestructura integrada que proporciona y da soporte a la misión de la
organización. Este proceso de evolución no es muy diferente al del teléfono. Al principio, los siste-
mas telefónicos apenas estaban unidos. Hoy en día, los sistemas de telecomunicaciones mundiales
han convergido con sistemas de Internet y ahora son mucho más complejos y completos.
De igual manera, las redes son ahora críticas para la misión. La nueva red organizativa se ha
vuelto una infraestructura segura, estable y redundante que está completamente orientada a la
entrega de servicios de tecnología de información a su base de clientes. Estos servicios pueden
ir desde simples sistemas de archivos e impresión hasta complejos sistemas de autentificación,
entornos de colaboración o servicios de aplicaciones. Además, estos servicios pueden estar dispo-
nibles para dos diferentes comunidades de usuarios: usuarios internos, sobre los que ya tiene un
control completo de la PC, y usuarios externos, sobre los que tiene poco o nulo control.
Por esto es que mover o migrar a Windows Server 2008 se parece más a un proyecto de diseño
de infraestructura de red que a uno que trate simplemente con la actualización a una nueva tec-
nología. Cada vez que cambia a una tecnología que es crítica, como el sistema operativo de su red,
resulta importante, si no esencial, utilizar un proceso completo, que incluya los siguientes pasos:
1. Empiece por revisar las necesidades y los requisitos de la organización. ¿Han cambiado desde
que se diseñó la red original? ¿Hay nuevos requisitos definidos por las reglas o los entornos
de negocios cambiantes? ¿Han surgido nuevas tecnologías que afectan la manera en que fun-
ciona su organización? La respuestas a estas preguntas esenciales servirán como la informa-
ción inicial en su nuevo y actualizado diseño de red.
2. A continuación, revise las características y capacidades del nuevo sistema operativo. Windows
Server 2008 incluye cientos de nuevas características y funcionalidades, en comparación con
sus predecesores, pero, como resulta inevitable, no todas pueden aplicarse a su situación.
Durante esta revisión, necesita identificar cuáles características son aplicables (antes que nada)
a su organización y (en segundo lugar) aplicables a una red del tamaño de la suya. No le será
útil gastar tiempo en características que simplemente nunca se usarán en una red corporativa
porque están dirigidas a usuarios caseros.
Introducción xxiii
3. Después comprender por completo lo que utilizará del nuevo sistema operativo, vaya al di-
seño de una arquitectura más completa de los nuevos servicios que quiera aprovechar. WS08
ofrece muchas características que cambiará la manera en que trabaja (características como
soporte completo a IPv6, rediseño de la pila de TCP/IP y Terminal Services mejorado tendrán
impacto en la manera en que hace las cosas hoy en día). Asegúrese de que su arquitectura
combina sus capacidades existentes con las que agregará de este nuevo sistema operativo.
4. A continuación, cree una red a prueba de concepto, que esté diseñada con la nueva arquitectura
en mente. Pruebe, pruebe y pruebe una vez más para asegurarse de que comprende por comple-
to la manera en que las nuevas características afectarán el modo en que hace las cosas hoy en día.
5. Una vez que esté familiarizado con el funcionamiento de su nueva arquitectura, pase a la crea-
ción de un plan de implementación. Este plan delineará la manera en que desea implementar las
nuevas tecnologías en su red. Dé pasos pequeños y concéntrese en“las rutas que están al alcance”
o las características que cuesta poco implementar pero proporcionan beneficios más inmediatos.
6. Asegúrese de que su plan de implementación incluye una estrategia apropiada, dependiendo
primero de proyectos piloto, y luego pasando a una implementación completa. Los proyectos
piloto le ayudarán a planchar cualquier deficiencia en la planeación de la implementación, de
modo que no omita este paso importante.
7. Por último, asegúrese de que su plan de implementación incluye mucho tiempo para el admi-
nistrador del sistema, la ayuda de escritorio y la capacitación de los operadores. Estas personas
son las que harán que su migración sea un éxito o un fracaso, de modo que no escatime los
esfuerzos para apoyarlos durante la migración.
El hecho de alinear un proyecto de esta magnitud con las estrategias de negocios de la
organización hará que la transición se acepte con mayor facilidad y que la organización como
un todo obtenga mayores beneficios. Son demasiadas las organizaciones que no logran obtener
beneficios de una red estructurada porque nunca se han tomado el tiempo de dar cada uno de
sus pasos. Como resultado, no obtienen beneficios al máximo potencial o rendimiento de su red.
En realidad, la planeación y preparación para implementar Windows Server 2008 debe constar
de 80% de planeación, preparación y prueba, y 20% de implementación. Usamos esta regla para
destacar la importancia de preparar y probar antes de implementar. Lo garantizamos. Si utiliza el
proceso de 80/20 delineado en este libro, su red se ejecutará. Es tan simple como eso. Se aplica sin
importar si su organización tiene uno o un millón de usuarios. Si su organización sólo incluye uno,
aún querrá tomarse el tiempo de preparar apropiadamente, pero tal vez no el de invertir en los
procedimientos de automatización; aún querrá contar con los procedimientos operativos estándar,
pero tal vez no incluirá una serie de técnicas y arquitecturas para validarlos; y aún querrá diseños
basados en modelos arquitectónicos, pero no tendrá el tiempo de crearlos.
La construcción de una red con Windows Server 2008 incluye el diseño de la arquitectura de
red y su procedimiento de implementación mientras identifica oportunidades para los procedimien-
tos operativos estándar y depende de ellos. La infraestructura de red está dividida en áreas de entre-
ga de servicios específicos que deben estar soportadas por una estructura para la administración y el
manejo de la red. Para cada aspecto de esta infraestructura, es esencial tener una comprensión com-
pleta de las características que WS08 ofrece en esta área. También es importante identificar cuáles de
estas características ofrecen el mejor escenario de relación costo-beneficio para la empresa.
Por ejemplo, en nuestra opinión, muy pocas organizaciones de hoy en día pueden vivir sin
Active Directory. En el caso de organizaciones de todos los tamaños, siempre es mejor tomarse
el tiempo de centralizar todos los servicios de autentificación y autorización que mantenerlos
xxiv Windows Server 2008 Manual de referencia
distribuidos mediante el uso de grupos de trabajo, porque si se requiere un cambio, sólo tendrá que
hacerse en un lugar central. Por tanto, la organización que requiere una infraestructura de red en el
nivel del negocio no invertirá en grupos de trabajo; invertirá directamente en Active Directory, omi-
tiendo por completo los grupos de trabajo. Este acercamiento a nivel de negocio es uno de los que
usará en todo este libro como un esfuerzo por facilitar su implementación de Windows Server 2008.
SUGERENCIA El propio Microsoft admite que la mayoría de sus clientes tienden a migrar a una
nueva red en lugar de realizar una actualización. Como tal, este libro es el único en el mercado que le
proporciona una implementación completamente planeada y detallada de la red paralela.
Introducción xxv
Para alcanzar este objetivo, el libro está dividido en siete partes, cada una construida sobre
los conceptos de la parte anterior para cubrir finalmente todos los elementos necesarios para
construir su nueva red. El concepto central de este libro es concentrarse en características de ne-
gocios (sólo las que son relevantes para un entorno de negocios). Windows Server 2008 no está
orientado al hogar, pero si quiere utilizar este poderoso sistema operativo para construir una red
casera, busque las recomendaciones para redes de pequeños negocios que se delinean en todo
el libro. De igual manera, las organizaciones medianas y grandes encontrarán recomendaciones
para implementaciones que cubrirán sus necesidades.
NOTA En este libro no se cubre la edición basada en Itanium, por razones obvias. Nuestra instala-
ción de prueba no puede hospedar un servidor Itanium, pero si trata de usar esta versión, encon-
trará que tiene una gran similitud con las ediciones x64 de Windows Server.
Versiones de 32 y 64 bits
Varias ediciones de Windows Server 2008 dan soporte a procesadores de 32 y 64 bits. En realidad,
esas decisiones darán soporte a procesadores x64 e IA64. En este libro se cubren los procesadores
de 32 bits, a los que se les denomina x86, y de 64 bits o x64. IA64 está basada en el microchip Ita-
nium de Intel. Itanium es un procesador de equipo de conjunto reducido de instrucciones (RISC,
Reduced Instructions Set Computer), y aunque está en uso en organizaciones muy grandes,
tiene muy poco seguimiento. Como tal, no se cubre en este libro; sin embargo, como ofrece, en
esencia, las mismas capacidades que otras versiones de WS08, las directrices de este libro aún se
aplicarán a esta versión de Windows Server.
Por otra parte, x64 ofrece la evolución más importante en cómputo desde el lanzamiento de
los procesadores de 32 bits. Debido a la naturaleza exponencial de la tecnología de microchip, 64
bits en realidad ofrece significativamente más capacidad de procesamiento que la simple duplica-
ción de la capacidad de 32 bits. De acuerdo con Bill Gates, la llegada de la computación de 64 bits
Introducción xxvii
romperá todas las barreras que enfrentamos hoy en día. Eso debe ser cierto. Algo es verdad: las
máquinas x64 proporcionan mucha más capacidad que las x86. Ejecutan una serie de procesado-
res diferentes de los fabricantes de dos microprocesadores: de AMD, el Opteron o el Athlon 64, y
de Intel, el Xeon de 64 bits o el Pentium con EM64T. Lo que resulta estimulante acerca de estos
procesadores es que son más accesibles que los sistemas I64. Además, tiene una variedad mucho
mayor de sistemas operativos para elegir: Windows Vista edición de 64 bits, además de Windows
Server 2008, ediciones Standard, Enterprise y Datacenter.
Hay dos maneras de trabajar con sistemas X64: ejecutar software nativo de 64 bits o ejecutar
software compatible pero que se ejecuta en modo de 32 bits. Podría pensar que, debido a que las
versiones x64 de Windows Server y Windows Vista sólo llevan poco tiempo, no habría gran cantidad
de aplicaciones disponibles para estas versiones del sistema operativo. Pero ése no es el caso. De
acuerdo con el sitio Web de Microsoft (visite el catálogo de servidor de Windows de productos proba-
dos en www.windowsservercatalog.com), hay cientos de aplicaciones que se ejecutan en modo x64
nativo y hay más por llegar. Además, algunas más pueden ejecutarse en modo compatible de 32 bits.
Pero, ¿cómo mide las ventajas de x64? Lo primero que notará es que todo (sí, todo) se eje-
cuta más rápido. Esto es lo que esperaría, pero resulta sorprendente ver que incluso aplicaciones
que no están diseñadas para el sistema x64 se ejecutan más rápido. Al igual que con la versión
de 32 bits del sistema operativo, x64 se ejecuta en una sesión especial de Windows en Windows
(WOW, Windows On Windows) proporciona mejor rendimiento que los sistemas de 32 bits nati-
vo. ¿Por qué es esto? Debido a las limitaciones que finalmente rompe x64.
Antes, con un sistema de 32 bits, necesitaba utilizar por lo menos Windows Server 2003
Enterprise Edition para obtener acceso a más de 4 gigabytes (GB) de memoria de acceso directo
(RAM, Random Access Memory) y luego agregar el interruptor /PAE (Physical Address Expan-
sion, expansión de dirección física) al archivo Boot.INI que controla la manera en que se lanza
el sistema operativo. Aunque esto le da acceso a más de 4 GB de RAM, sólo engaña al sistema,
porque, en primer lugar, una máquina de 32 bits está limitada al espacio de direcciones de 4 GB.
Con x64, esta limitación cambia a 32 GB para Windows Vista y la edición estándar de Windows
Server, pero salta hasta 1 terabyte (TB) cuando se ejecutan las ediciones más avanzadas del siste-
ma operativo Windows Server. Además, hay menos dependencia del archivo de páginas para la
expansión de memoria virtual en un sistema de 64 bits. Esto significa menos actividad en disco
para aplicaciones que ocupan mucha memoria.
Éstos no son los únicos beneficios de x64. También proporciona entrada y salida más rápida
(E/S) porque puede aprovechar bloques de datos más grandes. Proporciona mayores velocidades
de transferencia de datos porque ejecuta procesos más concurrentes. Pueden establecerse más
conexiones de cliente para un servidor determinado, rompiendo los límites de 32 bits del proto-
colo de control de transmisión/protocolo de Internet (TCP/IP). En realidad, Microsoft establece
que ha podido reducir en gran medida el número de servidores que ejecutan Microsoft Update,
el sitio Web que proporciona descargas de parche, porque cada servidor de 64 bits puede mane-
jar una cantidad mucho mayor de conexiones por servidor. Pero estos cambios en el sistema de
archivos tienen un impacto. Por ejemplo, su herramienta de copia de seguridad y restauración de
terceros de 32 bits no funcionará con una máquina de 64 bits porque el controlador de archivo de
E/S es completamente diferente de la versión de 32 bits.
Hoy en día, no todo funciona en máquinas x64, aunque algunas aplicaciones sólo se ejecutan
en plataformas x64. Un buen ejemplo es Microsoft Exchange Server 2007; sólo se ejecuta en el
modo de 64 bits.
xxviii Windows Server 2008 Manual de referencia
Ésta es exactamente la manera en que se introdujeron las máquinas de 32 bits. Una cosa es se-
gura: lo que funcione en 64 bits siempre se ejecutará más rápido. Nuestro consejo es que si necesita
mayor rapidez y sabe que sus aplicaciones centrales están listas para ejecutarse en x64, dé el paso
siguiente. Los costos no están demasiado lejos de los de los sistemas de 32 bits, y las ventajas son
de largo alcance. Si está comprando hardware hoy en día y quiere que dure, compre máquinas x64.
• La nueva versión del bloque de mensajes de servidor (SMB, Server Message Block) versión 2.0
proporciona mejor rendimiento entre Vista y WS08, además de autentificación mutua.
• Terminal Services ejecutándose en Windows Server 2008 puede proporcionar a los clientes de
Vista acceso a aplicaciones mediante la puerta de enlace de protocolo de transferencia del hi-
pertexto (HTTP, Hypertext Transfer Protocol). Además, las aplicaciones remotas trabajarán de
manera transparente, permitiendo que los usuarios crean que en realidad utiliza aplicaciones
locales.
Éstas son sólo algunas de las características y beneficios que obtendrán los usuarios de WS08
y Vista. Además, hay una mayor cantidad de configuraciones de directiva de grupo que sólo están
disponibles entre las dos versiones actualizadas de Windows. Por último, ambas utilizan la nueva
interfaz y dependen del mismo acceso a recursos mediante capacidades de búsqueda integradas.
Si quiere obtener lo máximo de su nueva red de WS08, debe considerar seriamente el trabajo con
Vista como cliente.
SUGERENCIA Para conocer más información acerca de la migración a Windows Vista, busque el
libro electrónico gratuito The Deinitive Guide to Vista Migration, por Ruest y Ruest, en
www.realtime-nexus.com/dgvm.htm.
SUGERENCIA Para conocer más información acerca de Windows Server 2008, utilice la guía de
supervivencia de documentación de Windows Server 2008 en Microsoft TechNet en http://technet2.
microsoft.com/windowsserver2008/en/library/6c504a47-4a82-459f-8755-fe59630f4e1d1033.mspx.
• Elevada disponibilidad Las cargas de trabajo virtuales pueden moverse de un host físico a
otro cuando sea necesario, asegurando que el ofrecimiento de servicios virtuales siempre esté
disponible para usuarios finales.
• Optimización de recursos Al emplear cargas de trabajo virtuales, puede asegurar que logra
lo máximo de sus recursos de hardware en su centro de datos. Si un ofrecimiento virtual no
tiene recursos suficientes, se dispara otro host de hardware y se mueve a ese host, proporcio-
nando los recursos necesarios cuando la carga de trabajo lo exija.
• Escalabilidad La virtualización proporciona un nuevo modelo de escalabilidad. Cuando
su carga de trabajo aumenta, puede agregar los recursos físicos necesarios y controlar el creci-
miento de una manera completamente nueva.
• Capacidad de servicio Debido a las características integradas de virtualización, sus hosts
pueden mover una carga de trabajo virtual de un host a otro con poca o nula interrupción para
los usuarios finales. Esto proporciona nuevos modelos de capacidad de servicio donde puede
administrar y mantener sistemas sin tener que causar interrupciones de servicio.
• Ahorros en costos Al adoptar la virtualización, obtendrá ahorros en reducciones de hard-
ware, consumo de electricidad y costos de licencias.
El resultado es menos hardware que administrar y un centro de datos más pequeño y
ecológico.
FIGURA 1
Motores de máquina virtual
de hipervisor pagado en
comparación con gratuito.
SUGERENCIA Para conocer más información sobre los beneicios de la consolidación y optimización
de servidores, descargue una presentación llamada “Consolidation Roadmap-Improving Your
Infrastructure” (Mapa de consolidación: mejoramiento de su infraestructura), de www.reso-net.
com/presentation.asp?ms=7. Microsoft también ofrece directrices para la planeación y el diseño
de la virtualización, sobre todo la manera de decidir cuáles tecnologías de Windows virtualizar en
http://technet.microsoft.com/en-us/library/bb969099.aspx.
• La única instalación que no es una máquina virtual es la del servidor host. Es fácil llevar regis-
tro de esa instalación, porque es diferente.
• Toma alrededor de 20 minutos aprovisionar una máquina virtual basada en una instalación de
servidor, mucho menos que en una instalación física.
• La creación de una máquina virtual de origen es más fácil que la de una instalación física de
origen, porque sólo tiene que copiar los archivos que integran la máquina virtual.
• La diferencia entre una instalación “física” tradicional y una virtual es la cantidad de recursos
que proporciona la máquina virtual que se ejecuta sobre el hipervisor.
• Todas las copias de seguridad son iguales (cada máquina es sólo una colección de archivos,
después de todo). Además, puede aprovechar el servicio de instantánea de volumen para pro-
teger cada máquina virtual.
• Todas las operaciones de ofrecimiento de servicios son iguales porque cada máquina es virtual.
• Debido a que todas las máquinas son virtuales, son transportables y pueden moverse fácil-
mente de un host a otro.
• Debido a que las máquinas virtuales están basadas en un conjunto de archivos, puede re-
plicarlas a otros servidores, proporcionando un medio rápido y fácil de recuperar en caso de
desastre. Conocerá más sobre esto en el capítulo 11.
• Puede segregar los entornos físico y virtual, dándoles diferentes contextos de seguridad y
asegurando que estén protegidos todo el tiempo.
• Puede monitorear cada instancia de sus instalaciones “físicas” y, si no está usando todos los
recursos que le ha asignado, puede volver a calibrar rápidamente y hacer un mejor uso de sus
recursos físicos.
• Cada nueva característica puede probarse en máquinas virtuales de un laboratorio antes de
ponerlas en producción. Si el proceso de aseguramiento de la calidad es lo suficientemente
detallado, aún puede mover la máquina virtual de laboratorio a producción en lugar de re-
construir el servicio por completo.
• Ejecute lo último en centros de datos virtuales, porque todos los sistemas son virtuales y los
sistemas hosts no son sino almacenes de recursos.
Con esto en mente, este libro divide las tareas de preparación de su red en tareas de almace-
nes de recursos y de ofrecimientos de servicios virtuales. Para facilitar esto, en la parte interior de
la portada se incluye una tabla de contenido de almacenes de recursos que le permiten ir directa-
mente al contenido que le ayudará a preparar los recursos de hardware. Esto le facilita el paso al
centro de datos dinámico.
el presupuesto; de otra manera, nunca podrá completar el proyecto a tiempo. Además, si renueva
una casa al mismo tiempo que está trabajando, encontrará que si el proyecto no se administra
apropiadamente, afectará su capacidad para seguir generando ingresos (ingresos que son, por
supuesto, necesarios para pagar el proyecto). De igual manera, cuando quiera implementar un
nuevo sistema operativo, tendrá que asegurarse de que las operaciones actuales siguen funcio-
nando sin problemas y que no lo sobrecargan ni lo alejan de su nueva implementación.
Por eso es que debe ejecutar esta implementación como un proyecto y asegurarse de que
su equipo de proyecto incluye a todos los jugadores correctos. Éstos deben concentrarse por lo
menos en dos grupos: uno que trabajará en la elaboración de la arquitectura de red y uno que
se concentrará en la preparación de procedimientos de instalación y realizará la instalación. El
equipo de proyecto técnico debe incluir arquitectos, administradores de sistema, instaladores,
representantes del usuario, personal de soporte, desarrolladores y administradores de proyecto,
o por lo menos personal cuyas funciones les permitan ponerse estos sombreros en la organiza-
ción. Debe asegurarse de incluir a la administración actual y al personal de operaciones en este
proyecto. Esto le ayudará a recuperar lo mejor de la red existente y a aprender más acerca del
nuevo sistema operativo que pronto estarán usando. Dependiendo de su organización, podría
considerar la contratación de personal de reemplazo para liberar a su personal para trabajar en
este proyecto.
Además, necesita asegurarse de que incluirá a los accionistas correctos. No tenerlos puede
ser tan desastroso como no tomar las decisiones técnicas correctas.
Por último, la administración de un proyecto de esta magnitud puede ser compleja y dar la
impresión de que nunca termina, a menos que lo estructure apropiadamente. Para facilitar el
proceso, cada capítulo se ha diseñado para ayudarle a estructurar las actividades técnicas nece-
sarias para realizar la migración. Esto no significa que cada capítulo necesita atenderse en orden
secuencial. Aunque esto es posible, e incluso apropiado en algunos casos, en organizaciones muy
grandes sería estrechar inapropiadamente el cronograma del proyecto. Algunos capítulos requie-
ren la participación de todo su equipo de proyecto técnico, pero otros no porque están concen-
trados en áreas específicas de la experiencia técnica.
En la figura 2 se ilustra una distribución de cronograma de ejemplo de las actividades nece-
sarias para migrar a este sistema operativo. Le permite dividir al equipo de proyecto técnico en
subgrupos apropiados para acortar el cronograma general del proyecto mientras aún se logra su
objetivo: hacer la mejor implementación posible para que todos puedan obtener beneficios de
un entorno de red mejorado. Se analizará más sobre este cronograma en las partes apropiadas
de este libro. Tome nota de que este cronograma se concentra en los ofrecimientos de servicios
virtuales o los servicios con los que interactuarán sus usuarios finales.
También necesita probar cada nuevo servicio que implemente. Debido a que está moviéndo-
se al centro de datos dinámico, podrá facilitar el proceso de prueba. Utilice la siguiente estrategia:
• Empiece por construir un conjunto central de recursos de hardware. Utilice, para ello, la tabla
de contenido Almacenes de recursos.
• Utilice este conjunto central de recursos como base para su laboratorio de prueba, y empiece a
crear los ofrecimientos de servicios virtuales que necesita sobre este almacén de recurso central.
• Si comete errores, utilice la característica de instantáneas de Hyper-V de Windows Server para
deshacer los cambios que haga a las máquinas virtuales o simplemente elimine la máquina
virtual y vuelva al principio.
xxxiv Windows Server 2008 Manual de referencia
• Cuando sienta que todo es correcto, mueva la máquina virtual que hospeda el nuevo servicio
a la nueva red de producción. En casi todos los casos, podrá simplemente mover la máquina
virtual en lugar de tener que volverla a crear.
Pronto se familiarizará con el concepto de trabajar con almacenes de recursos y ofrecimien-
tos de servicios virtuales, y una vez acostumbrado, nunca regresará.
Siga adelante
¡Comencemos el viaje! Mientras lee el libro, aprenderá no sólo lo que hace que WS08 funcione,
sino también cómo obtener lo máximo de sus capacidades. Recuerde que debe depender de los
procesos delineados en este libro y obtener lo máximo de su migración de red. Hágalo de manera
correcta. Pruebe todo e implemente sólo cuando esté completamente satisfecho con los resulta-
dos. ¡Está en camino de la creación de una magnífica red!
PARTE
I
Recorrido por CAPÍTULO 1
Introducción a Windows
E
sta sección sirve para preparar a los administradores de
sistema para Windows Server 2008. Aprenderá qué es-
perar de esta nueva versión de Windows Server. También
atiende la estructura central del libro: una división acorde con
el tamaño de la organización en que se encuentra y una divi-
sión acorde con el proceso de implementación de los nuevos
ofrecimientos de servicios de red basados en Windows Server
2008. Esta sección le ayuda a identificar cuáles características
cubren mejor las necesidades de su organización.
CAPÍTULO
1
Introducción a Windows Server 2008
M
icrosoft hizo algunos avances importantes con la versión de Windows Server 2003.
Esta versión de Windows Server se volvió la versión insignia porque resultó estable,
confiable y estaba disponible en varias configuraciones diferentes. Se volvió aún más
confiable cuando Microsoft lanzó la versión R2.
Ahora, con el lanzamiento de Windows Server 2008 (WS08), Microsoft está haciendo más
avances, porque esta versión proporciona capacidades mucho más robustas e integradas. Cons-
truida con base en Windows Vista, WS08 incluye muchas de las características que hicieron que
este sistema operativo cliente sea el mejor del mercado. Pero WS08 es un sistema operativo de
servidor: como tal, su mercado no es el usuario casero, sino los negocios y las empresas de todo
el mundo. Por eso la audiencia principal para este libro es el administrador de sistemas, trátese
del responsable de todas las tareas de administración del sistema o de un miembro del equipo de
administración del sistema dentro de una empresa grande.
Nuestro consejo es que ¡preste atención a la estructura de este libro! Cubre migraciones para
redes existentes y nuevas instalaciones de red. Con nuestros libros anteriores, hemos desarro-
llado una tecnología probada para implementaciones del sistema de servidor, además de admi-
nistración del sistema. Esta metodología depende de la planeación y selección cuidadosa de los
conjuntos de características, la preparación y prueba completa y luego, finalmente, la implemen-
tación de los conjuntos de características seleccionados. Cuando utilice este método, tendrá una
oportunidad mejor que el promedio de tener una implementación sin defectos, que se ejecutará
sin problemas y que operará como se espera. Demasiados operadores se precipitan en la instala-
ción y la implementación sin una planeación apropiada, y luego necesitan depender de libros de
detección y solución de problemas para probar y reparar o parchar el sistema que implementaron
sin una guía apropiada. ¡Este libro no es de ese tipo! Aquí se delinean explicaciones detalladas
de cada característica de Windows Server 2008, y luego se proporcionan guías sobre la manera
de implementarlas. Debido a que no trabajamos para Microsoft, no tenemos que proporcionar
información de cada posible situación de instalación. En cambio, aportamos recetas conocidas:
recetas que se ha comprobado que funcionan cuando quiere usar un conjunto de características
específico. Si usa los métodos recomendados que delineamos, entonces cubrirá algunos objetivos
específicos que le darán beneficios muy atractivos.
Hemos reunido retroalimentación sobre nuestros métodos a través de varios cursos y confe-
rencias en los últimos años, además de la interacción directa con los clientes.
3
4 Parte I: Recorrido por Windows Server 2008
Esta retroalimentación prueba que cuando los administradores del sistema dependen de
nuestras prácticas de administración, finalmente obtienen control sobre su calendario y no
trabajan en modo reactivo todo el tiempo. En muchos casos, sólo realizan trabajo adicional en
situaciones muy especiales, no de manera regular, como muchos administradores hacen hoy en
día. ¿No es un objetivo que vale la pena?
características que considera que se aplican a su organización, que descargue nuestro documento
y que elimine o por lo menos indique cuáles características no se aplican a su organización. Esto
facilitará en gran medida su implementación y lo pondrá en una buena posición en la ruta para la
PARTE I
migración o el diseño de la nueva red.
NOTA En realidad, el primer paso que debe atender cuando cambia de sistema operativo de servi-
dor es revisar los objetivos de su negocio para asegurarse de que las selecciones que haga estarán
alineadas con sus necesidades. La manera de hacer esto queda fuera del alcance de este libro, pero
hemos escrito una serie de artículos sobre el tema del desarrollo de una arquitectura de empresa y
la identiicación de las necesidades del negocio. Puede encontrar estos artículos en www.reso-net.
com/articles.asp?m=8, bajo el encabezado “Architectures”. Esto le ayudará en gran medida a
delinear la información que necesita acerca del negocio antes de seguir adelante.
• Las organizaciones grandes son las que tienen diez sitios o más. En este caso, las organizacio-
nes necesitan redes más complejas y a menudo dependerán de servicios que no son necesa-
rios para los dos tamaños de organización anteriores.
Las organizaciones pequeñas tienen todos los requisitos de una red básica y, por lo general,
implementarán una serie de tecnologías, incluidos servicios de directorio y de correo electrónico,
intercambio de archivos e impresoras, además de servicios de base de datos y de colaboración.
Aunque la organización incluya un número muy pequeño de personas, estos servicios serán a
menudo la esencia de cualquier sistema de productividad de red. Por esto, es mejor para este tipo
de organización usar Windows Small Business Server 2008 (SBS08), porque es menos costoso
e incluye aplicaciones más completas para servicios de correo electrónico y base de datos. No
obstante, algunas organizaciones optan por Windows Server 2008, porque no se sienten cómodas
con las limitaciones que Microsoft ha impuesto en la edición Small Business Server. Por ejemplo,
siempre es mejor y más simple tener al menos dos controladores de dominio ejecutando el servi-
cio de directorio, porque se convierten automáticamente en copias de seguridad mutuas. SBS08
sólo puede tener un servidor en la red y, por tanto, no puede ofrecer este nivel de protección
para el servicio de directorio. Es una razón por la que algunas organizaciones pequeñas optan
por Windows Server 2008, aunque sea más cotoso al principio. Sin embargo, consciente de esta
necesidad, Microsoft está lanzando Windows Essential Business Server 2008 (WEBS) como un
ofrecimiento de servidor de varios componentes para estas organizaciones. WEBS está integrado
por tres instalaciones de servidor:
• Windows Essential Business Server Management Server Para administrar centralmente
la red WEBS, además de la colaboración entre trabajadores y servicios de red.
• Windows Essential Business Server Security Server Para administrar seguridad, acceso a
Internet y conectividad de trabajador remoto.
• Windows Essential Business Server Messaging Server Para proporcionar capacidades de
mensajería.
Las organizaciones medianas enfrentan el desafío de tener que interconectar más de una
oficina. Mientras las organizaciones pequeñas tienen la protección de estar en un solo lugar, las
organizaciones de tamaño mediano necesitan usar Internet como puente para conectar los sitios.
Esto introduce cierto nivel de complejidad.
NOTA Los sitios secundarios pueden tener o no personal administrativo en el sitio. Esto aumenta la
complejidad de trabajar con sitios remotos y administrarlos.
Las organizaciones grandes tienen redes mucho más complejas que proporcionan servicios
internos y externos. Además, necesitan interoperar en varios idiomas y a menudo tendrán que
administrar aplicaciones desarrolladas internamente. Es probable que las organizaciones grandes
tengan sitios remotos conectados a niveles variables de velocidad y confiabilidad: red digital de
servicios integrados (ISDN, Integrated Services Digital Network) o marcado telefónico. Desde el
punto de vista de Windows, esto necesita una replicación planeada y posiblemente una arquitec-
tura basada en el sistema de archivo distribuido (DFS, Distributed File System). Por esto, incluyen
muchos tipos de servicios más que las organizaciones pequeñas o medianas.
Capítulo 1: Introducción a Windows Server 2008 7
Este libro atiende las necesidades de cada tipo de organización. Cuando se atiendan las
características esenciales de la red, se aplicarán a todos los niveles de organización, porque deben
usarse las mejores prácticas para implementaciones de servicio de red sin que importe el tamaño
PARTE I
de su organización. Los temas relacionados con la interconexión atenderán las complejidades de
las redes medianas a grandes y, por último, las funcionalidades de red avanzadas atenderán las
necesidades de organizaciones muy grandes. Si encuentra que su organización no cabe en esta
tendencia, depende de la información proporcionada por los otros tipos de organización para
complementar los requisitos de configuración de la red.
NOTA La operación de los Servicios de dominio de Active Directory (Active Directory Domain
Services) depende del sistema de nombres de dominio (DNS, Domain Name Services). Por tanto,
cualquier instalación de ADDS requerirá por lo menos que un servidor se ejecute en el servicio
DNS. Observe que, en instalaciones de ADDS a pequeña escala, se le pedirá automáticamente que
realice una instalación simple de DNS.
ciones por lo general optan por un servicio de correo electrónico profesional, como el propor-
cionado por Microsoft Exchange Server.
• Servicios de copia de seguridad y restauración Todas las organizaciones querrán usar Co-
pia de seguridad de Windows para proteger sus sistemas, tanto en el nivel de datos como en
el del sistema operativo. La nueva herramienta Copia de seguridad de Windows Server 2008
proporciona protección a ambos.
Éstos con frecuencia integran los servicios básicos que requieren casi todas las organizaciones.
Como opción, incluso las organizaciones pequeñas también dependerán de los siguientes servicios:
• Servicios de irewall Cualquier organización que tenga una conexión con el mundo exter-
no mediante Internet querrá asegurarse que está completamente protegida. La única manera
de hacerlo es implementando un servicio avanzado de firewall.
• Servicios de fax Windows Server 2008 puede proporcionar servicios de fax integrados, libe-
rando a las organizaciones de la necesidad de una máquina de fax convencional.
• Terminal Services Terminal Services (TS) proporciona la capacidad de ejecutar aplicaciones
en un servidor en lugar de hacerlo en la estación de trabajo del usuario. La ventaja de esto es
que las organizaciones sólo necesitan administrar aplicaciones en un lugar central. Además, con
Windows Server 2008, el uso de las aplicaciones de TS es completamente transparente para los
usuarios finales, porque parece como si estuvieran trabajando en la máquina local.
PRECAUCIÓN Las aplicaciones de Terminal Service no son apropiadas para usuarios móviles o
desconectados porque no ofrecen ningún tipo de caché fuera de línea. Por tanto, cuando el usuario
está desconectado, no tienen acceso a las aplicaciones de TS.
• Hyper-V Es el servicio esencial del nuevo centro de datos. Soporta la virtualización de todos
los otros ofrecimientos de servicio. Está instalado en todo el hardware, y todos los demás ser-
vicios están instalados dentro de máquinas virtuales.
• Servicios de acceso a red (NAS) Con la proliferación de las oficinas caseras, cada vez son
más las organizaciones que dependen de los servicios de acceso a red, como las redes privadas
virtuales (VPN, Virtual Private Network), para dejar que los trabajadores caseros accedan a la red
de la corporación mediante conexiones comunes a Internet basadas en red.
• Servicios de implementación Con el advenimiento de los nuevos Servicios de implemen-
tación en Windows Server 2008, muchas organizaciones querrán aprovechar esta característica
para volver automática la instalación y la implementación de máquinas de Windows XP y
Windows Vista. Las organizaciones más grandes querrán definitivamente usar estos servicios
para desplegar servidores además de estaciones de trabajo.
• Windows Server Update Services Con la proliferación de ataques a sistema de todo tipo,
organizaciones de todos los tamaños querrán asegurarse de implementar un sistema para
mantener todos sus equipos (estaciones de trabajo y servidores) actualizados en toda ocasión.
Windows Server Update Services (WSUS) no es parte de WS08, pero es gratuito y puede obte-
nerse en www.microsoft.com/windowsserversystems/updateservices/downloads/WSUS.mspx.
Se requiere registro para obtener la descarga.
Además, cualquier organización que incluya más de un sitio necesitará asegurar que los
servicios que proporciona en un sitio están disponibles en cualquier otro. Esto se hace a través de
una serie de diferentes características, que dependen principalmente de una duplicación de los
servicios de base en sitios remotos o del uso de un mecanismo de replicación para copiar datos
Capítulo 1: Introducción a Windows Server 2008 9
PARTE I
sus organizaciones. Entre éstas se incluirán:
• Servicios de certiicados Cualquier persona que todo el tiempo quiera controlar la identidad y
asegurar que los usuarios son quienes aseguran que son, querrá aprovechar Servicios de Certificate
Server de Active Directory, un sistema de infraestructura de clave pública que proporciona certifica-
dos electrónicos a usuarios y máquinas para identificar claramente quiénes son.
NOTA Para conocer más información sobre las infraestructuras de clave pública (PKI, Public Key
Infraestructura), consulte “Advanced Public Key Infraestructure” en www.reso-net.com/articles.
asp?m=8.
Funciones de servidor
Equipo Firewall
En la figura 1-1 se proporciona la leyenda gráfica de cada uno de los servicios antes mencio-
nados. Esta leyenda se usará en todo el libro.
En la figura 1-2 se ilustra la estructura básica de una red localizada en un solo sitio. Estos
servicios se ilustran como si estuvieran en la ubicación central. Las organizaciones de tamaño
mediano necesitan duplicar algunos servicios esenciales en sitios remotos. Esto se ilustra como la
conexión de sitio remoto. Además, es posible que organizaciones tanto pequeñas como medianas
quieran implementar servicios que no son parte del núcleo sino que simplifican la administración
de sistemas y soportan productividad mejorada. Esto se ilustra como servicios opcionales.
Las organizaciones grandes agregarán más funcionalidad a su red. Esto se ilustra como
servicios empresariales. Las organizaciones que tienen más de dos sitios simplemente duplicarán
los servicios encontrados en el sitio remoto. Por último, esta ilustración muestra dónde Windows
Server 2008 proporciona funcionalidades nuevas y mejoradas. Use esto como guía para identifi-
cación de lo que quisiera agregar a su red en cuanto a servicios modernos y seguros.
Capítulo 1: Introducción a Windows Server 2008 11
PARTE I
FIGURA 1-2 Funcionalidad nueva y actualizada para Windows Server 2008 en cualquier red.
PRECAUCIÓN La igura 1-2 es una representación simplista de una red compleja. Se cubrirán ca-
racterísticas más avanzadas de cada servicio mientras avanzamos por la coniguración general de
servicios de red en todo el libro. Además, cada servicio representado aquí se ilustra con la imagen
de un servidor para ines gráicos; esto no signiica que necesita tener el mismo número de hosts
reales para cada uno de esos servicios. Varias de estas funciones pueden combinarse en el mismo
host para reducir los costos y la sobrecarga de la administración de servicios. Por último, tanto
Terminal Services como Key Management Services se han indicado como nuevos en esta imagen.
Aunque en realidad no lo son, sus nuevas características son lo suicientemente importantes como
para indicarlo así.
PRECAUCIÓN Las características y funciones descritas aquí atienden las ediciones más comunes
de Windows Server 2008. Sin embargo, la versión Itanium de WS08 no soporta todas, porque
ejecuta un subconjunto de funciones y características de WS08. Para descubrir las diferentes
funciones que soporta la versión Itanium de WS08, vaya a http://technet2.microsoft.com/
windowsserver2008/en/library/f6857978-ae92-4123-a87b-aa36cb30f3551033.mspx?mfr=true.
PARTE I
• Microsoft Management Console versión 3.0 Una consola más completa, que proporciona
acceso rápido a funciones relacionadas con la característica que se está manejando.
• Autoainación de rendimiento y diagnósticos de hardware Una nueva capacidad que
afina Windows automáticamente para mejorar el rendimiento y atiende posibles problemas de
hardware antes de que ocurran.
• Consola de rendimiento y diagnóstico Una nueva consola que centraliza todas las activi-
dades de rendimiento y diagnóstico.
• Servicios de administración de claves Un nuevo sistema de otorgamiento de licencias por
volumen interno de Microsoft.
• Hyper-V Un servicio diseñado para exponer recursos de hardware a varias instancias de
ofrecimientos de servicio virtualizados.
Cada característica se describe a continuación:
Característica Server Core
Descripción: Instala Windows Server 2008 únicamente con la funcionalidad esencial de servidor y sin interfaz gráica de usuario.
Server Core soporta un número limitado de funciones, como el servidor de protocolo dinámico de coniguración de
host (DHCP, Dynamic Host Coniguration Protocol), servidor del servicio de nombres de dominio (DNS, Domain Name
Service), servidor de archivo, servidor de impresión, servicios de directorio ligero, Hyper-V, Internet Information Servi-
ces 7 (IIS), controlador de dominio y servicios de Windows Media.
Categoría: Elementos básicos del sistema operativo
Característica: ✓ Nueva Mejora Actualización Reemplazo
Origen de la característica: ✓ WS08 Vista WS03 R2 WS03 Service Packs
Instalación: Como opción predeterminada Complemento a través del Administrador del servidor ✓ Personalizada
Aplica a: Organizaciones pequeñas Medianas ✓ Grandes
Característica reemplazada Beneficios
• Ninguna • Seguridad mejorada debido a la supericie reducida de ataque
• Sobrecarga reducida de administración
• Mantenimiento de software reducido
• Usa sólo 1 gigabyte (GB) de espacio en disco para instalación
Funciones
• La opción de instalación incluye sólo un conjunto de los archivos ejecutables y bibliotecas dinámicas de vínculos de soporte (DLL).
• La interfaz predeterminada de usuario es el indicador de comandos. Se abre una ventana de comandos como opción predeterminada.
• Server Core sólo soporta una instalación limpia. Debe instalarse usando una instalación no atendida.
• IIS 7 ofrece funcionalidad limitada en Server Core, porque no incluye .NET Framework y no puede ejecutar ASP.NET. Sin embargo,
ejecutará contenido Web estático, páginas de servidor activo (ASP, Active Server Pages) clásicas y procesador de hipertexto (PHP).
Características opcionales
• Server Core también soporta las siguientes capacidades:
• Clúster de conmutación por error
• Equilibrio de carga de red
• Subsistema para aplicaciones de UNIX
• Copias de seguridad
• E/S multirruta
• Administración de almacenamiento extraíble
• Cifrado de unidad BitLocker
• Protocolo simple de administración de red (SNMP, Simple Network Management Protocol)
• Servicios de nombres de Internet de Windows (WINS, Windows Internet Naming Services)
• Cliente de Telnet
14 Parte I: Recorrido por Windows Server 2008
Instalación: Como opción predeterminada ✓ Complemento a través del Administrador del servidor
Personalizada
Instalación: ✓ Como opción predeterminada Complemento a través del Administrador del servidor
Personalizada
(continúa)
Capítulo 1: Introducción a Windows Server 2008 15
PARTE I
• Usa tres paneles para identiicar características y componentes instalados.
• Usa el panel central para presentar listas detalladas de la característica seleccionada.
• Usa el panel de la derecha para proporcionar información basada en tareas relacionadas con la característica
seleccionada.
• El modelo extensible permite que comercializadores independientes de software agreguen funcionalidad.
Instalación: ✓ Como opción predeterminada Complemento a través del Administrador del servidor
Personalizada
(continúa)
Capítulo 1: Introducción a Windows Server 2008 17
PARTE I
• Permite a las organizaciones administrar licencias de manera más exacta.
Funciones
• Habilita Vista y Windows Server 2008 para que se activen sin necesidad de acceso externo a un sitio Web de
validación de Microsoft.
• Para operar requiere por lo menos 25 máquinas que ejecuten Vista o cinco WS08 servidores conectados de mane-
ra consistente a la red de una organización (no cuentan las instancias virtuales de sistemas operativos).
• Puede dar soporte a la activación de cientos de miles de máquinas desde un solo dispositivo KMS. Las organiza-
ciones deben tener por lo menos dos de estos dispositivos en la red, un dispositivo principal y un sistema de copia
de seguridad.
• Los clientes deben renovar la activación al conectarse al dispositivo KMS por lo menos una vez cada 180 días. Los
clientes nuevos, no activados, tratarán de ponerse en contacto con el KMS cada dos horas (conigurable) y, una vez
activados, tratarán de renovar su activación cada siete días (conigurable) para renovar su periodo de vida de 180 días.
• Si por alguna razón la copia de Windows Vista o WS08 se desactiva, ya no funcionarán las siguientes características:
• La interfaz de usuario Windows Aero ya no operará.
• Windows Defender ya no eliminará amenazas no críticas.
• Windows ReadyBoost ya no operará.
• El sitio Web Windows Update ya no proporcionará descargas.
• Windows proporcionará notiicaciones persistentes de que esta copia no tiene licencia.
• La ubicación de los dispositivos KMS puede realizarse mediante descubrimiento automático, dependiendo del
servicio DNS, o mediante conexiones directas, ingresando el nombre de la máquina y el número de puerto para la
conexión.
• Las máquinas inactivadas o desactivadas tienen un periodo de gracia de 30 días antes de requerir la reactivación.
• Las copias de Windows que rebasan el periodo de gracia ingresan en el modo de funcionalidad reducida (RFM,
Reduced Functionality Mode). Además de las funcionalidades reducidas de la lista anterior, una máquina en modo
RFM desplegará los siguientes comportamientos:
• Se abrirá un explorador Web cuando el usuario abre una sesión.
• La sesión no tendrá menú Inicio, ni iconos de escritorio, y se presentará un fondo de escritorio en blanco.
• Se sacará al usuario de la sesión después de una hora, sin advertencia previa.
Características opcionales
• Las organizaciones que requieren múltiples activaciones, pero que cuentan con menos de 25 sistemas, pueden
depender de claves de activación múltiples (MAK, Multiple Activation Keys). MAK son claves de activación especia-
les que soportarán activación de máquinas individuales sin límites de tiempo, o pueden ir a través de un proxy MAK
para activar varias claves a la vez.
Característica Hyper-V
Descripción: Una característica central del sistema operativo, que está diseñada para soportar la operación de “má-
quinas virtuales” y que transforma hardware en un almacén de recursos que puede compartirse con
instancias virtuales de ofrecimientos de servicio.
Categoría: Elementos básicos de sistema operativo
Característica: ✓ Nueva Mejora Actualización Reemplazo
Origen de la característica: ✓ WS08 Vista WS03 R2 WS03 Service Packs
(continúa)
18 Parte I: Recorrido por Windows Server 2008
Instalación: Como opción predeterminada Complemento a través del Administrador del servidor
✓ Personalizada
Facilidad de uso
Con el lanzamiento de Windows Vista, Microsoft ha desarrollado mejoras muy completas en
la facilidad de uso de Windows. Muchas de esas mejoras están ahora disponibles en Windows
Server 2008. Use las que le parezcan más apropiadas, dado que las máquinas WS08 son servido-
res y no necesariamente deben tener la misma interfaz que las estaciones de trabajo cliente. Tal
vez quiera asegurar que las mejoras estén disponibles en todos sus servidores para simplificar la
transición del usuario de Windows Vista a WS08.
PRECAUCIÓN Windows Vista incluye una gran cantidad de nuevas características. No todas están
cubiertas aquí, aunque muchas hayan llegado al código de Windows Server 2008. Esto es debido
a que muchas de las nuevas características de Windows Vista no están orientadas a un sistema
operativo de red y son, por tanto, irrelevantes en WS08.
PARTE I
• Administrador del servidor Una consola MMC unificada que proporciona un solo acceso
a todas las funciones y características de servidor.
Instalación: Como opción predeterminada ✓ Complemento a través del Administrador del servidor
Personalizada
(continúa)
20 Parte I: Recorrido por Windows Server 2008
Instalación: ✓ Como opción predeterminada Complemento a través del Administrador del servidor
Personalizada
Instalación: ✓ Como opción predeterminada Complemento a través del Administrador del servidor
Personalizada
PARTE I
rísticas.
Categoría: Facilidad de uso
Instalación: ✓ Como opción predeterminada Complemento a través del Administrador del servidor
Personalizada
(continúa)
22 Parte I: Recorrido por Windows Server 2008
Infraestructura de red
Además de las muchas otras mejoras de características encontradas en Windows Server 2008,
Microsoft se ha esforzado por mejorar la infraestructura de comunicaciones básicas en Windows
para soportar un mercado mundial de comunicaciones. Entre las nuevas características más im-
portantes de esta categoría se incluyen:
PRECAUCIÓN Sólo enrutadores e interruptores que soportan por completo todos los estándares de
Internet delineados por la Internet Engineering Task Force (IETF) podrán funcionar con el
protocolo TCP/IP reinado. Asegúrese de que sus dispositivos de red cumplen completamente
con IETF antes de implementar esta característica.
Característica IPv6
Descripción: IPv6 es el reemplazo a largo plazo de IPv4. IPv6 ofrece un número signiicativamente mayor de direc-
PARTE I
ciones que IPv4 y se usará en algún momento futuro como un reemplazo completo del protocolo más
antiguo. Las naciones emergentes se concentrarán en IPv6, porque la mayor parte de las direcciones
públicas IPv4 ya se han asignado en todo el mundo.
Categoría: Infraestructura de red
Instalación: ✓ Como opción predeterminada Complemento a través del Administrador del servidor
Personalizada
Instalación: ✓ Como opción predeterminada Complemento a través del Administrador del servidor
Personalizada
PARTE I
más de IPv6.
Categoría: Infraestructura de red
Instalación: ✓ Como opción predeterminada Complemento a través del Administrador del servidor
Personalizada
Infraestructura de implementación
Cada vez que hay una nueva versión de Windows, usted tiene que implementarla. Microsoft ha
hecho esfuerzos para facilitar la implementación de Windows con cada nueva versión. Windows
Vista, en particular, presenta la implementación más fácil posible. Por esto, Microsoft ha desarro-
llado dos tecnologías centrales: un motor de implementación y un nuevo formato de imagen de
disco basado en archivo. Estos mecanismos de implementación soportan Windows Vista y Win-
dows Server 2008. Además, todo el proceso de instalación se ha modificado en WS08 para mover
toda la toma de decisiones al final del proceso de instalación.
Entre las características de infraestructura de implementación se incluyen:
Instalación: Como opción predeterminada ✓ Complemento a través del Administrador del servidor
Personalizada
PARTE I
de disco de instalaciones de Windows para reimplementación. Todas las instalaciones de Windows, aun
los nuevos DVD de instalación de Microsoft, dependen de este formato de imagen.
Categoría: Infraestructura de implementación
Instalación: ✓ Como opción Complemento a través del Administrador del servidor Personalizada
Instalación: ✓ Como opción Complemento a través del Administrador del servidor Personalizada
(continúa)
28 Parte I: Recorrido por Windows Server 2008
Infraestructura de aplicaciones
Windows Server se ha hecho de un nombre en la industria a través de sus capacidades de sopor-
te integrado a aplicaciones. Mientras que otros sistemas de red sólo proporcionan servicios de
archivo e impresión, Windows también soporta la capacidad de ejecutar aplicaciones. WS08 no
es menos en esta materia, tampoco. Incluye un soporte ampliamente mejorado a aplicaciones a
través de las siguientes características:
• Administrador de recursos del sistema de Windows Se lanzó por primera vez como un
complemento de Windows Server 2003 y proporciona capacidad para controlar por completo
la asignación de recursos a aplicaciones mediante directivas definidas.
• Terminal Services Ha mejorado mediante la adición de una nueva puerta de enlace de
Terminal Services, que permite que Terminal Services se ejecute en el protocolo HTTP; Remo-
teApp, que simplemente publica una aplicación para un usuario final, haciendo la experiencia
con Terminal Services completamente transparente; y TS Web Access, que permite que los
usuarios accedan a Terminal Services a través de una interfaz de usuario.
• IIS 7.0 Es una versión muy mejorada del servidor Web insignia de Microsoft.
• Función de servidor de aplicaciones Se ha mejorado para soportar toda la nueva funcio-
nalidad disponible en las versiones 2.0 y 3.0 de .NET Framework, además de cambios en otras
aplicaciones.
• Internet Explorer 7 Proporciona un explorador más protegido con la capacidad de controlar
mejor la experiencia Web.
• Clúster de conmutación por error Se ha mejorado para eliminar la dependencia de un
quorum local o el disco que mantuvo consistencia entre nodos en clúster.
Capítulo 1: Introducción a Windows Server 2008 29
PARTE I
aplicaciones y procesos de trabajador en IIS 7.0.
• Servidor de fax Es un nuevo sistema de fax integrado.
En las siguientes tablas se describen de manera detallada cada una de estas características.
Instalación: Como opción predeterminada ✓ Complemento a través del Administrador del servidor
Personalizada
(continúa)
30 Parte I: Recorrido por Windows Server 2008
Instalación: Como opción predeterminada ✓ Complemento a través del Administrador del servidor
Personalizada
Instalación: Como opción predeterminada Complemento a través del Administrador del servidor
✓ Personalizada
PARTE I
siones a distancia desde cualquier dispositivo conectado a Internet mediante irewalls y dispositivos de
traducción de dirección de red (NAT).
Categoría: Infraestructura de aplicaciones
Característica: ✓ Nueva Mejora Actualización Reemplazo
Origen de la característica: ✓ WS08 Vista WS03 R2 WS03 Service Packs
Instalación: Como opción predeterminada Complemento a través del Administrador del servidor
✓ Personalizada
Instalación: Como opción predeterminada ✓ Complemento a través del Administrador del servidor
Personalizada
(continúa)
32 Parte I: Recorrido por Windows Server 2008
Instalación: Como opción predeterminada Complemento a través del Administrador del servidor
✓ Personalizada
PARTE I
Categoría: Infraestructura de aplicaciones
Instalación: Como opción predeterminada Complemento a través del Administrador del servidor
✓ Personalizada
Instalación: Como opción predeterminada ✓ Complemento a través del Administrador del servidor
Personalizada
(continúa)
34 Parte I: Recorrido por Windows Server 2008
Instalación: Como opción predeterminada Complemento a través del Administrador del servidor
✓ Personalizada
(continúa)
Capítulo 1: Introducción a Windows Server 2008 35
PARTE I
• Incluye funcionalidad de .NET Framework versiones 2.0 y 3.0, junto con nuevas características como Windows
Communication Foundation (WCF), Windows Presentation Foundation (WPF, base de presentación de Windows), Win-
dows Worklow Foundation (WWF, base de lujo de trabajo de Windows) y el Windows Color System (WCS, sistema
de color de Windows).
• WCF proporciona soporte para la construcción y ejecución de sistemas conectados. Uniica una serie de diferen-
tes tecnologías en una sola plataforma, incluidos mecanismos de transporte, sistemas de seguridad, patrones de
mensajería, codiicación, topologías de red y modelos de host.
• WPF depende de las nuevas características gráicas de Windows Vista para mezclar la interfaz de usuario, los
documentos y el contenido de medios. Incluye soporte para Tablet PC, un mejor despliegue de imágenes y canaliza-
ción de impresión, automatización de accesibilidad e interfaz de usuario, visualización orientada a datos y puntos
de integración para experiencias de mejoramiento de aplicaciones a través de la shell de Windows.
• WPF proporciona una plataforma para codiicación y ejecución de aplicaciones basadas en lujo de trabajo. Incluye
soporte para el sistema y los lujos de trabajo humanos, además de otros lujos de trabajo para aplicaciones de
línea de negocios, centrados en documentos, compuestos para aplicaciones orientadas a servicios, orientados a
reglas de negocios y, por último, de administración del sistema.
• WCS proporciona mejor idelidad de color en todos los niveles del sistema, incluidos coincidencia entre pantalla e
impresión, mejor aspecto del color y soporte para impresión de alta idelidad.
• Esta función se instala fácilmente mediante el Administrador del servidor.
Instalación: ✓ Como opción predeterminada Complemento a través del Administrador del servidor
Personalizada
(continúa)
Capítulo 1: Introducción a Windows Server 2008 37
PARTE I
mite delegación de tareas administrativas.
• Nuevas características de cumplimiento también mejoran la administración. Por ejemplo, ahora pueden conigurar-
se las directivas para aplicaciones Web basadas en zonas de administración de dominio o servidor. Esto permite a
los administradores crear diferentes directivas para zonas de intranet y extranet.
• Mejores controles de acceso permiten a los usuarios, aun a los administradores, ver sólo el contenido al que
tienen acceso, reduciendo la cantidad de páginas Web desplegadas.
• La migración desde versiones anteriores puede realizarse gradualmente, facilitando la actualización de sitios com-
plejos sin detener los procesos críticos del negocio.
• Nuevas características le permiten cambiar el nombre de servidores Web o base de datos, además de cambiar las
cuentas de servicio de las que depende WSS desde un solo lugar administrativo y hacer que el cambio tenga lugar
de inmediato en todo el grupo Web.
Instalación: Como opción predeterminada Complemento a través del Administrador del servidor
✓ Personalizada
Instalación: Como opción predeterminada ✓ Complemento a través del Administrador del servidor
Personalizada
Infraestructura de seguridad
Con el lanzamiento de Windows Server 2003, Microsoft se esforzó por primera vez en producir
código seguro para una versión de servidor. Tuvieron éxito hasta cierto grado, porque pasaron
varios meses antes de que se encontrara la primera falla de seguridad en WS03. Con WS08, Mi-
crosoft quiere elevar la apuesta y está dependiendo de algunas mejoras de seguridad importantes
sobre versiones anteriores para mejorar la seguridad de WS08. Entre éstas se incluyen:
PARTE I
• Arquitectura de autentiicación de inicio de sesión insertable Proporciona una nueva
manera de integrar las herramientas de inicio de sesión, como la autentificación de dos facto-
res, con Windows.
• DC de sólo lectura Le permite proporcionar este valioso servicio, aún en áreas donde el
servidor no está protegido físicamente.
• Protocolo de entunelamiento de conexión segura (SSTP, Secure Socket Tunneling
Protocol) Proporciona un medio alterno de crear un vínculo VPN en situaciones en que los
entornos no permiten que el tráfico de seguridad del protocolo de Internet (IPSec, Internet
Protocol Security) cruce la firewall.
Instalación: ✓ Como opción predeterminada Complemento a través del Administrador del servidor
Personalizada
Instalación: ✓ Como opción predeterminada Complemento a través del Administrador del servidor
Personalizada
Instalación: Como opción predeterminada ✓ Complemento a través del Administrador del servidor
Personalizada
(continúa)
Capítulo 1: Introducción a Windows Server 2008 41
PARTE I
• Ninguna, aunque elimina la necesidad de exponer • Proporciona una base para la administración de
Active Directory a Internet identidad integrada entre límites.
• Permite que las organizaciones usen sus propios Active
Directories para acceder a recursos del mismo nivel,
internos y externos.
Funciones
• Extiende Active Directory a Internet al permitirle depender del directorio interno para acceder a recursos del mismo
nivel. Esto ayuda a reducir el número de almacenes de seguridad que se deben administrar.
• Proporciona un medio para usar autentiicación de Windows en aplicaciones Web en Internet.
• Mediante el uso de la base del Servicio Web, ADFS proporciona interoperabilidad con entornos que no son de
Windows y que son compatibles con la misma base.
• Permite clientes pasivos, como exploradores Web. Proporciona la base para clientes inteligentes basados en el
protocolo simple de acceso a objetos (SOAP, Simple Object Access Protocol), como teléfonos celulares, asistentes
personales digitales (PDA, Personal Digital Assistant) y aplicaciones de escritorio y servidor
Instalación: Como opción predeterminada ✓ Complemento a través del Administrador del servidor
Personalizada
(continúa)
42 Parte I: Recorrido por Windows Server 2008
Instalación: Como opción predeterminada ✓ Complemento a través del Administrador del servidor
Personalizada
PARTE I
Categoría: Infraestructura de seguridad
Instalación: Como opción predeterminada ✓ Complemento a través del Administrador del servidor
Personalizada
Instalación: ✓ Como opción predeterminada Complemento a través del Administrador del servidor
Personalizada
Instalación: Como opción predeterminada ✓ Complemento a través del Administrador del servidor
Personalizada
Instalación: ✓ Como opción predeterminada Complemento a través del Administrador del servidor
Personalizada
(continúa)
Capítulo 1: Introducción a Windows Server 2008 45
PARTE I
inteligentes o autentiicación mediante huella digital, al modelo de Windows.
• CredSSP se usó anteriormente con Terminal Services y servicios Web para proporcionar single sign-on (Single Sign-
On); ahora se ha integrado por completo con Windows.
• Proporciona un modelo más simple para almacenamiento de identidades múltiples, como nombre de usuario y
contraseñas para diferentes aplicaciones.
• Facilita a terceros la integración con tecnologías de inicio de sesión adicionales con Windows, porque está basado
en el entorno .NET Framework.
Instalación: Como opción predeterminada Complemento a través del Administrador del servidor
✓ Personalizada
(continúa)
46 Parte I: Recorrido por Windows Server 2008
Instalación: Como opción predeterminada ✓ Complemento a través del Administrador del servidor
Personalizada
SUGERENCIA Para conocer más información acerca de VPN de SSL, lea los papeles blancos titula-
dos “The Case for SSL Virtual Private Networks” en http://redmondmag.com/techlibrary/
resources.asp?id=170.
PARTE I
sos. DFS suele ser un reemplazo del asignador de unidades de red.
Categoría: Subsistema de discos y archivos
Característica: Nueva ✓ Mejora Actualización Reemplazo
Origen de la característica: WS08 Vista ✓ WS03 R2 WS03 Service Packs
Instalación: Como opción predeterminada ✓ Complemento a través del Administrador del servidor
Personalizada
Aplica a: Organizaciones pequeñas ✓ Medianas ✓ Grandes
Características reemplazadas Beneficios
• Versiones previas de DFS en Windows 2000 • Da a los usuarios acceso a los recursos compartidos
y Windows Server 2003 de archivo empleando prácticas comunes de asignación
• Servicio de replicación de archivos (FRS) de nombres, lo que elimina la necesidad de asignar
para DFS unidades de red.
• Cuando se vinculan con replicación, da a los usuarios
acceso a los mismos datos en diferentes ubicaciones a
través de WAN.
Funciones
• DFS está ahora dividido en dos componentes: espacio de nombres y replicación. Los espacios de nombres le
permiten designar un nombre virtual o alias para recursos compartidos de archivos en la red. Los recursos com-
partidos de archivos reales se vinculan luego con el nuevo espacio de nombres. La replicación le permite copiar el
contenido de un recurso compartido de archivos a otro al emplear un mecanismo de replicación en el nivel de byte
que sólo replica cambios a los archivos, no todos los archivos.
• Los espacios de nombres pueden crear árboles de carpetas virtuales que tienen más sentido para los usuarios
inales. Los recursos compartidos de archivos reales que están vinculados con este árbol de carpetas pueden
localizarse en cualquier servidor de la organización. El acceso a los recursos compartidos de archivos se realiza
mediante el árbol virtual y es completamente transparente para los usuarios. Los espacios de nombres pueden
usarse con o sin replicación. Los espacios de nombres de dominio se replican en ADDS para que estén disponi-
bles para los usuarios cada vez que se encuentren en la red.
• Replicación DFS (DFSR, DFS Replication) no sólo soporta DFS, sino que también puede replicar los archivos de
cualquier servidor en cualquier otro servidor de la organización. Depende del algoritmo de compresión diferencial
remota (RDC, Remote Differential Compression), que sólo replica los cambios hechos a los archivos y no todos los
archivos (después de que el origen y el destino se han sincronizado por lo menos una vez). Los cambios se moni-
torean en el nivel de bytes, y mediante el estrangulamiento del ancho de banda y calendarización de replicación, lo
que hace más eiciente el uso de vínculos WAN. DFSR también soporta un modelo multimaestro, de modo que los
cambios pueden originarse a partir de cualquier sistema en el espacio de nombres. Los algoritmos de detección de
colisiones redondean esto para asegurar que sólo se replican los cambios correctos.
Instalación: ✓ Como opción predeterminada Complemento a través del Administrador del servidor
Personalizada
Aplica a: ✓ Organizaciones Pequeñas ✓ Medianas ✓ Grandes
Característica reemplazada Beneficios
• Sistemas de archivos de registro anteriores • Proporciona una sola manera integrada para registrar su-
cesos en Windows y ainar la administración de sucesos.
Funciones
• CLFS proporciona un conjunto de interfaces de programación de aplicaciones (API, Application Programming Inter-
faces) que permite que los desarrolladores registren información acerca de sus aplicaciones sin tener que escribir
grandes cantidades de código personalizado.
• Soporta aplicaciones o middleware que dependen de datos secuenciales de escritura o lectura. Las aplicaciones
de esta categoría incluyen agentes de replicación, agentes de auditoría, bases de datos y administradores de re-
cursos transaccionales. Nuevas aplicaciones como DFSR dependen de este subsistema para escribir los sucesos
relacionados con su operación.
• La dependencia de CLFS permite que WS08 registre información acerca de una gran cantidad de sucesos que no
se monitoreaban en ediciones anteriores de Windows Server.
(continúa)
Capítulo 1: Introducción a Windows Server 2008 49
PARTE I
Instalación: Como opción predeterminada Complemento a través del Administrador del servidor
✓ Personalizada
Instalación: Como opción predeterminada Complemento a través del Administrador del servidor
✓ Personalizada
(continúa)
50 Parte I: Recorrido por Windows Server 2008
Instalación: Como opción predeterminada Complemento a través del Administrador del servidor
✓ Personalizada
Instalación: ✓ Como opción predeterminada Complemento a través del Administrador del servidor
Personalizada
PARTE I
Categoría: Subsistema de discos y archivos
Instalación: ✓ Como opción predeterminada Complemento a través del Administrador del servidor
Personalizada
Instalación: ✓ Como opción predeterminada Complemento a través del Administrador del servidor
Personalizada
SUGERENCIA Puede obtener una copia actualizada de todas las nuevas características en línea en
www.reso-net.com/livre.asp?p=manin&b=WS08. Se requiere un registro de una vez, pero ya
realizado, puede modiicar el texto y conigurarlo como parte de su propia documentación
de migración.
El paso siguiente
El paso siguiente consiste en reunir todas estas nuevas características, juntarlas en una lista que
tenga sentido para usted y su organización, y prepararse para la migración. Hay un capítulo
más en esta parte del libro. En el capítulo 2 se le presenta un recorrido por la nueva interfaz de
Windows Server 2008 y se le muestra cómo se harán las cosas a partir de ahora. Después de eso,
estará listo para pasar a la preparación de la propia migración. Le guiaremos a través de este
proceso para hacer lo más simple posible la actualización o migración y ayudarle a obtener lo
máximo de este poderoso sistema operativo.
CAPÍTULO
2
Interactúe con Windows Server 2008
S
i le cree a Microsoft, el lanzamiento de Windows Vista y, de manera correspondiente, Win-
dows Server 2008 (WS08), ha dado lugar a una nueva era en la productividad de usuario.
Todos lo hemos oído antes y sabemos que cada vez que se lanza un nuevo sistema operativo,
en especial cuando se acopla con una nueva versión de una suite de productividad como Vista con
Microsoft Office 2007, obtenemos estas promesas y, vamos, casi nadie ha visto este incremento
de productividad. Bueno, Vista ha estado usándose durante un tiempo, y ahora sabe, al igual que
nosotros, que sí mejora nuestra productividad de usuario.
Eso se debe a que, en la década pasada, hemos sido muy buenos para producir informa-
ción (en realidad, toneladas de información) y almacenarla en un formato digital. ¿A dónde nos
lleva esto? A la imposibilidad de encontrar algo. El hecho de que la interfaz básica de usuario en
Vista y WS08 tenga búsqueda integrada ha mejorado de manera importante la productividad de
los usuarios finales. De acuerdo con algunos analistas de la industria, los usuarios han podido
ahorrar de tres a nueve horas a la semana de trabajo debido a esta característica. Esto es una
mejora. También ha mejorado a los administradores, porque la búsqueda también funciona para
las herramientas de tecnología de la información.
Y debido a esta característica, los profesionales de la tecnología de la información ya no tene-
mos que preocuparnos acerca de la instalación o la implementación de herramientas de búsqueda
de terceros (herramientas que tal vez no respeten los descriptores de seguridad que aplicamos a
datos dentro de nuestras redes). Con Vista, la búsqueda es la manera en que accedemos a toda la
información. El menú Inicio presenta una herramienta de búsqueda y proporciona búsqueda cons-
tante, el Explorador tiene una herramienta de búsqueda integrada, Internet Explorer (IE) incluye
una herramienta de búsqueda (la búsqueda está en todos lados). La búsqueda de Vista indiza todo
a lo que tiene acceso: carpetas personales, herramientas del sistema, carpetas compartidas hereda-
das, unidades extraíbles, espacios de colaboración, etcétera (todo determinado por la capacidad de
la PC para indizar contenido). Ahora que Windows Server 2008 está disponible, puede integrar la
búsqueda de escritorio con índices basados en servidor y quitar una carga a la PC local. Esto debe
aumentar aún más el poder de Vista y agregar mejoras a la productividad de usuario.
SUGERENCIA Para conocer detalles completos sobre lo que indiza el cliente de Vista, visite
www.realtime-vista.com/administration/2006/12/vista_indexing_options.htm.
53
54 Parte I: Recorrido por Windows Server 2008
La búsqueda es sólo un elemento de Vista que se ha incluido en WS08. Hay varios más. La
interfaz de usuario de WS08 está completamente basada en la de Vista, de modo que si ha tra-
bajado con Vista, ya está familiarizado con ella; pero si no, tendrá que aprender algunos nuevos
trucos. Éste es el objetivo principal de este capítulo; llevarlo a acelerar los cambios a la interfaz
que encontrará en WS08. Por eso en este capítulo se cubre:
• La propia interfaz de usuario
• La interfaz de Tareas de configuración inicial (ICT, Inicial Configuration Tasks)
• Administrador de servidor
• Modificaciones al escritorio remoto
• El indicador de comandos
• Windows PowerShell
• Ayuda y soporte técnico
Cada una de éstas afectará la manera en que trabaja con WS08 y Vista. Para facilitarle la loca-
lización de nuevos comandos y nuevas maneras de hacer las cosas, el capítulo concluye con una
tabla que esquematiza los comandos de versiones más antiguas de Windows en comparación
con los comandos correspondientes en WS08.
La interfaz de usuario
Como opción predeterminada, WS08 presenta la interfaz de usuario tradicional a la manera de
Windows 2000. Si se siente cómodo trabajando con una interfaz que tiene más de siete años
de antigüedad, adelante; eso habla de la capacidad del personal de tecnología de la informa-
ción para tratar con el cambio. Personalmente, pensamos que debe transformar esta interfaz en
Cristal Aero de Vista. Seguro, tal vez sus servidores no tengan las tarjetas gráficas requeridas para
ejecutar las imágenes de Aero, pero por lo menos tendrá una interfaz que es similar a la que tiene
trabajando en su escritorio.
Si quiere usar esta interfaz, necesita habilitar el servicio Temas, que está deshabilitado como
opción predeterminada. He aquí cómo hacerlo:
1. Lance el Administrador del servidor, si aún no se ha lanzado, o, si está más familiarizado con
Administración de equipos, láncela en cambio.
2. En el Administrador del servidor, use la página de inicio del servidor local para hacer clic en
Agregar características, en el panel de detalles.
3. En el Asistente para agregar características, marque la característica Experiencia de uso.
4. Agregue la Experiencia de uso, y reinicie el servidor para finalizar el proceso de instalación.
5. Luego haga clic en Cerrar, en el Asistente para reanudar la configuración, regrese al Administra-
dor del servidor, expanda Configuración en el panel de árbol y haga clic en Servicios.
6. Encuentre el servicio Temas en la lista del panel de detalles. Este servicio está deshabilitado
como opción predeterminada, porque usa recursos del sistema.
7. En el grupo de propiedades de arranque del servicio, elija Automático, haga clic en Aplicar e
inicie el servicio. Haga clic en Aceptar para cerrar el cuadro de diálogo de propiedades.
8. A continuación, minimice la consola, haga clic con el botón derecho en el escritorio y elija
Personalizar.
9. En la ventana Personalizar, seleccione Tema.
10. En la lista desplegable Tema, seleccione Windows Vista y haga clic en Aceptar.
Capítulo 2: Interactúe con Windows Server 2008 55
Ya está aquí. Ahora tiene el tema Vista en su servidor. Para asegurarse de que todos los usuarios ten-
gan acceso a este tema, debe actualizar el usuario predeterminado en la imagen del servidor antes de
implementarlo. Esto se analizará en capítulos posteriores. Por ahora, ¿no es esto más agradable?
PARTE I
Ahora que está trabajando con la interfaz de Vista, veamos lo que ha cambiado.
El escritorio
El escritorio mismo permanece, en su mayor parte, sin cambio. Presenta un nuevo botón Iniciar y
un nuevo menú Iniciar. El área de Inicio rápido es tan útil como lo ha sido siempre. Más aún, por
fin Microsoft añadió “Agregar a Inicio rápido” al menú contextual de cualquier método abreviado.
Esto facilita mucho el uso del área Inicio rápido. Ahora bien, no hay razón para llenar el escritorio.
Esto también es bueno, porque ahora necesitará mayor espacio disponible en su escritorio
para incluir elementos como gadgets, las nuevas pequeñas utilerías de Microsoft incluidas en la
Sidebar de Vista. Las gadgets pueden incluir una serie completa de elementos, uno de los cuales
es agradable para los administradores, porque informa el tiempo que el servidor ha permanecido
activo. Hay muchas gadgets disponibles. La Sidebar le resultará muy útil, también, cuando la
llene de manera correcta.
SUGERENCIA Hay varios gadgets disponibles para administración. Para tener una buena lista de
gadgets, vaya a la galería de Windows Live, en http://gallery.live.com.
También querrá trabajar extensamente con el menú Iniciar. Principalmente, encontrará que
con la Sidebar poblada adecuadamente, con el área Inicio rápido y la capacidad de buscar direc-
tamente desde el menú Iniciar, realmente no necesitará nada más en el escritorio para acceder a
sus herramientas favoritas de administración. Tome en cuenta que, en cuanto al contenido, hay
pocas diferencias entre el menú Iniciar en el tema Vista o en Windows 2000 (Clásico). Sólo que
tiene un aspecto mucho mejor en el modo Vista (vea la figura 2-1).
El explorador de Windows
El Explorador de Windows también ha merecido una gran cantidad de cirugía plástica. La bús-
queda es una parte tan integral del sistema de Windows hoy en día que el Explorador de Win-
dows ahora presume nuevas carpetas de búsqueda (carpetas que son representaciones virtuales
de datos basados en criterios de búsqueda). No es WinFS (el sistema de archivos insignia de
Microsoft que habrá de reemplazar a NTFS), pero funciona y lo hace muy bien. ¿Necesita llevar
seguimiento de un proyecto especial? Todo lo que tiene que hacer es crear una carpeta virtual o
de búsqueda basada en la selección de palabras clave, y siempre tendrá acceso a los datos, mien-
tras cuente con los permisos apropiados y esté conectado a ella.
La creación de carpetas virtuales es realmente simple. Sólo realice la búsqueda, haga clic en
Guardar búsqueda y asigne a la carpeta un nombre que signifique algo. Las búsquedas guarda-
das son dinámicas, de modo que en el momento en que se agregue nuevo contenido, esté en una
red indizada, una unidad de disco local, o aún extraíble, automáticamente se vinculará con su
carpeta virtual o de búsqueda. En la figura 2-2 se muestra cómo funcionan las carpetas guarda-
das. También se muestra la nueva ventana del Explorador de Windows. Observe que esta ventana
incluye una barra de acceso con huellas de seguimiento. Estas huellas de seguimiento son el
corazón de la navegación en WS08. Úselas con frecuencia, y verá lo útiles que pueden ser.
Además de tener acceso al contenido indizado, cuenta con control completo sobre la manera
en que ve y organiza los datos en el Explorador de Windows. Los nuevos botones ordenan la in-
formación de maneras novedosas, nuevas vistas muestran previsualizaciones amplias del conteni-
do del documento y nuevos filtros le permiten estructurar la información de la manera en que lo
desee. Mejor aún, puede restaurar una versión anterior de cualquier documento, siempre y cuando
haya existido antes de que se haya tomado la última copia de seguridad (es correcto, las copias de
seguridad están disponibles en todo lugar, como opción predeterminada, aun la PC). Con Windo-
ws Server 2008 y Vista, no hay razón para que alguien pueda volver a perder un documento.
Barra de acción
reemplaza al
menú Archivo Barra de
orden
Vínculos favoritos
muestra Documentos
carpetas útiles XPS
PowerPoint
2003
Carpetas
mostradas en Documento
el árbol de de Word
navegación
Carpeta de
búsqueda
(carpeta virtual)
Panel de
Carpeta
navegación
comprimida
Detalles de
selección
Barra de estado
Windows Server 2008 también incluye muchas características nuevas que estuvieron origi-
nalmente diseñadas para acelerar Windows Vista. Entre éstas se incluyen:
• SuperFetch aprende de sus hábitos de trabajo y precarga en memoria sus aplicaciones más
PARTE I
comunes antes de que las llame. Cuando en realidad las llama, se lanzan desde la memoria de
acceso directo (RAM, Random Acces Memory) y no del disco duro.
• ReadyBoost depende de la memoria Flash para extender el alcance de la RAM normal y
reducir los tiempos de acceso a disco duro. Varios fabricantes han lanzado unidades especiales
(USB y Flash) para atender esta nueva necesidad. Lo ideal sería que se usara una unidad ex-
terna que tiene hasta cuatro veces la cantidad de memoria disponible en la RAM del sistema.
Imagine que necesita añadir RAM a un servidor: sólo colocaría una unidad flash y seguiría
trabajando. Lo ideal sería que ésta fuera una solución temporal, pero aún es válida. Tenga
en cuenta que si sus servidores lo soportan, WS08 permite adiciones de memoria activa, o la
capacidad de agregar RAM mientras el servidor está en ejecución.
Con la excepción de ReadyBoost, casi todas las mejoras de rendimiento son completamente
transparentes. Otras mejoras en velocidad incluyen la afinación automática del rendimiento y
los diagnósticos que detectarán y tratarán de corregir de manera automática cualquier problema
relacionado con el rendimiento. Como Vista, WS08 ofrece varias mejoras en velocidad. Nuestro
consejo: ejecute Windows Server 2008 en un sistema de 64 bytes siempre que pueda, sobre todo
en un sistema de varios procesadores. Los servidores adquieren una tonelada de capacidad cuan-
do se ejecutan en hardware de 64 bytes.
NUESTRO CONSEJO Siga usando una cuenta estándar de usuario para el trabajo cotidiano, y luego
use el comando Ejecutar como administrador para realizar tareas administrativas. La principal
diferencia entre una cuenta estándar de usuario y una de administrador en el Control de cuentas
de usuario es que con la de usuario estándar, también necesita el nombre de usuario y la contra-
seña para otorgar permiso para realizar una acción. Al principio podría parecerle molesto, pero se
acostumbrará a ella rápidamente.
FIGURA 2-3 Uso de una aplicación que requiere elevación de Control de cuentas de usuario.
Es imposible pasar por alto los indicadores de Control de cuentas de usuario, porque todo el
escritorio se atenúa cuando se activa Control de cuentas de usuario y sólo se despliega claramen-
te el cuadro de diálogo Control de cuentas de usuario (vea la figura 2-3). El Control de cuentas
de usuario requerirá una adaptación importante, porque es una manera completamente nueva de
trabajo para un usuario estándar.
Además del Control de cuentas de usuario, Windows Server 2008 soporta el cambio rápido
de usuario, aun en un dominio. Si quiere o necesita un equipo que ya está en uso, no es nece-
sario que el usuario actual cierre sesión (sólo cambie de usuario, realice sus tareas y luego cierre
la sesión). La sesión existente de usuario aún estará viva y tal vez el usuario ni siquiera sepa que
alguien más usó el servidor.
Internet Explorer 7
WS08 también incluye Internet Explorer (IE) versión 7, que tiene varias mejoras en cuanto a faci-
lidad de uso (exploración mediante pestañas, integración de fuentes de noticias RSS e impresión
mejorada de páginas Web). Pero sus principales mejoras están en la exploración Web segura.
También debe estar familiarizado con las características de IE7:
• Identificación de sitios Web de suplantación de identidad y herramientas de informe.
• Una manera más clara de determinar si está conectado a un sitio Web usando la capa de
conexiones seguras (SSL, Secure Sockets Layer) o la seguridad de capa de transporte (TLS,
Transport Layer Security).
• Complementos opcionales ActiveX, que le permiten determinar cuáles controles de ActiveX
son de uso seguro.
• Eliminación con un solo clic de todo el historial de navegación.
Capítulo 2: Interactúe con Windows Server 2008 59
PARTE I
• Modo protegido, que lo aísla de otras aplicaciones que se ejecutan en el sistema operativo.
Como puede ver, si tiene experiencia con Vista, WS08 debe ser fácil de dominar. Si no, tendrá
que acostumbrarse a algunos cambios de la interfaz, pero no son grandes. Otros cambios tienen
más impacto. Son los cambios que examinamos a continuación.
Panel de control
Otro cambio importante en relación con Windows Server 2003 es la manera en que funciona el
Panel de control y cómo se usa para acceder a los cambios de configuración de un sistema. Ob-
servará que en cuanto abra el Panel de control, se abre la vista clásica, como opción predetermi-
nada. Para cambiar a la de Vista, haga clic en Vista principal del Panel de control, que se encuentra
en el panel de la izquierda.
Como opción predeterminada, Panel de control se divide en diez secciones:
• Sistema y rendimiento le permite controlar la manera en que funciona y se configura el
sistema.
• Seguridad le da acceso al Centro de seguridad parecido al de Vista.
• Red e Internet le da acceso al nuevo Centro de redes y recursos compartidos, un centro de
control de conectividad condensado.
• Hardware y sonido le permite controlar impresoras, ratón, dispositivos de sonido y cual-
quier nuevo dispositivo agregado a su sistema.
• Programas reemplaza la antigua función Agregar o quitar programas y le permite controlar
aplicaciones y programas de inicio en una ubicación.
• Cuentas de usuario controla las cuentas en servidores de miembro y otros detalles de
cuenta, como imágenes y contraseñas para cuentas de dominio.
• Apariencia de personalización le permite controlar el aspecto de su interfaz.
• Reloj, idioma y región controla la zona horaria y el idioma que usa en su interfaz de
servidor.
• Accesibilidad se usa para simplificar la manera de acceder al sistema.
• Opciones adicionales es una especie de paraguas que incluye todo lo demás. En casi todos
los casos, esta opción está vacía.
Los elementos que han cambiado más son el Centro de seguridad, el Centro de redes y
recursos compartidos (vea la figura 2-4) y Apariencia y personalización.
Tal vez también se encuentre con que es más difícil localizar elementos de uso regular, como
Propiedades del sistema, etcétera. Todo lo que tiene que hacer es recordar que el Panel de control
incluye una lista de tareas en el panel de la izquierda. Mantenga un ojo en esa lista, porque en-
contrará que varias de sus hojas de propiedades favoritas se localizan aquí.
FIGURA 2-4 El Centro de redes y recursos compartidos proporciona acceso rápido a conectividad.
Personalización de este
servidor
r'VODJPOFT
r$BSBDUFSÎTUJDBT
r&TDSJUPSJPSFNPUP
r'JSFXBMMEF8JOEPXT
PARTE I
Tareas de configuración inicial está dividido en tres partes:
• Proporcionar información del equipo incluye la configuración de zona horaria, configura-
ción de red y nombre del equipo y dominio o la pertenencia a un grupo de trabajo.
• Actualizar este servidor incluye configuración e instalación de actualización.
• Personalizar este servidor le permite agregar funciones y características, habilitar Escritorio
remoto, y configurar la firewall de Windows.
El uso de Tareas de configuración inicial es tan fácil como el 1-2-3. Sólo siga las indicaciones.
Cambie la dirección IP y luego el nombre del equipo, y una el servidor a un dominio cuando lo
necesite. Luego asegúrese de que las actualizaciones están asignadas al servidor de acuerdo con
su directiva corporativa y asegúrese de que está actualizada. Por último, puede agregar funcio-
nes y características, pero guardemos eso para un análisis posterior. Active el Escritorio remoto y
asegúrese de que la Firewall de Windows esté habilitada con, al menos, la configuración prede-
terminada. En capítulos posteriores se cubrirá más información acerca de la seguridad. Después
de todo, no puede poner en su lugar un servidor WS08 sin configurar por lo menos un conjunto de
configuraciones de seguridad de línea base.
Las funciones y características se analizan en la siguiente sección porque son más fáciles de
configurar y se agregan en el Administrador del servidor.
NOTA Puede conigurar todas las opciones de Tareas de coniguración inicial mediante los archivos
de lenguaje de marcado extensible (XML, eXtensible Markup Language) que se aplican durante
la instalación. Ésta puede ser una manera mucho mejor de conigurar esto, sobre todo si tiene que
preparar más de un servidor. El uso de un archivo Unattend.XML para crear una secuencia de
comandos de la instalación la automatiza y también asegura que ésta es la misma cada vez que la
ejecuta. En el capítulo 4 se cubrirá más información acerca de los archivos Unattend.XML, cuan-
do se cubran en detalle las instalaciones del servidor.
Resumen de funciones le
permite administrar, agregar
o quitar funciones.
Resumen de características
le permite agregar/quitar
características.
Panel de
detalles Recursos y soporte técnico
r$BNCJBSFMFTUBUVTEFMDMJFOUF
r3FUSPBMJNFOUBDJÓOEFJOGPSNF
de errores del sistema
r'FFECBDL
r$PNVOJEBE5FDIDFOUFS
r$FOUSPEFEFTDBSHBT
FIGURA 2-6 La consola Administrador del servidor proporciona administración del servidor en un solo elemento.
servidor y asignar sus funciones y características automáticamente. Para conocer más información
acerca de este comando, escriba ServerManagerCmd /? en la línea de comandos.
Cuando se lanza el Administrador del servidor, se abre en la página del servidor local, la cual
presenta una lista de la configuración de este servidor en particular (nombre, dominio o grupo de
trabajo, dirección IP, configuración de Escritorio remoto e ID de producto). También proporciona
un resumen de seguridad, de manera muy parecida a la ventana Tareas de configuración inicial, y
luego pasa a presentar una lista de las funciones y características instaladas en el servidor. Puede
usar esta interfaz para agregar nuevas funciones, características, o ambas, a la configuración del
servidor. Por último, la parte inferior de la página del servidor local presenta una lista de recursos
adicionales e información de soporte.
Debido a que está basado en la Microsoft Management Console (MMC, Consola de admi-
nistración de Microsoft) versión 3, el Administrador del servidor se divide en varios paneles. El de
la izquierda es una estructura de árbol que le da acceso a las principales funciones de la consola.
Entre éstas se incluye la página del servidor local, funciones, características, diagnósticos, con-
figuración y almacenamiento. Cada una se expande para incluir más información. Puede tomar
algún tiempo acostumbrarse a ella, porque muchos de los elementos están organizados de una
manera diferente a la MMC. Necesita aprender que en el área Diagnósticos es donde encontrará
el Visor de eventos, el Administrador de recursos del sistema de Windows y las herramientas de
análisis Confiabilidad y rendimiento, además del Administrador de dispositivos. En el área Con-
figuración es donde encuentra el Programador de tareas, la Firewall de Windows con seguridad
avanzada (no se confunda con la Firewall de Windows que se encuentra en el Panel de control)
Servicios y el Control WMI (Windows Management Instrumentation, instrumentación de admi-
nistración de Windows), además de Usuarios y grupos locales (sólo para servidores). Por último,
Capítulo 2: Interactúe con Windows Server 2008 63
PARTE I
Se acostumbrará a ella después de un tiempo y ciertamente verá lo útil que es tener todo en
un solo lugar. Pero también encontrará que parte de la consola que usará con más frecuencia será
la sección Funciones.
PARTE I
RPC sobre el proxy HTTP Llamada a procedimiento remoto sobre el protocolo de transferencia de hipertexto
Servicios simples de TCP/IP Soporte adicional a otros servicios TCP/IP, como eco, hora del día y cita del día
Servidor SMTP Servidor de correo electrónico
Servidor SNMP Protocolo simple de administración de red para el servicio y sus extensiones WMI
Servicio SNMP
Proveedor WMI de SNMP
Administrador de almacenamiento Interfaz de red de área de almacenamiento (SAN, Storage Area Network) unii-
para redes SAN cada
Subsistema para aplicaciones UNIX Compatibilidad con aplicaciones UNIX
Cliente Telnet Actúa como un cliente para conectarse a servidores remotos
Servidor Telnet Actúa como un servidor para conexiones de Telnet
Cliente TFTP Protocolo trivial de transferencia de archivos
Windows Internal Database Almacenamiento de datos relacional que sólo puede usarse mediante:
Servicios de descripción, descubrimiento e integración (UDDI)
ADRMS
Windows SharePoint Services
Servicios de actualización de Windows Server (WSUS)
Administrador de recursos del sistema de Windows
Windows PowerShell Una herramienta de línea de comandos que puede usarse para administrar el
sistema y que incluye más de 130 comandos estándar
Servicios WPAS (Windows Process Ac- Servicio unido a IIS 7.0 diseñado para administrar almacenes de aplicación y
tivation Service, servicio de activación proceso de trabajo:
de proceso de Windows) Modelo de proceso
Entorno de .NET
API de coniguración
Características de Copias de seguri- Copias de seguridad de todo el sistema e incrementales:
dad de Windows Server Copias de seguridad de Windows Server
Herramientas de línea de comandos
Administrador del sistema de recur- Administra cargas de trabajo en servidores equitativamente
sos de Windows
Servidor WINS Servicios de asignación de nombre de Internet de Windows; debe ser innecesario
en casi todas las redes WS08
Servicios LAN Conigura conexiones inalámbricas y periles de red de área local (LAN, Local Area
Network)
Cada vez que una nueva función o característica se agrega a un servidor, se incluye automá-
ticamente en la consola del Administrador del servidor. Luego, cuando hace clic en una función
específica, la consola despliega un resumen del estatus de los servicios que dan soporte a la
función, además de un resumen de los posibles servicios que puede incluir la función. Cada vista
de resumen de función también incluye una sección Recursos y soporte técnico, que presenta los
pasos siguientes y las recomendaciones para la configuración de la función.
Se cubrirá mucho más acerca de Administrador del servidor a medida que se analice cada
función y característica de manera detallada en el resto del libro.
66 Parte I: Recorrido por Windows Server 2008
NOTA El Administrador del servidor sólo es para el servidor local. No puede conectarse a servidores
remotos, a diferencia de la consola Administración de equipos. Por esto, debe depender de una
conexión local o remota a un servidor para usar el Administrador del servidor.
La super MMC
Aunque el Administrador del servidor proporciona información que no aparece en otras con-
solas, la consola Administración de equipos aún es útil. En realidad, tal vez le interese convertir
esta consola en una herramienta que lo abarca todo. Puede crear una “súper” consola de admi-
nistración que incluirá todos los complementos que se requieren en una sola MMC. Recuerde
que necesitará instalar las Herramientas de administración remota del servidor antes de construir
esta consola. Además de todas las características de la consola Administración de equipos, puede
(y debe) incluir todos los complementos siguientes.
• Todos los complementos de Active Directory
• Edición de Interfaz de servicios de Active Directory (ADSI, Active Directory Services Interface)
• Administrador de autorización
• Copias de seguridad de Windows
• Autoridad de certificación (debe especificar el servidor que se administrará)
• Servicios de componentes
• Administración del equipo
• Infraestructura de clave pública (PKI, Public Key Infraestructura) empresarial
• Clústeres de conmutación por error
• Administración de directiva de grupo
• Configuración del cliente de NAP
• Servidor de directiva de red
• Monitor de confiabilidad y rendimiento
• Monitor de confiabilidad
• Escritorios remotos
• Conjunto resultante de directivas
• Configuración de Terminal Server (debe especificar el servidor que se administrará)
• Administrador de Terminal Services (debe especificar el servidor que se administrará)
• Firewall de Windows con seguridad avanzada (debe especificar el servidor que se
administrará)
• Control WMI (debe especificar el servidor que se administrará)
También puede agregar cualquier otro elemento, como DNS, administración IPSec y más.
Agregue cualquier complemento que considere necesario.
Como puede ver, esto crea una consola poderosa. Lo agradable es que, como se trata de una
consola MMC personalizada, puede vincularla con cualquier servidor de su red sin tener que
abrir una sesión de Escritorio remoto. Cree esta consola usando las siguientes instrucciones.
NOTA Para crear la consola en una PC, necesita Windows VISTA SP1 y las Herramientas de
administración remota de servidor. Busque ésta en www.microsoft.com/downloads.
Capítulo 2: Interactúe con Windows Server 2008 67
PARTE I
mmc %SystemRoot%\system32\compmgmt.msc /a
2. Acepte el indicador de Control de cuentas de usuario si no inició sesión con la cuenta de ad-
ministrador predeterminada.
3. Esto lanza la consola Administración de equipos en el modo de edición. Empiece por usar Ar-
chivo | Guardar como, para guardar la consola como Super MMC.msc bajo la carpeta C:\He-
rramientas (tendrá que crear la carpeta).
4. Use Archivo | Agregar o quitar complementos para abrir el cuadro de diálogo de complementos.
5. Haga doble clic en cada complemento de la lista anterior. Haga clic en Aceptar cuando haya
terminado.
6. Haga clic en Archivo | Opciones, llame a la consola Consola super MMC, en Modo de consola
elija Modo usuario: acceso completo y “desmarque”. No guardar los cambios en esta consola.
Haga clic en Aceptar cuando haya terminado.
7. Use Archivo | Guardar, para guardar sus cambios.
Esta consola tiene varios usos, pero es la herramienta más común que usará para administrar
su red de servidores. Puede copiarla en cualquier otro sistema, si cumple con los requisitos (sobre
todo la presencia de las Herramientas de administración). Además, puede usarla para conectarse
a cualquier sistema de su red. También encontrará que el Escritorio remoto completo es más útil,
porque le permite crear conexiones remotas automáticas con cada uno de sus servidores. A partir
de aquí, puede establecer una conexión remota con un solo clic.
Cerciórese de asegurar completamente esta consola, porque es poderosa. La mejor manera
de hacerlo consiste en almacenarla en su perfil, porque el contenido de todos los perfiles está
aislado de otros, como opción predeterminada.
El Escritorio remoto
El protocolo de escritorio remoto (RDP, Remote Desktop Protocol) sigue siendo una de las me-
jores maneras de administrar servidores remotos. Al igual que todas las versiones de Windows
Server, WS08 también incluye dos licencias gratuitas de Terminal Services para fines de admi-
nistración. Y como el Administrador de servidores no le permite conectarse con otro servidor,
Escritorio remoto puede ser la mejor manera de acceder a él.
Antes de que pueda trabajar con el escritorio remoto en cualquier servidor, necesita ase-
gurarse de que el servicio Escritorio remoto se ha activado en el servidor y que está listo para
aceptar conexiones remotas. La activación de Escritorio remoto es uno de los elementos que se
encuentran en la ventana Tareas de configuración inicial. Asegúrese de habilitarlo.
68 Parte I: Recorrido por Windows Server 2008
Luego, cuando esté listo para hacer una conexión remota, use el cliente Escritorio remoto
en su sistema para conectarse al servidor de su elección utilizando el nombre del servidor o su
dirección IP. También puede usar el complemento Escritorio remoto de la Microsoft Management
Console para crear una lista de conexiones de cada sistema. Luego podrá administrar fácilmente
las conexiones con varios sistemas en una sola interfaz.
SUGERENCIA Para conocer instrucciones sobre la manera de construir una consola de escritorio
remoto, vaya a http://searchwincomputing.techtarget.com/originalContent/0,289142,sid68_
gci1243095,00.html.
PRECAUCIÓN Necesita tener el cliente RDP versión 6.x para conectarse con el servidor WS08. Se
entregó mediante actualizaciones de Windows en diciembre de 2006, de modo que debe estar en
cualquier sistema que necesite usar. Si no, puede descargarlo de http://support.microsoft.com/
default.aspx/kb/925876.
El indicador de comandos
El indicador de comandos sigue sin cambio en WS08, pero se han agregado comandos indivi-
duales para hacerlo más poderoso. La principal ventaja del indicador de comandos es que se
agrega a una interfaz de caracteres para realizar operaciones de servidor. Esto significa que puede
capturar cada uno de esos comandos en una secuencia o en un archivo de procesamiento por
lotes que proporciona experiencias consistentes porque siempre repite las mismas acciones. Ade-
más, el indicador de comandos soporta la canalización de los resultados de un comando en un
archivo de texto. Esto significa que cuando se ejecuta un comando, sus resultados se almacenan
en un archivo de texto que puede revisar en una fecha posterior.
Esto es útil porque puede usarlo para ejecutar comandos diferidos y luego revisar los resul-
tados en un momento posterior. Los administradores pueden usar esto para crear una serie de
diferentes archivos de procesamiento por lotes o comandos (con la extensión de archivo .cmd
o .bat) y calendarizarlos para ejecutarse mediante el Programador de tareas de Windows. Los
resultados se canalizan en archivos de texto que pueden almacenarse en un solo lugar. Por ejem-
plo, si quiere conocer el estatus de sus servidores, puede usar el siguiente comando:
systeminfo /s nombreequipo >nombrearchivo.txt
Capítulo 2: Interactúe con Windows Server 2008 69
Donde nombreequipo alude al nombre del servidor que desea investigar. Si se omite, presenta
una lista con la información acerca del servidor local. Use nombrearchivo para identificar el nom-
bre y la ruta de un archivo al que quiera enviar la información. Puede incluir una serie de estos
PARTE I
comandos en un solo archivo de comandos y calendarizarlos para que generen automáticamente
los archivos de salida todos los días. Esto le ayuda a identificar rápidamente el estado de todos
los servicios en su red.
NOTA Éste es el método que se usa en el capítulo 13 cuando analicemos la automatización de casi
todas las más de 150 tareas administrativas que necesita realizar para mantener un entorno de
WS08.
WS08 incluye varios comandos nuevos para administración del servidor. Muchos se cubrirán
a medida que tratamos con la tarea real, pero si quiere una lista completa, revise la tabla 2-2.
Comando Descripción
auditpol Modiica las políticas de auditoría
bcdedit Editor de datos de coniguración de arranque
change Establece modos especiales de Terminal Server para registros de inicio de sesión, asignación
de puertos COM e instalaciones de software
chglogon Controla inicios de sesión
chgport Controla asignaciones de puerto COM para compatibilidad de aplicación en DOS
chgusr Cambia el modo de instalación de la aplicación
choice Le permite seleccionar un elemento de una lista de opciones y devolver el resultado
clip Se usa para redirigir la salida de la línea de comandos al Portapapeles
cmdkey Controla nombres de usuario y contraseñas almacenadas
diskraid Se usa para acceder a la ventana de comandos Diskraid
dispdiag Despliega diagnósticos
foriles Se usa para seleccionar un archivo o varios archivos para ejecutar un comando en ellos;
se usa principalmente en trabajos de procesamiento por lotes
icacls Controla las listas de control de acceso (ACL, Access Control List) en archivos
iscsicli Inicializa iSCSI
mklink Crea vínculos simbólicos y irmes
muiunattend Controla las acciones no atendidas de la interfaz de usuarios múltiples (MUI, Multiple
User Interface)
netcfg Instalador de red de Windows PE (WinPE)
ocsetup Coniguración opcional de componentes de Windows; útil para Server Core
pkgmgr Administrador de paquetes de Windows
pnpunattend Instalación de controlador en línea no atendida
pnputil Utilería Plug and Play (PnP) de Microsoft
quser Despliega información acerca de los usuarios registrados en el sistema
robocopy Copia robusta de archivos para Windows, antes en el kit de recursos
Comando Descripción
rpcping Hace ping con un servidor que usa llamadas a procedimiento remoto (RPC, Remote Procedure
Call)
setx Controla variables de entorno en el entorno del usuario o el sistema
servermanager- Proporciona soporte de línea de comandos para todas las funcionalidades de la consola
cmd Administrador del servidor
sxstrace Herramienta de traza de Windows de lado a lado (WinSxS, Windows Side byte Side)
takeown Controla la propiedad del archivo
timeout Controla los tiempos de espera en los archivos de procesamiento por lotes
tracerpt Se usa para generar informes de traza
waitfor Se usa para enviar, o esperar una señal del sistema:
Se usa /S para enviar la señal a un sistema especíico
Se omite /S para enviar la señal a todos los sistemas de un dominio
wbadmin Controla copias de seguridad y restauraciones
wceutil Controla el recolector de sucesos de Windows
wevtutil Controla los sucesos de Windows
where Se usa para desplegar la ubicación de los archivos que coinciden con una búsqueda determinada.
whoami Obtiene información de nombre de usuario y grupo, junto con identiicadores de seguridad (SID,
Security Identiiers), privilegios e identiicador de inicio de sesión del usuario actual (icha de
acceso) en el sistema local
winrm Controla la administración remota de Windows
winrs Lanza la shell remota de Windows
winsat Lanza la herramienta de evaluación del sistema de Windows
Windows PowerShell
Puede seguir trabajando con la shell de comandos y, en muchos casos, necesitará seguir ha-
ciéndolo, pero el lenguaje de comandos más poderoso de cualquier sistema Windows hoy en
día es el Windows PowerShell. El indicador de comandos no se ha actualizado desde la primera
versión de Windows NT, de modo que ya era hora de que se lanzara un nuevo entorno de shell
de comandos. Windows PowerShell debe agregarse como característica y luego puede lanzarse
mediante un acceso directo en el menú Iniciar. Windows PowerShell proporciona un entorno
de comandos completo, con llenado automático, ayuda instantánea y muchas formas de ayuda
administrativa.
Windows PowerShell está basado en .NET Framework y se requiere para ejecutarlo. Esto
significa unas cuantas cosas. En primer lugar, no se ejecuta en Server Core, la edición simple de
Windows Server 2008, porque Server Core no incluye una interfaz gráfica y el .NET Framework
tiene dependencias de la interfaz de usuario, aunque Microsoft está trabajando para corregir
esto. Necesitará seguir usando la shell de comandos tradicional si implementa Server Core en
su red, porque es la única interfaz disponible localmente en estos servidores. En segundo lugar,
Windows PowerShell no es un reemplazo para todas las herramientas de administrador disponi-
bles en WS08. Es una herramienta que está diseñada para ayudar en la realización automática de
tareas repetitivas. Como tal, es muy poderosa.
Capítulo 2: Interactúe con Windows Server 2008 71
Otro aspecto estupendo de Windows PowerShell es que soporta el concepto de alias para un
comando, y el equipo de Windows PowerShell ha creado e incluido alias para todos los coman-
dos de shell existentes. En realidad, para usar Windows PowerShell, no necesita aprender nada,
PARTE I
siempre y cuando esté familiarizado con el indicador de comandos existente. Pero si quiere des-
encadenar el poder de Windows PowerShell, será una ventaja que se aprenda todos sus coman-
dos (llamados cmdlets) y evite el uso de alias obsoletos.
Es fácil aprender cualquier comando de Windows PowerShell. Todo lo que necesita saber
son dos cosas. La primera es que cuando escribe uno, puede usar la tecla TAB para completar
automáticamente y recorrer en ciclo todas sus posibles opciones. Lo segundo que debe conocer
es la cmdlet Get-. Ésta se usa para obtener información de Windows PowerShell. De modo que
si escribe Get- en la cmdlet y luego oprime la tecla TAB, Windows PowerShell recorrerá en ciclo
todos los comandos disponibles. Esto debe proporcionarle una cantidad amplia de información
sobre las otras cmdlets que puede ejecutar. Recuerde incluir el guión al final, porque el comando
no se reconocerá sin él.
NOTA Podrá distinguir Windows PowerShell de la shell de comandos predeterminada por los
caracteres “PS” al inicio del indicador de comandos.
SUGERENCIA Tal vez esté familiarizado con el útil y poderoso juguete de Windows llamado
“Command Prompt Here”. Abre automáticamente un indicador de comandos en el lugar correcto
cuando hace clic con el botón derecho en una carpeta y usa esta herramienta poderosa. Le evita
tener que escribir largos y complejos nombres de carpeta. Windows PowerShell también tiene su
juguete poderoso. Puede obtener “PowerShell Prompt Here” de www.hanselman.com/blog/
IntroducingPowerShellPromptHere.aspx.
Se cubrirá más sobre Windows PowerShell mientras describimos los comandos administrati-
vos que necesita para mantener su infraestructura de servidor.
NOTA Para aprender más acerca de Windows PowerShell, examine los documentos de la carpeta
Documents de PowerShell (en el menú Iniciar), o vaya a www.microsoft.com/windowsser-
ver2003/technologies/management/powershell/default.mspx. Hay una práctica hoja doblada en
cuatro llamada “QuadFold.rtf” en la carpeta Documents que presenta una lista de los métodos
abreviados y la sintaxis de Windows PowerShell.
tualizado. Por supuesto, los entornos de servidor aislado no tienen este lujo, pero siempre puede
usar otro sistema para obtener la información.
El Centro de ayuda y soporte técnico es útil cuando comienza a trabajar por primera vez con
el sistema operativo, de modo que asegúrese de recorrerlo y tómese el tiempo para comprender
su estructura y contenido a medida que evoluciona con el paso del tiempo.
PARTE I
Internet Explorer
Carpetas virtuales
Cuenta estándar/ Se ejecutan como métodos abreviados El usuario estándar usa Ejecutar como admi-
administrativa nistrador
El Administrador aprueba indicadores de Con-
trol de cuentas de usuario
Ahora se permite Cambio rápido de usuario
en dominios
Panel de control Sistema Sistema y mantenimiento
Conexiones de red e Internet Redes e Internet
Centro de seguridad Seguridad
Sonidos, voz y dispositivos de audio Hardware y sonido
Agregar o quitar programas Programas
Cuentas de usuario Cuentas de usuario
Apariencia y temas Apariencia y personalización
Fecha, hora, idioma y opciones regionales Reloj, idioma y región
Opciones de accesibilidad Accesibilidad
Opciones adicionales
Incluye una lista de tareas en el panel de la
izquierda
Para completar la Administre su servidor Tareas de coniguración inicial
coniguración de Proporcionar información del equipo
una instalación Actualizar este servidor
de servidor Personalizar este servidor
Tareas de Administre su servidor Administrador del servidor
administración Administración de equipos
Conigure su servidor
Coniguración de seguridad
Agregar o quitar componentes de Windows
Shell de comandos Shell de comandos
PowerShell (complemento) Windows PowerShell (integrado, pero no en
Server Core)
Activación Sitio Web de Microsoft Servicios de administración de claves
Sitio Web de Microsoft para claves múltiples
de activación (MAK) y otras
Rendimiento Registros y alertas de rendimiento Rendimiento y diagnóstico
Server Performance Advisor Consola
Monitor del sistema
L
a preparación para una migración a Windows Server 2008 Explore los modos de
(WS08) requiere planeación y anticipación. En la parte I, instalación de Windows
descubrió lo que hace funcionar a WS08. Ahora necesita pre- Server 2008
parar los servicios que quiere entregar con base en este nuevo siste-
ma operativo. En esta sección se revisan algunos conceptos clave y
luego se muestra cómo construir elementos que necesita preparar
para su implementación. Cubrirá las instalaciones de WS08 y cómo
proceder con la migración.
CAPÍTULO
3
Planee para Windows Server 2008
L
as redes empresariales de hoy en día, sean de organizaciones pequeñas, medianas o gran-
des, necesitan responder a diversos requisitos, como se ilustró en el capítulo 1. Debido a
que la red es el núcleo de todos los ofrecimientos de servicio que la tecnología de la infor-
mación proporciona al negocio, debe planearse y probarse antes de implementarse. Después de
todo, lo último que quisiera sería introducir nuevos servicios que no cumplan con los requisitos o
que caigan en una situación crítica para el negocio.
Las redes empresariales han evolucionado de ser una serie de servidores y equipos más o
menos acoplados a constar de una infraestructura integrada que proporciona y soporta la misión
de la organización. Este proceso evolutivo no es diferente del que siguió el teléfono. Al principio,
los sistemas telefónicos estaban poco unidos. Hoy en día, los sistemas de telecomunicaciones
mundiales son mucho más complejos y completos. Y con las nuevas tendencias de convergencia,
la separación entre telecomunicaciones y la red IP está desapareciendo rápidamente. Es una ra-
zón por la que las redes son aún más críticas para la misión que nunca. Sin importar su tamaño,
la red empresarial debe tener una infraestructura segura, estable, redundante, que esté completa-
mente orientada a la entrega de ofrecimientos de servicios de tecnología de la información para
el negocio. Estos ofrecimientos pueden ir de simples sistemas de archivos e impresión a comple-
jos sistemas de autentificación, redes de área de almacenamiento (SAN, Storage Area Network)
o aplicaciones Web. Además, estos ofrecimientos de servicios pueden estar disponibles para dos
comunidades de usuarios diferentes: usuarios internos sobre los que tiene un control completo
de sus PC y usuarios externos sobre los que tiene poco o nulo control.
El paso a WS08 también debe incluir un cambio importante en su estrategia de infraestructura.
En realidad, el centro de datos del siglo XXI está ahora dividido en dos conjuntos de servicios:
• Ofrecimientos de servicios Servicios que están diseñados para proporcionar funcionalida-
des dadas a usuarios finales.
• Almacenes de recursos Recursos de hardware (procesadores, memoria, disco y recursos de
red) que se unen como en un almacén para permitir la operación apropiada de los ofrecimien-
tos de servicios.
Los ofrecimientos de servicios son instancias virtualizadas del sistema operativo (instancias
que están diseñadas para interactuar con usuarios finales y apoyarlos en la realización de sus
tareas diarias). Por tanto, los ofrecimientos de servicios son la cara hacia el exterior. Por otra parte,
el hardware se ve como un almacén de componentes cuya función consiste en proporcionar
77
78 Parte II: Planee y prepare
recursos para apoyar los ofrecimientos de servicios. Por tanto, el hardware sólo ejecuta software
de virtualización, o un hipervisor (un componente especial que expone los recursos de hardware
a sistemas operativos virtualizados). Esto es proporcionado por la función Hyper-V. Debido a que
los almacenes de recursos son administrados por un equipo de operadores que sólo interactúa
con los operadores y administradores de ofrecimientos de servicios y a que nunca necesitan tratar
directamente con usuarios finales, se considera que son la cara hacia el interior.
Mientras migra sus ofrecimientos de servicios actuales (que es más probable que se ejecuten
directamente en el hardware de su centro de datos) a Windows Server 2008, también los transfor-
mará en equipos virtuales. Esto significará volver a pensar las operaciones y las prácticas estándar
para obtener la mayor cantidad de beneficios y ventajas que ofrece la virtualización del servidor.
Es por eso que moverse o migrar a Windows Server 2008 representa mucho más un proyecto
de diseño de una infraestructura de red y de centro de datos que una simple actualización a una
nueva tecnología. Cada vez que cambia una tecnología que es tan crítica como el sistema opera-
tivo de su red, resulta importante, si no esencial, realizar las siguientes tareas:
• Revisar las necesidades y los requisitos corporativos.
• Revisar las características y capacidades del nuevo sistema operativo (una tarea que el capítulo
1 le ayudó a realizar).
• Diseñar un plan completo de arquitectura e implementación (dependiendo de procesos pro-
bados como ciclos de vida, modelos de construcción de sistemas y procedimientos operativos
estándar).
• Probar todos los aspectos de la implementación para asegurar su calidad.
• Pasar a la implementación real.
Alinear un proyecto de esta magnitud con las estrategias de trabajo de la organización
hará que la transición se acepte más fácilmente y que arroje más dividendos para todos los que
participen en ella. Son demasiadas las organizaciones que no pueden obtener por completo los
beneficios de una red empresarial porque nunca se han tomado el tiempo de dar cada uno de los
pasos. Como resultado, no obtienen el máximo potencial o rendimiento de su red.
NOTA Por supuesto, si se tomó el tiempo para preparar apropiadamente su red cuando migró a
Windows Server 2003, entonces la migración a WS08 será un proceso mucho menos arduo. Aún
debe revisar el contenido de este capítulo para asegurarse de que está usando recomendaciones
de las mejores prácticas en todos los aspectos de la red y que está aprovechando por completo la
virtualización.
PARTE II
Directory (ADDS). En el caso de organizaciones de todos los tamaños, siempre es mejor tomarse
el tiempo de centralizar todos los servicios de autentificación y autorización que los mantiene dis-
tribuidos a través del uso de grupos de trabajo, porque si se requiere un cambio, sólo debe hacerlo
en un lugar central. La organización que requiere una infraestructura de red de nivel empresarial
no invertirá en grupos de trabajo; invertirá directamente en ADDS, pasando por alto a los grupos
de trabajo, salvo, por supuesto, en circunstancias especiales. Este método de nivel empresarial es el
que se usará a través de la elaboración de la arquitectura empresarial para Windows Server 2008.
El sistema operativo de servidor es el núcleo de la red empresarial. Cuando se busca reem-
plazar este sistema operativo, es importante asegurar que se cubrirá cada aspecto de los servicios
que proporcionará la red. La mejor manera de hacer esto es usar el método del “ciclo de vida”.
Aquí son importantes dos ciclos de vida:
• El ciclo de vida del servidor El ciclo que un servidor individual recorre desde que se intro-
dujo en la red hasta su retiro.
• El ciclo de vida del ofrecimiento de servicios El ciclo que los servicios deben recorrer
desde el momento en que se introdujeron por primera vez en la red hasta su retiro.
El ciclo de vida del servidor, en especial, le permitirá diseñar la estructura básica de todos los
servidores, sean físicos o virtuales. Esto integrará las bases para el modelo de construcción del
servidor. Y, una vez que haya identificado los diferentes ofrecimientos de servicios requeridos en
su red, podrá concentrarse en la estabilidad de la misma. Es importante para ayudar a determinar
cuáles ofrecimientos de servicios se requieren para una red del tamaño de la suya.
Además, debido a que diversas personas realizan muchas operaciones dentro de la red, la
estabilidad de ésta mejora en gran medida con el uso de procedimientos operativos estándar a
través de cada aspecto del proceso de implementación y administración. Estos procedimientos
aseguran que siempre se usen las mejores prácticas para realizar operaciones, y simplificarán en
gran medida el soporte.
Tres herramientas adicionales ayudarán en la construcción de la nueva red, o de la actualizada:
• Un modelo de construcción y administración de un sistema Un modelo para diseñar
todos los sistemas de cómputo de su red.
• Procedimientos operativos estándar No para dirigir todas las operaciones, sino para ase-
gurar cierta forma de control de calidad sobre la manera en que cada miembro de su equipo
realiza actividades administrativas, de implementación y de operación.
• La pila de red Debido a que Windows Server 2008 está diseñado para construir y mantener
ofrecimientos de servicios en red, es importante comprender la pila de red que ofrece.
80 Parte II: Planee y prepare
Una vez que tenga todas estas herramientas a la mano, podrá seguir adelante con la cons-
trucción de su nueva red.
PARTE II
usar servidores virtualizados en cualquier organización. Para calcular el número de licencias
que necesita para ejecutar equipos virtuales, vaya a las Windows Server Virtualization Calcu-
lators en www.microsoft.com/windowsserver2003/howtobuy/licensing/calculator.mspx.
Por tanto, cuando se selecciona hardware de servidor, debe considerar la virtualiza-
ción como la función central que este sistema tendrá. El sistema de virtualización ideal se
ejecutará en hardware de 64 bits, superando todas las limitaciones de memoria y propor-
ciona la plataforma para rendimiento extendido al soportar varias funciones de servidor
en un solo equipo físico.
No debe considerar la compra de cualquier otro hardware que no sea de 64 bits,
porque WS08 es el último sistema operativo de servidor de 32 bits de Microsoft. Con el
lanzamiento de WS08 R2 en 2009, Microsoft ya no ofrecerá sistemas operativos de servi-
dor de 32 bits, excepto para versiones de menor nivel de Windows. Es correcto: WS08 R2
sólo está disponible para versiones de 64 bits.
responsable de la propiedad y del servidor, y la toma hasta el retiro. El proceso empieza con la
recepción del servidor y su entrada en la base de datos de administración de la configuración. En
el caso de servidores virtuales, esto debe incluir al solicitante, el propósito, la configuración, la
duración esperada de la solicitud, etcétera. Luego empieza el proceso de construcción del servi-
dor. Aquí los servidores recorren el proceso de la puesta en funcionamiento. En esta etapa, sólo
los elementos de software genérico se cargan en el servidor. Una vez más, este proceso difiere
ligeramente entre servidores físicos y virtuales. En el caso de servidores físicos, esto incluiría un
sistema operativo de núcleo minimalista, software antivirus, software de administración y un
hipervisor que soporta la virtualización. En el caso de servidores virtuales, esto incluiría el sistema
operativo, software antivirus, software de administración y herramientas de kit de recursos (todo
lo que es completamente genérico o que incluye una licencia para la empresa y, por tanto, no
conlleva costos adicionales). Ambos forman sus respectivos kerneles de servidor.
A continuación, se configura el servidor. Esta etapa cubre la aplicación del software que
soportará la función específica del servidor dentro de la organización.
La etapa de preparación final es la prueba del servidor. Esto debe incluir pruebas de estrés
además de pruebas de aceptación de la configuración. Una vez que se haya completado esta fase,
el servidor está listo para producción.
Poner el servidor en producción a menudo significa recuperar información, incluidos pará-
metros de seguridad de otro servidor, y migrarlo al nuevo modelo, a menos, por supuesto, que el
82 Parte II: Planee y prepare
servidor esté diseñado para ofrecer una nueva función dentro de la red. Una vez que se da este
paso, el servidor entra oficialmente en el ciclo de producción. La administración de tecnología de
la información para el servidor se concentra en las tareas administrativas de rutina, actualizacio-
nes de software y aplicación de services pack, además de monitoreo de rendimiento y capacidad.
Todo se realiza con base en un calendario. Esta fase también incluye reparación o expansión del
servidor físico, si se requiere. Aunque casi todas las tareas tendrán como objetivo la operación
remota, algunas reparaciones tal vez requieran apagado y acceso físico al servidor. Por ejemplo,
es difícil actualizar remotamente la memoria del servidor. Los administradores que han trabajado
con Windows Server 2003 sabrán que todos los apagados deben documentarse y justificarse me-
diante un cuadro de diálogo de apagado con numerosas opciones, el Rastreador de eventos de
apagado. Aunque esto era menos que útil en WS03, ahora se ha vuelto el eje del Monitor de ren-
dimiento en WS08. Éste rastrea el nivel de confiabilidad del servidor desde el momento en que
se introduce en la red hasta que se retira, y proporciona datos continuos acerca del estado del
servidor. El Monitor de rendimiento puede encontrarse dentro del Administrador del servidor.
Por último, después de que esté completo el ciclo de vida, el servidor alcanza la obsoles-
cencia y debe retirarse de la red. Luego se reemplaza con nuevos servidores que han, a su vez,
empezado un nuevo ciclo de vida dentro de la red empresarial (vea las figuras 3-1 y 3-2). Este
ciclo afecta a los servidores físicos y virtuales, porque cualquier instancia tendrá un ciclo de vida
propio. Observe las cuatro fases importantes de este proceso:
• La fase de planeación
• Preparación e implementación
• Producción
• Retiro
Estas cuatro fases reaparecerán cuando se analice el ciclo de vida del servicio.
ro
Reti Pr
Nuevo servidor oc
es
o
Pl de
an
ea
co
Ensamblado c
m
Obsolescencia
pr
ió
a
n
-K-
Retiro del -A-
servidor Preparación
-J-
Reparaciones -B- Solicitud de
n
cció
software
-I-
PARTE II
Administra-
ción de -C-
rendimiento Adquisición
y manteni-
e IT
de software/
parches -H- -D-
Actualización Llegada e
de software/ inventarios
inis
del servidor
seguridad
adm
-G- -E-
Instalación
de
Implementa- Puesta en
ción del funciona- de la imagen de
o
Solicitud -F-
ces
P
re
pa
Instalación ra
Prueba del servidor ión c
ei
mp
lem
enta
ción
FIGURA 3-1 El ciclo de vida del Servidor físico cubre todos los aspectos de su existencia en la red de su empresa.
NOTA Este ciclo de vida de ofrecimiento de servicios se presentó originalmente en Windows Server
2003: Best Practices for Enterprises Deployments, por Danielle Ruest y Nelson Ruest (McGraw-
Hill, Osborne, 2003). El modelo se derivó de un modelo original presentado por Microsoft en un
proyecto llamado “Planning, Deploying, and Managing High Available Solutions” (“Planeación,
implementación y administración de soluciones de alta disponibilidad”), lanzado en mayo de 1999.
El modelo del ciclo de vida del servicio de tecnología de la información de Microsoft se encuentra en
www.microsoft.com/technet/archive/ittasks/plan/sysplan/availsol.mspx?mfr=true.
84 Parte II: Planee y prepare
Solicitud de cambio
Obsolescencia • Implementación/ planeación/
• Planeación de reemplazo o diseño/ racionalización
actualización • Arquitectura empresarial
• Extraíble/limpieza (estandarización)
Retiro Planeación • Prueba de funcionalidades
• Principales/reglas/estándares
Personas/PC/
procesos
Operaciones
• Administración Certificación
Producción Preparación
• Administración de problemas, • Adquisición/introducción
e implemen-
soporte técnico al usuario, o ambos • Arquitectura técnica
tación
• Administración del cambio • Instalación inicial
PARTE II
• Configuración, administración de • Configuración inicial
activos, o ambos • Creación de imagen del
Acuerdos de nivel de servicio paquete, el servicio, o ambos
(SLA, Service Level Agreement) • Prueba de entornos
• Administración de optimización/ • POC/proyecto piloto/
rendimiento/capacidad/disponibilidad/ implementación masiva
confiabilidad/redundancia/capacidad
de respuesta
FIGURA 3-3 El ciclo de vida del servicio muestra las cuatro fases del ciclo de vida de un servicio: planeación,
preparación e implementación, producción y retiro.
Además, también querrá realizar pruebas de compatibilidad de las aplicaciones (probar aplica-
ciones existentes para ver si operarán con el nuevo servicio y el nuevo sistema operativo). Recuerde
que WS08 se basa en código de Windows Vista, y como éste modificó la manera en que funcio-
nan las aplicaciones, sobre todo mediante la característica Control de cuentas de usuario, querrá
asegurarse de que todas y cada una de las aplicaciones de servidor se ejecutarán apropiadamente.
El resultado de estas pruebas debe ser un informe completo de impacto sobre productos afectados.
Este informe debe incluir procedimientos de actualización o recomendaciones de reemplazo.
SUGERENCIA Para conocer más información sobre compatibilidad de las aplicaciones de Vista,
descargue “Chapter 6: Preparing Applications” (Capítulo 6: preparación de aplicaciones) de la
Deinitive Guide for Vista Migration en www.realtime-nexus.com/dgvm.htm.
SUGERENCIA Para conocer más información sobre arquitecturas de la empresa y los principios que
los orientan, consulte la sección “Architectures” (Arquitecturas) de la página “Articles” del sitio
Web Resolutions en www.reso-net.com/articles.asp?m=8.
proporciona los parámetros técnicos específicos que se aplicarán al ofrecimiento de servicios durante
su instalación y el resto de su ciclo de vida dentro de la red. Se basa en las orientaciones delineadas
en la arquitectura de la empresa y simplemente detalla los puntos específicos de la implementación.
El ciclo de vida pasa entonces a la instalación y la configuración inicial y el empaquetado/mon-
taje, la puesta en funcionamiento, o ambos. El empaquetado se usa si los ofrecimientos de servicios
dependen de un producto de software o una adición a la red actual. La puesta en funcionamiento
se usa si el servicio depende de una característica del nuevo sistema operativo. Con Windows Ser-
ver 2008, necesitará depender de ambos procesos, porque tendrá una tendencia a empezar con la
instalación inicial o la puesta en funcionamiento de sus servidores y luego seguir con la aplicación
de la función específica que el servidor tendrá en su red. El empaquetado suele usarse para volver
automático el proceso de instalación del software o el ofrecimiento de servicios.
La prueba es la siguiente etapa, y es vital porque asegura la estabilidad de cualquier nuevo ofre-
cimiento de servicios introducido en su red de producción. Hay varios niveles diferentes de prueba:
• La prueba de unidad valida que el ofrecimiento de servicios opere en un entorno indepen-
diente y ayude a descubrir a los técnicos las complejidades de una característica.
• La prueba funcional empieza el proceso automático para la instalación de ofrecimiento de
servicios. También incluye una revisión de igual a igual para asegurar que el ofrecimiento de
servicios opere como se esperaba.
• La prueba de integración valida la coexistencia del ofrecimiento de servicios con otros ofreci-
mientos en el mismo equipo o la misma red.
• La prueba de puesta en funcionamiento es la prueba final de aspectos únicamente técnicos y
confirma que el proceso de implementación no tenga fallas y siempre opere como se espera.
• La prueba de aceptación es parte del proceso de prueba de puesta en funcionamiento y da a los
usuarios finales el derecho de mejorar el ofrecimiento porque está empaquetado y preparado.
Por último, el ofrecimiento de servicios está listo para implementación. Ésta puede hacerse en
varias etapas. Otra prueba de concepto (POC) puede usarse para realizar una validación final del
ofrecimiento de servicios en operación. La audiencia de destino para esta POC suele constar del
equipo de proyecto y algunos de sus asociados más cercanos. Esto es seguido por un proyecto pilo-
to que prueba todos los aspectos de la metodología de implementación, incluidos procedimientos
técnicos y administrativos. La implementación masiva sigue a un proyecto piloto que tiene éxito.
No todos los ofrecimientos de servicios deben atravesar una segunda prueba de concep-
to. Ésta sólo se aplica si la población de destino para el ofrecimiento es muy grande (mil o más
usuarios) y la organización requiere una segunda validación. Sin embargo, sin importar el tama-
ño de la población de destino, siempre necesitará proceder con un proyecto piloto antes de la
implementación. Los proyectos de implementación le permiten probar la solución de implemen-
tación con un pequeño porcentaje de su población de clientes. Esta prueba le permite validar la
operación apropiada de cada parte de su solución. Si no realiza proyectos pilotos, encontrará que
sus costos de soporte técnico aumentarán, porque está a punto de descubrir problemas una vez
que el ofrecimiento esté en producción, problemas que normalmente habría captado en el piloto.
Una vez que se implemente el ofrecimiento de servicios, entra en la fase de producción de
su ciclo de vida. Aquí, administra y mantiene un inventario completo de servicio, cambios de
control, trato con problemas y soporte a usuarios. Debe implementar y administrar los acuer-
dos del nivel de servicio (SLA) para cada ofrecimiento de servicios que despliegue. Los SLA se
concentran en el rendimiento y la capacidad de análisis, la planeación de redundancia (copia de
Capítulo 3: Planee para Windows Server 2008 87
PARTE II
ye. El del ofrecimiento de servicios se aplicará más específicamente en las funciones o configura-
ciones que da a sus servidores virtuales mientras los prepara para implementación. Para simplifi-
car ambos procesos, necesitará otro modelo: el de construcción y administración.
NOTA Este modelo fue presentado por primera vez en .NET Enterprise Technologies, de Nelson Ruest
y Danielle Ruest (Pearson Education, 2001), y se denominó originalmente “Modelo de punto de acce-
so de servicio o de objeto SPA”. Se ha rebautizado aquí como PASS para relejar mejor su naturaleza.
Herramienta
corporativa
Función del Agrupamientos Desarrollo de Confidencialidad Soporte de la Aplicaciones críticas
sistema departamentales aplicaciones de la información misión para la misión
Protocolo único para Estructuras de Estructura única de asigna- Método único de creación Secuencias de co-
trabajo en red dos LDAP ción de nombres a objetos de secuencias de comandos mandos certificadas
Equipos Almacenamiento
Física máximo en disco duro
Estándares DMTF
Servidores Cableado Impresoras Escáneres Todos los demás componentes de
hardware de la estructura de TI
©2002-2007, Resolutions Enterprises, Ltd.
FIGURA 3-4 Las nueve capas del modelo PASS se aplican a PC y servidores.
• Comunicaciones
• Aplicaciones comerciales
• Presentación
• Aplicaciones corporativas
Gráficamente, el modelo PASS representa un diseño que es muy similar al modelo de referen-
cia OSI con la adición de otras dos capas. Este modelo demuestra cómo puede construir y presentar
tecnologías de la información de maneras comprensibles para auditorios técnicos y no técnicos.
Pero gran parte de ellas, no están representadas en este tipo de diagrama. Una separación de todos
los servicios en capas lleva al lector a imaginar que cada capa puede ser independiente con su pro-
pio modelo de administración y sus propios métodos para entregar servicios. No es así.
En realidad, aunque todas las capas están relacionadas entre sí de maneras específicas, algu-
nas tienen una relación más fuerte que otras. Al examinar el contenido de cada capa, puede ver
Capítulo 3: Planee para Windows Server 2008 89
que algunas deben implementarse en cada servidor, mientras que otras se orientan a funciones
específicas de servidor. Estos métodos de componentes “comunes” en comparación con “especí-
ficos” deben influir en la construcción del modelo de nueve capas. Para proporcionar un modelo
claro de construcción, las nueve capas deben reagruparse en secciones específicas que están
orientadas a cada servidor único y otras que están orientadas a grupos de servidor que tendrán
funciones específicas dentro de la red.
Por esto, el modelo se reestructura en seis secciones. Este nuevo diagrama puede servir ahora
como un mapa para el diseño y la implementación de un servidor. Éste es el modelo PASS. Entre
sus secciones se incluyen:
• Física Componentes físicos estándar
PARTE II
• Kernel del sistema PASS Todos los componentes comunes a todos los servidores
• Aplicaciones comerciales basadas en funciones Los componentes que están instalados
en un servidor y se encuentran a disposición de todos los usuarios del servidor.
• Aplicaciones comerciales ad hoc Componentes comerciales que están instalados en pocos
servidores, a pesar de su función.
• Aplicaciones corporativas basadas en funciones Componentes instalados en un servidor,
pero cuyo acceso está restringido a usuarios específicos y autorizados.
• Aplicaciones corporativas ad hoc Componentes corporativos que están instalados en
pocos servidores, sin importar su función.
En el eje de este modelo se encuentra el concepto de estandarización, sobre todo dentro de
las secciones de kernel físico y de servidor (el kernel es el componente que se instala como nú-
cleo de cada servidor). Estandarización no significa reducción de calidad; simplemente significa
hacer todo de una sola manera, unificada. Por sí solo, esto puede reducir enormemente los costos
de TI en la empresa. El modelo PASS despliega claramente los mecanismos que pueden usarse
para construir servidores, siempre y cuando se disponga de estándares para dar soporte a todos
los procesos que identifique (vea la figura 3-5).
Herra
s mie Pres
ne n en
Co tas
c
ci o
ho
m d
fun
ta
u
Alm Seg n
ad
ci duct
e a ci
en
ón
u
ial
Trab acen
pr ón
Ap
ic dad nto
ado
erc
o
ri
a
lica
SO j o
com
bas
am n red
C
cion
ivid
e tral
ie
omercial
Soft ware
en
das
i vas
e
ad
n fun
ho
cio
c
n
es
de los sistemas de 64 bits, tienen que certificarse todos los controladores; como resultado, es una
buena práctica aplicar la regla a todos los modelos de servidor, si se puede. Cuando la estabilidad es
la principal prioridad, es fundamental la reducción del número de posibles fuentes de problemas.
La sección física siempre debe basarse en estándares de la instancia, como las delineadas por la
Desktop Management Task Force (DMTF, fuerza de tareas de administración de escritorio). Encon-
trará más información acerca de la DMTF y los estándares que promueve en www.dmtf.org.
NOTA Si opta por pasar a un centro de datos virtualizado, entonces todo el hardware de servidor
será de 64 bits y todos los componentes de servidor estarán certiicados. Esto asegurará que las
instancias virtuales del sistema operativo que ejecuta en esos equipos físicos no sufrirán fallas
debido a componentes no estándar o no certiicados.
El kernel del sistema PASS es la sección que le ahorrará más a su organización, porque
proporciona el marco conceptual para la integración de servicios comunes de PASS en una sola
unidad. Esto significa que la organización debe empezar por idear el contenido técnico de cada
una de las capas secundarias del kernel, las reglas y directrices que las rigen y sus subcapas
de personalización o interacción. Esta información puede usarse para crear interactivamente
sistemas de referencia que servirán como fuente para la instalación automatizada de todos los
servidores en la red.
Capítulo 3: Planee para Windows Server 2008 91
Con el uso de nuevos métodos de creación de imágenes del sistema o tecnologías de im-
plementación de Windows, puede capturarse el kernel completo en una sola fase de instalación.
Esta imagen del sistema puede desplegarse para cada servidor físico dentro de la red y proporcio-
na un solo estándar unificado. Se trata de una correlación directa con la nueva configuración ba-
sada en imagen que soporta WS08 y Vista. Además, tener una imagen de sistema central facilitará
en gran medida el aprovisionamiento de servidores y la restauración de éstos en caso de fallas.
En cuanto a los ofrecimientos de servidores virtuales, esta imagen estándar se captura con mayor
facilidad, porque sólo requiere que haga un duplicado de los archivos del disco que integran el
servidor y luego utilice esta copia en los demás servidores.
Pero la automatización no es el único requisito. La planeación es esencial, porque el nuevo
sistema estará disponible para todos los usuarios. Aquí la organización necesitará identificar el
PARTE II
contenido específico de cada subcapa empleando las directrices descritas anteriormente. Sólo los
componentes de software de toda la organización se incluirán en el kernel del servidor. En esta
etapa, también será vital preconfigurar apropiadamente la sección de presentación del sistema de
referencia que sirve como el dispositivo de origen antes de la reproducción.
El kernel del sistema incluye la subcapa de presentación. Si TI es un servicio, entonces ésta
es la sección más importante de todo el kernel. Es el único aspecto con el que los usuarios y los
administradores interactuarán a diario. La presentación no se detiene en el escritorio. Todos los
elementos que los usuarios pueden ver en un sistema deben estar estandarizados. La organiza-
ción ahorra mediante reducciones evidentes en capacitación, porque la interfaz de cada sistema
es exactamente igual. Si todos los discos, los escritorios, los menús y las características de des-
pliegue están estandarizadas en todos los servidores, los usuarios finales (aun los administrado-
res y técnicos) siempre podrán realizar rápidamente su trabajo en cualquier servidor o PC dentro
de la red. En el caso de los recién llegados, la organización puede capacitarlos sobre la manera de
usar sus propios sistemas corporativos, no sobre el uso básico de Windows.
La sección de software comercial basado en funciones incluye todas las aplicaciones comer-
ciales que no tienen una función crítica para la misión y que deben instalarse en un servidor, con
base en su función en la red. Esta capa obtiene beneficios del proceso de racionalización y pro-
porciona aplicaciones simples para cualquier tarea determinada de tecnología de la información.
Esta sección, sobre todo la subsección de aplicación comercial especial, puede ahorrar tiempo
y dinero, porque las aplicaciones están agrupadas como familias funcionales de productos que
proporcionan servicios especializados. Por tanto, la implementación de estas aplicaciones puede
realizarse mediante la asignación de la familia de aplicaciones a grupos específicos de servidores
(o funciones de servidor) dentro de la organización.
Aquí, será importante que la presentación de todas las aplicaciones sea similar (que todos los
métodos abreviados de menú estén almacenados de manera coherente en ubicaciones apropia-
das, que los métodos abreviados ajenos se eliminen, que todos los programas estén almacenados
dentro de una estructura de disco unificada y que todos los procedimientos de guardado usen la
misma carpeta predeterminada). Estos elementos forman los estándares de esta sección.
Las aplicaciones comerciales ad hoc son las que deben instalarse en servidores, sin im-
portar la función que desempeñen. Por ejemplo, una aplicación de monitoreo especial tal vez
necesite instalarse cuando está enfrentando problemas con un servidor particular, pero se
eliminaría una vez que el problema esté resuelto. Por tanto, es una aplicación ad hoc. Debido a
que estas aplicaciones aparecen en todas las funciones de servidor, se requiere sólo en servido-
res específicos.
92 Parte II: Planee y prepare
PARTE II
o ambas Programación de tareas, coniguraciones de admi-
nistración de sucesos, o ambas
Trabajo en red Para aplicar estándares de red: Para aplicar estándares de red:
IPv4, IPv6 o ambos IPv4, IPv6 o ambos
Identiicación de servidor (nombres de Identiicación de servidor (nombres de host, NetBIOS)
host, NetBIOS, equipo) Pertenencia al dominio o grupo de trabajo
Pertenencia al dominio o grupo de Arranque, apagado, inicio de sesión y secuencias
trabajo de comandos de salida
Redes privadas virtuales/componentes de enruta-
miento y acceso remoto
Componentes de cola de mensajes
Nota: también puede ser un hipervisor de terceros.
Almacenamiento Para estandarizar la manera en que se Para estandarizar la manera en que se presenta la
presenta la información: información:
Unidades físicas compartidas (alma- Unidades físicas idénticas: sistema operativo,
cenamiento adjunto a la red, red de datos y registros (si se requieren)
área de almacenamiento) para los Discos lógicos idénticos
sistema operativo y los datos Árbol local: software actual y heredado
Discos lógicos idénticos Árbol local: datos
Árbol local: software actual y heredado Árbol de red (sistema de archivos distribuido o DFS)
Árbol local: datos Parámetros de replicación (replicación de DFS)
Árbol de red (sistema de archivos distri- Requisitos de base de datos
buido o DFS) Mecanismos de protección de sistema operativo
Parámetros de replicación (replicación y datos
de DFS)
Mecanismos de protección de sistema
operativo y datos
Seguridad Para estandarizar el control de acceso: Para estandarizar el control de acceso:
Propietario del sistema Propietario del sistema
Directivas de grupo local Periles de usuario y directivas de grupo local
Local (sistema de archivos de nueva Local (NTFS o sistema de archivos de nueva tecno-
tecnología o NTFS) y derechos y logía) y derechos y permiso de acceso a red
permiso de acceso a red Administración central de control de acceso
Administración central de control de Administración de directiva de grupo
acceso Software antivirus
Administración de directiva de grupo Detección de intrusión y herramientas de auditoría
Software antivirus Cifrado de sistema operativo
Detección de intrusión y herramientas Cifrado de datos
de auditoría Cifrado de transporte
Una vez que haya configurado la imagen de su sistema, necesitará implementar un proceso
actualizado de administración para asegurarse de que está al día. El mejor programa es uno que
cada trimestre genera una nueva versión de la imagen. Entre tanto, se aplican parches a la ima-
gen implementándola y luego aplicando los parches una vez que la imagen se ha implementado.
La práctica le ayudará a determinar cuál es el mejor programa.
Además, debe usar una estrategia de asignación de nombres para imágenes. Use números
enteros para cada versión importante, y use números con punto para cada actualización/parche
que aplique. Por ejemplo, la imagen 1.02 sería la primera imagen que cree con dos niveles de
parches, y la imagen 2.00 sería la primera reconstrucción completa de una imagen.
que siempre puede mantener el equipo de referencia. En una instalación física, es difícil
mantenerlo, porque necesita el hardware que trabaje con él. Esto significa que precisa
reconstruir el equipo de referencia cada vez que quiera actualizarlo.
Pero en los equipos virtuales puede construir el equipo de referencia, copiar los archivos
que lo integran mientras mantiene el equipo de referencia original como está, despersonali-
zar la copia y usarla para sembrar nuevas instalaciones del sistema. Luego, cada mes, a me-
dida que se lanzan parches, puede actualizar el equipo de referencia y repetir este proceso,
que es más largo en el caso de instalaciones físicas, porque no puede mantener el equipo de
referencia tan fácilmente como en el caso de las instalaciones virtuales.
PARTE II
Conigure funciones de servidor
Ahora que ha creado el kernel de su sistema, puede proceder a la identificación de las funciones
del servidor. Esto se hace al agrupar los tipos de servicios por afinidad. Ciertos tipos de servicios
o funciones no son compatibles, mientras que otros tienden a caer en la misma categoría. Como
resultado, tendrá funciones que se definen por el tipo de servidores de software que se ejecutan y
el tipo de servicio que entregan. Surgen ocho categorías principales (vea la figura 3-6):
• Infraestructura de red y servidores físicos Estos servicios proporcionan funciones
esenciales de la red, como direccionamiento IP o resolución de nombres, incluido el soporte
para sistemas heredados. También proporcionan servicios de red privada virtual (VPN, Virtual
Private Network) y enrutamiento y acceso remoto. Y como son un servicio de nivel básico,
ejecutan la función de virtualización en equipos físicos.
• Servidores de administración de identidad Estos servidores son los administradores de
identidad centrales de la red. Contienen y mantienen toda la base de datos de identidad de la
corporación para todos los usuarios y todo el acceso de usuarios. En el caso de WS08, serían ser-
vidores que ejecutan ADDS. Esta función no debe compartirse con otra, hasta donde sea posible,
a menos que se trate de una función esencial para la red, como la resolución de nombres.
• Servidores de archivo e impresión Estos servidores se concentran en la provisión de al-
macenamiento y servicios de documentos estructurados para la red. Como verá, estas funcio-
nes están muy expandidas en WS08 y forman la base del intercambio de información dentro
de esta tecnología.
• Servidores de aplicaciones Estos servidores proporcionan servicios de aplicaciones a la
comunidad de usuarios. Entre los ejemplos de WS08 estarían Exchange Server, SQL Server,
etcétera; en realidad, cualquier servicio del sistema de Windows Server.
• Servidores de terminal Estos servidores proporcionan un entorno de ejecución central de
aplicaciones para usuarios. Los usuarios sólo necesitan una infraestructura mínima para acce-
der a estos servidores, porque todo su entorno de ejecución reside en el propio servidor.
• Servidores Web dedicados Estos servidores se concentran en la provisión de servicios Web
para comunidades de usuarios. Esta edición Web de WS08 está específicamente diseñada para
cumplir estas necesidades.
• Servidores de colaboración Estos servidores proporcionan la infraestructura para el trabajo
de equipo en la empresa. Entre sus servicios se incluyen Windows SharePoint Services (WSS),
transmisión de flujo en servicios multimedia y comunicaciones en tiempo real.
96 Parte II: Planee y prepare
Servidores de
archivos e impresión Servidores de aplicaciones Servidores de terminal Servidores Web dedicados Servidores de colaboración
Servidores de Servidores de
infraestructura de red administración de identidad
nueva red), pero no todos estarán necesariamente dispuestos a participar por completo en el nuevo
sistema operativo o en este proyecto, porque puede haber alguna resistencia a este cambio.
Ésta es la razón por la que una de las primeras tareas que debe emprender es definir su
concepto de proyecto. Un concepto le ayudará a identificar los objetivos de la implementación.
También le ayudará a delinear el alcance del cambio que quiere implementar y la dirección que
necesita tomar. Y, junto con las herramientas de administración del cambio descritas antes, le
ayudará a concentrarse en el proyecto para que todos estén en el mismo barco.
Microsoft, mediante el marco conceptual de soluciones de Microsoft, usa el método SMART
para la definición del concepto. SMART (inteligente) son las siglas de Specific, Measurable,
Attanaible, Result-oriented and Timing (específico, medible, alcanzable, orientado a resultados
y a tiempo). La declaración del concepto que defina debe incluir todos estos elementos (debe
PARTE II
especificar lo que quiere hacer en pasos medibles y alcanzables, que estén orientados a resulta-
dos y que especifiquen el tiempo que tomará hacer el cambio). También debe incluir información
acerca de la entrega del servicio, por lo general para los usuarios. Por ejemplo, una visión para
una implementación de WS08 podría ser:
“Diseñar e implementar una red estructurada y estandarizada que se base en las capacidades
inherentes de Windows Server 2008 para mejorar nuestra capacidad de cumplir con las nece-
sidades del negocio y el usuario mediante la implementación de un centro de datos dinámico, y
completar el proyecto dentro del año siguiente.”
Este concepto incluye todos los elementos descritos antes. Además, es corto, fácil de com-
prender y de recordar.
¿Cuál es la razón de que exista un concepto? Asegurar que el proyecto de implementación
se oriente a los objetivos correctos. Una de las grandes fallas de los proyectos tecnológicos es que
no siempre aprovechan por completo las capacidades de la tecnología. Por ejemplo, en el capítulo
1, definimos las características de WS08 y debido a este nuevo conjunto de características, queda
claro que Windows Vista es el cliente de elección para WS08. Por supuesto, WS08 trabaja con
clientes de nivel menor, pero si quiere aprovechar por completo sus capacidades en la red actua-
lizada, debe asegurarse de implementar o usar Windows Vista en su PC cliente.
En resumen, el concepto está allí para asegurar que no olvide que está implementando
una nueva tecnología (una tecnología que supera a la que está reemplazando y que a menudo
proporciona una gran cantidad de nuevas maneras de hacer las cosas). Lo peor que puede suce-
derle a su red es que no tenga esto en cuenta y que siga usando métodos antiguos cuando están
disponibles otros más recientes y eficientes (todo simplemente porque usted no sabe o no quiere
saber que existen). ¡No deje que esto le pase a su proyecto! No adapte la nueva tecnología a sus
métodos antiguos; adapte sus métodos antiguos a la nueva tecnología.
Además, asegúrese de usar un método estructurado para realizar el diseño de su nueva red
de servicios. Una de las mejores maneras de hacer esto consiste en introducir el concepto de
procedimientos operativos estándar (POE), si no los está usando aún.
diseñado también proporcionará un punto de contacto para referencia si algo sale mal durante su
operación, dejando que su personal entremezcle sus habilidades y dependa de los demás cuando
surjan problemas.
Pero el personal técnico no siempre conoce bien los procedimientos y las operaciones de
documentación y estandarización. A menudo, a los técnicos les resulta más fácil simplemente
mantener todo en mente y saber qué hacer si surge un problema específico. Aunque este méto-
do funciona y ha dado resultados probados, su mayor desventaja recae en la disponibilidad del
personal clave (cuando éste ya no está disponible, el conocimiento desaparece de la empresa).
Por otra parte, a menudo es difícil para las organizaciones asignar un presupuesto para la docu-
mentación de los POE. Es un proceso que consume tiempo y cuyos beneficios no siempre son
evidentes de inmediato para la administración.
Debido su valor probado, los POE se usarán aquí siempre que se pueda. Cada vez que deba
delinearse un procedimiento, se hará a través de un POE. Por tanto, puede ahorrar mucho tiem-
po y esfuerzo con sólo adaptar a la empresa el POE de este libro, de acuerdo con las condiciones
de su situación particular.
Un POE es un conjunto documentado de instrucciones que deben seguirse para completar un
procedimiento determinado. Se concentra en maximizar la eficiencia durante la recolección de los
requisitos de operación y producción. Una vez implementados, los POE apoyan los niveles de
servicio garantizados y se vuelven la base de la elaboración de los acuerdos de nivel de servicio.
Cuando se definen bien, los POE permiten que una organización mida el tiempo que toma rea-
lizar una tarea dada. Estos procedimientos también se usan para simplificar la detección y solución
de problemas, porque todos los procesos son iguales en todos lados. Por último, los POE propor-
cionan redundancia y reducción de costos en administración, porque todos los técnicos y adminis-
tradores de red usan los mismos procesos en cualquier lugar en que se encuentren y no se requiere
volver a capacitarlos. Por tanto, los POE que escriban también se volverán el núcleo de cualquier
programa de capacitación técnica que proporcione al personal administrativo de su empresa.
PARTE II
prácticas de campo sugieren que deben mejorarse las descripciones:
a) Revise y actualice los POE cuando estén cambiando los procesos y el equipo.
b) Cuando esté instalado el nuevo equipo, tome la oportunidad de escribir un nuevo POE, in-
corporando lo bueno del antiguo, y agregando lo que sea necesario para satisfacer el nuevo
equipo.
• Haga que los POE sean lo más cortos posible. Esto asegurará que se puedan seguir.
• Dependa de la experiencia de su personal para crear y probar los POE. Por supuesto, puede
complementar esta experiencia con ayuda externa.
• Asegúrese de que todos los POE tengan un propietario y un operador designados.
• Ilustre los pasos en un POE, cada vez que sea posible. Siempre es más fácil seguir un diagra-
ma que escribir instrucciones.
Aquí, ahora tiene las herramientas organizacionales requeridas para empezar el proceso del
diseño de su nueva red. La estructura de un procedimiento operativo estándar se ilustra en la
figura 3-7.
Para ayudar en el proceso de diseño de la nueva red, en la siguiente sección se describe un
POE de ejemplo. Sirve a dos propósitos. En primer lugar, demuestra la manera en que debe
integrarse un POE. En segundo lugar, delinea los pasos que habrán de seguirse para diseñar la
arquitectura lógica que necesitará para actualizar el nuevo sistema operativo.
También es importante recordar que la arquitectura lógica de red es un producto y debe tratar-
se como tal. Esto significa que debe ser iterativo. Como en el proyecto de desarrollo, es una buena
idea usar las técnicas de versión cuando se construye esta arquitectura. De esta manera, puede dar
pequeños pasos mientras construye y prepara su entorno. ¡No trate de hacer todo de una vez!
El diseño de la solución debe cubrir los siguientes elementos:
• Planee el diseño lógico de red.
• Prepare y proceda a realizar instalación de servidor.
• Diseñe e implemente la infraestructura de Servicios de dominio de Active Directory.
• Diseñe e implemente la infraestructura de IP.
• Diseñe e implemente la infraestructura de soporte a usuario.
• Diseñe e implemente la estrategia de directiva de grupo.
• Diseñe e implemente el intercambio de recursos y estrategia de interconexión.
• Diseñe e implemente la estrategia de seguridad.
• Prepare lo necesario para la administración de la red.
• Prepare para administración de riesgo.
Con el uso de los ciclos de vida delineados en las figuras 3-1, 3-2 y 3-3, este libro se con-
centra en tres de las cuatro fases del ciclo de vida: planeación, preparación e implementación, y
producción. Aquí se incluye parte de la cobertura y el análisis de la fase de retiro, pero obviamen-
te no se tratará con la solución que diseñe para WS08; se concentrará en el retiro y la eliminación
del sistema operativo Windows más antiguo, o de otros sistemas que tenga actualmente.
Este plano se ha usado en varios de los diferentes proyectos de implementación de redes
empresariales con resultados sorprendentemente buenos. Las primeras dos fases de este plano,
los componentes de análisis, se aplican tanto al diseño de la red como al diseño de los Servicios
de dominio de Active Directory, como verá en los capítulos siguientes.
El plano muestra que el diseño de las soluciones empieza con la actividad de planeación.
Esta actividad lleva a la arquitectura lógica inicial. Debido a que la arquitectura es crucial para el
proyecto (no hay nada que implementar si no tiene una arquitectura), se vuelve valiosa para la
organización en la introducción de su primer procedimiento operativo estándar: el proceso de
diseño arquitectónico. En el POE de ejemplo, algunos elementos de éste se han omitido, porque
varían entre organización y organización.
Capítulo 3: Planee para Windows Server 2008 101
Requisitos de Requisitos
Arquitectura de red empresarial
negocios técnicos
PARTE II
• Tamaño de la • Revise las nuevas • Carpetas para
organización organización características del compartir
• Productos/servicios • Número de usuarios producto • Impresoras para
• Alcance geográfico • Ubicación de los • Cree la arquitectura compartir
• Procesos de la recursos inicial • Aplicaciones para
organización • Distribución geográfica • Prepárese para la compartir
2. Estructura de la de red y vínculos instalación • Recursos de auditoría
organización • Ancho de banda 2. Instalación • Internet Information
• Modelo de disponible • Preparación Server
administración • Requisitos de • Instalación inicial • Enrutamiento IP
• Estructura de la rendimiento H/S • Instalaciones • Acceso remoto
organización • Patrones de datos automatizadas 8. Infraestructura de
• Relaciones entre • Funciones de red y • Puesta en seguridad
comercializadores/socio/ responsabilidades funcionamiento del • Diseño de directiva de
cliente • Problemas de seguridad servidor seguridad
• Planes de adquisición 2. Impacto de la red 3. Infraestructura de AD • Recursos de seguridad
(negocios) empresarial • Diseño de AD • Seguridad de IIS
3. Estrategias de • Sistemas y aplicaciones • Instalación de AD • Infraestructura de clave
organización existentes • Administración de AD pública (PKI)
• Prioridades del negocio • Actualizaciones/mejoras 4. Infraestructura de IP 9. Administración de
• Crecimiento proyectado planeadas • Configuración de red resistencia
y estrategia • Infraestructura de IP • Administración de • Recuperación de
• Implicaciones legales • Estructura de soporte conexión desastres
• Tolerancia al riesgo a tecnología • Direccionamiento de IP • Estrategia de detección
• Objetivos de TCO • Red planeada y • Resolución de nombres y solución de
4. Administración de TI administración del 5. Estrategia de problemas
• Administración sistema actuales administración de PC • Planeación de
centralizada, • Servicios de • Administración de redundancia
descentralizada, o autentificación objetos con directiva de 10. Administración
ambas 3. Administración de grupo de red
• Modelo de obtención escritorio de • Instalación de software • Diseño de
de fondos cliente/PC • Administración del administración
• ¿Producción interna o • Requisitos de usuario entorno • Administración remota
con proveedores final 6. Infraestructura de • Tareas de rutina
externos? • Soporte a tecnología estructura de usuario • Administración de
• Proceso de toma de para usuarios finales • Administración de rendimiento
decisiones • Entorno requerido de usuario (cuentas, • Administración de
• Proceso de administra- cliente grupos, autentificación) directorios
ción del cambio • Base de cliente interna • Administración del
o externa entorno de usuario
Herramientas necesarias
Equipo •Un equipo personal
•Un laboratorio tecnológico capaz de reproducir el entorno que habrá de reemplazarse.
•Copias de evaluación o de prueba de la tecnología que permite un servicio.
Materiales de referencia •Los archivos de ayuda de la nueva tecnología.
•Documentos de referencia de la nueva tecnología.
•Acceso a Internet.
Requisitos de Los arquitectos empresariales deben tomar capacitación de introducción a la nueva tec-
capacitación nología. Esto puede darse en la forma de capacitación externa o de autoaprendizaje.
Materiales generales •Información sobre la organización, sus metas y objetivos.
•Datos de inventario en formato electrónico.
Oportunidad •La arquitectura lógica debe realizarse desde el mismo principio del proyecto.
•La arquitectura tecnológica debe realizarse en cuanto se complete la arquitectura lógica
y se haya autorizado que se siga con el proyecto.
Pasos a dar Los pasos que habrán de darse son los siguientes (vea la figura 3-9):
1. Revisión de la situación actual El proceso de diseño arquitectónico empieza con una revi-
sión de la situación actual. ¿Qué está mal? ¿Por qué necesitamos cambiar la situación actual?
¿Cuáles son nuestros objetivos de negocios? ¿Qué problema tratamos de resolver? Ésas son
las preguntas que necesitamos responder en esta etapa. Además, no olvide proyectarse en
el futuro. Si es probable que parte de la información que se reúna en esta fase cambie en el
futuro cercano, asegúrese de incluirla en su informe.
2. Actualice y revise los inventarios Para responder algunas de las preguntas que se plan-
tean en el paso 1, necesita asegurarse de que sus inventarios estén actualizados y de revisarlos.
Asegúrese de que tengan todos los detalles que necesite, de modo que obtenga acceso a toda
la información que requiera.
Capítulo 3: Planee para Windows Server 2008 103
PARTE II
Estandarice y certifique su solución
3. Identiique las necesidades del negocio Use los resultados de los dos pasos anteriores
para identificar y dar prioridades a las necesidades del negocio de su empresa. Concéntrese
en las que atiende específicamente el servicio que desea implementar.
4. Revise las tendencias del mercado Revise las tendencias de la industria y el mercado en
este campo. Divídalas en categorías como corto y largo plazos. Identifique las que afectan a
su situación. Seleccione la tecnología apropiada que brindará soporte al servicio que desea
implementar.
5. Revise las características del producto Si la solución habrá de basarse en un producto
específico, revise y aprenda sobre las características del producto. Ahora que sabe lo que usará
para dar soporte a su solución, necesita identificar las características específicas en que se
basará. También debe asegurarse de que comprende la filosofía detrás de las características
para que pueda aprovecharlas al máximo. Si la solución está basada en la actualización de un
producto existente, concéntrese en las nuevas características y mejoras.
6. Use las mejores prácticas aplicables Revise las mejores prácticas de la industria y del fabri-
cante de la tecnología que espera implementar. Retenga sólo las mejores prácticas aplicables.
7. Personalice los requisitos del negocio Personalice la solución que cumpla con los requi-
sitos actuales del negocio. Asegúrese de que se cumplan todos los requisitos de la lista que
produjo en el paso 3. Si alguno no se cumple, explique por qué.
8. Incluya en su proyecto el soporte a requisitos futuros del negocio Asegúrese de que su
solución puede evolucionar con el tiempo y, en especial, con las crecientes necesidades del
negocio y las tendencias futuras. No querrá implantar una solución que no pueda cambiarse
con el tiempo.
9. Racionalice el hardware y el software Racionalice el hardware y el software lo más
posible durante el diseño de su solución. Si su inventario le indica que tiene más de un tipo
de objeto que realiza las mismas operaciones, redúzcala a un solo tipo. Esto simplificará la
administración del servicio que desea implementar.
10. Tome en cuenta la obsolescencia Si su equipo, ya sea de hardware o software, es obsoleto,
reemplácelo en cuanto pueda, aunque tenga algo de vida. No tiene sentido instalar algo nuevo
en un equipo que será reemplazado en los próximos seis meses.
104 Parte II: Planee y prepare
11. Resuelva los problemas existentes Asegúrese de que su solución resolverá específica-
mente los problemas existentes que se identificaron en los pasos 1 y 3. Si su entorno actual
tiene problemas de cualquier tipo (técnicos, debidos a la situación, físicos o incluso humanos),
asegúrese de que su solución los tratará apropiadamente.
12. Experimente mediante pruebas de concepto Pruebe todo de manera completa. Realice
ensayos de concepto si no está seguro de algo. Siempre es más fácil probar primero y docu-
mentar después.
13. Estandarice y certiique su solución Estandarice dentro de la solución. Si deben docu-
mentarse algunos procedimientos, asegúrese de que se delineen mediante procedimientos
operativos estándar. También asegúrese de que todos los procesos que recomiende se han
probado. Si está usando software que su fabricante puede certificar, asegúrese de que la certi-
ficación sea parte de su solución.
SUGERENCIA Como necesitará moverse a un centro de datos virtual o dinámico, tal vez quiera
aprovechar las posibilidades de las migraciones de servidor físico a virtual. Por ejemplo, el Micro-
soft System Center Virtual Machine Manager (SCVMM, en www.microsoft.com/systemcenter/
scvmm/default.mspx) tiene la capacidad de capturar las imágenes del equipo físico y convertirlas
en equipos virtuales. Esto es muy útil para probar y preparar los nuevos entornos de ofrecimien-
tos de servicios virtuales. Si depende de un hipervisor que no es de Microsoft, como los propor-
cionados por VMware o Citrix, puede usar otras herramientas de migración. VMware ofrece el
VMware Converter (www.vmware.com/products/converter); Citrix puede depender en realidad
de SCVMM, porque es compatible con el mismo formato de equipo virtual que Microsoft.
Capítulo 3: Planee para Windows Server 2008 105
PARTE II
work Access Solutions), que son fáciles de escalar de manera transparente. En realidad, su centro de
datos dinámico depende de servidores blade de 64 bits unidos a almacenamiento central y compar-
tido, para reducir la recolección de información del servidor y hacer que su centro de datos sea lo
más ecológico posible, disminuyendo la generación de calor y el consumo de energía.
Microsoft ha ayudado de manera considerable con el lanzamiento de Windows Vista y en
especial de Windows Server 2008. Cada vez son más las situaciones de reinicio que se eliminan
con cada versión de Windows. Vista introdujo el Administrador de reinicio, una aplicación que
detendrá y reiniciará los servicios en lugar de reiniciar el servidor, eliminando aún más estos
escenarios. Las modificaciones de red ya no requieren reinicio y la adición de un poderoso motor
Plug and Play significa la adición de algunos tipos de hardware que ya no requieren un reinicio.
WS08 debe ejecutarse en hardware de 64 bits, que rompe varias barreras de rendimiento
presentes en el mundo de los 32 bits. Las versiones de WS08 soportan el nuevo concepto de ser-
vidor “sin cabeza” (servidores sin vínculos físicos directos con monitores o dispositivos de entra-
da). Server Core es un ejemplo excelente de esto y debe ser la versión que se ejecute en todas las
máquinas físicas. WS08 está diseñado para aprovechar esas nuevas capacidades, porque todas las
versiones de Windows Server 2008 tienen capacidades de multiprocesamiento en cierto grado.
En realidad, Microsoft y los fabricantes de chips Intel y AMD trabajan continuamente de la mano
para desarrollar las directrices para la creación de servidores con cada nueva versión de Windows.
Ambos comercializadores de chips han permitido las extensiones de virtualización en sus proce-
sadores, de las que Hyper-V puede obtener el máximo. Antes de que tome sus decisiones sobre
los servidores, debe leer definitivamente las últimas noticias de este esfuerzo de colaboración.
Microsoft publica esta información en su sitio Web en www.microsoft.com/whdc/default.mspx.
casos, ¡el servidor raramente excede 15% del uso! La llegada Windows Server 2008, y en especial
la introducción de las tecnologías de virtualización del servidor, permiten que las organizaciones
revisen los métodos tradicionales de servidor y busquen una creciente consolidación de los servi-
dores (hasta 80% o más en casi todos los casos).
Las consolidación incluye menos servidores y más grandes. Menos servidores significa una
administración más simple. Puede mejorar los niveles de servicio porque es más fácil mantener
la operación de unos cuantos servidores centralizados que varios servidores distribuidos. Hay
menos tiempo perdido, porque los servidores tienden a estar centralizados y proporcionar acceso
físico más fácil. Las aplicaciones pueden implementarse más rápidamente porque la mayor
parte del código reside en el propio servidor. Es más fácil estandarizar porque participan menos
elementos físicos. Y, con los servidores virtuales, puede fácilmente mover una instancia virtual
de un servidor de un host físico a otro, proporcionando respuestas dinámicas para las crecientes
necesidades de los negocios.
Hay cuatro justificaciones para la consolidación:
• Centralización Reubicación de los servidores existentes en una menor cantidad de sitios.
• Consolidación física Muchos servidores más pequeños se reemplazan con menor cantidad
de servidores más poderosos.
• Integración de datos Varias bases de datos distribuidas se consolidan en un solo depósito
de datos.
• Integración de aplicaciones Varias aplicaciones migran a servidores menores y más pode-
rosos. Las aplicaciones deben tener un cierto grado de afinidad antes de que esta integración
pueda ocurrir.
Mediante el uso de tecnologías como el hipervisor de WS08 (la delgada capa ejecutiva que
virtualiza todo el hardware físico), ESX Server o Virtual Infrastructure de VMware, podrá aprovechar
el hardware de un solo servidor al instalar varias instancias de WS08 dentro de equipos virtuales. Si
se encuentra entre quienes tienen servidores que funcionan a no más de 15% de su capacidad, la
virtualización le ayudará a mejorar la utilización de los recursos. En promedio, podrá ejecutar entre
10 y 20 equipos virtuales por host físico, dependiendo, por supuesto, de la configuración de éste.
Por último, Microsoft WS08 le ofrece funcionalidad de clúster mejorada sobre versiones an-
teriores de Windows Server. Los servicios de clúster ahora son una función que será entregada al
sistema que configura. Cuando activa o modifica los servicios de clúster con WS08, ya no necesita
reiniciar sus servidores. Además, los servicios de clúster de WS08 son compatibles con Active
Directory; es decir, se publican dentro de Active Directory y están disponibles para todos los
usuarios de la misma manera que los servicios que no son de clúster. También son más flexibles,
y ya no tienen un solo punto de falla en el recurso de quórum porque dependen de un File Share
Witness (testigo de recursos compartidos de archivo).
La disposición en clúster y la consolidación del servidor son de los objetivos que debe tener
en mente cuando diseña su arquitectura de red lógica de WS08. Para ello, necesita agrupar servi-
dores por función para ver cuáles agrupamientos lógicos están disponibles para fines de consoli-
dación. Ésa es otra razón para usar el modelo PASS ilustrado en la figura 3-5.
nuevos servidores de host físico. Piense en la consolidación cada vez que virtualice una función.
¿Es posible realizar esta misma función con menos máquinas? Si es así, dependa de las nuevas
características de WS08 para reducir el número de servidores virtuales que ejecuta.
PARTE II
vacaciones o durante un cierre anual de operaciones. Desafortunadamente, la mayoría estará
realizando migraciones durante las operaciones normales del negocio. Además, tendrá que hacer
el proceso de migración transparente a los usuarios y al proceso del negocio. ¡Vaya reto!
En realidad, las migraciones deben tomar en cuenta varios factores:
• Debe asegurarse de proporcionar, por lo menos, exactamente los mismos niveles de servicio
que los usuarios están experimentando en su red. Por supuesto, su principal objetivo será
mejorar la experiencia de red del usuario, pero debe asegurar que cualquier cosa que pase no
reducirá los niveles de servicio. Ésta es una de las razones por las que debe incluir represen-
tantes del usuario en el proyecto de diseño de la red. Ellos le ayudarán a mantenerse enfoca-
do. Después de todo, la red está allí como un servicio para ellos.
• También debe asegurarse de que proporciona programas de capacitación completos en todos
los niveles de su organización. Si se está moviendo de Windows NT a WS08, encontrará que
la principal tarea de capacitación es técnica, no orientada al usuario. Mientras los usuarios
experimentan nuevas características, como las mejoras a la interfaz, es principalmente en
capacidad de administración y en confiabilidad que las mejoras de WS08 abundan. El perso-
nal técnico tendrá que emprender una capacitación extensa. También tendrá que prepararse
bien antes de implementar la nueva red. Además, tal vez querrá asegurar que el programa
de capacitación de usuarios que entrega se presenta al mismo tiempo que la migración. En
realidad, los mejores resultados de la migración ocurren cuando la capacitación del usuario
está sincronizada con el programa de migración. Si sus usuarios ya están ejecutando Windows
Vista, la capacitación será reducida, porque ya estarán acostumbrados al uso de la interfaz.
• También querrá asegurar que todas sus aplicaciones se ejecutan apropiadamente en WS08. Si
está ejecutando Windows NT o incluso Windows 2000, necesita probar las aplicaciones por
completo para asegurarse de que operan de manera apropiada bajo el nuevo sistema opera-
tivo. Una de las principales razones para esto es el nuevo modelo de seguridad en WS08. Los
usuarios están mucho más restringidos en WS08 de lo que estaban en versiones anteriores,
debido al nuevo Control de cuentas de usuario introducido con Windows Vista; por tanto, las
aplicaciones que se ejecutan bajo versiones anteriores no necesariamente se ejecutan apro-
piadamente bajo WS08. Pero hay otras ventajas en el uso de éste. WS08 ofrece un modo de
compatibilidad con aplicaciones que es el mismo ofrecido por Windows Vista. Eso es algo que
no estaba disponible en Windows 2000. Las aplicaciones deben ejecutarse mejor en WS08 que
en Windows 2000, e incluso en WS03. No obstante, descubrirá que varias de sus aplicaciones
necesitarán actualizarse o modificarse de otra manera para ejecutarse de manera apropiada.
La racionalización es de gran ayuda aquí porque representa menos actualizaciones. Tanto la
108 Parte II: Planee y prepare
racionalización como la prueba de compatibilidad amplia de las aplicaciones deben ser parte
de su proyecto.
• Querrá determinar si necesita actualizar su sistema o si realiza instalaciones limpias. La
decisión dependerá de una gran cantidad de factores, pero el método más valioso es la nueva
instalación. Las nuevas instalaciones simplemente ofrecen mejor estabilidad y confiabilidad,
porque le dan la oportunidad de limpiar sus sistemas existentes.
• También necesitará considerar la manera de migrar sus servicios de directorio y autentifica-
ción. WS08 incluye una herramienta mejorada para migración de Active Directory. Esa herra-
mienta le permite la migración de cuentas usuario y contraseñas de Windows NT y Windows
2000-2003. Es una buena herramienta para la consolidación y migración de dominios. Ese
tema se analizará más a fondo en capítulos futuros.
Éstas no son las únicas consideraciones que tendrá que tomar en cuenta cuando migre, pero
son un buen punto de partida.
y crea un almacén a partir de los 65 000 posibles puertos cuando más de una dirección interna
necesita traducción, que multiplican en gran medida el número de direcciones que las organiza-
ciones pueden usar, aún con las limitaciones del IPv4.
Además, IPv4 no puede asignar automáticamente direcciones de host sin ayuda externa. Si
su red interna incluye varios miles de host, definitivamente querrá aprovechar los mecanismos
de direccionamiento automático. En IPv4, eso se hace a través del protocolo de configuración
dinámico de host (DHCP, Dynamic Host Configuration Protocol).
Aunque todos los host de su red tengan una dirección específica, el uso de este número de 32
bits para comunicarse entre host no es práctico para los seres humanos. Por tanto, necesitamos re-
solver estos números y convertirlos en nombres (que podamos recordar más fácilmente). El sistema
de asignación de nombres de dominios (DNS, Domain Naming System) es el proceso que usa-
PARTE II
mos para resolver una dirección de Internet en un nombre más manejable. Pero si usa tecnologías
heredadas dentro de su red de Windows, también requerirá resolución de nombres heredados. Eso
se realiza mediante el sistema de asignación de nombres de Internet de Windows (WINS, Windows
Internet Naming System). Con el advenimiento de Windows Vista y WS08, WINS es poco nece-
sario. En realidad, una de las nuevas características que WS08 ofrece para IPv4 es la posibilidad de
usar DNS para reproducir el tipo de servicios que ofrece WINS. Eso se hace mediante la inclusión
de una nueva zona de nombres global, que contiene registros estáticos, globales, con nombres de
una sola etiqueta, como los proporcionados mediante WINS. Las organizaciones que se mueven a
WS08 deben revisar el uso de este nuevo tipo de zona y eliminar los servidores WINS de sus redes.
A pesar de estas soluciones temporales, el uso de IPv4 se está volviendo cada vez más difícil,
sobre todo en cuanto al enrutamiento. Los enrutadores de Internet que usan la versión 4 de TCP/
IP están teniendo cada vez más problemas para almacenar tablas de rutas, la ruta que un host
debe usar para alcanzar un destino determinado. Se necesita una solución permanente si todo el
mundo habrá de tener acceso a Internet, sobre todo en las naciones emergentes.
La Internet Engineering Task Force (IETF, fuerza de tarea de ingeniería de Internet) ha estado
trabajando durante algún tiempo en una solución completa para el caso de IPv4. La solución está
incrustada en la versión 6 del protocolo TCP/IP: IPv6. La versión 6 usa un esquema de direc-
cionamiento de 128 bits. Esto da como resultado 340, 282, 366, 920, 938, 463, 463, 374, 607, 431,
768, 211, 456 unidades únicas en Internet, suficientes para el tiempo futuro. IPv6 puede soportar
verdadera comunicación de punto a punto entre hosts y destinos sin el uso de esquemas como
la traducción de direcciones. Además, IPv6 incluye otras mejoras importantes. Por ejemplo, un
host de IPv6 necesariamente requiere DHCP, porque genera su propia dirección a partir del
número único asignado a su tarjeta de interfaz de red, el número de control de acceso a medios
(MAC, Media Access Control). Si el host necesita comunicarse externamente, su dirección IPv6
se generará a partir de la dirección MAC y de la dirección del enrutador al que está conectado,
simplificando en gran medida la dirección y las comunicaciones, porque la dirección del enruta-
dor se vuelve parte de la dirección del host. WS08 incluye soporte completo a IPv6. En realidad,
IPv6 está instalado y habilitado como opción predeterminada. Cada host tiene su propia direc-
ción IPv6 automática junto con su dirección IPv4. WS08 usa una tecnología llamada Teredo para
asignar direcciones IPv4 a IPv6 y viceversa.
Aunque todos los sistemas WS08 y Vista podrán usar automáticamente IPv6, aún hay algu-
nos problemas con su uso. Por ejemplo, los enrutadores necesitan dar soporte a IPv6 para que el
protocolo funcione. La mayoría de los fabricantes de enrutadores han implementado soluciones
de software para soporte a IPv6 para los enrutadores existentes, y los nuevos enrutadores inclu-
110 Parte II: Planee y prepare
Implementación de TCP/IP
La implementación que hace Windows de IPv6 proporciona una dirección automática de
vínculo local. Las direcciones de vínculo local están diseñadas para comunicarse única-
mente en la red de área local (LAN, Local Area Network). Para que pueda comunicarse
con redes de área amplia (WAN, Wide Area Network), necesitará obtener un almacén de
direcciones y asignarlas a su sistema. Este tema se cubrirá en futuros capítulos mientras
analizamos la implementación de sus nuevos servicios de red.
Encontrará más información acerca de funcionalidades de TCP/IP incluidas en WS08
en un documento de Microsoft titulado“Changes in Functionality from Windows Server 2003
with SP1 to Windows Server 2008” (cambios en funcionalidad de Windows Server
2003 con SP1 a Windows Server 2008), en inglés en www.microsoft.com/downloads/de-
tails.aspx?FamilyID=173E6E9B-4D3E-4FD4-A2CF-73684FA46B60&displaylang=en.
yen este soporte como opción predeterminada. Los sistemas de Cisco y otros tienen revisiones
de software que es posible descargar para sus sistemas operativos, que incluye soporte a IPv6.
Nuevos productos de enrutador tienen soluciones de hardware para soporte de IPv6. Pero el
soporte del enrutador no es el único requisito. Las aplicaciones que están basadas en IPv4 hoy en
día no funcionarán automáticamente con IPv6, porque la operación central del protocolo TCP/
IP es diferente. En casi todos los casos, las tecnologías de traducción incluidas en Vista y WS08
harán de manera transparente la transición a esas aplicaciones, pero en todos los casos es mejor
convertirlas para usarlas con su nueva versión del protocolo. Por último, necesitará asegurarse
de que sus mecanismos de protección (firewalls, sistemas de detección de intrusiones, etcétera),
son completamente compatibles con IPv6 antes de que pueda pasar a sus implementaciones.
Todas las organizaciones que planeen moverse a IPv6 tendrán que preparar cuidadosamente sus
implementaciones antes de seguir adelante.
estar usando IPv6…” Esto hace el tiempo para este movimiento perfecto para muchas organiza-
ciones, no sólo en Estados Unidos sino en todo el mundo.
NOTA Para obtener más información acerca del memorando de la Oicina de Administración y
Presupuesto, consulte www.whitehouse.gov/omb/memoranda/fy2005/m05-22.pdf#search=%22om
b%20ipv6%22.
Windows Server 2008 está completamente basado en el protocolo TCP/IP. En realidad, todo
el funcionamiento del Active Directory de WS08, el núcleo de la red de WS08, está basado en el
direccionamiento TCP/IP y la resolución de nombres. Como tal, el protocolo TCP/IP en WS08 se
PARTE II
vuelve un componente central de cualquier red empresarial WS08. Debido a esto, los capítulos
futuros estarán completamente basados en TCP/IP como protocolo central para la implementa-
ción de servicios de red.
tráfico de host local. Esto proporciona un método más seguro e integrado para control del conte-
nido y permite que comercializadores independientes de software creen vínculos más fácilmente
con esta nueva característica de seguridad.
La nueva pila TCP/IP también incluye otras características, como la capacidad de modifi-
car configuraciones de red sin tener que reiniciar el sistema, eliminando la mayor parte de las
situaciones de reinicio, además de dar soporte a diagnósticos en tiempo de ejecución, un registro
y una traza de sucesos más eficientes. En general, esta nueva pila mejora en gran medida las
comunicaciones de red para Vista y WS08, haciendo que este componente básico sea más flexible
y estable. Cualquier persona que haya trabajado con Vista habrá experimentado ya muchas de
estas mejoras a través de una velocidad y un rendimiento mejorados en cualquier comunicación
de red, aun la que se establece con sistemas operativos de menor nivel.
Dominio: Organizacion.NET
Modo de dominio: Combinado
Nombre de servidor: WSEE_01
Internet
Dirección IP: 10.22.36.10
Máscara de subred: 255.255.252.0
DHCP: Sí
DNS: Integrado
Estaciones de WINS: Sí
trabajo de Sitio: Matriz
investigación y Catálogo global: Sí
documentación Organización
Dominio: Organizacion.NET Vínculo
Nombre de servidor: WSEE_03 RAS
Dirección IP: 10.22.40.10 Enrutador
Máscara de subred: 255.255.252.0
DHCP: Sí Vínculo de Windows
puerto serial Hub Vista
DNS: Integrado
PARTE II
WINS: No
Sitio: Regional
Catálogo global: Sí Enrutador DC
local
Hub Servidor
F&P
Windows Windows
Vista Vista
Dominio: Organizacion.NET
Nombre de servidor: WSEE_02
Dirección IP: 10.22.36.11
Máscara de subred: 255.255.252.0
Servicios: Servidor multipropósitos
co tenga fácil acceso a los recursos que necesitan para fines de prueba. Sólo mediante una buena
coordinación y métodos estructurados de prueba se pueden asegurar buenos resultados.
En la figura 3-10 se ilustra un laboratorio de prueba de ejemplo. Este laboratorio reproduce
una red interna típica con un mínimo de equipo. Pueden usarse direcciones TCP/IP internas por-
que no conectan con el mundo exterior. Pueden agregarse más servidores para probar la estrate-
gia de migración que idee, pero tal vez se trate de sistemas más antiguos y obsoletos porque no
estará realizando pruebas de rendimiento con ellos.
SUGERENCIA Si empieza temprano y no se ha lanzado Hyper-V, aún puede empezar a trabajar con
el laboratorio en un entorno virtual. Puede hacerlo con Microsoft Virtual Server (www.microsoft.
com/windowsserversystem/virtualserver) o XenServer (www.citrixxenserver.com/Pages/default.
Capítulo 3: Planee para Windows Server 2008 115
Piloto/producción
Puesta en
funcionamiento
Integración
Funcional
PARTE II
Salida
Salida
Criterios
Unidad de entrada
Salida
Salida
Criterios
de entrada Leyenda
Salida
Salida
Criterios
de entrada
PC
Salida
Salida
Criterios
de entrada Disco externo
aspx) porque las máquinas que crea con cada una de estas herramientas será compatible con los
equipos que ejecutará en Hyper-V.
Sugerimos que compre algunos equipos host muy grandes para empezar su almacén de re-
cursos. El equipo ideal será un servidor x64 procesadores de varios núcleos, gran cantidad de RAM
y mucho espacio en disco. Use Windows Server 2008 x64 Enterprise Edition Server Core como
sistema operativo host para este servidor, porque incluye cuatro licencias para instancias virtua-
les. El costo de unos cuantos servidores con la mezcla correcta de capacidad rebasará el costo de
ejecutar varios equipos de menor capacidad y tener que administrar instalaciones físicas en lugar de
instancias virtuales de los servidores, y le preparará apropiadamente para su nuevo centro de datos
dinámicos. Además, tal vez pueda tomar equipos virtuales construidos por usted en el laboratorio
de pruebas y moverlos directamente a producción si ha hecho su tarea de manera correcta. Esto le
proporcionará inconmensurables ahorros en tiempo y costo durante su implementación.
SUGERENCIA Para conocer una descripción detallada del diseño y la creación de un laboratorio de
pruebas virtual, consulte “Chapter 3: Creating the Migration Test Bed” (Capítulo 3: Creación
del banco de pruebas para la migración) en The Definitive Guide to Vista Migration por Ruest y
Ruest y publicado por Realtime Publishers en www.realtime-nexus.com/dgvm.htm.
Ahora está listo para pasar a la creación de su arquitectura de red y al diseño completo de su
solución. Eso es lo que se le presentará en el siguiente capítulo.
CAPÍTULO
4
Explore los modos de instalación
de Windows Server 2008
W
indows Server 2008 (WS08) ofrece varias mejoras importantes en métodos de instala-
ción, en comparación con Windows 2000, 2003 y, en especial, con Windows NT. Están
disponibles cuatro métodos de instalación con WS08:
• Instalación manual o interactiva
• Instalación desatendida mediante un archivo de respuesta
• Imagen de disco con la Herramienta de preparación del sistema
• Interfaces remotas a través de los Servicios de implementación de Windows (WDS, Windows
Deployment Services)
Todos estos modos de instalación son muy similares. Mientras que en versiones anteriores de
Windows, cada uno de éstos requería diferentes archivos de respuesta y distintos modos de pre-
paración, WS08 ahora depende de la configuración basada en imagen (IBS, Image-Based Setup),
al igual que Vista. Esto significa que los medios de instalación usan un archivo .wim, o de imagen
de Windows, como origen de la instalación. IBS depende de este sistema basado en archivo para
proporcionar la entrada a cualquier configuración de servidor. La edición real que se esté instalan-
do estará determinada por la clave de producto que ingrese en el proceso de instalación.
NOTA Microsoft ofrece guías para instalación (en inglés) en dos formatos. El primero se relaciona
con la automatización de la instalación. Las guías de implementación de Microsoft pueden encon-
trarse en http://technet.microsoft.com/en-us/library/bb945074 aspx. El segundo se relaciona con
todo el diseño de la infraestructura. La información sobre planeación y diseño de la infraestructu-
ra se encuentra en www.microsoft.com/downloads/details.aspx?familyid=ad3921fb-8224-4681-
9064-075fdf042b0c&displaylang=en.
117
118 Parte II: Planee y prepare
• El formato de imagen .wim usa un sólo almacén de instancia (SIS, Single Instante Store) para
almacenar varias ediciones de WS08 en el mismo DVD. SIS guarda sólo una copia de cada
archivo compartido para cada edición, ahorrando espacio y permitiendo que Microsoft incluya
varias ediciones en un DVD.
• Debido a que IBS está basado en archivo, puede realizar una actualización no destructiva de
una versión anterior de Windows Server. Sin embargo, necesita por lo menos 105 gigabytes
(GB) de espacio libre para soportar la descompresión del archivo .wim. Más será mejor.
• Debido a que está basada en archivo, puede generar una imagen .wim en un sistema y luego
aplicarlo a casi cualquier otro, permitiendo el concepto de una sola imagen mundial para las
instalaciones de sus servidores. Esto se debe a que las imágenes .wim ya no son dependien-
tes de la capa de abstracción de hardware (HAL, Hardware Abstraction Layer) del equipo de
referencia que se usó para generarla. La única limitación es la arquitectura del procesador. Por
ejemplo, una imagen de 32 bits no puede instalarse en un servidor de 64 bits, y viceversa.
• Debido a que están basadas en archivo, también pueden montar y desmontar imágenes .wim
como carpetas para agregar componentes como controladores, parches y otras opciones.
• Los archivos de respuesta están en lenguaje de marcado extensible (XML, eXtensible Markup
Language) y se usa un solo archivo de respuesta (UNATTEND.XML) para cada tipo de instalación.
NOTA Esto no es completamente cierto, porque tiene que cambiarse el nombre del archivo a
AUTOUNATTEND.XML, cuando se ejecuta una instalación no atendida al combinar los
medios de instalación con una memoria de bus serial universal (USB, Universal Serial Bus)
o una unidad de disco lexible.
• Todas las herramientas utilizadas para manipular imágenes basadas en archivo son herra-
mientas de línea de comandos, lo que hace posible encadenarlos y colocarlos en archivos de
comando, simplificando la automatización del proceso de instalación.
• Los archivos .wim son de idioma agnóstico, lo que significa que la misma imagen puede reutili-
zarse en cualquier lugar internacional. Todo lo que necesita hacer es aplicar el paquete de idioma
adecuado para la imagen con el fin de personalizarlos para su configuración regional y de idioma.
A pesar del hecho de que se usa un solo archivo de respuesta para configurar WS08, aún
tiene la opción de usar uno de los cuatro métodos de instalación delineados al principio. Esto
se debe a que cada método es apropiado para situaciones específicas; algunos pueden incluso
combinarse para mejorar la eficacia y eficiencia. Pero, antes de que seleccione el método de insta-
lación, necesita determinar cuál método utilizará si está migrando de una red existente. Una vez
más, necesita tomar decisiones arquitectónicas antes de que pase a la instalación.
SUGERENCIA Necesitará dos procesos diferentes de instalación. El primero será para los servidores
que hospedan la función Hyper-V. Este proceso debe ser idéntico para cada servidor que ejecute
esta función. Esto simpliicará en gran medida sus instalaciones de hardware. Una vez más, esto
se simpliicará, porque podrá depender de copias almacenadas de los discos duros virtuales que
integran los servidores virtuales.
Capítulo 4: Explore los modos de instalación de Windows Server 2008 119
El proceso de instalación
Aunque se permiten cuatro modos diferentes de instalación, necesitará empezar con el prime-
ro, la instalación interactiva. Eso se debe a que necesita descubrir cómo ocurrirá la instalación.
Encontrará que es mucho más simple que la de cualquier versión anterior de Windows Server.
En realidad, si ha instalado Windows Vista, ya estará familiarizado con gran parte del proceso. La
única diferencia está en el paso final de la configuración. Pero primero necesita determinar cuáles
requisitos de hardware corresponden a cada edición de WS08 y luego realizar un ejercicio de
asignación de tamaño de servidor para asegurarse de que los suyos tendrán una larga vida una
vez que se han instalado.
PARTE II
Requisitos de hardware
Al igual que con otras versiones de Windows, Windows Server 2008 requiere un nivel mínimo de
hardware. Los requisitos de hardware mínimos, recomendados y óptimos para cada versión de
WS08 se identifican en las tablas 4-1 y 4-2
NOTA Los servidores con varios gigabytes de memoria de acceso directo (RAM, Random Access Me-
mory) requerirán más espacio en disco para el archivo de paginación, la hibernación y los archivos de
volcado. Además, las instalaciones de Server Core no requieren tarjetas gráicas complejas.
Datacenter e
(instalación
Enterprise
completa)
Recomen-
Ediciones
Ediciones
Standard
Itanium
Mínimo
Edición
Óptimo
Óptimo
Web y
dado
Requisitos
Velocidad de CPU 1 GHz 2 GHz 3 GHz o 3 GHz o
(x86) 1.4 más más
GHz (x64)
RAM 512 MB 1 GB 1 GB o 2 GB o
más más
Espacio en disco para 8 GB 40 GB o 80 GB o
instalación más más
Número mínimo 1 2 2 2 8 1 1
de CPU
Número máximo 64 4 8
de CPU
Unidades adicionales DVD-ROM DVD-ROM DVD-ROM DVD-ROM DVD-ROM DVD-ROM DVD-ROM
Modo de video: SVGA o SVGA o SVGA o SVGA o SVGA o SVGA o SVGA o
mínimo superior superior superior superior superior superior superior
como punto de partida o realice un ejercicio de asignación de tamaño de servidor formal. Este
ejercicio le ayudará a determinar las configuraciones de hardware y software para cada uno de
sus servidores. Le indicará de qué tamaño debe ser su servidor, dónde es necesario y qué servicio
debe entregarse.
SUGERENCIA El ejercicio de asignación de tamaño del servidor diiere ligeramente entre servido-
res físicos y virtuales. Ambos están diseñados para asignar recursos al servidor. Obviamente,
querrá que el host físico tenga muchos recursos más y también asegurarse de que hay espacio para
crecer. Además, tenga en cuenta que la versión R2 de Windows Server 2008 sólo se ejecutará en
hardware de 64 bits. Lo mismo es válido para los servidores virtuales, pero en este caso, como son
virtuales, puede agregar recursos del almacén de recursos conforme descubre la necesidad.
Cuando se realiza un ejercicio de asignación de tamaño, tome en cuenta los siguientes ele-
mentos:
• Identiique las bases del servidor Identifique dónde están las agrupaciones del cliente.
Necesitará colocar sus servidores donde tenga una concentración de sistemas cliente o usuarios.
• Físico o virtual Esta decisión debe ser relativamente fácil. Todos los servidores físicos tienen
que ser servidores host, y todos los ofrecimientos de servicios deben ser virtuales. Cuando decida
crear una instancia virtual de un servidor, aún necesitará recorrer el resto de los pasos del ejerci-
cio, pero algunas de las opciones diferirán debido a la naturaleza de los servidores virtuales.
• Host físico: número de sistemas operativos invitados por servidor Identifique un nú-
mero máximo de sistemas operativos invitados por servidor host. Para proporcionar un nivel
determinado de servicio, necesita asegurar que nunca haya más que un número específico de
invitados, dependiendo de los recursos del servidor. En promedio, las organizaciones ejecutan
entre 10 y 20 equipos virtuales por host.
SUGERENCIA Recuerde que todos los hosts físicos deben ser servidores de 64 bits si quiere ejecutar
Hyper-V en ellos. Si quiere reutilizar servidores de 32 bits como hosts, puede hacerlo, pero nece-
sitará ejecutar Microsoft Virtual Server o VMware Server sobre una versión de 32 bits de WS08
para proporcionar servicios de virtualización.
usuarios, dependiendo, por supuesto, de la función del servidor. Pero con la nueva tendencia
hacia la consolidación, podría considerar la elevación de este valor hasta 1 000 usuarios.
• Máxima carga de servidor aceptable Determina la velocidad de respuesta que desea de
un servidor cuando proporciona un servicio determinado. En el caso de servidores host, esta
carga debe tomar en consideración el uso máximo de la unidad de procesamiento central
(CPU, Central Processing Unit). Por lo general, la CPU y la RAM son los cuellos de botella.
Para el caso de los sistemas operativos invitados, esto tomará en cuenta también el número de
usuarios. Una buena manera de hacerlo es monitorear el rendimiento de entrada y salida (E/S)
de la CPU en el servidor.
• Variación del servidor También es importante considerar la ubicación del servidor, porque
a menudo sirve para determinar su naturaleza. Casi todos los sistemas operativos de invitado
PARTE II
localizados en oficinas centrales de grandes oficinas regionales tenderán a ser servidores de
un solo propósito (realizarán una función u otra, pero no funciones combinadas). En pe-
queñas oficinas regionales, las organizaciones a menudo tienden a usar servidores de varios
propósitos para reducir el costo del hardware. Pero con el advenimiento de los ofrecimientos
de servicios virtuales, ahora puede depender de varios equipos virtuales de un solo propósito
porque los costos de licencia son los mismos. Es mucho más simple recuperar y administrar
los equipos de un solo propósito.
SUGERENCIA El centro de datos virtual ejecutará dos equipos virtuales (si es posible) en regiones
junto con almacenamiento compartido para proporcionar tolerancia a fallas para que el almacén de
recursos ejecute el número apropiado de sistemas operativos de invitado para cubrir la demanda.
• Capacidad mínima del servidor Determina la capacidad mínima de hardware que desee
para sus servidores host. Recuerde que no deberá cambiarlos por algún tiempo. El propósito de
su red es entregar servicios de alta calidad para su base de usuario. Tome esto en cuenta cuan-
do determine la capacidad mínima del servidor. La planeación de la capacidad debe identificar
elementos como número y tamaño de procesadores, cantidad de RAM y tamaño de disco. Cada
elemento está influido por las decisiones que ha tomado antes. ¿A cuántos usuarios cubrirá el
servidor? ¿Dónde se localizará el servidor? ¿Será de un solo propósito o multipropósito?
• Multiprocesamiento y núcleos múltiples Casi todos usarán servidores de multiprocesa-
miento, que tienen más de un solo procesador, además de procesadores de varios núcleos, que
tienen más de un núcleo de CPU. Tendrá que tener cuidado aquí, porque hay una clara demar-
cación entre los requisitos del sistema operativo. Asegúrese de tener en cuenta la tabla 4-1
mientras selecciona el número de núcleos y procesadores para sus sistemas. Esto tendrá efecto
en el presupuesto de su servidor. En la tabla 4-3 se presenta una lista de las recomendaciones
básicas para un servidor host.
• Tamaño de la RAM La regla es simple. Cuanta más RAM tenga, mejor actuará su servidor.
Por tanto, la RAM no es un lugar para hacer ahorros. Todo depende de la función de cualquier
servidor determinado, pero es una buena regla usar el doble de los requisitos mínimos recomen-
dados por Microsoft y empezar todos los servidores físicos a 4 GB de RAM y crecer a partir de allí.
Algunas funciones del servidor ocupan gran cantidad de RAM, como los servidores de
Terminal Services, los hosts de equipos virtuales o los servidores de aplicaciones. Éstos requerirán
más del mínimo que establezca. Además, los tamaños de RAM afectarán al archivo de pagina-
122 Parte II: Planee y prepare
Servidores de 64 bits
Ésta es una excelente oportunidad de moverse a servidores de 64 bits, que proporcionan
una capacidad mucho mayor que sus contrapartes de 32 bits y, por tanto, tendrán un
lapso de vida mucho mayor. Por lo general, los procesadores de 32 bits están limitados a
4 GB de espacio de dirección, reservando 2 GB para los procesos de kernel y asignando
2 GB a aplicaciones. Puede usar interruptores especiales de arranque, como /3GB, para
modificar el comportamiento del sistema, pero este interruptor, en particular, reducirá la
memoria de kernel a 1 GB, lo que puede resultar desastroso cuando se necesitan varios
procesos de kernel. Otro interruptor, el /PAE (de Physical Address Extension, extensión
de dirección física) extiende el direccionamiento de memoria a 36 bits, permitiendo que
el código de las aplicaciones cambie de las extensiones de ventana de direcciones en los
primeros 4 GB, pero que regrese una vez más a los primeros 4 GB de espacio, a los que las
aplicaciones están limitadas.
Los servidores de 64 bits eliminan todos estos rodeos y limitaciones. Pueden tener di-
recciones de hasta 32 GB de RAM y hasta 16 terabytes (TB) de memoria virtual, eliminando
las barreras de la memoria para el futuro. Los sistemas de 64 bits también pueden depender
de la prevención de ejecución de datos (DEP, Data Execution Prevention) para evitar que el
código entre en lugares reservados de memoria, o se ejecute en ellos, asegurando que los
servidores se ejecuten de manera más segura. Además, no necesita ejecutar aplicaciones de
64 bits para aprovechar esas características, puesto que las aplicaciones nativas de 32 bits
tendrán acceso, por primera vez, a 4 GB completos de RAM, porque el sistema ya no nece-
sita reservar espacio para el kernel. El resultado final: las aplicaciones de 32 bits en realidad
se ejecutan mejor y más rápido en sistemas operativos de 64 bits que en los x86.
Por ejemplo, todos sus sistemas de host serán servidores de 64 bits. Para usar un servidor
de 32 bits como host, necesitará cargar WS08 en él y luego instalar software de virtualización,
como Microsoft Virtual Server o VMware Server. La función Hyper-V está sólo disponible
para sistemas de 64 bits, porque proporciona demasiados recursos para los equipos virtuales.
ción. La mejor regla aquí es iniciar el archivo de paginación al doble de tamaño de su RAM y
establecer su tamaño máximo en cuatro veces el tamaño de la RAM. Esta regla cambia cuando
está tratando con cantidades masivas de RAM, como configuraciones de 16 GB, pero al princi-
pio significa que necesitará reservar una cantidad mínima y máxima de espacio en disco para el
archivo de paginación.
SUGERENCIA Cuando se asigna tamaño de RAM a equipos virtuales, puede reducir los requisitos a
la mitad (pero nunca menos del requisito mínimo de RAM), porque los motores de virtualización
pueden maximizar el uso de equipos virtuales. Establezca los equipos virtuales para que empiecen a
la mitad de la memoria que tal vez necesiten y también establezca un máximo. Luego permita que su
motor de virtualización haga su magia y asigne recursos de acuerdo con lo necesario.
• Tamaño del disco El tamaño y el número de discos que asigne a cada servidor dependerá
de varios factores. ¿Cuántas particiones quiere hacer? ¿Cuánto espacio quiere reservar para el
sistema operativo, los programas y los elementos especiales como el archivo de paginación?
Capítulo 4: Explore los modos de instalación de Windows Server 2008 123
PARTE II
son significativamente más grandes. Tenga en cuenta que si está preparando un servidor de
archivo para almacenar datos de usuario, tendrá que ofrecer un tamaño de almacenamien-
to válido por usuario. Muchas organizaciones no tienen una directiva de almacenamiento
consistente. Ofrecen bajas cantidades de espacio de almacenamiento por usuario, a menu-
do cantidades con las que nadie puede vivir hoy en día, y aún insisten en que ningún dato
almacenado en la PC local del usuario está protegido por la organización. Si planea almacenar
centralmente datos de usuario, tendrá que asignar por lo menos de 200 a 500 MB por usuario
y esperar que crezca mucho más. Todo depende de los tipos de actividades que sus usuarios
realicen. Pero no se preocupe: el espacio en disco es mucho más económico hoy en día y
siempre lo será más.
En el caso de servidores host, use discos compartidos. Éstos le permitirán ejecutar el
sistema operativo junto con unidades de datos. Además, los discos compartidos le permitirán
implementar estrategias de alta disponibilidad para asegurar que sus ofrecimientos de servi-
cios virtuales estén siempre disponibles.
• Protección de hardware para servidores host Todos estos datos necesitan algún nivel de
protección. Las unidades de disco local deben estar protegidas por un conjunto redundante
de discos económicos (RAID, Redundant Array of Inexpensive Disks).
Muchas personas optan por un sitio de espejo de discos (RAID 1) para las unidades del
sistema y los conjuntos de bandas, con paridad (RAID 5) para las particiones de datos. Hay
diferentes opiniones, pero con los rápidos avances de hoy en día en la tecnología de disco, es
muy aceptable optar por un solo sistema RAID 5 y particionarlo en unidades de sistema y de
datos. No olvide la sobrecarga de RAID: se requiere 50% más de espacio en disco para RAID
1, y un mínimo de 20% para RAID 5, que salta a 33% si sólo tiene tres unidades.
regionales a menudo usaban unidades de cinta para copias de seguridad, pero esto ya no es
soportado por WS08 como opción predeterminada. Dependiendo de la velocidad y el ancho
de banda disponible de su conexión de red de área amplia (WAN, Wide Area Network), tal vez
sólo pueda copiar todos los datos en una ubicación central. WS08 incluye un motor de replica-
ción de compresión delta, que hace que resulte realmente simple crear estrategias de copia de
seguridad centralizadas. Esta táctica también puede usarse para crear copias de datos fuera del
sitio. Aprenderá rápidamente que la estrategia de copia de seguridad de WS08 está orientada
a disco. También tiene la capacidad de hacer instantáneas de copias de seguridad (imágenes
periódicas de las unidades de disco duro que se usan para crear la copia de seguridad, lo que
permite al servidor seguir con otras operaciones). Se cubrirá más sobre este tema cuando se
analicen las estrategias de continuidad del negocio.
PARTE II
• Sistema operativo ¿Hay algunos requisitos especiales para el sistema operativo que
hospedará este servidor? En el caso de Windows Server 2008, es fácil. Todo tiene que estar
certificado (hardware y software). Microsoft ha hecho grandes avances en la estabilidad con
sus sistemas operativos, pero estos avances dependen de que los productos sigan de manera
estricta las directrices. En una red de alta calidad, sólo se permiten productos certificados. Si
tiene hardware que no está certificado, tendrá que ponderar el riesgo de usarlo en un com-
ponente crítico, como un servidor, contra el costo de comprar partes de reemplazo. Si está
comprando nuevo hardware o software, asegúrese de que está certificado por WS08. Debido
a que sus sistemas host estarán ejecutándose en procesadores de 64 bits, debe asegurarse de
que cada componente esté certificado. Luego, en el caso de sistemas operativos invitados, no
tendrá que preocuparse demasiado, porque estarán ejecutándose en hardware virtualizado y
usará los controladores certificados que Microsoft proporciona con WS08.
• Posibilidades de crecimiento Por último, no querrá reemplazar este sistema seis meses
después de que lo empiece a usar, de modo que asegúrese de que tiene mucha capacidad para
crecimiento. Todos los sistemas deben tener la capacidad de agregar más procesadores, me-
moria y espacio en disco. De este modo, necesitará tomar en consideración las expectativas de
vida del servidor (cuándo fue presentado el servidor por el fabricante, cuándo se le retiró, cuál
es la posibilidad de crecimiento proyectado por el fabricante, etcétera). Si planea con cuidado,
podrá implementar servidores que tendrán un rico ciclo de vida que cumpla con sus expectati-
vas. En algunas condiciones, este ciclo de vida puede durar hasta cinco años o más. Haga esto
para servidores host. Pueden proporcionarse sistemas operativos invitados con más recursos a
medida que los necesiten, de modo que debe preocuparse menos por ellos.
SUGERENCIA En el pasado, los servidores basados en procesadores AMD han ofrecido excelente valor,
porque usan el mismo espacio para procesadores de dos y cuatro núcleos. Esto signiica que puede
agregar vida a sus servidores con sólo reemplazar el procesador. Si Intel aún no se ha movido a este
modelo, entonces tal vez los servidores con AMD seguirán ofreciendo una expectativa de vida más
larga porque no necesitan “kits de actualización” para reemplazar el procesador por uno más poderoso.
Este ejercicio le ayuda a identificar el tamaño genérico de cada servidor (vea la figura
4-1). Los ofrecimientos de servicios especiales, como controladores de dominio, Microsoft Ex-
change o SQL Server, requerirán diferentes parámetros de tamaño. Microsoft ofrece herramien-
tas de asignación de tamaño para casi toda su familia de servidores. Todos están disponibles en
el sitio Web de servidores de Microsoft en www.microsoft.com/Servers. Además, Compaq, Dell,
126 Parte II: Planee y prepare
HP e IBM ofrecen herramientas de asignación de tamaño para estos servidores en sus respectivos
sitios Web.
SUGERENCIA Si pretende ejecutar grandes cantidades de equipos virtuales en hosts muy gran-
des, entonces use la edición Datacenter de WS08, porque proporciona un número ilimitado de
licencias para equipos virtuales de Windows. Como se mencionó en el capítulo 3, depende de las
calculadoras de virtualización de Windows Server (www.microsoft.com/windowsserver2003/
howtobuy/licensing/calculator.mspx) para determinar cuáles licencias se amoldan mejor a sus
necesidades.
PARTE II
servidor host
Sistema operativo invitado: identifique el número de usuarios
por servidor
Determine la carga de servidores aceptable máxima
Determine la variación de servidores
Un solo propósito
Multipropósito
Determine la capacidad mínima del servidor
Modelo del servidor
Determine el número de:
Procesadores
Núcleos de procesadores
Determine el tamaño de la RAM
Determine el tamaño del disco
Determine la protección del hardware para los servidores host
Determine la estrategia de almacenamiento
Determine la ubicación física
Determine el método de copia de seguridad
Identifique si hay cualquier requisito especial para el sistema
operativo
Determine la posibilidad de crecimiento
ficación a esta partición, tendrá que apagar su sistema de producción para reiniciar dentro de esta
segunda partición, actualizar la segunda partición y luego reiniciar su partición de producción.
Esta operación da muchos rodeos, y como casi todas las organizaciones que han implementado
esta solución no tienen el tiempo para hacerlo (después de todo, los servidores están diseñados
para ejecutarse las 24 horas del día, los siete días de la semana) terminan con contraseñas ob-
soletas y sistemas no parchados en esas particiones. Es concebible que estas particiones puedan
llegar a dañar los datos si no se mantienen actualizadas mientras el sistema principal evoluciona.
Al final, representan una seria falla de seguridad.
De modo que use WinRE. Y si quiere proteger de manera absoluta su sistema, separe las uni-
dades del sistema y de datos. Si su sistema deja de funcionar a pesar de todas las precauciones
que tome, puede reinstalarlo sin afectar la partición de datos o perder ninguno.
128 Parte II: Planee y prepare
Componente Recomendación
Velocidad de CPU 3 GHz o más
Arquitectura de CPU x64
Número mínimo de CPU de dos o cuatro núcleos 2
RAM 16 GB
Sistema operativo Windows Server 2008 x64 Enterprise
Selección de sistema operativo Server Core
Función de sistema operativo Hyper-V
Ubicación del sistema operativo Almacenamiento compartido
Coniguración del sistema operativo Clúster
Coniguración del disco de datos Dos volúmenes en almacenamiento compartido: masivo
para datos y partición pequeña para copias de seguridad
de instantáneas.
Conexión de almacenamiento compartido iSCSI
NIC 2, mínimo; por lo menos 1 Gbit de velocidad
Tipo de servidor Blade
PARTE II
• Servicios instalados
• Cualquier comentario adicional o información requerida
El sitio Web que acompaña a este libro en inglés (www.reso-net.com/livre.asp?p=main&b=
WS08) incluye una Server Data Sheet. Esta hoja incluye cada uno de los elementos descritos
antes (en inglés). Puede usarse en papel o en formato electrónico. También puede adaptarse a
formato de base de datos. Cada hoja debe proporcionar información detallada y actualizada en la
configuración de cada servidor, host o invitado, de su red.
SUGERENCIA Los servidores hosts ejecutarán la edición Enterprise o Datacenter de WS08. Ade-
más, ejecutarán las instalaciones de Server Core sólo para minimizar la sobrecarga del sistema
operativo. Pero los servidores invitados ejecutarán cualquiera de las ediciones más comunes de
WS08 (Web, Standard, Enterprise), aunque lo más probable es que no ejecuten la edición Data-
center, porque ésta es costosa y está diseñada para hardware real y no instancias virtualizadas.
Los sistemas operativos invitados también ejecutarán una selección de Server Core o la instalación
completa, dependiendo de la ubicación y de su función en la red.
PARTE II
Servicios SNMP (opcional)
Tareas adicionales
Activar el servidor
Cambiar el nombre de la cuenta administrativa
Crear una cuenta de administrador de Copia de
seguridad
Establecer la hora del sistema operativo en 10
segundos
Establecer las opciones de recuperación en 10
segundos
Configurar archivo de página y parámetros de
recuperación
Instalar WinRE (opcional)
Recorra la instalación
Ahora que ha revisado los requisitos previos a la instalación y ha pensado en la manera en que
deben seleccionarse y construirse los sistemas, está listo para el proceso de preparación de la
instalación masiva. Si instala un servidor o varios, debe por lo menos aprender cómo funciona
la instalación automatizada para asegurarse de que las configuraciones de su servidor sean siem-
pre las mismas, con los mismos componentes centrales y la misma configuración básica. Será
más fácil darles soporte de esta manera. También puede usar el método de instalación automati-
zada que elija para recuperar los equipos que fallen, de modo que se vuelve muy útil.
En primer lugar, necesita comprender cómo funciona la instalación interactiva básica. Con
Windows Vista, Microsoft simplificó el proceso de instalación para asegurar que no haya más
bloqueos para que la instalación se complete. En versiones anteriores de Windows, había varias
instancias durante la instalación en que tenía que proporcionar información: claves de CD, zona
horaria, distribución del teclado, configuración regional y de idioma, contraseña administrativa
y más. Ahora, Microsoft ha modificado la instalación para recolectar toda la información desde
el principio del proceso y luego hace que finalice la configuración una vez que se completa la
instalación. Esto significa que puede empezar las instalaciones interactivas múltiples y hacer algo
más mientras se ejecutan, para regresar a ellas una vez que se hayan completado. Debido a que
los equipos están bloqueados, ni siquiera necesita preocuparse de que las configuraciones sean
vulnerables cuando no está allí.
Éste es un buen lugar para un procedimiento operativo estándar (POE), porque siempre es el
mismo, sin importar cuál versión de Windows quiere instalar. Este procedimiento se documenta
(POE) SOP 4-01 y está básicamente delineado como sigue:
132 Parte II: Planee y prepare
PARTE II
sistema de referencia reciente
9. Revise métodos de implementación 5. Sistema de administración
10. Elija método de instalación preparado
Métodos de instalación
• Actualización completa, que es un método de limpieza y carga donde el disco del sistema se
limpia, reformatea y se instala un nuevo sistema operativo.
• Reemplazo, donde un sistema nuevo o simple sin sistema operativo se prepara y se instala un
nuevo sistema operativo.
Como se observa en la figura 4-5, cada escenario se cubre con un método específico de ins-
talación masiva.
Estos escenarios son para usarse con instalaciones de equipos físicos. En el centro de datos
dinámico, estos escenarios se aplicarán principalmente a la instalación de servidor host y tal vez
a los pocos ofrecimientos de servicios que no puede virtualizar por alguna razón. Cuando está
ejecutando ofrecimientos de servicios como sistemas operativos invitados, podrá aprovechar un
proceso de instalación diferente porque no necesita capturar imágenes para ejecutar la instala-
ción. En cambio, puede depender de copias de los archivos que integran las unidades virtuales de
134 Parte II: Planee y prepare
disco duro para los equipos y usarlos como lo haría normalmente con una imagen de disco (vea
la figura 4-6). Por supuesto, si decide seguir adelante con la actualización de su sistema, también
podrá ejecutar una instalación básica no atendida dentro del equipo virtual.
Métodos de instalación
Actualización Instalación nueva
Reemplazo del sistema
operativo en el lugar Imagen del sistema
No atendido
Copie sistema de referencia
Haga una pausa del sistema de
Servidor P2V existente referencia
Prepare XML no atendido Cargue copia
Realice actualización Prepare XML no atendido
Ejecute SysPrep
OOBE
Generalice
Apague
Copie y cargue la imagen de
SysPrep para todas las nuevas
instancias
32 bits, dándoles más vida como hosts físicos en lugar de entregar en realidad ofrecimientos de
servicios a usuarios. De esta manera, todos sus equipos físicos (32 y 64 bits) son hosts y todos sus
ofrecimientos de servicios están virtualizados.
SUGERENCIA Los equipos virtuales no sólo son para producción. Puede usarlos como soporte de
todos sus procedimientos de prueba y preparación. Sólo P2V el equipo que quiera probar, haga
una copia de seguridad del equipo virtualizado y luego pruebe el contenido.
PARTE II
• Fecha
• Autor
• Número de referencia
• Número de revisión
• Revisado por
Categoría Instalación del sistema
Propósito Este procedimiento operativo estándar está diseñado para cumplir dos objetivos:
• Realizar el descubrimiento de un nuevo sistema operativo
• Preparar un equipo de referencia
Cada uno es un proceso manual que debe realizarse con precaución.
El procedimiento operativo estándar está diseñado para arquitectos, operadores de equipos
e instaladores. Sobre todo, la fase de descubrimiento es para todas las audiencias, pero la fase del
equipo de referencia es más específicamente para operadores e instaladores.
El procedimiento cubre todos los pasos requeridos para realizar una instalación de primera
vez de un nuevo sistema operativo de Windows Server. Debe actualizarse a medida que evolu-
cionan estos sistemas.
Cobertura de tareas Preparar la creación de un servidor de referencia y preparar el propio servi-
dor son dos tareas extremadamente importantes en el proceso de implementación masiva debido
a que son el punto de partida de toda la implementación. Estos pasos deben realizarse con cui-
dado y disciplina si no quiere descubrir situaciones problemáticas más adelante en su red. Use la
regla del 80/20 para preparación del equipo y el servidor.
Herramientas requeridas
Equipo • Medios de instalación de Windows Server 2008
• Hardware de servidor
• Laboratorio de prueba
Materiales de referencia • Sitio Web de Microsoft
• Sitio Web del fabricante de software
• Ayuda y soporte de WS08
Requisitos de capacitación • Instalación avanzada de Windows NT, 2000 o 2003, o cualquier combinación de
éstos
Materiales generales • Ayuda en línea
136 Parte II: Planee y prepare
PARTE II
7. Cree una copia de seguridad del servidor de referencia
Instalación inicial
SUGERENCIA Los equipos virtuales son ideales para el proceso de descubrimiento de la instalación,
porque es fácil ejecutar una y otra vez mediante la instalación, sin tener que borrar un sistema
completo.
NOTA Al igual que en Windows Vista, el proceso de actualización en WS08 ¡realmente funciona!
Eso se debe a que cada instalación de WS08 usa una imagen para realizar la instalación. ¿Re-
cuerda IBS? Debido a IBS, la actualización elimina todos los componentes de sistemas operativos
anteriores, protege todos los datos y coniguraciones de aplicaciones, además de todas las aplica-
ciones instaladas, y luego instala WS08 al descomprimir la imagen de instalación y personalizar
el hardware en que lo está instalando. Debe investigar este proceso si trata de actualizar sistemas
que realicen la función de ofrecimientos de servicios.
PARTE II
Una vez que ha creado o seleccionado la partición, Windows empieza el proceso de insta-
lación. A partir de este punto, no hay nada más que hacer hasta que la instalación se complete.
Copiará los archivos de instalación de Windows, los expandirá, instalará las características y las
actualizaciones y luego completará la instalación. Durante este proceso, Windows los instalará y
los restaurará y luego pedirá un cambio de contraseña una vez que ha terminado la instalación.
El proceso de instalación también cubre cinco pasos; observe que el sistema reiniciará varias
veces durante la instalación:
• Copiando archivos
• Expandir archivos
• Instalar características
• Instalar actualizaciones
• Completar instalación
Ya no se muestra información de tiempo para finalización; en cambio, se despliega el por-
centaje de cada paso. Toma alrededor de 40 minutos para la instalación, dependiendo del hard-
ware y las opciones que seleccione.
PARTE II
FIGURA 4-8 Asistente Tareas de coniguración inicial.
y habilita dos versiones del protocolo TCP/IP: IPv4 e IPv6. IPv4 se establece para recibir una
dirección automática de un servidor que ejecuta el protocolo de configuración dinámica de host
(DHCP, Dynamic Host Configuration Protocol). IPv6 se establece como una dirección de vínculo
local privado, como opción predeterminada.
El cuadro de diálogo Propiedades de red es el mismo que en Windows Server 2003, de modo
que debe estar familiarizado con la mayor parte de los administradores. Use sus directrices cor-
porativas para asignar configuraciones a IPv4 e IPv6. Un parámetro de configuración que tal vez
sea diferente para la configuración IPv4 es el vínculo con un servidor de asignación de nombre de
Internet de Windows (WINS, Windows Internet Naming Service), porque el sistema de nombre de
dominio (DNS, Domain Name System) que se ejecuta en WS08 ahora soporta una característica de
nombre global (GlobalName). Se cubrirá más sobre este tema durante el diseño de la infraestructu-
ra de red en el capítulo 6, pero debe deshacerse de los servidores WINS, hasta donde pueda, porque
proporcionan servicios no actualizados en las redes de hoy en día. Modifique las propiedades de
cada conexión en el servidor. Cierre la ventana Conexiones de red cuando haya terminado.
NOTA Equipo de referencia: sería mejor que deje las propiedades de red del equipo de referencia en
sus valores predeterminados, a menos que tenga valores especíicos que pueda usar para conigu-
raciones predeterminadas. Recuerde que cualquier cosa que se conigure en el equipo de referencia
se retendrá en la imagen del sistema que cree a partir de él.
NOTA Equipo de referencia: es una buena idea asignar un nombre al equipo de referencia, pero
manténgalo en un grupo de trabajo en lugar de unirlo a un dominio, porque se despersonalizará
para generar una imagen de sistema. Lo ideal es que pueda crear un grupo de trabajo que use un
nombre de nivel inferior o NetBIOS para su dominio, de modo que aparezca en las mismas agru-
paciones cuando se vean las redes disponibles. Luego, puede unirlo al dominio durante el proceso
de coniguración de la imagen.
También debe habilitar las actualizaciones de acuerdo con las configuraciones de su orga-
nización. Seleccione Configurar las opciones manualmente, en el cuadro de diálogo Habilitar
comentarios y actualizaciones automáticas de Windows, porque al elegir la opción automática
se instalarán automáticamente las actualizaciones además de enviar comentarios a Microsoft.
Capítulo 4: Explore los modos de instalación de Windows Server 2008 143
PARTE II
errores, en particular, puede alimentarse a un servidor de informe de errores centrales dentro de
la red, lo que le permite identificar problemas con su servidor, a medida que ocurren.
Ahora que las actualizaciones están configuradas, puede descargar e instalar cualquier ac-
tualización disponible. Haga clic en el vínculo en Tareas de configuración inicial. Se despliega la
pantalla Windows Update. Antes de que busque actualizaciones, asegúrese de hacer clic en el
vínculo Obtener actualizaciones para más productos. Esto le lleva al sitio Web de Microsoft Update
e instala la utilería que le permitirá obtener actualizaciones de controladores y otro software. Acepte
los términos de uso y haga clic en el botón Instalar. Esto hará que el servidor revise actualizaciones
automáticamente. Instálelas si están disponibles. Cierre las ventanas y regrese a Tareas de configu-
ración inicial cuando haya terminado. Éste es un buen momento para reiniciar el servidor.
SUGERENCIA Si por alguna razón pierde la ventana Tareas de coniguración inicial, simplemente
escriba “oobe” en el cuadro Iniciar búsqueda del menú Iniciar y luego oprima ENTER para desple-
garlo de nuevo.
Una vez que se reinicie, la siguiente tarea en Tareas de configuración inicial es agregar fun-
ciones. Si está realizando un descubrimiento con la intención de crear un equipo de referencia,
no use esta opción aquí. También está disponible en el Administrador del servidor y realmente
debe usarlo una vez que esté completamente configurado el servidor de base. Sin embargo, pue-
de usar la siguiente opción para agregar características. Aquí debe agregar lo siguiente para una
instalación completa:
• Visor XPS bajo .NET Framework 3.0 para ver los documentos de especificación en papel de
XML (XPS, XML Paper Specification) en cualquier servidor.
• Cifrado de unidad BitLocker, pero sólo si el servicio está destinado a una zona físicamente
desprotegida, aunque esta característica puede habilitarse después, siempre y cuando el siste-
ma incluya por lo menos dos particiones NTFS.
• Experiencia de escritorio, porque será necesario habilitar el servicio Tema de Windows Vista
más adelante.
• Servicios de protocolo simple de administración de red (SNMP, Simple Network Management
Protocol), si su organización permite este protocolo en servidores para monitorear su estatus.
Confirme que lo asegura apropiadamente.
• Copia de seguridad de Windows Server para proteger el sistema operativo y los datos del
servidor.
144 Parte II: Planee y prepare
Todas las demás características sólo deben instalarse cuando se haya aprovisionado el servi-
dor y necesite asignársele una función específica en la red.
Por último, verifique la configuración de la Firewall de Windows. En cualquier otra red
corporativa, la configuración de la firewall se controlará centralmente mediante la directiva de
grupo, de modo que sólo necesita un nivel predeterminado de protección en este servidor.
Antes de cerrar la ventana Tareas de configuración inicial, asegúrese de seleccionar la casilla
de verificación No mostrar esta ventana al iniciar sesión, en la esquina inferior izquierda, porque
se han completado las opciones de configuración en esta ventana.
Reinicie el servidor, porque tiene varias operaciones que dependen de un reinicio para
completarse. Una vez que se ha reiniciado, inicie sesión con la cuenta Administrador. Una vez
que la sesión esté abierta, lance el Administrador del servidor. Un icono para éste se encuentra
en el área Inicio rápido, además del botón Iniciar. Lo usará para varios pasos de descubrimiento.
Cuando el Administrador del servidor se abre, verá varias de las opciones que configuró en la
pantalla Tareas de configuración inicial. Primero, revise la configuración de Registro de eventos.
Expanda la sección Diagnóstico en el panel de árbol de la izquierda, luego Visor de eventos y Re-
gistros de Windows. Los registros se usan para registrar información acerca de sucesos en el sis-
tema. Cada registro tiene un tamaño determinado y se establece en un mecanismo de rotación,
por lo general sobrescribiendo eventos más antiguos cuando se llena el registro. Su organización
puede tener una directiva diferente. Como opción predeterminada los registros se establecen en:
• Aplicación: 20 MB con sucesos sobrescritos más antiguos
• Seguridad: 20 MB con sucesos sobrescritos más antiguos
• Configuración: 1 MB con sucesos sobrescritos más antiguos
• Sistema: 20 MB con sucesos sobrescritos más antiguos
• Sucesos reenviados: 20 MB con sucesos sobrescritos más antiguos
NOTA Se usa la opción de sobreescritura de sucesos más antiguos porque los registros detendrán su
servidor cuando se llene.
Haga clic con el botón derecho en el nombre de cada registro, y seleccione Propiedades, para
establecer el tamaño del archivo y determinar su mecanismo de creación de bucles. No olvide
que se crean copias de seguridad todos los días (con base en el calendario de copias de seguridad
de su organización), de modo que sólo necesita el tamaño que será conveniente sin tener que
depender de una copia de seguridad. Observe que no puede cambiar el registro Eventos reenvia-
dos, porque almacena eventos que se reenvían desde otros equipos o ninguno está disponible.
A continuación, pase al Administrador de dispositivos. También puede encontrarlo bajo
Diagnóstico. Úselo para ver cualquier posible problema de hardware. Revise cualquier elemento
que tenga un signo de admiración o uno de detención. Tal vez tenga que instalar nuevos contro-
ladores o actualizar los existentes. Aquí es donde serán de utilidad las notas que adquirió del sitio
Web del fabricante del hardware. Siga hasta que ya no haya conflictos o hasta que no queden
conflictos críticos. Lo que se busca es un sistema donde todos los elementos estén contraídos.
Agregue la característica Experiencia de escritorio y, una vez que se haya reiniciado el sis-
tema, pase al nodo de servicios, bajo Configuración, para habilitar el servicio Temas. Este ser-
vicio está deshabilitado como opción predeterminada, porque usa recursos del sistema. Si está
actualizado y usa Windows Vista en sus escritorios, este servicio deberá estar activado para tener
Capítulo 4: Explore los modos de instalación de Windows Server 2008 145
el mismo aspecto en servidores y estaciones de trabajo. De otra manera, siempre estará yendo
de una interfaz a otra. En realidad, todos los servidores deben tener activado este servicio como
opción predeterminada.
1. Encuentre el servicio Temas, en la lista Servicios que se encuentra en el panel intermedio, haga
clic con el botón derecho en él y seleccione Propiedades. En la lista desplegable de la ficha
General, seleccione Automático, luego haga clic en Aplicar y en Iniciar. Haga clic en Aceptar,
cuando haya terminado.
2. A continuación, minimice el Administrador del servidor, haga clic con el botón derecho en el
escritorio, elija Personalizar y luego seleccione Tema.
3. Elija el tema Windows Vista y haga clic en Aceptar.
PARTE II
Ahora que está usando la interfaz de Vista, personalice el área Inicio rápido. Deberá hacer
esto al asegurar que todos los administradores de su organización tengan la misma experiencia,
o por lo menos una similar, en cualquier lugar que accedan a un servidor para realizar activida-
des en él. Empiece por doblar el tamaño de la barra de tareas. Hágalo así al mover el puntero
del ratón a la parte superior de la barra de tareas junto al botón Iniciar de Windows, hasta que el
puntero tome la forma de una flecha que apunta hacia arriba y hacia abajo. Arrastre hacia arriba
para expandir la barra de tareas.
La barra de tareas incluye los programas en ejecución, además del área Inicio rápido. Cada área
es antecedida por una fila de cuatro series de puntos a la izquierda. Mueva el puntero a la parte su-
perior de esta fila de programas en ejecución hasta que tome la forma de una flecha que señala hacia
la izquierda y la derecha. Arrastre la barra de programas en ejecución a la esquina inferior izquierda
del botón Iniciar. Ahora debe tener programas en ejecución desplegados debajo del área Inicio rápi-
do. Haga clic con el botón derecho en la barra de tareas y seleccione Bloquear la barra de tareas.
A continuación, haga clic en el botón Iniciar, luego en Todos los programas, y recorra los pro-
gramas predeterminados, además de las herramientas administrativas para agregar las que usará
más en el área Inicio rápido. Para agregar cada acceso directo al programa, haga clic con el botón
derecho en él y seleccione Agregar a Inicio rápido. Por ejemplo, podría considerar la adición de
los siguientes elementos:
• Internet Explorer, personalizado de acuerdo con su estándar corporativo
• Bajo Accesorios:
• Símbolo del sistema
• Bloc de notas
• Explorador de Windows
• Bajo Accesorios|Herramientas del sistema:
• Información del sistema
• Bajo Herramientas administrativas:
• Administración de equipos
• Directiva de seguridad local
• Terminal Services|Escritorios remotos
• Configuración del sistema
La barra de tareas resultante debe incluir la mayor parte de las herramientas que todos nece-
sitarán usar para administrar este servidor o incluso servidores remotos. Organice las herramientas
de acuerdo con su orden de uso, de izquierda a derecha (vea la figura 4-9). Su interfaz está lista.
146 Parte II: Planee y prepare
FIGURA 4-9
Ahora, cambie el nombre de la cuenta de
Barra de tareas administrador. Para esto, regrese al Adminis-
de un servidor trador del servidor. Expanda Administrador
bien administrado. del servidor|Configuración|Usuarios y grupos
locales y haga clic en Usuarios. Haga clic con
el botón derecho en Administrador y seleccione Cambiar nombre. Escriba el nuevo nombre y
oprima ENTER. Cuando lo haga, cierre la sesión y vuelva a iniciar porque necesita abrir una nueva
sesión con el nuevo nombre de cuenta.
PRECAUCIÓN Como opción predeterminada, se establece la cuenta de administrador para que las
contraseñas expiren con base en la directiva de cuenta del servidor. Aunque no es una buena prác-
tica, tal vez desee cambiar esta característica. Para ello, haga clic con el botón derecho en la cuenta
para elegir Propiedades y marque La contraseña nunca expira, en la icha General. Haga clic en
Aceptar cuando haya terminado.
Regrese al Administrador del servidor para crear una cuenta de administrador de copia de
seguridad. Esta cuenta puede ser obligatoria o no, de acuerdo con la directiva de seguridad de su
organización, pero es obligatoria, por lo menos temporalmente, para actualizar el perfil de usuario
predeterminado. Expanda Configuración y luego Usuarios y grupos locales; haga clic con el botón
derecho en Usuarios y seleccione Usuario nuevo. Asigne a la cuenta el nombre AdminCS (o use su
estándar organizacional), déle un nombre completo de Administrador de copia de seguridad, agre-
gue una descripción, proporcione una contraseña sólida y asigne el derecho La contraseña nunca
expira. Haga clic en Crear y luego en Cerrar. A continuación, haga clic con el botón derecho en
AdminCU y seleccione Propiedades. Pase a la ficha Miembro de y seleccione Agregar. Una vez que
aparezca el cuadro de diálogo, haga clic en Avanzadas y luego en Buscar ahora. Haga doble clic en
Administradores y luego haga clic en Aceptar para cerrar el cuadro de diálogo. Su cuenta está lista.
Ahora, abra el Panel de control, asegúrese de que está usando la vista Ventana principal del
Panel de control, y haga clic en Sistema y mantenimiento. Seleccione Sistema y, en el panel de la
izquierda, seleccione Configuración avanzada del sistema. Aquí se requieren varias modificacio-
nes. Empiece por establecer las opciones de Inicio y recuperación. Use los siguientes parámetros
en este cuadro de diálogo:
• Mostrar la lista de sistemas operativos por: 10 segundos
• Mostrar opciones de recuperación por: 10 segundos
Haga clic en Aceptar para cerrar el cuadro de diálogo. A continuación, vaya a Rendimiento y
haga clic en la ficha Opciones avanzadas. Haga clic en Cambiar para establecer el archivo de pagina-
ción. El tamaño de éste depende de la cantidad de RAM en el servidor; consulte su ejercicio de asig-
nación de tamaño al servidor para ver la manera de establecer su tamaño de archivo de paginación.
Cierre todos los cuadros de diálogo cuando haya terminado. A continuación, use el Administrador
del servidor para agregar la característica Herramientas de administración de servidor remoto.
Se requieren dos actividades adicionales en la exploración del proceso de instalación. La
primera es la instalación de WinRE. Recordará que se tiene acceso a WinRE desde los medios
de instalación, pero cuando algo sale mal es más práctico tenerlo instalado directamente en el
servidor que tener que buscar los medios de instalación antes de que pueda reparar un servidor.
Como se mencionó en el ejercicio de asignación de tamaño del servidor, necesitará una segunda
Capítulo 4: Explore los modos de instalación de Windows Server 2008 147
partición primaria y activa para instalar y ejecutar WinRE. Pero también necesita depender del Kit
de instalación automatizada de Windows (Windows AIK) para realizar esta instalación. Debido a
que Windows AIK también se requiere para preparar procesos de instalación masiva, el proceso
de instalación de WinRE se describe como parte de esos procesos más adelante en este capítulo.
La operación final del proceso de descubrimiento consiste en actualizar el perfil de usuario
predeterminado. Cada vez que un nuevo usuario inicia sesión en un sistema por primera vez,
Windows genera un nuevo perfil para él al copiar el contenido del perfil de usuario predetermi-
nado. Si personaliza su entorno y luego actualiza este perfil a partir de su entorno personalizado,
puede asegurar que cada vez que un nuevo perfil se genera incluya un conjunto central y mejoras
a la interfaz. En una organización que quiera asegurar que todos sus administradores
y técnicos dependen de procedimientos operativos estándar, la actualización del perfil de usuario
PARTE II
predeterminado es absolutamente esencial.
WS08 no le permite copiar un perfil de usuario abierto en otro, porque muchas de las carac-
terísticas abiertas son volátiles y, por tanto, están almacenadas en RAM y no persisten hasta que
el usuario sale de la sesión. De modo que para actualizar su usuario predeterminado, debe usar la
cuenta administrativa de copia de seguridad creada antes. Use el siguiente procedimiento:
1. Cierre sesión de la cuenta de administrador.
2. Inicie sesión empleando la cuenta de administrador de copias de seguridad. WS08 crea un
nuevo perfil basado en la configuración anterior.
3. Abra el Explorador de Windows y establezca Opciones de carpeta para que se vean archivos
ocultos.
4. En el Administrador del servidor, haga clic en Cambiar propiedades del sistema, en la pantalla
Resumen. Esto le da acceso rápido al cuadro de diálogo que necesita para la siguiente operación.
5. Vaya a la ficha Opciones avanzadas y haga clic en el botón Configuración bajo Perfiles de
usuario. Seleccione el perfil Administrador y haga clic en el botón Copiar a.
6. Use el botón Examinar para ir a la carpeta Usuarios en la unidad C:, seleccione el perfil Prede-
terminado y luego haga clic en Aceptar.
7. Haga clic en Sí para reemplazar archivos existentes.
8. Cierre todos los cuadros de diálogo y cierre la sesión de la cuenta del administrador de copia
de seguridad.
9. Regrese usando la cuenta de administrador principal.
10. Lance el Panel de control, seleccione Sistema y mantenimiento|Sistema|Configuraciones avan-
zadas del sistema y haga clic en el botón Configuración bajo Perfiles de usuario.
11. Seleccione el perfil del administrador de copia de seguridad y elimínelo. Confirme la eliminación.
12. Cierre todos los cuadros de diálogo, vaya al botón Iniciar y use la flecha a la derecha, junto al
candado, para seleccionar Cambiar de usuario.
13. Inicie sesión utilizando la cuenta del administrador de copia de seguridad. Esto probará el
perfil de usuario predeterminado. Observe que ahora tiene una copia del perfil Administrador.
Cierre la sesión de la cuenta AdminCS.
14. Regrese al perfil del administrador.
Ha terminado. El proceso de descubrimiento está completo. Ahora debe repetir el proceso
para crear un nuevo equipo de referencia. Si ha documentado cada uno de estos pasos, debe
tener la posibilidad de repetir este proceso sin errores. Este equipo de referencia será el modelo
que usará para el método de instalación masiva.
148 Parte II: Planee y prepare
NOTA No tiene que depender de la función Hyper-V para ejecutar su centro de datos dinámico.
Varios fabricantes ofrecen hipervisores, especialmente VMware, Citrix, Virtual Iron y más. Si decide
depender de otro hipervisor porque es más maduro e incluye características no encontradas en Hy-
per-V, entonces busque las siguientes instrucciones como medio para conigurar instalación de Ser-
ver Core para ines diferentes de los del servidor host. Si elige la función Hyper-V, necesitará obtener
o instalar el complemento Hyper-V. Busque el complemento en www.microsoft.com/downloads.
Después de configurar, Server Core le pedirá que inicie sesión y esperará su entrada. Haga
clic en Otro usuario, escriba Administrador como nombre de usuario y use una contraseña en
blanco. El sistema le pedirá ahora que cambie la contraseña. Use una contraseña sólida. Una vez
que haya iniciado sesión, realice las siguientes operaciones:
• Cambie el nombre de la cuenta de administrador
• Configure la red
• Proporcione el nombre de equipo y el dominio
• Cambie la hora y la fecha
• Habilite las actualizaciones
• Descargue e instale actualizaciones
• Habilite el Escritorio remoto
• Configure la Firewall de Windows
• Active el servidor
PARTE II
Donde %nombreusuario% es la variable que llama a su nombre de cuenta, Administrador, y
NuevoNombre es el nombre que quiere asignar a la cuenta. Si por alguna razón, necesita cambiar
de nuevo la contraseña, use:
net user NuevoNombre *
El asterisco (*) causará que el siguiente comando de usuario despliegue un indicador para
la contraseña. Escriba ésta, oprima ENTER, vuelva a escribir la contraseña y oprima ENTER. Salga y
vuelva a iniciar sesión en el equipo para empezar a usar las nuevas credenciales. La manera más
fácil de hacer esto consiste en oprimir CTRL+ALT+SUPR y usar el comando Log Off. Hágalo aunque
sólo haya cambiado el nombre de usuario. Necesita volver a abrir una sesión con las nuevas cre-
denciales o, de otra manera, su contexto de seguridad ya no funcionará.
Para configurar la red, necesita usar el comando netsh. En primer lugar, encuentre cuáles
interfaces de red existen:
netsh interface ipv4 show interfaces
Esto proporcionará una lista de todas las interfaces que ejecutan IPv4. Observe el número
mostrado en la columna IDX para cada interfaz. Necesitará configurar la interfaz. A continuación,
use el comando netsh una vez más para configurarla.
netsh interface ipv4 set address name=”ID” source=static
address=dirIPestática mask=MáscaraSubred gateway=GatewayPda
NOTA Si quiere agregar más de un servidor DNS, recicle el mismo comando, pero aumente el valor
del número de índice de uno en uno. Esto establece el orden de los servidores DNS en la interfaz.
Si quiere configurar direcciones IPv6, use el mismo comando. Empiece por encontrar el ID
de la interfaz:
150 Parte II: Planee y prepare
Tome nota de los ID en la columna IDX. Luego use los dos comandos siguientes para esta-
blecer la dirección y el servidor o los servidores DNS:
netsh interface ipv6 set address interface=”ID” address=DirIPv6
netsh interface ipv6 set dnsserver name=”ID” source=static
address=DirIPDNS register=both
NOTA Como opción predeterminada, cada instalación de WS08 incluye IPv6 con direcciones automá-
ticas. Si sólo necesita conectividad de red de área local, no es necesario que conigure el protocolo IPv6.
Reinicie el equipo para que estos cambios surtan efecto. Use el siguiente comando:
shutdown /r /t 3
Use el interruptor /t para agilizar el proceso; de otra manera, necesita esperar un minuto
completo para que tenga efecto el apagado. Una vez que se reinicie el sistema, únase al dominio:
nstdom join %nombreequipo& /domain:NombreDominio /userD:CuentaAdministrativa
/passwordD:Contraseña
NOTA Las instalaciones de Server Core en sistemas hosts deben ser parte de un dominio que no sea
parte de sus dominios de ofrecimientos de servicios de producción por razones de seguridad. Pero
deben ser parte de un dominio para obtener una administración de cuenta centralizada. Más de
esto se cubrirá cuando analicemos las estrategias de seguridad del centro de datos dinámico.
Esto lanza la applet del Panel de control de fecha y hora donde establece estos valores. Para
ver la hora y la fecha en el indicador de comandos, escriba:
prompt $p$s$b$s$t$s$b$s$d$g
Como opción, puede usar los comandos de fecha y hora para establecer la fecha y la hora en
un archivo de procesamiento por lotes:
time hh:mm:ss
date dd-mm-aa
Capítulo 4: Explore los modos de instalación de Windows Server 2008 151
PARTE II
cscript scregedit.wsf /AU 4
cscript scregedit.wsf /AR 0
Para ver sus cambios, escriba:
cscript scregedit.wsf /AU /v
cscript scregedit.wsf /AR /v
Las características del sistema se controlan a través de los comandos de configuración del
sistema operativo. Para ver lo que está instalado y lo que está disponible, escriba:
oclist
Para obtener información sobre la configuración de las funciones y características del sistema
operativo (vea la figura 4-11), escriba:
ocsetup /?
Por ejemplo, para instalar la característica Copia de seguridad de servidor de Windows, escriba:
start /w ocsetup WindowsServerBackup
El uso del interruptor /w evitará que el indicador de comandos regrese hasta que el comando
esté completado. De otro modo, la única manera de saber si el comando se ha completado con éxi-
to es ejecutar el comando OCLIST de nuevo. Use la misma estructura para las otras características y
funciones que quiere instalar. Por ejemplo, los servidores hosts deben ejecutar la función Hyper-V.
FIGURA 4-11
Opciones del comando
OCSetup.
Dependiendo de sus directivas de seguridad organizacional, tal vez quiera crear una cuenta
administrativa de copia de seguridad en su instalación de Server Core para asegurarse de que
siempre tenga acceso a ella. Use el siguiente comando:
net user nombreusuario contraseña /add
net localgroup administradores nombreusuario /add
Donde nombreusuario y contraseña son los valores que quiere asignar a la cuenta de copia de
seguridad. La configuración final que pueda hacer es para el archivo de paginación y los paráme-
tros de recuperación. Use los siguientes comandos:
wmic pagefileset where name=”ruta/nombrearchivo” set
initialSize=tamañoinicial,MaximumSize=maxsize
Consulte el ejercicio de asignación de tamaño del servidor que se cubrió antes para determinar
cuáles valores debe establecer. Asegúrese de crear una unidad de sistema lo suficientemente grande
como para contener el archivo de página de los sistemas hosts, porque tendrán grandes cantidades
de RAM. Observe que el archivo de página predeterminado esté localizado en C:\PAGEFILE.SYS.
NOTA Para establecer opciones de recuperación con el comando WMIC, siga las directrices del
artículo de la base de datos de conocimientos de Windows número 307973 en http://support.
microsoft.com/kb/307973
Se necesita un elemento más. Como está creando equipos de Server Core para ejecutar ofreci-
mientos de servicios virtualizados, necesitará agregar por lo menos dos discos más al sistema. Como
se mencionó al principio, estos discos deben localizarse en almacenamiento compartido, como sería
el disco de sistema en un escenario ideal. Pero como tal vez no esté seguro de los detalles de estos
discos en este momento, sería más fácil configurar su equipo de Server Core para que pueda admi-
nistrar remotamente discos y otros componentes a través de la consola Administración de equipos en
un equipo con una instalación completa de Windows. Para esto, necesita ejecutar dos comandos más:
net start VDS
winrm quickconfig
Capítulo 4: Explore los modos de instalación de Windows Server 2008 153
El primer comando inicia el servicio de disco virtual (VDS, Virtual Disk Service) y le permite
administrar remotamente sus discos, mientras que el segundo le permite la shell remota de Win-
dows (WinRS) en el sistema. Esto significa que puede ejecutar ahora comandos remotamente en
este sistema con el comando WINRS.
PARTE II
El último elemento de la lista es la instalación del entorno de WinRE. Como se mencionó
antes, se cubrirá más adelante en este capítulo. Ahora puede ver por qué debe automatizar este
proceso lo más posible. Todas las operaciones de esta lista pueden colocarse en un archivo de
procesamiento por lotes que se ejecute en la instalación. Además, deberá hacer la mayor cantidad
de estos cambios posibles en su instalación base o de referencia de Server Core y capturar esta
instalación como una imagen de sistema que puede reproducirse en otros sistemas de la manera
más simple posible.
NOTA Las instalaciones de Server Core no soportan el comando Ejecutar una vez (que permite
automatizar el proceso posterior a la instalación). Debido a esto, necesita usar un medio espe-
cial de automatización de las operaciones posteriores a la instalación. Por fortuna, el proceso de
instalación de Windows Server ejecuta automáticamente un archivo de comandos al inal de la
instalación, el archivo SETUPCOMPLETE.CMD. Si crea una secuencia de comandos y le asigna
este nombre, entonces póngala en la carpeta %WINDR%\SETUP\SCRIPTS\, que se ejecutará
antes de que aparezca la primera pantalla de inicio de sesión, después de que la instrucción esté
completa. Use esta secuencia de comandos junto con una imagen de sistema para hacer automáti-
ca la construcción de sus hosts de Server Core.
NOTA Hay dos maneras de automatizar coniguraciones de Server Core. En primer lugar, puede
crear una secuencia de comandos que incluya todos los cambios requeridos. En segundo lugar,
puede usar un archivo UNATTEND.XML durante la coniguración. La última opción se anali-
zará en la siguiente sección. Para conocer más detalles acerca de la coniguración de Server Core,
consulte http://technet2.microsoft.com/windowsserver2008/en/library/47a23a74-e13c-46de-8d30-
ad0afb1eaffc1033.mspx?mfr=true.
Automatización de instalaciones
Ahora que ha descubierto la configuración interactiva, además del proceso de configuración, y
que sabe cómo preparar equipos de referencia, está listo para seguir con la automatización de
la instalación. Para esto, necesitará un conjunto personalizado de herramientas del sitio Web de
Microsoft. Entre estas herramientas se incluyen:
• El Administrador de imágenes del sistema de Windows (Windows SIM) se usará para
construir y personalizar archivos de respuesta de instalación automatizada (archivos que pro-
154 Parte II: Planee y prepare
Preparación y prerrequisitos
Las herramientas del sitio Web de Microsoft no sólo son los únicos elementos que necesita para
facilitar la automatización de la instalación de un servidor. También necesita componentes adi-
cionales, entre los que se incluyen:
• El servidor de referencia que ha preparado. Esto puede ejecutarse dentro de un equipo vir-
tual, porque sólo necesitará para crear la imagen del sistema para la automatización.
• El medio de instalación de WS08 para el que desea crear imágenes. Recuerde que las versio-
nes instaladas están controladas por clave de producto, de modo que debe bastar un DVD de
instalación.
• Ya ha descargado el Windows AIK.
• El sistema de administración donde instalará el Windows AIK y creará la imagen del sistema.
Esto también puede ser un equipo virtual.
• Su entorno de construcción debe tener la capacidad de simular una situación de implemen-
tación. Esto significa una red pequeña. Tal vez la configuración ideal sea tener una estación de
trabajo poderosa ejecutándose con, por lo menos, 4 GB de RAM y una unidad de disco duro
externa o separada con espacio suficiente para almacenar varios equipos virtuales, asignan-
do por lo menos 10 GB por equipo. Instale un producto de virtualización (sea de VMware en
www.vmware.com o de Microsoft en www.microsoft.com) y cree equipos virtuales para cada
función. La unidad de disco separada asegurará que su equipo físico no se hará más lento por
la necesidad de ejecutar equipos virtuales y un sistema operativo real a partir del mismo disco
físico. Lo ideal es que este equipo esté ejecutando Windows Vista o WS08.
• También necesitará acceso a una unidad de disco lexible o a un dispositivo lash univer-
sal (UFD, Universal Flash Device), como una unidad USB.
• Su equipo físico necesitará incluir un escritor de DVD y, por supuesto, DVD en blanco para
almacenar la nueva imagen que cree.
Instale el sistema operativo en el equipo host y luego el software de virtualización. Si decide
ejecutar WS08, entonces use la función de servidor Hyper-V. Cree su primer equipo virtual e
Capítulo 4: Explore los modos de instalación de Windows Server 2008 155
instale un sistema operativo invitado en él. Puede ser Windows Vista o WS08. Sería mejor que
instalara Vista, porque ésta debe ser una estación de trabajo. Lo ideal es que agregue dos unida-
des de disco al sistema: una para el sistema operativo y otra para los datos. La unidad de datos
hospedará todas las imágenes que cree. Esto servirá como su sistema de administración.
El Windows AIK es una imagen de CD/DVD. Si está trabajando en un equipo físico, transforme
la imagen en un CD y luego cárguela en la unidad de CD. Si está trabajando con un equipo virtual,
simplemente vincule el archivo ISO con la unidad de CD/DVD del equipo y lance el equipo virtual.
NOTA El Windows AIK está en formato .img. Si no tiene software que entienda las imágenes de CD
en este formato, cambie el nombre del archivo usando la extensión .iso.
PARTE II
Cuando se lanza el CD, se le presentarán varias opciones. Seleccione Windows AIK Setup.
Una vez que esté completo, su sistema de administración está listo.
Ahora puede empezar la automatización de sus configuraciones de WS08. Use el orden
siguiente:
1. Cree un archivo de respuesta automatizado.
2. Cree imágenes del sistema.
3. Implemente las imágenes.
Cada opción se cubrirá de manera detallada en las siguientes secciones.
fuerte y hará que el proceso de instalación no atendido resulte mucho más práctico. Todo lo que
tendrá que hacer es personalizar el archivo de respuesta no atendido que se proporcione.
En resumen, las instalaciones no atendidas representan una gran cantidad de trabajo. Aun-
que son aceptables para organizaciones pequeñas donde se requieren menos servidores, no tien-
den a proporcionar la ganancia adecuada por la inversión en organizaciones medianas o grandes.
En éstas, las instalaciones no atendidas sólo son prácticas para sistemas de referencia. Y aunque
el proceso de actualización en realidad funciona en WS08, muchas optan por usar el escenario
de actualización completa en lugar de realizar una actualización. Pero aún necesita conocer el
proceso de instalación no atendida.
SUGERENCIA De manera ideal, usará equipos virtuales para sus sistemas de referencia, sobre todo
para los ofrecimientos de servicios virtualizados. Esto signiica que puede construir manualmente
el sistema de referencia (con extremo cuidado, porque no implementará basura en su red) y luego
sólo mantenerlo. Cualquier otro paso de automatización que necesite realizar en este sistema puede
hacerse en una copia del sistema, algo que es difícil de hacer con los sistemas de referencia física.
PARTE II
La imagen se abre y queda listo para seguir adelante. Notará que Windows SIM incluye
cinco paneles de ventana (vea la figura 4-12). Son:
• Recurso compartido de distribución, que es el área de la esquina superior izquierda que
incluye el recurso compartido de red que desea usar como punto de distribución para su imagen.
• Imagen de Windows, que está en el área de la esquina inferior izquierda e incluye la imagen
real que acaba de abrir. La imagen incluye el nombre de imagen y dos subentradas: Compo-
nentes y Paquetes.
• Archivo de respuesta, que está en el área intermedia superior e incluirá los detalles de su
archivo de respuesta.
• Propiedades, que es el área de la esquina superior derecha y detallará el contenido de los
objetos que seleccione en el archivo de respuesta.
• Mensajes, que está en la parte inferior e incluye información acerca de la configuración que
modifique.
Ahora cree y modifique el archivo de respuesta.
1. Vaya al menú Archivo y elija Nuevo archivo de respuesta. Esto llena el panel Archivo de res-
puesta con un archivo Untitled.
2. Vaya de nuevo al menú Archivo y elija Guardar archivo de respuesta. Asígnele un nombre
apropiado. Debido a que este archivo es para la edición Enterprise, llámelo Enterprise. Haga
clic en Guardar.
La imagen de Windows incluye cada una de las actividades que ha realizado durante la
configuración. Para automatizar estos pasos, necesita insertar comandos personalizados para el
archivo de respuesta. Esto se hace al localizar el comando apropiado en el ciclo adecuado bajo
el panel Imagen de Windows y luego modifique las opciones bajo el archivo de respuesta. Por
ejemplo, si quisiera crear una nueva partición de disco y formatearla, entonces necesita indicarle
a Windows PE que realice estas tareas antes de comenzar la instalación de Windows.
Como verá, hay cientos de opciones y características que puede modificar durante la con-
figuración. Lo ideal es que mantenga esto al mínimo y capture la mayor cantidad posible de
información de su equipo de referencia. Obtendrá más información acerca de esto en el archivo
de ayuda de Windows AIK. Tómese el tiempo para revisarlo y asegúrese de que comprende su
conjunto de características antes de implementar su sistema. La mejor opción es la prueba y el
error. Pruebe cada configuración automatizada, siempre que sea posible, y asegúrese de com-
prender exactamente lo que se hace antes de que implemente la imagen.
En el siguiente ejemplo se le lleva a recorrer los cambios que necesita hacer para elaborar un
archivo de respuesta que sirva para crear una configuración de servidor básica. Esta configuración
realizará lo siguiente:
PARTE II
un comando de ciclo. Seleccione el presentado como opción predeterminada.
3. Repita lo anterior con el nodo x86_Microsoft-Windows-International-Core-WinPE.
4. A continuación, bajo el nodo x86_Microsoft-Windows-Setup, agregue los siguientes elementos.
Una vez más, expanda cada uno de los siguientes elementos y haga clic con el botón derecho en
ellos para elegir el comando Agregar disponible. Cada uno se agregará al archivo de respuesta.
• DiskConfiguration | Disk | CreatePartitions | CreatePartition
• DiskConfiguration | Disk | ModifyPartitions | ModifyPartition
• ImageInstall | OSImage | InstallTo
• UserData
5. A continuación, bajo x86_Microsoft-Windows-Shell-Setup agregue OOBE.
6. Ahora vaya al panel Archivo de respuesta y agregue los siguientes parámetros para cada
componente de la lista. Los componentes que no están en la lista no necesitan configuración,
porque usarán la opción predeterminada. Para ello, haga clic en el nombre del componente en
el panel Archivo de respuesta, luego muévase al panel Propiedades, haga clic en la opción y
seleccione el valor apropiado de la flecha desplegable o anote el valor.
• Ciclo 1: International Core WinPE
• InputLocale: 0409:00000409
• LayeredDriver: ninguno
• SystemLocale: es-Es
• UILanguage: es-ES
• UILanguageFallback: ninguno
• UserLocale: es-ES
• Ciclo 1: International Core WinPE | SetupUILanguage
• UILanguage es-Es
• WillShowUI: OnError
• Ciclo 1: DiskConfiguration
• WillShowUI: OnError
• Ciclo 1: DiskConfiguration | Disk
• DiskID: 0
• WillWipeDisk: True
• Ciclo 1: DiskConfiguration | Disk | CreatePartition | CreatePartition
• Order 1
• Size: 40000
• Type: Primary
160 Parte II: Planee y prepare
• Ciclo 7: OOBE
• HideEULAPage: True
• NetworkLocation: Work
• ProtectYourPC: 3
• SkipMachineOOBE: en blanco (la configuración del servidor no tiene una experiencia de
equipo integrada)
• SkipUserOOBE: True
7. Guarde el archivo de respuesta cuando haya terminado.
8. Ahora, valide el archivo de respuesta para asegurarse de que funciona. Vaya al menú Herra-
mientas y seleccione Validar archivo de respuesta. Si sus entradas son correctas, no debe tener
advertencias de error. De lo contrario, revise los valores indicados y compárelos con los suyos.
Si hay discrepancias, modifique sus opciones. Si no puede modificarlas, elimine el componen-
Capítulo 4: Explore los modos de instalación de Windows Server 2008 161
te del archivo de respuesta al hacer clic con el botón derecho y luego agréguelo de nuevo y
vuelva a aplicar la configuración.
9. Guarde el archivo nuevamente.
SUGERENCIA Primero guarde el archivo con el nombre de la edición que está conigurando, de
modo que pueda regresar a esa edición determinada para hacer cambios especíicos.
10. Ahora guarde una nueva copia del archivo. Asígnele el nombre AUTOUNATTEND.XML. Este
archivo se usará para automatizar su instalación. La instalación de Windows revisa automáti-
camente en las unidades extraíbles, como discos flexibles o USB, en busca de un archivo con
PARTE II
ese nombre durante la instalación. Si lo localiza, lo usará para aplicar configuraciones durante
la instalación. Cierre Windows SIM.
11. Complete el proceso al guardar el archivo en un disco flexible o una unidad de memoria USB.
Ahora está listo para probar la automatización de su instalación. Inserte los medios de insta-
lación en la unidad de DVD (o adjunte el archivo ISO apropiado en un equipo virtual) e inserte el
disco flexible o la unidad USB. Inicie o reinicie el equipo. El programa debe realizar la instalación
sin pedirle información.
SUGERENCIA Uso de discos lexibles: si decide usar discos lexibles para almacenar el archivo
AUTOUNATTEND.XML, debe asegurarse de que el orden de arranque del servidor incluye las
unidades de disco lexible hasta el inal. De otra manera, el servidor tratará de arrancar desde el
disco lexible y fallará su instalación automatizada. Querrá asegurarse de que el servidor arranca
desde la unidad de DVD-ROM para que la coniguración se lance automáticamente.
las mejores maneras de hacer esto consiste simplemente en probarlo. Mientras está trabajando
con equipos virtuales, puede usar una herramienta de transferencia física a virtual para capturar
la instalación de un equipo físico y transformarlo en un equipo virtual. Luego puede probar la
actualización en la versión virtual del equipo sin efecto en el servidor real.
SUGERENCIA Si elige actualizar sus ofrecimientos de servicios virtuales actuales, usará el pro-
ceso ya descrito. Sólo haga una transformación de físico a virtual del sistema y luego ejecute la
actualización en la instancia virtual. Esto le permite probar una y otra vez hasta que quede bien.
Asegúrese de respaldar las unidades de disco virtuales antes de probar algo más.
Figura 4-13
Interruptores soportados
por el comando SETUP.EXE.
Capítulo 4: Explore los modos de instalación de Windows Server 2008 163
nentes y características que pueden agregarse y controlarse, presentando una lista de los elemen-
tos que soporta Server Core.
La preparación de una instalación no atendida de Server Core usa el mismo proceso que la ins-
talación completa de WS08. Asegúrese de descubrir por completo el proceso de instalación, realice
y documente sus configuraciones y luego determine exactamente cómo quiere que se vea su insta-
lación de Server Core. Luego, una vez que esté listo, use Windows SIM para preparar el archivo de
respuesta, cree una imagen de sistema de Server Core y pruebe la implementación de su sistema.
PARTE II
Windows Server 2003, Microsoft ha hecho lo posible para dar soporte a la creación de imágenes
de disco de servidores. De manera tradicional, las tecnologías de creación de imágenes de disco
capturan imágenes basadas en sectores, capturando básicamente una imagen del disco que hos-
peda al sistema operativo, sector por sector. Además, tenían que recurrir a comercializadores de
terceros para obtener una herramienta que le permitiera crear una imagen de disco. Pero con el
lanzamiento de Windows Vista, Microsoft ha ingresado en la fraternidad de la creación de imáge-
nes del sistema. Ésta, en oposición, a la de imágenes de disco, se denomina así porque no captura
una copia exacta del disco; en cambio, crea una imagen de archivos que sólo captura los archivos
que conforman el sistema operativo.
Las imágenes de archivos tienen ventajas sobre las de disco. Por ejemplo, antes de capturar
una imagen de disco, necesita desfragmentar el disco para asegurarse de capturar uno que está
usando una estructura optimizada. No necesita preocuparse de eso con las imágenes de archivo,
porque no está copiando una estructura de disco. Además, las imágenes de archivo pueden mon-
tarse como si fueran unidades de disco, lo que le permite modificar su contenido sin tener que
reconstruir el sistema de referencia. En algunas condiciones, esto es más práctico que modificar
el propio sistema de referencia.
SUGERENCIA Las unidades de disco duro virtual también pueden montarse como unidades de dis-
co. Esto signiica que puede actualizar la información en un equipo virtual sin tener que abrirla
en realidad, de la misma manera que lo haría con una imagen de sistema de archivos. Esto es lo
que haría para un ofrecimiento de servicios virtual, en oposición a un host físico. En el caso del
host físico, tendrá que trabajar con la imagen del sistema.
La principal ventaja de las imágenes del sistema es que puede capturar mucho más que la
instalación del sistema operativo. Cualquier proceso de creación de imágenes no sólo incluye el
sistema operativo, sino la personalización, las instalaciones de software adicional y mucho más;
en realidad, todo lo que le hace al sistema de referencia que se capturará. Es correcto: todo. Por
eso debe prepararse el sistema de referencia con mucho cuidado.
Para trabajar con imágenes del sistema, también necesita trabajar con Windows PE. WinPE
es una versión reducida de Windows Vista. Está diseñado para caber en un solo CD. Ocupa casi
120 MB en sistemas x86 y x64 y 220 MB en sistemas Itanium (sistemas personalizados de 64 bits
de Intel). Se trata de una versión de Windows que se ejecuta exclusivamente a partir de sus pro-
pios medios, lo que significa que no requiere un disco duro. Se ejecuta en modo protegido
y proporciona una consola de 32 bits que ofrece las siguientes características:
164 Parte II: Planee y prepare
• Es independiente del hardware en que se ejecuta y requiere una cantidad mínima de RAM.
• Detecta automáticamente las tarjetas de red y proporciona conectividad de TCP/IP.
• Puede funcionar con todos los controladores de almacenamiento masivo que estén habilita-
dos para Windows XP, 2003, Vista o WS08.
• Puede crear, modificar y destruir particiones NTFS.
• Incluye herramientas de diagnóstico.
• Soporta PXE.
Sin embargo, WinPE tiene limitaciones. Como ya se mencionó, sólo se ejecuta por un pe-
riodo de 72 horas, lo que requiere que se reinicie si se ejecuta por periodos largos. Sólo soporta
un máximo de cuatro conexiones de red. Se conectará a otros servidores de su red, pero usted no
puede conectarse remotamente a un equipo que ejecuta Windows PE. Y sólo es compatible con
tarjetas gráficas de Matriz gráfica de video (VGA, Video Graphics Array).
Windows PE está diseñado para reemplazar a DOS. En el caso de implementaciones del
sistema, sobre todo de servidor, es bienvenido, porque le permite iniciar un servidor que no tiene
nada en él y descargar una imagen de servidor para cargar el sistema operativo. Sin Windows PE,
el uso de imágenes de disco en servidores era difícil, si no es que imposible. Windows PE solía
reservarse para clientes especiales (clientes que adquirían licencias por volumen con Microsoft),
pero desde el lanzamiento de Vista, ha quedado disponible para todos. Como tal, ahora se inclu-
ye en el Microsoft AIK.
SUGERENCIA Existen dos versiones de Windows PE: de 32 y 64 bits. Necesita usar la versión
apropiada para instalar versiones de 32 o 64 bits de Windows.
SUGERENCIA Puede usar una coniguración no atendida como ayuda para crear su equipo de
referencia. Durante la preparación de éste, tal vez descubra que tiene que volver a crear de manera
repetida un sistema actualizado para asegurarse de que su construcción esté absolutamente lim-
pia. Las interfaces no atendidas pueden ayudar en gran medida durante este proceso.
Sin embargo, cuando esté usando equipos virtuales, puede usar discos que no se pueden desha-
cer para revertirla a una versión prístina de la instalación si algo sale mal, o mejor aún, guardar una
copia prístina de la instalación y regresar a ella cada vez que necesite reiniciar un proceso.
Capítulo 4: Explore los modos de instalación de Windows Server 2008 165
Pero antes de que pueda crear una imagen del sistema, deberá preparar e incluir un archivo
UNATTEND.XML en el sistema. La instalación de Windows rastrea automáticamente el sistema
en busca de ese archivo, y si lo encuentra en el lugar correcto, lo aplica automáticamente duran-
te la instalación. Use el proceso ya descrito para preparar su archivo UNATTEND.XML y luego,
como está trabajando con una imagen de sistema, colóquela dentro de la carpeta %WINDIR%\
SYSTEM32\SYSPREP. Debido a que se ha ubicado en esta carpeta, se aplicará automáticamente
cuando se implemente el sistema.
SUGERENCIA Recuerde que puede montar unidades de disco virtuales e imágenes de sistema de
Windows como unidades de disco. Puede usar esta característica para actualizar el archivo
PARTE II
Unattend.xml, cuando se necesite, para depender de esta imagen para implementar nuevos sistemas.
SUGERENCIA También puede usar la siguiente cadena de línea de comandos para ejecutar la herra-
mienta Sysprep:
C:\Windows\System32\Sysprep.exe /oobe /generalize /shuhtdown
Cree un CD de WinPE
Para crear una imagen a partir de su sistema de referencia, necesita tener la capacidad de ini-
ciar en una partición diferente. Por esto, necesitará trabajar con WinPE. Una de las acciones
que este entorno le permite completar es la captura de una imagen del sistema a partir de
una instalación en un equipo de referencia. Pero WinPE no incluye el software de captura como
opción predeterminada, de modo que necesita personalizarlo. Para crear la imagen de su sistema,
necesitará realizar las siguientes acciones:
166 Parte II: Planee y prepare
FIGURA 4-14
Uso de la versión gráica
de Sysprep.
SUGERENCIA En un equipo virtual, no necesita crear una imagen del sistema. Los archivos que
integran las unidades de disco duro virtual del equipo ya integran la imagen que puede duplicar.
NOTA En el caso de instalaciones de servidor host de Server Core, necesitará usar el interruptor
amd64, porque sólo se ejecuta en hardware de 64 bits. Cambie todas las referencias en este procedi-
miento de x86 a amd64.
5. Una vez que el comando esté completo, necesita copiar la versión correcta de ImageX en la car-
peta de construcción. En este caso, lance el Explorador de Windows y vaya a C:\Program Files\
Windows AIK\Tools\x86. Haga clic con el botón derecho en IMAGEX.EXE y seleccione Copiar.
6. Ahora, vaya a D:\Imagen_sistema\WINPE_X86\ISO y cree una nueva carpeta llamada x86.
7. Vaya a la carpeta x86 y pegue el archivo ImageX.exe.
Capítulo 4: Explore los modos de instalación de Windows Server 2008 167
PARTE II
*.zip
*.cab
\WINDOWS\inf\*.pnf
9. Guarde el archivo en la nueva carpeta x86 y asígnele el nombre WIMSCRIPT.INI. Cierre el
Bloc de notas.
10. Ya casi ha terminado. Ahora cree un archivo de imagen ISO. Para eso, regrese a la ventana del
indicador de comandos de WinPE y use los siguientes comandos:
cd..
cd PETools
oscdimg –n –base de datos:\Imagen_sistema\winpe_x86\etfsboot.com d:\Imagen_
sistema\winpe_x86\ISO d:\Imagen_sistema\winpe_x86\winpe_x86 iso
11. Queme el archivo WinPE_x86 ISO en un CD en blanco, de arranque. Incluya el rótulo adecua-
do en el CD.
Está listo para crear su imagen
Capture la imagen
Asegúrese de que el orden de arranque de su equipo de referencia empieza con la unidad de
DVD-ROM. Esto es necesario para asegurar que arranca en WinPE en lugar de WS08. Una vez
hecho esto, está listo para crear su archivo de imagen. Use el siguiente procedimiento:
1. Inserte el CD de WinPE y arranque el servidor.
2. Asigne una unidad a su recurso compartido de red y proporcione las credenciales apropiadas
para acceder a este recurso compartido:
net use s: \\nombreservidor\nombrerecursocompartido /user:nombredominio
\nombreusuario *
donde nombreservidor es el nombre de su sistema de administración y nombrerecursocompar-
tido es el nombre del recurso compartido que asignó a la carpeta D:\Imagen_sistema que creó
al principio. En este caso, debe ser Imagen_sistema. Nombredominio debe ser el nombre del
dominio o servidor en que se encuentra su sistema de administración, y nombreusuario es su
nombre de cuenta, mientras que * le pedirá una contraseña.
3. Escriba su contraseña para completar el comando de uso de red. Debe cifrarse y no debe des-
plegarse.
4. Cambie la carpeta x86 en winPE al escribir el siguiente comando:
D:
cd x86
168 Parte II: Planee y prepare
5. Como opción predeterminada, WinPE se carga en la RAM y crea una unidad X:. Para llegar a
su comando ImageX, necesita regresar a la unidad DVD-ROM real, que en este ejemplo es la
unidad D:.
6. Ahora use el comando ImageX para crear la imagen y almacenarla en un recurso compartido
de red:
Imagex.exe /compress fase /capture C: S:\Servidor_x86 wim “Instalación
personalizada de servidor x86” /verify
7. Este comando capturará la unidad C:, comprimirá la imagen, le asignará el nombre SERVI-
DOR_X86 WIM y llamará al catálogo Instalación personalizada de servidor x86, además de
verificar la imagen durante la captura (vea la figura 4-15).
Una vez que se complete el comando, está listo para proceder a la implementación de la
imagen. Si ha hecho todo de manera correcta, estará listo para usar la imagen para implemen-
tar varios servidores de 32 bits. Pero primero necesita probar la implementación de la imagen y
verificar que obtiene los resultados anticipados.
SUGERENCIA En el caso de ofrecimientos de servicios virtuales, todo lo que necesita hacer es copiar
los archivos del equipo virtual en que se usó sysprep, cambiarles el nombre, agregarlos a la coni-
guración de host y arrancar el nuevo equipo.
El proceso descrito aquí es manual e interactivo, pero puede volverse automático mediante
secuencias de comandos.
1. Prepare el hardware del sistema o el equipo virtual que pretende usar. Asegúrese de que el
orden de arranque del equipo incluye DVD-ROM.
FIGURA 4-15 Uso del comando ImageX para capturar una imagen del sistema.
Capítulo 4: Explore los modos de instalación de Windows Server 2008 169
PARTE II
SUGERENCIA Todos estos comandos pueden almacenarse en una secuencia de comandos que se eje-
cute automáticamente una vez que se arranque WinPE. Necesita actualizar la imagen de WinPE
para incluir esta secuencia de comandos y reconstruir el CD de WinPE antes de que pueda usarlo.
NOTA La instalación remota es muy aceptable también para pequeñas organizaciones, aunque hay
más costos relacionados con las instalaciones no atendidas o de imagen de sistema. Tome en cuen-
ta los beneicios cuando decida cuál modelo usar.
RIS y WDS requieren una infraestructura importante para ejecutarse. Necesitan Active Direc-
tory Domain Services en funcionamiento para proporcionar autorización al servicio en un dominio,
Cambios en Sysprep
En versiones anteriores de Windows, la herramienta Sysprep capturaba el estado insta-
lado del equipo y despersonalizaba la imagen sin cambiar nada. En WS08 y Windows
Vista, Sysprep va un poco más allá en los cambios que solía hacer. Por ejemplo, si cambió
el nombre de la cuenta administrativa predeterminada en el sistema de referencia y luego
usó Sysprep para capturar la imagen, Sysprep restablecerá automáticamente el nombre
de cuenta Administrador. Sin embargo, mantendrá la contraseña que aplicó. Esto significa
que necesitará cambiar de nuevo el nombre de la cuenta de administrador, una vez que
se implemente la imagen. Podría considerar la integración de una secuencia de comandos
posterior a la instalación que haría esto automáticamente.
Además, Sysprep incluye un error. Si usó una dirección IPv4 estática en su servidor de
referencia y luego capturó la imagen, Sysprep mantendrá la dirección original asignada a
la interfaz, pero la dirección no aparecerá en la página gráfica Propiedades de la configura-
ción de IPv4 de la interfaz. La dirección sólo aparecerá cuando use el comando ipconfig
/all en un indicador de comandos (vea la figura 4-16). Debe eliminar esta dirección o, de
otra manera, todos los sistemas que genere a partir de la imagen de Sysprep tendrán un
conflicto de dirección IP. Para eliminar la dirección, use el siguiente comando:
netsh interface ipv4 show interfaces
Esto proporcionará una lista de las interfaces disponibles que ejecutan IPv4. Observe
el número mostrado en la columna IDX para cada interfaz. A continuación, use el coman-
do netsh una vez más para eliminar la dirección duplicada:
netsh interface ipv4 delete address name=”ID” address=dirIPduplicada
Otra manera más fácil de eliminar esta dirección es evitar el problema por completo al
usar el protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration
Protocol) para asignar una dirección IP dinámica en el servidor de referencia. Debido a que
la dirección es automática, no habrá duplicación cuando vuelva a usar la imagen de Sysprep.
Capítulo 4: Explore los modos de instalación de Windows Server 2008 171
PARTE II
FIGURA 4-16 Direcciones duplicadas aparecen en sistemas generados por una imagen Sysprep.
NOTA Si se está moviendo a un centro de datos dinámico y estará ejecutará servidores hosts junto
con ofrecimientos de servicios virtualizados, tal vez necesite una instalación completa de WDS,
sobre todo porque sólo se aplicará a las instalaciones de servidores hosts. No debe estar producien-
do en masa servidores hosts, porque un host debe ejecutar más de diez ofrecimientos de servicios
virtuales. Debido a que en raras ocasiones se necesitan hosts, puede ser más que aceptable para
sus necesidades el uso de una imagen de sistema sin un sistema de implementación central. La
172 Parte II: Planee y prepare
FIGURA 4-17
Instalación remota de
1- GUID y solicitud de servicio
servidores con WDS. WDS enviados
3- GUID verificada en AD y
validada por servidor WDS
4- Petición de credenciales
5- Lista de imágenes enviada
6- El usuario elige la imagen
7- La imagen se implementa en
el servidor
de servidor de identidad
CAPÍTULO 6
Construya la infraestructura
de red de Windows
E
n esta sección se inicia el proceso de diseño de red. Traza el Server 2008
recorrido para crear redes que ejecutan Windows Server 2008
(WS08). Como tal, cubre el diseño y la implementación de
Active Directory Domain Services y la conectividad básica de red,
además de los Servicios de implementación de Windows. Tome en
cuenta que cubre estos aspectos para el almacén de recursos de
hardware y los ofrecimientos de servicios virtualizados.
CAPÍTULO
5
Prepare su administrador de identidad
A
ctive Directory (AD) es el nombre de marca que Microsoft usa ahora para reagrupar todas
sus soluciones de administración de identidad. Como se delineó en el capítulo 1, la marca
AD incluye cinco componentes:
• Servicios de dominio de AD (ADDS, AD Domain Services), llamado originalmente Active
Directory, que proporciona servicios de autentificación y autorización en una red.
• Servicios de directorio ligero de AD (ADLDS, AD Lightweight Directory Services), que se
conocía antes como Modo de aplicación de Active Directory (ADAM, Active Directory Appli-
cation Mode) y tiene el objetivo de proporcionar un almacén de datos para entornos que no
tienen acceso a un nivel de servicio ADDS completo.
• AD Rights Management Services (ADRMS), que ayuda a controlar el uso apropiado de los
documentos y datos que su organización genera.
• Servicios de certiicado de Active Directory (ADCS, AD Certificate Services), al que antes
se le conocía como infraestructura de clave pública (PKI, Public Key Infrastructure) y se usa
para crear y administrar autoridades de certificación.
• Servicios de federación de AD (ADFS, AD Federation Services), que se usa para proporcio-
nar federación de identidad simplificada y segura, además de servicios de single sign-on para
aplicaciones Web.
Juntas, estas funciones forman la infraestructura de administración de identidad que Micro-
soft proporciona para organizaciones que ejecutan redes. Cada una proporciona un servicio de
administración de identidad, un servicio que está orientado a una parte específica de la red.
• ADDS es el eje de la red de Windows Server 2008. Es el componente central que no sólo sirve
para proporcionar autentificación y autorización, sino también administración, intercambio y
disponibilidad de información. En realidad, ADDS puede definirse de la siguiente manera: Un
entorno virtual seguro donde los usuarios pueden interactuar entre sí o con otros o con componen-
tes de red, todo de acuerdo con las reglas de negocios de la empresa.
• ADLDS, por otra parte, tiene dos usos principales:
• En primer lugar, se usa para integrar aplicaciones a un servicio de directorio, sin tener que
modificar la estructura del directorio ADDS. En este caso, ADLDS forma una extensión del
directorio central en su red, extensión que puede estructurarse por aplicación. Además, esta
extensión se vuelve portátil y puede aplicarse a la aplicación en cualquier lugar donde resida.
175
176 Parte III: Diseño de funciones de servidor
Servicios de dominio
de Active Directory
NOTA Para conocer más información acerca de las infraestructuras de PKI y la manera de aplicar-
las en su organización, visite www.reso-net.com/articles.asp?m=8 y busque la sección “Advanced
Public Key Infrastructures” (infraestructuras avanzadas de clave pública).
• ADFS está orientada a extender su estructura de ADDS al mundo externo, a través de puertos
de protocolo de control de transmisión/protocolo de Internet (TCP/IP, Transmisión Control
Protocol/Internet Protocol), como 80 (protocolo de transferencia de hipertexto: HTTP, Hyper-
text Transfer Protocol) y 443 (HTTP seguro o HTTPS). Por tanto, normalmente reside en la
DMZ y se usa para crear sociedades con otras organizaciones.
Como puede ver, cada tecnología AD juega una función importante en proporcionar una
infraestructura de administración de identidad plenamente integrada a su organización (vea la
figura 5-1). Pero, como también puede ver, no se puede empezar nada hasta que haya implemen-
tado su infraestructura ADDS interna. Éste es el eje del capítulo.
NOTA Para conocer más información acerca de las cinco tecnologías de Active Directory, busque el
MCTS Self- Paced Training Kit (Exam 70-640): Coniguring Windows Server 2008 Active
Directory, por Helme, Ruest y Ruest (Microsoft Press, 2008).
Capítulo 5: Prepare su administrador de identidad 177
NOTA En este capítulo se perila la manera en que debe conigurar ADDS para su ofrecimiento de ser-
vicios (el servicio que autentiicará a todos sus usuarios inales). Para el almacén de recursos, también
estará usando ADDS, pero en un modo mucho más simple, porque es un servicio de autentiicación
que sólo será usado por administradores y operadores de sistemas. Esta estructura de ADDS más sim-
ple se describirá e implementará en el capítulo 6. Si no está familiarizado con ADDS, tómese el tiempo
para revisar este capítulo de manera más completa porque es el núcleo de cualquier red de WS08.
La primera regla que debe establecer para sí mismo cuando trabaje en diseñar o revisar el
diseño de su estructura de Active Directory es “¡Use en todos lados las mejores prácticas!” No
trate de cambiar el funcionamiento de ADDS, sin importar lo que pudiera pensar. Proporciona
PARTE III
una gran cantidad de oportunidades que descubrirá mientras las implementa, usa y opera. Los
cambios que podrían tener sentido de acuerdo con los conceptos de la tecnología de la infor-
mación hoy en día bien podrían tener un efecto negativo en la operación de su estructura de
directorios mañana.
Por tanto, el primer paso hacia la implementación de su red (podría decirse que el paso más
importante hacia ésta) es el diseño y la implementación de su estructura de ADDS.
NOTA Las directrices de este capítulo han estado en uso durante varios años para ayudar a las
organizaciones a estructurar sus servicios de directorio. Son prácticas probadas que ayudarán
a asegurar que construya la solución de directorios más lexible: una solución que ayudará a su
organización a cubrir sus necesidades de negocios mediante los servicios que ofrece la red.
Los Servicios de directorio de Active Directory están, ante todo, afirmados en una base de
datos jerárquica (vea la figura 5-2). Como tal, la base de datos de directorios contiene un esquema
(una estructura de base de datos). Este esquema se aplica a cada instancia de ADDS. Una instancia
se define como un bosque de Active Directory. El bosque es la partición más grande de cualquier
estructura de base de datos determinada. Todos quienes participan en el bosque compartirán un
conjunto determinado de atributos y tipos de objetos. Esto no significa que el bosque sea el límite
global de Active Directory. Los bosques pueden agruparse para compartir cierta información. Win-
dows Server 2003 introdujo el concepto de conianzas de bosques, que permite que compartan partes
de su base de datos de Active Directory con otros, y viceversa. Este concepto se llevó a WS08.
Si compara el bosque de WS08 con Windows NT, puede ver fácilmente que mientras NT
también incluía una base de datos de administración de identidad (el dominio), su alcance estaba
limitado seriamente en comparación con ADDS. NT podía almacenar básicamente el nombre de
usuario o equipo junto con contraseñas y unas cuantas reglas que afectaban a todos los objetos.
La base de datos ADDS incluye más de 200 tipos de objetos y más de mil atributos, como opción
178 Parte III: Diseño de funciones de servidor
FIGURA 5-2
Estructura de base de
datos de los Servicios de Bosque
&TRVFNB
Información
de todo el
bosque,
incluye
Catálogo catálogo
global Configuración global
Contenido
específico
del dominio
Particiones de
aplicaciones Árbol
Controlador de
dominio (DC)
Dominio
Objetos GPO
de directivas
DC de sólo de cuenta
lectura (RODC)
Sitios Objetos:
r6TVBSJPT
Replicación r&RVJQPT
multimaestra Grupos: r*NQSFTPSBT
r6OJWFSTBM etcétera
r(MPCBM
r-PDBMEF
dominio
6OJEBEFT
organizativas
predeterminada. Por supuesto, puede agregar más tipos de objetos o atributos a esta base de
datos. Los productos de software que aprovechan la información almacenada en el directorio de
ADDS pueden extender su esquema. Microsoft Exchange, por ejemplo, prácticamente duplica el
número de objetos y atributos en el bosque debido a su integración con el directorio.
Como en cualquier base de datos, estos objetos se ordenan en categorías, pero a diferencia
de las bases de datos relacionales, esta estructura de base de datos es jerárquica porque está
basada en la estructura del sistema de nombre de dominio (Domain Name System). Cualquier
persona que tenga experiencia en World Wide Web sabe que todo es jerárquico. Ir a
www.microsoft.com es llegar a la raíz del sitio Web de Microsoft. Todo se dispersa desde esta
página. Si pasa a cualquier otra sección (TechNet o MSDN, por ejemplo) se le envía a páginas
especiales cuyos nombres se basan en la raíz Microsoft.com.
Los bosques actúan de la misma manera. Con la excepción de que en un bosque, el punto
raíz (análogo a la página de inicio) es el dominio de la raíz. Cada bosque de ADDS debe tener por
lo menos un dominio. Los dominios actúan como contenedores de objetos discretos dentro del
bosque. Los dominios pueden reagruparse en árboles. Los árboles se segregan a partir de los demás
mediante su nombre DNS. Microsoft, por ejemplo, tiene un bosque de varios árboles. Su“espacio de
Capítulo 5: Prepare su administrador de identidad 179
nombres”, el elemento DNS que define los límites del bosque, es Microsoft.com. Como tal, todos los
dominios dentro de este árbol tienen nombres similares a dominio.microsoft.com. Microsoft creó un
segundo árbol cuado incorporó MSN.com dentro de su bosque. El espacio de nombres MSN.com
creó automáticamente un árbol, y todos los dominios bajo él se denominan dominio.MSN.com.
Todo bosque debe incluir por lo menos un árbol y un dominio. El dominio es una directiva
de seguridad y un límite administrativo dentro del bosque. Se necesita para que contenga objetos
como usuarios, equipos, servidores, controladores de dominio (DC, Domain Controllers), impre-
soras, recursos compartidos de archivos, aplicaciones y mucho más. Si tiene más de un dominio
en el bosque, automáticamente se vinculará a todos los demás mediante una confianza de dos
vías transitiva automática. El dominio se define como un límite de seguridad, porque incluye re-
glas que se aplican a los objetos que contienen. Estas reglas pueden estar en forma de directivas
de seguridad o de objetos de directiva del grupo (GPO, Group Police Objects). Las directivas de
seguridad son reglas de dominio globales. Los GPO tienden a ser más discretos y deben aplicar-
se a objetos de contenedor específicos. Mientras los dominios son límites de seguridad discretos,
el bosque siempre será el último límite de seguridad dentro de una estructura de ADDS. El domi-
nio recibe su nombre de los límites administrativos porque, como opción predeterminada, las
directivas que se aplican a sus objetos no cruzan los límites del dominio.
El contenido del dominio puede dividirse aún más en categorías mediante tipos de objeto de
PARTE III
agrupación, como las unidades organizativas (OU, Organizational Units) o los grupos. Las unida-
des organizativas proporcionan agrupamientos que pueden usarse para propósitos administrati-
vos o de delegación. Los grupos se usan principalmente para la aplicación de derechos de seguri-
dad. Entre los grupos de WS08 se incluyen los universales, que pueden abarcar un bosque entero;
los globales, que pueden abarcar dominios; o locales de dominio, que están contenidos dentro de
un solo dominio. Las OU suelen usarse para segregar objetos verticalmente, debido a que objetos
como usuarios y tipos sólo pueden residir dentro de una sola OU, pero los grupos pueden abarcar
varias OU. Debido a esto, los grupos tienden a contener colecciones horizontales de objetos; un
objeto como un usuario puede incluirse en varios grupos pero sólo en una sola OU.
A los usuarios también se les facilita el trabajo con los Servicios de dominio de Active Di-
rectory. El trabajo en un bosque distribuido compuesto por varios árboles y sus dominios puede
volverse confuso para el usuario. ADDS da soporte a la noción de nombre de principio universal
(UPN, Universal Principal Name). El UPN suele integrarse con el nombre del usuario junto con el
nombre raíz del bosque global. Este nombre raíz puede ser el nombre del bosque o un alias especial
asignado por usted. Por ejemplo, en un bosque llamado TandT.net, podría usar nombre.apodo@tandt.
com como UPN, lo que significaría para los usuarios usar su nombre DNS externo para el UPN.
Los usuarios pueden iniciar sesión en cualquier dominio que tengan permitido dentro del bosque
empleando su UPN. En su dominio local, sólo pueden usar su nombre de usuario, si lo prefieren.
Bosques, árboles, dominios, unidades organizativas, grupos, usuarios y equipos son objetos
almacenados dentro de la base de datos ADDS. Como tales, pueden manipularse global o discre-
tamente. Una diferencia importante entre Active Directory y una base de datos estándar es que
además de ser jerárquico, está completamente descentralizado.
La mayor parte de las bases de datos de Active Directory también están distribuidas jerárqui-
camente porque representan la verdadera naturaleza de una organización. Únicamente organi-
zaciones muy pequeñas que tienen un solo sitio tendrán una base de datos que esté totalmente
localizada en un solo lugar.
La administración de una base de datos distribuida por completo es considerablemente más
desafiante que la de una base de datos que está localizada en una sola área. Para simplificar los pro-
180 Parte III: Diseño de funciones de servidor
blemas de las bases de datos distribuidas, los Servicios de dominio de Active Directory introducen
el concepto de replicación multimaestra. Esto significa que aunque toda la base de datos del bosque
esté integrada por depósitos distribuidos (depósitos que, dependiendo de su ubicación dentro de la
jerarquía lógica del bosque, pueden o no contener la misma información que las otras), la consis-
tencia de la base de datos se mantendrá. Mediante la estructura multimaestra, ADDS puede aceptar
cambios lógicos y asegurar la consistencia al depender de la información o los cambios a todos los
demás depósitos dentro del dominio o el bosque. Ésta es una de las funciones del objeto de controla-
dor de dominio en el directorio. Además de la replicación multimaestra, ADDS da soporte al concepto
de controlador de dominio de sólo lectura (RODC, Read Only Domain Controller). El RODC se
introdujo en WS08 para ayudar a proteger los datos de directorios almacenados en controladores de
dominio remoto e inseguros. A pesar de esto, siempre debe luchar por proteger los DC, cualquier
DC, al máximo, porque son los motores que proporcionan acceso a su red y a todos sus objetos.
Los únicos depósitos que tienen exactamente la misma información dentro de la base de datos
de AD son los dos controladores de dominio dentro del mismo dominio. Cada uno de estos depó-
sitos de datos contiene información acerca de su propio dominio, además de cualquier información
que se haya determinado que sea de interés para los administradores de todo el bosque. En el nivel
del bosque, puede determinar cuál información quedará disponible para todo el bosque al seleccio-
nar los objetos y atributos del esquema de base de datos cuyas propiedades quiere compartir entre
todos los árboles y dominios. Además, otra información de todo el bosque incluye el propio esque-
ma de base de datos y la coniguración del bosque, o la ubicación de todos los servicios de bosque.
La información publicada se almacena dentro del catálogo global (GC, Global Catalog). ADDS
publica algunos elementos como opción predeterminada, como el contenido de grupos universales,
pero también puede agregar o sustraer elementos a su gusto. Por ejemplo, tal vez decida incluir las
fotografías de sus empleados en el directorio y ponerlas a disposición de todo el bosque.
NOTA No todos los elementos son impublicables; algunos son prerrequisitos para la operación
apropiada de los Servicios de dominio de Active Directory.
Cualquier cosa que se publique dentro del catálogo global es compartida por todos los con-
troladores de dominio que desempeñan esa función en el bosque. Lo que sea que no se publi-
que permanece dentro del dominio. Esa segregación de datos controla la individualidad de los
dominios. Cualquier cosa que no se publique puede contener información discreta que podría ser
de la misma naturaleza, incluso usar los mismos valores, que la contenida en otro dominio. Las
propiedades publicadas dentro del catálogo global de un bosque deben ser únicas, al igual que
en cualquier otra base de datos. Por ejemplo, puede tener dos Juan López en un bosque, siempre
y cuando ambos estén dentro de diferentes dominios. Debido a que el nombre del objeto incluye
el nombre de su contenedor (en este caso, el dominio), ADDS verá a cada Juan López como un
objeto diferente. Por supuesto, ambos Juan López no podrán usar el mismo UPN.
El almacén de directorios, o base de datos NTDS.DIT, está localizado en cada controlador de
dominio. Incluye varias particiones que almacenan todos los datos que integran el dominio (vea
la figura 5-3). En cada almacén de directorio hay tres elementos (el esquema, la configuración y
los datos del dominio) y dos son opcionales (el catálogo global y la partición de la aplicación).
Tanto el catálogo global, como el esquema y la configuración, contiene información que se
replica a través del bosque. Los datos del dominio sólo se replican dentro del dominio. La repli-
cación se controla en redes locales y distantes mediante particiones de base de datos regionales.
Capítulo 5: Prepare su administrador de identidad 181
Esquema
Catálogo global
Partición de aplicaciones
Datos de dominio
NTDS.DIT
Las organizaciones tienen la opción de crear estas particiones con base en varios factores. Debido
a que el dominio es un límite de directiva de seguridad, las organizaciones de autorización (las
que abarcan varias ubicaciones geográficas que controlan) tal vez quieran crear un solo dominio
que abarque estas ubicaciones. Para segregar cada región y, por tanto, controlar la cantidad y el
tiempo de replicación de la base de datos entre regiones, el dominio se debe dividir en sitios. Los
PARTE III
sitios son particiones físicas que controlan la replicación al crear límites basados en el direcciona-
miento de protocolo de Internet (IP, Internet Protocol).
Las organizaciones que no son de autorización, no tienen administraciones independientes, no
controlan sus ubicaciones regionales o tienen vínculos lentos entre cada ubicación, tal vez deseen
tener mayor control de la replicación mediante la creación de dominios regionales. Éstos reducen
en gran medida la replicación, porque sólo se replica la información de todo el bosque de ubicación
en ubicación. Dicha información rara vez excede 20% de los datos del bosque global. Además, las
organizaciones que sólo tienen el control de una parte del espacio de nombres del bosque serán
propietarias de árboles dentro del bosque. Las organizaciones que no pueden garantizar un nivel
mínimo de consenso o autoridad entre grupos siempre crearán bosques separados.
Hay una partición más de replicación dentro de la base de datos de ADDS. Esta partición
se introdujo con Windows Server 2003. Es la partición de las aplicaciones. Tiene varias caracte-
rísticas, como la capacidad de hospedar varias instancias de la misma aplicación, además de los
mismos componentes COM+, en el mismo equipo físico, pero para fines de replicación, esta
partición puede definirse como un grupo específico de direcciones IP o nombres DNS de con-
troladores de dominio. Por ejemplo, WS08 crea automáticamente una partición de aplicación de
todo el bosque para datos DNS de todo el bosque, de modo que esta información estará disponi-
ble en todos los controladores de dominio dentro del bosque. Si también tienen la función DNS,
entonces cada controlador de dominio puede hacer que esta información quede disponible para
los usuarios.
Eso es todo. Se trata de la base de los Servicios de dominio de Active Directory. Lo que
realmente impresiona de esta base de datos es que una vez que está funcionando, puede permi-
tirle realizar cosas verdaderamente asombrosas. Puede administrar toda una red desde un lugar
central. Todas las interfaces de administración son las mismas en todo el bosque, incluso entre
bosques. Debido a que todo es jerárquico, puede implementar estándares en todo el bosque para
convenciones de asignación de nombres, operaciones, estructura de base de datos y, en especial,
implicaciones de directiva de seguridad. Si lo hace bien, puede implementar estos estándares au-
182 Parte III: Diseño de funciones de servidor
tomáticamente. Esto debe hacerse antes de que cree cualquier cosa debajo del dominio raíz. Aun-
que es simple de comprender, los Servicios de dominio de Active Directory son muy poderosos.
Característica Descripción
Auditoría de ADDS • Audita ADDS en el registro de eventos: cambios del servicio de directorios.
• Registra valores antiguos y nuevos cuando se hacen cambios.
Recuperar lo eliminado • Capacidad para restaurar objetos eliminados del directorio.
Controlador de dominio de sólo • Capacidad para crear un controlador de dominio que sólo almacene en caché los datos
lectura (RODC) de ADDS.
• Puede usarse en entornos inseguros para proporcionar servicios de inicio de sesión
mientras evita la modiicación de los datos de ADDS.
• También da soporte a un servicio DNS de sólo lectura.
ADDS que es posible reiniciar • El servicio de ADDS puede detenerse y reiniciarse sin tener que apagar el controlador de
dominio.
• Cuando los servicios ADDS se detienen, el controlador de dominio ya no sirve las solici-
tudes ADDS.
Mejoras de la instalación • Los cambios en el asistente para instalación de ADDS atiende errores de versiones
anteriores de Windows, sobre todo la capacidad de crear particiones de aplicaciones
de ADDS y la capacidad de crear la delegación apropiada de DNS cuando se instalan
servicios DNS con la función ADDS.
• Nuevos modos de funcionalidad de bosque que pueden seleccionarse directamente en
la instalación.
Mejoras en la interfaz de adminis- • La consola de administración de ADDS se ha actualizado para administrar nuevas funciones de
tración controlador de dominio, como RODC.
• Se ha mejorado la búsqueda de controladores de dominio mediante la estructura de ADDS.
• Ahora está disponible el control de directivas de contraseña para RODC.
Característica Descripción
Nuevas características de ADDS de todo el dominio y el bosque (en el modo funcional de bosque WS08)
Replicación de servicio de archivo • Cuando se encuentra en el modo funcional, los controladores de dominio ahora dependen del
distribuidos (DFSR) motor de replicación de compresión delta (DCR, Delta Compression Replication) de DFSR.
Cifrado de Servicios de cifrado • Soporta cifrado avanzado del protocolo de autentiicación de Kerberos.
avanzado de 256 bits
Directivas de cuenta múltiple • Cada dominio puede contener más de una directiva de cuenta.
• Las directivas se asignan a OU o grupos de seguridad.
PARTE III
Característica Modo W2K Modo WS03 Modo WS08
Número de objetos dentro del dominio 1 000 000 Igual que W2K Igual que W2K
Cambio de nombre de controlador de Deshabilitado Habilitado Habilitado
dominio
Actualizar estampa de tiempo de inicio de Deshabilitado Habilitado Habilitado
sesión
Números de versión de clave KDC de Deshabilitado Habilitado Habilitado
Kerbero
Contraseña de usuario en el objeto Deshabilitado Habilitado Habilitado
InetOrgPerson
Grupos universales Habilitado; da soporte a grupos Igual que en W2K Igual que en W2K
de seguridad y de distribución
Anidado de grupos Habilitado; permite anidado Igual que en W2K Igual que en W2K
de grupos completo
Conversión de grupos Habilitado; permite la conversión Igual que en W2K Igual que en W2K
entre grupos de seguridad y de
distribución
Historial de SID Habilitado; permite alcance univer- Igual que en W2K Igual que en W2K
sal para grupos de seguridad y de
distribución
Ainación de replicación de catálogo de Deshabilitado Habilitado Habilitado
grupo
Objetos de esquema de expiración Deshabilitado Habilitado Habilitado
Conianza de bosque Deshabilitado Habilitado Habilitado
Replicación de valor vinculado Deshabilitado Habilitado Habilitado
Cambio de nombre de dominio Deshabilitado Habilitado Habilitado
Replicación mejorada Servicio de replicación de archivo FRS habilitado Replicación de
deshabilitado compresión delta
Clases auxiliares dinámicas Deshabilitado Habilitado Habilitado
• Single sign-on (SSO) Web que depende de la Autentificación integrada de Windows en sitios
Web, proporcionando incluso inicios de sesión automatizados para usuarios, si se encuentra
dentro de la directiva.
• Interoperabilidad, porque ADFS depende de un servicio Web (WS, Web Service) que se deno-
mina WS-Federation (Federación de WS). Esto le permite interoperar con cualquier otro servi-
cio de Federación de WS y, por tanto, abre la solución a casi cualquier arquitectura orientada a
servicio (SOA, Service-Oriented Architecture) en el mundo.
• Soporte pasivo o inteligente a clientes, lo que deja que las organizaciones socias usen clientes
pasivos, como exploradores Web, o clientes inteligentes, como clientes de protocolo simple de
acceso a objetos (SOAP, Simple Object Access Protocol), como servidores, teléfonos celulares,
asistentes digitales personales (PDA, Personal Digital Assitants) y aplicaciones de escritorio.
En general, ADFS le permite usar un sistema de administración de identidad simplificado,
cifrado, que se basa por completo en estructuras ADDS internas. Una vez en su lugar, la opera-
ción de ADFS es muy sencilla. ADFS funciona de manera transparente para los usuarios, pero
requiere la presencia de una estructura interna de ADDS para funcionar. En el capítulo 10 se
cubre ADFS con más detalle.
PARTE III
techinfo/overview/adfsoverview.mspx.
SUGERENCIA Para conocer más información acerca de la construcción de una arquitectura em-
presarial y la identiicación de los requisitos del negocio, consulte www.reso-net.com/articles.
asp?m=8 y busque la sección “Architecture” (Arquitectura).
Su diseño de ADDS debe ser flexible y adaptable. Debe estar listo para responder a situa-
ciones de la organización que aún no ha anticipado. Recuerde que ADDS crea un espacio virtual
donde realizará y administrará operaciones de red. Debido a su naturaleza virtual, siempre podrá
adaptarse en una fecha posterior, pero si lo que está buscando es la adaptabilidad, necesita to-
marla en cuenta desde el principio del diseño.
Una vez que tenga la información necesaria, pude seguir con el diseño real. Éste se concen-
trará en tres fases: partición, posicionamiento del servicio y plan de implementación. Esto forma
un plano para el diseño de ADDS (vea la figura 5-5).
186 Parte III: Diseño de funciones de servidor
FIGURA 5-5
Análisis Diseño de soluciones
Plano de diseño
de Servicios de
dominio de Active
Directory. 3FRVJTJUPT 3FRVJTJUPT 1MBOEF
1BSUJDJÓO
EFMOFHPDJP UÊDOJDPT JNQMFNFOUBDJÓOEF"%
1MBOPEFEJTFÒPEF"DUJWF%JSFDUPSZ
Partición de ADDS
La partición es el arte de determinar el número de bases de datos de Servicios de dominio de Active
Directory que quiere administrar y de segregar los objetos en cada uno. Esto significa que necesi-
tará determinar el número de bosques que creará su organización recordando que cada uno es una
base de datos separada que requerirá mantenimiento y recursos de administración. Dentro de cada
bosque, necesitará identificar el número de árboles, el número de dominios dentro de cada árbol y
la estructura de la unidad organizativa dentro de cada dominio. En general, necesita identificar si
su base de datos de Active Directory necesitará compartir su información con otras bases de datos
del sistema operativo de red que no son de ADDS. Esto se hará mediante la integración de las dos
estructuras de base de datos (si la otra base de datos es compatible con el formato de Servicios de
Capítulo 5: Prepare su administrador de identidad 187
dominio de Active Directory) o del recurso compartido de información. En este caso, necesitará
identificar la estrategia de recursos compartidos de información que se usará.
Para controlar la replicación de datos y reducir al máximo el efecto en su ancho de banda,
deberá identificar y estructurar sitios, diseñar reglas de replicación e identificar metodologías de
replicación. Éste es un diseño de topología de sitio. Debido a que intenta explotar por completo
la base de datos de ADDS (después de todo, ¿por qué enfrentar todos estos problemas si no la
va a usar por completo?), tendrá que poner en funcionamiento una estrategia de modiicación de
esquema. Debido a que cada modificación de esquema se replica en todos los controladores de
dominio del bosque, deberá asegurarse de mantener un fuerte control sobre ellos.
PARTE III
su carga de trabajo administrativa.
Los servidores de un solo y flexible maestro de operaciones (FSMO, Flexible Single Master of
Operations) son controladores de dominio especiales que administran operaciones de bosque y de
dominio globales. Los servidores de catálogo global (GC, Global Catalog) son controladores de domi-
nio que mantienen copias de la información de todo el bosque, que actúan como localizadores
de información para el bosque. Pero como los controladores de dominio de WS08 pueden almace-
nar en caché la información global que se solicita con frecuencia, es necesario que los servidores de
GC estén ampliamente distribuidos en los controladores de dominio. Los controladores de dominio
de sólo lectura (RODC, Read-Only Domain Controllers) son los que incluyen una copia de sólo lec-
tura de la base de datos de dominio, lo que le ayuda a proporcionar servicios mientras mantiene la
seguridad. Por último, los servidores DNS son casi obligatorios, porque proporcionan funcionalidad
de administración de espacio de nombres al directorio. Debido a esta integración con el servicio de
directorios, los servidores DNS deben verse como funciones subsidiarias de soporte a directorios
y deben acoplarse a cada controlador de dominio. El posicionamiento apropiado de cada uno de
estos servicios puede mejorar enormemente el rendimiento de los directorios.
Plan de implementación
El último paso del plano es el plan de implementación de ADDS: el procedimiento real que
usará para poner en funcionamiento su diseño de Servicios de dominio de Active Directory. Por
supuesto, aquí es donde entra en juego una estrategia de red paralela, o la capacidad de poner en
escena una nueva red mientras la red de producción original sigue funcionando, y luego migrar
la información de una red a la otra, eliminando la necesidad de comisionar la red de producción
anterior una vez que el proceso esté completo. La red paralela le da libertad para implementar una
nueva estructura de Servicios de dominio de Active Directory sin limitaciones debidas a contenido
heredado. Este directorio puede operar de inmediato en modo funcional de bosque, porque no tie-
ne que compartir espacio de base de datos con versiones anteriores del servicio de directorios. Las
limitaciones de las versiones anteriores de Windows pueden estar contenidas dentro de dominios
188 Parte III: Diseño de funciones de servidor
específicos o pueden incluso excluirse por completo de su bosque de Windows Server 2008. De esta
manera, puede obtener beneficios inmediatos del modo de funcionalidad nativo.
SUGERENCIA Microsoft produjo una excelente guía para la partición: “Best Practice Active Direc-
PARTE III
tory Design for Managing Windows Networks” (Mejores prácticas de diseño de Active Directory
para administración de redes Windows). Puede encontrarse en http://technet.microsoft.com/
es-mx/library/bb727085(en-us).aspx.
Estrategia de bosque/árbol/dominio
El lugar para empezar el ejercicio de partición es determinar el número de bosques, la naturaleza
de los árboles dentro de cada bosque y la de los dominios dentro de cada uno de los árboles que
requerirá su empresa.
Diseñe el bosque
Los bosques son las particiones que contienen:
• El esquema de la base de datos Sólo una estructura de base de datos puede almacenarse den-
tro de un solo bosque. Si alguien en su organización necesita modificar el esquema por una razón
determinada y no quiere compartir esta modificación con los demás miembros de la organización,
debe colocarse a éstos dentro de su propio bosque. Obviamente, no se trata de departamentos que
comparten ubicaciones físicas, pero podría ser una subsidiaria o una organización asociada.
• Los datos de coniguración La estructura del bosque, el número de árboles que contiene y
los dominios dentro de cada árbol, además de la estructura de los sitios de replicación, inte-
gran los datos de configuración del bosque.
• El catálogo global El catálogo global incluye todos los objetos que se pueden buscar en el
bosque. Contiene los valores y propiedades de todos los objetos que son importantes para los
usuarios de todo el bosque.
• Las relaciones de conianza Las relaciones de confianza entre los dominios de un bosque son
también información de todo el bosque. Esto se debe a la naturaleza transitiva de las confianzas
entre bosques o entre dominios de Windows Server 2008. Cada dominio de un bosque se vincu-
190 Parte III: Diseño de funciones de servidor
Windows NT ADDS
FIGURA 5-6
Naturaleza
de las conianzas.
Confianza
de acceso
directo
lará automáticamente con su dominio principal. Éste, a su vez, se vinculará con su principal, y así
sucesivamente. Debido a que todos los dominios de un bosque incluyen confianzas transitivas
de dos vías, todos los dominios confían en todos los demás dominios del bosque.
En Windows NT, necesitaba crear confianzas específicas entre cada dominio si quería que
los dominios de un grupo confiarán entre sí. Las confianzas no eran transitivas. Eso significa
que el dominio A no confiaría en el dominio C, aunque ambos confiaran en el dominio B.
Para que el dominio A confiara en el dominio C, tenía que crear una confianza explícita. Con
WS08 no necesita crear confianzas directas entre dominios dentro de un bosque. Si el dominio
A y el C confían en el B en un bosque, el dominio A automáticamente confía en el C sin una
confianza explícita. Sin embargo, puede crear confianzas de acceso directo si la ruta jerárquica
entre dos dominios que comparten una gran cantidad de información es demasiado larga o
compleja (vea la figura 5-6).
Los bosques pueden contener millones de objetos. Debido a esto, casi todas las organizacio-
nes pequeñas y medianas, y aun las grandes generalmente requerirán un solo bosque de produc-
ción. La principal razón para la creación de bosques separados es proteger el esquema de base de
datos. Las modificaciones al esquema son complejas y deben controlarse estrechamente si quiere
minimizar sus impactos en los entornos de producción. Además, las modificaciones al esquema
son permanentes (no pueden eliminarse las adiciones, aunque se les puede cambiar el nombre o
desactivarse). Si necesita “jugar” o experimentar con el esquema, debe crear un bosque que esté
separado del de producción. Casi todas las organizaciones medianas y grandes tienen bosques de
desarrollo y prueba, además de por lo menos un bosque de producción.
Una segunda razón para la segregación de los bosques es el nivel de autoridad de la orga-
nización central. Sólo puede incluir divisiones de organizaciones o departamentos sobre los que
tiene control político y económico dentro de su bosque. Esto se debe a la naturaleza jerárquica
del bosque y al modelo de herencia que se deriva de él. La organización en la raíz del bosque
tiene influencia e incluso control de autorización sobre todas las organizaciones o departamentos
que están agrupados en sus árboles y subdominios. Por ejemplo, Ford Motor Company y Volvo
tenían bosques separados antes de la adquisición de Volvo por parte de Ford. Pero después de la
compra, Ford estableció autoridad financiera sobre Volvo. En una estructura de Servicios
de dominio de Active Directory, Volvo se volvería entonces un árbol bajo el bosque de producción de
Ford. Mucho depende de lo bien que el personal de tecnología de la información de Volvo y Ford
se integren y de si Ford impone la unión aunque el personal de Volvo no esté de acuerdo.
Como verá, no importa cuál sea el tamaño de su bosque de producción (si está en una
pequeña organización localizada dentro de un solo sitio o en una corporación multinacional que
abarca todo el mundo), la función del propietario del bosque es importante. Los propietarios
administran servicios de todo el bosque. Esto significa que son:
Capítulo 5: Prepare su administrador de identidad 191
PARTE III
• Propietarios del grupo de seguridad del dominio raíz Además de los dos grupos de ad-
ministración universales, el dominio raíz contiene su propio grupo administrativo: los Admi-
nistradores de dominio. El propietario del bosque también lo es de este grupo de seguridad.
Si hay más de un dominio en el bosque, el propietario de éste tendrá que comunicarse con
frecuencia con los propietarios de los subdominios para coordinar los esfuerzos de todo el bos-
que. En realidad, determinar el número de bosques en su organización puede resumirse como
la identificación de todos los propietarios. Éste será el nivel más elevado de la administración de
tecnología de la información dentro de la organización de cualquier red determinada. Una vez
que se haga, podrá pasar a la identificación del contenido del bosque.
Los bosques comparten una gran cantidad de elementos. Muchos son elementos obligatorios;
otros son recomendados, con base en el sentido común. Los bosques requieren que se comparta:
• Seguridad Sólo se incluyen personas en las que se confía dentro del bosque. Esto incluiría
empleados, además de personal de administración de tecnología de la información. Debido
a que un bosque está conformado por contenedores de base de datos distribuidos (controla-
dores de dominio), es necesario confiar en las personas que serán responsables de todos los
controladores de dominio, tanto fuera como dentro de su sitio principal.
• Administración Todos quienes participan en un bosque desean usar el mismo esquema y la
misma configuración.
• Resolución de nombres Todos quienes participan en un bosque deben usar el mismo DNS
para resolver nombres en todo el bosque.
Además de los elementos obligatorios, tal vez decida compartir lo siguiente:
• Red Si todas las organizaciones de un bosque confían entre sí, pueden poner en funcio-
namiento una red privada. Aunque no es imposible separar sitios de bosques con firewalls,
se recomienda minimizar la exposición de su información de ADDS al mundo exterior. Si
los miembros del bosque deben usar vínculos de red públicos para transporte de tráfico de
192 Parte III: Diseño de funciones de servidor
replicación, pueden optar por bosques separados o, por lo menos, usar vínculos de VPN para
asegurar todas las transferencias de datos.
• Colaboración Si trabaja con otras organizaciones y tiene implementadas confianzas de do-
minio con ellas, muy bien pueden ser candidatas para unirse a su nuevo bosque de ADDS. De
lo contrario, considere el uso de ADFS para vincular sus recursos sin vincular sus estructuras
de ADDS.
• Grupos de TI Si las organizaciones comparten grupos de tecnología de la información, es
una buena idea crear bosques únicos para simplificar la administración de red.
También debe tener en mente que la creación de más de un bosque tendrá efectos adminis-
trativos:
• Los bosques no comparten confianzas transitivas. En WS08, estas confianzas deben crearse
manualmente, pero una vez creadas permitirán que dos bosques completos confíen entre sí. Si
los bosques necesitan interactuar en un nivel de dominio específico, puede utilizar confianzas
de dominio explícitas entre los dos dominios específicos, limitando las relaciones de confianza
entre los bosques.
• El protocolo de seguridad de Kerberos, el protocolo de autorización nativo de Windows Server
2008, sólo funcionará entre bosques que tienen implementadas confianzas de bosques.
• El uso de un nombre de inicio de sesión parecido a correo electrónico (nombre@dom) o un
UPN también servirá si está en funcionamiento una confianza de bosque.
• La replicación de catálogo global está limitada a un solo bosque, a menos que esté funcionan-
do una confianza de bosque.
NOTA Las organizaciones medianas y grandes deben usar un bosque de varios dominios como se ilus-
tra en este ejemplo. Lo más probable es que las organizaciones pequeñas (las que están principalmen-
te localizadas dentro de un solo sitio o que tienen menos de 500 usuarios) implementen bosques de
un solo dominio. Debido a esto, todos los objetos estarán contenidos dentro del dominio raíz del bos-
que. Aunque siempre es mejor usar varios dominios, resulta una buena práctica usar un solo bosque
de dominio cuando el número de objetos que contiene es tan pequeño. Sin embargo, debe mantener
las prácticas apropiadas de administración y seguridad en relación con el bosque de ADDS.
El primer ejemplo se concentra en una organización de tamaño medio con 5 000 usuarios.
Está distribuida geográficamente en diez regiones, pero cada una se administra desde un lugar
central. La organización opera bajo un solo nombre público y entrega los mismos servicios en
cada región. Debido a que la organización tiene una política tipo “compra, no construyas”, trata
de usar software comercial siempre que es posible, pero aun con esta política, necesita crear có-
digo personalizado o adaptar aplicaciones existentes. Debido a esto, requiere un entorno de de-
sarrollo separado. Además, ha tenido graves problemas en el pasado debido a las fricciones entre
tecnología de la información y sistemas de información. En realidad, este último departamento
se molestó mucho cuando TI creó una red de dominio de un solo maestro con Windows NT.
En su diseño de bosque, esta organización debería crear por lo menos dos, posiblemente tres
PARTE III
o más bosques permanentes:
• Un bosque de producción que reemplaza el dominio de Windows NT de un solo maestro.
• Un bosque de puesta en funcionamiento para probar, analizar y preparar nuevos productos
para integración, sobre todo los que podrían integrarse con Active Directory y modificar su
esquema básico de base de datos.
• Un bosque de desarrollo para permitir la prueba y el desarrollo de aplicaciones corporativas
que aprovechen la personalización del esquema o las implementaciones de ADLDS.
• También puede crearse un bosque aparte para la extranet. Debido a que este bosque está
expuesto a través del parámetro de seguridad de la red, está separado del de producción.
No se puede establecer confianza entre tres de estos bosques: producción, puesta en funcio-
namiento y desarrollo. En este modelo, la falta de confianza está representada por la línea negra
gruesa que separa a cada base de datos de Active Directory (vea la figura 5-7). Sin embargo,
puede establecerse una confianza entre el bosque del perímetro y el de producción, pero como
la naturaleza de esta confianza (una vía, explícita, de dominio a dominio) no es completamente
precisa en este momento, su límite con el bosque de producción es una línea punteada.
FIGURA 5-7
Bosques de WS08
Determinación del número
de bosques que deben Perímetro Producción Puesta en Desarrollo Bosque
funcionamiento del esquema de utilerías
crearse. del esquema
Debe
determinarse la
naturaleza de
la confianza
con producción Aún debe determinarse producción
que dependen de otras para completar su servicio, organizaciones que forman una sociedad o
quieren colaborar de cerca, empresas que se fusionan y organizaciones que comparten recursos
de administración de tecnología de la información.
El segundo ejemplo cubre una organización mundial que tiene cuatro subsidiarias. La orga-
nización es una sola empresa, pero a cada una de sus unidades de negocios se le conoce bajo un
nombre público diferente. Comprende la complejidad de la administración entre negocios, pero
quiere implementar estándares operacionales y de seguridad a través de la corporación. Los pre-
supuestos de tecnología de la información están controlados centralmente, pero la mayor parte
del trabajo administrativo es desarrollado por grandes grupos de tecnología de la información de
cada una de las unidades de negocios.
Después de una serie de discusiones, los diferentes grupos de TI se decidieron por un solo
bosque de producción con varios árboles. Se identificó al propietario del bosque y empezaron las
discusiones constantes con cada propietario de árbol, y como grupo se determinaron el nivel de
integración de cada árbol y el nivel de autoridad del dominio raíz del bosque que se admitiría.
Este modelo permitió que la organización estableciera estándares mientras consentía la diversi-
dad regional (vea la figura 5-8).
En caso de que los diferentes grupos de TI no se hubieran puesto de acuerdo, hubieran
creado varios bosques de producción. En este caso, la organización no hubiera cumplido con sus
objetivos para la estandarización. Estos objetivos sólo se hubieran obtenido mediante las medi-
das de imposición de directivas y no mediante la infraestructura operacional de ADDS.
Una organización puede interactuar mediante varios bosques y, por tanto, obtener beneficios
como single sign-on y búsquedas globales entre bosques, pero no puede imponer estándares
mediante ADDS (vea la figura 5-9).
Estrategia de dominio
Lo primero que debe recordar cuando trabaja con dominios de ADDS es que no son como los
dominios de Windows NT. En éste, el límite de la base de datos de identidad más grande era el
dominio. Si quería que varios dominios trabajaran entre sí en una relación maestro-maestro o
maestro-recurso, tenía que habilitar confianzas entre cada uno de los dominios. En WS08, las
Capítulo 5: Prepare su administrador de identidad 195
FIGURA 5-8
Diseño de una estructura Bosques y árboles de WS08
de árbol mundial. Perímetro Producción Puesta en Desarrollo Bosque
funcionamiento del esquema de utilerías
del esquema
Dominio raíz
Debe
determinarse
la naturaleza Se crean los árboles porque las
de la confianza subsidiarias tienen diferentes
con producción nombres públicos
confianzas de dominio de un bosque son transitivas. Aquí, el dominio debe verse como lo que es:
PARTE III
un límite de directiva de seguridad que contiene:
• Reglas de autentiicación Los dominios forman el límite para las reglas usadas para auten-
tificar usuarios y equipos, porque son el contenedor en el que estos objetos deben crearse y
almacenarse. Estas reglas también se denominan directivas de cuenta.
• Directivas de grupo Las directivas están restringidas por los límites del dominio, porque
son objetos que residen dentro del contenedor del dominio.
• Directivas de seguridad para cuentas de usuario Las directivas de seguridad se aplican a
cuentas de usuario y se almacenan dentro del dominio. Pueden diferir de un dominio a otro, o
incluso entre dominios.
• Servicios de publicación para recursos compartidos Todos los recursos que pueden com-
partirse dentro de los dominios se publican mediante Servicios de dominio de Active Direc-
tory. Como opción predeterminada, estos recursos (impresoras y carpetas compartidas) sólo se
publican a miembros del dominio.
El diseño de su dominio dependerá de varios factores: el número de usuarios en un bos-
que y el ancho de banda disponible para replicación desde sitios remotos. Aunque los dominios
pueden contener un millón de objetos cada uno, no significa que tenga que usarlos todos. Podría
decidir que creará varios dominios para reagrupar los objetos en porciones similares. Sin embar-
go, si encuentra que está aplicando las mismas directivas a dos dominios diferentes y no se debe
a que necesita reducir el efecto de la replicación, eso significa que tiene demasiados dominios. En
realidad, tal vez considere la actualización de los vínculos de red de área amplia para eliminar la
necesidad de varios dominios.
Además, puede usar varios modelos de dominio, como en Windows NT. Los bosques de WS08
soportan los modelos de dominio único, de dominio múltiple y combinado. Debido a la naturaleza
jerárquica del bosque, estos modelos no se parecen a sus predecesores de Windows NT. Pocas or-
ganizaciones de hoy en día optan por el modelo de dominio único. Tal vez los negocios pequeños,
con menos de 500 empleados, decidan usar este modelo, pero es raro en organizaciones grandes.
196 Parte III: Diseño de funciones de servidor
FIGURA 5-9 En un diseño de varios bosques, cada bosque debe confiar en cada uno de los demás.
Bosques separados
deben crear conianzas
les
de bosques para que entra Divis
as c ión B
interactúen. Oficin
raíz
inio Dom
Dom inio
raíz
ol D
Árb Árb
C
Á rbol ol A
Árb
B ol B
Árbol Árb
ol A ol C
Árb Árb
ol D
Organ
A
gocios
Árbol D
Árbo
lA
ización
l B Árbol C
Árbo
Dominio raíz
de ne
lB
Dom
Árbo
Árbol A Árbo
inio ra
C
lC Á
d
Unida
íz
lD rbo
ol D
Árbol C Árb
Árbol B
Árbol A
raíz
Dominio
Depar tamento D
La mayor parte de las organizaciones de cierto tamaño (léase medianas y grandes) decidirán
crear un dominio raíz de bosque protegido. Este método tiene varias ventajas. Un dominio raíz de
bosque protegido suele ser mucho más pequeño que los dominios de producción, porque sólo
contiene grupos y usuarios de administración del bosque. Como tal, sólo es necesario replicar
una cantidad mínima de datos, lo que facilita la reconstrucción en caso de desastres. Contiene un
pequeño grupo de administradores de todo el bosque, lo que reduce la posibilidad de errores que
pudieran afectarlo todo. Nunca se retira, porque no contiene datos de producción. Debido a
que se crean otros dominios debajo del dominio raíz del bosque, la reestructuración organiza-
tiva es más fácil de completar. Debido a que es pequeña y compacta, es más fácil de asegurar. Y
como es obligatoria la transferencia de propiedad, resulta más fácil transferir un dominio relati-
vamente vacío que todo su dominio de producción, que contiene sus varios cientos de usuarios.
Los dominios de producción se crean bajo el dominio raíz de bosque protegido. Cualquier orga-
nización mediana o grande que usaba un dominio de un solo maestro en Windows NT debe crear un
solo dominio secundario global. Este dominio tiene el mismo fin que un solo dominio NT: reagrupar
a todos los usuarios de su red en un solo entorno de producción. Los únicos usuarios que no se en-
cuentran dentro de este dominio secundario son las cuentas de usuario del dominio raíz del bosque.
Ahora que tiene una estructura de dominio principal y secundaria, puede expandir el conte-
nido del bosque para incluir otros límites de seguridad. El principal requisito de un solo dominio
secundario global es que los usuarios sean identificables y que se puedan trazar sus acciones
dentro de la red. Como tales, definitivamente querrá excluir las cuentas de usuario genéricas del
dominio de producción. Estas cuentas genéricas (que reciben su nombre de acuerdo con la fun-
ción en lugar de los individuos) se usan para tres actividades: prueba, desarrollo y capacitación.
Puede usar límites de seguridad (dominios) para segregar estas cuentas del dominio de produc-
ción. De esta manera, puede crear otros contenedores de seguridad donde las reglas sean más o
menos estrictas que en el dominio de producción para incluir actividades de prueba, desarrollo
y capacitación. En realidad, no todas las pruebas o desarrollos requerirán modificaciones del
esquema. En casi todas las organizaciones, 95% de todas las pruebas o desarrollos no requerirán
modificaciones del esquema. El uso de dominios separados segrega esas cuentas de producción,
pero no agrega la carga de trabajo que agregaría otro bosque. Además, la creación de subdo-
minios de prueba (o, más bien, de puesta en funcionamiento) y desarrollo se vuelve muy fácil,
porque la estructura principal-secundario ya está funcionando (vea la figura 5-10). Lo mismo se
aplicaría a los dominios de capacitación. Éste es un modelo de diseño de dominio funcional, que
no incluye varios árboles, sino más bien varios dominios secundarios.
También podrían necesitarse los dominios en otras situaciones. Por ejemplo, una organiza-
PARTE III
ción cuyas operaciones abarcan varios países diferentes a menudo requerirá varios subdominios,
debido a las restricciones legales en algunos de esos países. Si hay requisitos legales que difieran
entre país y país, y si incluso se requieren configuraciones de directiva de cuenta contradictorias,
sería más fácil crear límites adicionales de dominio en lugar de administrar estas directivas en el
mismo dominio.
La razón final para la segregación de dominios es el ancho de banda de una WAN. Si su
ancho de banda disponible es inapropiado para permitir la replicación entre dominios, necesitará
crear dominios regionales.
FIGURA 5-10
Dominio de producción de WS08
Generación adicional de
dominios de una relación Perímetro Producción Puesta en Desarrollo Bosque
inicial principal-secundario. funcionamiento del esquema de utilerías
del esquema
Dominio raíz de
bosque protegido
Tenga en cuenta que todos los dominios que cree necesitarán un equipo de administra-
ción. Cada nuevo dominio requiere por lo menos dos controladores de dominio por razones de
redundancia y confiabilidad. Los costos administrativos pueden volverse prohibitivos si se crean
demasiados dominios. Además, cada nuevo dominio significa nuevas relaciones de confianza.
Aunque son transitivas y automáticas, aún es necesario monitorearlas. Por último, cuantos más
dominios cree, más probable será que necesite mover recursos y objetos entre ellos.
SUGERENCIA Los bosques de desarrollo se crean cuando la organización quiere integrar sus aplica-
ciones con los ADDS que usan para administrar su red. Aunque esto se analiza más adelante en
el plano, considere hacer que sus equipos de desarrollo dependan de ADLDS en lugar de modiicar
el esquema de ADDS. Esto ayudará a mantener prístino su bosque de producción y facilitará el
transporte de sus aplicaciones, mientras les garantiza todas las características que esperarían de la
integración de ADDS.
PARTE III
crea un segundo árbol dentro del bosque Microsoft.com.
Debido a que el nombre de dominio de su bosque es DNS, sólo debe usar nombres DNS
públicamente registrados. Cuando registra un nombre, asegura que tiene propiedad completa
sobre él. Por ejemplo, si usa Microsoft.com como nombre externo, podría usar Microsoft.net
como nombre de red interno. Al comprar los derechos del nombre Microsoft.net, se asegura que
ningún evento externo afectará su red interna. También estará segregando su espacio de nombres
interno del externo. Esto permite identificar el origen de todo el tráfico de manera más fácil y ras-
trear a los intrusos de manera más eficaz en caso de que alguien trate de penetrar su red, porque
nadie sino sus usuarios internos usarán alguna vez la raíz del nombre .net.
Si, por alguna razón, decide usar un nombre que no posee, asegúrese de verificar que no
exista en Internet antes de crear su primer controlador de dominio. Unas cuantas organizaciones
que no realizan este paso a menudo terminan usando un nombre interno que se usa externa-
mente en una organización diferente. Esto llevará a problemas, al tener que cambiar el nombre
del bosque porque no se puede alcanzar el dominio externo desde el interior de la red. Aunque
es posible cambiar el nombre de todo un bosque con Windows Server 2008, no significa que re-
sultará agradable tener que cambiar su nombre interno porque alguien fuera de su organización
lo obliga a hacerlo. Use un nombre DNS real con las convenciones de asignación de nombres de
DNS, con el nombre .gov, .com, .org, .net, .edu, .biz, .info, .name, .cc, .tv, .ws o .museum y regís-
trelo. De esa manera controlará su espacio de nombres.
PRECAUCIÓN Uno de nuestros clientes decidió usar una raíz .intra para su estructura de ADDS
de producción, pero a medida que el proyecto creció, decidió acortarlo a .int. Pero resultó que .int
es propiedad de las Naciones Unidas y, por supuesto, su organización tiene negocios con la ONU.
El error se descubrió cuando el sistema ya estaba en la etapa de producción, cuando un usuario
trató de revisar el sitio Web de la ONU y no pudo. Al inal, el cliente tuvo que cambiar el nombre
de toda su estructura interna de ADDS sólo porque no siguió el consejo simple de comprar un
nombre DNS apropiado y usarlo internamente.
200 Parte III: Diseño de funciones de servidor
Nunca use el mismo nombre de bosque dos veces, aunque las redes no estén interconecta-
das. Si sabe que su organización hermana le ha asignado el nombre DEVTEST a su bosque de
prueba, use otro nombre. Muchas organizaciones tienen un bosque de prueba que es un dupli-
cado exacto del bosque de producción. Aunque tal vez esto sea práctico, también es peligroso.
Todo lo que se necesita es que alguien cometa un error y vincule las dos estructuras de ADDS (todo
lo que se necesita es conectar el cable equivocado en el conector erróneo y ocurrirá un desastre).
ADDS no permite que dos maestros de operaciones de esquema usen el mismo nombre para
ejecutarse en la misma red al mismo tiempo. Uno de ellos fallará de inmediato. Esté preparado;
nunca use el mismo nombre de bosque dos veces.
También tendrá que ocuparse de los nombres de NetBIOS. Éstos están compuestos por 15
caracteres, con un decimosexto carácter reservado. Deben ser únicos dentro de un dominio. La
primera parte del nombre DNS que elija debe ser el mismo que el NetBIOS. Como los nombres
DNS pueden contener hasta 255 caracteres (en realidad tiene 254 caracteres para elegir; DNS co-
loca un punto final en el nombre, el carácter 255) en el caso de nombres de dominio plenamente
calificados (FQDN, Fully Qualified Domain Name), debe limitar el tamaño de los nombres de
DNS que use. Emplee nombre cortos, distintivos y con significado. Distinga entre nombres de
dominio y equipo. Por tanto, cuando explore la red, verá nombres que signifiquen algo.
También debe identificar su esquema de asignación de nombres de objetos en esta etapa. Todos
los objetos, como servidores y PC, tendrán un nombre DNS distintivo (o nombre de host). Este
nombre, como el nombre de principio universal (UPN, Universal Principal Name) para los usuarios,
tendrá una estructura DNS y usará los nombres raíz de dominio y bosque para completar el propio.
Puede usar un esquema de asignación de nombres estructurado (vea la figura 5-11). Este ejemplo
se basa en el nombre de la corporación T&T. Esta organización usa TandT.com para su nombre
externo y TandT.net para su red interna. En el esquema de asignación de nombres, todos los objetos
usan TandT.net, un nombre DNS registrado, como raíz del bosque. A continuación, usan un esque-
ma de asignación de nombres geográfico para dominios secundarios (código de una sola letra para
Capítulo 5: Prepare su administrador de identidad 201
FIGURA 5-11
Use un esquema estructurado
AAAAAAxxx .Rxxx .Intranet .TandT.net
Tipo de servicio o Número Nombre de dominio Nombre de bosque registrado.
de asignación de nombres de función basado en una de región común de producción
estructura estable. con base (si se requiere).
objetos. Nota: si hay varias geográfica
instancias de servicio, o nombre
use un esquema de función
adicional de asignación con base
de números de servicio. en función.
regiones y código de número de tres dígitos para cada región) o un esquema por función (nombre
de función, como Intranet.TandT.net). Por último, los servidores y las PC pueden usar hasta cinco
letras para el código de función, junto con tres dígitos para identificar el número de equipos que
ofrecen esta función. Un ejemplo sería ADDSDC001 Intranet.TandT.net para el emulador de PDC
de Active Directory en el dominio secundario de la intranet del bosque TandT.net.
Los nombres de bosque, árbol y dominio deben considerarse estáticos. Encuentre un nombre
que no necesitará cambiar, aunque sabe que lo puede hacer más adelante. El proceso de asigna-
ción de nombres de dominio y controlador de dominio en Windows Server 2008 es complejo y
puede causar caídas del sistema. Los nombres geográficos suelen ser los mejores. En casi todos
los casos, toma mucho tiempo cambiar un nombre geográfico, porque se consideran muy esta-
PARTE III
bles. No use una estructura organizativa para asignar nombres a dominios, a menos que tenga
confianza de que es y será estable.
En la tabla 5-3 se presentan los tipos de objetos que podría colocar dentro de los dominios y que
los contienen para cada objeto. Cada uno de éstos requerirá una estructura de asignación de nombres.
PARTE III
manera en que se administrarán los objetos en su red e interactuarán entre sí. Además, identifica
quién administrará cada componente de su red.
Por ejemplo, podría decidir que la información de cuenta para los usuarios de una unidad de
negocio determinada es responsabilidad de la unidad de negocios, delegando la administración y
el manejo de este grupo de cuentas de usuario en un administrador de unidad de negocios local.
De esta manera, la OU en ADDS es comparable al dominio de Windows NT. Mientras que en
Windows NT necesitaba dar derechos de “Administrador de dominio” a cualquier responsable de
grupos de usuarios, en Active Directory delega la propiedad de una unidad organizativa, con lo
que limita estos derechos de control o acceso al contenido de la OU y nada más.
En resumen, la OU está diseñada para ayudar a la compatibilidad con el concepto de datos/ser-
vicio de ADDS. Debido a que las OU contienen objetos de ADDS y sus propiedades, contienen da-
tos. Al controlar el acceso a OU mediante parámetros de seguridad, de manera muy parecida a como
lo haría con una carpeta o un volumen NTFS, puede dar a alguien la propiedad de los datos conte-
nidos en la OU. Esto libera a los administradores de dominio para concentrarse en los servicios que
rigen a ADDS. La nueva función del administrador del dominio consiste en asegurarse de que todos
los servicios de ADDS sean saludables y operen de manera apropiada. En un Active Directory bien
redondeado tiene una serie de nuevas funciones de interacción, como administrador de OU, operador
de dominio y administrador de servicios (funciones que tienen significativamente menos autoridad en
un dominio que su contraparte de Windows NT). Ahora puede limitar al grupo Administrador de
dominio a un conjunto pequeño y selecto de personas en quienes tiene confianza plena. Debido a
que es tan pequeño, ahora es mucho más fácil dar seguimiento a las actividades de este grupo.
El proceso de diseño de OU
En este proceso de diseño, los administradores deben crear una estructura de OU personalizada
que refleje las necesidades de su organización, identificar grupos administrativos (desde el admi-
nistrador de datos que administra elementos como direcciones y puestos de trabajo para cuentas
de usuario hasta la función técnica de llenar las cuentas de usuario y equipo en el directorio) y
204 Parte III: Diseño de funciones de servidor
seguir adelante con la delegación del contenido de ADDS en los respectivos grupos administra-
tivos. El mejor lugar para iniciar el proceso de diseño es con el solo dominio global secundario.
Debido a que se trata del dominio de producción, será el que tenga la estructura de OU más
compleja. Una vez que la estructura del dominio esté completa, será simple diseñar la estructura
de otros dominios, ambos dentro y fuera del bosque de producción, porque sus necesidades se
derivan de los propios requisitos del bosque de producción.
Hay cuatro razones para crear una unidad organizativa:
• Reagrupar objetos de ADDS
• Administrar objetos de ADDS
• Delegar la administración de objetos de ADDS
• Ocultar objetos en ADDS
Debido a que las OU pueden incluir objetos, su primer objetivo debe ser ordenar en cate-
gorías estos objetos que contiene su red. Una vez que lo haga, encontrará que hay tres tipos de
objetos básicos: personas, PC y servicios. Esto debe formar su primer nivel de OU personali-
zadas. Hay otras categorías de objetos (impresoras, servidores, recursos compartidos de archivos,
servicio distribuido de archivos [DFS, Distributed File Service], espacios de nombres, controladores
de dominio y más), pero están contenidos dentro de una de las tres categorías de objetos de nivel
superior, deben administrarse por su cuenta y ya tienen un contenedor existente, o los objetos que
contienen sólo pueden clasificarse y no califican para los demás objetivos de las OU que cree.
Su siguiente objetivo debe ser reagrupar objetos para fines administrativos. Los sistemas
operativos Windows que ejecutan cualquier versión de ADDS administran objetos mediante la
aplicación de objetos de directiva de grupo (GPO, Group Policy Object). Lo que es importante
comprender aquí es que la manera en que diseña su estructura de unidad organizativa afectará
directamente la manera en que aplica GPO.
WS08 aplica, como opción predeterminada, dos directivas a cada dominio: la de dominio y
la de controlador de dominio. Debe revisar el contenido de estas directivas para asegurar que se
amoldan a sus requisitos de seguridad. Tal vez desee fortalecer estas directivas predeterminadas con
su propia configuración. WS08 también crea varios contenedores predeterminados cuando genera
por primera vez un dominio (vea la figura 5-12). No todos los contenedores son OU. Algunos son
carpetas de sistema que no siguen las reglas de las OU. Dos de estos contenedores son Usuarios y
Equipos. El icono que los representa es diferente de un icono de OU normal porque automática-
mente contendrá objetos de este tipo. Cuando cree una cuenta de usuario o equipo, si no ha toma-
do ninguna medida, estos objetos se crearán en estos contenedores, como opción predeterminada.
Además, estos contenedores no procesan GPO. La única manera de aplicar GPO a objetos en estos
contenedores consiste en aplicarlos al propio dominio, lo que aplicaría de manera natural el GPO
a todos los objetos del dominio. La aplicación de GPO es un arte que debe aprenderse mediante la
práctica, pero una cosa es cierta: la aplicación de todos los GPO en el nivel del dominio no es la me-
jor práctica. En capítulos posteriores se cubrirá más al respecto; por ahora, la regla a seguir consiste
en aplicar GPO a OU separadas en categorías lo más posible. Por último, no puede crear OU dentro
de los contenedores Usuarios o Equipos. Si quiere administrar estos tipos de objetos, las cuentas de
usuario y equipo, necesita crear OU personalizadas para reagrupar estos tipos de objetos.
Mientras esté planeando su estrategia de administración, piense en la tercera razón para
la creación de una OU: delegación de la administración. La delegación debe considerarse de la
mano con la administración para crear las capas secundarias de OU en esta estructura. Para cada
Capítulo 5: Prepare su administrador de identidad 205
PARTE III
tipo de OU, debe identificar posibles subtipos de objetos y determinar si son significativamente
diferentes. Cada objeto significativamente diferente, ya sea en el nivel administrativo o de dele-
gación, requerirá una OU separada. WS08 dará soporte a una jerarquía de más de diez niveles de
OU, pero debe tratar de llegar a la estructura de OU que sea lo más plana posible. Será necesa-
rio indizar y asignar una ubicación a los objetos sepultados dentro de varias capas de unidades
organizativas cuando necesite encontrarlos en el directorio. Trate de aplicar una estructura de OU
de cinco capas, como máximo; permita algunas excepciones, si es necesario. Si sólo tiene control
en las capas superiores de la estructura y necesita delegar la finalización de otras subcapas, debe
dejar por lo menos dos capas sin modificar para que los departamentos locales las usen.
La razón final por la que creará OU es ocultar objetos. Debido a que el directorio es una base
de datos que permite la búsqueda, los usuarios pueden consultar cualquier objeto que conten-
ga. Algunos objetos, como las cuentas administrativas y de servicio, además de algunos grupos
de seguridad, son confidenciales y, por tanto, deben ocultarse de la vista. Debido a que las OU
contienen listas de control de acceso, es posible ocultar objetos confidenciales dentro del directo-
rio. Estos objetos se colocan dentro de OU especiales que tienen listas de control de acceso que
están bajo un control férreo. Los objetos contenidos en estas OU se vuelven “invisibles” para los
usuarios no administrativos del directorio, debido a que se ha negado su capacidad para leerlos.
El proceso de diseño de la administración empieza cuando crea tres OU de tipo de objeto
diferente (personas, PC y servicios) y reagrupa objetos bajo ellas. Para esto, necesita identificar cada
objeto administrable en su red y usar procesos de planteamiento de preguntas para cada uno. Por
ejemplo, en la tabla 5-4 se presenta una lista de una serie de objetos que requieren administración
dentro del directorio. Además, define una clasificación y el contenido esperado para cada objeto.
Deben responderse dos preguntas para cada objeto: ¿necesito administrar este objeto? ¿Alguna vez
delegaré este objeto? Cada respuesta “Sí” significa que debe crearse una OU personalizada. En este
proceso, siempre debe tener en cuenta una tercera pregunta: ¿Necesito ocultar este objeto?
Aunque el proceso de diseño de la OU empieza con la división en categorías de los objetos, no
estará completo hasta que haya designado los siguientes componentes estructurales de ADDS:
206 Parte III: Diseño de funciones de servidor
PARTE III
Cuentas de servicio OU de servicios Rastreo del proceso del sistema X X
Usuarios OU de datos Similar a la estructura organizativa X X
Administradores OU de datos OU maesta en una OU delegada X X
Administradores de OU de servicios Localizada en la OU predeterminada X X
dominio
Técnicos/instaladores OU de servicios Derechos de delegación globales pero X X X
limitados
Grupos de búsqueda OU de servicios Global X X
Grupos técnicos OU de servicios Dominio universal, local X X X
Cuentas genéricas OU de datos Dominios diferentes del de producción X X
Aplicaciones OU de servicios Objetos COM+, MSMQ X X
NOTA En la estructura de OU de ADDS para los ofrecimientos de servicios virtuales debe crear una
OU de ofrecimientos de servicios que se denomine Ofrecimiento de servicios virtuales. En el almacén
de recursos de ADDS, debe llamar a esta OU Ofrecimientos de servicios de host. No requerirá las
OU PC o Persona en el Almacén de recursos, porque los usuarios no interactúan con ella.
Esta OU también debe incluir todas las cuentas de servicio (cuentas administrativas especia-
les que se usan para ejecutar servicios en la red de Windows Server 2008). Todas son objetos del
mismo tipo, todas son cuentas confidenciales y todas deben usar las mismas configuraciones de
directiva; debido a esto, deben almacenarse en un solo contenedor. Por último, los grupos subad-
ministrativos (grupos que no tienen derechos administrativos pero tienen derechos más eleva-
dos que los usuarios normales) como los técnicos de soporte técnico o los instaladores de dominio
pueden localizarse en la OU Instalador/Técnico, lo que hace más fácil asignarles derechos a otros
objetos en el dominio. Además, una OU especial debe contener grupos técnicos (grupos que se
208 Parte III: Diseño de funciones de servidor
usan para proporcionar servicios pero que no contienen usuarios, sólo otros grupos). A estos gru-
pos se les considera técnicos, porque su única función es proporcionar servicios que no contienen
información de interés para los usuarios. A esta OU debe denominarse Grupos técnicos.
La ventaja adicional que esta OU Ofrecimientos de servicios virtuales otorga es que todos los
objetos de tipo del sistema que se usan para proporcionar al servicio de tecnología de la informa-
ción están localizados dentro de la misma estructura de OU (vea la figura 5-13).
PRECAUCIÓN Muchas organizaciones deciden crear una estructura separada para grupos que
permiten la búsqueda. Esto tiene sus méritos, pero es realmente innecesario. Si crea su estrategia
de delegación de la manera apropiada, la misma persona debe estar administrando a los usuarios y
a los grupos en ciertas ubicaciones de su red. Si ambos se encuentran en la misma OU, sólo tiene
que crear una. De lo contrario, no sólo tendrá dos OU, sino también dos reglas de delegación.
Evite la redundancia en su estructura de OU. Haga que sea lo más simple posible.
Cuando quiera administrar todos los tipos de objeto de Persona, puede hacerlo al aplicar
una directiva de grupo en el nivel superior de la OU. El segundo nivel de esta estructura de OU
debe reflejar la estructura de la unidad de negocios de la organización. Esto no significa necesa-
riamente la estructura del organigrama. Recuerde que no debe crearse la OU, si no es necesa-
rio. Aunque tal vez haya excelentes razones para la creación de unidades administrativas en la
estructura administrativa de la organización, no significa que esto se reflejará en la estructura de
OU. Muchas organizaciones sólo usan líneas de negocios en el segundo nivel de las OU para el
objeto Persona.
Este nivel de OU también tiene agrupamientos especiales de equipos (equipos de negocios
cuyo objetivo es proporcionar soporte administrativo a unidades de negocios en toda la organi-
zación). También debe contener agrupamientos regionales si su organización abarca un amplio
territorio geográfico. En este caso, los agrupamientos regionales son esenciales, porque debe
delegar la propiedad de objetos regionales a representantes administrativos regionales.
En casi todos los casos, generará tres niveles generales de OU dentro de la estructura de OU:
• Nivel raíz Se usa para administrar todos los objetos de Persona (cuentas de usuario y gru-
pos que permite el bosque). Este nivel contiene sólo otros OU y grupos administrativos que
soportan la estructura.
• Nivel de línea de negocios Se usa para administrar todas las cuentas de usuario que se en-
cuentran dentro de esta línea de negocios y están localizados en las oficinas centrales, además
Capítulo 5: Prepare su administrador de identidad 209
Administración
de recursos
Nivel de línea de
negocios
PARTE III
Regiones de nivel
administrativo
Servidores
miembros
de todos los grupos para búsqueda de toda la línea de negocios. Los grupos administrativos a
los que este nivel está delegado se localizan dentro de la OU Root.
• Nivel regional Se usa para administrar oficinas regionales. Esto incluye cuentas de usuario
para cada línea de negocios localizada dentro de la oficina regional, además de los grupos
regionales que permiten la búsqueda. La OU principal de las OU regionales contiene todos
los grupos administrativos regionales.
El nivel de línea de negocios también puede contener grupos especiales o servicios adminis-
trativos. Por ejemplo, TI y SI se encontrarán dentro de la línea de negocios administrativa de la
organización, pero puede estar seguro de que no tendrán las mismas directivas ni derechos; por
tanto, están segregadas en el tercer nivel de OU. Sobre todo, lo más probable es que TI esté más
segregado en subniveles adicionales, pero hay más posibilidades de que esto se haga mediante
210 Parte III: Diseño de funciones de servidor
NOTA El dominio de desarrollo sólo debe incluir estructuras de OU predeterminadas, a menos que
la estructura de la OU Producción se requiera para prueba. En este caso, se replicará aquí.
FIGURA 5-14
Bosque, árbol y dominio
Una estrategia completa de bosque WS08
completos, y diseño de Perímetro Producción Puesta en Desarrollo Bosque
funcionamiento del esquema de utilerías
OU de T&T. del esquema
Dev.TandT.net El bosque de
Secundario.TandT.lab Secundario.TandT.dev
utilería se necesita
para:
Intranet.TandT.net
• Necesidades
Capacitación.TandT.net temporales
• Necesidades
Este bosque se puntuales
Debe usa como un • Pruebas de
determinarse entorno de “caída”
la naturaleza aceptación y un No se necesita
de la confianza Se crean los árboles porque las subsidiarias límite entre prueba estructura de
con producción tienen diferentes nombres públicos y producción. subdominio
• Recuerde las cuatro razones para la creación de OU: división en categorías, administración,
PARTE III
delegación y aislamiento.
• Cada OU que cree debe agregar algo al sistema.
• Nunca cree una OU que no contenga objetos.
• Nunca cree una OU que no tenga un objetivo específico.
• Si una OU alcanza un estado vacío, considere su eliminación. Tal vez esto no sea necesario
porque sólo esté vacía de manera temporal. De lo contrario, elimínela.
• Identifique un propietario para cada OU que cree. Si no puede identificarse ningún propieta-
rio, elimine la OU.
• Justifique todas las OU que cree.
• Si encuentra que dos OU tienen el mismo objetivo, combínelas. Esto significa que la combina-
ción de propietario más GPO más estrategia de delegación es la misma entre OU.
• Use OU predeterminadas para administrar todo el esquema. Los controladores de dominio
deben mantenerse en la OU de DC.
• Coloque cuentas de administrador de dominio, PC y grupos en una OU oculta.
• Use la estrategia de OU del dominio Producción para definir la estrategia de OU para otros
dominios y bosques.
• No olvide definir y poner a funcionar los estándares para la creación y eliminación recurrente
de OU. Esto ayudará a controlar la proliferación de OU en su directorio.
Su estrategia de OU debe basarse en la información de las tablas 5-4 y 5-5. Aunque su seg-
mentación en categorías puede diferir con respecto a los resultados finales de su propio ejercicio
de división en categorías del objeto, es evidente que estas diferencias serán menores. Variarán de-
bido a factores como diferencias fundamentales. Tenga en cuenta que su diseño de OU no será la
respuesta a todos los procesos de administración en el directorio. Es sólo un primer componente
de su estrategia de administración de objetos dentro del directorio.
El proceso de diseño de OU debe dar como resultado los siguientes elementos:
• Un diagrama de jerarquía de OU
212 Parte III: Diseño de funciones de servidor
Éstos son los tipos de decisiones que necesita tomar cuando determine la manera en que
ADDS interactuará con otros directorios. ¿Será la fuente primaria de información? Si es así, nece-
sita asegurar que la información se alimenta y mantiene dentro del directorio. Esta alimentación
de información debe ser parte de su proceso de implementación inicial de AD. También necesi-
tará considerar los cambios que debe hacer a sus sistemas corporativos para que obtengan datos
primarios de estos ADDS; de otra manera, necesitará mantener varias fuentes de autorización
para los mismos datos. Si éste es el caso, debe considerar el uso del Microsoft Identity Lifecycle
Manager (MILM, administrador del ciclo de vida de identidad de Microsoft).
PARTE III
directorios. En su función de administración de certificados, MILM puede ayudar a simplificar la
administración de los sistemas de autentificación de dos factores, como las tarjetas inteligentes.
NOTA Encontrará más información acerca del Microsoft Identity Lifecycle Manager en
www.microsoft.com/windowsserver/ilm2007/default.mspx.
Microsoft también ofrece el Identity Integration Feature Pack (IIFP, paquete de característi-
cas de integración de identidad). Este paquete de características ofrece menos funcionalidad que
MILM, pero proporciona algunas características que resultan útiles cuando se trata de integrar
varios directorios diferentes. IIFP administra identidades y coordina detalles de usuario entre
ADDS, ADLDS y Microsoft Exchange Server (versión 2000 y posterior). IIFP proporciona una
sola vista lógica de todas las propiedades del usuario o el recurso y proporciona automáticamen-
te datos de identidad para estos tipos de objetos. Como paquete de características, IIFP es gratis
para propietarios de licencias de Windows Server.
Si necesita expandir más allá del soporte que proporcionan los productos de IIFP, entonces
concéntrese en MILM, porque no sólo proporciona mucha más funcionalidad, sino que también
administrará datos entre depósitos heterogéneos. La implementación de MILM es más compleja
que la de IIFP, pero ambos se ejecutan en servidores miembro y tienen un proceso de instalación
simple. Debido a la necesidad de almacenar valores integrados de datos, ambos requieren una
base de datos de SQL Server como soporte de los servicios que proporcionan.
Las implementaciones de MILM o IIFP son adicionales y están separadas de las implementa-
ciones adicionales de ADDS, pero las ventajas son evidentes. Si necesita integrar varios directorios,
como bases de datos internas, aplicaciones de software de terceros e incluso bosques, MILM es la
mejor manera de asegurar que los datos se extiendan de una fuente de información a las demás.
Será de ayuda administrar el proceso de mover/agregar/cambiar empleados, porque proporciona
una sola vista integrada de todos los datos de empleados. La integración de ADDS, ADLDS, ADCS
y MILM o IIFP proporciona un conjunto claro de funcionalidad (vea la figura 5-15).
214 Parte III: Diseño de funciones de servidor
Sistemas de planea-
FIGURA 5-15
Directorios ción de recursos Directorios
Integración de ADDS, de terceros empresariales personalizados
ADLDS, ADCS y otros
directorios con IIFP o
MILM.
• Internet Security and Acceleration Server ISA (servidor de seguridad de Internet y acele-
ración) modifica el esquema para agregar objetos especiales de ISA. Esta integración mejora la
seguridad, autentificación y administración de procesos de ISA.
• Host Integration Server Si requiere acceso integrado entre un entorno heredado y Win-
dows Server 2008, requerirá HIS (servidor de integración de host). También extiende el esque-
ma de ADDS para mejorar la administración de HID y la autentificación.
Las razones por las que es importante identificar la manera en que su estructura de ADDS se
integrará con otras aplicaciones o fuentes de información radican en las extensiones de esquema. Si
ésta es su primera implementación de una estructura de Servicios de dominio de Active Direc-
tory, debe agregar toda la modificación al esquema cuando instale el dominio raíz de su bosque.
De esta manera, limitará la cantidad de replicación en su red de producción. Es correcto: cada
vez que haga una modificación al esquema, se replicará en todos los controladores de dominio
del bosque. Si tiene controladores de dominio que se replican en líneas WAN, las modificaciones
masivas pueden llevar a la falta de prestación del servicio. La extensión del esquema dentro del
dominio raíz del bosque antes de instalar dominios secundarios contendrá replicación y la limita-
rá al proceso de instalación de cada servidor.
WS08 permite el llenado de un controlador de dominio desde medios de copia de seguridad
en la instalación. Esto significa que mientras tenía que construir todos los controladores de dominio
PARTE III
cuando estaban conectados a una red de alta velocidad con Windows 2000, en WS08, al igual que
en WS03, puede reconstruir y reparar controladores de dominio remotamente, siempre y cuando
haya creado una copia fuera de línea del directorio con la herramienta Copia de seguridad de Win-
dows. Los controladores de dominio aún deben construirse en un área de puesta en funcionamien-
to, empleando una red de alta velocidad durante la implementación de ADDS, si es posible.
PRECAUCIÓN Otra razón por la que es importante tomar en consideración tan cuidadosamente las
extensiones de esquema es porque no pueden eliminarse. Una vez que agrega una extensión de
esquema, puede modiicarla, pero nunca podrá eliminarla. Así que sea cuidadoso con lo que agrega
a su directorio porque se quedará con usted durante mucho tiempo. La mejor regla es agregar sólo
las extensiones necesarias. En casi todos los casos, las extensiones que se pueden agregar de mane-
ra más segura son las proporcionadas por el fabricante del sistema operativo de red (en este caso,
Microsoft). Si necesita agregar extensiones de esquema, siempre debe pensar primero en el uso de
los Servicios de directorio ligero de Active Directory.
PARTE III
minio que está realizando la operación asignará un número de ID único. Éste consta del nú-
mero de identificación del dominio, seguido por un número de identificación relativo, que se
asigna a la creación del objeto. Cuando un controlador de dominio se ejecuta en su almacén
de ID relativo, se solicita un almacén adicional del Maestro de RID. La función de ID relativo
también es el marcador de posición para el dominio. Si necesita mover objetos entre dominios
en el mismo bosque, debe iniciar el movimiento desde el Maestro de RID.
• Emulador de controlador de dominio principal (PDC) El servicio maestro que propor-
ciona compatibilidad con Windows NT. Si hay controladores de dominio de Windows NT o
clientes de red de Windows NT dentro del dominio, este servidor actúa como el controlador
de dominio principal para el dominio. Administra toda la replicación de los controladores de
dominio de copia de seguridad.
Si no hay clientes Windows heredados (lea anteriores a Windows 2000) en la estructura
del bosque, entonces éste puede operar en modo funcional completo. En este caso, el Emu-
lador PDC se concentra en sus otras dos funciones: sincronización de tiempo en todos los DC
y replicación de modiicación preferencial de cuenta con otros DC. Todos los controladores de
dominio en el dominio establecerán su reloj de acuerdo con el Emulador PDC, al igual que
con todos los servidores miembros y las PC. Además, cualquier modificación de la cuenta que
sea crítica (modificación de contraseña, desactivación de cuenta) se replicará de inmediato en
el Emulador PDC desde el servidor que lo origina. Si falla un intento de inicio de sesión en un
DC determinado, éste revisa el Emulador PDC para rechazar el intento antes de que pueda
recibir cambios recientes a contraseñas. El Emulador PDC es compatible con dos protocolos
de autentificación: Kerberos V5 (Windows 2000 y posterior) y NTLM (Windows NT).
La función final del Emulador PDC es la administración preferencial de la directiva de gru-
po. Como opción predeterminada, todos los GPO se almacenan primero y antes que nada en
el Emulador PDC. Si no está disponible, se almacenarán en otros servidores.
• Maestro de infraestructura El sistema maestro que administra dos tareas críticas:
218 Parte III: Diseño de funciones de servidor
Los bosques nativos de WS08 han mejorado la funcionalidad de GC porque ganan las carac-
terísticas de un bosque completamente funcional de WS03. Por ejemplo, sólo pueden replicar las
modificaciones de grupo universal en lugar de todo el grupo universal cuando se hacen cambios.
Además, los DC nativos de WS08 pueden almacenar en caché los datos de pertenencia universal
del usuario, al eliminar la necesidad de consultar constantemente el GC, para que el servicio GC
no necesite estar extendido como en las redes de Windows 2000.
Sin embargo, el servicio GC no debe estar ampliamente disponible. Si su red abarca varias
regiones, debe colocar al menos un DC de GC por región. Si no es práctico colocar localmente un
GC, entonces debe habilitar el Caché de pertenencia al grupo universal (UGM, Universal Group
Membership) para todos los DC de la región. La colocación del servidor GC en la región asegu-
rará que las solicitudes de inicio de sesión de grupo universal no se envíen en la WAN. Ésta se
requiere para el primer intento de inicio de sesión si no hay un GC presente en la región, aunque
esté habilitado el Almacenamiento en caché de UGM, porque el DC de inicio de sesión debe
localizar un servidor GC. Los servidores GC locales también son útiles para aplicaciones que
usan el puerto 3268 para solicitudes de autentificación. Considere los posibles inicio de sesión de
dominio cruzado cuando determine dónde colocar servidor GC.
PARTE III
El posicionamiento de las funciones de PSMO y de Catálogo global es el de los controladores de
dominio, porque cada uno de estos servicios o sistemas sólo operará en un controlador de domi-
nio. Como se mencionó antes, en un solo bosque de dominio, todas las funciones de PSMO y el
GC pueden ejecutarse en un solo DC. Aun así, la regla de la mejor práctica es siempre tener dos
DC. Pero en una red mediana o grande, estas funciones suelen distribuirse entre varios.
Además de realizar estas funciones, los controladores de dominio soportan autentificación
y replicación multimaestra. Esto significa que cuantos más usuarios tenga, más DC necesitará,
si quiere mantener corto su tiempo de inicio de sesión. Los servidores grandes de multiprocesa-
miento que ejecutan el servicio DC pueden manejar millones de solicitudes al día. Sin embar-
go, los servidores regionales tienden a tener varias funciones adicionales, porque a menudo se
vuelven servidores de varios propósitos. Los servidores regionales también tienden a mostrar una
capacidad mucho menor que los servidores centralizados. Si además hay servidores de varios
propósitos, considere la adición de DC cada vez que la carga exceda los 50 usuarios por servidor.
Si alguno de sus sitios regionales tiene menos de diez usuarios, no coloque un controlador de
dominio en el sitio. En cambio, use Terminal Services para crear sesiones de terminal para los usua-
rios en el sitio más cercano que contiene un DC. Todos los inicios de sesión se realizarán en el sitio
remoto. Pero si puede permitírselo, coloque un DC en cada sitio que tiene más de diez usuarios.
Use la función de DC de sólo lectura cada vez que no pueda garantizar la seguridad física del
DC. Los RODC no participan en el esquema de replicación multimaestra, porque sólo reciben da-
tos y no pueden usarse para iniciar una replicación. Esto protege su directorio de modificaciones.
La mejor manera de determinar cuántos DC debe colocar en su red consiste en evaluar el
rendimiento de la red. En muchos casos, es cosa de juicio. Defina una regla basada en el rendi-
miento de su red y apéguese a ella. También puede predecir el número de DC durante el ejercicio
de topología del sitio.
de la estructura de ADDS está basada en el sistema de nombres de dominio, y como todos los
inicios de sesión deben resolver el nombre y la ubicación de un controlador de dominio antes de
validarse, el servicio DNS se ha vuelto esencial para ADDS. Cuando se posicionan servicios para
ADDS, aprenderá rápidamente a acoplar el servicio DNS con el de controlador de dominio.
En Windows Server 2008, como en Windows 2000 y 2003, cada controlador de dominio de
cada dominio de cada bosque también debe ser un servidor de nombres de dominio. ¿Por qué?
Porque ADDS usa DNS para localizar objetos en la red y porque los datos de DNS pueden inte-
grarse con el directorio. Si DNS está configurado para integrarse con ADDS, puede asegurarse
por completo. Puede tener la seguridad de que sólo los objetos y los orígenes de red de confianza
actualizarán la información en la partición DNS de los Servicios de dominio de Active Directory.
La integración del directorio también significa replicación segura. Como los datos de DNS están
integrados en el directorio, se replicarán con él en todos los controladores de dominio.
Los datos de DNS también pueden almacenarse en particiones de aplicaciones, que son
particiones de directorio que designan en cuáles controladores de dominio se almacenará la in-
formación. Por ejemplo, en un bosque multimedia, WS08 crea automáticamente una partición de
aplicaciones de datos DNS de dominio raíz del bosque que abarca todo el bosque. Esto significa
que debido a que los datos se replican en todos los controladores de dominio del bosque, la reso-
lución de nombres del dominio raíz siempre funcionará en todos lados.
ADDS agrega muchos conceptos nuevos al sistema de nombres de dominio. Por eso DNS
debe cambiar de un servicio IP simple a un servicio ADDS integrado.
SUGERENCIA En un diseño inicial de ADDS, una irma decidió tener DC localizados en cada uno
de sus diez sitios regionales, pero el servicio DNS sólo estuvo disponible dentro de los DC locali-
zados en los dos sitios centrales. Esto signiica que en cada inicio de sesión, los usuarios necesita-
ban conectarse a la WAN de los sitios centrales, a pesar del hecho de que los datos de DNS estaban
disponibles localmente en su DC. La adición del servicio DNS a DC regionales redujo 75% el
tiempo de inicio de sesión y produjo muchos usuarios felices.
• Habilite Caché de pertenencia al grupo universal en cada sitio geográfico que no incluya un
GC local.
• Use DC de sólo lectura cada vez que aplique almacenamiento en caché de UGM.
• Use RODC cada vez que no pueda garantizar la seguridad del DC, pero es obligatorio un DC
local para mejorar el rendimiento.
• Coloque un controlador de dominio en todos los lugares en que haya más de diez usuarios,
a menos que la velocidad de vínculo de la WAN permita de manera adecuada los intentos de
inicio de sesión remoto.
• Agregue un controlador de dominio regional en todos los lugares en que haya más de 50 usua-
rios por controlador de dominio, sobre todo si se trata de un servidor con varios propósitos.
• Instale el servicio de nombre de dominio en todos los controladores de dominio.
• Use particiones de aplicaciones para designar alcances de replicación de DNS.
PARTE III
vinculados a través de una red de área metropolitana (MAN, Metropolitan Area Network) que
opera a alta velocidad. Además, tiene 15 oficinas regionales (algunas en otras áreas metropolita-
nas que tienen un tamaño considerable, como se ve en la figura 5-16). En estas áreas metropoli-
tanas, las sucursales usan vínculos locales para “saltar” a la red de área amplia.
T&T necesita posicionar sus controladores de dominio, catálogos globales, DNS y funciones
FSMO. En la tabla 5-6 se describe la posición de cada dominio dentro de cada región.
NOTA En la tabla 5-6, entre los usuarios de desarrollo se incluyen a los propios desarrolladores,
además de cuentas de prueba, mientras los usuarios del dominio de capacitación sólo representan
cuentas genéricas.
Como se observa, el primer paso de T&T consiste en identificar el diseño geográfico de sus
oficinas. Una vez hecho esto, T&T puede pasar al posicionamiento del servidor. Con el uso de
las reglas delineadas, T&T empezará el proceso de posicionamiento. Necesita actuar sistemática-
mente; por ello, colocará servidores en el siguiente orden:
1. Los primeros servidores en posicionarse son las funciones FSMO de todo el bosque. Se
encontrarán dentro del dominio raíz de bosque protegido: Maestro de esquema y Maestro de
nombre de dominio.
2. Luego serán las funciones FSMO centradas en el dominio, del dominio raíz de bosque pro-
tegido: Maestro de RID, Emulador PDC y Maestro de infraestructura. Deben posicionarse de
acuerdo con las mejores prácticas delineadas antes.
3. El tamaño (número de usuarios) y la ubicación del dominio raíz de bosque protegido ayuda-
rán a determinar el número de controladores de dominio requerido para operar ese dominio
raíz.
4. Si los DC de dominio raíz de bosque protegido están separados físicamente, el servicio Cáta-
logo global debe agregarse en cada ubicación que incluya por lo menos un DC.
222 Parte III: Diseño de funciones de servidor
Oficinas Oficinas
centrales 1 centrales 2
Región
Región 15
1
Región
Región 14
3 Región
Región
Región 13
4 Región
Región Región Región Región 12
6
7 8 9 10
NOTA Puede usar una herramienta que es posible descargar de Microsoft, el AD Sizer, para cal-
cular cuántos usuarios manejará un DC. En realidad, le indicará que puede administrar más de
40 000 usuarios por DC. Sin embargo, esto puede ser muy optimista, porque los DC tienen otras
funciones, aparte de simplemente administrar los inicios de sesión de usuario. Realice pruebas y
determine si la regla de los 1 000 usuarios es apropiada para su red.
7. Cada región que tiene por lo menos un DC también alberga por lo menos un Catálogo global,
si es posible. De lo contrario, use el almacenamiento en caché de UGM del sitio. También use
DC de sólo lectura en estos sitios.
8. A continuación, posicione funciones FSMO, GC y DC para los otros tres dominios: desarrollo,
capacitación y puesta en funcionamiento. Esta última es fácil, porque está localizada en un
Capítulo 5: Prepare su administrador de identidad 223
PARTE III
19 Región 11 Producción 575
20 Región 12 Producción 250
21 Región 13 Producción 90
22 Región 14 Producción 110
23 Región 15 Producción 40
24 Sucursal 1 (Región 2) Producción 10
25 Sucursal 2 (Región 5) Producción 5
26 Sucursal 3 (Región 5) Producción 8
27 Sucursal 4 (Región 11) Producción 50
28 Sucursal 5 (Región 12) Producción 35
Total 10 750
TABLA 5-6 Información del escenario de posicionamiento del servidor de bosque de producción
solo sitio geográfico; dos servidores son más que adecuados. La capacitación también puede
realizarse con dos DC: uno en cada oficina central. El posicionamiento de los DC de desarro-
llo dependerá del nivel de actividad. No es poco usual que se usen los DC de desarrollo para
análisis de prueba de tensión. En esas situaciones, el DC de desarrollo necesita albergar tantos
usuarios como todo el dominio de producción.
9. Lo más fácil se deja para el final. Coloque el servicio DNS en cualquier lugar donde haya un DC.
10. Use particiones de aplicación para determinar cómo debe compartirse la información de DNS
de dominio en dominio.
11. Además, es seguro posicionar la función GC con la función Infraestructura en el dominio raíz
de bosque protegido porque el dominio raíz mantiene muy pocos objetos y no afectará la
replicación.
12. Una aplicación entre dominios se usa entre los de producción y desarrollo. Los usuarios del
dominio de desarrollo suelen requerir información del de producción. Debido a la partición, la
información queda automáticamente disponible para ellos.
224 Parte III: Diseño de funciones de servidor
13. Una partición de aplicaciones de dominio local para datos de DNS se usa en el dominio de
desarrollo porque son raras las consultas del dominio de desarrollo a otros dominios. Lo mis-
mo se aplica a los dominios de capacitación y puesta en funcionamiento.
El resultado se describe en la tabla 5-7. Tenga en cuenta que la estrategia de DNS se describe
de manera más detallada en el capítulo 6.
Como observará, la etapa de posicionamiento del servidor requiere la aplicación de un con-
junto determinado de reglas a los datos que ha recolectado en su organización para producir un
resultado que funcione. La corporación T&T, por ejemplo, implementará los servidores y las fun-
ciones identificadas en la tabla 5-7. Tendrá tres modelos de servidor: uno para regiones donde los
servidores están protegidos, uno para regiones donde los servidores no están protegidos (RODC)
y uno para oficinas grandes (DC dedicados).
PARTE III
Sucursal 3
(Región 5)
Sucursal 4 Producción 50 1 DC de sólo lectura:
(Región 11) 35 1 • Caché de pertenencia al grupo universal
Sucursal 5 • DNS integrado
(Región 12)
Oicinas centrales Desarrollo 200 1 Primer DC de dominio:
principales • FSMO de dominio: PDC y RID
• Catálogo global
• DNS integrado: partición de aplicaciones de dominio
local
Sitio dos oicinas Desarrollo 250 1 Segundo DC de dominio:
centrales • FSMO de dominio: Infraestructura
• Catálogo global
• DNS integrado: partición de aplicaciones de dominio
local
Oicinas centrales Capacitación 300 1 Primer DC de dominio:
principales • FSMO de dominio: FDC y RID
• Catálogo global
• DNS integrado: partición de aplicaciones
de dominio local
NOTA Con el advenimiento de los ofrecimientos de servicios virtuales, sus DC regionales pueden y
deben volverse equipos virtuales. En este caso, no necesita crear DC de varios propósitos porque
es más difícil de administrar. Cuando use equipos virtuales, no cuesta más crear un DC regional
dedicado y luego crear otro equipo virtual para ejecutar otras funciones que suelen compartirse en
el DC de varios propósitos como servicios de archivo o impresión.
T&T también deberá vigilar el rendimiento de estos servidores para asegurar que los tiempos
de respuesta del servicio se ejecutan como se esperaba. De lo contrario, necesitará refinar su mo-
delo. Si ése es el caso, deberá actualizar la tabla 5-7 para asegurar que siempre refleje la realidad.
La estrategia de posicionamiento del servidor de la corporación T&T se ilustra en la figura 5-17.
Para mayor simplicidad, esta figura sólo incluye los dominios raíz y de producción.
Otro factor que afectará esta evaluación es la velocidad de red a la que cada oficina se vincula
con las demás. El análisis de las velocidades de red y el ajuste de la replicación de directorios es la
siguiente etapa, el diseño de topología de sitio.
Topología de sitio
El diseño de Active Directory está casi completo; sólo se requieren dos etapas adicionales: diseño
de topología de sitio y estrategia de modificación del esquema. El diseño de topología de sitio
se relaciona con el análisis de la velocidad de todos los vínculos WAN que unen el bosque y la
identificación de la estrategia de replicación del bosque. Un sitio es una partición de replicación
física. La replicación es la clave de la operación apropiada de ADDS.
Los DC de Windows Server 2008 replican la información de manera continua porque son
de autorización para ciertas partes de la información del bosque, excepto, por supuesto, para los
RODC. Este entorno multimaestro requiere replicación constante si los DC de bosque distribuido
habrán de mantenerse actualizados. WS08 puede realizar dos tipos de replicación: dentro del
sitio y entre sitios. La replicación dentro del sitio es a alta velocidad porque usa la red de área
local. Los servidores locales suelen ser vínculos de alta velocidad para asegurar transferencia de
Capítulo 5: Prepare su administrador de identidad 227
Bosque WS08
Intarnet.TandT.net
PARTE III
- GC - DNS
- DNS
Sucursal
5
información más rápida entre ellos. La replicación dentro del sitio ocurre constantemente porque
la velocidad del vínculo puede darle soporte. Debido a que es constante y a que la velocidad del
vínculo puede permitirlo, la replicación dentro del sitio no está comprimida.
La replicación entre sitios ocurre a una velocidad inferior porque debe cruzar un vínculo WAN
a otras oficinas. La replicación entre sitios debe calendarizarse y comprimirse: de otra manera,
usará más del ancho de banda disponible. El proceso de crear sitios ADDS es el de identificar si la
replicación entre servidores se hace dentro del sitio o entre sitios. Un sitio es una reagrupación
física de servidores. Suele definirse como una subred TCP/IP. Puede ser una red de área local
virtual (VLAN, Virtual Local Area Network) (un grupo de nodos de red que están unidos a una
sola subred dentro de una ubicación geográfica) o una subred regional. La replicación entre sitios
ocurre en intervalos de 15 minutos. Se permiten dos modos de transporte: protocolo de Internet
(IP, Internet Protocol) y protocolo simple de transferencia de correo (SMTP, Simple Mail Transfer
228 Parte III: Diseño de funciones de servidor
Protocol). ¡Nunca considere SMTP para replicación entre dominios! Es más complicado configu-
rarlo que IP, y es un método de replicación asincrónico porque los cambios se envían en mensajes
discretos que podrían llegar en desorden. ¿Quién no ha enviado un mensaje a alguien sólo para
tenerlo de regreso una semana después diciéndole que la persona nunca lo recibió? ¡No es de
sorprender que nunca le hayan respondido! No puede darse la oportunidad de que esto suceda
con datos de replicación de directorio. La replicación de SMTP sólo debe considerarse en las
situaciones más extremas, aun para aplicación entre sitios.
IP usa llamadas a procedimientos remotos (RPC, Remote Procedure Call) para enviar cam-
bios a otros DC. Usa el revisor de consistencias del conocimiento (KCC, Knowledge Consistency
Checker) para determinar las rutas automáticas entre socios de replicación. Para que esto ocurra
entre sitios, debe crearse un vínculo entre cada sitio que contiene un controlador de dominio. El
vínculo de sitio incluye información de costos. El KCC puede usar esta información cuando se
determina el momento de replicar, cómo replicar y el número de servidores con que se replicará.
Los valores especiales, como cambios de contraseñas o desactivaciones de cuentas, se replican de
inmediato al Emulador PDC en el dominio, a pesar de los calendarios específicos de sitios. Los
datos de replicación entre sitios también se comprimen. ADDS comprime datos de replicación a
través de un algoritmo de compresión. Los datos se comprimen automáticamente cada vez que
se alcanza cierto umbral. Por lo general, cualquier cosa mayor de 50 kilobytes (KB) se comprimirá
automáticamente cuando se replica entre sitios.
En un bosque que se ejecuta en modo funcional de WS08, debe habilitar la replicación de
valor vinculado. Esta opción reduce en gran medida la replicación al enviar sólo los valores que
han cambiado para cualquier atributo de varios valores, como grupos. Cada vez que se hace un
cambio a un miembro de grupo, como la adición de un nuevo miembro, sólo el valor cambiado
(el nuevo miembro) se replica en lugar de hacerlo con todo el grupo. Además, este modo funcio-
nal depende de la replicación de DFS, replicando sólo los cambios delta de cualquier contenido.
Los sitios son dependientes de la estructura de dominio. Esto significa que puede tener va-
rios dominios dentro de un sitio y varios sitios dentro de un dominio, además de varios sitios
y varios dominios dentro de una red de área amplia.
La replicación del bosque está dividida en tres categorías: todo el bosque, partición de apli-
caciones y replicación centrada en el dominio. Las dos primeras abarcan dominios. Por fortuna,
los datos replicados a través de estas particiones son relativamente escasos. No es lo mismo en
el caso de los dominios. Los de producción, sobre todo, contienen grandes cantidades de infor-
mación. Ésta es la razón básica del diseño de la topología de sitios: disponibilidad de datos entre
sitios separados en el mismo dominio.
Los dominios de producción deben dividirse si se replicarán a velocidades de vínculo de 56
kilobits (Kbit) por segundo o inferiores. Los dominios de producción muy grandes requieren
vínculos de WAN de alta velocidad, si abarcarán oficinas regionales, aunque los datos estén com-
primidos y la replicación esté calendarizada. Si deben enviarse grandes cantidades de datos, la
“canalización” que envían debe ser lo suficientemente grande para el tiempo permitido. En sitios
muy grandes con vínculos de baja velocidad, es posible tener una situación donde la replicación
nunca se complete. La ventana de replicación se abre a intervalos que son más pequeños que el
tiempo que se toma para replicar todos los datos cambiados.
Las rutas del vínculo del sitio deben parecerse a la estructura básica de IP de su WAN. El
PARTE III
costo de cada vínculo debe reflejar la velocidad del vínculo: cuanto menor sea el costo, mayor
será la velocidad. Los costos inferiores también significan replicación más rápida. Tenga en cuen-
ta que los costos son simplemente valores que se usan para indicar a la replicación de ADDS que
un vínculo es mejor que otro. En la tabla 5-8 se identifican ejemplos de costos de vínculos para
anchos de banda determinados.
Ancho de banda disponible Costo sugerido de vínculo Costo sugerido de vínculo de copia
principal de seguridad
56 Dominio separado n/a
64 750 1000
128 500 750
256 400 500
512 300 400
1024 150 300
T1 100 150
TABLA 5-8 Costo recomendado (en dólares) de vínculo por ancho de banda disponible
230 Parte III: Diseño de funciones de servidor
entre sitios dentro del sitio. Todas las actualizaciones se reciben y envían a través del servidor
cabeza de puente. Por tanto, ningún otro DC del sitio necesita dedicar recursos a la replicación
entre sitios. Sin embargo, si designa servidores de cabeza de puente, el KCC ya no podrá calcu-
lar automáticamente las rutas de replicación. Tendrá que monitorear de cerca la replicación para
asegurar que todos los sitios están actualizados.
Es buena idea calcular la latencia de la replicación (el tiempo entre una modificación en un
DC y la recepción de la modificación en todos los demás DC) de la topología del sitio. Esto le
permitirá identificar cuál será la demora de replicación más larga posible dentro de su red. La
latencia de la replicación se calcula con base en el intervalo de replicación (el tiempo que puede
tomarse para replicar los datos) y el número de saltos requerido para realizar la replicación. Por
ejemplo, si la topología de su sitio incluye dos saltos, su intervalo de replicación es de 180 minu-
tos y toma 30 minutos en completarse un cambio de replicación, su latencia de replicación será
de 420 minutos (180 minutos por 2, más 30 minutos por 2). Además, recuerde basar todos sus
cálculos de replicación en el ancho de banda disponible, no el global. Si sólo 10% del ancho de
banda está disponible para la replicación de ADDS, eso afectará sus cálculos.
Por último, como ya se mencionó, la opción Habilitar Caché de pertenencia al grupo uni-
versal está asignada a sitios dentro de un bosque nativo de WS08. Esta opción debe establecerse
para todos los sitios que no tienen un GC. Los DC en estos sitios podrán almacenar en caché de
pertenencia al grupo universal de los usuarios que las soliciten, reduciendo la cantidad de comu-
nicaciones con el servidor que hospeda el Catálogo global.
PARTE III
La topología de sitio de T&T (vea la figura 5-19) está, una vez más, basada en la información
desplegada en la figura 5-17, además de la velocidad del vínculo WAN de cada sitio. Empleando
esta información, T&T produjo la cuadrícula esquematizada de la tabla 5-9.
T&T usa algunas configuraciones globales en su diseño de topología de sitio. Entre éstas se
incluye:
• Abrir calendarios para todos los sitios.
• KCC como opción predeterminada en todos los sitios.
• Todos los costos de vínculos de sitio disminuyen a medida que se acerca más a las oficinas
centrales 1, de modo que la replicación de éstas tiene prioridad.
• La replicación sólo se realiza con RPC sobre IP.
• Los calendarios predeterminados están habilitados en todos los sitios (replicación cada 180
minutos).
• La replicación de alta prioridad puede ocurrir de inmediato.
• Cada sitio tiene una ruta de replicación de copia de seguridad a un costo mayor.
• Todo se basa en el ancho de banda disponible calculado.
Por supuesto, T&T necesitará monitorear el rendimiento de la replicación de AD durante la
operación del directorio para asegurar que los valores de esta tabla son apropiados para satisfacer
niveles de servicio. Si no, es necesario actualizar la tabla y los vínculos de sitio.
NOTA El bosque del perímetro también se incluye en la tabla 5-9 y la igura 5-19 para demostrar el
posible uso de los servidores cabeza de puente. Si no tiene un bosque de perímetro, entonces tal vez
no necesite un servidor cabeza de puente. Si usa ADFS, entonces no debe colocar DC en la DMZ.
232 Parte III: Diseño de funciones de servidor
Velocidad: 128
Sucursal Sucursal Sucursal Costo: 500 Sucursal
1 2 3 4
Velocidad: 512
Costo: 300
Velocidad: T1
Costo: 150
implica replicación agregada en el momento de la modificación. Tal vez también signifique repli-
cación agregada recurrente, dependiendo del contenido de la adición. El retiro de componentes
también conlleva replicación agregada en el momento de la modificación. Puede significar que se
reduzca la replicación constante porque está eliminando un elemento de la misma. Los bosques
que operan en el modo funcional de WS08 permiten el reciclaje de ciertos tipos de clases o atri-
butos de objeto desactivados. Pero tal vez resulte difícil implementar este reciclaje. Lo mejor es
estar siempre seguro y proceder de manera cuidadosa cuando se requiere la modificación.
Espere que su esquema de base de datos de ADDS experimente modificaciones. Incluso
herramientas simples, como un software de copia de seguridad empresarial, en ocasiones modifi-
cará el esquema para crear objetos de copia de seguridad dentro del directorio. Sin duda, algu-
PARTE III
predeterminada para todos
los sitios)
• Vínculos de sitio con todos
los sitios
• Puente de vínculo de sitio con
Sucursal 5 y Región 11
Oicinas centrales LAN con irewall VLAN 50 • Servidor cabeza de puente
principales para períme- preferido
tro de seguridad
Perímetro de seguridad
para oicinas centrales
principales
Oicinas centrales Sitio 2 T1 VLAN 100 • Vínculos de sitio con Oicinas
Región 5 centrales 1 y Región 11
• Vínculos de sitio de copia de
seguridad con todos los sitios
• Puente de vínculo de sitio con
Sucursal 4
Región 1 256 Regional 400 • Vínculo de sitio con oicinas
Región 3 centrales 1
Región 4 • Vínculo de sitio de copia
Región 6 de seguridad con oicinas
Región 7 centrales 2
Región 8
Región 9
Región 10
Región 13
Región 14
nas de las herramientas comerciales de servidor que adquiera (aunque sea Microsoft Exchange)
modificará su esquema de ADDS de producción.
Además, tal vez quiera aprovechar las extensiones de esquema para sus propios fines. Defi-
nitivamente acortará los tiempos de desarrollo de aplicaciones si decide almacenar en un direc-
torio información que se solicita con frecuencia. ADDS replicará automáticamente la información
en toda su empresa si es parte del directorio. Tenga cuidado con la información que incluye en el
directorio. Debido a sus modelos multimaestro y jerárquico, ADDS no está diseñado para pro-
porcionar consistencia inmediata de datos. Siempre hay latencia de replicación cuando se incluye
más de un DC. Use el directorio para almacenar información estática que se requiere en cada
sitio pero que es improbable que cambie a menudo. También puede depender de los Servicios
de directorio ligero de Active Directory. Como su nombre lo indica, éstos proporcionan medios
ligeros para usar la funcionalidad de un directorio, incluida la replicación, pero sin la pesadez de
modificar su esquema ADDS.
Capítulo 5: Prepare su administrador de identidad 235
Sin embargo, si decide usar su directorio, una cosa es segura. Siempre debe tener cuida-
do con las modificaciones dentro del directorio de producción. La mejor manera de hacerlo es
formar una directiva de modificación de esquema. Esta directiva es propiedad de un tenedor de
directiva de cambio de esquema al que se presentan para aprobación todos los cambios al esque-
ma. La directiva no sólo delineará quién tiene la función de tenedor, sino también cómo deben
probarse, prepararse y desplegarse las modificaciones al esquema. La asignación de la función
de tenedor de directiva de cambio de esquema para administrar el esquema asegura que las mo-
dificaciones no serán hechas de manera ad hoc por parte de grupos que no se comunican entre
sí. Debido a que el tenedor de directiva de cambio de esquema debe aprobar todas las modifica-
ciones, en primer lugar, el proceso es evidente para todos.
Además, la estructura X.500 de la base de datos de AD se basa en un esquema de numera-
ción de objetos que es globalmente único. Una autoridad central tiene la capacidad de generar
identificadores de objeto para nuevos objetos de X.500: la International Standards Organization
(ISO). Los números también pueden obtenerse por parte del American National Standard Ins-
titute (ANSI). La numeración X.500 puede obtenerse en www.iso.org o www.ansi.org. Microsoft
también ofrece numeración X.500 en un árbol de clase de objetos que adquirió con el fin de
soportar Servicios de dominio de Active Directory. Puede recibir ID de objeto de Microsoft al
enviar un correo electrónico a oids@microsoft.com. En su correo electrónico, incluya el prefijo
PARTE III
de asignación de nombres de su organización y la siguiente información de contacto: nombre,
dirección y número telefónico del contacto.
Los identificadores de objeto son cadenas en una notación con punto similar a las direccio-
nes IPv4. Las autorizaciones que emiten pueden asignar un identificador de objeto en un subni-
vel a otras autoridades. ISO es la autoridad raíz. ISO tiene un número de 1. Cuando se asigna un
número a otra organización, ese número se usa para identificar a esa organización. Si se le asignó
a T&T el número 488077, y T&T asignó un 1 a un desarrollador, y ese desarrollador asignó 10 a
una aplicación, el número de la aplicación sería 1.488077.1.10.
Para crear su estrategia de modificación de esquema, debe dar tres pasos:
• Identificar los elementos de la directiva de modificación del esquema.
• Identificar al propietario y al transportista para la función de tenedor de directiva de cambio
de esquema.
• Identificar el proceso de administración de cambio de esquema.
La directiva de modificación de esquema incluye varios elementos:
• Lista de los miembros del grupo de administradores empresariales universales.
• Estrategia de seguridad y administración del grupo de administradores de esquema univer-
sales. Este grupo debe mantenerse vacío todo el tiempo, agregando miembros sólo cuando se
requieren modificaciones. Dichos miembros deben eliminarse en cuanto la modificación esté
completa.
• Creación de la función Tenedor de directiva de cambio de esquema.
• Documentación de la estrategia de administración de cambio de esquema, incluidos:
• Preparación de documentación de soporte para solicitud de cambio, con descripción y
justificación de la modificación.
• Análisis de efecto del cambio. Efectos de replicación a corto y largo plazos. Costos del cam-
bio solicitado. Beneficios a corto y largo plazos del cambio.
236 Parte III: Diseño de funciones de servidor
FIGURA 5-20
La naturaleza diferente de
las modiicaciones del
esquema en comparación
con directorios de ADLDS. ADLDS
Adiciones al esquema
ADDS
estructura de acceso mucho más segura que colocar un directorio ADDS en la DMZ y arriesgarse
a que se vea comprometida.
Siempre considere un ADLDS, aún en la red interna, en lugar de hacer una modificación
personalizada al esquema. Las modificaciones del esquema son permanentes y en realidad ex-
panden el tamaño de un directorio de ADDS, mientras los directorios de ADLDS interactúan con
las estructuras de directorio de ADDS, pero no las afectan (vea la figura 5-20).
PARTE III
Mejores prácticas de la estrategia de modiicación del esquema
Use las siguientes mejores prácticas de modificación del esquema:
• No haga sus propias modificaciones al esquema, a menos que sean absolutamente necesarias.
• Use ADDS principalmente como un directorio de sistema operativo de red.
• Use ADLDS para integrar aplicaciones con ADDS.
• Use el Identity Integration Feature Pack para vincular varias estructuras de ADDS y Exchange.
• Use Microsoft Identity Lifecycle Manager para vincular ADDS con directorios de terceros y
administrar infraestructuras de ADCS.
• Asegúrese de que todos los productos comerciales que modificarán el esquema están aproba-
dos por Windows Logo.
• Limite sus modificaciones iniciales a las hechas por software comercial.
• Cree una función de Tenedor de directiva de cambio de esquema en las primeras etapas del
proceso de implementación.
• Documente la directiva y el proceso de modificación del esquema.
Una vez que estos cuatro pasos estén completos, su ADDS podrá funcionar. Estos cuatro
pasos integran el plano de implementación de ADDS (vea la figura 5-21).
Este plano está diseñado para cubrir todos los pasos principales en una nueva implementa-
ción de ADDS. Usa el concepto de red paralela delineado antes para crear una nueva red separa-
da que puede aceptar usuarios, como se migra a partir de la red de producción existente. Debido
a que este proceso está relacionado de cerca con las implementaciones de la infraestructura de
red IP, de una nueva estructura de Servicios de dominio de Active Directory y de la infraestruc-
tura de red de IP, se cubrirán en el siguiente capítulo. Sin embargo, si ya tiene una estructura de
Active Directory en el lugar, lo más probable es que use un proceso de actualización. Este proceso
de actualización también se perfila en el siguiente capítulo.
Windows
Asignación de contenedor
Dominio Permisos de
- Dominio WS08 plenamente funcional Grupo Local directorio
PARTE III
No - Objetos ocultos y acceso a límites Acceso a dominio
Permisos de
- Unidades organizativas Cuentas Grupo global Grupo Local extremo
¿Grupo? Sí
Criterios de posicionamiento de servicio de directorio
de nombres y de núcleo
¿DNS?
central:
- DC En cualquier lugar hay Posicionamiento de servidor FSMO:
Sí - GC por lo menos un DC - Funciones FSMO de todo el bosque:
- DNS - Maestro de esquema
- Autentificación - Maestro de nombre de dominio
Posicionamiento - FSMO - Funciones FSMO centradas en el
del servicio - Sincronización de tiempo (Emulador PDC) dominio:
- Identificación relativa (RID)
¿Replicación? Criterios de posicionamiento de DC - Emulador PDC
- Instalación de más de 50 usuarios - Maestro de infraestructura
Replicación
Sí
Depende un
proveedor externo Crear servidores
cabeza de puente
Diseño de plano de Active Directory Leyenda: Proceso Criterio o regla Fin del proceso
NOTA El sitio Web que acompaña este libro puede encontrarse en www.reso-net.com/livre.
asp?p=main&b=WS08.
Estas herramientas sólo pueden ayudarle en el proceso de diseño. El éxito o la falla del
proceso de diseño de Servicios de dominio de Active Directory que complete dependerán en su
totalidad de los elementos en que invierte su organización. Recuerde que ADDS es el núcleo
de su red. Su diseño debe responder a las necesidades de la organización. La única manera de
asegurar esto es reunir a todos los accionistas de ADDS y hacer que participen en el proceso de
diseño. En otras palabras, la calidad del equipo que integra para crear su diseño de ADDS influirá
en gran medida en la calidad de los resultados que obtiene.
CAPÍTULO
6
Construya la infraestructura de red
de Windows Server 2008
A
hora que comprende Active Directory, está listo para empezar la implementación de los
servicios que Windows Server 2008 (WS08) proporcionará en su red. Aquí, puede encon-
trarse en una de tres situaciones:
• Tiene una red y quiere migrar a una infraestructura de centro de datos dinámica.
• No tiene una red y quiere implementar un nuevo centro de datos dinámico para proporcionar
servicios a una organización determinada.
• Tiene un centro de datos y simplemente quiere actualizar sus ofrecimientos de servicios a
WS08.
En cada caso, necesita determinar cómo va a migrar a los ofrecimientos de servicios, pero
en los primeros dos, también necesita preparar el almacén de recursos que le permitirá crear los
ofrecimientos de servicios virtuales para proporcionar funcionalidades a la organización. Esto sig-
nifica que necesita pensar acerca de la manera en que construirá esta infraestructura de base que
ejecutará servicios de hosts. Luego, una vez que esté listo, considere el método que usará si está
migrando de una red a un ofrecimiento de servicios virtual. Si está usando éste, entonces debe
pasar a la segunda parte de este capítulo, que revisa el diseño de los ofrecimientos de servicios
de servicio. En cualquier caso, necesitará tomar decisiones arquitectónicas antes de moverse a la
propia implementación.
241
242 Parte III: Diseño de funciones de servidor
NOTA El almacén de recursos sólo ejecutará las ediciones Enterprise o Datacenter de WS08 porque
éstas incluyen varias licencias gratuitas para versiones virtualizadas de WS08. Esto también
simpliicará el aprovisionamiento.
Almacén de recursos
Red de área de almacenamiento
Leyenda: Volumen de unidad
de almacenamiento
Disco duro Máquina virtual lógico
Capítulo 6: Construya la infraestructura de red de Windows Server 2008 243
Componente Descripción
Procesadores Mínimo: dos procesadores de doble núcleo
Recomendado: dos procesadores de cuatro núcleos o cuatro de dos
núcleos
RAM Mínimo: 8 GB
Recomendado: 16 GB
Conectividad de almacenamiento Adaptador de bus de host (HBA, Host Bus Adapter) para ibra óptica o
iSCSI
Volumen C: 40 GB más espacio para el archivo de paginación (mínimo el doble de
la RAM)
Volumen D: Permita un promedio de 50 a 100 GB para cada máquina virtual
Ejemplo: 16 x 100 GB = 1.6 TB
Volumen E: 20 GB por instantánea de volumen
Estructura de volumen de máquina virtual Discos expansibles para hacer el mejor uso del espacio en disco
Coniguración de red Mínimo: 2 x 1 Gbit Ethernet
Recomendado: 4 x 1 Gbit Ethernet
PARTE III
Debido a la naturaleza de la función Hyper-V, cada servidor host necesitará ejecutar una par-
tición de administración (vea la figura 6-2). Como observará, Hyper-V está basado en una capa
de hipervisor delgada que se ejecuta directamente sobre el hardware certificado por Windows
Server. Luego, la partición principal proporciona la interfaz para la administración de máquinas
virtuales, mientras que éstas utilizan las extensiones de cliente de máquina virtual para interac-
tuar con el bus de la máquina virtual que está expuesto a través del hipervisor. Estas extensiones
Windows Server 2008 Windows Server 2003 Sistema operativo Kernel de Linux
x64 Server Core o que no reconoce compatible con Xen
Windows Server 2008 hipervisores
(Windows NT, Extensiones de
cliente de máquina
Kernel de Windows Kernel de Windows Windows 2000 o virtual de Linux
Windows XP)
Máquina virtual Extensiones de cliente Adaptador de
principal
p p de máquina
q virtual hiperllamada
de cliente están construidas en WS08. Esto significa que cualquier instancia virtualizada de WS08
podrá contender apropiadamente por los recursos físicos y será un cliente virtual“bien portado”.
Y debido a la sociedad de Microsoft con Citrix, las distribuciones de Linux compatibles con Xen
también pueden aprovechar el VMBus a través de las extensiones especiales de cliente propias.
Además de la partición principal, tendrá que cargar la función Controlador de dominio (DC,
Domain Controller) en los dos últimos servidores hosts. Éstos deben identificarse y configurarse
apropiadamente, porque desempeñarán una función adicional junto con Hyper-V. Dos controla-
dores de dominio deben de ser suficientes para este bosque, porque sólo utilerías como servidores
hosts estarán conectadas a este dominio. Además, debe ser este número pequeño, porque agrega
sobrecarga al servidor, limitando el número de máquinas virtuales que puede hospedar.
Estos servidores deben incluirse en clústeres, siempre y cuando sea posible proporcionar alta
disponibilidad para los ofrecimientos de servicios virtuales a los que darán soporte. También deben
ejecutar los servicios de replicación del sistema de archivos distribuidos (DFS, Distributed File
System) para ayudar a proteger a los equipos virtuales que hospedan. Estas configuraciones de alta
disponibilidad se cubren en el capítulo 11, donde se analiza la estrategia de continuidad de nego-
cios. Para protección inmediata, debe configurar el Servicio Instantáneas de volumen para asegurar
que tiene una instantánea local de cada máquina virtual. Para fines de administración, necesitará
un número apropiado de consolas para gestionar cada uno de los nodos del almacén de recursos.
Lo ideal es que se realice desde las PC de operador que ejecutan la función de administración de
Hyper-V o que ejecutan el System Center Virtual Machina Manager (SCVMM) de Microsoft.
NOTA SCVMM es una adición excelente a cualquier centro de datos dinámico que ejecuta una
infraestructura virtual. Encontrará información sobre SCVMM en www.microsoft.com/
systemcenter/scvmm/default.mspx.
Luego, una vez que ha hecho esto, puede empezar a agregar servidores hosts adicionales y
unirlos como servidores miembros al bosque del almacén de recursos.
PARTE III
PRECAUCIÓN No instale la función DC de sólo lectura (RODC, Read Only DC) en estos servidores.
RODC no almacena credenciales administrativas y necesita hacer una llamada a WAN en busca de
un controlador de dominio de lectura-escritura para iniciar sesión como administradores. La función
RODC es sólo para ofrecimientos de servicios virtuales. Tal vez, en realidad, no necesite tener DC
remotos en este bosque. Las credenciales de inicio de sesión y arranque se almacenan en la caché local
en servidores miembros, una vez que se recuperan del DC, de modo que los vínculos WAN no siem-
pre son obligatorios. Además, si no tiene personal administrativo en estos sitios remotos, de todos
modos deberá tener una conexión WAN para trabajar en estos sistemas. Si tiene una conexión WAN
para realizar trabajo, tiene una conexión WAN con el DC que le permitirá iniciar sesión.
Esto instalará un bosque en el modo funcional de bosque y dominio de WS08. Llámelo Tan-
dT.WS, asígnele el nombre NetBIOS TANDTWS, instale el sistema de nombre de dominio (DNS,
246 Parte III: Diseño de funciones de servidor
Domain Name System) y haga del servidor un Catálogo global. También instalará las bases de
datos y otras carpetas ADDS en ubicaciones predeterminadas. Debido a que este dominio sólo
tiene dos DC y unos cuantos servidores miembro, no requiere ninguna consideración especial en
cuanto a los aspectos de configuración de los archivos que integran el directorio.
Para aplicar la función, use los siguientes comandos en su sistema Server Core:
dcpromo /unattend:rutadearchivoderespuesta
Use un archivo similar en ambos DC. Por supuesto, el segundo archivo debe indicar al DC
que se una al dominio existente. Lo siguiente debe usarse en esta segunda instalación:
[DCINSTALL]
InstallDNS=yes
ReplicaOrNewDomain=replica
ReplicationSourceDC=HostDCOne.TandT.WS
RebootOnCompletion=yes
SafeModeAdminPassword=contraseña
Como verá, esta segunda instalación es más simple porque el controlador de dominio está
uniéndose a un dominio existente. Todos los otros sistemas serán servidores miembros que se
unirán a este dominio.
Ahora que ya está creado el bosque, debe transferir las funciones Maestro de operaciones,
de modo que puedan compartirse entre los dos controladores de dominio. Ésta es una mejor
práctica que se recomendó en el capítulo 5. Una vez más, necesita usar la línea de comandos para
realizar esta operación. Transferirá el Maestro de nombre de dominio y el Maestro de infraestruc-
tura al segundo DC. Para ello, inicie sesión en el segundo DC y escriba los siguientes comandos:
ntdsutil
roles
connections
connect to server nombreservidor
quit
transfer naming master
transfer infrastructure master
quit
quit
Donde nombreservidor es el nombre DNS del segundo DC. El comando NTDSUTIL es una inter-
faz de comando y le permite escribir comandos a medida que los necesita. Ahora están listos los DC.
donde se ha habilitado el servicio. Estas instantáneas incluyen una imagen del contenido de la
carpeta en un momento determinado. Dependiendo del espacio que tenga disponible (cada ins-
tantánea de VSS es de 100 megabytes, o MB), podría tener hasta 512 instantáneas en un volumen
de disco. Y debido a que Microsoft fabrica un componente de cliente para VSS, el cliente Versiones
anteriores, disponible junto con VSS, los usuarios y los administradores pueden tener acceso a
estas instantáneas, mientras que en Windows XP tenía que desplegar el cliente Versiones anterio-
res, integrado a Windows Vista y WS08.
En servidores de archivo regulares, esto significa que una vez que se ha implementado VSS,
los usuarios pueden recuperar muy bien cualquier archivo que hayan perdido, en la privacidad
de su propio escritorio, sin tener que preocuparse de nada y sin la vergüenza de tener que decir a
alguien que han perdido un archivo una vez más. Eso es porque el servicio Instantáneas de volu-
men está diseñado para ayudar en el proceso de recuperación de versiones anteriores de archivo
sin tener que depender de respaldos. De esta manera, VSS es muy parecido a “revertir la elimi-
nación” de un servidor. En términos de administración de una máquina virtual, esta herramienta
es muy útil, porque protege a los archivos que integran cada máquina virtual y les da acceso
inmediato a ellos en caso de que ocurra un suceso indeseable.
Como opción predeterminada, Windows Server 2008 crea instantáneas dos veces al día: a las
7:00 a.m. y al mediodía. Este calendario puede cambiarse si no cumple con sus necesidades. Las
PARTE III
instantáneas no reemplazan a las copias de seguridad porque no se crean éstas últimas, de modo
que si ya no está disponible una instantánea, no se podrá usar. Eso se debe a que dependen de
un procedimiento de escritura hacia adelante. Cuando el disco escribe un nuevo archivo, en lugar
de reemplazar el existente, lo escribe en una nueva ubicación vacía. VSS crea un punto en la
ubicación original, y siempre y cuando no se sobrescriba esta ubicación original, VSS puede recu-
perar el archivo original. Como verá, VSS sólo trabaja bien si tiene una gran cantidad de espacio
libre en sus discos, pero no obstante es una buena solución y requiere muy poco trabajo adicional
para que se ejecute. Por tanto, debe implementarlo hasta donde sea posible.
SUGERENCIA Si está usando un almacenamiento adjunto de red (NAS, Network Attached Storage)
o una red de área de almacenamiento (SAN, Storage Area Network) para hospedar almacena-
miento compartido para sus almacenes de recursos, tal vez ya tenga una característica de instan-
tánea dentro del entorno de almacenamiento compartido. De ser así, dependa de la característica
integrada en lugar de VSS.
He aquí cómo implementarlo. VSS almacenará las instantáneas en E:, la unidad que ha con-
figurado para su sistema. Cuando esta unidad se llene, simplemente sobrescribirá las versiones
más antiguas de las instantáneas.
1. Prepare su servidor host. Éste ya tiene tres volúmenes diferentes. El primero, unidad C:, está re-
servado para el sistema operativo y el archivo de paginación. El segundo, unidad D:, es su unidad
de datos; será la que hospedará las unidades de disco duro de la máquina virtual y los archi-
vos de configuración. La tercera unidad, E:, está reservada para almacenar las instantáneas. Use
el comando DISKPART para crear y asignar los dos discos adicionales. DISKPART es una interfaz
de comando. Debe empezar por ingresar la interfaz y luego escribir comandos. Una vez que
haya terminado, puede salir de la interfaz de comandos. Use los comandos siguientes. Asegúrese
primero de adjuntar los discos a este servidor en su tecnología de almacenamiento compartido.
248 Parte III: Diseño de funciones de servidor
NOTA Tal vez primero tenga que reasignar la letra a la unidad de DVD para asignar apropia-
damente la unidad D: a un disco. Esto se releja en esta secuencia de comandos. Empieza por
seleccionar la unidad de DVD y reasignar su letra a Y:. Luego pasa a preparar los demás discos.
Esto supone que el disco 2 es la unidad D: y el disco 3 es la unidad E:. No asigna tamaños porque
el tamaño total del disco está formateado como opción predeterminada.
diskpart
list volume
select volume 2
assign letter=Y
list disk
select disk 2
create partition primary align=64
assign letter=D
format quick label=VMdata
select disk 3
create partition primary align=64
assign letter=E
format quick label=VSSdata
list disk
exit
2. Habilite el Servicio Instantáneas de volumen. VSS es una propiedad de un volumen de disco
en Windows Server. Debido a que se trata de una instalación de Server Core, necesitará la
línea de comandos para habilitarlo. Debe crear instantáneas de la unidad D: y almacenarla
en la unidad E:. Vea cuáles volúmenes existen, asigne la instantánea y luego cree su primera
instantánea. Use los siguientes comandos:
vssadmin list volumen
vssadmin AD shadowstorage /for=VolumenFor /on=VolumenOn
Donde VolumenFor es la unidad D: y VolumenOn es la unidad E:, la línea de comandos debe
tener este aspecto:
vssadmin AD shadowstorage /for=D: /on=E:
vssadmin create shadow /for=D:
3. Administre carpetas compartidas. Ahora VSS está habilitado, pero no necesita compartir nin-
guna carpeta para usarla. Esto se debe a que todos los servidores tienen recursos automáticos
compartidos para fines administrativos llamados letraunidad$. Por ejemplo, el recurso com-
partido administrativo de la unidad D: es \\nombreservidor\D$. Estas carpetas compartidas
pueden aprovechar automáticamente el servicio VSS.
4. Use el cliente Versiones anteriores para acceder a las instantáneas. Ésta es probablemente
la parte más fácil del proceso. Para ver versiones anteriores de un archivo o carpeta, abra el
Explorador de Windows en una máquina remota, conéctese al recurso compartido administra-
tivo, localice el archivo o, si ya no se encuentra, la carpeta en que se almacenó, haga clic con el
botón derecho en él para seleccionar Propiedades, vaya a la ficha Versiones anteriores, selec-
cione la versión que necesita, y haga clic en Restaurar. Cierre el cuadro de diálogo Propiedades
cuando termine. También puede copiar y comparar archivo (vea la figura 6-3).
5. Monitoree el uso de VSS para determinar si el calendario predeterminado es apropiado. Revise
la manera en que puede usar el servicio VSS en servidores hosts para ver si necesita modificar
Capítulo 6: Construya la infraestructura de red de Windows Server 2008 249
PARTE III
FIGURA 6-3 Acceso a versiones anteriores de máquinas virtuales.
el calendario predeterminado. Tal vez quiera más de dos copias al día. Mida lo que necesita y
modifique el calendario, de acuerdo con lo apropiado.
Eso es todo. Tal vez quiera agregar esto a su consola remota para administración de servidor
host. Empiece por instalar las herramientas administrativas de Hyper-V en PC administrativas
(lo ideal es que ejecuten Vista). A continuación, puede usar la consola Administración de equipos
para administrar remotamente el servicio Instantáneas de volumen en sus servidores de host. Ya
está listo para trabajar con sus ofrecimientos de servicios virtuales.
NOTA En esta etapa, debe construir una o dos máquinas de administración que ejecuten la insta-
lación completa de WS08 con la función Hyper-V. Estas máquinas la ayudarán en la adminis-
tración del almacén de recursos y la creación y coniguración de los ofrecimientos de servicios
virtuales. Este procedimiento se delinea en el capítulo 13.
• Servidores miembro Todos los otros servidores de la red caen en esta categoría. Entre éstos
se incluyen servidores de aplicación, de archivos e impresoras, Web, etcétera.
• Equipos personales Abarcan todas las estaciones de trabajo, incluidos los equipos portátiles.
En el caso de Windows Server 2008, le preocupará principalmente la construcción de las
primeras dos categorías, pero a pesar del hecho de que WS08 es un sistema operativo de servi-
dor, la implementación en su red también requiere algunas operaciones en la PC. Todo depende de
la estrategia de migración que elija. De hecho, necesita tomar algunas decisiones críticas antes de
que empiece la instalación de sus servidores en sus ofrecimientos de servicios virtuales.
Necesita elegir la manera en que migrará y, en especial, qué deberá migrar en primer lugar
antes de seguir adelante. Una vez que haya cubierto estas consideraciones, puede pasar a cons-
truir su red.
La respuesta a la primera pregunta influirá en gran medida en las decisiones que tome durante
su migración. Si necesita realizar nuevas instalaciones, simplemente actualice los servidores existentes,
porque será difícil diseñar un método de migración que no interrumpa las operaciones normales. Sin
embargo, hay métodos que podrían simplificar el proceso de migración. Por ejemplo, podría poner
en funcionamiento un nuevo servidor empleando una red separada, darle el nombre de un servidor
existente en su red y reemplazar el antiguo con el nuevo. Pero este método tiene algunos problemas.
Aunque el nuevo servidor tenga el mismo nombre, no se verá como el mismo equipo dentro de su
red porque WS08 no usa el nombre del equipo para comunicarse con un servidor e identificarlo. En
cambio, usa el identificador de seguridad (SID, Security ID), un número aleatorio de identidad que se
genera en la instalación. Este identificador nunca se duplicará en una red determinada y nunca será el
mismo entre dos equipos que estén instalados empleando uno de los cuatro métodos de instalación.
Hay algunas consideraciones, y habrán de tomarse en cuenta a medida que sigamos adelante.
Si quiere aprovechar WS08 para implementar una nueva red, el uso de nuevos principales y
una nueva arquitectura, debe considerar el método de red paralela. Es el método más seguro por-
que incluye el menor riesgo. Se concentra en la implementación de una nueva red paralela que
Capítulo 6: Construya la infraestructura de red de Windows Server 2008 251
Los servidores hosts centrales se forman a partir de nuevas adquisiciones
Se construye el núcleo de la nueva red con máquinas virtuales
Se activan los servicios de red centrales
Puesta en
funcionamiento
del servidor
A medida que los servicios Se vuelven a comisionar los
entran en línea, se dejan de servidores como servidores hosts
comisionar servidores y se agregan nuevas máquinas
específicos
Almacén de virtuales
migración
Los servidores se reconstruyen
como hosts, si es aplicable
La red heredada deja de comisionarse cuando todas las PC, todos los
usuarios y todos los servicios de red migran a Windows Server 2008
PARTE III
no toca o afecta el entorno existente. Las operaciones activas no se ven afectadas porque la red
existente no se elimina o modifica. El método de la red paralela se basa en la creación de nuevas
máquinas virtuales que se usan para crear un almacén de migración. Este almacén se convierte
en el núcleo de la nueva red. Luego, a medida que echa a funcionar los nuevos sistemas para re-
emplazar a los servicios existentes, recupera sus máquinas de la red existente o heredada y cam-
bia su función antes de agregarlas a la nueva red (vea la figura 6-4). Si la máquina tiene recursos
suficientes, puede convertirse en un host de servidor virtual y unirse al almacén de recursos.
La red paralela tiene varias ventajas. En primer lugar, proporciona un entorno continuo para
revertir al último estado correcto conocido. Si, por alguna razón, la nueva red no funciona de
manera apropiada, puede regresar rápidamente al entorno heredado porque aún estará funcio-
nando. A continuación, puede migrar grupos de usuarios y máquinas de acuerdo con su propio
cronograma. Debido a que la red existente aún se está ejecutando, puede tomar como destino
grupos específicos sin afectar a otros. Además, como la red existente aún se está ejecutando, pue-
de tomarse el tiempo para dominar por completo nuevas tecnologías y servicios antes de poner-
los en funcionamiento. Y, como los nuevos servicios están basados en máquinas virtuales, puede
probar y equivocarse hasta que operen exactamente de la manera que le gusta.
Sin embargo, tiene algunas desventajas. Implica más tiempo que hacer una actualización en
el lugar. Pero si quiere un mejor rendimiento por inversión al final de su proyecto, deberá to-
marse el tiempo para rediseñar su red para aprovechar por completo las nuevas características de
252 Parte III: Diseño de funciones de servidor
WS08. La red paralela es más difícil de vender en un proyecto de migración, pero tiene ventajas
que sobrepasan sus desventajas en la mayor parte de las situaciones. Debido a que está migrando
a ofrecimientos de servicios virtuales, la red paralela tiene sentido porque le permite dominar el
concepto de ofrecimientos de servicios virtuales antes de poner en funcionamiento los servicios.
En la tabla 6-2 se compara la actualización de la red paralela. El proceso de implementación
de la red paralela se delinea en el capítulo 12.
Inicio Final
Inicio Final
Migración de PC
Inicio Final
PARTE III
FIGURA 6-5 La regla de cálculo de la migración.
puede moverse de un lugar a otro en el cronograma del proyecto, permitiéndole empezar con el
proceso que se amolda mejor a su organización.
Si actualmente está ejecutando una red de Windows NT, migrar primero los servidores de
identidad significa implementar Servicios de dominio de Active Directory. Tendrá que asegurarse
de estar listo antes de dar este paso. ADDS es al Administrador de cuentas de seguridad de Win-
dows NT (SAM) lo que un equipo handheld es a una notebook con todas las funciones. Puede
hacer muchas cosas con la handheld, pero podrá hacer muchas cosas más con un equipo real. Y
si su experiencia es con una handheld, necesitará una gran cantidad de entrenamiento antes de
descubrir todo lo que puede hacer con la notebook.
Lo mismo se aplica a Servicios de dominio de Active Directory. Si está pasando de NT a
WS08, necesitará emprender una importante capacitación y tener una comprensión plena de
sus necesidades antes de que pueda implementar ADDS. Pero, en cualquier caso, hay ventajas
significativas en hacer primero la migración del servidor de identidad:
• Todas las versiones de Windows, a partir de 98, pueden participar en Active Directory, aunque
versiones más antiguas requieren la instalación de un paquete cliente.
• Los servidores miembros que ejecutan Windows NT y Windows 2000/2003 también funcionan
en una estructura ADDS de WS08.
• El número de máquinas requeridas para operar el entorno de identidad suele ser significativa-
mente menor que para los demás propósitos.
• Cada máquina a partir de Windows NT 4 debe unirse a una red de Windows. Este proceso de
unión debe realizarse cada vez que los servidores miembro o las PC se instalen, si habrán de
controlarse centralmente. Este proceso también es único para cada entorno de identidad. Si
migra primero el entorno de identidad, sólo necesitará unir las máquinas al nuevo entorno de
directorios una sola vez.
• Servicios de dominio de Active Directory es la base de una red de WS08. Tiene sentido echarlo
a funcionar primero. De esa manera, puede asegurar que habrá muy poca o ninguna “basura”
en su base de datos de directorios.
Cada una de estas justificaciones deben tomarse en cuenta antes de decidir.
NOTA Trate de elegir una instalación desde cero de ADDS, hasta donde sea posible. Aunque los
ADDS existen desde hace varios años, muchas organizaciones han tenido complicaciones con
ellos: directivas de grupo, estructuras de unidades organizativas (OU, Organizacional Units),
grupos duplicados o no usados, incluso desastres tras la replicación. La reconstrucción de todo el
directorio le permite poner en juego las últimas mejores prácticas para diseño de ADDS y limpiar
todos los datos contenidos dentro de su directorio.
NOTA Para conocer más información acerca de las certiicaciones de Logo de WS08, vaya a
www.microsoft.com/whdc/winlogo/downloads.mspx.
PARTE III
Aunque no tenga la escala de un proyecto de implementación de ADDS, la migración de los
servidores miembro también requerirán tiempo para la reflexión y la consideración. Por ejem-
plo, es más fácil migrar los servidores de archivo e impresión que los de aplicaciones, pero aun
aquéllos requerirán considerable preparación. Debido a que los servicios de archivo e impresión
están controlados mediante derechos de acceso, necesitará hacer un inventario completo de
todos los derechos de acceso si está reemplazando un servidor existente con uno nuevo. Incluso,
podría decidir que quiere tomarse el tiempo de redefinir los derechos de acceso a sus servicios
de archivo e impresión (realizar una limpieza) para asegurar que sus niveles de seguridad son
apropiados, sobre todo en relación con la información confidencial.
Sin importar lo que haga, tendrá que depender de algunas herramientas de migración para
que este proceso sea más suave. Estas herramientas de migración le permiten poner en funcio-
namiento un nuevo servidor de archivos, impresión, o ambos, duplicar la información y los datos
entre un servidor existente y el nuevo servidor, y luego migrar de manera remota los usuarios y
PC al nuevo servidor para que pueda quitar la comisión del sistema antiguo.
críticas del disco de su sistema. También, se permitía que las aplicaciones escribieran en WINNT
y WINNT\System32 y, por supuesto, en las carpetas Archivos de programa. Lo peor era que se
daba a los usuarios cierto acceso a la carpeta WINNT porque sus perfiles estaban almacenados
allí.
Microsoft cambió toda la infraestructura con Windows 2000/2003. Windows Server 2008
sigue basándose en esta nueva infraestructura y también incluye mejoras de Windows Vista. Las
aplicaciones no escriben en ninguna de estas carpetas. Cada archivo que debe modificarse mien-
tras un usuario está usando una aplicación se almacena ahora en el peril de usuario. Este perfil
está ahora localizado en la carpeta Usuarios. Los datos de aplicaciones están ahora en la carpeta
ProgramData. De esta manera, cualquier persona que dañe estos perfiles no afectará a nadie más
que use el sistema. Las carpetas Windows (WS08 instala en la carpeta Windows y no en WINNT)
y Archivos de programa están bloqueados y en modo de sólo lectura para las aplicaciones (vea
la figura 6-6), los mismos cambios se han incluido en el registro. Sólo las secciones de usuario
se modifican durante la operación de la aplicación. Si las aplicaciones no están diseñadas para
WS08, se le presentarán los indicadores de Control de cuentas de usuario a medida que la aplica-
ción trata de modificar áreas que se encuentran bajo su control.
Las aplicaciones comerciales que se modifican para usar esta nueva arquitectura también
suelen modificarse para aceptar todos los aspectos del programa Logo, de Microsoft. Los medios
que proporcionarán están integrados en el mecanismo de instalación basado en el servicio Ins-
talador de Windows y a menudo se corrigen a sí mismos. Las aplicaciones de usuario que no se
han modificado para trabajar con esta estructura simplemente no operarán apropiadamente en
Windows Server 2008, a menos que todos le den una cuenta con privilegios administrativos, algo
que ningún administrador de red debe permitir.
Si debe ejecutar aplicaciones heredadas en Windows Server 2008, deberá ejecutarlas en
modo de compatibilidad. WS08 incluye el Asistente para compatibilidad de programas, que
vigila a las aplicaciones que no se comportan apropiadamente y proporciona información sobre
los modos de compatibilidad que debe usar para la aplicación. O, peor aún, no podrá ejecutar
la aplicación en modo compatible y tendrá que cambiar el registro y los derechos de acceso de
archivo para que se ejecuten. Aunque esto sería aceptable para aplicaciones que están orientadas
a usuarios, es totalmente inaceptable para aplicaciones que están diseñadas para soportar su en-
torno de red. Productos como administradores de cuota, copias de seguridad, antivirus y software
de monitoreo de terceros deben estar certificados por Logo.
El mejor método consiste en tener aplicaciones de usuario que sean compatibles con la es-
trategia de seguridad en WS08, de modo que no necesite comprometer la seguridad de ninguna
manera. Cualquier cosa que haga, necesita sentarse y examinar cada una de sus aplicaciones para
asegurar que todas y cada una de ellas esté probada usando una cuenta que sólo tiene privilegios
de usuario estándar. Esto evitará cualquier sorpresa desagradable durante la implementación.
Como debe probar todas las aplicaciones, podría pensar en volver a empaquetar sus instala-
ciones para que sean compatibles con el servicio Instalador de Windows. Esta operación propor-
ciona automáticamente capacidades de autocorrección para todas las aplicaciones, sin mencionar
que cualquier aplicación que use dicho servicio también podrá desplegarse mediante Active
Directory. En el capítulo 7 se cubrirá más sobre esto. Las aplicaciones comerciales y corporativas
necesitarán tratarse como subproyectos durante su migración. Una vez más, puede usar la red
paralela para instalar nuevos servidores de aplicaciones y luego migrar sus servidores miembro a
esos nuevos servidores. Necesitará planear con cuidado cada migración de servicio. Microsoft Ex-
Capítulo 6: Construya la infraestructura de red de Windows Server 2008 257
change, por ejemplo, proporciona un servicio de correo electrónico centralizado que no se migra
fácilmente y que es difícil atender mediante una simple actualización de software. Lo mismo es
cierto para las aplicaciones de línea de negocios. El efecto de la migración de una versión de una
aplicación de uso amplio a otra siempre es importante y debe administrarse.
SUGERENCIA Para conocer información sobre la manera de administrar los proyectos de migra-
ción de operaciones bajo el nuevo modelo de seguridad de Vista, lea la Definitive Guide to Vista
PARTE III
Migration (Guía deinitiva de la migración de Vista) de Ruest y Ruest, publicada por Realtime
Publishers, y disponible en www.realtime-nexus.com/dgvm.htm.
Dadas estas consideraciones, es más probable que deba migrar primero los servidores miem-
bro. Pero si lo hace, deberá usar un cronograma (vea la figura 6-7). Puede empezar la migración
de cualquier tipo de servidor cada vez que quiera, pero necesitará un subproyecto para cada tipo
de servidor. Tal vez decida empezar con aplicaciones corporativas, porque, como puede ver, ne-
cesitará tiempo para convertir aplicaciones existentes antes de que se realice la migración y, para
ello, necesita poner en funcionamiento servidores de desarrollo.
Inicio Final
Servidores de archivos
e impresión
Inicio Final
Cronograma de migración
servidores, probablemente querrá actualizarlos para tomar en cuenta las modificaciones debidas a
Windows Server 2008. Si está usando métodos estándar de documentación del servidor, ahora es
buen momento para iniciar.
Consideraciones de seguridad
La hoja de datos del servidor también será útil en el soporte de sus esfuerzos para construir una
red segura. Uno de los primeros principios de las implementaciones de seguridad es “¡Conozca
sus servidores!”. Demasiadas personas tienen servidores que no son seguros, simplemente por-
que no saben lo que hay instalado en ellos. Además, asegúrese de que sólo instala exactamente
lo que necesita en el servidor. Si un servicio no es requerido por una función del servidor, enton-
ces manténgalo fuera de él. Un servicio que no está instalado es mucho más seguro que uno que
simplemente está deshabilitado.
FIGURA 6-8
Cuadro de diálogo
Sistema de eventos
COM+ Propiedades.
PARTE III
Una vez más, use la hoja de datos del servidor para detallar cada servicio y su función. Win-
dows Server 2008 ofrece una característica más útil (originalmente de Windows 2000/2003) que
es la capacidad de desplegar las dependencias de un servicio (vea la figura 6-8). Puede identificar
cuándo se requiere un servicio simplemente para dar soporte a otro. Para ver la información,
despliegue las propiedades de cualquier servicio empleando la Consola de administración de
Microsoft (MMC, Microsoft Management Console) del Administrador del servidor.
Además, puede exportar la lista de servicios para completar su documentación. Esta lista se
exporta en formato delimitado por comas o tabuladores y puede verse y manipularse con herra-
mientas como Microsoft Excel. Es una excelente idea completar su documentación en la hoja de
datos del servidor con la lista de servicios exportados.
en su red. Si lo hace, podrá agregarlo como parte de los servicios de infraestructura de red que
implemente en la nueva red.
PARTE III
Servidores Web dedi- X Los servidores Web dedicados, debido a su propia naturaleza, son adecuados para las
cados arquitecturas de 32 bits. Si se necesitan más recursos, sólo agregue otro servidor.
Sin embargo, si tiene miles de conexiones con sus servidores, entonces considere
hardware de 64 bits. Debido a que tienen acceso a más RAM, los servidores x64
pueden manejar muchas conexiones TCP/IP más.
Servidores de colabo- X Los servidores de colaboración son ideales para hardware de 64 bits porque ejecutan
ración procesos que requieren gran cantidad de memoria.
Servidores de seguri- X X Estos servidores necesitan coincidir con la arquitectura de servidor que habrán de
dad contra fallas reemplazar.
TABLA 6-3 Comparación entre aspectos de hardware de 32 o 64 bits por función del servidor
SUGERENCIA Monitoree estos hosts “de una sola máquina virtual” para determinar el uso de los
recursos. Si éstos están disponibles, agregue nuevos ofrecimientos de servicios virtuales a estos
hosts.
Muy bien: ¿cómo aplicará las recomendaciones de la tabla 6-4? La mejor manera consiste
en revisar los siguientes pasos. Está a punto de generar su nueva red paralela. Cada uno de los
servidores de esta red necesitará asignaciones de una máquina virtual única, compartida o física.
En la tabla 6-5 se presenta una lista de cuál debe ser cuál. Otras funciones se cubrirán en tablas
similares en cada uno de los siguientes capítulos. Los datos de la tabla 6-5 siguen las recomenda-
ciones para generación de bosques y ubicación de servidores delineadas en el capítulo 5. Sólo se
identifican aquí los servidores suficientes para sembrar la red.
Debido a que todas las máquinas son virtuales, excepto para los propios hosts, no hay ne-
cesidad de indicar en su nombre si son únicas o compartidas. Recuerde que los usuarios verán
el nombre del servidor, de modo que use nomenclatura estándar. Sin embargo, puede agregar la
información en la descripción de un servidor para que los administradores sepan rápidamente en
cuál modo se está ejecutando una máquina.
262 Parte III: Diseño de funciones de servidor
PARTE III
partida en un host separado.
TABLA 6-5 Recomendaciones para máquina compartida y única de una red paralela
PARTE III
DNS existentes de WS08 Servicio de catálogo global
Para toda la resolución de nombres en todos
los DC
Segunda instalación de servidor
Instalación del primer servidor Instalación y configuración del
Instalación y configuración del servidor servidor
bosque de producción
de operaciones
Servidores de
Los detalles de cada procedimiento se delinean en este capítulo. Siguen los pasos delineados
en el plano de la red paralela (vea la figura 6-9). Si, por otra parte, simplemente necesita actuali-
zar su bosque existente de Windows 2000/2003 a WS08, puede usar el procedimiento del final del
266 Parte III: Diseño de funciones de servidor
capítulo. Es todavía una buena idea, sin embargo, revisar el contenido del proceso de creación de
la red paralela para asegurar que el bosque actualizado usa los conceptos y las características más
recientes de WS08.
FIGURA 6-10
Funciones del servidor
de infraestructura de
Servidores de seguridad contra fallas
red de ofrecimiento de
servicios virtual.
Servidores de Servidores de
infraestructura de red administración de identidad
Servidores de Servidores de
infraestructura de red administración de identidad
Servidores de infraestructura de red de ofrecimiento de servicios virtual
Capítulo 6: Construya la infraestructura de red de Windows Server 2008 267
producción con los controladores de dominio del dominio raíz. Entre éstos se incluyen problemas
de seguridad y de configuración. Si es posible, mantenga estas funciones en diferentes servidores
virtuales. El costo no debe ser una objeción, porque estos equipos son virtuales.
NOTA No debe terminar con una gran cantidad de equipos, pero se trata de funciones importantes
en la red y deben dedicarse a servidores especiales.
Todos los servidores de red paralela deben ponerse en funcionamiento con un kernel de
servidor actualizado, de acuerdo con las prácticas de puesta en funcionamiento delineadas en
el capítulo 4. Debido a que se trata de máquinas virtuales, esto significa copiar el origen creado
con Sysprep y luego personalizarlo. Asigne cada máquina al host apropiado, como aparece en la
lista de la tabla 6-5. Empiece cada servidor con un solo procesador y 512 MB de RAM. Monitoree
su avance y luego ajuste la RAM de acuerdo con lo necesario. Una vez que esté preparado, cada
servidor debe tener revisiones estrictas de control de calidad para asegurar que esté listo para
producción. Estas revisiones deben asegurar que todo se ejecuta adecuadamente en el servidor.
Si tiene varios sitios grandes dentro de su organización, tal vez sea mejor que separe física-
mente cada función de servidor doble, colocando un servidor para cada función en cada uno de
los dos sitios físicos. Esto proporciona redundancia de red y crea una copia de seguridad automá-
PARTE III
tica de servicio en caso de desastres. Éste es el método que se usa aquí. Debido a que las máqui-
nas son virtuales, con el tiempo podrá replicar su contenido de un sitio a otro, lo que le permite
mantener siempre una copia completa de la infraestructura dentro de cada sitio.
También necesitará tener documentación preparada antes de seguir adelante con la im-
plementación de la red. Lo más probable es que el diseño existente de su infraestructura IP sea
adecuado para la implementación de la red paralela. Sin embargo, necesitará cambiar todas las
direcciones IP, porque las redes nueva y antigua necesitarán coexistir por algún tiempo. También
necesitará implementar IPv6 en esta red. Debe tener esta información a la mano antes de seguir
adelante con la creación de la red.
Además, también necesitará su plan de Servicios de dominio de Active Directory. Para esto, debe
haber realizado el ejercicio de planeación delineado en el capítulo 5. Este plan servirá como mapa de
directorios para que lo siga durante la implementación del Active Directory de WS08. Con estos docu-
mentos a la mano, puede preparar la red paralela. Recuerde que todo se hace primero en el laborato-
rio. Aquí puede documentar de manera específica cada paso que se necesite para la creación real de la
red empresarial de producción. Cuanta más documentación tenga, menos probable será que cometa
errores cuando cree la nueva red. Ésta no es una etapa en que se permitan errores.
SUGERENCIA Debido a que las máquinas que crea durante el laboratorio de pruebas son virtua-
les, en realidad puede crear su ofrecimiento de servicios virtual completo en el laboratorio y
luego copiarlo (o simplemente conectarlo) a producción una vez que esté listo para ponerlo en
funcionamiento. Además, debido a que las máquinas son virtuales, puede simplemente corregir
cualquier máquina que no sea prístina y empezar el proceso una vez más con gran facilidad. No
coloque las máquinas en producción hasta que esté completamente feliz con los resultados.
Una vez que esté funcionando su red paralela, podrá crear una relación de confianza entre
el nuevo dominio de producción y sus dominios heredados. Esta relación de confianza durará el
268 Parte III: Diseño de funciones de servidor
FIGURA 6-11
Uso de una red paralela para Red paralela
migrar datos entre bosques.
Dominio raíz
Las cuentas de bosque
protegido
migran “cuando
Dominio es necesario”
heredado
Confianza
de dos vías Dominio de
producción
secundario
global
tiempo que tarde la migración en proporcionar servicios en todos los bosques a todos los usua-
rios. Luego puede migrar usuarios, equipos y servicios a voluntad usando ADMT o una herra-
mienta comercial de migración (vea la figura 6-11). Esto será su primer paso hacia el ofrecimiento
de servicios virtual y una administración más fácil de servicios.
Empecemos con la primera etapa: la implementación de Active Directory en producción.
Deben realizarse tareas adicionales durante la creación de estos servidores. Debido a que el
primer DC es el primer servidor en la red paralela, debe hospedar unas cuantas funciones adicio-
nales. Entre éstas se incluyen:
• Hospedaje del servicio de hora Tal vez necesite que toda su red esté sincronizada con una
fuente de hora externa, como un reloj atómico. No importa si lo necesita o no, debe asegurar-
se de que la sincronización de la hora esté implementada en su red. Ésta es esencial, porque
Kerberos, el protocolo de autentificación preferido de Windows Server 2008, es sensible a la
hora. En ADDS, toda la sincronización de hora se realiza a través de vínculos con el Emulador
Capítulo 6: Construya la infraestructura de red de Windows Server 2008 269
de PDC del dominio al que pertenece en cada sistema de miembros. Al vincular del primer
Emulador de PDC del bosque con un origen de tiempo seguro se vincularán automáticamente
todos los demás emuladores PDC de los dominios secundarios.
• Administración de alertas Si depende de una comunidad de administración de alertas
para administración de servidores, entonces también debe configurarse en este servidor. Tam-
bién será necesaria la resolución de nombres. El primer DC de una red necesita un servidor
DNS para funcionar apropiadamente. Podría usar un servidor DNS existente para este fin,
pero Windows Server 2008 tiene requisitos especiales para el servicio DNS. Si decide usar un
servidor DNS diferente del de WS08, este servidor debe soportar los siguientes criterios:
• Los servidores DNS del dominio de nombres de Internet de Berkeley (BIND, Berkeley
Internet Name Domain) deben ejecutar la versión 8.1.2 o posterior del software BIND para
cumplir con los requisitos para el soporte a Active Directory.
• La zona DNS debe permitir actualizaciones dinámicas (RFC 2136).
• El servidor DNS que hospeda esa zona debe dar soporte al registro de recursos de ubica-
ción de servicios (SRV) (RFC 2782) para anunciar el servicio de directorios.
• Nuestra recomendación Si hay problemas (por lo general políticos) y no puede mover
servicios DNS existentes a WS08, entonces trate de crear un equilibrio. Use DNS de WS08
para el bosque de AD y todos sus objetos y use el otro servicio DNS para hospedar servicios
PARTE III
DNS tradicionales. Incluya reenvíos en sus servidores DNS de WS08 para realizar resolución
de nombres de objetos que no son de AD a través de sus servidores DNS heredados.
Si no hay problemas, políticos o de otra forma, use el servicio DNS de WS08 para todas las
resoluciones de nombre. WS08 usa el directorio para operaciones DNS, así que los servicios DNS
están disponibles automáticamente para todos los objetos que sean parte del dominio. Para ob-
jetos que no son parte del dominio, simplemente diríjalos a uno o ambos servidores de dominio
DNS raíz del bosque. El servicio DNS de WS08 incluye características adicionales:
• Carga de zona en segundo plano Las zonas DNS se cargan en segundo plano cuando
inicia el servidor, dejándole responder más rápidamente a las solicitudes.
• Compatibilidad con IPv6 DNS permite el formato de dirección larga de IPv6, además de
su soporte original a todo IPv4.
• Soporte a RODC DNS da soporte a las transferencias de zona primaria de sólo lectura para
controladores de dominio de sólo lectura.
• Nombres globales únicos Estas zonas de nombre de etiqueta único eliminan la necesidad
de servicios heredados, como el sistema de nombres de Internet de Windows (WINS, Windo-
ws Internet Naming System).
Estas características proporcionan justificación adicional para depender del servicio DNS de
Windows en redes de Windows.
También necesitará identificar si la resolución de clientes se realizará a través de sugerencias
de raíz o agentes de reenvío. Esto definirá el mecanismo de resolución de nombre de los clientes.
Como opción predeterminada, todos los servidores DNS de WS08 incluyen sugerencias de raíz, de
modo que puede orientarse a mantener la opción predeterminada y usar sugerencias de raíz, si es
posible.
Una de las operaciones críticas permitidas por DNS es el proceso de inicio de sesión. Cuan-
do un usuario inicia sesión desde un cliente Windows 2000/XP/Vista, el servicio NetLogon reúne
la información de inicio de sesión requerida para el dominio al que el usuario está tratando de
270 Parte III: Diseño de funciones de servidor
conectarse y envía una consulta DNS a sus servidores DNS configurados. Esta consulta incluye
las siguientes características:
• Tipo de consulta SRV (registro de recursos de localizador de servicio)
• Nombre de característica _ldap._tcp.nombre_dominio
El servidor DNS responde con el nombre del controlador de dominio más cercano a la ubi-
cación del cliente dentro de la estructura del sitio ADDS. La solicitud de inicio de sesión se envía
al DC, y si el nombre de usuario y la contraseña son válidos para ese dominio, el usuario inicia
sesión en el dominio (vea la figura 6-12).
Cuando WS08 almacena zonas DNS dentro de Active Directory, simplifica la replicación
y afirma la seguridad de estos registros. La seguridad es importante aquí, porque los sistemas
Windows 2000/XP/2003/Vista que usan DHCP también usarán la característica dinámica del
servicio DNS para actualizar sus propios registros dentro de él. Si su red incluye objetos que no
son de Windows y que requieren resolución de nombre, necesitará ingresar nombres canónicos
estáticos para esos objetos dentro de su servidor DNS de WS08, a menos, por supuesto, que
sus direcciones IP se asignen a través del servidor DHCP de Windows. Por último, cuando el
servicio DNS está integrado con el directorio, WS08 ya no requiere el uso de zonas secundarias
para proporcionar información de un dominio DNS a otro. WS08 usa particiones de datos de
aplicación como particiones de replicación que pueden abarcar varios dominios para asegurar
que sus datos estarán disponibles para todos dentro del bosque, en la ubicación correcta de la
estructura del bosque. Estas particiones se crean automáticamente cuando integra DNS con
Active Directory.
Por esto, el servicio DNS debe acoplarse con el servicio DC en Windows Server 2008. Esto
asegurará que el servicio de resolución de nombres siempre esté disponible en el mismo lugar
que el controlador de dominio y el servicio de inicio de sesión. También asegurará que las zonas
DNS estén aseguradas y se repitan a través del mecanismo de replicación de directorios. Éste es
el método recomendado y se usa en todo el libro.
FIGURA 6-12
Proceso de inicio de
Proceso de inicio de sesión de WS08
sesión de WS08.
PARTE III
Instalar y asignar nombre al segundo servidor del dominio raíz del bosque. Este
servidor puede ser un miembro del dominio raíz del bosque
Promover el segundo servidor a ADDS dentro del dominio raíz del bosque
Instalar y configurar el servicio DNS
Transferir las funciones de Maestro de operaciones a este servidor
Verificar que el dominio esté operando apropiadamente
Instalar y asignar nombre a los otros tres servidores para la operación central de la red
paralela. Instalar cada servidor como miembro del dominio de producción.
Promover cada uno de los servidores a ADDS dentro del dominio de
producción
Instalar y configurar el servicio DNS
Actualizar la delegación de DNS
Transferir las funciones de Maestro de operaciones de acuerdo con lo
necesario
Creación de la infraestructura de IP
Proceder a la configuración de los servidores de infraestructura de red.
SUGERENCIA Recuerde que el bosque de host tiene el nombre TandT.ws y su nombre de nivel infe-
rior TANDTWS para evitar conlictos de nombre con este nuevo bosque de producción.
PARTE III
FIGURA 6-14 Adición de la función ADDS.
SUGERENCIA No es necesario que acceda a los medios de instalación para WS08 con el in de
agregar cualquier función o característica. WS08 guarda en la caché local automáticamente los
archivos binarios de todas las funciones y características durante la instalación. Esto facilita la
adición o eliminación de funciones y características, aun en el modo desconectado. Estos binarios
se actualizan automáticamente en el caso de actualizaciones de seguridad de paquetes de servicio.
6. A continuación, haga clic en la nueva función ADDS en el Administrador del servidor. Obser-
ve la información desplegada en la parte superior del panel de detalles. Haga clic en el vínculo
proporcionado para empezar la promoción del controlador de dominio. Como opción, podría
usar el mismo procedimiento que con el bosque de utilerías usado antes. Esto lanza el Asis-
tente para la instalación de los Servicios de dominio de Active Directory. Asegúrese de selec-
cionar Modo avanzado y luego haga clic en Siguiente. Esto asegura que tendrá la oportunidad
de controlar todas las opciones de este bosque.
7. Seleccione Crear un dominio nuevo en un bosque nuevo y luego haga clic en Siguiente.
8. Ingrese el nombre completo de DNS para el nuevo dominio raíz del bosque. Haga clic en
Siguiente.
9. El asistente verificará el nombre de NetBIOS del bosque. Verifique el nombre de NetBIOS y
haga clic en Siguiente.
10. Elija el nivel funcional del bosque (en este caso, Windows Server 2008) y haga clic en Siguien-
te. Entonces el sistema examinará la configuración DNS.
11. Elija opciones adicionales para este controlador de dominio. Asegúrese de seleccionar Ser-
vidor DNS, y haga clic en Siguiente. Observe que el Catálogo global está seleccionado como
274 Parte III: Diseño de funciones de servidor
opción predeterminada, porque es el primer DC del bosque, y que RODC no está disponible
porque iniciará por lo menos con un DC de escritura-lectura en cualquier bosque.
12. Si obtiene un mensaje de error relacionado con la delegación, haga clic en Sí. Puede crear más
adelante una delegación manual. Las delegaciones hacen que esta zona pueda autorizar los
registros que contiene.
13. Seleccione la ubicación de la base de datos y registro carpetas y la carpeta SYSVOL (carpeta
de replicación) y luego haga clic en Siguiente. Debido a que este dominio no contiene muchos
datos, la base de datos y los registros pueden residir en el mismo disco.
14. Asigne la contraseña del administrador del modo de restauración de servicios de directorio,
y luego haga clic en Siguiente. Esta contraseña es extremadamente importante, porque es la
usada para realizar restauraciones autorizadas o restauraciones que sobrescriben información
del directorio existente durante la recuperación del sistema. Guárdela con cuidado.
15. El servicio de promoción de DNS desplegará sus opciones. Revíselas con cuidado y, cuando
esté listo para seguir adelante, haga clic en Siguiente. Si ve errores en sus elecciones, use el
Sugerencia rápida
Si planea usar IPv6 (y así debe ser porque las redes WS08 dependen de este nuevo protocolo
de comunicaciones) necesitará obtener el alcance de direcciones IPv6, de su proveedor de
Internet o para uso propio. IPv6 está habilitado y configurado como opción predeterminada
en todas las instalaciones de Windows Vista. Pero esta configuración se establece para obtener
una dirección automática mediante DHCPv6. Si no hay disponible un servidor DHCPv6,
usará una dirección de vínculo local con el prefijo de dirección predeterminado fe80::/64. Las
direcciones de vínculos locales sólo se usan para alcanzar nodos del entorno y no se registran
en DNS. La conectividad IPv6 más útil debe configurarse manualmente o a través de un ser-
vidor DHCPv6. Las direcciones de alcance de IPv6 pueden obtenerse de registros de Internet
regionales (RIR). Los RIR más comunes son:
• American Registry for Internet Numbers (ARIN) para Estados Unidos (www.arin.net).
• RIPE Network Coordination Centre (RIP NCC) para Europa, Oriente Medio y Asia
Central (www.ripe.net).
• Asia-Pacific Network Information Centre (APNIC) para la región de Asia y el Pacífico
(www.apnic.net).
• Latin American and Caribbean Internet Address Registry (LACNIC) para la región de
América Latina y el Caribe (www.lacnic.net).
• African Network Information Centre (AfriNIC) para África (www.afrinic.net).
Una vez que obtenga su alcance, puede usarlo para configurar sus servidores. La configu-
ración de los valores de IPv6 es similar a la de IPv4. Necesita configurar los siguientes valores:
• Dirección de transmisión única de IPv6.
• Longitud de prefijo de subred (como opción predeterminada, es 64).
• Puerta de enlace predeterminada (una vez más en formato de transmisión única de IPv6).
• DNS preferido (una vez más, una dirección de transmisión única).
• Servidor DNS alterno.
Puede usar la configuración avanzada para agregar varias direcciones IPv6 o servidores
DNS adicionales. No hay servidores WINS para IPv6 porque no usa nombres NetBIOS.
Capítulo 6: Construya la infraestructura de red de Windows Server 2008 275
botón Atrás para corregirlos. Al hacer clic en Siguiente se lanza el Asistente para instalación de
Active Directory. Realizará una serie de tareas, incluida la replicación de parámetros de seguri-
dad en los discos del servidor, y lanzará el proceso de instalación de DNS. Seleccione la casilla
de verificación Reiniciar al completar. Esto asegurará que los servicios se inicien y estén listos
para operar una vez que se cree una copia de seguridad del sistema.
El proceso de instalación de Active Directory se completa una vez que se instala el servidor
DNS. Proceda a la finalización del proceso de creación del primer servidor de la manera siguiente.
PARTE III
1. Localice y expanda el elemento Funciones, en el panel de la izquierda de la consola.
2. Localice y expanda el elemento Servidor DNS en el panel de la izquierda.
3. Expanda el elemento DNS en el panel de la izquierda. Luego haga clic en el nombre del servidor.
4. Empiece con los parámetros de caducidad/borrado. Para ello, haga clic con el botón derecho
en el nombre del servidor y seleccione Establecer caducidad/borrado para todas las zonas, del
menú contextual.
5. Seleccione Borrar registros de los recursos obsoletos, para habilitar la función. Acepte el inter-
valo predeterminado de actualización (siete días) y haga clic en Aceptar. Esto asegurará que su
base de datos DNS no contenga datos obsoletos.
6. También le dará la oportunidad de establecer el modo de borrado para todas las zonas futuras
integradas de Active Directory. Asegúrese de seleccionar Aplicar esta configuración a las zonas
integradas de Active Directory existentes, y luego haga clic en Aceptar.
7. A continuación, verifique las particiones de aplicaciones de la información DNS del bosque
y el dominio raíz. Windows Server 2008 separa la información de DNS del bosque de la del
dominio raíz. Automáticamente establece el alcance de la partición de la aplicación para cada
conjunto de datos de DNS. Las particiones de aplicaciones son de replicación especial que
pueden almacenar cualquier información que no está relacionada con los principales de segu-
ridad. Estas particiones están compuestas por un conjunto de direcciones IP o nombres DNS
que definen el alcance de la partición de aplicaciones. El empleo de una partición de aplicacio-
nes para almacenar información DNS le evita tener que crear copias de zonas DNS dentro de
dominios secundarios como zonas DNS secundarias de sólo lectura. Esto confirma que toda
la replicación DNS estará asegurada y controlada mediante los Servicios de dominio de Active
Directory (vea la figura 6-15).
8. Para verificar que se han creado las particiones de aplicaciones apropiadas para los datos DNS,
haga clic con el botón derecho en cada nombre de zona de búsqueda directa y seleccione Pro-
piedades, del menú contextual. WS08 incluye una sección Replicación, bajo la sección de Tipo,
276 Parte III: Diseño de funciones de servidor
de la ficha General de las propiedades de zona. Esta sección Replicación controla el alcance de
la partición de aplicaciones. WS08 establece automáticamente los datos de DNS del bosque
(_msdcs.nombrebosque) para usar una partición de aplicaciones de todo el bosque. Establece
datos específicos del dominio para usar una partición de aplicaciones sólo del dominio. Veri-
fique que sea el caso y cierre el cuadro de diálogo cuando haya terminado.
9. A continuación, seleccione la zona nombrebosque y verifique que sólo se está replicando en el
dominio raíz.
10. Por último, configure su zona de búsqueda inversa. Para ello, haga clic con el botón derecho
en el elemento Zonas de búsqueda inversa en el panel de la izquierda y seleccione Zona
nueva. Esto lanza el Asistente para crear zona nueva. Haga clic en Siguiente para empezar el
proceso de creación de la zona.
11. Seleccione el tipo de zona (en este caso, una zona principal) y asegúrese de seleccionar Alma-
cenar la zona en Active Directory. Haga clic en Siguiente.
12. Defina la partición de aplicaciones para la replicación de datos de zona. Debido a que se trata
de información específica del dominio, seleccione Para todos los servidores DNS en este bos-
que (vea la figura 6-16). Haga clic en Siguiente.
13. Seleccione si se trata de una zona IPv4 o IPv6 y haga clic en Siguiente.
14. Identifique los parámetros para la zona de búsqueda inversa que desee crear y haga clic en
Siguiente.
SUGERENCIA Para que el Asistente para crear zona nueva proporcione automáticamente el nombre
de la zona inversa, seleccione Id de red y escriba la dirección de red de la zona (por ejemplo,
192.168.1). El Asistente para crear zona nueva proporcionará automáticamente el valor para la
zona de búsqueda inversa, aunque no esté seleccionada. Para limpiar el cuadro Id de red, seleccio-
ne la opción Nombre de la zona de búsqueda inversa.
15. A continuación, seleccione Permitir sólo actualizaciones dinámicas seguras y luego haga clic
en Siguiente. Haga clic en Finalizar para crear la zona.
Es todo; su servidor DNS está listo. Puede pasar a la siguiente etapa.
FIGURA 6-15
ADDS separa los datos de DNS
de todo el bosque de los datos
especíicos del dominio.
Capítulo 6: Construya la infraestructura de red de Windows Server 2008 277
PARTE III
NOTA Al igual que Windows Vista, WS08 también es compatible con el protocolo de resolución de
nombre de igual a igual (PNRP, Peer Name Resolution Protocol). Se trata de una característica
que puede agregar a sus servidores DNS. Para conocer más información, vaya a http://technet.
microsoft.com/en-ca/library/bb726971.aspx.
Esto establecerá el primer DC para que sincronice la hora con el sistema de origen incluido.
Recuerde que para esto necesitará tener abierto el puerto activo (123) del protocolo de datagra-
ma de usuario (UDP, User Datagram Protocol) en su firewall para permitir tráfico de protocolo
simple de hora de red (SNTP, Simple Network Time Protocol).
PRECAUCIÓN Será necesario que reestablezca este valor cada vez que mueva la función Emulador
de PDC de este DC a otro.
5. Por último, seleccione la ficha Seguridad y establezca los nombres aceptados de comuni-
dad. Agregue la comunidad de su organización en modo de sólo lectura. Seleccione Aceptar
paquetes SNMP de estos hosts y agregue los nombres de hosts válidos. Haga clic en Aceptar
cuando termine.
Aquí va. El primer servidor de su red ya casi está listo. Es necesario realizar una operación
final.
PARTE III
menos mediante el servicio proxy, si no es que de máquinas que usan una MAK, mientras que las
VAK nunca requieren acceso al sitio Web de activación de Microsoft.
Si está usando MAK, entonces no necesita un servidor KMS. Si está usando VAK, entonces
necesita instalarlo.
Si decide usar servidores KMS, entonces configúrelo en este servidor. Para conocer instruc-
ciones sobre la manera de configurar el servidor KMS, vaya a http://technet.microsoft.com/en-us/
windowsvista/bb335280.aspx. Para conocer más información acerca de la activación por volumen
en general, vaya a www.microsoft.com/licensing/resources/vol/default.mspx.
tivas se delinean en el capítulo 10, que cubre seguridad. Asegúrese de revisar estos parámetros y
modificar los que parezcan apropiados para su entorno.
Una vez que esto quede completo, su primer servidor estará listo. Asegúrese de que verifica
cada aspecto de la configuración de este servidor antes de seguir adelante. Luego estará listo para
pasar a la creación del segundo controlador de dominio para el dominio de raíz de bosque.
Promoción de DC
A continuación, instale los archivos binarios de ADDS y promueva este servidor a controlador de
dominio. Use el mismo procedimiento que con el primer controlador de dominio en el dominio
raíz del bosque, con las siguientes variaciones:
1. En la primera pantalla del Asistente para la instalación de los Servicios de dominio de Active
Directory, seleccione Bosque existente y luego Agregar un controlador de dominio a un domi-
nio existente. Haga clic en Siguiente.
2. Escriba el nombre del dominio raíz, seleccione Credenciales alternativas y luego haga clic en
Establecer.
3. Escriba las credenciales apropiadas para crear el DC en el dominio existente. Esta cuenta debe ser
miembro de un grupo Administradores empresariales. Haga clic en Aceptar y luego en Siguiente.
4. A continuación, seleccione el dominio al que se habrá de unir y haga clic en Siguiente.
5. Seleccione un sitio para el nuevo dominio. Seleccione el nombre predeterminado del primer
sitio, por ahora. Haga clic en Siguiente.
6. Si aún no están seleccionados, seleccione Servidor DNS y Catálogo global. No seleccione
RODC. Haga clic en Siguiente y luego en Sí como respuesta al mensaje de delegación.
7. Debido a que está en la misma red, seleccione Replicar datos en la red desde un DC existente,
y haga clic en Siguiente.
Capítulo 6: Construya la infraestructura de red de Windows Server 2008 281
NOTA El cuadro de diálogo de resumen le permite exportar estos datos a un archivo de respuesta
para permitir la automatización del proceso cuando tenga que agregar una gran cantidad de servi-
dores a los controladores de dominio.
PARTE III
mensajes se reciben y envían a las fuentes apropiadas. Esto creará un SNMP y una configuración
de administración de alertas seguros.
puede usar las consolas. Es más fácil y se familiarizará con el contenido de ADDS. Empiece con
el Maestro de nombre de dominio.
1. Abra la consola Dominios y confianzas de Active Directory en el segundo DC. Puede encon-
trarse en Herramientas administrativas.
2. Haga clic con el botón derecho en Dominios y confianzas de Active Directory, justo arriba del
nombre del dominio, y seleccione Maestro de operaciones del menú contextual.
3. Haga clic en Cambiar, para mover la función a este servidor, y luego en Sí. Haga clic en Acep-
tar cuando esté terminada la transferencia de la función. Haga clic en Cerrar cuando haya
terminado. Cierre esta consola.
4. A continuación, vaya a Usuarios y equipos de Active Directory en la sección Funciones, del
Administrador del servidor, localizado bajo ADDS.
5. Haga clic con el botón derecho en el nombre del dominio, y seleccione Maestro de operacio-
nes del menú contextual.
6. Seleccione la ficha Infraestructura, y haga clic en Cambiar, para mover la función a este DC.
7. Haga clic en Sí como repuesta a la advertencia de seguridad. Haga clic en Aceptar y luego en
Cerrar cuando la operación esté completa.
Es adecuado transferir esta función a este Catálogo global porque se trata de un dominio
pequeño. La operación está completa. Ahora se ha creado y configurado su segundo DC. Rea-
lice una revisión de calidad para asegurarse de que todo esté operando normalmente dentro de
ambos DC. Una vez que todo ha pasado el control de calidad, proceda a la creación del dominio
de producción secundario global.
NOTA Si decidió usar un servidor KMS, entonces establézcalo también en este DC. Esto propor-
cionará un servicio redundante a la red. También es un buen momento para crear cuentas de
administrador con nombre.
• Coniguración TCP/IP del servidor Los servidores DNS deben establecerse en este servi-
dor, y luego en uno de los servidores de dominio raíz.
• Promoción de DC Éste será el primer DC en un nuevo dominio. Además, instala el servicio
DNS.
• Finalización de la coniguración de DNS Es necesario finalizar la configuración del servi-
cio DNS.
• Creación de la cuenta Es necesario cambiar el nombre de la cuenta Administrador. También
necesitará una cuenta especial para el servicio DHCP que habrá de instalarse después.
Los siguientes procedimientos destacarán esas diferencias. Aún será necesario aplicar todas
las modificaciones normalmente requeridas para las configuraciones del servidor.
Realice la promoción de DC
En el primer DC para el dominio secundario, use el mismo procedimiento que con el primer DC
en el bosque, con las siguientes modificaciones:
1. Instale los archivos binarios de ADDS y luego lance el Asistente para la instalación de los Ser-
vicios de dominio de Active Directory. Asegúrese de seleccionar Usar la instalación en modo
avanzado en la primera pantalla.
PARTE III
2. En la primera pantalla, seleccione Bosque existente y luego Crear un dominio nuevo en un bos-
que existente, porque este dominio usará la misma estructura de nombre que el dominio raíz.
3. A continuación, escriba el nombre del dominio raíz del bosque al que se unirá, y haga clic en
Establecer, para escribir las credenciales apropiadas para crear el DC en el bosque existente.
Esta cuenta debe ser un miembro del grupo Administradores de empresas.
4. En la siguiente pantalla, escriba el nombre del dominio raíz del bosque una vez más y luego el
nombre del nuevo dominio. Éste debe ser la intranet.
5. A continuación, verifique el nombre NetBIOS del dominio secundario. Después de eso,
confirme que Nombre predeterminado del sitio principal es el sitio en que desea colocar el
controlador de dominio.
6. Asigne las funciones Servidor DNS y Catálogo global. Después de eso, seleccione Cualquier
controlador de dominio en que se pueda escribir como origen de la replicación.
7. Localice la base de datos y los registros, además del volumen del sistema. Observe que la
base de datos de AD debe estar en D: y los registros en la unidad E:. El volumen del sistema
también debe estar en la unidad D:. Utilice las carpetas predeterminadas para almacenar cada
elemento.
8. Asigne la contraseña para restauración.
9. Verifique la información del resumen. Observe que esta vez se creará una delegación apropia-
da de DNS.
10. No olvide seleccionar Reiniciar al completar, porque así se finalizarán las operaciones.
Use las consolas de AD para verificar la operación apropiada del DC después de que reinicie.
Puede pasar a la siguiente operación, con lo que finaliza la configuración de DNS.
NOTA Las delegaciones DNS son importantes en esta etapa, porque al tener una delegación a este
DC se almacenará automáticamente la información de DNS en una partición de aplicaciones que
reside en este dominio. Windows Server 2003 no hacía esto y, por tanto, requería la creación de
delegaciones manuales antes de que pudiera realizar esta operación.
284 Parte III: Diseño de funciones de servidor
NOTA No es necesario que indique el nivel de funcionalidad de este dominio porque realizará esta
acción para el bosque durante la creación del primer DC. Los bosques WS08 nativos sólo permiti-
rán que se creen dominios secundarios WS08 nativos. Ahora está listo para completar la prepara-
ción del dominio secundario.
PARTE III
12. No olvide seleccionar Reiniciar al completar, porque así se finalizarán las operaciones.
Está listo para pasar a las otras operaciones, una vez que el sistema se reinicie.
FIGURA 6-18
Transferencia automática
de la función de infraes-
tructura a este DC.
286 Parte III: Diseño de funciones de servidor
• Migre usuarios y cree DC al avanzar En este caso, use su juicio, pero tiene la opción de
agregar nuevos DC cada 500 usuarios migrados (dependiendo de si se trata de un DC central
o regional). Por supuesto, necesitará agregar por lo menos un DC en cada región remota que
tiene más de un número determinado de usuarios (10 o más, si el hardware de servidor puede
tener más máquinas host). Los DC regionales son candidatos ideales para la función RODC.
No es necesario que el segundo DC sea un servidor de Catálogo global (GC, Global Catalog),
porque estará agregando más DC (que también serán GC) a medida que crece. Por tanto, puede
garantizar que el sitio que contiene este DC tendrá por lo menos uno más que puede actuar como
servidor de Catálogo global de este sitio. De esta manera, no enfrentará posibles problemas que po-
drían ocurrir a partir de la cohabitación de una GC y el Maestro de infraestructura.
Por último, cuando cree cantidades masivas de controladores de dominio, lo más probable
es que quiera automatizar este proceso. Como en la configuración del bosque de utilerías, la pro-
moción de DC en este dominio puede crear una secuencia de comandos con archivos de texto
para instalación no atendida. Mediante secuencias de comandos, esta versión también puede
instalar automáticamente el servicio DNS. Una de las mejores maneras de hacerlo es realizar una
instalación más de DC con el asistente y, en la página Resumen, capturar el archivo de respuesta
de instalación no atendida para la creación de todos los demás DC.
Además, puede reparar DC y evitar replicación de red con WS08. Para ello, requiere una
copia de seguridad de ADDS. Esto puede hacerse en un CD o DVD o incluso a un recurso com-
partido de red (vea la figura 6-19). Luego, si necesita reconstruir un DC remoto, puede usar el
siguiente comando:
dcpromo /adv
Esto desplegará una pantalla inicial de datos, que le permite ingresar datos de la copia de
seguridad, reduciendo la cantidad de replicación requerida. Una vez que se reconstruya el DC, la
replicación normal multimaestra de AD tomará el control y actualizará el contenido de este DC.
Aunque elija una ubicación de red para copia de seguridad de datos, puede descargar informa-
ción adicional y limitar la transferencia de datos al nuevo DC durante su creación. Considere que
este método es poco práctico para la puesta en funcionamiento del DC, porque casi todos los DC
entrarán en funcionamiento en un área central con conexiones de alta velocidad.
Ahora, está listo para seguir adelante en la preparación de los dos servidores de infraestruc-
tura de red.
FIGURA 6-19 Uso de los datos sin conexión para crear un DC.
PARTE III
Actividades para la puesta en funcionamiento de la infraestructura de red
Las actividades que deben realizarse para instalar ambos servidores de infraestructura de red se
detallan en la lista de verificación de configuración del servidor de infraestructura de la figura
6-20. Se incluyen cuatro actividades: preparación del servidor, configuración DHCP, configura-
ción WINS (opcional) y verificación del sistema. Las primeras tres actividades se repiten para
cada uno de los dos servidores.
Ambos servidores de infraestructura de red deben ser sólo servidores miembro. Ambos deben
pertenecer al dominio de producción porque es aquí donde se necesitará más sus servicios. Pocas
operaciones heredadas ocurrirán en el dominio raíz del bosque, de modo que es rara la resolución
de nombres heredada. El dominio raíz del bosque tendrá muy pocos objetos, como usuarios y equi-
pos; por tanto, no será necesario asignar dinámicamente dirección IP a esos objetos.
Ambas máquinas virtuales usan el kernel básico de servidor y pueden ponerse en funciona-
miento ahora. Además, realice una verificación de control de calidad en los propios servidores
antes de dar el siguiente paso.
Active Directory, asegurando que sólo los servidores DHCP oficiales pueden operar en cualquier
red empresarial determinada.
Si ya tiene una estrategia de DHCP y WINS, es probable que no necesite modificarla, a
menos que sienta esa necesidad. Recuerde que un servidor DHCP de WS08 puede administrar
fácilmente 1 000 alcances y 10 000 clientes dados los recursos de sistema apropiados.
NOTA DHCP usa mucho espacio en disco. Debido a esto, los servidores DHCP deben incluir más
RAM. Los archivos de paginación también tienen que establecerse a los valores máximos.
Algunas redes aún dependen de nombres de etiqueta únicos, que antes eran proporcionados
por el servicio WINS. Si no quiere implementar WINS, entonces puede depender de la zona de
nombres globales (GNZ, GlobalNames Zone) disponible en DNS de WS08. Como opción, puede
implementar WINS en los mismos servidores que el servicio DHCP. De ser así, dos servidores
WINS para redundancia son más que suficientes para su red de producción.
2. Lance el Administrador del servidor y vaya a la sección Funciones. Haga clic en Agregar fun-
ciones.
3. En la página Seleccionar funciones de servidor, seleccione Servidor DHCP y luego haga clic en
Siguiente.
4. Revise sus selecciones y luego haga clic en Siguiente. Seleccione las tarjetas de red a las que
quiera unir el servicio, y haga clic en Siguiente. WS08 empezará el proceso de configuración
del servicio DHCP.
5. Seleccione el dominio principal (Intranet.TandT.net), pero no ponga los servidores DNS prefe-
ridos en este momento. Esta página configura las opciones globales de DHCP y, debido a que
quiere que los usuarios se conecten a su servidor DNS local, lo agregará en sus parámetros de
alcance de dirección específico. Haga clic en Siguiente.
6. Si decidió instalar WINS, entonces seleccione Se requiere WINS y agregue la dirección de los
servidores WINS. No es necesario que los instale en esta etapa. Si está usando una zona de
nombres globales, seleccione No se requiere WINS. Haga clic en Siguiente.
7. No agregue un ámbito en este momento. Los ámbitos se crearán más adelante. Haga clic en
Siguiente.
8. Como también debe usar DHCPv6, selecciónelo ahora. Haga clic en Siguiente.
9. Seleccione el dominio principal (Intranet.TandT.net), pero no le ponga en este momento los
PARTE III
servidores preferidos DNS. Haga clic en Siguiente.
10. Seleccione Usar credenciales actuales, para autorizar este servidor. Haga clic en Siguiente.
11. Confirme sus selecciones y haga clic en Instalar.
12. Haga clic en Cerrar una vez que el proceso de instalación esté completo.
Ahora puede pasar a crear los valores DHCP.
NBT debe establecerse en nodo-H. La resolución de nodo-H es mejor, aún en redes de área
amplia, porque reducen en gran medida la cantidad de datos transmitidos en cada red.
6. A continuación, cree su primer ámbito DHCP. Haga clic con el botón derecho en el elemento
IPv4 o IPv6, y seleccione Ámbito nuevo del menú contextual. DHCP lanzará el Asistente para
ámbito nuevo. Este asistente le permite ingresar todos los valores del ámbito: nombre de éste,
dirección de inicio, dirección de final, exclusiones e incluso opciones específicas del ámbito.
Aunque el asistente despliega opciones que no se requieren localmente, como servidores
WINS, simplemente omita estas pantallas al hacer clic en Siguiente. Puede elegir que se active
el ámbito o no al final. Es mejor omitir la activación en esta etapa. Esto le permite revisar todas
sus configuraciones antes de la activación.
7. Repita el paso 6 para cada ámbito que requiera. Recuerde excluir 80 o 20% del ámbito, depen-
diendo de dónde quiere que se hospede la parte principal del mismo.
NOTA Los superámbitos no pueden crearse hasta que se haya creado por lo menos un ámbito
en el servidor DHCP.
8. Una vez que se han creado todos los ámbitos, haga clic con el botón derecho una vez más en
IPv4 o IPv6 y seleccione Superámbito. Esto lanzará el Asistente para superámbito nuevo. Haga
PARTE III
clic en Siguiente, para seguir adelante. Asigne un nombre al superámbito y luego seleccione
los ámbitos que serán parte de éste. Cierre el cuadro de diálogo cuando haya terminado. Una
vez que se haya creado un superámbito, pueden agregarse nuevos ámbitos de una de dos ma-
neras: puede crearse dentro del superámbito al hacer clic con el botón derecho en el nombre
del superámbito y seleccionar Ámbito nuevo; o puede crearse fuera del superámbito y agre-
garse a éste una vez que se haya creado. Para esto, haga clic con el botón derecho en el ámbito
y luego seleccione Agregar a superámbito.
9. Si necesita reservas, seleccione el ámbito apropiado para crear reservas dentro de él. Una vez
más, haga clic en las reservas en el panel de la izquierda. Luego haga clic con el botón derecho
en Reservas y elija Reserva nueva, del menú contextual. Llene los detalles de la reserva. Reque-
rirá la dirección de Control de acceso a medios (MAC, Media Access Control) para cada una de
las tarjetas de las que quiere reservar una dirección IP. Las direcciones MAC se desplegarán al
escribir IPCONFIG /All en el indicador de comandos del sistema para el que se requiere esta
reserva. Cierre el cuadro de diálogo al hacer clic en Agregar. Repita las veces que sea necesario.
Las reservas aseguran que la tarjeta de interfaz de red cuya dirección MAC escribió siempre
tenga la misma dirección IP. Son similares a las direcciones IP estáticas, pero se benefician de
una consola de administración central.
10. Por último, después de que haya revisado sus parámetros de DHCP, puede activar los ámbitos.
Una ventaja de usar superámbitos es que puede activarlo todo en un solo paso. Haga clic con
el botón derecho en el nombre del superámbito y seleccione Activar, del menú contextual.
Su primer servidor DHCP está listo. Puede pasar a configurar el servicio de nombre de una sola
etiqueta. Como verá, este servicio es fácil de configurar. Pero primero defina las clases de usuario.
concesión sea más corta que la de las estaciones de trabajo. También puede asegurar que cada vez
que el equipo móvil esté apagado, libere la concesión de la dirección IP que se otorgó. Esto lo hace
más efectivo para usuarios que se mueven con frecuencia de un sitio a otro. Las clases de usuario se
definen dentro de DHCP.
1. Haga clic con el botón derecho en IPv4 o IPv6, en el Administrador del servidor, y seleccione
Definir clases de usuario.
2. Haga clic en Agregar, en el cuadro de diálogo Clases de usuario DHCP.
3. En el cuadro de diálogo Nueva clase, escriba el nombre de despliegue de la clase y la descrip-
ción, y luego coloque su cursor directamente debajo de la palabra “ASCII”. Escriba el nombre
de la clase. Observará que el cuadro de diálogo Nueva clase ingresa los valores ASCII mientras
escribe caracteres (vea la figura 6-21). ¡No modifique estos caracteres! Recuerde que los nombres
de clase son sensibles al uso de mayúsculas y minúsculas. Necesitará tomar nota de la manera
en que deletreó el nombre de la clase. Repita el proceso para cada clase que necesite agregar.
4. Asegúrese de que se hayan agregado sus clases y luego cierre el cuadro de diálogo Clases de
usuario DHCP.
5. A continuación, haga clic con el botón derecho en el elemento Opciones de servidor y se-
leccione Configurar opciones. Vaya a la ficha Opciones avanzadas y seleccione Opciones de
Microsoft Windows 2000 como Clase de proveedor y Usuarios móviles como Clase de usuario.
Establezca el valor del número 02, Concesión de DHCP de la versión Microsoft en la opción
de apagado, al seleccionar la casilla de verificación correspondiente.
6. A continuación, cambie Clase de proveedor a Opciones estándar de DHCP para establecer la
opción 51, Concesión. El valor está en 0xsegundos, donde segundos es el número de segundos que
durará la concesión. Por ejemplo, 0x86400 significa 24 horas. Cierre todos los cuadros de diálogo.
7. Ahora necesitará establecer la clase de usuario en sistemas móviles. Para ello, necesita usar el
comando IPCONFIG en cada equipo. Esta configuración puede realizarse durante la puesta
en funcionamiento de la PC y podría estar dentro de una imagen de sistema. La estructura del
comando es como sigue:
ipconfig /setclassid nombre_adaptador id_clase
Por ejemplo, si su ID de clase es “MóvilTandT,˝ su comando sería:
ipconfig /setclassid Local Area Connection MóvilTandT
FIGURA 6-21
Creación de una nueva
clase de usuario.
Capítulo 6: Construya la infraestructura de red de Windows Server 2008 293
PRECAUCIÓN Recuerde que los ID de clase son sensibles a mayúsculas y minúsculas. Debe escribir
el ID de clase con exactitud para que funcione adecuadamente.
SUGERENCIA Las opciones de clase deinidas por el usuario pueden asignarse a cualquier opción
de servidor o ámbito, dependiendo de si se aplican a los sistemas en todos los ámbitos o sólo a
sistemas en ámbitos especíicos.
SUGERENCIA Las clases deinidas por el usuario también son útiles para la asignación de nom-
bres de dominio a sistemas que están localizados en las mismas ubicaciones físicas. Por ejemplo,
si tiene usuarios en la misma ubicación física que usan diferentes dominios, como Intranet y
Desarrollo, puede usar una clase deinida por el usuario para asegurar que los sistemas registran
valores DNS en el controlador de dominio DNS apropiado. Asegúrese de usar la clase deinida
por el usuario para el menor número de sistemas. Esto facilitará la puesta en funcionamiento y la
administración del sistema.
PARTE III
DNS del bosque, y la GNZ se define para replicar todos los servidores DNS en el bosque. Básica-
mente, el proceso de crear esta zona es muy simple. Requiere cinco pasos:
• Crear la zona de búsqueda directa NombresGlobales.
• Establecer su ámbito de replicación para todos los servidores del bosque.
• No habilitar actualizaciones dinámicas para esta zona.
• Habilitar soporte a GNZ en cada servidor DNS.
• Agregar nombres de etiqueta únicos a DNS.
Como verá, es una operación muy simple.
1. Inicie sesión en el primer DC del dominio raíz del bosque.
2. Abra el Administrador del servidor y vaya a la sección Funciones para expandir Servidor DNS
hasta que vea la sección Zonas de búsqueda directa. Haga clic en esta sección.
3. Ahora haga clic con el botón derecho en esta sección para seleccionar Zona nueva del menú
contextual.
4. Elija una zona principal y asegúrese de seleccionar la opción Almacenar la zona en Active
Directory.
5. En la siguiente pantalla, seleccione que la replicación ocurra para todos los servidores DNS en
este bosque.
6. Use NombresGlobales como nombre de zona.
7. No permita actualizaciones dinámicas, y termine la configuración.
8. A continuación, habilite soporte a GNZ en este servidor DNS. Necesitará hacerlo mediante la
línea de comandos:
dnscmd /config /EnableGlobalNamessupport 1
Este comando necesita ejecutarse en cada servidor DNS del bosque. Tal vez quiera hacerlo
parte de su configuración de servidor DNS estándar. Colóquelo en un archivo de comandos y
ejecútelo cada vez que construya un DC con el servicio DNS.
294 Parte III: Diseño de funciones de servidor
9. Reinicie el servicio DNS. Seleccione el nombre del servidor en el árbol DNS, haga clic con el
botón derecho en él, vaya a Todas las tareas y seleccione Reiniciar.
10. Ahora agregue nombres de etiqueta únicos. Recuerde que, al igual que los nombres WINS,
no pueden tener más de 15 caracteres (en realidad usan 16, pero el sistema reserva el último).
Puede usar el comando de Nuevo alias (CNAME) en la zona de nombres globales (vea la
figura 6-22) o puede usar la línea de comandos para hacerlo.
dnscmd nombreservidordns /recordadd NombresGlobales nombreetiquetaunico CNAME
nombreDNScorrespondiente
Donde nombreservidordns es el nombre del servidor DNS al que está agregando el nombre,
nombreetiquetaunico es el nombre de 15 caracteres que quiere agregar y nombreDNScorrespon-
diente es el nombre DNS del servidor cuyo nombre GNZ está agregando.
Tal vez quiera crear una secuencia de comandos de esto si tiene una gran cantidad de nom-
bres por agregar. ¡Ya habrá terminado!
FIGURA 6-22
Adición de un nombre
de GNZ. ¡No permite
actualizaciones!
Capítulo 6: Construya la infraestructura de red de Windows Server 2008 295
PARTE III
ble, obtendrá un mensaje de error. Escriba la dirección IP del servidor.
6. Ahora haga clic con el botón derecho en Asociados de replicación, para establecer las propie-
dades. Asegúrese de marcar la opción Replicar sólo con asociados, que se encuentra bajo la
ficha General y luego pase a la ficha Insertar replicación. Seleccione todas las opciones de esta
ficha. Esto habilitará la replicación en tiempo real.
7. Configure la extracción de replicación en la ficha apropiada, y luego seleccione la opción
Habilitar la configuración automática de asociados, en la ficha Opciones avanzadas. WINS usa
multidifusión para proporcionar parámetros de configuraciones a sus asociados de replicación.
Esto asegura configuraciones consistentes. Cierre el cuadro de diálogo.
Es todo; su primer servidor de infraestructura de red está completo.
querrá que sus nuevas bases de datos de WINS se llenen con objetos que no tienen nada que ver
con su nueva red.
Además, DNS puede vincularse con WINS para soporte a resolución de nombres adicional.
Si ha hecho su tarea y ha convencido a la organización de que se mueva a una red completa de
Windows Vista o WS08, esta conexión no será necesaria. Aunque muchas redes de Microsoft aún
requieren resolución de nombres de NetBIOS en algún grado, las fallas en la resolución de nom-
bres de DNS, sobre todo las que pueden resolverse con WINS, deben ser raras.
8. Asigne el vínculo al sitio e identifique los dos sitios en él. Haga clic en Aceptar para crear el
vínculo del sitio.
9 Repita el procedimiento para crear la copia de seguridad del vínculo del sitio.
10. Como verá, WS08 asigna automáticamente un costo y un intervalo de replicación a cada vínculo
de sitio. El costo predeterminado es 100 (un valor apropiado para vínculos T1). El intervalo de
replicación predeterminado es 180 minutos. Si su vínculo físico es T1, entonces no necesita
cambiar el costo del vínculo del sitio para su principal vínculo de replicación. De lo contrario,
consulte la tabla 5-8 del capítulo 5 para conocer los valores recomendados para los costos del
vínculo del sitio. Como recordará, no es necesario que modifique el intervalo de replicación del
sitio o la programación del vínculo del sitio para que KCC realice su trabajo de manera óptima.
11. Sin embargo, deberá agregar una descripción del vínculo del sitio principal que acaba de
crear. Para ello, haga clic con el botón derecho en el vínculo del sitio y seleccione Propiedades.
Escriba la descripción y cambie el costo del vínculo del sitio, si necesita hacerlo. Haga clic en
Aceptar cuando haya terminado.
12. Escriba una descripción y cambie el costo del sitio también para el vínculo de copia de seguridad.
13. Ahora, necesita mover el DC al nuevo sitio. Pase a Default-First_Site-Name y haga clic con el
botón derecho en el servidor que quiera mover. Seleccione Mover del menú contextual. Selec-
cione el sitio de destino y haga clic en Aceptar.
PARTE III
Ahora su replicación está configurada. Asegúrese de que diseñó un servidor de Catálogo
global en el nuevo sitio, si no lo hizo en la promoción de DC. El GC es una función del servicio
de directorios de NT (NTDS, NT Directory Service) para el servidor que desee usar como GC. Si
necesita designar manualmente un GC, use de nuevo Sitios y Servicios.
1. Expanda la información del sitio del panel de la izquierda hasta que vea los nombres de ser-
vidores en el sitio. Seleccione el servidor que desee hacer un GC (en este caso, el servidor de
dominio raíz del bosque).
2. Haga clic con el botón derecho en las opciones de NTDS.
3. Seleccione la casilla de verificación Servidor de catálogo global y haga clic en Aceptar. Realice
esto por lo menos una vez para cada sitio que cree.
SUGERENCIA También puede usar la Caché de pertenencia a grupo universal en algunos sitios y
tener menos usuarios. De esta manera, no necesita replicar todo el contenido de un GC en esos
sitios.
Ya habrá terminado. Ahora, necesita comprobar esos trabajos de replicación de manera apro-
piada. Para probar la replicación entre sitios, realice algunas modificaciones de AD en la consola
Usuarios y equipos de Active Directory y pruébelos desde el DC remoto. Puede usar Terminal
Services en el modo Administrativo para ello. También verifique la parte de Servicio de directo-
rios del Registro de eventos para asegurar que no haya errores.
298 Parte III: Diseño de funciones de servidor
PRECAUCIÓN Ahora su red paralela está lista para debutar. En los capítulos restantes se le mostra-
rá cómo llenarla y asegurar su elasticidad. Sin embargo, antes de seguir adelante, cerciórese que
ha probado por completo cada parte de ella. Es la base de su nueva red de infraestructura de red.
Debe asegurar que todo se ejecute suavemente. No es demasiado tarde en esta etapa para empezar
de nuevo y repita el proceso de creación de la red. Será demasiado tarde una vez que haya empezado
a llenarla.
Instale WDS
Debido a que es un servicio de infraestructura de red, WDS requiere que ciertos componentes
estén presentes antes de que puedan instalarse y configurarse. Esto incluye:
• Servicios de dominio de Active Directory, que ya está instalado.
• DNS, que es parte de la instalación de cada DC en su red.
• DHCP, que ya también está instalado.
• Particiones de sistema de archivos de nueva tecnología (NTFS, New Technology File System),
que deben ser el único tipo de partición que usa en sus servidores.
Como otras funciones, WDS está instalada mediante el Administrador del servidor.
1. Agregue la función Servicios de implementación de Windows.
2. En la siguiente pantalla, seleccione los servicios para la función. WDS incluye dos servicios:
Servidor de implementación y Servidor de transporte, El Servidor de implementación incluye
la funcionalidad completa de WDS. El Servidor de transporte incluye sólo un subconjunto y es
útil para redes grandes, donde necesita transportar datos de una ubicación central a oficinas
centrales. Este servicio estaría disponible en la oficina remota para soportar la implementación
de imagen del sistema a través de WAN. Debido a que es el primer servidor de la red, seleccio-
ne ambos servicios.
3. Haga clic en Instalar para realizar la instalación.
Está listo para empezar el trabajo con WDS. Si quiere servicios redundantes, entonces confi-
gúrelos en el segundo servidor de infraestructura de red.
Capítulo 6: Construya la infraestructura de red de Windows Server 2008 299
PRECAUCIÓN Los servidores WDS hospedan imágenes del sistema para implementación. Estas
imágenes suelen ser de varios gigabytes de tamaño. Asegúrese de crear una unidad D: para este
servidor y asigne espacio suiciente para el almacenamiento de estos archivos.
NOTA Para conocer más información acerca de la implementación de esta función vaya a
http://go.microsoft.com/fwlink/?linkid=84628
PARTE III
• Cargue las imágenes del sistema de Windows Vista, Windows Server 2008, Windows Server
2003 o Windows XP en el formato de imágenes de Windows (VIM).
• Configure las opciones para que el oyente PXE controle cómo solicita el arranque del cliente
de servicios de servidor entrantes.
Procedamos:
1. Empiece por lanzar la consola de WDS. Elija Iniciar | Herramientas administrativas | Servicios
de implementación de Windows.
2. Expanda los nodos del panel de la izquierda, una vez que la consola esté abierta, y haga clic
con el botón derecho en el nombre del servidor para seleccionar Configurar servidor, del
menú contextual.
3. En la página Ubicación de carpeta de instalación remota, escriba la ruta a la carpeta comparti-
da que contiene las imágenes del sistema (por ejemplo, D:\RemoteInstall).
4. Como éste también es un servidor DHCP, debe seleccionar las dos opciones en la siguiente
pantalla: No escuchar en el puerto 67 y Configurar la opción 60 DHCP como ‘PXEClient’.
5. A continuación, configure sus opciones de oyente de PXE. Lo ideal es que seleccione Res-
ponder sólo a los equipos cliente conocidos. Esto significa que necesitará poner en funciona-
miento previamente todas las cuentas de equipo en ADDS antes de que pueda usar WDS para
implementar imágenes del sistema para ellos. Quite la marca de la opción Agregar imágenes y
haga clic en Finalizar.
Su servidor está listo. Puede agregar imágenes y aprender a usar WDS cuando necesite
trabajar con la implementación de imágenes del sistema de la PC. ¡Sus servidores estarán listos
para debutar!
300 Parte III: Diseño de funciones de servidor
PRECAUCIÓN Sólo realice una actualización de Windows 2000/2003 a Windows Server 2008 si
realizó una instalación limpia de Windows cuando migró desde Windows NT. Si realizó una ac-
tualización desde NT a Windows 2000/2003, éste podría ser el momento preciso para revisar sus
necesidades y usar la red paralela para moverse a una red empresarial nativa de WS08.
Aunque sienta que está listo para la actualización, asegúrese de revisar la información pre-
sentada previamente en este capítulo para habilitar nuevas características de WS08 en su bosque.
La actualización de una red de producción a Windows Server 2008 es una empresa mayor que
afectará a toda la red. Por esto es por lo que tiene que avanzar con cuidado. Es especialmente en esta
etapa donde descubre la utilidad de los procesos de prueba y puesta en funcionamiento delineadas
en el capítulo 3. Asegúrese de probar por completo su actualización antes de seguir adelante.
El proceso de actualización
Los pasos recomendados para una actualización a WS08 están detallados en la lista de verifica-
ción de actividades para la puesta en funcionamiento del bosque ilustrada en la figura 6-23. Está
dividida en cuatro etapas:
• Preparación para la actualización
• Realización de la actualización
• Tareas posteriores a la actualización
• Administración continua del bosque
Varias subtareas se derivan de cada etapa. Asegúrese de que todo se pruebe y documente en
el laboratorio antes de seguir adelante con esta operación en su red de producción.
Preparar la actualización
Realizar una revisión de consistencia del bosque
Verificar la compatibilidad de WS08 con cada DC
Realizar las conversiones P2V requeridas
Preparar una lista de tareas de actualización
Obtener autorización para modificar el esquema
Realizar la actualización
Preparar el bosque Actualizar DC
Preparar los dominios Autorizar la actualización
PARTE III
Revisar la replicación de Servicios de dominio de Active Directory
Replicación dentro de sitios
Replicación entre sitios
Crear/modificar sitio ADDS
Crear/modificar reglas de replicación entre DC
Reestructurar comentarios (si es necesario)
Actualizar estructura de dominio (comando movetree)
Crear/modificar unidades organizativas (OU)
Crear/modificar estructura de OU
Implementar confianzas de bosque (si es necesario)
Crear/modificar confianza
Es necesario dar tres pasos antes de que pueda seguir con la actualización de WS08:
• Realice una preparación de Active Directory para el bosque.
• Realice una preparación de Active Directory para cada dominio.
• Además, si usó un concepto de kernel de servidor, como se describió en el capítulo 4, e instaló
las Herramientas de administración de Windows 2003 en cada DC, necesitará eliminarlos
antes de seguir adelante.
302 Parte III: Diseño de funciones de servidor
Esto debe traer sus DC a niveles compatibles con WS08. Lo último que debe revisar es el es-
pacio libre. Dependiendo del tamaño de su directorio, requerirá un mínimo de 10 GB de espacio
libre en los discos que hospedan los recursos compartidos de la base de datos y SYSVOL en cada
DC para realizar la actualización.
También es una buena idea preparar una lista de tareas de actualización. Esta lista debe deta-
llar cada actividad que necesita realizar para actualizar su Active Directory de Windows Server
2003 a Windows Server 2008 en un formato paso a paso. Defínalo como una lista de verificación,
y revise cada elemento mientras avanza con su actualización. Los pasos básicos de esta lista de-
ben incluir todos los pasos de la lista identificada en la figura 6-23, pero tal vez también incluyan
algunas actividades personalizadas basadas en los requisitos de su organización.
El último paso para la preparación es obtener autorización para una modificación de esque-
ma. Debido a que está usando Active Directory, tómese el tiempo de poner en funcionamiento
una estructura de administración de cambio de esquema. Esta autorización debe incluir una
ventana de tiempo que perfila cuándo será posible actualizar.
PRECAUCIÓN Asegúrese de que los controladores de dominio que actualice incluyan grandes canti-
dades de espacio libre en disco en las unidades donde reside el archivo NTDS.DIT. Debe tener por
lo menos espacio suiciente para doblar el tamaño del archivo NTDS.DIT.
Actualice a WS08
Está listo para seguir adelante. Recuerde que debe probar y volver a probar primero en un
laboratorio. Use el siguiente procedimiento. Necesitará los medios de instalación de WS08 para
realizar esta operación.
1. Inicie sesión en el Maestro de operaciones de esquema empleando la cuenta Administrador
de empresa (también debe ser un administrador de esquema y dominio).
2. Cargue el DVD de instalación para WS08 y localice la carpeta \SOURCES\ADPREP. Copie el
contenido en una carpeta del Maestro de esquema.
3. Abra una ventana de línea de comandos y vaya a la carpeta \SOURCES\ADPREP que acaba
de crear. Escriba el siguiente comando:
adprep /forestprep
4. Acepte la actualización al escribir C y oprimir ENTER. Esto lanzará el proceso de preparación
del bosque. En realidad, este proceso consiste en la importación de varios objetos diferentes
para extender el esquema del bosque. Este proceso es muy rápido, pero como opción prede-
terminada no le da mucha retroalimentación cuando se ejecuta. Tenga paciencia. No lo deten-
ga a la mitad porque parezca “suspendido”.
5. A continuación, prepare el bosque de los DC de sólo lectura, pero sólo si piensa que los usará.
Ejecute el siguiente comando.
adprep /rodcprep
6. Confirme su comando y espere a que termine el proceso.
7. Una vez que la preparación esté completa, debe esperar hasta que los cambios se hayan repli-
cado en todo el bosque. Si realizó un cálculo de retraso para la replicación del bosque durante
su migración a Active Directory, sabrá exactamente cuánto necesita esperar, porque la latencia
de replicación es el tiempo más largo posible para completar el proceso de replicación de todo
un bosque.
Capítulo 6: Construya la infraestructura de red de Windows Server 2008 303
Una vez que el cambio al bosque esté completo, puede realizar la preparación del dominio
para cada dominio del bosque. Use el siguiente procedimiento:
1. Inicie sesión en el Maestro de infraestructura de cada dominio con credenciales de Adminis-
trador del dominio (Administrador de empresa en el dominio raíz).
2. Cargue el DVD de instalación para WS08 y localice la carpeta \SOURCES\ADPREP. Copie su
contenido en una carpeta del Maestro de infraestructura.
3. Abra una ventana de línea de comandos, y navegue a la nueva carpeta \SOURCES\ADPREP
que acaba de copiar. Escriba el siguiente comando.
4. Confirme el comando y espere que el proceso termine. Como antes, necesita esperar a que se
complete la replicación del dominio.
Ahora puede actualizar cada DC a WS08. Éste propondrá automáticamente una actualiza-
ción cuando conecte el medio de instalación a su servidor. El proceso de actualización es simple.
Todo el proceso puede automatizarse, como se delineó en el capítulo 4.
PARTE III
soporte a este modo. Windows Server 2008 ofrece dos modos funcionales: dominio y bosque. El
modo de dominio funcional requiere que todos los controladores de dominio se estén ejecutando
en WS08. El modo funcional del bosque requiere que todos los dominios del bosque estén en el
modo funcional de WS08. Use el siguiente procedimiento:
1. Abra la consola Dominios y confianzas de Active Directory. Realice esta operación para cada
dominio de su bosque, incluido el dominio raíz. Asegúrese de que todos los DC se han actua-
lizado primero.
2. Haga clic con el botón derecho en el nombre del dominio.
3. A partir del menú contextual, seleccione Elevar el nivel funcional del dominio. Seleccione
Windows Server 2008.
4. Haga clic en Elevar. Acepte todos los mensajes de alerta.
5. Espere a que ocurra la replicación del dominio. Repita para cada dominio del bosque.
6. Una vez que todos los dominios se hayan elevado a funcionalidad de WS08, proceda con el
nivel funcional del bosque.
7. Haga clic con el botón derecho en la raíz de la consola (Dominios y confianzas de Active Di-
rectory).
8. A partir del menú contextual, seleccione Elevar el nivel funcional del bosque.
9. Seleccione Windows Server 2008.
10. Haga clic en Elevar. Acepte todos los mensajes de alerta y espere a que ocurra la replicación de
todos los DC dentro del bosque antes de usar las funciones de bosque nativas de WS08.
Otras operaciones que podría considerar en esta etapa son la actualización de las funciones
de servidor del bosque y revisión de la estrategia de DNS. Si decide modificar las funciones de
DC, encontrará que las operaciones son muy parecidas a las de Windows 2003. Las operaciones
que podría realizar en esta etapa son:
• Modificar la función de DC (Agregar/eliminar el Servicio catálogo global.
304 Parte III: Diseño de funciones de servidor
E
n esta sección se empieza a revisar la manera de administrar de archivos e impresión
a los usuarios finales o las infraestructuras de ofrecimientos CAPÍTULO 9
de servicios virtuales con Windows Server 2008 (WS08). Por Construya la infraestructura
tanto, trata de la administración de PC, usuarios y servidores. Se de ofrecimientos de servicios
cubre el diseño de la infraestructura para fines de administración, virtuales: servidores
además de la realización de las operaciones reales de adminis- orientados a aplicaciones
tración. Esta sección resulta esencial para cualquier persona que
necesite administrar la entrega de servicios a los usuarios finales.
CAPÍTULO
7
Prepare la administración de objetos
E
n el capítulo 6 se describió cómo preparar su almacén de recursos y poner en funcionamiento
una red paralela de ofrecimientos de servicios virtuales. Con el tiempo, esta red empezará a
ofrecer servicios estructurados mientras migra usuarios de su red existente a la nueva infra-
estructura de ofrecimientos de servicios virtuales. Pero antes de que empiece la migración, necesita
finalizar la infraestructura de red que ha empezado a poner en funcionamiento. Deben completarse
varias actividades antes de que pueda asegurar que su nueva red está lista para aceptar usuarios. Una
de ellas es la finalización de su infraestructura de unidad organizativa (OU, Organizational Unit).
En el capítulo 5 se identificaron los tres tipos de objetos que deben administrarse mediante una
infraestructura de OU: PC, Persona y Ofrecimientos de servicios. En este capítulo se inicia la crea-
ción de la infraestructura de OU con los contenedores de PC y usuario, o los que están diseñados
para interactuar de manera directa con los usuarios finales y los sistemas con los que trabajan. Para
ello, hay que finalizar tres elementos clave relacionados con la PC y tres más con los usuarios:
• La estrategia de administración de la directiva de grupo de PC
• La estrategia de delegación de PC
• La estrategia de administración de PC
• La estrategia de administración de la directiva de grupo de usuario
• La estrategia de delegación de usuario
• La estrategia de administración de usuario
La primera de estas actividades es el diseño de una infraestructura de administración de PC
dentro del nuevo directorio. Con ello empieza el diseño de su infraestructura de administración
general para todos los objetos contenidos en los Servicios de dominio de Active Directory (ADDS,
Active Directory Domain Service). Este diseño se completa al final del capítulo 10, cuando diseñe
su estrategia de seguridad. Su red de ofrecimientos de servicios virtuales estará lista para hospedar
nuevos objetos de cada tipo y para ofrecer un conjunto completo de ofrecimientos de servicios. Una
vez que esté diseñada la estructura de PC, revisará las estrategias de delegación. Después de todo,
con la capacidad de hospedar varios tipos de objetos y almacenar información adicional acerca de
esos objetos, ADDS ofrece mucho control a una red de Windows. Pero no puede administrar cada
aspecto de esta red por su cuenta. De modo que necesitará delegar actividades administrativas
mediante una procuración apropiada de la estrategia de autoridad, otorgando sólo los derechos que
son absolutamente necesarios para realizar las tareas administrativas que está delegando. Por últi-
mo, debe echar un vistazo a la manera en que debe administrar PC en una organización mediante
las capacidades inherentes en ADDS.
307
308 Parte IV: Administre objetos con Windows Server 2008
A continuación, pasará a la administración de usuarios. Una vez más, deberá crear una infra-
estructura central para las actividades de administración de usuarios. Luego tendrá que revisar la
estrategia de delegación para esos objetos (una estrategia que es ligeramente más compleja que
con las PC porque ADDS puede contener información de usuario adicional, que deben adminis-
trar los usuarios finales, no los administradores). Por último, revisará una estrategia de adminis-
tración de usuarios estructurada muy parecida a la que usa en una PC.
Una vez que se hayan definido estas estrategias y que se pongan en funcionamiento, deberá
revisar la manera en que puede migrar usuarios y equipos masivamente de su red existente al
entorno paralelo. Esto ocurre en el capítulo 12.
PARTE IV
NOTA Windows Vista y WS08 permiten varios GPO locales. Esto se hace al asignar diferentes
descriptores de seguridad para cada GPO local. Esto es útil cuando tiene sistemas de exhibición
continua que requieren una fuerte seguridad cuando los usuarios inician sesión, pero que requie-
ren menos seguridad cuando lo hacen los administradores. Para conocer instrucciones paso a
paso sobre la manera de trabajar con estos GPO locales, vaya a http://technet2.microsoft.com/
WindowsVista/en/library/5ae8da2a-878e-48db-a3c1-4be6ac7cf7631033.mspx?mfr=true.
Además de los objetos de directiva local, las redes que ejecutan Servicios de dominio de Active
Directory tendrán GPO centralizados. En comparación con los locales, los GPO centralizados son
de administración, porque puede modificarlos en un lugar central y hacer que afecten a cualquier
grupo de objetos. Como opción predeterminada, todas las redes ADDS incluyen dos directivas:
• La directiva de dominio predeterminada
• La directiva de controlador de dominio predeterminada
Una directiva de dominio predeterminada específica se aplica a todos los dominios de una
red de Windows Server 2008. En el caso del ejemplo usado en los capítulos 5 y 6, la red TandT
tendrá varias directivas de dominio predeterminadas porque hay varios dominios en su bosque
de producción. En el caso de su red paralela de ofrecimientos de servicios virtuales, tendrá dos
versiones diferentes de la directiva porque sólo los dominios raíz y de producción se han creado
310 Parte IV: Administre objetos con Windows Server 2008
hasta este punto. Lo mismo se aplica a la directiva de DC predeterminada, excepto que en lugar
de aplicarse en el nivel del dominio, esta directiva se aplica específicamente a una unidad organi-
zativa de controladores de dominio y, por tanto, a cada controlador de dominio que contiene.
Las directivas no siguen las rutas jerárquicas de un bosque de ADDS porque no atraviesan
los límites del dominio. Si diseña una nueva directiva dentro del dominio raíz del bosque, no se
aplicará automáticamente a los dominios secundarios que se encuentran debajo del bosque raíz
en la jerarquía. Si define una directiva personalizada que quiere aplicar a cada dominio en su
bosque, tendrá que copiarla de dominio en dominio. Hay una excepción, como se mencionó en
el capítulo 6. En la creación de cualquier dominio secundario, ADDS copia automáticamente el
contenido de las dos directivas predeterminadas del dominio principal. Así, de la misma manera
en que ajustaría el GPO antes de implementar sistemas, debe ajustar el GPO predeterminado en
el dominio raíz del bosque antes de crear cualquiera de los dominios secundarios. Esto asegu-
rará que un conjunto básico de estándares se aplicará a dominios y DC en cuanto se creen. Las
modificaciones recomendadas para estas dos directivas predeterminadas se cubren en el capítulo
10, porque se analizan las estrategias de seguridad.
FIGURA 7-1
Orden de aplicación
del GPO. 3 Dominio GPO
4 GPO de OU principal
5 GPO de OU secundario
2 GPO de sitio
1 GPO local
Por lo general, los GPO se heredan automáticamente a través del orden de aplicación de GPO.
Si se habilita una configuración en el nivel del dominio y no se configura en el nivel de OU, se aplica
la configuración de dominio. Si una configuración no está configurada en el nivel del dominio y está
deshabilitada en el nivel de OU, se aplica la configuración de OU. Si una configuración está desha-
bilitada en un OU principal y se asegura una configuración de GPO de nivel superior, sin importar
PARTE IV
cuál, puede asignar el atributo Forzar al GPO. Esto significa que, aunque las configuraciones estén
en conflicto en el extremo inferior de la jerarquía, se aplicará la configuración con el atributo Forzar.
Los GPO se administran mediante la consola Administración de directivas de grupo (GPMC,
Group Policy Management Console), que es una característica de WS08. Instálela en los servi-
dores que quiera que dependan de la administración de GPO; de preferencia, esta consola se
instalará en estaciones de trabajo (lo ideal es que sea Vista) porque este sistema operativo es el
único de cliente que le da acceso a una gama completa de GPO de WS08. GPMC le permite ver
toda la estructura de dominio, además de controlar la manera en que trabaja con GPO en sitios,
dominios u OU. El proceso es simple:
1. Empiece por crear un GPO y asignarle un nombre. Esto se hace mejor con el contenedor de
objetos de directiva de grupo en GPMC (vea la figura 7-2). Dependa de la acción confiable de
hacer clic con el botón derecho para obtener el menú contextual apropiado. Este contenedor
sólo presenta una lista de los GPO que están disponibles en el dominio seleccionado, porque
los GPO están restringidos por límites de dominio.
2. Una vez que haya creado el GPO, edítelo al hacer clic con el botón derecho y seleccionar
Editar. Esto abre el Editor de administración de directivas de grupo (GPEdit) y le permite ver
todos los parámetros que puede controlar en la directiva (vea la figura 7-3). Como se observa,
cada directiva está dividida en dos secciones. La primera se relaciona con parámetros de todo
el equipo y se aplica a cada equipo afectado.
312 Parte IV: Administre objetos con Windows Server 2008
La segunda se relaciona con parámetros de usuario y se aplicará a los usuarios afectados sin
importar en qué equipo hayan iniciado sesión. Cuando haya terminado con las modificacio-
nes, cierre el Editor de directivas de grupo. Observe que no hay una opción Guardar en este
editor. Cada parámetro que cambie, se modificará directamente dentro de la directiva.
Capítulo 7: Prepare la administración de objetos 313
SUGERENCIA Debido a que los GPO están divididos en parámetros de equipo y de usuario, es una
buena práctica crear GPO para usuario o equipo únicamente y luego deshabilitar la sección que
no se está usando. Esto ayuda a agilizar el procesamiento de GPO.
Subsección
Preferencias Parámetro Aplicación
Coniguración Aplicaciones Le permite conigurar varios parámetros especíicos de la aplicación mediante
de Windows plugins personalizados. Por ejemplo, hay plugins disponibles de Microsoft en http://
go.microsoft.com/fwlink/?LinkId=90745. Un kit de desarrollo de directivas de grupo
está disponible en http://go.microsoft.com/fwlink/?LinkId=144.
Asignaciones Crea, modiica, elimina u oculta asignaciones dinámicas de unidad empleando las
de unidad credenciales de usuario o credenciales alternas.
Entorno Crea, modiica o elimina variables de entorno de usuario o sistema. Las variables
también pueden usarse como condiciones para otras preferencias.
PARTE IV
Archivos Copia, modiica o elimina un archivo de un sistema. También modiica los atributos de
un archivo.
Carpetas Copia, modiica o elimina una carpeta en un sistema. Puede depender de condiciones.
Por ejemplo, sólo puede eliminar una carpeta si está vacía.
Archivos .ini Agrega, reemplaza o elimina parámetros en archivos .ini o .inf existentes, o incluso
elimina archivos completos.
Recursos Crea, modiica o elimina un recurso compartido de archivo. También puede modiicar
compartidos los límites de los usuarios, parámetros de Enumeración basados en Access o comen-
de red tarios en un recurso compartido.
Registro Crea, reemplaza o elimina entradas del Registro. También puede copiar varios pará-
metros de un sistema y agregarlos a otros. Depende de un asistente para crear varias
entradas.
Accesos Crea, modiica o elimina un acceso directo.
directos
Coniguración Orígenes de Crea, modiica o elimina orígenes de datos.
del Panel de datos
control
Dispositivos Habilita o deshabilita diferentes clases de dispositivos o tipos de hardware especíicos
en sistemas de destino. Por ejemplo, puede usarse para controlar clases de dispositi-
vos USB.
Subsección
Preferencias Parámetro Aplicación
Opciones de Conigura opciones de carpeta y asociaciones de archivos.
carpeta
Coniguración Conigura parámetros de IE. Es compatible con IE 5, 6 y 7.
de Internet (IE)
Usuarios y gru- Controla el contenido de los usuarios y grupos locales contenidos en servidores miem-
pos locales bro y PC que pertenecen al dominio.
Opciones de Conigura conexiones de red privada virtual (VPN, Virtual Private Network) o de marca-
red do telefónico.
Opciones de Conigura opciones de energía en Windows XP o Windows Server 2003. Para conigurar
energía opciones de energía para Vista o WS08, use la sección Plantillas administrativas |
Sistema | Administración de energía, de los parámetros Directiva de equipo o Directiva
de usuario.
Impresoras Conigura varias conexiones de impresora para un sistema.
Coniguracio- Coniguración regional de control.
nes regionales
Tareas progra- Crea, modiica o elimina tareas programadas. Puede usarse para ejecutar coman-
madas dos. En cuanto se actualizan los GPO, se vuelven automáticas tareas recurrentes, se
reactivan equipos o incluso se lanzan procesos cuando los usuarios inician sesión sin
necesidad de una secuencia de comandos.
Servicios Modiica la coniguración de servicios existentes.
Menú Inicio Controla la estructura y las opciones del menú Inicio. También puede usarse para
agregar secciones de sólo lectura del menú Inicio mientras deja que los usuarios
controlen las secciones de lectura-escritura. Es compatible con la estandarización del
menú Inicio.
mediante la primera. Como su nombre lo indica, la sección Preferencias sólo aplica preferencias
administrativas y no se trata de parámetros necesariamente absolutos. Sin embargo, es mucho
más fácil, después de todo, usar la sección Preferencias que escribir una secuencia de comandos
de Visual Basic o PowerShell.
3. Para aplicar el GPO, necesita vincularlo con un contenedor. Esto se realiza mediante una ope-
ración de arrastrar y colocar el GPO a una carpeta de destino, sea un sitio, un dominio o una
OU. Si el contenedor de destino es una OU y no existe, la GPMC le permitirá crearla (una vez
más, mediante el menú contextual).
SUGERENCIA Los GPO no están “vivos” (es decir, no afectan a ningún objeto) hasta que se vincu-
lan con un contenedor de destino. Esto signiica que puede crear GPO en el contenedor Objetos
de directiva de grupo en la GPMC, editarlo a su gusto y cuando sienta que es correcto, vincularlo
con su destino inal. Esto proporciona una forma de cambiar el control sobre los GPO que cree.
4. Los GPO y los vínculos con GPO tienen atributos. Cada tipo de objeto se identifica fácilmen-
te, porque el vínculo usa un icono en la forma de un acceso directo en lugar de un objeto real.
Si quiere hacer un cambio a los atributos del GPO que afectan a cada contenedor donde el
GPO está vinculado, entonces cambie los archivos reales del GPO. Si quiere hacer un cam-
Capítulo 7: Prepare la administración de objetos 315
bio que afecte sólo a un contenedor con el que está vinculado el GPO, entonces cambie los
atributos del vínculo mismo. Entre los cambios se incluye la aplicación del atributo Forzado,
deshabilitando las secciones Equipo y usuario del GPO y otras operaciones de control.
5. Los GPO no son los únicos objetos que pueden incluir atributos de directiva de grupo. Las
OU también pueden incluir atributos que afectan a la plantilla de GPO. Por ejemplo, los admi-
nistradores de OU pueden determinar cuándo quieren bloquear la herencia. El bloqueo de la
herencia es útil cuando quiere almacenar objetos en su directorio y darles diferentes valores,
los que puede establecer globalmente. Por ejemplo, en el diseño de la OU PC ilustrada en la
figura 5-13 del capítulo 5, hay un contenedor Externo en el segundo nivel. Está diseñado para
almacenar equipos que no pertenecen a su organización, como las PC de los asesores. En
algunos casos, deberá administrar algunos parámetros en los sistemas de los asesores, sobre
todo en el caso de desarrolladores que están trabajando en proyectos a largo plazo y que crea-
rán código que se desplegará dentro de su red. Pero hay otros casos donde no querrá adminis-
trar los sistemas externos. Por esto es por lo que hay dos OU en el tercer nivel dentro de la OU
externa: Administrada y No administrada. La OU No administrada es un ejemplo excelente
de dónde aplicaría el parámetro Bloquear herencia. Esto, por supuesto, se haría mediante el
menú contextual de la OU en la GPMC.
Como puede ver, al principio la administración de directivas de grupo parece fácil. Pero tiene
que ser muy cuidadoso con parámetros como Forzar y Bloquear herencia. Cuando las dos están
enfrentadas, Forzar siempre gana, pero si ambas se aplican con abandono, le será difícil determi-
nar los parámetros finales que habrán de aplicarse a cualquier objeto determinado. Por fortuna,
la GPMC le permite crear conjuntos de directivas resultantes que proporcionarán una lista de
parámetros finales de GPO aplicado a cualquier objeto de su dominio.
Es muy fácil aplicar cualquier cantidad de GPO a objetos. También es fácil confundirse con
ellos. La estructura de unidad organizativa tiene un impacto directo en la manera en que se apli-
PARTE IV
can los GPO como opción predeterminada. Al resultado final de la aplicación de GPO se le llama
conjunto resultante de directivas. La GPMC incluye una herramienta de conjunto resultante de
directivas que le permite depurar su aplicación para que pueda identificar el resultado de varias
directivas en un objeto específico. También hay herramientas comerciales que proporcionan
opciones de administración de GPO mucho más completas, como administración completa de
cambios, creación extendida de informes y depuración de GPO, pero casi todas las organizacio-
nes funcionarán bien con la GPMC si aplican directivas de administración de GPO estrictas.
La aplicación de directivas empieza en cuanto se enciende el equipo. Usa un proceso de 10
pasos (vea la figura 7-4). Este proceso depende de varias técnicas para completarse: DNS, ping,
el protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol) y las
extensiones de cliente del dispositivo de grupo de Windows. Los vínculos lentos pueden afec-
tar el procesamiento de GPO; WS08 considera que un vínculo lento es todo lo que funcione a
menos de 500 kilobits por segundo (Kbps), aunque esta configuración puede cambiarse me-
diante una directiva. El proceso también está vinculado con el contenedor de directivas de grupo
(GPC, Group Policy Container), que es evidente en la GPMC, pero que está oculto como opción
predeterminada en Usuarios y equipos de Active Directory. Para ver el GPC, necesita habilitar las
características avanzadas en el menú Ver. El GPC se usa para identificar la ruta a cada una de las
Plantillas de directiva de grupo (GPT, Group Policy Templates) que deben aplicarse. Estas planti-
llas se localizan en el recurso compartido SYSVOL del controlador.
316 Parte IV: Administre objetos con Windows Server 2008
OU principal
La PC consulta todos los GPO
vinculados con su OU y su OU OU
principal.
PARTE IV
lugar de los del usuario.
El bucle invertido se establece en GPO bajo Configuración del equipo | Directivas | Plan-
tillas administrativas | Sistema | Directiva de grupo. Al hacer doble clic en los parámetros de la
directiva, se permite configurarla. La habilitación de los parámetros de bucle invertido le permite
elegir entre las opciones Combinar y Sustituir. Haga clic en Aplicar o en Aceptar. La ventaja de
usar Aplicar es que si tiene que cambiar una gran cantidad de parámetros, sólo necesitará cerrar
el cuadro de diálogo hasta que haya terminado. Puede usar el botón Siguiente o Anterior para
recorrer todos los parámetros sin tener que cerrar el cuadro de diálogo hasta que haya terminado.
Si no usa la configuración de bucle invertido, asegúrese de crear un GPO especial y vincu-
larlo con una OU especial que se usará para contener las cuentas de equipo a las que se aplicará
este GPO.
Filtrado de directivas
Como ya se mencionó, el diseño de OU está fuertemente unido a la estrategia de GPO que trata
de usar. Uno de los factores que debe recordar siempre durante esta etapa de diseño es que
los objetos sólo pueden colocarse dentro de una sola OU. Además, debe asegurarse de que su
diseño de OU es lo más simple posible. Por tanto, tal vez llegue a encontrarse en situaciones en
que debe crear un diseño complejo de OU, con demasiadas unidades, sólo porque quiere asignar
diferentes GPO a objetos específicos.
318 Parte IV: Administre objetos con Windows Server 2008
No. No será así, porque Windows Server 2008 también incluye el concepto de filtrado de
directivas. Este concepto alude a la aplicación de derechos básicos de lectura y ejecución a la propia
directiva. Al usar filtrado, puede aplicar cualquier cantidad de directivas a un contenedor específico
y asegurar que sólo la directiva apropiada afectará a los objetos para cuya administración está dise-
ñado. WS08 soporta dos tipos de filtrado de directiva: filtrado de directiva de seguridad y filtrado de
Instrumentación de administración Windows (WMI, Windows Management Instrumentation).
Filtrado WMI
La instrumentación de administración de Windows es una infraestructura de administración
en Windows que permite el monitoreo y control de recursos del sistema mediante un conjunto
común de interfaces y proporciona un modelo consistente y lógicamente organizado de ope-
ración, configuración y estatus de Windows. WMI es la respuesta de Microsoft a la Desktop
Management Interface (DMI) de la Desktop Management Task Force (www.dmtf.org). La DMTF
diseñó DMI para permitir que las organizaciones administren remotamente aspectos del sistema
de cómputo, como configuraciones de sistema dentro del BIOS, reemplazo o actualizaciones del
BIOS y encendido y apagado del sistema. Pero como no existe ninguna herramienta estándar de
administración individual para todas las marcas de equipos (cada fabricante tiende a crear sus
propias herramientas para administrar sus propios sistemas), era necesaria una interfaz genérica.
Microsoft ha intentado proporcionar ésta mediante WMI.
En el caso del filtrado de GPO, WMI puede usarse para identificar aspectos específicos del
equipo antes de aplicar un GPO. En cierta manera, esto es similar a las clases de usuario utilizadas
en el protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol),
porque el filtrado WMI sólo puede aplicar parámetros que cumplen con las condiciones del filtro.
Hay varias aplicaciones de ejemplo en los archivos de ayuda de WS08. Tome, por ejemplo, una
directiva de administración de sistema que sólo debe aplicarse a sistemas que ejecutan Windows
Server 2008. Para ello, puede crear el siguiente filtro:
Capítulo 7: Prepare la administración de objetos 319
Root\CimV2; Select * from Win32_OperatingSystem where Caption = “Microsoft
Windows Server 2008 Enterprise Edition”
Luego puede aplicar este filtro al objeto de directiva de grupo que creó para la directiva de
monitoreo.
Otro ejemplo es cuando necesita aplicar una directiva a un conjunto específico de siste-
mas de cómputo. Si tiene una serie de sistemas de cómputo que no cuentan con la capacidad
de hospedar directivas específicas, puede crear un filtro WMI que los identifique y que niegue
la aplicación de la directiva a este grupo de equipos. Por ejemplo, si los equipos fueran Toshiba
Satellite Pro, ese filtro incluiría las siguientes instrucciones:
Root\CimV2; Select * from Win32_OperatingSystem where manufacturer = “Toshiba”
and Model = “Satellite Pro 4200” OR Model = “Satellite Pro 4100”
Los filtros WMI también pueden guardarse en archivos especiales, lo que facilita su adminis-
tración. Los filtros WMI son, en esencia, archivos de texto que tienen una estructura especial
y que usan la extensión de archivo MOF.
La aplicación de filtros WMI se hace de manera muy parecida al método empleado para los
filtros de seguridad. En este caso, primero debe crear los filtros. Guárdelos en una carpeta espe-
cial, y asígneles un nombre que tenga la extensión MOF. Luego importe sus filtros en la GPMC
al moverlos al nodo Filtros WMI y seleccione Importar del menú contextual. Vaya a la carpeta
apropiada y seleccione los archivos que habrán de importarse. También puede crear los filtros di-
rectamente en la GPMC al usar el comando Nuevo. Una vez que se han creado o importado los
filtros, puede seleccionar la directiva que quiera modificar y una vez más vaya a su ficha Ámbito.
Filtrado WMI está en la parte inferior de esta ficha. Simplemente seleccione el filtro apropiado de
la lista desplegable. Sólo puede aplicarse un filtro a cualquier GPO.
PRECAUCIÓN Tenga cuidado con el modo en que usa el iltrado de directivas WMI, en especial
PARTE IV
cuando elimina iltros WMI. Eliminar un iltro no eliminará la asociación que tiene con todos los
GPO a los que se ha asignado. Debe eliminar estas asociaciones desde cada una de las directivas a
las que se ha aplicado; de otra manera, las directivas no procederán, porque el iltro ya no existe,
pero aún es una condición para la aplicación. Asegúrese de que documenta por completo todos los
GPO y todas sus propiedades en todo momento.
Diseño de directivas
El proceso de aplicación de directivas delinea una clara división entre los parámetros de equipo
y de usuario. Esto es por diseño. Las directivas se dividen de manera correspondiente en dos
partes: configuración de equipo y de usuario. Debido a que ambas partes están diseñadas para
atender configuraciones específicas para un equipo o un usuario, puede y debe deshabilitar las
partes no usadas de los GPO. Puede usar las propiedades de un GPO para deshabilitar la parte
del equipo o del usuario. Una vez más, depende del menú contextual para hacerlo. También pue-
de deshabilitar todos los parámetros. Esto tiene el efecto de deshabilitar todo el GPO.
Debido a que las directivas tienen una separación natural entre configuraciones de usuario y
equipo, puede usarlas para definir cómo administrará ambos tipos de objetos. Sin embargo, hay
ciertos parámetros de GPO que se aplican en el nivel del dominio y que los GPO de menor nivel
no pueden sobrescribir, como los encontrados en unidades organizativas. Las directivas que sólo
deben definirse en el nivel del dominio se concentran en directivas de cuenta e incluyen:
• Directiva de contraseña Incluye configuraciones como historial de edad máxima y mínima,
longitud mínima y requisitos de complejidad, además de cifrado reversible para contraseñas.
• Directiva de bloqueo de cuenta Incluye duración, umbral (el número de intentos fallidos
de inicio de sesión antes del bloqueo) y cronómetro de restablecimiento de bloqueo.
PARTE IV
• Directiva de Kerberos Incluye la imposición de restricciones de inicio de sesión de usuario,
como bloqueo de cuentas, tiempo máximo de vida para servicios y boletos de usuario, tiempo
máximo de vida para renovaciones de boletos de usuario y tolerancia máxima para sincroniza-
ción del reloj del equipo. La autentificación de Kerberos funciona mediante la expedición de
boletos de acceso para servicios y usuarios. Estos boletos están basados en tiempo, de modo
que la sincronización del reloj es muy importante dentro de un dominio.
Hay otras directivas que podría establecer en el nivel del dominio para asegurar que se
apliquen de manera global, pero las tres mencionadas sólo deben establecerse en el nivel del do-
minio. Los parámetros que debe usar para sus directivas en el nivel del dominio están delineadas
en el capítulo 10.
GPO de directiva
FIGURA 7-5 Estrategia de grupo
estructurada de GPO.
GPO de controladores
de dominio
GPO de PC
GPO de Ofrecimientos
de servicios virtuales
GPO de Persona
NOTA Recuerde que los contenedores predeterminados User y Computers en ADDS no son unida-
des organizativas y, por tanto, no permiten la aplicación de objetos de directivas de grupo, excepto
en el caso de objetos dentro del dominio.
GPO 1
1 Vínculos de GPO.
GPO 2
2 GPO separados para cada OU.
GPO 3
SUGERENCIA Al crear OU de tipo de objeto en el nivel superior, puede asegurar que sus GPO sólo
se apliquen a los tipos de objeto para el que están diseñados y sólo sean leídos por éstos. Por tanto,
los GPO PC sólo son leídos por las PC, los GPO de usuario por los objetos de usuario, los GPO de
DC por los DC y los GPO de servidor por los servidores. El único GPO que es leído por todos es el
GPO de cuenta, que se establece en el nivel de dominio. Esto facilita la administración de GPO y el
proceso de administración, y también acelera el proceso de aplicación de GPO en el inicio del equipo
o el inicio de sesión de usuario. Después de todo, el problema que desea evitar a toda costa es la proli-
feración de GPO (demasiados GPO complicarán su estrategia de administración).
PARTE IV
Cree un diseño de OU para ines de administración de PC
Como la administración de usuarios y equipos no se concentra en las mismas actividades, se tra-
tan por separado. La administración de servidor se trata en los capítulos 8 y 9, mientras que la de
controladores de dominio se revisa en el capítulo 10, porque se consideran parte de la estrategia
de seguridad de la organización. Empiece con la administración de PC. Debe incluir la configura-
ción de GPO para tres tipos diferentes de equipos:
• PC de escritorio
• Equipos portátiles
• PC externas
El diseño de OU que use para estos tipos de equipos dependerá de una gran cantidad de
factores (tamaño de la organización, número de PC que se administrarán, diferenciación entre
sus PC y, sobre todo, su estrategia de administración: centralizada o descentralizada). Ambas
estrategias se examinan en las siguientes secciones.
Administración centralizada de PC
El diseño de la OU PC del capítulo 5 es un ejemplo de una estrategia de administración de PC
centralizada. En este escenario de ejemplo, la corporación T&T tiene una administración de
usuario descentralizada, pero una estrategia de administración de PC centralizada. Si éste es el
caso de su organización, simplificará en gran medida su estrategia de OU para PC.
324 Parte IV: Administre objetos con Windows Server 2008
GPO PC
global Aplica a todas las PC
Bloquear herencia
GPO portátil
global
En este escenario se usaron tres niveles de OU. Cada uno se usa para segregar aún más el tipo
de objeto de PC. El nivel uno se utiliza para reagrupar todas las PC. Aquí es donde se aplica el GPO
PC global. En el nivel dos se inicia la segregación de objetos. Si se requiere un GPO global para
todos los escritorios o todos los equipos portátiles, o incluso todas las PC externas, se aplican en
este nivel. Por último, el nivel tres se usa para aplicar GPO a tipos específicos de PC dentro de cada
agrupamiento. Por ejemplo, las PC de escritorio cuyos usuarios tienen algunos derechos adminis-
trativos locales aún requieren cierta administración, pero una administración más ligera que PC,
cuyos usuarios son más genéricos. Debido a esto, tal vez requiera un GPO especial para usuarios
avanzados. No se requiere GPO especial para PC de usuarios normales, porque deben cubrirse con
los GPO generales establecidos en los niveles uno y dos (vea la figura 7-7).
PRECAUCIÓN Cuando cree OU en WS08 mediante la sección Usuarios y equipos de Active Directory,
del Administrador del servidor, tiene la opción de proteger el contenedor de la eliminación accidental.
Esto signiica que, por lo general, no podrá mover o eliminar el objeto si comete un error o quiere
reestructurar su directorio. Para eliminar estos parámetros de un objeto creado, necesita seleccionar
Características avanzadas del menú Ver y luego ver las propiedades del objeto. Esta opción se muestra
en la icha Objeto que aparece en la hoja de propiedades cuando se habilita Características avanzadas.
La OU de escritorio
La segregación aplicada en el nivel secundario de la OU Escritorio pudo haberse realizado direc-
tamente en la propia OU empleando filtrado de GPO, pero la creación de un nivel secundario
también le da las ventajas de ordenar objetos en categorías. Esto le facilitará la búsqueda de cada
tipo de PC.
Capítulo 7: Prepare la administración de objetos 325
La OU Sistemas móviles
La OU Sistemas móviles está diseñada para ayuda a aplicar GPO especiales a equipos portátiles.
Por ejemplo, debido a que éstos son sistemas de cómputo que suelen dejar la red segura que
proporciona su organización, debe asegurarse de que siempre se apliquen ciertas directivas a
esos sistemas. Podría incluir la imposición del cifrado de archivos en el equipo portátil y el uso de
firewalls personales cada vez que la PC se conecta a cualquier sistema mediante su módem, una
conexión de red inalámbrica, una conexión de red o incluso el puerto infrarrojo. Estas directivas
se aplican directamente a la OU Sistemas móviles. Si está usando Vista en el escritorio, podría
asignar cifrado de unidad del sistema BitLocker mediante este GPO.
Además, hay un segundo nivel de segregación para los usuarios comunes de equipos portá-
tiles y usuarios avanzados. Los mismos tipos de directivas aplicados a estos OU secundarios en la
OU de escritorio se aplican aquí. Esto puede hacerse mediante el uso de un objeto GPO separa-
do o mediante la vinculación de los GPO de escritorio apropiados a esas OU.
PARTE IV
La OU Externas
La OU Externas está creada para asegurar que las PC externas siempre se reagrupen. Las di-
rectivas que se aplican especialmente a todas las PC externas se aplican en el nivel superior de
esta OU. Una vez más, un nivel secundario se incluye para ayudar a ordenar en categorías los
sistemas administrados en comparación con los no administrados. Si éstos últimos lo son por
completo, puede establecer la OU No administrada en Bloquear herencia. De lo contrario, puede
filtrar directivas en esta OU.
Los sistemas externos administrados no suelen ser los mismos que sus propios sistemas
administrados. La razón es que a menudo es muy difícil asegurar que los sistemas de los asesores
sean exactamente iguales que los propios. Las firmas de asesoría a menudo tienden a comprar
sistemas clonados que son menos costosos que los corporativos y que no son compatibles por
completo con su entorno de sistemas administrados. Debido a esto, algunos de los parámetros
que aplica a sus propios sistemas serán diferentes de los que necesita aplicar a este grupo de
equipos heterogéneos (sobre todo si tiene más de una firma de consultoría en el sitio).
Los sistemas administrados tienden a ser principalmente equipos de escritorio, aunque los
sistemas no administrados a menudo son portátiles. Esto se debe a que los asesores que usan sis-
temas administrados suelen ser programadores, y ellos prefieren tener equipos de escritorio por-
que por el mismo precio pueden obtener mucho más velocidad y poder en el sistema. Esto les da
una segregación natural entre equipos de escritorio y portátiles en la estructura de OU externa.
326 Parte IV: Administre objetos con Windows Server 2008
En la tabla 7-2 se delinea el uso de cada uno de los OU en esta estrategia administrativa de PC.
NOTA Tiene la opción de decidir que no se use bloquear herencia en la OU No administrada. Tendrá
que determinar y negociar con los asesores para deinir su propia directiva para PC de asesores no
administrada.
PARTE IV
grupos técnicos.
Servicios del sistema Determina cómo se comportarán determinados servicios en un equipo. Sí
Registro Permite establecer derechos de acceso a colmenas del registro. No
Sistema de archivos Permite establecer derechos de acceso a archivos y carpetas. No
Directivas de red cablea- Controla el acceso asegurado a redes y coniguraciones de single sign-on. Sí
da (IEEE 802.3)
Firewall de Windows con Controla las reglas de entrada y salida de la irewall. Sí
seguridad avanzada Controla el estado de la irewall, cuando está conectado a la red interna y
cuando usa roaming fuera de la oicina.
Directiva de red inalám- Le permite establecer directivas para conexiones de red inalámbricas Para equipos portátiles
brica (IEEE 802.11)
Directivas de clave Controla todos los parámetros de infraestructura de clave pública (PKI), Para equipos portátiles
pública incluido el cifrado del sistema de archivos.
Directivas de restricción Permite determinar cuáles aplicaciones se permiten ejecutar en su red. En el nivel de dominio
de software
Network Access Controla el acceso a redes basado en estado de salud. Para equipos portátiles y para
Protection Permite establecer la imposición de clientes, deine los parámetros de roaming de cualquier equipo
interfaces de usuario e identiica grupos de servidores coniables.
Directiva de seguridad Le permite establecer el comportamiento de la PC cuando se usa la seguri- Para equipos portátiles
IP dad del protocolo de Internet (IPSec).
NOTA Los derechos de acceso a las claves del Registro y a los archivos y carpetas deben establecerse
mediante el comando Secedit con Plantillas de seguridad. Pueden aplicarse mediante objetos de
Directiva de grupo. Se analizará más sobre este tema en el capítulo 10.
SUGERENCIA Microsoft proporciona una hoja de cálculo de Excel útil para la documentación
de GPO en www.microsoft.com/downloads/details.aspx?familyid=7821C32F-DA15-438D-
8E48-45915CD2BC14&displaylang=en. También proporciona una buena herramienta para
inventario de directivas de grupo, que se encuentra en www.microsoft.com/downloads/details.
aspx?FamilyID=1d24563d-cac9-4017-af14-8dd686a96540&DisplayLang=en.
PARTE IV
SUGERENCIA Para obtener una guía sobre la implementación de directivas de grupo con Vista,
vaya a http://technet2.microsoft.com/WindowsVista/en/library/5ae8da2a-878e-48db-a3c1-
4be6ac7cf7631033.mspx?mfr=true.
Debido a los cambios a las directivas de grupo en Vista, el formato ADMX es incompatible
con el ADM, lo que significa que los entornos que administran una combinación de Windows
2000 y XP con Vista necesitarán traducir sus plantillas existentes al formato ADMX o crear
nuevas. Las organizaciones que administran una combinación de clientes Windows necesitarán
aplicar una estrategia que permita la traducción de ADM a ADMX y viceversa, pero, por supues-
to, sólo para los parámetros que se aplican a cualquier versión de Windows.
SUGERENCIA Obtenga la ADM/ADMX Conversion Tool. Microsoft tiene licencia de una herra-
mienta de conversión de ADM a ADMX de FullArmorCorporation. Esta utilería gratuita está
disponible en www.fullarmor.com/ADMX-download-options.htm.
En versiones anteriores de Windows, cada vez que se creaba una nueva plantilla ADM, se
copiaba del sistema local al recurso compartido SYSVOL en el controlador de dominio. Luego
se copiaría a cada DC del dominio. Con Vista, se hace referencia localmente a las plantillas
ADMX en el sistema del que se generaron, pero si varios administradores de PC están trabajando
en estas plantillas, será mejor que cree un contenedor de almacenamiento central al que todos
hagan referencia cuando trabajen en plantillas nuevas o existentes. Para crear el almacén central:
1. Inicie sesión en cualquier sistema conectado con derechos administrativos en el dominio.
2. Localice el controlador de dominio Emulador de PDC en su red. La manera más fácil de ha-
cerlo es abrir Servicios de dominio de Active Directory en el Administrador del servidor, hacer
clic con el botón derecho en el nombre del dominio para elegir Maestro de operaciones, luego
hacer clic en la ficha Controlador principal de dominio para encontrar el nombre del DC. Lue-
go use Explorador de Windows para ir a su carpeta de recurso compartido SYSVOL. Debe usar
el Emulador de PDC porque es el motor que controla los cambios de GPO en la red.
3. Vaya a SYSVOL\NOMBREDOMINIO\POLICIES donde nombredominio es el nombre DNS de
su dominio.
4. Cree una nueva carpeta llamada PolicyDefinitions.
5. Copie el contenido de la carpeta C:\WINDOWS\POLICYDEFINITIONS de cualquier sistema
WS08 a la nueva carpeta que creó en el paso 4. Use WS08 porque tiene más archivos ADMX
que la versión final de Vista.
6. Incluya las carpetas ADML, por ejemplo los sistemas en español (de España) usarían la
carpeta es-Es.
7. Lance el Editor de directivas de grupo. Automáticamente hará referencia al nuevo almacena-
miento central, además de todos los editores en cualquier sistema Vista o WS08 de su dominio.
Haga esto una vez para asegurar que todas las plantillas están almacenadas en una ubica-
ción central.
NOTA No hay una interfaz de Directiva de grupo para cargar archivos ADMX en un GPO. Si
quiere agregar nuevos parámetros con base en un archivo ADMX, cree el archivo y cópielo a su
almacén central. Aparecerá en el objeto de directivas de grupo en cuanto abra de nuevo el Editor
de directivas de grupo.
Capítulo 7: Prepare la administración de objetos 331
Administración descentralizada de PC
La estructura de OU definida antes es útil si todas las operaciones de PC están centralizadas,
aunque su organización incluya oficinas regionales. Pero si incluyen un gran número de sistemas
de cómputo, tal vez necesitará tener la capacidad de permitir que los técnicos regionales realicen
algún grado de operaciones en la PC regional. Si éste es el caso, deberá tener la capacidad de
diseñar una estructura de OU que soporte la delegación de la administración. Para ello, necesita
la capacidad de crear contenedores geográficos para todas las PC.
Una vez más, sigue siendo útil segregar su tipo de objeto en el primer nivel de OU. La diferencia
recae en la estructura de OU de segundo nivel. Aquí necesitará crear una estructura geográfica para
almacenar PC. Debido a que tal vez aún tendrá PC externas en esta estructura, deberá crear tam-
bién una OU Externas. Casi todas las organizaciones que contratan asesores lo harán así en oficinas
centrales o grandes. Esto significa que su OU Externas no necesariamente necesita estar dividida en
regiones. Sin embargo, sus equipos de escritorio y portátiles necesitarán distribución regional.
Aunque cree unidades regionales, aún requerirá alguna forma de segregación para los dos tipos
de equipos. Debido a que sabe que crear una estructura regional seguida por las OU secundarias
Escritorio y Sistemas móviles sólo complicará la aplicación de GPO (porque necesitan GPO indivi-
duales para cada contenedor o se tienen que vincular las GPO de un contenedor a otro), deberá usar
una estrategia diferente. En este caso, la mejor estrategia es usar filtrado de directivas de grupo.
Cree dos niveles de OU principales, la PC, y luego las OU secundarios regionales. Luego cree gru-
pos de seguridad globales para cada tipo de PC: de escritorio o portátil. Aplique todos los objetos de
directiva de grupo a la OU PC, y fíltrelos a través del uso de sus grupos de seguridad. De esta manera,
todos los objetos de PC recibirán los GPO, aun las PC localizadas en las OU secundarias regionales.
Debido a que está habilitado el filtrado de GPO, las directivas que se aplican a equipos de escritorio
sólo se aplicarán a éstos y las directivas que se aplican a equipos portátiles sólo aplicarán a éstos.
En casi todos los casos, la OU PC contendrá las siguientes directivas (vea la figura 7-8).
PARTE IV
• Directiva PC global Aplicable a todas las PC; no se aplica filtrado.
• Dispositivo Escritorio global Filtrado con el grupo de seguridad global Escritorio.
• Directiva Sistemas móviles global Filtrada con el grupo de seguridad global Sistemas
móviles.
• Directiva PC de exhibición global Filtrada con un grupo de seguridad global PC de
exhibición.
Bloquear herencia
332 Parte IV: Administre objetos con Windows Server 2008
PARTE IV
Cree consolas personalizadas de administración de Microsoft
Uno de los impactos de la delegación dentro de Servicios de dominio de Active Directory es la
necesidad de que consolas personalizadas permitan el acceso a objetos delegados para grupos
con derechos y permisos delegados. Esto significa que puede crear una versión personalizada de
una consola de administración de Microsoft (MMC, Microsoft Management Console) que sólo
contiene los objetos a los que ha delegado el acceso y distribuir esta consola a miembros del
grupo con derechos de delegación.
NOTA Debe instalar las Herramientas de administración remota de servidor (RSAT, Remote Server
Administration Tools) en la máquina de destino antes de que pueda crear estas consolas.
2. Esto lanza una MMC vacía. Entonces debe agregar los complementos apropiados a la consola.
Para ello, vaya al menú Archivo y seleccione Agregar o quitar complemento. En el cuadro de
diálogo Agregar o quitar complementos, haga clic en el botón Agregar. Seleccione el com-
334 Parte IV: Administre objetos con Windows Server 2008
plemento que necesita (por ejemplo, Usuarios y equipos de Active Directory). Muchos comple-
mentos incluyen extensiones. Debe ver éstas para saber si son obligatorias para el grupo al que
pretende delegar esta consola. Si no, quite todas las extensiones que no sean necesarias.
3. Haga clic en Aceptar cuando haya terminado. Guarde su consola y déle un nombre apropiado.
4. Una vez que se haya agregado el complemento, vaya a la OU que desee delegar.
5. A continuación, necesita crear una vista de Cuadro de tareas para la consola. Esto le permite
modificar la manera en que se presenta la información a los usuarios. Para ello, vaya al menú Ac-
ción y elija Nueva vista del cuadro de tareas. Esto lanza su Asistente, lo cual le permite elegir el
modo de presentación para la consola. Entre las buenas opciones se incluyen Lista horizontal y
Recuadro informativo para descripciones de elementos. Aplique el Cuadro de tareas al elemento
de árbol seleccionado. Asígnele un nombre y, luego, cuando el asistente termine, asegúrese de
que la opción Agregar nuevas tareas esté seleccionada y agregue tareas al Cuadro de tareas.
6. Agregue comandos al menú. Elija el nodo del árbol como origen del comando, y agregue
comandos como Nuevo usuario, Nuevo grupo, Propiedades, etcétera. Asegúrese de seleccio-
nar la opción para ejecutar de nuevo el asistente cuando haya terminado de agregar tareas. Si
lo pasa por alto, utilice el comando Acción | Editar vista del cuadro de tareas y vaya a la ficha
Tareas para agregar más tareas.
NOTA Asegúrese de que haya elementos en esta OU; de otra manera, no tendrá acceso a todos los
comandos de las tareas que quiera delegar.
7. A continuación, necesita establecer el enfoque para esta consola. Para ello, seleccione el objeto
que desee delegar (por ejemplo, una unidad organizativa). Haga clic con el botón derecho en
este objeto y seleccione Nueva ventana desde aquí. Se desplegará la información apropiada
para los usuarios de la consola. Minimícela, cierre la otra ventana y luego maximice de nuevo
la nueva ventana.
8. Ahora necesita establecer las opciones de vista para esta ventana. Debido a que los usua-
rios de la consola no requerirán la capacidad de crear consolas, puede eliminar varios de los
elementos, como el árbol de la consola, el menú estándar, la barra de herramientas estándar,
etcétera. Para ello, vaya al menú Ver y seleccione Personalizar. Limpie todos los elementos
que no parezcan necesarios para los usuarios de la consola. Este cuadro de diálogo está vivo.
Cuando limpia un elemento, de inmediato verá el resultado en la consola tras el cuadro de
diálogo. Haga clic en Aceptar cuando haya terminado.
9. Por último, necesita personalizar la consola. Vaya al menú Archivo y seleccione Opciones.
Aquí, puede escribir una descripción de consola, asignar un nuevo icono y determinar el modo
de operación. Hay cuatro modos:
• Modo autor.
• Modo usuario, acceso completo: igual que el modo autor, pero los usuarios no pueden
agregar complementos, cambiar opciones y crear favoritos o Cuadros de tareas.
• Modo usuario, acceso limitado, varias ventanas: le da acceso sólo a los elementos seleccio-
nados cuando se guardó la consola. Los usuarios pueden crear nuevas ventanas, pero no
pueden cerrar ninguna ventana guardada antes.
• Modo usuario, acceso limitado, una ventana: igual que el modo anterior, pero los usuarios
no pueden crear nuevas ventanas.
Capítulo 7: Prepare la administración de objetos 335
NOTA Asegúrese de seleccionar la opción No guardar los cambios en esta consola; de otra manera,
se pedirá a los usuarios que guarden la consola cada vez que la usen.
10. Guarde la consola de nuevo cuando haya terminado. Pruebe la consola para asegurar que
opera de la manera diseñada. Para ello, ciérrela y vuélvala a abrir en modo de operación (en
oposición al modo autor) al hacer doble clic en su icono.
PARTE IV
de delegación de WS08 (vea la figura 7-9).
• Identificar de manera específica todos los derechos y permisos que se han delegado.
• Preparar y entregar un programa de capacitación de delegación para asegurar que todos los
oficinistas delegados estén completamente familiarizados con sus responsabilidades.
Otro aspecto requerido es la identificación de propietarios de objetos y la adición de adminis-
tradores de objetos dentro de las propiedades de cada objeto en el directorio (vea la figura 7-10).
Esto le permitirá usar el directorio para soportar la documentación de su programa de delegación.
NOTA En la igura 7-10 se despliega un nombre de usuario genérico. En el capítulo 5 se explicó que
esos nombres de cuenta genéricos no se permiten en el dominio Producción, y no deben permitirse.
Un nombre genérico se usa aquí para ilustrar el tipo de usuario que identiicaría como propietario
de una OU.
FIGURA 7-10
Asignación de propiedad
de OU.
Capítulo 7: Prepare la administración de objetos 337
Por último, lo más probable es que su plan de delegación necesitará la creación de una nueva
posición dentro de sus actividades administrativas: el administrador de delegación. Esta función
concentra todas las actividades de delegación dentro de una función centralizada. El adminis-
trador de delegación es responsable de supervisar todas las delegaciones y de asegurarse de que
toda la información que está relacionada con este proceso se mantiene y está actualizada.
Administración de PC
La última parte de su estrategia de diseño de unidad organizativa para PC es la de administra-
ción de PC que pretende usar. La administración de PC en una organización se relaciona con una
gran cantidad de actividades, que incluyen las siguientes, pero que no están limitadas a ellas:
• Inventario de hardware
• Inventario de software
• Control remoto y Asistencia remota
• Administración del ciclo de vida del software
• Medición del uso del software
Como opción predeterminada, Windows Server 2008 ofrece varias de estas opciones. En
realidad, Asistencia remota y Administración del ciclo de vida del software son características que
ahora se encuentran integradas en Windows.
PARTE IV
bbs, Ruest, Ruest y Nelly, publicado por Wiley.
Evaluación Planeación/preparación
• Características • Requisición
• Tecnología • Obtención
• Visión/estabilidad del fabricante • Entrega
• Servicio/soporte
• Costo
• Recomendación
Proceso de
• Obsolescencia compra • Descubrimiento/mejores prácticas
• Eliminación del software • Reempaquetamiento o
transformación
Ciclo de • Combinación de módulos/
Retiro Implementación
personalización
vida del
• Sistema de distribución
software • Ámbito de implementación
• Instalación con derechos elevados
Mantenimiento de • Redireccionamiento del componente
la producción • Regreso de la instalación a la última
versión correcta
vos de transformación y tienen la extensión MST. Por ejemplo, puede crear un archivo MSI global
que incluya todos los archivos del programa Microsoft Office y usar archivos de transformación
personalizados para instalar sólo Access o sólo Word, Excel, PowerPoint y Outlook, o sólo Front-
Page, o FrontPage y Access, etcétera. Por último, los archivos MSI también permiten parches. Los
archivos de parche tienen una extensión MSP y permiten la aplicación de correcciones activas y
paquetes de servicio al software instalado.
SUGERENCIA Para conocer una revisión detallada del servicio Instalador de Windows, descargue
“Working with Windows Installer”, un artículo gratuito, de www.reso-net.com/articles.asp?m=8.
Activos de software
Dado que las instalaciones de software de Windows Server 2008 mediante directivas de grupo
requieren programas habilitados por el Instalador de Windows, y dadas las importantes ventajas
que puede obtener del uso de estos tipos de instalaciones al sólo integrarlas con el servicio Insta-
lador de Windows, debe considerar seriamente la migración de todos sus programas de software
y aplicaciones a versiones que estén integradas con este servicio. Por supuesto, casi ninguna
corporación podrá lograr esto mediante actualizaciones, por varias razones. En primer lugar,
es posible que algunos programas, sobre todo los desarrollados internamente, no se puedan
actualizar con facilidad. En segundo lugar, la corporación promedio (más de 1 000 usuarios) tiene
alrededor de 300 diferentes aplicaciones de software dentro de su red. La actualización de todos
estos productos sería prohibitiva y, a menudo, innecesaria. En tercer lugar, algunas aplicaciones
simplemente no ofrecen actualizaciones. En cuarto lugar, algunos fabricantes, desafortunada-
mente, aún no integran sus productos de software con el servicio Instalador de Windows.
En casi todos los casos, tendrá que considerar el reempaquetamiento de las instalaciones de
software para aprovechar las diversas características del servicio Instalador de Windows. Hay en
PARTE IV
el mercado diversas herramientas para el proceso de reempaquetamiento. Si toma con seriedad el
empaquetamiento de la instalación, debe tomar en consideración el Wise Package Studio de Altiris
(www.wise.com) o Macromedio AdminStudio (www.macromedia.com). Ambas son soluciones muy
completas de empaquetamiento. No son los únicos productos en el mercado, como descubrirá cuan-
do busque reempaquetamiento del Instalador de Windows en Internet, pero uno de los requisitos
previos para una solución estructurada es una herramienta que proporcione la misma funcionalidad
para el software comercial de reempaquetamiento y las aplicaciones corporativas de empaqueta-
miento que desarrolle internamente. Estos dos productos proporcionan esta funcionalidad.
• Software comercial reempaquetado Todos los productos que no están actualizados deben
reempaquetarse. En casi todas las organizaciones que emprenden este proceso, 99% del soft-
ware se ha reempaquetado para aprovechar el Instalador de Windows. Sólo productos como
controladores de dispositivos o aplicaciones que instalan controladores de dispositivos se
resistirán a la integración con el Instalador de Windows.
• Aplicaciones corporativas reempaquetadas Aplicaciones corporativas que no requieren
registro o actualizaciones que pueden reempaquetarse de la misma manera que el software
comercial.
Esta tarea requerirá esfuerzos considerables, pero es uno de los procesos de migración que
proporciona la mejor y más inmediata recuperación de la inversión.
SUGERENCIA Ninguna de estas características está disponible como opción predeterminada con la
entrega de software basado en directivas, pero un fabricante, Special Operations Software (www.
specopssoft.com), ofrece extensiones de directivas de grupo que traen todas estas características
a la administración de software en ADDS, además de servicios completos de inventario. Aunque
estas características realmente son importantes por sí mismas, y deinitivamente debe investigar
sobre ellas si decide ejecutar instalaciones en sus sistemas, también ofrecen extensiones libres de
directivas de grupo. Por ejemplo, una de sus descargas gratuitas le permite activar los equipos
cuando están inactivos mediante el uso de las características Wake-on-LAN de sus sistemas.
PARTE IV
SUGERENCIA La asignación de PC a usuarios: Windows hoy en día promueve la asignación de PC
a usuarios mucho más que los sistemas operativos heredados. Esto se debe a que todas las versio-
nes son compatibles ahora con el Escritorio remoto. El uso extenso de éste reduce en gran medida
la carga de trabajo de implementación de software porque sólo necesita instalar software en un
equipo principal del usuario. Luego, si el usuario necesita usar otro sistema, en lugar de entregar
el mismo producto de software a este sistema, puede habilitar Escritorio remoto en la PC primaria
del usuario. Por tanto, el usuario puede conectarse remotamente al sistema primario del otro sis-
tema. El Escritorio remoto le da al usuario acceso a todo en su sistema principal, usa poco ancho
de banda (porque es lo mismo que los servicios de Terminal Server) y reduce en gran medida la
necesidad de instalar varias veces el mismo producto.
Actividades de implementación
Asignación de software
En cualquier organización, debe administrar software mediante asignaciones a usuarios o equi-
pos. Debe tener el objetivo de usar sistemas de entrega que se integren con el directorio lo más
posible, sobre todo con los grupos de seguridad global de ADDS. De esta manera, cualquier cam-
bio a los grupos globales realizado en Servicios de dominio de Active Directory se reflejará dentro
de su herramienta de entrega de software.
Capítulo 7: Prepare la administración de objetos 343
Además, WS08 le permite tratar las cuentas de máquina de modos muy parecidos a como
trata las de usuario. Uno de estos modos es la asignación de pertenencia a ciertos grupos, es-
pecialmente a los de seguridad global. Puede usar esta característica para administrar software
en sus PC. Para ello, necesita realizar de antemano unas cuantas actividades. Entre las que se
incluyen las siguientes:
• Inventario de todo el software en su red.
• Uso del concepto de kernel de software definido en el capítulo 3 para sus PC (el modelo PASS).
• Identificación de todo el software que no es de kernel.
• Reagrupación del software que no es de kernel en categorías: agrupamientos de software que
son los mismos para funciones dadas de TI dentro de la organización. Por ejemplo, los desa-
rrolladores Web siempre requieren FrontPage, Visio, CorelDRAW y Adobe Acrobat, además del
kernel. Estos cuatro productos se deben incluir en una categoría Desarrollador Web, pero no
en el kernel de la PC. Realice esto para todas las funciones de TI dentro de su organización.
• Creación de grupos de seguridad global para cada función dentro de Servicios de dominio de
Active Directory (el dominio Producción, por supuesto).
• Asignación de máquinas principales a cada usuario.
• Creación de un inventario que una a usuario, máquina principal y categoría de software para
cada usuario.
• Asignación de equipos en Servicios de dominio de Active Directory para grupos globales
apropiados.
Ahora está listo para administrar las entregas con base en ADDS.
Otro factor crítico para que este proceso funcione son las instrucciones de desinstalación
dentro del paquete de entrega del software. Esto es vital. El objetivo de este proceso es asegurar
que pueda mantener un estatus legal para todo el software que implementa. Si no incluye insta-
laciones de desinstalación en sus paquetes de entrega de software, el software que implemente
PARTE IV
no se eliminará automáticamente cuando una PC se elimine de un grupo que autorice la insta-
lación y el uso del software. Consulte la documentación de administración de sus sistemas para
instrucciones específicas de eliminación. La entrega basada en GPO de software lo elimina como
opción predeterminada cuando sale del ámbito de la administración.
Ahora está casi listo. Asegúrese de que sus colecciones de entrada están vinculadas con
grupos globales que creó en ADDS. Asegúrese de que son colecciones dinámicas, lo que signifi-
ca que siempre se actualizará y reasignará software a cualquier nuevo miembro de la colección.
Luego asigne paquetes de instalación de software a las colecciones apropiadas. Eso es todo.
Ahora su sistema de administración de software está listo. A partir de este momento, todo lo que
necesita hacer para entregar el software apropiado a un sistema es asegurar que se trata de un
miembro del grupo apropiado dentro de ADDS. Luego, si cambia la vocación de la PC, sólo debe
cambiar sus pertenencias de grupo. El sistema desinstalará automáticamente el software que ya
no es necesario e instalará el que pertenezca a una nueva vocación (vea la figura 7-13).
FIGURA 7-13
Uso de grupos globales El equipo pertenece al grupo
para asignar software. global “Diseñador”
Configuración
de diseñador
La PC cambia de vocación
recibe otra PC que no tiene el software apropiado. Aunque hay problemas con este proceso, el prin-
cipal es que el hecho de que ninguna PC tiene cargado el software apropiado. Es una de las razones
por las que las organizaciones no siempre se amoldan a las directrices de uso del software legal.
La solución recae en el proceso de administración del software delineado antes. Vinculado con
el proceso de delegación, este sistema asegurará que aunque las vocaciones de PC se cambien, el
software apropiado siempre permanecerá en cada PC. Para resolver el problema, debe implementar
un proceso de asignación de PC. Debe incluir varios elementos diferentes, pero principalmente:
• La implementación del proceso de administración de software basado en los grupos de cate-
gorización de PC.
• La creación de una estructura de OU que coloque objetos regionales de PC dentro de una
unidad organizativa regional.
• La delegación de derechos específicos sobre objetos de PC para el personal técnico local. Estos
derechos deben incluir la capacidad de modificar las pertenencias de grupo de un equipo.
• La documentación del proceso de asignación de PC oficial.
• Un programa de capacitación formal para todo el personal técnico regional.
Ahora que el proceso es oficial, no hay razón para que se encuentren copias de productos de
software en sistemas que se han reasignado.
Complete la estrategia de OU
Allá vamos. Ahora está listo para completar su diseño de OU para la administración y el manejo de
la PC. Ha revisado los requisitos para la aplicación de directivas de grupo. Ha revisado los requisitos
para la delegación dentro de su organización. Y ha revisado los requisitos para la administración y el
manejo de PC. Debe tener todo a la mano para seguir adelante y finalizar su diseño de OU para la
Capítulo 7: Prepare la administración de objetos 345
administración de PC. Una vez que haya finalizado, puede implementarlo. En la siguiente sección
se le da un ejemplo basado en una estrategia de administración centralizada de PC.
SUGERENCIA Hay varios complementos gratuitos de los que puede depender para simpliicar la
administración de la PC. Un buen ejemplo es Specops Gpupdate, que es un complemento gratuito
para Usuarios y equipos de Active Directory que le permite reiniciar, apagar y reactivar los obje-
tos de equipos de LAN directamente mediante esta consola. Obtenga esta herramienta de: www.
specopssoft.com/products/specopsgpupdate.
PARTE IV
capítulo 5. Le ayudarán a documentar toda su estrategia de OU/GPO/delegación/administración
para PC. En el caso de su propia red, no proceda con los demás pasos hasta que haya completado
estas cuadrículas. No debe empezar a usar ninguna de estas características hasta que las haya
planeado por completo.
Para la segunda actividad, asegúrese de que está dentro del dominio Intranet.TandT.net e
inicie sesión con derechos de administración del dominio. Luego proceda de la siguiente manera:
1. Abra Usuarios y equipos de Active Directory en el Administrador del servidor.
2. Coloque el enfoque del cursor en el dominio. Luego haga clic con el botón derecho para crear
una nueva unidad organizativa a partir del menú contextual, o use la barra de herramientas de
la consola para hacer clic en el botón Nueva Unidad organizativa. Ambas opciones desplega-
rán el cuadro de diálogo Nuevo objeto - Unidad organizativa.
3. Escriba el nombre de la OU y haga clic en Aceptar. Use la opción de protección de eliminación
si tiene confianza en que su diseño es definitivo.
4. Las OU que debe crear aparecen en la lista de la tabla 7-2, en páginas anteriores de este capí-
tulo. Repita el proceso hasta que se haya creado cada OU. No se preocupe si crea una OU en
el lugar equivocado: todo lo que necesita hacer es arrastrarla al lugar correcto, porque WS08
permite la opción de arrastrar y colocar. Recuerde usar la hoja de propiedades de OU para
dejar de seleccionar la protección de eliminación, si necesita moverla y la activó al crearla. La
estructura resultante se ilustra en la figura 7-14.
346 Parte IV: Administre objetos con Windows Server 2008
FIGURA 7-14
Estructura de OU
de administración de PC.
Se requieren cinco GPO relacionadas con PC para la Corporación T&T. He aquí cómo crearlas:
1. Empiece por descargar la hoja de cálculo de GPO que Microsoft proporciona en su sitio Web.
2. Identifique todos los parámetros que necesita para cada GPO usando la información de la
tabla 7-3.
3. Documente por completo cada GPO.
4. Cuando esté listo, inicie sesión con credenciales de administrador de dominio, y lance la
GPMC. Haga clic con el botón derecho en la OU PC y seleccione Crear un GPO en este do-
minio y vincularlo aquí.
5. Asigne un nombre a la directiva, una vez más usando la información de la tabla 7-2. A esta
directiva se le llama GPO PC global. Haga clic en Aceptar.
6. Haga clic en el vínculo y luego en Aceptar como respuesta al mensaje de advertencia. Vaya a la
ficha Detalles en el panel de detalles y cambie el estado del GPO a Configuración de usuario
deshabilitada. Confirme su decisión.
7. Haga clic con el botón derecho en el vínculo de GPO para elegir Editar. Esto lanza el Editor de
directivas de grupo (GPEdit).
8. Use la tecla * de su teclado para expandir todas las subsecciones del objeto de directiva de
grupo. Regrese a la parte superior y recorra la directiva para modificar los parámetros apro-
piados. Por ejemplo, en este GPO deberá establecer los parámetros de Windows Update para
todas las PC. También puede establecer las características de administración de energía. Cierre
GPEdit cuando haya terminado.
9. Repita este proceso para cada GPO que necesite crear. Esto incluye GPO Escritorio global,
GPO Sistemas móviles global (en especial para configuraciones de seguridad), GPO Externas
global y el GPO PC de exhibición global (si es necesario agregue una mayor seguridad y habi-
lite bucle invertido).
10. A continuación, use la GPMC para seleccionar la OU PC | Externas | No administradas. Haga
clic con el botón derecho en esta OU y seleccione Bloquear herencia. T&T ha decidido dejar
todos los sistemas externos no administrados sin ninguna asignación de GPO importante.
Se requieren dos tareas más para completar la configuración de la OU PC: delegación de
autoridad y creación de grupos de consulta de software. Ambas son relativamente simples.
T&T ha decidido que la única tarea que delegará a técnicos es la capacidad de modificar
pertenencias a grupo para PC. Esto asegurará que podrán modificar la vocación de una PC cuan-
do se reasigne a un nuevo usuario. Una vez más, esto se hace mediante Usuarios y equipos de
Active Directory en el Administrador del servidor.
Capítulo 7: Prepare la administración de objetos 347
1. Lo primero que debe hacer es crear un grupo al que pueda delegar autoridad. No importa si
aún no sabe quién estará en él; todo lo que necesita es el grupo con los derechos de delega-
ción apropiados. Puede asignar miembros más adelante. Cree un grupo de seguridad global
llamado Técnicos de PC (local). Coloque éste en el nivel superior de la OU PC. Para ello, haga
clic con el botón derecho en la OU PC y seleccione Nuevo | Grupo. Asegúrese de que la op-
ción Global esté seleccionada (es la opción predeterminada), al igual que Seguridad y escriba
el nombre del grupo. Haga clic en Aceptar para crear el grupo.
2. Ahora, haga clic con el botón derecho en la OU PC y seleccione Delegar control del menú
contextual.
3. Siga los pasos proporcionados por el asistente. Agregue el grupo Técnicos de PC (local) y lue-
go haga clic en Siguiente.
4. Delegue una tarea personalizada y luego haga clic en Siguiente.
5. En la ventana Tipo de objeto de Active Directory, seleccione Sólo los siguientes objetos en la
carpeta, y seleccione la casilla de verificación Equipo objetos y luego haga clic en Siguiente.
6. Quite la marca de la casilla de verificación General y seleccione Específico de la propiedad.
Luego recorra la vista hacia abajo para seleccionar los valores apropiados. Los técnicos requieren
el derecho de leer casi todas las propiedades de objetos y el derecho de escribir pertenencias de
grupo. Use su juicio para aplicar derechos apropiados. Por ejemplo, sería útil que los técnicos
pudieran escribir descripciones para equipos que cambian de vocación, pero no sería buena idea
dejarlos cambiar el nombre del equipo. Tome nota de cada propiedad de seguridad que asigne.
7. Haga clic en Siguiente cuando haya terminado. Haga clic en Finalizar una vez que haya revi-
sado la lista de tareas del asistente.
La delegación está ahora completa, pero aún necesita crear una consola de delegación para
los técnicos. Use las instrucciones delineadas antes para la creación de la consola, y asegúrese de
establecer el enfoque para la consola en la OU PC. Almacene también la consola en la OU PC.
PARTE IV
Por último, use los servicios de Terminal Server para distribuir la consola entre los técnicos.
La actividad final para la estrategia de OU PC es la creación de grupos de seguridad finales
que corresponden a las categorías de software de su organización. Puede tener varias de éstas, pero
casi todas las organizaciones tratan de mantenerlas al mínimo. Si ha diseñado su kernel de PC
apropiadamente, entonces debe tener la capacidad de satisfacer una clientela grande con ella: todos
los usuarios genéricos o comunes, en realidad. Luego, sus categorías de software sólo incluyen los
sistemas que requieren software adicional. Este software debe agruparse por necesidades comunes.
Una organización que tiene más de 3 000 usuarios, por ejemplo, sólo usa nueve categorías de soft-
ware por arriba del kernel. Otra con 12 500 usuarios tiene 15 categorías, sobre todo porque están
distribuidas en todo el mundo y se requieren productos de software especiales en diferentes regio-
nes geográficas. Para crear sus grupos de categoría de software, use el siguiente procedimiento:
1. Lo primero que necesita hacer es crear los grupos. No importa si no sabe cuáles máquinas
estarán en este grupo aún; todo lo que necesita es el propio grupo. Puede asignar miembros al
grupo más adelante. Cree grupos de seguridad globales porque es más fácil trabajar con ellos
y permitir otras características.
2. Para ello, haga clic con el botón derecho en el objeto OU PC en el directorio, y seleccione
Nuevo | Grupo. Asegúrese de que están seleccionadas las opciones Global y Seguridad, y
luego escriba el nombre del grupo. Use nombres significativos para ambos nombres. Haga clic
en Aceptar para crear el grupo.
3. Repita todas las veces que sea necesario.
348 Parte IV: Administre objetos con Windows Server 2008
FIGURA 7-15
Relación de administración
cruzada entre OU y grupos.
Unidad organizativa:
Ámbito vertical
Grupo 1 Grupo 2
Grupos:
Ámbito horizontal
Intranet. TandT.net
Por fortuna, podrá delegar unas cuantas de estas propiedades en otro personal. Debido a que
muchas de las propiedades de usuario tienen que ver con su ubicación dentro de la organización,
tiene sentido dejar que los usuarios administren muchas de sus propiedades particulares dentro
del directorio. También es probable que tenga varios niveles administrativos dentro de su organi-
zación. Los relacionados con el sistema se cubrirán en los capítulos 8 y 9. Los relacionados con el
usuario se cubren aquí. Las tareas administrativas se cubrirán en el capítulo 13.
SUGERENCIA Como opción predeterminada, los usuarios tienen acceso a varias propiedades de su
objeto de usuario en el directorio. La mejor manera de encontrar cuáles son éstas consiste en revisar
el directorio de su propia cuenta desde su escritorio y luego ver cuáles propiedades puede cambiar y
cuáles no. Mientras que en XP busca Active Directory mediante la herramienta general Buscar, en
Vista el motor de búsqueda de Active Directory está ahora localizado en el Centro de redes.
PARTE IV
Comparación entre User e InetOrgPerson
Servicios de dominio de Active Directory incluye dos clases de objeto de usuario: User e InetOrg-
Person. El objeto de clase User es el objeto de usuario tradicional que suelen emplear las orga-
nizaciones cuando se diseñan infraestructuras de red de Windows. En la parte de la intranet de
su red, debe concentrarse en el objeto de usuario. Si migra los objetos de usuario de una red
existente de Windows a WS08, las cuentas de usuario se crearán con la clase de objeto User.
InetOrgPerson es una clase de objeto que se encuentra en las implementaciones estándar
del protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol). Y
se ha agregado a ADDS para proporcionar mejor compatibilidad con estas implementaciones.
En LDAP, se usa para representar personas que están relacionadas de alguna manera con una
organización. En WS08, es casi exactamente lo mismo que el objeto de clase User porque deriva
de esta clase. En realidad, en el modo funcional del bosque de WS08, el objeto InetOrgPerson se
vuelve un principal completo de seguridad, habilitando el objeto que habrá de relacionarse con
una contraseña, de la misma manera que un objeto de usuario estándar. InetOrgPerson se usa en
varias implementaciones de directorio de LDAP y X.500 de terceros y se proporciona en WS08
para facilitar migraciones de estos directorios a Servicios de dominio de Active Directory.
Las implementaciones de Windows Server 2008 tienden a concentrarse en el objeto de
usuario en lugar del objeto InetOrgPerson. Pero si necesita integrar una aplicación de directorio
que requiera el uso de este objeto, o si trata de usar Servicios de dominio de Active Directory
350 Parte IV: Administre objetos con Windows Server 2008
dentro de su extranet con socios que hospedan otros servicios de directorio, le resultará muy útil
la adición de este objeto de clase.
Ambos tipos de objetos, User e InetOrgPerson, se crean del mismo modo. Interactivamente,
pueden crearse mediante el uso del comando Nuevo en el menú contextual o los botones de la
barra de herramientas dentro de la parte Usuarios y equipos de Active Directory del Administra-
dor del servidor. Debido a que ambos tipos de objeto son muy similares, se debe concentrar en la
clase de objeto del usuario.
la oficina en el directorio, porque es posible que otros usuarios dentro de su red no lo necesiten
de inmediato si cambia. Pero no debe almacenar la lista de precios de la empresa en el directorio,
sobre todo si la latencia de replicación es importante, porque significa que cuando cambia un
precio, algunos usuarios tendrán acceso al precio anterior (aún no ha ocurrido la replicación) y
algunos tendrán acceso al nuevo precio (ya ocurrió la replicación). En el mejor de los casos, esto
llevaría a clientes insatisfechos. En el peor, llevaría a posibles pérdidas para la empresa.
Además, es probable que decida que el directorio es el lugar apropiado para almacenar
direcciones y números telefónicos de empleados, pero no la dirección de la casa del empleado ni
otra información personal, porque los usuarios pueden buscar en el directorio. Usted mismo tal
vez no quiera que otros empleados le telefoneen a casa para molestarlo con preguntas sobre el
trabajo. Por otra parte, su organización debe tener esta información, pero como es de naturaleza
privada, lo más probable es que se administre dentro de la base de datos de recursos humanos.
La primera base de datos puede tener un vínculo con ADDS para permitirle compartir informa-
ción con el directorio. De manera similar, las bases de datos de administración de activos ten-
drían un vínculo con ADDS para compartir información de los recursos del equipo.
En la tabla 7-4 se muestra una lista completa de los atributos predeterminados que se pro-
porcionan para el objeto de usuario. También presenta una lista de recomendaciones de atributos
que deben considerarse como valores principales dentro de su organización. Se identifican tres
niveles de responsabilidad para la administración de atributos:
• Usuario (U) El usuario debe ser responsable de actualizar esta información en el directorio.
• Representante de usuario (RU) Debe asignarse un representante de usuario para actuali-
zar información para grupos de usuarios. En sitios más pequeños, un administrador puede ser
responsable de estos valores.
• Administrador (A) Los valores administrados en este nivel son parte de las tareas de admi-
nistración normal del sistema.
PARTE IV
Si no es necesaria la administración de atributos, ya sea porque el sistema los administra au-
tomáticamente o porque no es un valor importante que se deba incluir en el directorio, también
se indica (marcado como NN, de no necesaria).
Por último, muchos de los campos del cuadro de diálogo Usuario vienen de Windows NT y
se proporcionan para ayudar a los administradores a hacer la migración a Windows Server 2008.
Muchos de ellos están diseñados para requerir modificaciones específicas por usuario. Pero en
una red que cuenta con varios miles de usuarios, la administración por usuario de atributos como
Ubicación del perfil de usuario u Opciones del servicio Terminal Server es complicado, por decir
lo menos. En esta tabla también se identifican cuáles valores pueden administrarse mediante
GPO en lugar de la hoja de propiedades del usuario.
NOTA Para ver cada uno de los valores de la tabla, debe habilitar la opción Características avanza-
das, en el menú Ver de la consola.
Como se observa, varios de los campos están en formato de texto libre. Cuando permite que
los usuarios actualicen sus propios datos, verá que no hay control de calidad sobre la entrada
de datos en ADDS. Los usuarios pueden ingresar números telefónicos usando puntos, pueden
olvidar la adición de su código de área, incluso pueden ingresar más de un número en el campo,
352 Parte IV: Administre objetos con Windows Server 2008
PARTE IV
Móvil
Fax
Telef IP
Notas Texto libre U
Organiza- Puesto Texto libre Sí RU
ción
Departamento Texto libre Sí RU
Organización Texto libre Sí RU
Administrador: Otro cuadro de Sí RU Se usa para construir un
Nombre diálogo organigrama virtual dentro del
Cambiar directorio
Propiedades
Borrar
Supervisa a Texto automático Sí RU Asociado con el administrador
Entorno Iniciando el programa: Casilla de veri- Sí RU Relacionado con los servicios
Iniciar el programa si- icación y texto de Terminal Server
guiente al iniciar la sesión libre
Nombre del archivo de
programas
Iniciar en
PARTE IV
través de la directiva va de acceso a redes.
de red NPS
Comprobar el Id. de Casilla de Sí A Requiere equipo especial
quien llama veriicación y
texto libre
Opciones de devolu- Casillas de Sí A Para tener una conexión
ción de llamada veriicación y más segura
Sin devolución de texto libre
llamada
Establecido por quien
llama (sólo Servicios
de enrutamiento y
acceso remoto)
Siempre devolver la
llamada a
Asignar direcciones IP Casilla de Sí A Se usa si no está disponi-
estáticas veriicación y ble DHCP para RAS
Direcciones IP está- otro cuadro de
ticas diálogo
y ADDS aceptará la entrada. El soporte a este tipo de modificación no lleva al tipo de entrada de
información de estandarización requerida en su red.
Una de las mejores maneras de permitir que los usuarios administren sus propios datos
consiste en proporcionarles una página Web de intranet que les dé la posibilidad de localizar
su nombre en ADDS y modificar elementos como su dirección y número telefónico, números
telefónicos adicionales y otra información personal (vea la figura 7-16). Esta página Web puede
Capítulo 7: Prepare la administración de objetos 357
PARTE IV
FIGURA 7-16 Página de intranet de administración de datos de usuario.
autentificarlos a medida que llegan (usando las capacidades de single sign-on de WS08 e Inter-
net Information Server), validar que la información que ingresan está en el formato apropiado y
actualizar automáticamente el directorio cuando se complete. Esta página Web puede diseñarse
fácilmente empleando la Interfaz de servicios de Active Directory (ADSI, Active Directory Servi-
ces Interface) y reglas simples de validación de contenido para asegurar que todos los valores se
ingresaron en un formato estándar. Observe que toda la parte de la dirección puede controlarse
aún más mediante el uso de listas desplegables, porque pueden presentarse las opciones para
cada dirección y otros campos, como estado o provincia, código postal, etcétera, pueden llenarse
automáticamente cuando se selecciona la dirección. Esto elimina la posibilidad de errores cuando
los usuarios actualicen su propia información.
La administración de valores y atributos es parte de la evolución de su red, una vez que su
estructura de Servicios de dominio de Active Directory opere por completo.
358 Parte IV: Administre objetos con Windows Server 2008
SUGERENCIA Namescape ofrece una versión gratuita para la comunidad de su producto rDirec-
tory, que le permite construir páginas para servicio propio como la ilustrada aquí. Descárguelo de
www.namescape.com.
NOTA El UPN usa el mismo formato que una dirección de correo electrónico. Al nombre de inicio
de sesión de nivel inferior también se le denomina “nombre anterior a Windows 2000”. Es, en
realidad, el nombre usado por el Administrador de cuentas de seguridad de Windows Server 2008
y proporciona compatibilidad de bajo nivel o hacia atrás para sistemas operativos anteriores a
Windows 2000.
FIGURA 7-17
Uso de otros suijos
UPN.
PARTE IV
4. Escriba todos los sufijos que sean necesarios. No necesita más que uno si su bosque sólo tiene
un árbol. Si tiene más de un árbol en su bosque, requerirá más sufijos. Haga clic en Aceptar
cuando haya terminado.
5. Cierre la consola Dominios y confianzas de Active Directory.
6. Ahora se desplegará el nuevo sufijo en el cuadro de diálogo Nombre de inicio de sesión de
usuario y puede asignarse a usuarios (vea la figura 7-17).
Tenga cuidado con la manera en que usa los sufijos UPN. La eliminación de un sufijo UPN
que está en uso causará que los usuarios no puedan iniciar sesión en él. Pero WS08 le dará un
aviso cuando realice esta operación.
• Invitado Esta cuenta está deshabilitada, como opción predeterminada, y no es parte del
grupo Usuarios autentificados. Está diseñada para permitir el acceso a los invitados a su red.
Sin embargo, el acceso a los invitados ya no es popular. Siempre es mejor crear cuentas de
acceso limitado y habilitarlas de acuerdo con las necesidades.
• krbtgt Es la Cuenta del servicio del centro de distribución de claves. Está deshabilitada
como opción predeterminada y sólo se usa cuando pone una PKI en funcionamiento dentro
de su dominio.
Estas cuentas también se encuentran en sistemas locales, excepto la krbtgt, porque una
infraestructura de clave pública de Windows requiere un dominio para que funcione. Observe
que la cuenta de administrador integrada está deshabilitada como opción predeterminada en
Windows Vista.
Estas cuentas predeterminadas están localizadas dentro del contenedor Users en ADDS.
General Ninguno
Dirección Todo, excepto el domicilio
Cuenta Horas de inicio de sesión
Iniciar sesión en
El usuario debe cambiar la contraseña en el siguiente inicio de sesión
Cuenta deshabilitada
La contraseña nunca caduca
El usuario no puede cambiar la contraseña
Peril Todo, excepto la ruta del peril y la carpeta de inicio, ha cambiado para rele-
jar el nuevo nombre de usuario
Teléfonos Ninguno
Organización Todo, excepto el puesto
Entorno Ninguno; la cuenta se restablece a los valores predeterminados
Sesiones Ninguno; la cuenta se restablece a los valores predeterminados
Control remoto Ninguno; la cuenta se restablece a los valores predeterminados
Peril de servicios de Terminal Server Ninguno; la cuenta se restablece a los valores predeterminados
COM+ Ninguno
Certiicados publicados Ninguno
Miembro de Todo
Marcado Ninguno; la cuenta se restablece a sus valores predeterminados
Seguridad Todo
Replicación de contraseña Ninguno
NOTA Los elementos de la página de propiedades del peril sólo se retendrán apropiadamente si la
coniguración usada para crear la ruta del peril y la carpeta de inicio de la cuenta de la plantilla
se realizó con la variable %nombredeusuario% (es decir, utilizando un UNC más la variable, por
ejemplo: \\servidor\nombrederecursocompartido\%nombredeusuario%).
Además, como puede ver, muchas opciones están restablecidas a sus valores predeterminados.
Ésta es una excelente justiicación para el uso de GPO que controlen estos parámetros, porque
tiene que modiicarlos cada vez que una nueva cuenta se crea a partir de la cuenta de la plantilla.
Las cuentas de plantilla son idealmente adecuadas para delegar la creación de cuentas. El
diseño de una cuenta de plantilla para un representante de usuario y la delegación del proceso de
creación de cuenta basada en copias de ésta en lugar de la creación de una nueva desde cero ase-
gura que sus estándares corporativos se mantengan aunque delegue esta actividad.
PARTE IV
Administración masiva de usuarios
Windows Server 2008 ofrece varias mejoras en relación con la capacidad de administrar varios
objetos a la vez. Por ejemplo, puede seleccionar varios objetos y arrastrarlos y colocarlos de un
lugar a otro dentro del directorio debido a que esta funcionalidad es soportada en las consolas
ADDS.
También puede seleccionar varios objetos y modificar algunas de sus propiedades al mismo
tiempo. Por ejemplo, puede seleccionar varios objetos de usuario y modificar su descripción en un
paso. Use este procedimiento para mover varias cuentas a la vez, habilitarlas o deshabilitarlas, agre-
garlas a un grupo, enviarlas por correo electrónico y usar funciones estándar de cortar y pegar.
Pero cuando necesita realizar tareas de administración masiva de usuarios (es decir, modi-
ficar los parámetros para gran cantidad de usuarios), es mejor que use secuencias de comandos.
WS08 es compatible con el conjunto de herramientas Windows Scripting Host (WSH) y el entorno
PowerShell (excepto en Server Core). WSH incluye la capacidad de crear y ejecutar secuencias de
comandos en Visual Basic Script (VBS) o Java Script. Además, con el uso de ADSI y WMI puede
crear trabajos verdaderamente poderosos que realicen modificaciones masivas. PowerShell también
362 Parte IV: Administre objetos con Windows Server 2008
ofrece importantes capacidades de creación de secuencias de comandos, pero su uso es más simple
que el de WSH. Se cubre más sobre la creación de secuencias de comandos en el capítulo 13. Pero
por ahora es importante que comprenda que para las tareas de administración masiva de usuarios,
lo más probable es que quiera usar herramientas de creación de secuencias de comandos.
SUGERENCIA El TechNet Scripting Center proporciona información útil y ejemplos de código para
generar secuencias de comandos para diversos propósitos. Para generar secuencias de comandos
con ADSI, se ofrece una interfaz gráica gratuita para creación de comandos, ADSI Scriptomatic,
que se encuentra en www.microsoft.com/technet/scriptcenter/tools/admatic.mspx.
Cuando se trata de crear una gran cantidad de usuarios, encontrará que hay varias herra-
mientas diferentes que pueden usarse para ayudarle en estas situaciones. Algunas de las más
importantes son:
• ClonePrincipal Una serie de secuencias de comandos de VBS que copia cuentas de NT a
WS08.
• AddUser Una secuencia de comandos de VBS que agrega usuarios encontrados en una hoja
de cálculo Excel al directorio.
• Herramienta de migración para Active Directory (ADMT) Migra usuarios de directorios
heredados de Windows a WS08. Incluye migración de contraseñas.
También hay herramientas de terceros que proporcionan esta funcionalidad. Su ventaja es
que proporcionan capacidades completas de creación de informes mientras migran o crean gran-
des cantidades de usuarios.
Security ID) huérfanos, cuando los usuarios se eliminan de ADDS y sus fichas aún se aplican
individualmente a objetos de seguridad.
Eso suele llevar a la proliferación de grupos dentro de la organización. He aquí por qué:
Admin 1 crea un grupo para un fin específico. Admin 1 coloca usuarios dentro del grupo. Admin
2 viene un poco después con otra solicitud de los mismos derechos. Admin 2 no sabe que ya se
ha creado el grupo Admin 1. Así, sólo para estar seguros, Admin 2 crea un nuevo grupo para el
mismo fin, y así se sigue. Casi toda las organizaciones que no tienen un método estructurado
para la administración de grupos encontrarán que cuando migran a Windows Server 2008, deben
realizar una racionalización extensa del grupo (inventariar todos los grupos, descubrir quién es
responsable del grupo, saber el objetivo del grupo, conocer si aún es necesario, etc.). Si no se
encuentran respuestas a estas preguntas, entonces el grupo es un buen candidato para la racio-
nalización.
La mejor manera de evitar este tipo de situación es documentar todos los grupos todo
el tiempo y asegurarse de que esta documentación se comunica a todo el personal afectado.
ADDS proporciona la solución ideal. La administración del grupo ADDS está simplificada
porque el objeto del grupo da soporte a varias propiedades que ayudan al proceso de adminis-
tración del grupo:
• Descripción Este campo estaba presente en Windows NT, pero apenas se usaba. Úselo en
su totalidad en Windows Server 2008.
• Notas Este campo se usaba para identificar el proceso completo de un grupo. Esa informa-
ción proporcionará gran ayuda en la administración de grupos a largo plazo. Ni Descripción ni
Notas se encuentran en la ficha General del cuadro de diálogo Propiedades del grupo.
• Administrado por Este campo se usa para identificar al administrador del grupo. Un
administrador del grupo no es necesariamente el responsable del grupo, como se pone en
evidencia con la casilla de verificación. El administrador puede actualizar la lista de pertenen-
PARTE IV
cia. Seleccione esta casilla si tiene instaladas reglas de delegación y la persona que administra
el grupo es también la responsable de su grupo. Esta página completa de propiedades está
dedicada a asegurar que sabe quién es el responsable del grupo todo el tiempo.
El llenado de estos campos es esencial en cualquier estrategia de administración del grupo.
equipo local, su ámbito será local. Esto significa que sus miembros y los permisos que le asigna sólo
afectarán al equipo en que está localizado el grupo. Si el grupo está contenido dentro de un domi-
nio en un bosque, tendrá un dominio o un ámbito de bosque. Una vez más, los modos de dominio
y bosque tienen un impacto en una funcionalidad de grupo. En un bosque de WS08 completamen-
te funcional, podrá trabajar con los siguientes ámbitos del grupo (vea la figura 7-18):
• Dominio local Los miembros pueden incluir cuentas (usuarios y equipos), otros grupos de
dominio local, grupos globales y grupos universales.
• Global Los miembros pueden incluir cuentas y otros grupos globales desde el interior del
mismo dominio.
• Universal Los miembros pueden incluir cuentas, grupos globales y grupos universales,
desde cualquier lugar del bosque.
Aunque cambie el alcance el ámbito del grupo una vez que su bosque sea completamente
funcional, he aquí algunas restricciones:
• Los grupos globales no pueden volverse grupos si ya pertenecen a otro grupo global.
• Los grupos universales no pueden volverse globales si están incluidos en otro universal.
• Los grupos universales pueden volverse de dominio local en cualquier momento porque éstos
pueden contener cualquier tipo de grupo.
• Los grupos de dominio local no pueden volverse universales si contienen otro dominio local.
• Todos los demás cambios de ámbito del grupo son permitidos.
Los grupos pueden anidarse en WS08. Eso significa que un grupo puede incluir otros grupos
del mismo ámbito. Por tanto, puede crear “súper” grupos que están diseñados para contener
otros subgrupos del mismo tipo. Como puede ver, sin algunas directrices básicas, el uso de gru-
pos en WS08 puede volverse muy confuso. Sin embargo, en primer lugar necesita comprender la
manera en que los grupos predeterminados han sido definidos dentro del directorio.
FIGURA 7-18
Ámbitos del grupo dentro
de un bosque.
Grupo universal
Grupo global
Grupo de
dominio local
Capítulo 7: Prepare la administración de objetos 365
Grupos predeterminados
WS08 incluye dos categorías de grupos predeterminados: local y grupos de dominio o de bosque.
En el caso de los grupos de dominio o de bosque, WS08 incluye otras dos categorías: los consi-
derados grupos integrados y los considerados grupos de usuarios. En la tabla 7-6 se delinea cada
uno de los grupos predeterminados, si se encuentran localmente o dentro de ADDS, su objetivo
y su ámbito. Sólo incluyen la lista de los grupos locales o los encontrados dentro de un bosque
nativo de WS08. También presenta una lista de grupos especiales que son parte del sistema
operativo Windows. Los grupos se identifican como tales: DL para dominio local, L para local, G
para global, y U para universal. Los grupos especiales se identifican como no aplicables (n/a).
PARTE IV
Grupo de ADDS: DL Permite la replicación de contra- Si usa RODC, debe asegurarse de que
replicación de Users seña para controlador de dominio cualquier usuario que puede estar en
contraseña RODC de sólo lectura. una ubicación administrada por un RODC
permitida debe ser un miembro de este grupo.
Debe incluir otros grupos aquí, en lugar
de usuarios individuales.
Usuarios autentii- Grupo n/a Incluye todos los usuarios y equi- Este grupo no puede modiicarse.
cados especial pos que se han autentiicado.
No incluye Invitado.
Operadores de co- ADDS: Buil- DL o L Puede crear copias de seguridad No incluye miembros, como opción
pia de seguridad tin local y restaurar archivos en cualquier predeterminada.
lugar de un equipo. Es la función predeterminada en la
Puede iniciar sesión localmente y red.
apagar un equipo.
Procesamiento por Grupo n/a Incluye todos los usuarios que Este grupo no puede modiicarse.
lotes especial inician sesión a través de proce-
sos de procesamiento por lotes,
como trabajos del programador
de tareas.
Publicadores de ADDS: DL Se usa para publicar certiicados No incluye miembros como opción
certiicados Users en ADDS. predeterminada.
Esto no se usa sin PKI.
Es una función de conianza en la red.
Certiicate Servi- ADDS: DL o L Se usa para conectar a autorida- No incluye miembros como opción
ces DCOM Access Built-in des de certiicación dentro del predeterminada.
bosque. Es una función de conianza en la red.
Propietario creador Grupo n/a Incluye cualquier usuario autenti- Este grupo no puede modiicarse.
especial icado que ha creado un objeto.
Grupo creador Grupo n/a Se usa para soportar herencia de Este grupo no puede modiicarse.
especial permiso.
Operadores cripto- ADDS: DL Se usa para realizar operaciones No incluye miembros como opción
gráicos Built-in criptográicas. predeterminada.
Es una función de conianza en la red.
Grupo de repli- ADDS: DL Las contraseñas no se incluyen Incluye la mayor parte de los grupos
cación de RODC Users en caché de RODC. administrativos, como opción predeter-
denegada minada.
Esto protege la organización al asegu-
rar que ninguna contraseña se almace-
nará alguna vez en la caché de RODC y
que siempre debe obtenerse de DC de
lectura-escritura asegurados.
Marcado Grupo n/a Incluye todos los usuarios que Este grupo no puede modiicarse.
especial han iniciado sesión mediante
acceso remoto.
Usuarios COM ADDS: DL o L Se usa para ejecutar objetos No incluye miembros como opción
distribuidos Built-in COM distribuidos en equipos. predeterminada.
DNS Admins ADDS: DL Otorga todos los derechos al No incluye miembros, como opción
Users servicio DNS. predeterminada.
Es una función de conianza en la red.
DNS UpdateProxy ADDS: G Otorga derechos para actuali- Este grupo está vacío, como opción
Users zar registros a nombre de otra predeterminada.
entidad. Sólo se usa si incluye equipos que eje-
cutan sistemas diferentes de Windows
2000 o posterior en su red.
Admins. de do- ADDS: G Otorga derechos globales a todo Incluye a los administradores del
minio Users el dominio. dominio.
Es una función de conianza elevada
en la red y la pertenencia debe limitar-
se fuertemente.
Equipos del ADDS: G Otorga derechos para operar Incluye todas las estaciones de tra-
dominio Users dentro del dominio. bajo y servidores que se han unido al
dominio.
Controladores de ADDS: G Otorga derechos para administrar Incluye todos los DC en el dominio.
dominio Users operaciones de dominio del nivel
del sistema.
Invitados de ADDS: G Otorga derechos de invitado al Incluye todas las cuentas de invitado.
dominio Users dominio. De uso limitado hoy en día.
Usuarios del ADDS: G Otorga derechos de uso de domi- Incluye todas las cuentas de usuario en
dominio Users nio común. el dominio, aún los administradores.
Administradores ADDS: U Otorga derechos globales a todo Incluye a los administradores del
de empresas Users el bosque. dominio raíz.
Es una función muy coniable en la
red y la pertenencia debe limitarse
fuertemente.
Controladores de ADDS: U Otorga el derecho a almacenar Incluye todos los RODC en el bosque.
dominio de sólo Users contraseñas en una caché de
lectura sólo lectura.
Lectores del regis- ADDS: DL o L Se usa para leer registros de No incluye usuarios como opción
tro de eventos Built-in eventos de los equipos. predeterminada.
Todos Grupo n/a Incluye Usuarios autentiicados Este grupo no puede modiicarse.
especial e Invitados, pero no Usuarios
anónimos.
Propietarios del ADDS: G Otorga derechos para crear y Incluye al administrador como opción
creador de directi- Users modiicar GPO. predeterminada.
vas de grupo Es una función de conianza en la red.
Invitados ADDS: Built- DL o L Contiene la cuenta Invitado. Este grupo tiene un uso limitado.
PARTE IV
in local
IIS_IUSRS ADDS: DL o L Se usa para IIS. No incluye miembros como opción
Built-in predeterminada.
Creadores de con- ADDS: DL Se usa para crear conianzas de No incluye miembros como opción
ianza de bosques Built-in bosque. predeterminada.
de entrada Es una función de conianza en la red.
Interactivo Grupo n/a Incluye todos los usuarios que Este grupo no puede modiicarse.
especial inician sesión localmente o me-
diante el Escritorio remoto.
Red Grupo n/a Incluye todos los usuarios que Este grupo no puede modiicarse.
especial inician sesión a través de la red.
Operadores de ADDS: Built- DL o L Otorga derechos de coniguración Éste es un grupo técnico especial
coniguración de in local de red de cliente que puede usarse para dar soporte a
red actividades de detección y solución de
problemas de red en clientes.
Usuarios Local L Incluido para compatibilidad con Este grupo está diseñado para dar a
avanzados sistemas antiguos. los usuarios más autonomía sobre sus
Puede crear cuentas de usuario y sistemas sin tener que otorgarles dere-
modiicar y eliminar esas cuentas. chos administrativos completos.
Puede crear grupos locales y Los usuarios también pueden ejecutar
modiicar esos grupos. aplicaciones heredadas, en este caso,
Puede crear recursos compartidos este grupo se compara con el grupo
y administrar impresoras locales. Usuarios en Windows NT.
Usuarios del regis- ADDS: DL Se usa para dar seguimiento al No incluye miembros como opción
tro de rendimiento Built-in rendimiento en los sistemas. predeterminada.
Usuarios del moni- ADDS: DL Se usa para acceder a los datos No incluye miembros como opción
tor de sistema Built-in de rendimiento. predeterminada.
Acceso compatible ADDS: Built- DL Otorga acceso de lectura a Sólo se usa si equipos de Windows NT
con versiones in local todos los usuarios y grupos del 4.0 están presentes en el dominio.
anteriores de dominio.
Windows 2000
Operadores de ADDS: Built- DL o L Puede administrar impresoras e Este grupo se utiliza para delegar
impresora in local imprimir colas. administración de impresora y de cola
de impresión.
Usuarios de Escri- ADDS: Built- DL o L Otorga a los usuarios el derecho Los administradores no necesitan ser
torio remoto in local de iniciar sesión remotamente en parte de este grupo porque tienen
un equipo. inherentemente este derecho.
Se usa para delegar tareas de soporte
remoto.
Servidores RAS ADDS: DL Otorga derechos para acceder a Sólo contiene servidor.
e IAS Users propiedades de acceso remoto Está vacía como opción predetermi-
del usuario nada.
Todo servidor que se use para propor-
cionar acceso remoto o acceso a red
privada virtual debe ser miembro de
este grupo.
Controladores de ADDS: G Otorga el derecho a almacenar Incluye todos los RODC en el dominio.
dominio de sólo Users contraseñas en una caché de
lectura sólo lectura.
Duplicadores ADDS: Built- DL o L Soporta replicación de Este grupo debe contener sólo cuentas
in local directorios. de servicio o cuentas que están dise-
ñadas para representar servicios y no
usuarios reales.
Administradores ADDS: U Otorga derechos para modiicar Incluye a los administradores del
de esquema Users la estructura de la base de datos dominio raíz.
de ADDS. Es una función de conianza elevada
en la red y debe limitarse la pertenen-
cia a él fuertemente.
Operadores de ADDS: DL Puede iniciar sesión en servidor, Este grupo se usa para delegar tareas
servidor Built-in administrar recursos comparti- de administración del servidor.
dos, crear copias de seguridad de Es una función de conianza en la red.
archivos y restaurarlas, formatear
el disco duro y apagar el sistema.
Servicio Grupo n/a Incluye todos los usuarios Este grupo no puede modiicarse.
especial que han iniciado sesión como Controlado por el sistema operativo.
servicio.
Servidores de ADDS: DL Se usa para administrar licencias No incluye miembros como opción
licencias de Termi- Builtin de TS en la red. predeterminada.
nal Server
Usuarios de ser- Grupo n/a Incluye todos los usuarios que Este grupo no puede modiicarse.
vicios de Terminal especial han iniciado sesión en una Termi-
Server nal Server que opere en modo de
compatibilidad TS4.
Usuarios ADDS: Built- DL o L Se usa para soporte a tareas Incluye Usuarios autentiicados y
in local comunes de uso de equipos. miembros del grupo Interactivo.
Puede crear grupos locales y En un dominio, también se incluye el
modiicarlos. grupo Usuarios del dominio.
Es el grupo más común en su red.
Grupo de acceso ADDS: DL Se usa para acceso universal y Incluye controladores de dominio
de autorización de Built-in ichas de atributo global. empresariales.
Windows
PARTE IV
Como puede ver, WS08 proporciona un amplio número de grupos predeterminados. Varios
de éstos deben usarse para la delegación de actividades administrativas dentro de la red. Pero a
medida que examina estos grupos, se dará cuenta de que hay cierta lógica en la manera en que
se usan. Esta lógica integra la base de su estrategia de administración de grupos.
La regla AGLP
FIGURA 7-19
Regla AGLP. Acceso a dominio
Dominio Permisos de
Grupo local directorio
Permisos de
Cuentas Grupo global Grupo local extremo
Acceso de bosque
Grupo universal
Usado para acceso a
todo el bosque
Acceso a dominio
Dominio Permisos de
Grupo local directorio
Permisos de
Cuentas Grupo global Grupo local extremo
Capítulo 7: Prepare la administración de objetos 371
Los nombres de grupo estándares y el manejo del administrador del grupo son dos áreas que
requieren mayor análisis antes de que pueda finalizar su estrategia de administración de grupo.
PARTE IV
• El nombre del grupo WS08 Éste es, en realidad, el nombre que usará para administrar el
grupo.
• El nombre del grupo de nivel inferior Es similar al nombre que usó en Windows NT.
• La dirección de correo electrónico del grupo Es cómo se comunica con los miembros de
un grupo.
Debido a esto, debe reconsiderar la manera en que nombra a sus grupos para hacer un mejor
uso del directorio. En realidad, debe tomar en cuenta la posible delegación de la administración
de pertenencia a grupos. Por ejemplo, si en su departamento de relaciones públicas quieren que
cree un grupo especial para ellos, que usarán para asignar permisos de archivos y carpetas y para
comunicarse con los administradores del departamento dentro de la red, podría decidir que una
vez que se cree el grupo, no quiere añadirle la carga de la administración cotidiana del contenido
de este grupo. Como tal, podría delegar la administración del contenido de grupo en alguien del
departamento de relaciones públicas. Esto podría hacerse para un gran número de grupos en su
organización.
Y como sólo los grupos globales deben contener usuarios, únicamente necesita considerar la
delegación de grupos globales. También, al retener la administración de grupos locales, retiene el
control sobre permisos y derechos que asigne a cualquier usuario de la organización.
Además, recuerde que los usuarios pueden buscar en el directorio. En una red estructurada,
deberá mantener un control férreo sobre la creación y multiplicación de grupos. Su estrategia
372 Parte IV: Administre objetos con Windows Server 2008
central tiene que concentrarse en combinar funciones de grupo. Por ejemplo, si integra Microsoft
Exchange con su directorio, necesitará administrar muchos grupos de distribución más. Pero si
su estrategia de grupo de seguridad está bien definida, entonces varios de sus grupos existentes
tendrán la doble función de grupos de distribución. Por tanto, debe tener una cantidad conside-
rablemente menor de grupos de distribución que de seguridad. Tal vez ni siquiera tenga que crear
ningún grupo de distribución si ha hecho su tarea.
El uso de este tipo de estrategia de asignación de nombres reducirá en gran medida los do-
lores de cabeza administrativos. Esta estrategia, junto con las directrices delineadas antes, deben
producir los siguientes resultados:
• Los grupos universales y de dominio local son los menos numerosos. Sólo se usan para fines
muy especiales.
• Los grupos de seguridad globales deben ser los más abundantes en su bosque. Desempeñan
la doble función de grupos de seguridad y distribución.
• Los grupos de distribución globales deben ser menos numerosos que los de seguridad globa-
PARTE IV
les. Los grupos de distribución sólo deben usarse si no hay un grupo de seguridad que pueda
servir para el mismo fin.
Apéguese a estas reglas. La administración de grupos requiere controles férreos, sobre todo
si se trata de una tarea delegada. Use un proceso de creación de grupos estándar para simplificar
sus actividades de administración de grupos (vea la figura 7-20).
Si, por otra parte, trata las cuentas de usuario como funciones de usuario dentro de su
organización en lugar de tratarlas como individuos, puede aprovechar las características de
ADDS para facilitar su trabajo. Para ello, necesita desactivar y cambiar el nombre de las cuentas
en lugar de volverlas a crear. Por ejemplo, Raquel Pérez, administrador del grupo de seguridad
global de relaciones públicas, deja la empresa. Como sabe que su organización no operará sin
alguien en la función de Raquel, no eliminará su cuenta; sólo la desactivará. Días después,
contratan a Juan Gómez para reemplazar a Raquel. Ahora puede reactivar la cuenta antigua de
Raquel, cambiarle su nombre a Juan Gómez, restablecer la contraseña y forzar un cambio de
contraseña en el siguiente inicio de sesión. Automáticamente, Juan tendrá todos los derechos y
permisos de Raquel o, más bien, todos los derechos y permisos incluidos en su nueva función
en la organización.
Esto es viable incluso si una persona sólo cambia de puesto dentro de la organización. Una
vez más, como las personas trabajan con nombres y ADDS trabaja con ese SID, el uso de una
nueva cuenta o el cambio de nombre de una es completamente transparente. Por otra parte, el
administrador del sistema obtendrá grandes ventajas del cambio de nombre de la cuenta, porque
sólo tiene que realizar unas cuantas tareas y habrá terminado.
En algunos casos, los empleados de seguridad estarán en contra de esta práctica porque
temerán que no podrán dar seguimiento a la actividad del usuario dentro de la red. Tienen
razón en este sentido. Como ADDS lleva registro de los usuarios mediante sus SID, es el único
valor que se garantiza cuando se ven informes de auditoría. Cuando cambia un nombre de
usuario, estará usando continuamente el mismo SID. Si no mantiene registros estrictos que
ayuden a seguir la pista cuando se modifica el nombre de usuario para un SID, no podrá saber
quién era el propietario del SID antes del usuario actual. Peor aún, no sabrá cuándo el usuario
actual se volvió propietario del SID. Esto podría causar problemas al usuario, especialmente si
el propietario anterior realizó algunas acciones poco honestas antes de irse.
Capítulo 7: Prepare la administración de objetos 375
Una vez más, el mantenimiento de registros estrictos es una parte importante de cualquier
estrategia de administración de usuarios. Además, necesita realizar un proceso de identificación
del administrador de grupo antes de que pueda seguir adelante con la creación de cualquier
grupo dentro de su red paralela de ofrecimientos de servicios virtuales.
PARTE IV
cadas antes, en la estrategia de administración de PC. Trate de mantener el número de estas
funciones abajo de 20. Por ejemplo, una organización que tiene más de 4 000 usuarios sólo
tiene nueve funciones de tecnología de la información definidas dentro de la red.
• Grupos de línea de negocios En casi todos los casos, también deberá tener la capa-
cidad de administrar verticalmente a los usuarios. Por ejemplo, si el departamento de
finanzas quiere ponerse en contacto con todos sus miembros, se necesitará un grupo
global Finanzas. Muchas de estas agrupaciones tendrán que crearse con la estructura de
unidad organizativa en su dominio, pero no puede usar una OU para enviar mensajes
de correo electrónico; sólo puede hacerlo con un grupo. Además, muchos departamentos
tendrán personal distribuido en una gran cantidad de OU, sobre todo si su organización
incluye oficinas regionales y necesita delegar actividades de administración regional. Trate
de mantener esas agrupaciones al mínimo, también. En muchas organizaciones, la regla
“Departamentos menos 1” es todo lo que se necesita. Eso significa que sigue la estructura
jerárquica de la compañía a un nivel abajo del de los departamentos. En el departamento
de finanzas, se incluiría el grupo Finanzas, luego Tesorería, Nómina, Compras, etc. Sin
embargo, es probable que también necesite una división más detallada de sus grupos
dentro del departamento de TI.
376 Parte IV: Administre objetos con Windows Server 2008
Sin importar cuál sea el tipo de grupo que cree o administre, recuerde que la clave para una
estrategia de administración de grupos que tenga éxito es la documentación, ya sea dentro o fue-
ra del directorio. Documente sus grupos dentro del directorio empleando las estrategias delinea-
das antes. Y documente sus grupos fuera del directorio mediante bases de datos externas y otros
métodos de documentación.
La estructura de la OU Persona
En el capítulo 5 se delineó la estructura de OU para los objetos de persona. Esta estructura se
desplegó en la figura 5-13, junto con otros dos tipos principales de OU: PC y Ofrecimientos de
servicios virtuales. La estructura de la OU Persona se usa para reagrupar objetos específicos den-
tro de una sola estructura de OU. Ésta debe permitir la aplicación de directivas de grupo basadas
en usuarios, además de parte de delegación de tareas administrativas. Y, como los Servicios de
dominio de Active Directory dependen de una base de datos que debe ser estática hasta donde
sea posible, deberá asegurar que su estructura de OU Persona sea lo más estable posible. Cada
vez que realice cambios masivos a la estructura de OU, se reemplaza el controlador de dominio
dentro del dominio de producción.
Por esto es por lo que no querrá incluir la estructura de su organización (como se despliega
en su organigrama) dentro de la estructura de la OU Persona. Muchas organizaciones tienden a
modificar su estructura de autoridad jerárquica varias veces al año. La replicación de esta estruc-
tura dentro de su diseño de OU Persona sólo significará más trabajo, porque estará modificando
constantemente su estructura de OU para reflejar los cambios a su organigrama.
Su estructura de OU aún necesita representar la estructura de su organización en algún gra-
do. Por esto es por lo que la estructura OU Persona se basa principalmente en tres conceptos:
PARTE IV
delegar.
• Grupos de intereses especiales Lo más probable es que su organización incluya grupos
de usuarios que tienen requisitos especiales, que no satisfacen ningún otro grupo. Por tanto,
necesita crear OU que contengan estos agrupamientos de usuario especiales. Por ejemplo, el
departamento de tecnología de la información es un representante excelente de un grupo de
interés especial.
También recordará que la mejor estructura de OU no se extiende más allá de cinco niveles
secundarios. Esta estructura básica incluye tres niveles principales, pero ofrece la posibilidad de
delegar aún más la creación de subniveles a grupos de intereses especiales. El resultado final de
su diseño de OU Persona se orienta a satisfacer todas las necesidades del usuario. Como tales, es
posible que necesite realizar alguna operación de prueba y error. Se vuelve a usar la estructura de
la OU Persona propuesta en el capítulo 5, pero ahora ha evolucionado para tomar en cuenta una
visión refinada de sus necesidades (vea la figura 7-21).
FIGURA 7-21
Estructura propuesta
de una OU Persona.
nistración del grupo o las actividades de administración; tal vez no la creación de grupos, pero
seguramente sí la administración de la pertenencia a grupos. Para ello, necesita implementar
delegación en dos lugares: la estructura de OU Persona y la de OU Grupo. Al final, es mejor
hacer que la estructura de OU Persona realice la doble tarea e incluir objetos de grupos y de
usuario.
Además, el único ámbito de grupo que necesita incluirse aquí es el que contiene realmen-
te los objetos de usuario. Es el ámbito del grupo global. Esto significa que su estructura de OU
Persona hospedará grupos globales, pero que todos los demás grupos (dominio local y universal)
estarán hospedados en otro lugar. En realidad, debido a que los primeros ámbitos de grupo son
de naturaleza operativa (proporcionan acceso a objetos o a bosques) deben almacenarse den-
tro de la estructura de OU Ofrecimientos de servicios virtuales. Como tales, debe controlarse su
acceso de lectura, haciendo que sólo los grupos globales estén disponibles para los usuarios, con
el fin de investigar ADDS.
PARTE IV
ficar sus propias necesidades en relación con la creación de una OU secundaria. Por esto, nece-
sita proporcionar asesoría a esos grupos para que puedan determinar por qué necesitan mayor
segregación y decidan qué tipo de reagrupación desean usar. Al proporcionarles una sesión de
asesoría preliminar quedará libre para seguir con otras tareas de diseño mientras debaten entre
ellos sobre el modelo que necesitan. Luego, una vez que hayan decidido, pídales que presenten
su propuesta de estructura secundaria de OU y determine con ellos si sus necesidades se cum-
plen. Una vez que ambos estén de acuerdo en el diseño, puede implementarlo y proporcionarles
el mismo tipo de tareas de delegación que dio a los representantes de usuario.
La delegación en ambas situaciones sólo funcionará si ha identificado antes en quién de-
legará. Como en el proceso de identificación del administrador del grupo, la delegación de OU
necesita un proceso completo de identificación del representante del usuario antes de que pueda
empezar la implementación de su diseño de OU Persona dentro de la red paralela de ofrecimien-
to de servicios virtuales.
En la estructura de OU PC, se desactivaron las partes del usuario del GPO. Esta vez, las par-
tes del equipo de GPO deben desactivarse, porque sólo los usuarios están vistos como destino en
la OU Persona.
En la tabla 7-8 se detalla la parte del usuario de una GPO y los valores aplicables para la red.
Como verá, hay una amplia variedad de parámetros de configuración disponibles mediante
las GPO de usuario. Los detalles de todas y cada una están más allá del alcance de este libro,
pero algunos elementos importantes se delinean en las siguientes secciones. La configuración
que aplique dependerá principalmente del tipo de ambiente que desee crear. Tómese el tiempo
de revisar y comprender cada configuración. Luego decida cuál necesita aplicar. Una vez más,
la documentación completa es la única manera en que podrá asegurarse de que mantiene una
estrategia de GPO de usuario coherente.
PARTE IV
grandes
Vínculos Igual que AppData. Redirecciona para
protección de
datos
Búsquedas Igual que AppData. Redirecciona para
protección de
datos
Juegos guardados No protege. No es obligatorio
QoS basada en Deine los parámetros de calidad de servicio (QoS, Quality of Servi- Para PC
directiva ce) para lujo de video y audio. solamente
Mantenimiento de Controla la interfaz de usuario, la conexión, los URL, la seguridad y Es obligatorio para
Internet Explorer los programas del explorador. todos los usuarios.
Controla los parámetros de IE de su organización (logos, página de Puede personali-
inicio, soporte a URL, etcétera). zarse aún más en
Los programas se derivan de los parámetros del escritorio o del subniveles
servidor usado para crear el GPO.
Muchos de estos parámetros pueden reemplazar la coniguración
en el Kit de administración del administrador de conexión.
Plantillas administra- Las plantillas administrativas son componentes de GPO que pue- Sí
tivas den incluirse en secuencias de comandos y que pueden usarse
para controlar una amplia variedad de parámetros, como com-
ponentes de Windows, menú Inicio y barra de tareas, escritorio,
Panel de control, carpetas compartidas, red y sistema.
Panel de control Controla opciones regionales y de idioma, además de permitirle En entornos
modiicar las imágenes predeterminadas de inicio de sesión. multilingües o
corporativos
Escritorio Controla el comportamiento de los elementos de escritorio. Sí
Red Controla los parámetros relacionados con la red, como conexiones Establece sólo
de red, archivos fuera de línea y Windows Connect Now. un nivel de PC
Carpetas compartidas Controla el comportamiento del sistema de archivos distribuidos; Sí
se cubre en el capítulo 8.
Menú Inicio y barra de Controla el comportamiento de los elementos del menú Inicio. Sí
tareas
Sistema Controla los parámetros de todo el sistema, como las opciones de Sí
CTRL+ALT+SUPR, instalación de controladores, redireccionamiento Compartido con
de carpeta, directiva de grupo, administración de comunicación el nivel PC
en Internet, servicios locales, inicio de sesión, rendimiento, Panel
de control, administración de energía, acceso a almacenamiento
extraíble, secuencias de comandos, periles de usuario y Windows
HotStart.
Esta sección controla el comportamiento de cada característica
incluida.
La sección Scripts, por ejemplo, determina el comportamiento de
las secuencias de comandos, no sus nombres.
También controla el comportamiento de los periles de usuario en
PC; debe modiicar este comportamiento si trata de trabajar con
periles de roaming y redireccionamiento de carpeta.
Use acceso de almacenamiento extraíble para controlar si los
usuarios pueden o no conectar dispositivos como unidades USB,
Use servicios locales, que le permiten cambiar automáticamente
parámetros en PC para coincidir con los valores de idioma de un
empleado.
La administración de energía debe establecerse en el nivel de PC.
Componentes de Controla parámetros como NetMeeting (para asistencia remota), Sí
Windows virtual de Internet Explorer, Centro de ayuda y soporte técnico,
Explorador de Windows, Consola de administración de Windows,
Programador de tareas, servicios de Terminal Server, comporta-
miento del Instalador de Windows, Windows Messenger, Windows
Update, Reproductor de medios de Windows y mucho más.
Aquí son útiles varios parámetros.
Los parámetros del Centro de ayuda y soporte técnico ayudan
a limitar la información de Internet que se proporciona a sus
usuarios.
PARTE IV
junto con la variable de nombres de usuario (%nombredeusuario%). Debido a que NT está basa-
da en el estándar de asignación de nombres NetBIOS, es necesario que todo esté en mayúsculas
para que la operación funcione.
La administración de los datos de usuario es muy simple en NT: cree un directorio de inicio,
cree un directorio de perfil (si es necesario), implemente una tecnología de administración de
cuotas e inicie la copia de seguridad de los datos. Si esto es lo que está acostumbrado a hacer,
verá que todas estas operaciones funcionan en Windows Server 2008, pero muchos de los con-
ceptos ya no se usan.
Con la introducción de IntelliMirror en Windows 2000, Microsoft redefinió la administración de
datos de usuario en la plataforma Windows. En WS08, los directorios de inicio ya no son necesarios.
Mucho de lo mismo se aplica al perfil de roaming. Y en una red paralela, una en donde se lucha por
evitar la transferencia de procedimientos heredados, deberá volver a meditar seriamente sus estra-
tegias de administración de datos de usuarios si quiere obtener lo máximo de su migración.
Originalmente, el directorio de inicio estaba diseñado para proporcionar una manera simple
de asignar los recursos compartidos de usuario en una red. En Windows NT, el uso de la varia-
ble %nombredeusuario% generaba automáticamente la carpeta y aplicaba de la misma manera
los parámetros de seguridad apropiados, dando al usuario completa propiedad sobre la carpeta.
Además, en las estaciones de trabajo de Windows NT se asignaba automáticamente la unidad de
red apropiada al inicio de la sesión. Debido a que la carpeta estaba en una unidad de red, podía
fácilmente crear copias de seguridad y proteger los datos de todos los usuarios. En Windows
384 Parte IV: Administre objetos con Windows Server 2008
Server 2008 y Windows Vista, ya no es necesario utilizar unidades asignadas. Windows Server
2008 ofrece una tecnología mucho más interesante, basada en el concepto de UNC, para admi-
nistrar todos los recursos compartidos de red. Éste es el sistema de archivos distribuido (DFS,
Distributed File System). Está diseñado para proporcionar un sistema de recursos compartidos
de archivo unificado que sea transparente para los usuarios sin la necesidad de asignar unidades.
Por supuesto, puede suceder que necesite algunas unidades asignadas, porque lo más probable
es que aún estará hospedando algunas aplicaciones heredadas, sobre todo las que han sido desa-
rrolladas en casa. Pero para las carpetas de usuario, las unidades asignadas ya no son necesarias.
Desde Windows 2000, Microsoft se ha concentrado en el uso de la carpeta Documentos
como el hogar de todos los documentos de usuario. Esta carpeta es parte de la estrategia de se-
guridad para todas las ediciones de Windows posteriores a Windows 2000. Está almacenada den-
tro de un perfil de usuario y se protege automáticamente de todos los demás usuarios. Lo mismo
es válido para todos los parámetros de aplicación del usuario. Ya no están almacenados dentro
de ninguna de las aplicaciones o el directorio del sistema. Las aplicaciones que están diseñadas
para dar soporte al programa Windows Logo almacenan sus parámetros que un usuario puede
modificar dentro del perfil de éste.
La parte de redireccionamiento de la carpeta de una directiva de grupo del usuario puede
administrar varias carpetas críticas y aceptar recursos compartidos de red para cada una. Cuando
el redireccionamiento se activa mediante la directiva del grupo, el sistema crea una carpeta es-
pecial basada en el nombre de usuario (de manera parecida al antiguo proceso de directorios de
inicio) y aplica los parámetros de seguridad apropiados. Cada una de estas carpetas se crea den-
tro de la carpeta principal del usuario. Los datos en esas carpetas se redireccionan desde la PC de
escritorio a las carpetas de red. Debido al proceso de optimización rápida de inicio de sesión, se
requiere que un usuario inicie sesión dos veces antes de que todos los datos se redireccionen.
SUGERENCIA Asegúrese de que sus usuarios están al tanto de que deben almacenar sus datos
dentro de la estructura de la carpeta Documentos; de otra manera, no estarán protegidos.
Los datos de estas carpetas también pueden cifrarse mediante el cifrado de sistema de
archivos (EFS, Encrypting File System). Si el cliente es de Windows XP o posterior, pueden
cifrarse los archivos fuera de línea. Pero si decide seguir usando la estructura del directorio de
inicio y redirecciona los documentos al directorio de inicio, no podrá activar el cifrado de datos
en un archivo de usuario, porque el usuario no podrá descifrar los datos almacenados en la
carpeta redirigida; una razón más para evitar el uso de directorios de inicio. EFS se cubre en el
capítulo 10.
PARTE IV
tamaño era simplemente excesivo. Imagine cuánto se tomaría un inicio de sesión en un sistema si
tuviera un perfil mayor de 1 GB. Incluso en la mejor de las redes, estaría justificado irse a tomar un
café por la mañana mientras se espera a que se complete el proceso de inicio de sesión.
Los perfiles de roaming ya no se requieren en la red de WS08 debido a tres razones principales:
• Es posible redireccionar la parte central del perfil de usuario mediante directivas de grupo, lo
que permite que quede disponible para el usuario todo el tiempo.
• Si la copia de seguridad del perfil es la justificación para implementar perfiles de roaming,
entonces los perfiles locales deben respaldarse de manera regular con la User State Migration
Tool (USMT). Esta herramienta puede utilizarse para crear una tarea recurrente que copie de
manera regular todos los perfiles de usuario locales a una ubicación central, de la que luego
puede crearse una copia de seguridad.
• Windows Vista y Windows Server 2008 dan soporte al Escritorio remoto. Cuando se adminis-
tra adecuadamente, éste permite a los usuarios tener acceso a su propio escritorio local desde
cualquier ubicación de la red. Esto elimina casi por completo la necesidad de los perfiles de
roaming de usuario.
Si encuentra que aún necesita perfiles de roaming de usuario, asegúrese de tomar en cuenta
las siguientes reflexiones:
386 Parte IV: Administre objetos con Windows Server 2008
• No use almacenamiento en caché del lado del cliente en recursos compartidos del peril
de roaming El mecanismo del perfil de roaming tiene su propio sistema de caché, que entra
en conflicto con el sistema de archivos fuera de línea.
• Maneje adecuadamente el tamaño de las cuotas que establece para los usuarios con per-
iles de roaming Si la cuota del disco es demasiado baja, la sincronización del perfil fallará
al cerrar la sesión.
Lo mejor que puede hacer es empezar a usar la nueva estrategia de red y concentrarse en el
redireccionamiento de carpetas en lugar de los directorios de inicio o los perfiles de roaming.
SUGERENCIA Para conocer un esquema de la estrategia detallada de la manera en que puede com-
binar los periles de roaming y el redireccionamiento de carpetas para obtener lo mejor de ambos
mundos, lea el capítulo 8 de The Deinitive Guide to Vista Migration, una descarga gratuita
de www.realtime-nexus.com/dgvm.htm.
partidos de red mediante las características de DFS. La imposición de asignación mediante una
secuencia de inicio de sesión se está volviendo cosa del pasado.
Tal vez sea necesario habilitar ciertas asignaciones de unidad de red para proporcionar
soporte a aplicaciones heredadas que aún no se han actualizado para aprovechar por completo
características como DFS, pero en casi todos los casos será una medida temporal. Si esto es lo
que sucede, puede asignar secuencias de comandos de inicio de sesión en la parte Configuración
de usuario de la directiva de grupo.
Lo cierto es que necesita volver a pensar su estrategia de secuencia de comandos de inicio
de sesión, para asegurarse de que no duplica esfuerzos que pueden proporcionarse mediante la
configuración de directivas del grupo. Lo que también es cierto es que cuando configura y crea
cuentas de usuarios, ya no necesita el uso de la ficha Perfil de la cuenta del usuario.
Las secuencias de comandos están ahora ubicadas en el recurso compartido SYSVOL, bajo el
identificador de objeto de directiva de grupo en el que están activadas.
PARTE IV
cada OU en una tabla, de manera muy parecida a como lo hicimos con el diseño de la OU PC.
Persona Uno Agrupar a todos los usuarios GPO Persona Aplica a todos los usuarios
de la organización global Es principalmente una OU marcadora de
posición
Incluye todos los grupos globales de la
función de TI
Unidad de ne- Dos Agrupar a todos los usua- Es posible, Segrega a los usuarios por unidad de
gocios 1 a x rios, de acuerdo con las pero no nece- negocios
unidades de negocios de la sariamente Sólo incluye usuarios para oicinas
organización obligatoria. centrales
Evítese, si es Incluye grupos globales para la unidad de
posible negocios
Creación de usuarios (a partir de cuentas
de plantilla) y administración de perte-
nencia a grupos se delega a representan-
tes de usuarios
Región 1 a x Tres Agrupar a todos los usuarios Posible, no Creación de usuarios (a partir de cuentas
dentro de una región requerido de plantilla) y administración de pertenen-
Se crea bajo la unidad de absolutamen- cia a grupos. Se delega a representantes
negocios de operaciones te. Evitar en lo de usuarios
regional posible Incluye grupos administrativos regionales
especiales
Grupo de tra- Dos Agrupar a todos los usuarios GPI SIG El GPO se concentra la coniguración de
bajo especial como el equipo de interven- los servicios de Terminal Server
ción inmediata Todos los usuarios tienen acceso a su
propio Escritorio remoto, además de las
operaciones regionales
Proyectos Dos Agrupar todas las OU Pro- Sólo para categorización
yectos Contiene principalmente otras OU
Puede contener un grupo de adminis-
tración si se delega la administración y
creación de OU basadas en proyectos
Proyecto 1 a x Tres Agrupar todos los grupos La administración de pertenencia a
de usuarios que están grupos se delega al representante del
relacionados con cualquier usuario del proyecto
proyecto determinado
Administrativo Dos Agrupar todos los grupos La administración de pertenencia a
globales y OU secundarias grupos se delega al representante del
para la unidad de negocios usuario
de administración
Recursos Tres Agrupar todos los usuarios Segrega a los usuarios por servicio
humanos, de acuerdo con el servicio Incluye sólo usuarios para oicinas
Recursos administrativo organizacional centrales
materiales, Incluye grupos globales para el servicio
Finanzas, Co- La creación de usuarios (a partir de
municaciones, cuentas de plantilla) y la administración
Contabilidad de pertenencia a grupos se delega a
representantes de usuario
TI y SI Tres Agrupar todos los usuarios Es posible, Segrega usuarios por servicio
de acuerdo con el servicio pero no obliga- Sólo incluye usuarios para oicinas
administrativo organizacional torio centrales
Incluye grupos globales para el servicio
La creación de usuarios (a partir de
cuentas de plantilla) y la administración
de pertenencia a grupos se delega a
representantes de usuario
La creación de OU secundarias también
es posible aquí y puede delegarse
En la tabla 7-9 se delinea una posible estructura para la OU Persona de la corporación T&T.
Como se mencionó antes, T&T tiene varias oficinas principales donde la creación de usuario se
delega en cada unidad de negocios. Además, tiene varias oficinas regionales que cuentan con
oficinas de seguridad locales que realizan muchas de las tareas de administración del usuario.
Como los objetos sólo pueden estar contenidos dentro de una OU, varios usuarios de diferentes
unidades de negocios se localizan dentro de las OU regionales. Por tanto, la OU de unidad de
negocios real debe contener usuarios de las oficinas centrales además de los grupos globales que
se utilizan para reagrupar a todos los usuarios de la unidad de negocios, sin importar dónde está
localizada la cuenta del usuario dentro del directorio. T&T también tiene grupos de intereses es-
peciales, sobre todo un equipo tipo intervención directa que se usa para proporcionar reemplazo
de emergencia para el personal que está ausente por una razón u otra. Debido a que los miem-
bros de este grupo deben tener capacidad para jugar una función de usuario operativo dentro de
la organización, se reagrupan en una OU especial. Por último, T&T maneja las operaciones me-
diante proyectos. Por tanto, su estructura de OU Persona debe incluir administración de grupos
basada en proyectos. Estas necesidades se toman en cuenta, y la estructura de OU resultante se
delinea en esta tabla.
NOTA Mantenga un férreo control sobre el proceso de creación de OU secundarias, porque debe
asegurarse de que el rendimiento del directorio no sea afectado debido a una estructura de OU
demasiado compleja.
PARTE IV
Puede proceder a la creación de esta infraestructura de OU porque ha diseñado su matriz de in-
fraestructura de la OU Persona (consulte la tabla 7-9). Para esto se supone que ha realizado todas
las actividades de identificación que aparecen en la lista anterior, como preparar una matriz de
propósito del grupo, identificar a todos los administradores del grupo y a todos los propietarios
de OU y representantes de usuario.
Una vez hecho esto, puede proceder a la creación de la infraestructura. Las actividades que
necesita realizar para crear esa estructura son:
• Crear cada OU.
• Crear el GPO Persona global y modificar sus parámetros (consulte la tabla 7-8).
• Crear la estructura de grupo requerida para asignar derechos y delegar administración; esto
debe incluir:
• Grupos globales para cada unidad de negocios (dirección menos 1).
• Grupos de proyecto para cada OU del proyecto.
• Grupos administrativos especiales para redireccionamiento de carpetas y representantes de
usuario (para delegación).
• Grupos globales de función de TI (deben almacenarse en la OU Persona de nivel superior).
• Grupos operativos para asignación de derechos. Éstos no están almacenados en la in-
fraestructura de la OU Persona, sino más bien en la de la OU Ofrecimientos de servicios
virtuales (consulte el capítulo 8). Para momentos futuros, estos grupos pueden almacenarse
390 Parte IV: Administre objetos con Windows Server 2008
• Grupos de la función de
usuarios de TI • Grupos globales para la unidad de
• Aplicable a todos los usuarios GPO
negocios
• Delegación a representantes de usuario
E
l principal propósito de una red es la entrega de ofrecimientos de servicios a una comuni-
dad de usuarios. Una de las tareas más importantes que emprenderá cuando diseñe la red
paralela de ofrecimientos de servicios virtuales será la implementación de la infraestructura
que dará soporte a estos ofrecimientos. Esta implementación incluirá dos pasos principales: la
creación de los servidores que hospedarán cada tipo de ofrecimiento de servicios y la creación de
la infraestructura unidad organizativa (OU, Organizational Unit) que dará soporte a la adminis-
tración de servicios dentro del directorio.
En el capítulo 3 se identificaron ocho funciones de servidor dentro de la empresa. Dos de
ellas ya se han cubierto con cierta amplitud: los servidores de administración de identidad (con-
troladores de dominio) y los de infraestructura nativos. Otro tipo, el servidor de recuperación de
fallas, es en realidad un duplicado de servidores existentes, y con la virtualización de todos los
ofrecimientos de servicios, esta función se concentra en la duplicación de las máquinas virtuales
que integran sus ofrecimientos de servicios virtuales. Dicha función se cubrirá en la parte de este
capítulo en que nos concentraremos en las tecnologías de replicación (el motor que permite la
duplicación de archivos que integran una máquina virtual).
Ello deja cinco funciones clave cuando se diseña su infraestructura de servicio:
• Servidores de archivos e impresión Servidores que proporcionan servicios de almacena-
miento e impresión estructurada de documentos a la red.
• Servidores de aplicaciones Servidores que proporcionan servicios de aplicación con base
en aplicaciones comerciales, como SQL Server, Comerse Server, etc., o en aplicaciones corpo-
rativas personalizadas. También incluye aplicaciones basadas en .NET Framework.
• Terminal Servers Servidores que proporcionan un entorno central de ejecución de aplica-
ciones; todo el entorno de ejecución reside en el propio servidor.
• Servidores Web dedicados Servidores que proporcionan servicios Web.
• Servidores de colaboración Servidores que proporcionan la infraestructura de colaboración
dentro de la empresa. Entre sus servicios se incluyen SharePoint Team Services, delineación de
servicios de medios, servicios de correo electrónico y comunicaciones en tiempo real.
391
392 Parte IV: Administre objetos con Windows Server 2008
NOTA La función de servidor Web dedicado se cubrirá en el capítulo 9, junto con la función del
servidor de aplicaciones.
PRECAUCIÓN Con el advenimiento de los ofrecimientos de servicios virtuales, tal vez decida recu-
rrir al uso de servidores de varios propósitos, debido a los riesgos de seguridad y la complejidad de
su coniguración. Como ahora puede virtualizar cada servidor que ofrece un servicio determinado
a los usuarios, tal vez sea mejor usar una máquina virtual para cada servicio que debe ofrecer a
las regiones. Aunque esto aumentará el número total de servidores que debe administrar, será
más simple administrar cada uno de ellos, porque su coniguración estará más enfocada. Al inal,
necesitará equilibrar la simplicidad de la administración con el número general de servidores y las
licencias que debe comprar. Por supuesto, con el nuevo modelo de licencias para servidores virtua-
les, se vuelve mucho más fácil usar una sola licencia para varios equipos virtuales.
También será importante cubrir temas específicos de continuidad del negocio para todos los
tipos de servidor, como el del equilibrio de carga de red y los servicios de clúster de recuperación
Capítulo 8: Construya la infraestructura de ofrecimientos de servicios virtuales 393
de fallas. Ambos ofrecen poderosas características que reducen el riesgo dentro de la empresa. Estos
temas se analizarán con mayor detalle en el capítulo 11. Además, en cada capítulo se tratarán los
ofrecimientos de servicios que incluyen una tabla en que se delinean los requisitos de negocios para
construir la función del servidor. Esto funcionará como guía para la construcción del servidor.
Por último, una vez que se haya cubierto la base de los servicios empresariales, será el
momento de diseñar la estructura del OU Ofrecimientos de servicios virtuales dentro del
directorio. Al igual que para las estructuras de OU Persona y PC, este diseño incluirá objetos
de directiva del grupo (GPO) y principios de delegación, pero también incluye de manera
única el diseño de un plan de administración de ofrecimientos de servicios virtuales. Como en
las versiones anteriores de Windows, WS08 ofrece la capacidad de concentrarse en derechos
administrativos específicos, con base en la tarea de la que el administrador es responsable. Esto
significa que ya no necesitará otorgar derechos de administración de dominio a todos y cada
uno para que realicen su trabajo, como lo hacía en Windows NT. Este plan de administración
de ofrecimientos de servicios virtuales será un elemento clave de su infraestructura de seguri-
dad para la red que está construyendo.
La estructura de ofrecimientos de servicios virtuales será construida a medida que cada
servicio se agregue a la red. Es en este punto cuando debe identificarse el contenido de la OU.
Una vez que cada ofrecimiento de servicios se haya cubierto, se cubrirán de manera detallada los
requisitos administrativos, de delegación y de directiva del grupo para cada uno.
PARTE IV
sión permiten reducir los costos de impresoras de hardware al compartir menos impresoras entre
más usuarios. Además, los servidores de almacenamiento central de archivos pueden indizar el
contenido para todos los usuarios, facilitando el reciclaje de la información.
Windows Server 2008 ofrece varias características para dar soporte a ambas operaciones. En
realidad, compartir archivos e impresión en WS08 se ha vuelto algo muy complejo.
• Discos básicos Los discos básicos son particiones que sólo atienden un disco físico. Cuando
usa RAID de hardware, la estructura de RAID puede verse en Windows como un disco básico,
aunque esté integrado por varios discos físicos.
• Discos dinámicos Los discos dinámicos se crean en Windows para permitir que el sistema
operativo administre particiones que abarcan más de un disco físico. Los discos dinámicos
sólo deben usarse si trata de administrar redundancia de discos mediante el sistema operativo
de Windows, lo que no es recomendado.
• Unidades de disco Las unidades de disco se usan para atender volúmenes de discos me-
diante la interfaz de Windows.
Hay otros términos relacionados con discos en uso en Windows, pero son los que utilizará
cuando trabaje con almacenes de recursos y ofrecimientos de servicios virtuales.
El hecho innegable del almacenamiento de archivos es que siempre aumenta y raramente se re-
duce. Por fortuna, los discos son ahora muy económicos, pero como sabe que es probable que deba
expandir el sistema de almacenamiento en discos en algún momento, tiene sentido usar un subsis-
tema que acepte fácilmente las expansiones físicas con poco o nulo impacto sobre las particiones ló-
gicas. Por ello es importante usar sistemas RAID de hardware, ya que liberan al sistema operativo de
las tareas de administración de discos de bajo nivel. Hoy en día, hay sistemas RAID disponibles para
discos de interfaces pequeñas de sistemas de cómputo (SCSI, Small Computer System Interface) y
datos adjuntos seriales de tecnología avanzada (SATA, Serial Advanced Technology Attachment), de
modo que casi cualquier organización puede adquirir la infraestructura de almacenamiento apropia-
da y usar sus capacidades de hardware para proteger los datos en el nivel del disco.
PARTE IV
información en almacenes de recursos y ofrecimientos de servicios virtuales, la estructura de dis-
cos que construya se volverá cada vez más importante. Los almacenes de recursos tratarán con
discos físicos porque actúan en el nivel del hardware. Pero los ofrecimientos de servicios virtuales
tratarán con unidades de discos virtuales, que son archivos que residen en los discos físicos usa-
dos por el almacén de recursos. Esto significa que debe empezar por construir y crear su almacén
de recursos de discos físicos y luego, una vez que estén listos, puede construir los servidores de
archivos virtuales que hospedarán.
Ya ha iniciado este proceso, pero es necesario un análisis más a profundidad, que se concen-
tre en el uso del almacenamiento de recursos compartidos por parte de los servidores hosts. El
almacenamiento compartido es esencial para los almacenes de recursos, si quiere construir conti-
nuidad del negocio y tener alta disponibilidad en su infraestructura de TI. Cuando los servidores
hosts comparten recursos de discos, puede mover cargas de trabajo de un host a otro, porque
ambos tienen acceso al recurso de discos donde residen las unidades de discos virtuales que inte-
gran la máquina virtual. Por supuesto, también debe incluir las características de unión en clúster
para recuperación de fallas en sus servidores hosts, pero eso se cubrirá en el capítulo 11, donde
analizaremos las prácticas de continuidad del negocio.
Almacenamiento compartido significa el uso de almacenamiento adjunto de red (NAS, Net-
work Attached Storage) o de redes de área de almacenamiento (SAN, Storage Area Network).
Windows Server 2008 puede conectarse al almacenamiento de recursos compartidos mediante
SCSI, canal de fibra o interfaces pequeñas de sistemas de cómputo de Internet (iSCSI, Internet
396 Parte IV: Administre objetos con Windows Server 2008
Small Computer System Interface). Cada uno requiere que funcione su propio componente de
hardware. Pero una vez que el almacenamiento compartido esté vinculado al servidor, empezará a
trabajar con las unidades de disco creadas y estructuradas dentro de su entorno de almacenamiento
compartido. Estas unidades podrán aprovechar las características de redundancia disponibles en su
infraestructura de almacenamiento compartido. Empiece por preparar esas estructuras y luego siga
adelante para que Windows trabaje con sus interfaces de administración de discos.
Debido a que los servidores host ejecutan la implementación de Server Core de WS08, no
tiene acceso a las mejoras de la interfaz gráfica de la instalación completa de WS08 para la ad-
ministración del almacenamiento compartido. En cambio, debe utilizar herramientas de línea de
comandos. Una de estas herramientas es el comando DISKPART.EXE, que le permite controlar
el almacenamiento adjunto directo y el compartido. También le permite crear configuraciones
iniciales de disco, además de expandir volúmenes de disco una vez que se hayan creado. Pue-
den usarse ya sea interactivamente, mediante su propio entorno de comandos o pueden crearse
secuencias de comandos al crear listas de ellos en un archivo de texto y llamar después a este
archivo cuando se ejecute el comando.
Debe crear una estructura de disco estándar para todos los servidores físicos en el almacén
de recursos. Esta estructura debe incluir lo siguiente:
• Unidad C: Es el disco del sistema.
• Unidad D: El disco de almacenamiento de datos compartidos. Este disco hospedará todas
las unidades de disco duro virtuales que integran los ofrecimientos de servicios virtuales.
• Unidad E: Un disco compartido secundario que se usa para proporcionar servicios de copia
de seguridad para el contenido de la unidad de datos.
• Unidad Y: La unidad del servidor de DVD/CDRW.
Todos sus servidores hosts deben usar esta estructura de discos. Debido a que los volúmenes
de discos pueden expandirse, no será necesaria ninguna otra letra de unidad.
Cuando trabaja con el comando DISKPART, primero debe seleccionar el disco, el volumen o
la partición con que quiere trabajar, y luego aplicar los comandos al objeto seleccionado. Debido
a que es un entorno de ejecución, la mejor manera de obtener ayuda de este comando consiste
en escribir primero DISKPART en el indicador de comandos; luego, una vez que esté abierto el
entorno de ejecución, escriba HELP. Escriba EXIT para cerrar el entorno de ejecución de DIS-
KPART y regresar al indicador de comandos.
Consulte al fabricante de su almacenamiento para determinar la manera en que debe confi-
gurarlo y conectarlo a sus instalaciones de Server Core.
PARTE IV
requieren tres carpetas de nivel superior: Datos, Aplicaciones y Administración. Cada una se
usará para reagrupar carpetas que almacenarán contenido similar.
• En segundo lugar, use nombres de carpetas representativos. Si una carpeta se usará para
almacenar datos de usuario, llámela DatosUsuario.
• En tercer lugar, use palabras combinadas. Es decir, no incluya espacios ni caracteres especiales
entre palabras. Si el nombre de su carpeta es Datos de usuario, escríbalo como DatosUsuario.
Desafortunadamente, aún hay vestigios de NetBIOS en WS08. NetBIOS prefería cadenas de
palabras que no usaban espacios ni otros caracteres especiales. Incluso las tecnologías Web los
prefieren. Los espacios también complican cualquier ruta de archivos a la que necesite hacer
referencias en secuencias de comandos o herramientas de línea de comandos porque requie-
ren comillas al principio y al final.
• En cuarto lugar, asigne a sus carpetas los nombres con los que querrá que aparezcan sus
recursos compartidos. Un buen ejemplo aquí es el uso del signo de pesos ($) al final de un
nombre de carpeta. Recuerde que cuando comparte una carpeta con el signo de pesos al final,
se vuelve un recurso compartido “oculto”; por ejemplo, no puede verse mediante los mecanis-
mos de exploraciones de red.
398 Parte IV: Administre objetos con Windows Server 2008
Disco de datos
Carpeta principal para los archivos del
sistema y las herramientas de soporte
Carpetas de proyectos
• En quinto lugar, cree la misma estructura de carpetas en todos los servidores que tengan una
vocación de archivos e impresión, aunque deberá compartir cada una de las carpetas en cada ser-
vidor. Esta estrategia le permitirá activar rápidamente un recurso compartido de carpetas cuando
deje de funcionar un servidor de archivos. Debido a que cada servidor tiene la misma estructura
de carpetas, la activación de la carpeta compartida en un caso de emergencia es rápida y fácil.
Empleando estas pautas, las carpetas deben crearse de acuerdo con los detalles delineados
en la tabla 8-1.
Permisos NTFS
Windows Server 2008 es similar a versiones anteriores de Windows en que los permisos de las
carpetas compartidas se basan en una combinación de NTFS y permisos de carpeta comparti-
dos. Como tales, se aplican las mismas reglas. Esto significa que, debido a que resulta complejo
administrar permisos de archivos y de recursos compartidos, se vuelve mucho más fácil concen-
trarse en permisos NTFS, porque son los permisos finales aplicados cuando los usuarios acceden
a archivos mediante recursos compartidos de red (vea la figura 8-2).
La combinación de los permisos de carpetas compartidas con permisos NTFS puede volverse
confusa y difícil de detectar en caso de problemas, si los combina y los correlaciona. Para simpli-
ficar el proceso, sólo debe usar permisos NTFS en casi todos los casos, debido a que siempre se
aplican los permisos más restrictivos.
En Windows Server 2008, hay dos maneras principales de compartir una carpeta. La primera
consiste en hacer clic con el botón derecho en la carpeta y seleccionar Compartir. Ese comando
abre un cuadro de diálogo Archivos compartidos, que presenta una lista con el creador de la
Capítulo 8: Construya la infraestructura de ofrecimientos de servicios virtuales 399
Nombre de Permisos de
Nombre de recurso Configuración recursos
carpeta compartido fuera de línea Permisos NTFS compartidos Comentario
Aplicaciones Aplicaciones Disponible Usuarios: Leer más Leer y Todos: Lector Esta carpeta comparte
automáticamente Ejecutar Administradores: aplicaciones localizadas en
y optimizado para Control total un lugar central.
rendimiento
Departa- Departamento n Seleccionado por Departamento: Leer Todos: Colabo- Los datos pueden cifrarse,
mento n el usuario Representante del usuario: rador pero no deben compri-
Modiicar mirse.
Administradores: Control Es la carpeta principal del
total departamento; sólo los
representantes del usuario
pueden escribir en ella y
crear subcarpetas.
Proyecto n Proyecto n Seleccionado por Integrantes del proyecto: Todos: Colabo- Los datos pueden cifrarse,
el usuario Modiicar Administradores: rador pero no deben compri-
Control total mirse.
Público Público No se almacena Todos: Modiicar Todos: Colabo- Los datos no deben cifrar-
en caché Administradores: Control rador se ni comprimirse.
total Los documentos o subcar-
petas especíicos pueden
establecerse como sólo
lectura para la mayoría de
los usuarios.
DatosUsua- DatosUsuario$ Disponible Todos: Modiicar Adminis- Todos: Colabo- Los datos pueden cifrarse,
rio$ automáticamente tradores: Control total rador pero no deben comprimir-
y optimizado para se. Esta carpeta se usará
rendimiento para dar soporte al redirec-
cionamiento de carpetas
para todos los usuarios.
PARTE IV
Correccio- CorreccionesAc- No se almacenan Todos: Leer más Leer y Todos: Leer Los datos no deben cifrar-
nes Activas$ tivas$ en caché Ejecutar se ni comprimirse.
Administradores: Control
total
ServicePac- ServicePacks$ No se almacenan Todos: Leer más Leer y Todos: Leer Los datos no deben cifrar-
ks$ en caché Ejecutar se ni comprimirse.
Administradores: Control
total
Orígenes$ Orígenes$ No se almacenan Todos: Leer más Leer y Todos: Leer Los datos no deben cifrar-
en caché Ejecutar se ni comprimirse.
Administradores: Control
total
Herramien- Herramientas- No se almacenan Todos: Leer más Leer y Todos: Leer Los datos no deben cifrar-
tasSoporte$ Soporte$ en caché Ejecutar Equipo de ad- se ni comprimirse.
Administradores: Control ministradores:
total Colaborador
carpeta como propietario. La lista desplegable incluye dos elementos: Todos y Buscar. En casi
cualquier caso, puede asignar derechos de recursos compartidos al grupo Todos, porque dedicará
más tiempo a controlar el acceso mediante la seguridad o los permisos NTFS de la carpeta. Si
400 Parte IV: Administre objetos con Windows Server 2008
necesita localizar otro grupo, seleccione Buscar y escriba el nombre del grupo para localizarlo en
los Servicios de dominio de Active Directory (ADDS, Active Directory Domain Services). Una vez
que haya seleccionado el grupo correcto, haga clic en el botón Agregar. Windows Server asignará
automáticamente la función Lector al grupo que agregue. Para cambiar la función, haga clic en el
menú desplegable para seleccionar otro (vea la figura 8-3). Puede asignar la función Colaborador,
porque controla los permisos de manera más estricta dentro de la ficha Seguridad de las propie-
dades de la carpeta. Para completar el proceso de compartir, haga clic en el botón Compartir. Un
indicador de Control de cuentas de usuario se desplegará. Apruebe el cambio y haga clic en Listo
cuando haya completado la operación.
NOTA El uso del cuadro de diálogo Archivos compartidos no le permite cambiar el nombre de la
carpeta compartida.
La segunda manera de compartir una carpeta consiste en hacerlo mediante el cuadro de diá-
logo Propiedades de la carpeta. Haga clic con el botón derecho en la carpeta y seleccione Propie-
dades. Haga clic en la ficha Compartir y luego haga clic en Uso compartido avanzado. Apruebe el
indicador del Control de cuentas de usuario. Esto despliega un nuevo cuadro de diálogo, que le
permite controlar cada una de las características de la carpeta compartida en una sola ubicación.
Seleccione la casilla de verificación Compartir esta carpeta. Ahora puede cambiar el nombre del
recurso compartido, los permisos de control y manejar los permisos y las configuraciones de al-
macenamiento en caché. Observe que cuando comparte carpetas de esta manera, Windows Server
2008 asigna automáticamente los mismos permisos básicos a cada nueva carpeta compartida: Todos
Leer. ¡Esto es diferente de todas las versiones anteriores de Windows! Si los usuarios necesitan escribir
en una carpeta compartida, estos permisos deben modificarse a Todos Cambiar. De lo contrario, se
aplicarán los permisos más restrictivos y nadie tendrá derecho a escribir en una carpeta compartida.
PRECAUCIÓN Será importante que se asegure de darse un tiempo para comprobar los permisos
para compartir carpetas antes de inalizar el proceso. De otra manera, recibirá varias llamadas de
ayuda relacionadas con recursos compartidos que no funcionan.
Es correcto asignar permisos Todos (o Colaborador) Cambiar a casi todo, porque se aplicarán
permisos NTFS, aunque sus permisos no sean restrictivos. Microsoft establece el comportamien-
to predeterminado del proceso de carpetas compartidas en sólo lectura con el fin de proporcionar
mejor seguridad para las empresas que no preparan de antemano su configuración de NTFS.
Para estar a salvo de usuarios indiscretos cuando comparte sus carpetas, siempre debe aplicar
permisos NTFS antes de que se habilite un recurso compartido.
La mejor práctica, en cuanto a permisos de carpetas compartidas, consiste en establecer los
permisos de acuerdo con lo siguiente:
PARTE IV
• Establecer Todos Leer (o Lector) para todas las carpetas de aplicaciones compartidas, de insta-
lación, de herramientas de soporte, etcétera.
• Establecer Todos Cambiar (o Colaborador) para todas las carpetas de datos compartidas, y
establecer permisos apropiados de NTFS por carpeta.
Es raro que se necesite establecer el permiso Todos Control total (o Copropietario).
PRECAUCIÓN Es importante establecer Todos Cambiar como permisos de carpeta compartida para
las carpetas compartidas que hospedan el redireccionamiento de datos de usuario. De otra manera,
el proceso de creación automático de carpetas que se habilita cada vez que se aplica la directiva a
un nuevo usuario no podrá crear automáticamente las carpetas de datos usuario.
Cuotas de disco
Otro factor importante en el intercambio de archivos son las cuotas de disco. Windows Server
2008 ofrece un verdadero proceso de administración de cuotas de discos mediante el Administra-
dor de recursos del servidor de archivos (FSRM). El uso de cuotas en WS08 se identifica mediante
la propiedad del archivo. Eso significa que puede dar seguimiento al uso total de cuotas carpeta
por carpeta. Las cuotas pueden asignarse a carpetas específicas. Pueden ser definitivas o relati-
vas. Las cuotas definitivas, en ocasiones llamadas cuotas duras, evitan automáticamente que los
402 Parte IV: Administre objetos con Windows Server 2008
usuarios almacenen datos adicionales una vez que han alcanzado un límite. Con cuotas relativas
o suaves, usted, como administrador, recibirá una advertencia cuando se ha alcanzado el límite,
pero el usuario aún tendrá la capacidad de almacenar datos en el servidor. Usará el modo que
mejor se amolde a sus necesidades, pero debido a que el espacio en disco es barato y resulta fácil
expandir los discos virtuales, debería orientarse al método de las cuotas relativas, establecer lími-
tes y luego determinar si aumentará este límite para los usuarios cuando lleguen las advertencias.
También puede establecer cuotas automáticas, dependiendo de una plantilla para establecer
una cuota en una carpeta. Cuando hace esto, la plantilla de cuota se aplicará automáticamente a
todas las carpetas creadas. Por ejemplo, las cuotas automáticas son ideales para el recurso com-
partido DatosUsuario$ porque se aplican automáticamente cada vez que se crea una subcarpeta
para redireccionamiento de carpetas por un usuario.
Las cuotas son recursos valiosos que debe vigilar de manera constante, de modo que es
agradable saber que WS08 proporcionará informes amplios sobre los recursos de sus servidores
de archivos. No sólo vigila el empleo de las carpetas compartidas, sino que también informa de
su ejecución por usuario, además del espacio en disco total disponible, proporcionando gran
cantidad de advertencias si necesita expandir el disco usado para almacenar los datos de carpetas
compartidas. Hay varios informes predefinidos: archivos más grandes, más usados, de uso más
reciente, archivos por propietario, por grupo y mucho más. Es posible ejecutar interactivamente
los informes o de manera programada.
Las cuotas también le permitirán aplicar alguna forma de vigilancia de archivos, asegurando que
los usuarios almacenen sólo los formatos aceptables en sus servidores. Por ejemplo, tal vez prefiera
que sus usuarios no almacenen archivos ejecutables en carpetas de datos. Esto puede hacerse a través
de la vigilancia de archivos. Una vez más, esta característica depende de plantillas que se asignan al
servidor de archivos. Al igual que con las cuotas, puede usar una directiva dura o suave para vigilancia
de archivos, bloqueando por completo a los usuarios para que no los guarden en un recurso compar-
tido o simplemente permitiendo que se genere una advertencia de que un tipo de archivo no auto-
rizado se almacenó en su servidor. La vigilancia de archivos no es un sistema definitivo, porque sólo
depende de la extensión del archivo para que funcione. Los usuarios avanzados podrían entonces
cambiar las extensiones de los archivos que quieren almacenar para evitar la directiva. Podría consi-
derar el impacto en el rendimiento de hacer que sus servidores de archivos vigilen todos y cada uno
de los archivos que se almacenan en ellos y optar, mejor, por una directiva escrita (para distribuirla
entre usuarios finales y que se base en las poderosas opciones de creación de informes de FSRM).
Instantáneas
Windows Server 2008 incluye una característica poderosa para apoyar el uso de carpetas compar-
tidas: las instantáneas. Esta característica toma automáticamente una instantánea de los archivos
localizados en una carpeta compartida a intervalos regulares. Está diseñada para ayudar en el
proceso de recuperación de versiones anteriores de archivos, sin tener que depender de copias de
seguridad. La característica de instantáneas es muy parecida a una opción “deshacer”. Es útil para
los usuarios que a menudo necesitan regresar a una versión anterior de un archivo o cuando, por
accidente, destruyen archivos que aún necesitan.
WS08 usa un horario predeterminado para crear instantáneas: 7:00 a.m. y mediodía. Si no
cumple con sus necesidades, puede cambiarlo. Por ejemplo, tal vez prefiera crear instantáneas
a mediodía y a las 5:30 p.m. si su personal empieza a trabajar muy temprano. Pero como tiene
la opción de crear hasta 512 instantáneas en un servidor, puede configurar casi cualquier hora-
Capítulo 8: Construya la infraestructura de ofrecimientos de servicios virtuales 403
rio que necesite. Debe usar un volumen separado para las instantáneas y establecer su tamaño
máximo en este volumen. El uso de un volumen separado aumentará el rendimiento del servidor
de archivos, porque no será necesario realizar la operación de escritura de instantáneas en el
mismo disco que el recurso compartido de archivos. El establecimiento de un tamaño máximo
asegurará que las instantáneas más antiguas se sobrescriban cuando sea necesario y que el disco
usado para almacenarlas no se llene sin advertirlo.
Se accede a las instantáneas mediante la ficha Versiones anteriores de las propiedades de un
objeto de archivo. Éste puede ser el propio archivo o una carpeta que lo almacena. Los usuarios y
administradores tienen acceso a versiones anteriores siempre y cuando cuenten con derechos de
acceso NTFS a un archivo o carpeta.
Cada instantánea ocupa 100 megabytes (MB). Por ello, no es una copia de seguridad com-
pleta de un disco, sino una copia de los apuntadores de archivos que identifican el lugar en que
se localiza el archivo en un disco. Cuando se sobrescribe un archivo, WS08 usa un proceso de re-
envío de escritura que escribe la nueva versión del archivo en un área vacía del disco. Las instan-
táneas pueden retenerse siempre y cuando el disco tenga suficiente espacio libre. Obviamente,
versiones antiguas del archivo terminan sobrescritas a medida que el disco se llena. Para asignar
tamaño a su disco de instantáneas, puede calcular el número que espera retener con base en el
calendario que haya establecido. Por ejemplo, si define un calendario para capturar dos copias al
día durante 30 días, necesitará 30 x 2 x 100 MB, o un total de seis gigabytes (GB). Por lo general,
basta con un disco de instantáneas de 10 GB.
Las instantáneas no reemplazan a las copias de seguridad. Además, no se crean copias de
seguridad de ellas, de modo que no puede utilizar versiones anteriores de una copia de instan-
tánea. Por último, el proceso de instantáneas es, en realidad, una tarea programada. Si trata de
eliminar el volumen del que se realizó una instantánea, empiece por eliminar la tarea programa-
da de instantáneas. De otra manera, el proceso generará errores en el Registro de eventos.
PARTE IV
Instantáneas de almacenes de recursos
Las instancias proporcionan una primera línea de defensa para servidores hosts, porque pueden
permitir la rápida restauración de una unidad de disco virtual que falle. Por supuesto, necesita
asegurarse de que su infraestructura de almacenamiento funcione con el servicio de instantá-
neas o que no incluye su propia versión de creación de instantáneas. Pero si quiere configurar
instantáneas en los servidores hosts, entonces necesita agregar una tercera partición o un tercer
volumen de disco, como se indicó antes, en el análisis de las estructuras de discos de servidores
hosts. Y debido a que éstos ejecutan sólo Server Core, deberá configurar instantáneas mediante la
línea de comandos. Use la siguiente línea de comandos para hacer esto.
vssadmin add shadowstorage /for=D: /on=E: /maxsize=6000mb
vssadmin create shadow /for=D:
vssadmin list shadowstorage
vssadmin list shadows
El primer comando establece las copias de instantáneas de acuerdo con el horario prede-
terminado. El segundo crea la primera instantánea. Las siguientes dos presentan una lista de las
asociaciones y las instantáneas disponibles.
Los programas de instantáneas son tareas programadas. Para controlarlas y modificar su
programa, utilice el comando SCHTASKS.EXE. Sus instantáneas están listas.
404 Parte IV: Administre objetos con Windows Server 2008
• Caché manual Los usuarios especifican cuáles archivos quedan disponibles sin conexión (es
la opción predeterminada).
• Caché automático Permite la optimización de documentos o aplicaciones para mejor rendi-
miento.
• Sin caché Queda deshabilitado el uso de archivos sin conexión.
Los archivos sin conexión son un regalo, sobre todo para usuarios móviles, porque ofrecen
acceso local a archivos mientras permite, al mismo tiempo, la copia de seguridad central y la
protección de los datos.
SAN simple
Como se esbozó en la sección anterior, en que se realizó la implementación y preparación del
almacén de recursos que ejecutará los ofrecimientos de servicios virtuales, el almacenamiento
adjunto de red se está volviendo cada vez más importante en organizaciones de todos los tamaños,
porque proporciona acceso a almacenamiento compartido, además de virtualización de almacena-
miento (la abstracción de las unidades de disco físicas de la estructura de almacenamiento lógica
vista por sus servidores). Debido a esto, Microsoft ha agregado una nueva característica a la infra-
estructura de administración de archivos de Windows Server (en realidad se agregó en Windows
Server 2003 R2): una característica llamada administrador de almacenamiento para SAN (SMFS).
SMFS proporciona una interfaz gráfica para configuración y administración de SAN median-
te el Administrador del servidor. Cuando agrega la función Servidor de archivos a WS08, puede
instalar este componente gráfico para suministrar una interfaz directa en su configuración de
SAN, sin importar quién es el fabricante. Esto provee una manera única de mantener los entor-
nos de SAN. Pero como su infraestructura de hardware (la infraestructura real unida al SAN) sólo
está ejecutando Server Core, lo más probable es que no dependa de SMFS para administrar sus
volúmenes de disco y sus unidades de almacenamiento lógico. SMFS no funciona en Server Core,
PARTE IV
excepto mediante los comandos DISKPART y DISKRAID. Por tanto, debe concentrarse en esos
dos comandos para administrar y modificar sus estructuras de almacenamiento adjunto a red.
NOTA También puede utilizar Server Core para esta función de servidor, pero consideramos que
éste debe realmente reservarse para la función Hyper-V basada en hardware, ya que la instalación
completa ofrece varias ventajas sobre Server Core. En primer lugar, proporciona acceso al Admi-
nistrador del servidor y al Administrador de recursos del servidor de archivos, algo que Server
Core no puede hacer. En segundo lugar, proporciona acceso a PowerShell, que le permite volver
automática casi cualquier tarea que necesite realizar. En tercer lugar, puede asegurar la instala-
406 Parte IV: Administre objetos con Windows Server 2008
FIGURA 8-4
Proceso de creación del servidor de archivos
Proceso de creación del
servidor de archivos. 1 Instalar la función de servidor
ción completa hasta donde quiera mediante el Asistente para coniguración de seguridad, que se
analizará en el capítulo 10. En resumen, hay pocas razones para usar Server Core en una máqui-
na virtual, sobre todo para esta función.
PRECAUCIÓN Si utiliza Microsoft Exchange Server como servidor de SMTP, asegúrese de incluir
el nombre de este servidor en la lista de remitentes permitidos bajo las opciones reenvío de SMTP.
8. Bajo Volúmenes que van a indizar, seleccione la unidad D: y haga clic en Siguiente.
9. Bajo Confirmación, revise sus opciones y haga clic en Instalar. Utilice el botón Anterior si
necesita modificar sus opciones.
10. Haga clic en Cerrar cuando la instalación esté completa.
PARTE IV
3. Empiece por crear las carpetas de nivel superior. Haga clic con el botón derecho en el panel
de detalles y seleccione Nuevo | Carpeta del menú contextual. Asigne nombre a la carpeta y
oprima ENTER. Cree tres carpetas: Administración, Aplicaciones y Datos.
4. A continuación, aplique la configuración de seguridad NTFS a cada carpeta. Las configura-
ciones de seguridad se aplican de acuerdo con los detalles de la tabla 8-1. Para ello, haga clic
con el botón derecho en cada nombre de carpeta y seleccione Propiedades. Vaya a la ficha
Seguridad. Agregue los grupos apropiados y asigne los valores correctos de seguridad a cada
grupo. Además, modifique la configuración de seguridad predeterminada de acuerdo con los
requisitos de la tabla 8-1. Los parámetros de seguridad deben modificarse ahora porque se
heredan cada vez que crea una carpeta. Por tanto, sólo necesitará afinar las configuraciones de
seguridad de una subcarpeta a partir de ahora, en lugar de volver a crearlos todos.
5. A continuación, cree todas las subcarpetas para cada sección:
• En Administración, cree CorreccionesActivas$, ServicePacks$, Orígenes$ y Herramientas-
Soporte$.
• En Datos, cree Departamentos y Proyectos. Estas subcarpetas son carpetas principales para
cada una de las carpetas compartidas específicas de departamentos y proyectos. Además
cree Público y DatosUsuario$ en este nivel.
• Dentro de Departamentos y Proyectos, cree las subcarpetas necesarias para cada departa-
mento y cada proyecto.
6. Modifique la configuración de seguridad NTFS para cada carpeta. Recuerde modificar las
carpetas principales antes de crear las subcarpetas, para simplificar su proceso de creación. Sus
carpetas están listas.
SUGERENCIA Una vez que el proceso de creación de carpetas esté completo, cree una nueva carpeta
llamada EstructuraCarpetas. Luego haga una copia de toda la estructura en esta carpeta. De esta
manera, no tendrá que volver a crear toda la estructura de carpetas cada vez que cree un servi-
dor de archivos. Simplemente tendrá que copiarla desde esta plantilla de estructura de carpetas.
Asegúrese de que esta estructura maestra esté siempre actualizada para simpliicar el proceso de
creación de un servidor de archivos.
PRECAUCIÓN No utilice las propiedades de la unidad para establecer cuotas, porque éstas usarán la
antigua herramienta de administración de cuotas que se incluía en versiones anteriores de Windows.
Las cuotas asignadas de esta manera sólo afectarán el volumen especíico al que están adjuntas.
1. Vaya a Administrador del servidor y luego al nodo Funciones | Servicios de archivo | Adminis-
tración de almacenamiento y recursos compartidos | Administrador de recursos del servidor
de archivos | Administración de cuotas | Cuotas.
2. Haga clic con el botón derecho en la unidad D: en el panel de detalles y seleccione Editar
propiedades de cuotas.
Capítulo 8: Construya la infraestructura de ofrecimientos de servicios virtuales 409
3. Debido a que ésta es la primera vez que utiliza cuotas en este sentido, recomendamos que
empiece con una cuota suave. Bajo las propiedades Copiar de la lista desplegable Plantillas de
cuotas, seleccione Supervisar uso de volumen de 200 GB y haga clic en el botón Copiar. Esto
asigna una cuota de supervisión a toda la unidad. Tome nota de los cambios en el área Umbra-
les de notificación del cuadro de diálogo.
4. Vaya al área Límite de espacio y cambie el límite al tamaño real de su unidad D:.
5. Haga clic en Aceptar.
Las cuotas se asignan a toda la unidad. Puede eliminar cuotas de carpetas específicas al edi-
tar sus propiedades. Vaya a la configuración de instantáneas para esta unidad.
1. Regrese al Explorador de Windows y haga clic con el botón derecho en la unidad D: para
seleccionar Configurar instantáneas.
2. Antes de habilitar esa característica, debe modificar la unidad que almacenará las instantá-
neas. Para ello, haga clic en el botón Configuración. En el nuevo cuadro de diálogo, use la
lista desplegable para seleccionar la unidad E:. Establezca el límite para la copia de la manera
apropiada (por lo general basta con 6 GB) y cambie el programa, si es necesario. Haga clic en
Aceptar cuando haya terminado.
3. El programa predeterminado es a las 7 a.m. y a mediodía, cinco días a la semana. Si este calenda-
rio no es apropiado, haga clic en el botón Programación para modificarlo. Ésa es una tarea pro-
gramada. Sus características de programación son las mismas que para las tareas programadas.
4. Haga clic en el botón Habilitar para activar las instantáneas.
5. WS08 le presentará una advertencia acerca de la habilitación de esta característica. Haga clic
en Sí para cerrarla. Haga clic en Aceptar para cerrar el cuadro de diálogo Instantáneas, una vez
que se haya creado la primera instantánea.
Las instantáneas están listas para este volumen. A continuación, establezca las opciones de
PARTE IV
indización o búsqueda.
1. Utilice el menú Iniciar para abrir el Panel de control. En la vista Clásica, haga doble clic en el
icono Opciones de indización. En la vista de Windows Vista, vaya a Sistema y mantenimiento,
y haga clic en Cambiar cómo realiza búsquedas Windows, bajo Opciones de indización.
2. Si quiere cambiar las ubicaciones indizadas, haga clic en Modificar. Sin embargo, éstas deben
ser adecuadas, porque se establecen al instalar la función Servicios de archivo. Para establecer
las opciones de indización, haga clic en el botón Opciones avanzadas. Acepte el indicador del
Control de cuentas de usuario, si aparece.
3. Si trata de cifrar archivos de usuario, seleccione la opción Indizar archivos cifrados. Además, si
hay una posibilidad de que sus usuarios trabajen en otros idiomas, seleccione la opción Tratar
las palabras similares con diacríticos como palabras diferentes. Esto le permite a la herramien-
ta Búsqueda saber que hay diferentes idiomas en sus datos.
4. A continuación, haga clic en el botón Seleccionar nueva para mover la ubicación del índice.
Debe estar localizado en la unidad E: bajo una nueva carpeta Buscar.
NOTA Tendrá que detener y reiniciar el servicio Búsqueda una vez que haya terminado aquí para
aplicar la acción. El hecho de mover el índice de la unidad del sistema hará que funcione de mane-
ra más eiciente.
410 Parte IV: Administre objetos con Windows Server 2008
5. A continuación, vaya a la ficha Tipos de archivo. Puede usar esta ficha para agregar nuevos
tipos de archivo que habrán de indizarse. Por ejemplo, puede agregar la extensión PDF para
indizar archivos de Adobe Acrobat.
6. Escriba PDF en la parte inferior del cuadro de diálogo, haga clic en Indizar las propiedades y
el contenido del archivo y luego haga clic en Agregar nueva extensión. Repita el proceso para
agregar otras extensiones (por ejemplo, dibujos de CAD). Haga clic en Aceptar para cerrar el
cuadro de diálogo Opciones avanzadas y cierre el cuadro de diálogo Opciones de indización.
7. Ahora reinicie el servicio para mover la ubicación del índice. Regrese al Administrador del
servidor y vaya al nodo Configuración | Servicios. Localice el servicio Búsqueda de Windows y
reinícielo.
Ahora su servidor está listo para compartir carpetas.
Comparta carpetas
La siguiente etapa se relaciona con la creación de los propios recursos compartidos, y el esta-
blecimiento de los permisos y de las opciones de almacenamiento en caché para cada recurso
compartido. Todo se realiza mediante el Administrador del servidor.
NOTA Se utiliza la consola Administrador del servidor porque le da acceso a todas las características
de administración del servidor. La consola independiente Administración de recursos del servidor de
archivos resulta útil sobre todo para delegar la administración del servidor de archivos.
1. Vaya al Administrador del servidor y busque el nodo Funciones | Servicios de archivo | Admi-
nistración de almacenamiento y recursos compartidos.
2. Haga clic en Aprovisionar recurso compartido en el panel Acciones.
3. En el Asistente para aprovisionar carpetas compartidas, haga clic en la unidad D: y luego haga
clic en Examinar.
4. Esto abre un cuadro de diálogo que presenta una lista de todos los recursos compartidos
ocultos en el servidor. Haga clic en D: y vaya a la carpeta que quiere compartir (por ejemplo,
Datos\DatosUsuario$). Haga clic en Aceptar y luego en Siguiente.
5. No es necesario que cambie la configuración de NTFS, de modo que haga clic en Siguiente.
6. Para los usuarios de Windows, haga clic en SMB para compartir la carpeta. Esto habilita los
recursos compartidos del bloque de mensajes de servidor (SMB, Server Message Block), que es
la opción predeterminada de Windows. Si está usando DatosUsuario$, no necesita cambiar el
nombre del recurso compartido.
7. En el caso de usuarios que no son de Windows, haga clic en NFS. Esto habilita el sistema de
archivos de red (NFS, Network File System), que les permite a los usuarios de UNIX y Ma-
cintosh acceso a sus recursos compartidos. Si está usando DatosUsuario$, cambie el nombre
compartido a DatosUsuario, eliminando el signo de $ al final del nombre.
PRECAUCIÓN No permita acceso anónimo, porque le da demasiado acceso a este recurso compartido.
12. En esta página, puede aplicar una cuota personalizada para este recurso compartido, si la
necesita. De otra manera, haga clic en Siguiente.
13. Ahora puede aplicar una supervisión de archivos, si la necesita. Sin embargo, ésta no se re-
comienda porque es fácil omitirla y puede ocupar una gran cantidad de recursos del servidor.
Haga clic en Siguiente.
14. La siguiente pantalla le permite publicar este recurso compartido en un espacio de nombres
del sistema de archivos distribuido (DFS, Distributed File System). Aún no se han establecido
espacios de nombre, de modo que haga clic en Siguiente.
15. Revise su configuración y haga clic en Crear para crear el recurso compartido. Haga clic en
PARTE IV
cerrar cuando haya terminado.
Como verá, es una gran cantidad de trabajo. Por fortuna, hay muchas maneras de agilizar
este proceso.
Casi ha terminado. Ahora, lo único que le resta es hacer que los recursos compartidos estén
disponibles para los usuarios. Esto se hace mediante los Servicios de dominio de Active Directory
(ADDS).
FIGURA 8-6
Creación de objetos
protegidos en ADDS.
OU llamada Archivos e impresión (vea la figura 8-6). Luego cree una OU bajo Archivo e im-
presión y llámela Recursos compartidos de archivos.
5. Una vez que se creen los recursos compartidos, debe agregar una descripción y palabras clave
para cada uno. Las descripciones de carpeta son importantes, porque servirán para indicar a los
usuarios el objetivo de la carpeta compartida. Las palabras clave también son útiles debido a
que los usuarios pueden buscar la carpeta compartida por palabra clave en lugar del nombre del
recurso. Para ingresar ambos, vea las propiedades de cada carpeta compartida en ADDS.
6. Utilice este cuadro de diálogo para agregar descripciones completas a cada recurso compartido
y para identificar su administrador. Para agregar palabras clave, haga clic en el botón Palabras
clave. Escriba la palabra clave y haga clic en agregar. Haga clic en aceptar cuando termine.
7. También debe asignar un administrador a cada recurso compartido. Hágalo mediante la ficha
Administrado por. La asignación de administradores es una buena práctica, porque se vuelven
Capítulo 8: Construya la infraestructura de ofrecimientos de servicios virtuales 413
responsables de la evolución y tal vez de la eliminación final de este recurso compartido cuan-
do ya no sea necesario. Cierre el cuadro de diálogo cuando haya terminado. Repita para cada
recurso compartido que publique en ADDS.
Ahora los usuarios pueden acceder a sus recursos compartidos.
SUGERENCIA Sus usuarios sólo necesitarán realizar una vez esta operación, porque cada vez que se
tenga acceso a una nueva carpeta compartida desde un equipo cliente, se agregará a la parte Favo-
ritos de red del Explorador de Windows. Los usuarios pueden acceder a sus carpetas compartidas
desde allí cuando lo necesiten.
PARTE IV
Administre la disponibilidad de las carpetas
Aunque tienen soporte completo, las unidades asignadas ya no son algo deseable en Windows
Server 2008. El método UNC es el favorito para proporcionar acceso a carpetas compartidas.
Este método se basa en la estructura de asignación de nombre \\NombreServidor\nombrere-
curso. Pero hay características de las unidades asignadas que no pueden proporcionarse con un
nombre UNC simple. Por ejemplo, debido a que una unidad asignada suele crearse mediante
una secuencia de comandos de inicio de sesión, los administradores pueden cambiar fácilmente
la dirección o el destino de la unidad asignada de la noche a la mañana, una operación que es
completamente transparente para los usuarios. Siempre y cuando tengan cuidado, la unidad K:
seguirá siendo la unidad K:, sin importar desde dónde se conecte a ella.
Debido a esto, las unidades asignadas dan soporte a tareas operativas, como el reemplazo de
servidores y el desplazamiento de carpetas compartidas. Sin embargo, no carecen de problemas. Por
ejemplo, ya desde la versión 97, Microsoft Office da seguimiento a la UNC tras la unidad asignada, lo
que dificulta el uso convencional de asignaciones de unidad. Si lo cambia, entonces Office se queja.
Y con el surgimiento del software compatible con el instalador de Windows, el UNC se está
volviendo cada vez más importante. Para fines de corrección automática, el Instalador de Win-
dows debe recordar el origen de la instalación de un programa. Se prefiere un formato UNC
414 Parte IV: Administre objetos con Windows Server 2008
sobre una unidad asignada para esta función, aunque puede controlar esto al editar el paquete
del instalador de Windows.
Ésta es una de las razones por las que Microsoft ha desarrollado tecnología que da soporte a
tolerancia a fallas para unidades compartidas de UNC. Una tecnología importante es DFS. Puede
usarse para proporcionar gran parte de las mismas ventajas administrativas de las unidades asig-
nadas, pero sin usarlas.
características de seguimiento de vínculos. A los espacios de nombres de DFS que están integra-
dos con ADDS se les denomina espacios de nombre de dominio de DFS.
DFS es demasiado poderoso. Por ejemplo, si desarrolla la necesidad de trabajar en diferentes
entornos cuando prepara aplicaciones corporativas, como se analizó en el capítulo 5, puede aprove-
char DFS al crear una raíz de DFS para fines de desarrollo en el entorno de desarrollo. Cuando sea
hora de desplegar la aplicación en producción, no tendrá que modificar rutas dentro del código.
Otro ejemplo es el archivo de origen para todas las instalaciones y para el soporte de las
características del Instalador de Windows, como la corrección automática. Al usar los espacios de
nombre de DFS, puede tener una sola ruta de origen de instalación que esté disponible en todos
los sitios y que replique automáticamente todos los archivos de origen de sitio en sitio.
También puede trabajar con espacios de nombre de DFS independientes. Esos espacios de
nombres no obtienen beneficios de ADDS, en cuanto a redundancia. Debido a esto, debe ejecu-
tarlos en clústeres de servidor de recuperación de fallas o grupos de servidores que ejecutan los
mismos servicios y que pueden recuperarse esos servicios a partir de uno a otro para proporcio-
nar continuidad del servicio. Casi todas las organizaciones ejecutan espacios de nombres de do-
minio porque ADDS ya existe y es más simple configurarlo. Los espacios de nombres de dominio
también son tolerantes a fallas en el nivel del sitio. Es mucho más complicado hacer espacios de
nombres independientes tolerantes a fallas en el nivel del sitio. Use un árbol de decisiones para
determinar el tipo de espacios de nombres con el que necesita trabajar (vea la figura 8-7).
PARTE IV
1. Lance el Administrador del servidor y vaya al nodo Servicios de archivo | Administración de DFS.
2. Haga clic en Nuevo espacio de nombres, en el panel de acciones.
3. En el Asistente para crear nuevo espacio de nombres, ingrese la información encontrada en la
tabla 8-2.
4. Complete las páginas del asistente.
La raíz del espacio de nombres de DFS está lista. Ahora puede agregar hosts raíz, además de
destinos para la raíz.
PRECAUCIÓN Las raíces de DFS de dominio deben hospedarse en servidores miembros y no domi-
nios. Si hospeda la raíz DFS en servidores miembros y controladores de dominio (DC, Domain
Controllers), los clientes serán dirigidos al controlador de dominio si los nombres son iguales.
Además, las raíces de DFS son más seguras en servidores miembros.
1. Para agregar un servidor de espacio de nombres, haga clic con el botón derecho en el nom-
bre de la nueva raíz DFS de dominio (\\dominio\recurso) en el panel de detalles, y seleccione
Agregar servidor de espacio de nombres.
2. Escriba el nombre del nuevo servidor de espacio de nombres y haga clic en Aceptar. Repita
todas las veces que sea necesario.
Su espacio de nombres está listo. Ahora necesita las carpetas para que los usuarios tengan
acceso a la información. El proceso de creación del espacio de nombres permite cambiar la con-
figuración predeterminada para el almacenamiento en caché de cliente de destinos de espacio
TABLA 8-2 Entradas del Asistente para crear nuevo espacio de nombres
Capítulo 8: Construya la infraestructura de ofrecimientos de servicios virtuales 417
de nombres. Como opción predeterminada, este valor es de 300 segundos, o cinco minutos. Esta
configuración suele ser apropiada para espacios de nombres de dominio DFS.
PARTE IV
almacenamiento en caché de cliente de los destinos de carpetas. Como opción predeterminada, este
valor es de 1 800 segundos o 30 minutos. Este parámetro suele ser apropiado para carpetas DFS.
Clientes DFS
Los clientes pueden ver los recursos compartidos de DFS de la misma manera que ven las carpe-
tas compartidas estándar: mediante ubicaciones de red. Pero el mejor modo de dar a acceso a las
raíces de DFS de dominio a los clientes consiste en enviarles un acceso directo a la raíz. La ven-
taja del alias de DFS es que no está unido a un solo servidor, sino más bien al dominio como un
todo. El método de acceso directo debe señalar, no a un UNC de servidor, sino a uno de dominio.
Por ejemplo, en este caso, el UNC de dominio sería: \\Intranet.TandT.net\Público.
La raíz DFS de dominio aparece como un componente de toda la red.
El acceso directo puede estar disponible para los usuarios a través de la secuencia de comandos
de inicio de sesión. Al hacer doble clic en el acceso directo, los usuarios tienen acceso a todas las car-
petas publicadas en el espacio de nombres, y este acceso es independiente de la ubicación del usua-
rio. En realidad, el servidor al que están conectados es completamente transparente para los usuarios.
Si quiere que los usuarios usen vínculos de DFS en lugar de las carpetas compartidas están-
dar, debe asignar nombres a todos los recursos a todas las carpetas compartidas reales con un
$ (por ejemplo, Servidor$). Esto ocultará sus recursos compartidos reales al desplegarse la red.
Entonces, los usuarios sólo verán los recursos compartidos DFS y no los reales.
418 Parte IV: Administre objetos con Windows Server 2008
SUGERENCIA Para conocer información sobre DFS, vaya a la guía paso a paso para de DFS en
WS08 en http://technet2.microsoft.com/windowsserver2008/en/library/cf810bb7-51ed-4535-
ab0d-86a7cd862e601033.mspx?mfr=true.
Capítulo 8: Construya la infraestructura de ofrecimientos de servicios virtuales 419
Esto agrega los componentes requeridos para ejecutar DFSR. Asegúrese de instalar este
componente en cada servidor host, tanto en el sitio de origen como en el de destino o de recupe-
ración de desastres. A continuación configure los grupos de replicación:
dfsradmin RG New /rgname: “NombreGrupoReplicación” /rgdesc:”Descripción”
dfsradmin RG Set Schedule full /RGName:”NombreGrupoReplicación”
dfsradmin member new /rgname:”NombreGrupoReplicación”
/memname:NombrePrimerServidor
dfsradmin member new /rgname:”NombreGrupoReplicación”
/memname:NombreSegundoServidor
dfsradmin conn new /rgname:”NombreGrupoReplicación”
/SendMem:NombrePrimerServidor /RecvMem:NombreSegundoServidor /ConnEnabled:true
/ConnKeywords:”Del primer servidor al segundo”
dfsradmin RF New /rgname:”NombreGrupoReplicación” /RfName:NombreCarpeta
dfsradmin Membership Set /RGName:”NombreGrupoReplicación” /RfName:NombreCarpeta
PARTE IV
/MemName:NombrePrimerServidor /LocalPath:D:\vsmachines /MembershipEnabled:true
/StagingPath:E:\staging /StagingSize:1000 /CDSize:350 /IsPrimary:true
Para detectar y solucionar problemas de conexiones de DFSR en Server Core, utilice el co-
mando DFSRDIAG.EXE. Repita estos comandos en cada servidor host que quiera proteger.
420 Parte IV: Administre objetos con Windows Server 2008
SUGERENCIA No es necesario que coincida con los servidores de replicación, uno por uno. Por ejem-
plo, puede tener 10 servidores hosts protegidos por sólo cinco en el sitio de recuperación de desastres.
En el capítulo 11 se cubrirá más sobre este tema, pero por ahora es importante que comprenda que no
es necesario que los sitios de recuperación de desastres tengan los mismos niveles de operación que
los entornos de producción. Tenga en mente esto mientras prepara sus estrategias de replicación.
PARTE IV
Juegos Sólo se aplica a Vista. El contenido de esta carpeta es pequeño y se aplica principalmente a juegos incluidos
guardados en Vista. Su organización necesitará determinar si quiere desperdiciar ancho de banda de red y espacio de
almacenamiento con este contenido.
7. Haga clic en Aceptar para regresar al cuadro de diálogo Propiedades. Repita para cada grupo y
ubicación de servidor que necesite ingresar. Pase a la ficha configuración.
8. Bajo Eliminación de la directiva, seleccione Devolver la carpeta a la ubicación local de perfil de
usuario cuando la directiva se haya quitado. Esto asegurará que las carpetas redireccionadas
regresarán a las ubicaciones originales si, por alguna razón, se elimina la directiva.
9. También puede controlar la manera en que se aplicarán las configuraciones. Observe que las
primeras dos configuraciones están seleccionadas como acción predeterminada. Si tiene clien-
tes de nivel inferior, entonces también seleccione la configuración Aplicar también la directiva
de redirección. Haga clic en Aceptar cuando haya terminado.
10. Realice la misma operación para cada una de las demás carpetas, y luego establézcalas de
acuerdo con las recomendaciones de la tabla 8-4. Observe que, en el caso de la carpeta Do-
cumentos, tiene opciones adicionales y puede definir que Imágenes, Videos y Música hereden
automáticamente la configuración de Documentos.
422 Parte IV: Administre objetos con Windows Server 2008
SUGERENCIA Como los centros de datos amigables con el ambiente se están volviendo cada vez
más populares, todas las impresoras deben imprimir por las dos caras y todas sus coniguraciones
predeterminadas de impresora deben usar técnicas de ahorro de papel.
Capítulo 8: Construya la infraestructura de ofrecimientos de servicios virtuales 423
PARTE IV
Pero si su cola de impresión actual incluye varias impresoras antiguas, es obvio que no podrá
incluir todos los controladores certificados en su directiva de impresora compartida. Haga lo
mejor que pueda para usar sólo controladores certificados (en WS08 se incluyen versiones actua-
lizadas, y es posible que también estén disponibles con su comercializador), pero si no es posible,
entonces considere una estrategia para reemplazar gradualmente las impresoras más antiguas
con nuevos equipos que incluyan mejor soporte para el sistema operativo Windows.
Ahora los usuarios buscan impresoras de manera muy parecida a como buscan recursos com-
partidos del archivo: a través de la herramienta Búsqueda de Active Directory. Pueden hacerlo con
base en el nombre de la impresora, la ubicación de ésta o el modelo. También pueden buscar con
base en características como impresión de doble lado, encuadernado, salida a color y resolución.
Windows Server 2008 da soporte al rastreo de la ubicación de la impresora. Este componente está
basado en la topología de sitio de Servicios de dominio de Active Directory que diseñó en el capítulo
5. Uno de los elementos clave de la topología del sitio es la subred. Cada subred incluye un nombre
y una descripción. También puede incluir información de ubicación. La información se almacena en
las propiedades de subred bajo la ficha Ubicación. La información de ubicación se almacena en forma
jerárquica. Cada nivel está separado por una diagonal. Puede usar hasta 256 niveles en un nombre
de ubicación, aunque el nombre completo puede usar más de 260 caracteres. Cada parte del nombre
puede incluir hasta 32 caracteres. Por ejemplo, una impresora localizada en el ala noreste del primer
piso del edificio de las oficinas centrales puede identificarse como OC/Primer piso/Ala noreste.
Para habilitar el rastreo de ubicación de impresora en su dominio, necesita los siguientes
elementos:
• Subredes y ubicaciones de subredes en Sitios y servicios de Active Directory
• Una convención de asignación de nombres de ubicación de impresoras
• La GPO de rastreo de ubicación debe habilitarse
• La configuración de ubicación para todas las impresoras
• La configuración de ubicación para todas las PC y los servidores
Empiece por asegurarse de que se ha creado su estructura de sitio y de que se han ingresa-
do las ubicaciones en cada subred; de otra manera, el botón Examinar no mostrará entradas en
ninguno de los cuadros de diálogo que use para las demás operaciones.
La GPO Rastreo de ubicación debe establecerse en el nivel de dominio para que se aplique a
todos los objetos dentro del dominio. En el capítulo 5 aprendió que no es necesario modificar las
directivas de dominio predeterminadas porque no hay una característica de regreso a la última
configuración adecuada correcta. Por tanto, necesita crear una GPO de directiva de dominio de
Internet. Ésta debe ser el GPO que incluya la configuración de rastreo de ubicación de impreso-
ra. Esta configuración puede encontrarse al seleccionar Configuración del equipo | Directivas |
Plantillas administrativas | Impresoras. Para habilitar el rastreo de ubicación de impresora, debe
habilitar la configuración Preparar el texto de búsqueda automática de la ubicación de impresora.
Esta configuración habilita el botón Examinar de la ficha Ubicación en las propiedades de la im-
presora y el equipo dentro del directorio. También se habilita este botón en la herramienta Buscar
impresoras en servidores y PC.
SUGERENCIA Aunque puede elegir que se muestren listas de impresoras en el directorio cuando
comparte la impresora, no aparecen automáticamente como objetos. Sin embargo, puede encontrar
este objeto y, una vez encontrado, colocarlo en una OU para su posterior manipulación. Utilice
la herramienta Búsqueda de Usuarios y equipos de Active Directory para localizar todas las im-
presoras, y selecciónelas de la ventana Buscar para moverlas a una OU. Cree una OU Impresoras
bajo la OU Ofrecimientos de servicios virtuales|Archivos e impresión.
Hay dos vías para ingresar información de ubicación para las impresoras. Puede ingresarla
cuando comparte la impresora o puede hacerlo después, una vez que se ha compartido ésta. Para
Capítulo 8: Construya la infraestructura de ofrecimientos de servicios virtuales 425
ingresar configuraciones de ubicación de impresoras una vez que se han compartido, localice
todas las impresoras de su directorio y luego abra su página Propiedades. En la ficha Editor de
atributos, vaya al final del atributo Ubicación, haga clic y seleccione Editar. Ingrese la ubicación
empleando el formato de notación identificado antes. Por lo general, debe ser lo más específico
posible cuando identifique ubicaciones de impresoras. Por ejemplo, puede incluir más detalles,
como número de la sala, dentro de la información de ubicación de la impresora. Realice esta
operación para cada impresora.
Realice la misma operación en todos los objetos del equipo ubicados en el directorio. Abra su
página Propiedades y utilice la ficha Ubicación para ingresar la ubicación o use el botón Exa-
minar para seleccionarlas. El ingreso de ubicaciones para cada objeto, facilitará a los usuarios la
búsqueda de las impresoras. Entonces, cada vez que los usuarios usen la herramienta Búsqueda
para localizar una impresora, la ubicación de la impresora se ingresará automáticamente en el
campo Ubicación, permitiendo que su comunidad de usuarios encuentre impresoras cerca de
ellos sin tener que conocer su estrategia de asignación de nombres de ubicación. Debido a esto,
tal vez no necesite incluir impresoras de usuario en su secuencia de comandos de inicio de sesión
o mediante GPO. Sólo necesita mostrarles cómo localizar impresoras cerca de ellos y cómo co-
nectarlas durante la capacitación para la migración (vea la figura 8-9).
Los controladores de impresora se descargan automáticamente en los sistemas de usuario cuan-
do un usuario se conecta a la impresora, siempre y cuando, por supuesto, el controlador de la impre-
sora para su versión del sistema operativo se haya cargado en el servidor al compartir la impresora.
Si está usando la red paralela, no será necesaria la instalación de varios controladores de cliente en
sus colas de impresión, sobre todo si está ejecutando clientes de Vista, pero tendrá que agregar con-
troladores para sistemas operativos de 32 y de 64 bits. Si no está usando la red paralela, tendrá que
agregar otras versiones de controladores de impresora (una para dar soporte a cada sistema operati-
vo del cliente en su red). Sin embargo, tenga en cuenta que no necesita controladores de la versión 2
para clientes de Windows NT. Por lo general, éstos pueden operar con controladores versión 3.
PARTE IV
Administre los permisos de las impresoras
En Windows Server, los permisos de las impresoras son muy parecidos a los de los sistemas
cliente de Windows. La administración de impresoras está dividida en colas de impresión y ad-
ministración de impresora. Los operadores de impresión tienen permitida la administración del
dispositivo físico y de la cola lógica. Además, cada usuario que imprime un trabajo tiene control
completo sobre su propio trabajo. Es decir, puede eliminarlo, pero no puede cambiar su prioridad.
WS08 da soporte a la segregación de la administración de impresoras y documentos. La
primera permite que los operadores detengan, hagan pausa y reinicien la impresora, pero no da
control al operador sobre los documentos en la cola. La administración de documentos permite
que los operadores inicien, detengan, hagan pausa y reordenen los documentos que se encuen-
tran en la cola de impresión. Como opción predeterminada, los operadores de impresión en
WS08 tienen estos derechos. Si necesita segregar estos derechos dentro de su organización, tiene
que crear los grupos administrativos adecuados y delegar los derechos apropiados para cada uno.
FIGURA 8-9
Búsqueda de ubicaciones
de impresoras o equipos.
características adicionales, como impresión en doble cara o encuadernación, para crear dispo-
sitivos que desempeñen varias funciones.
• Tenga en mente que los trabajos largos tardan más tiempo en enviarse a la cola cuando determi-
ne sus estándares de configuración de impresora predeterminados. Como opción predetermina-
da, las impresoras de WS08 comienzan a imprimir en cuanto el trabajo empieza a incluirse en la
cola. Pero si está enviando un documento de 200 páginas, lo más probable es que otros usuarios
tengan tiempo de imprimir varios documentos de 10 páginas antes de que el trabajo se haya
terminado. Si ha establecido propiedades de impresión para que se incluya en la cola y después
se imprima, los pequeños trabajos a menudo se terminarán más rápido que los más largos.
• Para agilizar la impresión en un servidor de impresión y archivos compartido, guarde el directorio
de la cola de impresión en un disco dedicado. Esto se hace mediante las propiedades del servidor
de impresión en el Panel de control Impresoras. Use la ficha Opciones avanzadas para redirigir la
cola de impresión a otro disco (vea la figura 8-10). Debe ser una carpeta creada en el disco E:.
• Por último, use detección automática cuando imprima directamente en impresoras habilita-
das en red. Esto identificará automáticamente si la impresora es compartida en el puerto de
impresión del protocolo de control de transmisión/protocolo de Internet (TCP/IP,) o como un
dispositivo de servicios Web. Ambos pueden indicar errores de estatus, como atascos de papel,
tóner bajo y documentos que no responden, además de configurar automáticamente clientes
que se conectan a ellos.
Éstas no sólo son recomendaciones que debe tomar en cuenta para su directiva de impresora
compartida, sino que a menudo son elementos que se pasan por alto. Recuerde que las impreso-
ras en realidad están allí para usarlas y deben designarse para facilitar el proceso de impresión.
PARTE IV
FIGURA 8-10
Desplazamiento de la
ubicación de la cola de
impresión.
428 Parte IV: Administre objetos con Windows Server 2008
SUGERENCIA Tal vez quieran depender de nuevas impresoras compatibles con los dispositivos de
servicios Web (WSD, Web Services Devices), porque éstos proporcionan coniguración automáti-
ca y conexiones cuando están conectados a su red.
1. Inicie la consola Administrador del servidor, si está cerrada (use el icono del área Inicio rápido).
2. Lance el Asistente para agregar funciones. Seleccione Servicios de impresión.
3. Siga las instrucciones de la tabla 8-5 para completar el asistente.
Ahora que su función de servidor de impresión está instalada, puede pasar a la creación de
su cola de impresión. Empiece con la creación de los puertos de la impresora.
PARTE IV
to.
4. En la lista Tipos de puerto disponibles, seleccione Standard Port TCP/IP. Luego haga clic en
Puerto nuevo.
5. Esto lanza el Asistente para agregar puerto de impresora estándar TCP/IP. Use los valores de la
tabla 8-6 para rellenar este asistente.
NOTA Los puertos pueden estar en formato RAW o de impresora remota de línea (LPR, Line Printer
Remote). Si el puerto se utilizará con dispositivos de Windows, entonces use el formato RAW. Si
será con dispositivos que no son de Windows, emplee LPR. Puede cambiar esta coniguración para
cualquier puerto TCP/IP al hacer clic con el botón derecho para seleccionar Conigurar puerto.
Repita esta operación para cada puerto que necesite crear. A continuación, agregue sus im-
presoras.
7. Haga clic en Aceptar cuando haya terminado. Realice esta tarea para cada impresora.
PARTE IV
Ahora debe asegurarse de que los GPO de impresión se hayan establecido (consulte la
tabla 8-8). Tienen que establecerse en el nivel del dominio, porque afectan a todos los equipos y
usuarios. Esto significa agregarlos al GPO de dispositivo de dominio de intranet.
Por último, asegúrese de que sus impresoras están publicadas dentro del directorio. Éste es el
comportamiento predeterminado, pero de todos modos debe confirmarse. Puede hacerse al mis-
mo tiempo que la última actividad: asegurarse de que los usuarios tienen acceso a las impresoras.
Regrese a su estación de trabajo e inicie sesión con su cuenta de usuario normal.
1. Abra Red en el Explorador de Windows y haga clic en el botón Buscar en Active Directory.
2. En el cuadro de diálogo que aparece, seleccione Impresoras de la lista desplegable Buscar.
3. El campo Ubicación debe llenarse automáticamente, si está activado Rastreo de ubicación de
impresoras.
4. Windows desplegará todas las impresoras cerca de usted.
5. Haga doble clic en cualquier impresora y seleccione Preferencias de impresión. Sus preferen-
cias predeterminadas de impresión deben ser las establecidas en el objeto de impresora com-
partida. Modifíquelas a medida que las necesite. Haga clic en Aceptar cuando haya terminado.
Ahora ha terminado la configuración de impresión. Necesitará realizar esta actividad para
cada servidor de impresión en su organización. En el capítulo 12 se delineará la manera de mi-
grar impresoras de redes existentes, si tiene que crear demasiadas impresoras manualmente.
432 Parte IV: Administre objetos con Windows Server 2008
PARTE IV
SUGERENCIA Es probable que también necesite impresoras compartidas en el almacén de recursos.
Tal vez sea más fácil compartir impresoras en las máquinas virtuales que construya para ines de
administración, porque puede usar el mismo proceso delineado aquí para preparar y compartirlas
en el modo gráico.
grupo para cada servicio (consulte la tabla 8-10). Esta estructura de OU es muy simple, pero per-
mite la capacidad de crear subestructuras. Aunque la estructura de la OU Ofrecimientos de servi-
cios virtuales se introdujo en el capítulo 5, su propósito en ese momento era identificar el tipo de
contenido que podría esperar en esta estructura. Ahora que ha tenido la oportunidad de afinar su
comprensión del contenido de esta estructura de OU, encontrará que es ligeramente diferente de
la presentación inicial del capítulo 5. Por ejemplo, mientras que allí esa estructura presentaba el
tipo de servidor miembro contenido dentro de la OU, en este capítulo ahora se presenta la fun-
ción del servidor en el segundo nivel. Este cambio en las categorías permite afinarla aún más. Por
PARTE IV
de Windows (WINS) y servicio de
instalación remota (RIS), además
de servidores operativos, como
Administración de operaciones de
Microsoft, Servidor de adminis-
tración de sistemas, Servidor de
seguridad de Internet y aceleración,
etc. Puede subdividirse para mayor
segregación. Delegado a operado-
res de servidor de infraestructura
Cuentas operativas Dos Reagrupa todas las cuentas No hay delegación; administrada por
operativas especiales, como administradores de dominio
técnicos de soporte e insta-
ladores
Cuentas de servicio Dos Reagrupa todas las cuentas No hay delegación; administrada por
de servicio especiales administradores de dominio
Objetos ocultos Dos Reagrupa todos los grupos Incluye grupos de dominio locales y
especiales, incluidos los universales. Incluye permisos espe-
grupos operativos ciales para evitar que los usuarios
regulares localicen estos grupos
cuando buscan en Active Directory
ejemplo, si encuentra que necesita mayor segregación de los servidores de colaboración debido a
sus directivas para Share Paint Portal Server, puede crear el tercer nivel de OU bajo servidores de
colaboración y colocar los servidores de Exchange y SPS en OU separadas.
Por ahora, construya la OU para las funciones del servidor ya cubiertas. Otras funciones se
cubrirán en capítulos posteriores.
Uno de los aspectos clave en este diseño de OU es la preparación de los grupos de seguridad
apropiados para los operadores del servidor. Esto se llama plan de administración de servicios.
Debido a que se trata principalmente de la preparación de grupos especiales con derechos admi-
nistrativos de seguridad limitados, esta operación se realizará en el capítulo 12.
En cuanto a la preparación para esta estructura de OU, utilice las mismas operaciones deli-
neadas en el capítulo 7 para crear la estructura y delegue la administración del contenido de cada
OU a los grupos operacionales apropiados.
CAPÍTULO
9
Construya la infraestructura de
ofrecimientos de servicios virtuales:
servidores orientados a aplicaciones
L
os servidores orientados a aplicaciones proporcionan servicios de aplicación específicos
para usuarios finales. Así, son parte de la infraestructura de ofrecimientos de servicios vir-
tuales. Entre los servidores que se encuentran en esta categoría se incluyen:
• Servidores de aplicaciones Los servidores que hospedan aplicaciones que proporcionan
funcionalidad específica a usuarios finales. Estos servidores prestan servicios de aplicación
basados en software comercial, como Exchange Server, SQL Server, Comerce Server, etc., o
en aplicaciones corporativas personalizadas. También incluye aplicaciones basadas en .NET
Framework. Un buen ejemplo de una aplicación basada en .NET Framework es PowerShell,
porque necesita a éste para dar soporte a sus muchos cmdlets.
• Servidores Web dedicados Servidores que ejecutan servicios de aplicación Web en un
modelo de servidor de un solo propósito. Esta función se basa en la edición Web de Windows
Server 2008 (WS08). Son similares a la función Servidor de aplicaciones, pero sólo se con-
centran en los servicios de información de Internet (IIS, Internet Information Services) o en
aplicaciones de servicio Web.
• Servidores de Terminal Server Servidores que hospedan aplicaciones de manera centra-
lizada y proporcionan acceso a ellos mediante un modelo de cliente delgado. Todo el entorno
de ejecución reside en el propio servidor.
• Servidores de colaboración Servidores que hospedan aplicaciones que están específica-
mente diseñadas para permitir esfuerzos de colaboración entre usuarios finales. Ejemplos de
sus servicios incluyen, entre otros, Windows SharePoint Services (WSS) y Servicios de flujo de
datos de Windows Media.
NOTA Los Servicios de lujo de datos de Windows Media también son conocidos como Servicios
de Windows Media y no son parte de WS08, como opción predeterminada. Debe descargarlos de
437
438 Parte IV: Administre objetos con Windows Server 2008
Estas funciones son las últimas del servidor que debe configurar antes de que pueda empezar a
mover usuarios finales a la red paralela y proporcionarles un complemento total de servicios.
Una vez más, en la estructura para cubrir cada una de estas funciones del servidor se
incluyen:
• Requisitos funcionales Análisis sobre la manera en que el servicio debe diseñarse para la
red empresarial y la racionalización del servicio.
• Características Las características que dan soporte a la función o el servicio dentro de WS08
(incluye nuevas características).
• Instrucciones de implementación La manera de seguir adelante con la preparación de la
función del servidor dentro del entorno de red de los ofrecimientos de servicios virtuales.
Las funciones mencionadas aquí suelen asignarse a servidores miembros. Al igual que con
las funciones del servidor de archivos e impresión, también será importante cubrir consideracio-
nes específicas de todos los tipos de servidor, como los servicios de equilibrio de carga de red y de
clúster de protección contra fallas. Ambas ofrecen características poderosas de redundancia que
minimizan el riesgo dentro de su organización. Esos temas se analizarán con más detalle en el
capítulo 11. Al igual que en el capítulo 8, la tabla que se encuentra al final de este capítulo esboza
los requisitos de recursos para construir cada servidor cubierto aquí. Sirve como una guía para la
construcción de una función de servidor.
Por último, una vez que las bases de los servicios de red se han cubierto, será el momento
de seguir con el diseño de la estructura de la unidad organizativa (OU, Organizational Unit)
Ofrecimientos de servicios virtuales dentro del directorio. Al igual que con las estructuras de
las OU Persona y PC, este diseño incluye un objeto de directiva de grupo (GPO, Group Policy
Object) y principios de delegación, pero también incluye el diseño único de un plan de migración
de servicios. WS08 ofrece capacidad de asignar derechos administrativos específicos con base en
las tareas de las que el administrador es responsable. Ya no necesita otorgar derechos de admi-
nistración de dominio a todos y cada uno sólo para permitir que realicen su trabajo. Este plan de
administración de servicios será un elemento clave de su infraestructura de seguridad de la red
empresarial. Se cubre en el capítulo 13.
La estructura de la OU Ofrecimientos de servicios virtuales se construye a medida que cada
servicio se agrega a la red. Es en este punto que se identificará la mayor parte del contenido de la
OU. Una vez que cada servicio adicional sea cubierto, se cubrirán de manera detallada los requi-
sitos administrativos, de delegación y de directiva del grupo para cada uno.
red de ofrecimiento de servicios virtuales. Sin embargo, hay algunas particularidades, depen-
diendo del tipo de software o aplicaciones que hospedará el servidor. Además, los productos
de software, las aplicaciones personalizadas, o ambos, a menudo requieren una arquitectura
detallada de su propia implementación anterior. Por ejemplo, podía instalar Microsoft Ex-
change Server sin determinar primero su impacto en su estructura de Servicios de dominio de
Active Directory (ADDS, Active Directory Domain Services), en controladores de dominio, en
la topología de replicación y en otros elementos de la infraestructura que ya funcionan. Debido
a esto, la función Servidor de aplicaciones suele ser una de las últimas que deberá implementar
en su servidor.
PARTE IV
ñar algunas aplicaciones básicas. Por ejemplo, en el lado del software, si está usando cualquier cosa
anterior a Microsoft Exchange 2003, tiene sentido actualizarla a Exchange 2007, porque depende de
características que son una parte esencial de WS08. También tiene sentido actualizar otro software
esencial, como los productos encontrados en el sistema de servidores de Windows de Microsoft, si
puede. Por último, trate de actualizar las aplicaciones personalizadas que son críticas para la misión,
si es posible, porque obtendrán beneficios de las nuevas capacidades de WS08.
SUGERENCIA Los ciclos de vida de soporte también son una buena razón para actualizar sus
aplicaciones. Microsoft, por ejemplo, proporciona información completa sobre sus ciclos de vida
de aplicaciones en http://support.microsoft.com/gp/lifeselectindex. Si su producto está perdiendo
soporte, entonces puede ser un buen momento para actualizarlo. En ocasiones, el costo de dar
soporte a un producto más antiguo rebasa al de actualizarlo.
FIGURA 9-1
Cambio de la aplicación
de reciclaje de las
aplicaciones.
• Aplicaciones como servicios NT Ahora, todas las aplicaciones COM+ pueden configurarse
como servicios NT, haciendo la carga de las aplicaciones en tiempo de arranque o bajo pedido,
según se requiera. Una vez más, esto se realiza mediante las propiedades de la aplicación en la
PARTE IV
ficha Activación.
• Compuertas de activación de memoria baja WS08 puede realizar las asignaciones de
memoria antes de iniciar un proceso, permitiendo que apague una aplicación si agota los re-
cursos de la memoria. Eso permite que otras aplicaciones se ejecuten en el servidor para seguir
operando cuando sólo falla una aplicación.
• Servicios Web Cualquier objeto COM+ puede tratarse como servicio Web y cualquier servi-
cio Web puede tratarse como un objeto COM+, lo que extiende en gran medida las capacida-
des remotas de sus aplicaciones.
• Particiones de aplicaciones Este tema se analizó en los capítulos 5 y 6, cuando se usó Ser-
vicios de dominio de Active Directory. En cuanto a soporte de aplicaciones, estas particiones le
permiten hospedar varias instancias de la misma o de diferentes versiones de objetos de COM+
en el mismo servidor. Si, por ejemplo, hay 500 usuarios que ejecutan una aplicación hospedada,
puede crear 500 particiones, una para cada cliente, segregando su entorno operativo de todos
los demás. Las particiones de aplicaciones se crean en Usuarios y equipos de Active Directory
bajo System | ComPartitions y ComPartitionsSets (debe estar habilitada la opción Características
avanzadas en el menú Ver). Además, los servidores miembros deben tener las particiones habili-
tadas. Esto se hace mediante Servicios de componente | Equipo | Propiedades | ficha Opciones.
• .NET Framework WS08 incluye una versión integrada de .NET Framework, versión 2.0
como opción predeterminada. Además, incluye una versión instalable de .NET Framework
versión 3.0 y 3.5. Por tanto, puede programar aplicaciones para que usen el motor en tiempo
442 Parte IV: Administre objetos con Windows Server 2008
de ejecución de lenguaje común y las integren con los servicios Web de lenguaje de marcado
extensible (XML, eXtensible Markup Language) para aprovechar este nuevo y poderoso mo-
delo de programación.
• Servicios UDDI WS08 también incluye los servicios de descripción, descubrimiento e inte-
gración universal (UDDI, Universal Description, Discovery, and Integration), lo que le permite
publicar sus servicios Web de manera interna o externa. Los servicios UDDI son una función
que puede agregarse a servidores WS08.
• Protocolo simple de acceso a objetos (SOAP, Simple Object Access Protocol) WS08
incluye este protocolo basado en XML para permitir la integración completa con el modelo de
programación de servicios Web.
• Cola de mensajes WS08 también incluye el servicio Message Queue Server, que proporcio-
na una infraestructura de mensajería asincrónica para aplicaciones. Esto permite que las apli-
caciones operen bajo condiciones de red que no son constantes. MSMQ está integrada con los
Servicios de dominio de Active Directory, donde almacenan toda la información de configu-
ración, seguridad y estatus. Message Queue Server proporciona comunicaciones garantizadas
en red, aunque no haya condiciones óptimas en ésta. Puede agregarse mediante el Asistente
para añadir características.
El rediseño de las aplicaciones corporativas no es un proceso ágil. Debe planearse bien an-
tes de que empiece su migración a Windows Server 2008, de modo que las aplicaciones estén
listas para entregarse cuando realice el despliegue de su infraestructura.
PRECAUCIÓN Aunque tenga aplicaciones existentes que se ejecuten bajo versiones anteriores del
Instalador de Windows, necesita actualizarlas para ejecutarse con la versión 4 de éste, que se ha
actualizado para trabajar con las características del Control de cuentas de usuario encontradas
en Vista y WS08. Una vez más, eche un vistazo al capítulo 6 de The Deinitive Guide to Vista
Capítulo 9: Construya la infraestructura de ofrecimientos de servicios virtuales 443
Le dará a todas sus aplicaciones una solidez y una estabilidad adicionales a bajo costo,
porque, de todos modos, los productos o aplicaciones de software deben estar configurados para
instalarse automáticamente. Además, le proporcionará un solo método de instalación e imple-
mentación unificado para todos los productos de software.
SUGERENCIA Altiris, parte de Symantec, ofrece Wise for Windows Installer y Wise Package Studio
(www.wise.com), y Macrovision ofrece AdminStudio (www.installshield.com) para conservar las
instalaciones de software e integrarlas con el servicio Instalador de Windows además de empaque-
tar nuevas aplicaciones. También recuerde probar todas sus instalaciones de software y aplicación
en modo de usuario para asegurar que se comportan de manera apropiada en WS08 con derechos
de acceso limitado.
Use métodos de prueba rigurosos y asegúrese de que los usuarios expertos sean parte de su
grupo de la prueba de aceptación de cada aplicación o producto de software. Esto le ayudará a
garantizar que el software o la aplicación proporcionan todas las características que espera, por-
que usted no puede ser experto en cada aspecto de todos los programas de su red.
PARTE IV
tarse en una máquina central, proporcionando servicios remotos a usuarios finales.
El primer tipo de servidor de aplicación es realmente un servidor de archivos más que cual-
quier otra cosa. En este caso, usted crea un recurso compartido de archivos en un servidor, instala la
aplicación que habrá de compartirse (por ejemplo Microsoft Office), realiza una instalación admi-
nistrativa y luego envía el vínculo con los archivos de la aplicación compartida a los usuarios finales.
Esta manera de compartir aplicaciones va en desuso, porque las instalaciones administrativas
de productos como Microsoft Office llevan a complejidades a largo plazo de administración y,
en especial, de actualización. Windows Server ofrece tantas opciones adicionales para compartir
aplicaciones, principalmente la nueva característica RemoteApps de los servicios de Terminal
Server, que sería mejor que volviera a considerar el uso del servidor de aplicaciones compartidas
en su red, si tiene alguno.
El segundo tipo de servidor de aplicaciones es mucho más popular, porque es el tipo que
ejecuta aplicaciones de Windows Server System como BizTalk Server, Commerce Server, SQL
Server, etc. Estas implementaciones están diseñadas para depender de las características base de
Windows Server 2008 con el fin de proporcionar servicios centralizados de usuario.
Además, este tipo de servidor incluye la ejecución de aplicaciones personalizadas. Para estas
aplicaciones, necesita instalar los componentes de la función Aplicaciones en el Administrador del
servidor. Mientras algunos de sus componentes ejecutan aplicaciones COM+ o .NET, otras inclu-
yen la capacidad de ejecutar aplicaciones Web. Las aplicaciones COM+ y .NET ya se han analizado.
444 Parte IV: Administre objetos con Windows Server 2008
SUGERENCIA Para aprender más sobre la virtualización de aplicaciones, consulte el webcast Appli-
cation virtualization: Ending DLL hell once and for all (Virtualización de aplicación: termine con la
maldición de las DLL de una vez por todas), en www.bitpipe.com/detail/RES/1193672482_325.html.
Hay varios tipos diferentes de tecnologías de virtualización de aplicaciones, pero todas pro-
ducen básicamente un conjunto de características similares:
• Altiris, parte de Symantec, ofrece Software Virtualization Solution (SVS), que es un contro-
lador de filtro que se instala en el sistema operativo. El controlador de filtro administra el
proceso de virtualización. Conocerá más información sobre SVS en www.altiris.com/Pro-
ducts/SoftwareVirtualizationSolution.aspx. Las aplicaciones de SVS pueden combinarse con el
servidor AppStream de AppStream para ofrecer capacidades de flujo de datos. Debe conocer
más información sobre AppsStream y SVS en www.appstream.com/products-application-vir-
tualization.html.
• Citrix ofrece tecnologías de virtualización dentro de su Presentation Server. Citrix usa un prin-
cipio similar a la virtualización de aplicaciones de Microsoft y envía el flujo de aplicaciones a
equipos de escritorio o servidores. Conocerá más información en www.citrix.com/English/ps2/
products/product.asp?contentID=186.
• Microsoft ofrece Microsoft Application Virtualization (MAV) como parte del Desktop Opti-
mization Pack para Software Assurance (DOPSA). Microsoft adquirió SoftGrid a mediados
de 2006 y ha reprogramado el cliente MAV para que se ejecute con las versiones x86 y x64
Capítulo 9: Construya la infraestructura de ofrecimientos de servicios virtuales 445
PARTE IV
• IIS 7 se ha dividido en módulos que instala y activa según sea necesario. Por ejemplo, si nece-
sita inclusiones del lado del servidor (SSI, Service Side Includes) en su servidor Web, entonces
debe instalar el componente SSI para hacer que se ejecute. IIS incluye ahora más de 30 com-
ponentes que puede instalar y configurar de acuerdo con lo necesario.
• El Administrador de IIS, la consola de administración de IIS, se ha remodelado por completo
(vea la figura 9-2). Ahora cada componente está delineado claramente y es más fácil acceder a
él. Incluye una vista de características y una de contenido. La vista de contenido proporciona
una interfaz similar a versiones anteriores de IIS. La vista de características le da acceso a las
interfaces administrativas de cada uno de los componentes instalados.
PRECAUCIÓN No puede administrar versiones anteriores de IIS con el Administrador de IIS 7. Por
eso WS08 incluye la capacidad de instalar una consola compatible para IIS 6 y versiones inferiores.
do el daño que un ataque de negación del servicio puede hacer a cada aplicación. El aisla-
miento de aplicaciones ocurre automáticamente en IIS 7 cada vez que se agrega una nueva
aplicación al servidor Web.
• La edición Web de WS08 sólo incluye una función: Servicios Web (IIS), que no está instalada
como opción predeterminada. Esta edición de WS08 es dedicada y está diseñada para propor-
cionar una opción de bajo costo para servidores Web que no son de Windows. Utilice los mis-
mos métodos que con IIS para administrar y supervisar servidores que ejecutan esta edición.
• IIS 7 es la versión más segura de IIS hasta la fecha. Antes, IIS instalaría una serie completa de
componentes debido a que su estructura era monolítica. Esto aumentaba su superficie de ata-
que. Por supuesto, podía controlar si los componentes se habilitaban o no, pero como estaban
instalados, podrían prestarse a uso malicioso. Ahora, IIS 7 no requiere activación de compo-
nentes. Si decide instalar el componente, está activado. Si no se ha instalado, entonces no se
puede activar de manera maliciosa o inadvertida.
Ésas son las principales características nuevas de seguridad de IIS. En conjunto, es una
plataforma Web mucho más segura y estable que nunca.
Sin embargo, tenga en cuenta que IIS ya no se requiere en casi ninguno de sus servidores.
Además, no debe colocar IIS en ninguno de sus controladores de dominio, si es posible. Puede
haber algunas circunstancias en que no tenga otra opción (por ejemplo, en el caso de servidores
de propósito múltiples).
ejecutan IIS 7. Las características predeterminadas se instalan automáticamente y son, por tanto,
también las recomendadas.
Como verá, IIS 7 es extremadamente modular (mucho más que cualquier versión anterior).
Asegúrese de documentar apropiadamente cada uno de los componentes que instala. Además, si en-
cuentra que instaló un componente que no está usando, desinstálelo. Para ello, haga clic con el botón
derecho en la función en el Administrador del servidor y seleccione Eliminar servicios de función.
PARTE IV
Filtros ISAPI X
Inclusiones del lado
servidor
Estado y diagnóstico
Registro HTTP X
Herramientas de registro X
Monitor de solicitudes X
Seguimiento X
Registro personalizado Se instala sólo si está integrado en su aplicación.
Registro de ODBC Se instala sólo si quiere registrar en una base de datos.
Seguridad
Autentiicación básica Es compatible con la mayor parte de los navegadores, pero
puede espiarse fácilmente en Internet debido a que el cifrado
de contraseñas es muy deiciente.
Autentiicación de X Se usa para sitios Web internos, porque requiere que los clien-
Windows tes tengan credenciales de dominio para acceder a un sitio.
Autentiicación implícita X Proporciona mejor cifrado de contraseñas. Use, en cambio,
autentiicación básica para sitios Web externos.
PARTE IV
Una vez instalada, administrará IIS mediante la consola de Administración de IIS. Como
ya se mencionó, esta consola incluye dos vistas: la de características y la de contenido. La vista
de características se usa para acceder a los componentes que permiten que se ejecuten IIS y los
sitios Web. La vista de contenido se usa para ver los archivos que integran un sitio Web. Los
administradores familiarizados con versiones anteriores de IIS se sentirán más cómodos con la
vista de contenido, porque se parece mucho a versiones anteriores del administrador de IIS. Sin
embargo, necesita cambiar de una vista a la otra para modificar la configuración de cualquier
componente en la lista de contenido. Pero si quiere modificar las propiedades de Windows de los
objetos que seleccione, necesita hacerlo en la vista de contenido.
Además, la metabase anterior (la base de datos que contenía todos los parámetros de IIS
en versiones anteriores) ha desaparecido ahora por completo. En cambio, toma su estructura de
configuración de ASP.NET y ahora incluye archivos de configuración tipo XML, como lo hacían
los sitios Web de ASP.NET en versiones anteriores. La información de configuración predeter-
minada ahora está contenida dentro de un archivo llamado applicationHost.config. Este
archivo contiene configuraciones del nivel de servidor. Luego, una jerarquía de archivos web.
config se almacena dentro de cada directorio de aplicaciones y proporciona mayores opciones
de configuración para aplicaciones. En versiones anteriores de Windows el IIS necesitaba confi-
gurar manualmente las opciones en archivos .config. En IIS 7, configura las opciones median-
te los módulos del Administrador de IIS y esos módulos crean las modificaciones requeridas a los
archivos .config.
450 Parte IV: Administre objetos con Windows Server 2008
Además, IIS 7 incluye una herramienta de línea de comandos, APPCMD.EXE, que le permi-
te incluir en una secuencia de comandos cualquier actividad del servidor. El Administrador de
PARTE IV
IIS también da soporte a la administración remota mediante puertos seguros de protocolo de
transferencia de hipertexto (HTTPS, HyperText Transfer Protocole Secure), como el 443. Esto se
habilita al modificar la configuración del Servicio de administración, bajo la sección Administra-
ción del panel de detalles (vea la figura 9-3):
1. Haga doble click en el icono Servicio de Administración.
2. Haga click en Habilitar conexiones de manera remota.
3. Determine el modo de autentificación.
4. Vaya al panel de acciones, y haga clic en Iniciar para iniciar el servicio.
5. Luego haga clic en Aplicar, en el panel de acciones, para habilitar la administración remota.
Haga clic en el nombre del servidor en el panel de árbol para regresar a la vista de características.
Por último, puede delegar cualquier actividad dentro de la consola de IIS 7. Eso se reali-
za mediante el icono Delegación de características en la sección Administración de la vista de
características (vea la figura 9-4). Es posible delegar cualquier componente de IIS. Varias configu-
raciones están disponibles en el panel de acciones: Lectura y escritura, Sólo lectura, Sin delegar y
Restablecer heredadas. Al controlar cada uno de estos parámetros, puede crear una estrategia de
delegación fina para la administración de IIS. Esto es ideal para proporcionar a los Webmasters la
capacidad de administrar sus propios sitios, pero no tiene capacidad para modificar las configura-
ciones generales del servidor IIS.
452 Parte IV: Administre objetos con Windows Server 2008
habilitarlos o reutilizarlos, debe utilizar otros servicios de directorio. Aquí es donde entra en juego
ADLDS. Al igual que con el directorio ADDS, se usa para administrar su red. ADLDS proporciona
un servicio de directorio estructurado, pero que no da soporte a principales de seguridad.
ADLDS se utiliza para aplicaciones habilitadas por directorio que requieren agrupamien-
tos de usuario y otros objetos personalizados para proporcionar funcionalidad. Además, puede
vincular los objetos en un directorio de ADLDS con los de su directorio de ADDS, lo que per-
mite proporcionar extensiones de esquema sin tener que modificar su directorio de red central.
Esto también le permite reutilizar su directorio base como fuente para los controles de acceso de
aplicaciones. Varios directorios de ADLDS pueden residir en el mismo servidor, lo que le per-
mite crear servicios centralizados de directorio para soporte de aplicaciones. Y, como incluye las
mismas capacidades de aplicaciones que ADDS, ADLDS puede usarse para crear infraestructuras
para soporte de aplicaciones redundantes en toda su red.
SUGERENCIA Un uso muy bueno de ADLDS es en redes de perímetro donde quiere tener acceso a
la capacidad de un directorio, pero sin tener que administrar la sobrecarga de un directorio de red
de área de ADDS.
Una vez más, ADLDS se agrega mediante Agregar funciones, en el Administrador del ser-
vidor. Se trata de una de las instalaciones más simples en WS08. Una vez que ha instalado la fun-
ción, utilice menú Inicio | Herramientas administrativas | Asistente para configuración de ADLDS
para crear instancias de ADLDS. Asegúrese de que documenta el objetivo de cada instancia a
medida que la crea.
PARTE IV
Trabaje con el servicio Descripción, descubrimiento e integración universal
UDDI es un servicio basado en XML que le permite construir un directorio distribuido que, a su
vez, le permite anunciar su negocio y sus servicios Web en Internet. El directorio proporcionado
por UDDI es similar a un directorio telefónico. Los negocios aparecen por nombre, producto,
ubicación y servicio Web. Puede buscar por nombre de negocio, nombre de servicio Web o inclu-
so por tipo de servicio Web. Esto le facilita la construcción de arquitecturas orientadas a servicio
(SOA, Service Oriented Architecture) distribuidas, porque es más simple y sencillo descubrir
servicios Web que complementar las aplicaciones que construye.
UDDI también se instala mediante Agregar funciones, en el Administrador del servidor. Cuan-
do instala UDDI en el servidor, WS08 instalará el servicio de descubrimiento y una base de datos
de servicios para administrar la información de servicios. Las instalaciones pueden estar en un solo
servidor, donde cada parte del servicio está instalada de manera conjunta, o en modo distribuido,
donde el servicio Descubrimiento está instalado en un servidor y la base de datos en otro. La parte
de la base de datos del servidor debe ejecutar SQL Server y puede depender de la base de datos in-
terna de Windows para ello. En implementaciones más amplias, debe instalar una versión completa
de SQL Server para proporcionar soporte en el nivel empresarial para ese servicio.
Una vez instalados, se configuran los servicios de UDDI mediante el complemento Servicios
UDDI en la consola de administración de Microsoft (MMC, Microsoft Management Console)
454 Parte IV: Administre objetos con Windows Server 2008
versión 3. Aquí puede modificar los usuarios UDDI, integrar su directorio UDDI con Servicios
de dominio de Active Directory, controlar el cifrado de los datos de UDDI en su red y modificar
configuraciones de base de datos para el servicio, entre otras cosas.
SUGERENCIA Como ya sabe, el Administrador del servidor no puede administrar un sistema remo-
to. Por tanto, tiene que iniciar sesión en el propio servidor para usar Administrador del servidor
o, de manera ideal, simplemente publique el Administrador del servidor como una RemoteApp,
para que parezca que se ejecuta localmente en su propia estación de trabajo. Haga esto para cada
servidor que necesite administrar.
están pasando a este modelo, porque ésta sólo requiere servicios de archivo para enviar el lujo de
las aplicaciones a los sistemas de los usuarios inales, mientras que Virtualización de presentacio-
nes requiere coniguraciones masivas del servidor, con grandes cantidades de memoria de acceso
directo (RAM, Random Access Memory) y capacidad de red, porque el entorno de ejecución es el
propio servidor. No obstante, la opción Virtualización de la presentación es muy útil aún, porque
permite compartir el Administrador del servidor para la administración remota de sistemas.
PARTE IV
• Defina su modelo de licencia de Terminal Server.
• Determine el modelo de aplicación para las aplicaciones hospedadas.
• Instale las aplicaciones hospedadas.
• Defina las directivas de acceso de Terminal Services.
• Defina los objetos de la directiva del grupo Terminal Services.
• Determine cómo implementará las aplicaciones compartidas.
Cada uno de estos pasos requiere cuidado y razonamiento anticipado.
PRECAUCIÓN ¡No instale aplicaciones en servidores antes de instalar la función de servidor Ter-
minal Services! Esos servicios requieren que las aplicaciones estén instaladas en un modo especial
de recurso compartido que sólo puede realizarse una vez que el componente de TS se ha instalado
en un sistema. Si instala aplicaciones antes de TS, tendrá que desinstalarlas y volver a hacerlo
después de que se haya instalado TS.
PARTE IV
necesitará instalarlo manualmente en cada cliente que interactúe con su servidor IIS.
Crear directivas de Las directivas son necesarias para permitir que los usuarios de Internet tengan acceso a
autorización las aplicaciones de puerta en enlace de TS. Puede conigurarlas más adelante o ahora.
Seleccione Ahora.
Seleccionar grupos de Seleccione los grupos de usuarios a los que se les permitirá el acceso a aplicaciones
usuarios compartidas mediante esta puerta de enlace. Si trata de restringir el acceso a la aplicación a
grupos especíicos (por ejemplo, está conigurando un servidor para que ejecute aplicaciones
remotas y sólo quiere que un grupo selecto de usuarios acceda a ellos), entonces seleccione
o cree el grupo apropiado. De otra manera, seleccione Usuarios del dominio para permitir que
cualquier usuario de su dominio tenga acceso a estas aplicaciones a través de Internet.
Crear una directiva CAP La directiva de autorización de conexión (CAP, Connecting Authorization Policy) permite a los
de TS usuarios conectarse al servidor cuando cumplen condiciones especíicas. Las CAP pueden
depender sólo de contraseñas, proporcionando seguridad simple, o de tarjetas inteligentes,
dependiendo de dos factores de autentiicación. Se requieren dos elementos, algo que
usted tiene, la tarjeta y algo que conoce, la contraseña, para autentiicarse. Seleccione
Contraseña, por ahora. En el capítulo 10 se cubrirá el uso de las tarjetas inteligentes.
Crear una directiva RAP Las directivas de autorización de recursos (RAP, Resource Authorization Policy) permiten
de TS limitar los recursos internos a los que pueden conectarse los usuarios de Internet dentro
de su red. Los usuarios tienen la opción de conectarse a cualquier equipo o sólo a equipos
especíicos. En este caso, como está creando una RAP para Terminal Services, asegúrese
de crear un grupo de seguridad personalizado en ADDS que incluya las cuentas del equipo de
todos los servidores que ejecutarán la función TS, y asigne la RAP a este grupo.
rios acceso a toda sus características mediante las sesiones de terminal remota en servidores de
WS08. Si, por otra parte, tiene hardware de cliente que soporte Windows Vista, obtiene grandes
ventajas del uso de los servicios de Terminal Server. Por ejemplo, no es necesario implementar un
componente de cliente para que operen las sesiones de terminal en un cliente de Windows Vista,
porque ya se incluye un cliente de Escritorio remoto. Esto significa que puede concentrarse en la
centralización de aplicaciones y en el uso de un modelo de implementación de aplicaciones más
simples.
PRECAUCIÓN Es importante instalar Experiencia de uso, activar el servicio Temas en los servidores
TS de WS08 y habilitar el tema Windows Vista; de otra manera, los usuarios de Windows Vista se
enfrentarán con una interfaz parecida a Windows 2000 cuando accedan a aplicaciones remotas en
el modo Terminal Services. Lo más probable es que esto les cause confusión (Windows Vista en el
escritorio y Windows 2000 en sesiones remotas) y que aumenten las llamadas de soporte técnico.
Los servidores sin licencia sólo permitirán a los clientes funcionar durante 120 días; después
de este periodo, todas las sesiones terminarán y el servidor TS ya no responderá a las solicitudes
del cliente. Para que los servidores adquieran licencias, debe instalar el servidor de licencias de
Terminal Server. Microsoft debe activar este servidor antes de que empiece a expedir licencias
permanentes para su organización. La activación es el primer paso para habilitar esta función.
1. Empiece por ir al nodo Terminal Services en el Administrador del servidor.
2. En el panel de detalles, desplácese a la sección Herramientas avanzadas.
Capítulo 9: Construya la infraestructura de ofrecimientos de servicios virtuales 459
PARTE IV
GPO Grupo de seguridad del servidor de licencias (bajo Configuración del equipo | Directivas |
Plantillas administrativas | Componentes de Windows | Terminal Services | Licencia de Terminal
Server) puede restringir las sesiones de TS únicamente a servidores TS autorizados. Para ello,
necesitará colocar los servidores TS a los que desee otorgar licencias en el grupo Equipos de
Terminal Server del servidor de licencias TS. Esto asegurará que las licencias no se desperdicien al
ser otorgadas a servidores que ejecuten Terminal Services en modo de administración remota.
cuencias de comandos de compatibilidad para las aplicaciones que instale. Éstas modifican las
instalaciones estándar para que sean compatibles con TS. Deben ejecutarse después de que se
instale la aplicación. Las secuencias de comandos se encuentran en la carpeta %SYSTEMROOT%\
APPLICATION COMPATIBILITY SCRIPTS.
PARTE IV
Coniguración del equipo | Directivas | Permitir archivos .rdp de PC Deshabilítela para proporcionar un
Plantillas administrativas | componentes publicadores descono- entorno de TS más seguro.
de Windows | Terminal Services | Clien- cidos
te de conexión a Escritorio remoto
Permitir archivos .rdp de PC Habilítela para proporcionar un
publicadores válidos y la entorno de TS más seguro.
coniguración .rdp prede-
terminada del usuario
Conigura la autentiica- PC Habilítela: no se conecte si la au-
ción de servidor para el tenticación falla. Asegúrese de que
cliente el servidor TS es el autorizado.
No permitir que se guar- Establece conexión de manera más
den las contraseñas fácil porque las contraseñas se
almacenan en el archivo .rdp.
Pedir credenciales en el Mantenga la opción predetermi-
equipo cliente nada.
Especiicar huellas digita- PC Habilítela e incluya miniaturas de
les SHA1 de certiicados certiicados si habilitó antes publi-
que representan publica- cadores válidos.
dores .rdp de conianza
Coniguración del equipo | Directivas | Permitir inicio remoto de Servidor Deshabilítela si quiere controlar
Plantillas administrativas | Componen- los programas que no se los programas que los usuarios
tes de Windows | Terminal Services | incluyen en la lista pueden ejecutar cuando se vinculan
Terminal Server | Conexiones al Escritorio remoto.
Permitir que los usuarios PC Habilítela para permitir Escritorio
se conecten de forma re- remoto.
mota mediante Terminal
Services
Reconexión automática PC Habilítela.
Conigurar intervalo entre Servidor Habilítela para sincronizar el estado
mensajes de manteni- de copia de seguridad entre el
miento de conexión. cliente y el servidor
Niega el cierre de sesión Mantenga la coniguración prede-
de un administrador que terminada.
ha iniciado sesión en la
consola de sesión
Limitar número de co- Servidor Puede usarse para supervisar la
nexiones carga del servidor.
Limitar a los usuarios de PC Habilítela para controlar el uso de
Terminal Services a una recursos en servidores.
sesión remota única
Establecer reglas para Servidor Habilite control remoto completo
el control remoto de con permisos de usuario.
sesiones de usuario de
Terminal Services
Terminal Server | Redirección de dispo- Permitir redirección de Servidor Habilítela para limitar el uso de
sitivo o recurso audio ancho de banda.
Permitir redirección de Servidor Si se requiere en varias zonas
zona horaria horarias.
No permitir redirección Mantenga la coniguración
del Portapapeles predeterminada.
No permitir redirección Mantenga la coniguración prede-
de puertos COM terminada.
No permitir redirección Mantenga la coniguración
de unidad predeterminada.
No permitir redirección Mantenga la coniguración prede-
de puertos LPT terminada.
No permitir redirección Mantenga la coniguración
de dispositivos de tarjeta predeterminada.
inteligente
PARTE IV
disponibles.
Especiicar el comporta- Mantenga la coniguración prede-
miento del controlador de terminada.
impresora de retroceso
de Terminal Server
Usar controlador de Mantenga la coniguración prede-
impresora Easy Print terminada.
de Terminal Services
primero
Terminal Server | Periles Establecer ruta de acce- Servidor Habilítela. Cree un recurso com-
so del peril de usuario partido para periles de usuario
móvil de TS y carpetas de inicio, y cree una
asignación.
Establecer directorio prin- Servidor Habilítela. Cree un recurso com-
cipal de usuario de TS partido para periles de usuario
y carpetas de inicia, y cree una
asignación.
Terminal Server | Seguridad Solicitar la contraseña Servidor Úsela sólo si tiene un entorno
siempre al conectar muy seguro o para aplicaciones
protegidas.
No permitir a los adminis- Mantenga la coniguración prede-
tradores locales persona- terminada.
lizar permisos
Requerir comunicación Servidor Habilítela para comunicaciones
RPC segura seguras.
Requerir el uso de un Servidor Habilítela, SSL (TLS 1.0) proporcio-
nivel de seguridad espe- nará la conexión más segura.
cíico para conexiones
remotas (RDP)
Requerir la autenticación Servidor Habilítela sólo si todos sus clientes
del usuario RDP 6.0 para usan Vista
las conexiones remotas
Plantilla de certiicado de Servidor Habilítela junto con la capa de
autenticación de servidor seguridad SSL en la coniguración
anterior.
PARTE IV
Conigurar nombre de Servidor Habilítela e incluya el nombre de la
la granja del Agente de granja.
sesiones de TS
Usar equilibrio de carga Servidor Habilítela para aprovechar mejor los
de Agente de sesiones recursos de la granja de TS.
de TS
Conigurar nombre del Servidor Habilítela e incluya el nombre del
servidor del Agente de servidor.
sesiones de TS
Usar redirección de direc- Mantenga la coniguración prede-
ciones IP terminada.
Coniguración del equipo | Directivas | Licencia de Terminal Servidor Habilítela. Cree un grupo de segu-
Plantillas administrativas | componen- Server ridad que contenga todas las cuen-
tes de Windows | Terminal Services | tas del equipo del servidor TS e
inclúyalas en la lista. Esto asegura
que las licencias sólo vayan a los
servidores TS autorizados.
PARTE IV
de enlace de TS sign-on.
Establecer la dirección Usuario Habilítela e incluya la dirección del
del servidor de Puerta de servidor de Puerta de enlace de TS.
enlace de TS
NOTA Aunque muchas de las coniguraciones de equilibrio de carga de Terminal Services requerían
por lo menos la edición Enterprise de Windows Server 2003 para funcionar, sólo necesitan la
edición Standard para WS08. Conocerá más sobre el equilibrio de carga en el capítulo 11.
que afecte a todas las PC. La configuración de Usuario debe asignarse a un GPO especial que
afecte a todos los usuarios, pero se filtra mediante un grupo de seguridad que contiene usuarios
que tienen acceso remoto a servidores TS.
PRECAUCIÓN Recuerde que la directiva de grupo sólo afecta a los usuarios y PC que son miembros
de su dominio. Tenga esto en cuenta, sobre todo para la coniguración de la Puerta de enlace de
TS. Si los usuarios se conectan a aplicaciones remotas desde sistemas públicos, esta coniguración
de GPO no los afectará.
Agregue RemoteApps
La adición de RemoteApps es fácil y sencilla. Empiece por instalar la aplicación que se comparti-
rá como en los procedimientos delineados antes. Luego agréguelos como RemoteApps.
1. Una vez que la aplicación esté instalada, vaya al Administrador del servidor y después a Fun-
ciones | Terminal Services | Administrador de RemoteApps de TS.
2. Haga clic en Agregar programas RemoteApps en el panel de acciones. Esto lanza el Asistente
para RemoteApp. Haga clic en Siguiente.
3. Seleccione el programa que se agregará a la lista de RemoteApps. Esta lista desplegará todas
las aplicaciones conocidas instaladas. Puede ver sus propiedades antes de pasar a la siguien-
te página. Propiedades le permite controlar argumentos de línea de comandos, además de
iconos y si la aplicación estará disponible en Acceso Web de TS (vea la figura 9-6). Haga clic en
Aceptar cuando haya terminado.
4. También puede agregar todas las aplicaciones a la vez en esta página, si quiere. Haga clic en
Siguiente.
5. Revise sus opciones y haga clic en Finalizar cuando haya terminado. Utilice el botón Anterior
para corregir cualquier configuración que no le parezca correcta.
Capítulo 9: Construya la infraestructura de ofrecimientos de servicios virtuales 469
Repita esta operación para cada producto que quiera que quede disponible de manera remo-
ta. Ahora está listo para implementar la aplicación.
PARTE IV
• Cambie la ubicación para guardar los paquetes en una unidad que incluya una carpe-
ta compartida, por ejemplo, D:\Administración\Programas empaquetados. Comparta la
carpeta como Paquete$ para ocultarla de los usuarios. La configuración de Terminal Server
incluirá el nombre del servidor, el puerto que usa y el nivel de autentificación que habrá de
usarse. Como opción predeterminada, las conexiones de RDP utilizan el puerto 3389.
• La configuración de Puerta de enlace de TS debe detectarse automáticamente si estableció
apropiadamente su GPO.
• La configuración de certificados depende del hecho de que se haya instalado o no un certi-
ficado en el servidor. Recuerde que los certificados públicos son mejores, porque automáti-
camente serán de confianza para la PC cliente.
5. Haga clic en Siguiente cuando haya terminado. Revise sus opciones y haga clic en Finalizar
cuando esté listo. Utilice el botón Anterior para corregir cualquier parámetro que no le parezca
correcto.
6. El asistente asigna un nombre automáticamente y guarda el archivo RDP. Pruebe la conexión
antes de desplegarla a los usuarios.
7. Implemente el archivo RDP para los usuarios mediante una secuencia de comandos de inicio
de sesión u otro mecanismo de implementación.
Ahora los usuarios tendrán acceso a su RemoteApps de servidor TS.
PARTE IV
Donde Nombre Servidor es el nombre de host del servidor que ejecuta el servicio TWA.
SUGERENCIA Cuando agregue nuevas RemoteApps a una lista de Acceso Web de TS, asegúrese de
hacer clic en el vínculo Actualizar en el panel de detalles; de otra manera, la lista de aplicaciones
tal vez esté incompleta.
NOTA Terminal Services incluye una parte Web que puede usarse para desplegar el Acceso Web de
TS contenido dentro de un sitio de equipo de SharePoint Services. Por ejemplo, podría usar esto
para crear una página de inicio personalizada para los usuarios, que desplegaría sólo las aplicacio-
nes a las que tienen acceso.
Cuando los usuarios se conectan por primera vez a una sesión de TS, el Agente de la sesión
automáticamente los conectará a la primera dirección IP de la lista, pero luego los redirigirá a
un servidor TS con una carga de trabajo inferior. Si la conexión a la primera dirección IP falla, el
PARTE IV
agente de la sesión conectará al usuario con la siguiente, y así sucesivamente.
Esto proporciona una experiencia de usuario más refinada y les permite desconectarse de
una sesión y volverse a conectar a la apropiada en la granja. Si planea hacer uso extenso de Ter-
minal Services en su red, sobre todo si planea ir más allá de la administración remota, entonces
debe tomar en consideración el trabajo con el Agente de sesión.
Ahora su entorno de Terminal Services está listo para producción. Asegúrese de usar una
directiva de prueba completa antes de dar a los usuarios acceso a las aplicaciones que hospeda
en sus servidores de Terminal Services.
servidor de su red en un solo lugar, lo cual proporciona una ubicación central para la administra-
ción de toda su red. Y, lo que es mejor, puede guardar las credenciales que use para iniciar sesión en
cada servidor dentro de la consola, haciendo que cada servidor esté solo a un clic de distancia.
PRECAUCIÓN RDC es una herramienta poderosa porque almacena contraseñas que proporcionan
acceso a servidores. Asegúrese de almacenar la consola en su peril para asegurarla, y cerciórese
de bloquear su equipo cada vez que deje su escritorio.
PARTE IV
10. Haga clic en Archivo | Opciones e ingrese el nombre de su consola. Asegúrese de establecer
el modo de consola en Modo usuario: acceso completo y que no esté seleccionada No guar-
dar los cambios en esta consola. También asegúrese de que esté seleccionada Permitir que el
usuario personalice vistas. Haga clic en Aceptar cuando haya terminado. Guarde de nuevo la
consola. Ahora no se le pedirá que guarde la consola cada vez que la cierre.
Ya ha terminado. Ahora puede usar su consola para administrar sus diversos servidores
físicos o sus máquinas virtuales en una sola interfaz. Por ejemplo, una consola RDC final podría
incluir todos los entornos diferentes que necesite (vea la figura 9-13). Para ir de máquina en
máquina basta con hacer clic en el nombre de la misma.
PARTE IV
SUGERENCIA Si la consola o la conexión dejan de responder, simplemente haga clic con el botón
derecho en el nombre de la conexión, y elija Desconectar. Haga clic de nuevo con el botón derecho
para elegir Conectar, y ya habrá regresado.
Las conexiones contenidas en esta consola son muy ingeniosas y pueden ahorrarle gran
cantidad de tiempo. He aquí algunos consejos para su uso:
• Para usar la consola, sólo ábrala y haga clic una vez en el vínculo al que quiere conectarse.
• Para romper una conexión, cierre la sesión desde el servidor remoto o haga clic con el botón
derecho en Desconectar.
• Si ya se conectó a un vínculo y se desconecta, vuelva a conectarse al hacer clic con el botón
derecho en él y seleccione Conectar.
• Debe tener nombres de conexión cortos y asegurarse de que el panel de árbol es lo más
pequeño posible, porque las conexiones de Escritorios remotos rellenarán automáticamente el
panel de detalles. Maximice la consola y la ventana de la consola para obtener la mayor canti-
dad posible de espacio en la pantalla para sus conexiones.
• Una vez que sus conexiones se hayan establecido, puede modificar sus propiedades, incluyen-
do elementos como resolución de pantalla, vinculación de sus unidades de disco locales con el
equipo local y más. Para hacer que estos tipos de modificaciones sean permanentes, necesita
478 Parte IV: Administre objetos con Windows Server 2008
hacer clic con el botón derecho en la consola y seleccionar Autor. Eso le permitirá modificar
configuraciones y guardarlas para la vez siguiente.
• Una vez que la consola esté lista, colóquela en su área Inicio rápido. De esa manera, sólo que-
dará a un clic de distancia de cualquier servidor que necesite administrar.
Pronto se dará cuenta de que ésta es la consola más valiosa en su juego de herramientas de
administración.
Servidores de colaboración
La mayoría los usuarios están acostumbrados al servicio Compartir archivos, y para ellos este
servicio es una manera eficaz de colaborar con sus colegas. Pero desde hace varios años, se ha
dado un nuevo movimiento en los círculos de la tecnología de la información: el uso de los sitios
Web de colaboración que reemplaza la necesidad de los recursos compartidos de archivos. Ése es
el eje central de Windows SharePoint Services (WSS).
WSS está basado en la infraestructura Web de los servicios de información de Internet (IIS)
y está diseñado para proporcionar una colección de servicios integrados que permiten la colabo-
ración. Entre sus principales opciones se incluye la capacidad de crear sitios Web de equipo que
den soporte al intercambio de información, además de los recursos compartidos de documentos.
WSS también es la plataforma base de la herramienta de colaboración insignia de Microsoft,
Capítulo 9: Construya la infraestructura de ofrecimientos de servicios virtuales 479
Office SharePoint Portal Server. Mientras la inclusión de SharePoint convierte a WSS en un en-
torno de colaboración muy completo, el uso de WSS por sí solo aún proporciona varias caracte-
rísticas poderosas para trabajar con los colegas.
Por ejemplo, los administradores pueden crear un sitio de equipo personalizado que hospede
todas las herramientas que necesitan para administrar servidores. Eso podría incluir integración
con Terminal Services en el modo de administración remota para proporcionar acceso Web a la
aplicación del Administrador del servidor en cada uno de los servidores que necesite administrar.
Si necesita administrar un servidor, vaya al sitio del equipo, localice la parte Acceso Web de TA,
encuentre el vínculo con el servidor que quiere administrar y haga doble clic en él. Los sitios de
equipo también son estupendos para la integración de toda la documentación administrativa y
operativa. Microsoft proporciona una gran cantidad de plantillas de sitio de equipo que pueden
cargarse, una vez que se implemente WSS, para proporcionar puntos de partida gratuitos para
entornos de colaboración de todos los tipos.
Además, los sitios de WSS pueden ser un regalo para los usuarios finales en cada categoría
de su red. Pero lo más importante es que, debido a que están basados en tecnología Web, los
sitios de equipo pueden proporcionar información estructurada y no estructurada a sus usuarios
finales, sin necesidad de infraestructuras especiales de sistema, porque todo se ejecuta mediante
el explorador Web.
PRECAUCIÓN WSS también proporciona servicios de lujo de trabajo, pero para que funcione la
mayor parte de las características de este servicio, necesita habilitar su servidor para correo elec-
PARTE IV
trónico. Esto se hace al instalar la característica de servidor de protocolo de transferencia simple
de correo (SMTP, Simple Mail Transfer Protocol) en el Administrador del servidor. Observe que
necesitará usar la Consola de administración de IIS 6 para administrar ese servicio.
NOTA Para localizar WSS en el Asistente para agregar funciones, debe actualizar el Administrador
del servidor con complementos disponibles. Utilice el sitio Web de Windows Update para ello.
La implementación es simple. Una vez más, depende del Asistente para agregar funciones
en el Administrador del servidor.
1. Empiece por lanzar el Asistente para agregar funciones.
2. Seleccione la función Windows SharePoint Services.
3. Utilice los valores de la tabla 9-5 para completar las entradas del asistente.
Una vez que la función está instalada, encontrará dos nuevas adiciones a Herramientas
administrativas:
• Administración central de SharePoint.
• Asistente para configuración de Productos y Tecnologías de SharePoint.
La primera se usa para administrar centralmente WSS. La segunda, para realizar, sobre todo,
cambios de configuración de una sola vez a su instalación de WSS.
Lo primero que debe hacer para finalizar la instalación de WSS es lanzar el Asistente
para configuración de Productos y Tecnologías de SharePoint. Este asistente realizará 10
tareas automatizadas para finalizar la configuración de su servidor. Luego, una vez que haya
terminado, puede usar la interfaz Administración central (vea la figura 9-14). Tendrá que
proporcionar sus credenciales para la conexión. Asegúrese de firmar con derechos de acceso
administrativos locales, y de seleccionar Recordar contraseña, en el cuadro de diálogo Cre-
denciales. Además, como está usando Internet Explorer (IE) con seguridad mejorada, se le
pedirá que agregue un host local como sitio de confianza. Hágalo así, y aparecerá la página
de inicio Administración.
Observe la estructura de la nueva página Administración central. La página principal es tam-
bién un resumen. Aquí se despliegan dos fichas adicionales: Operaciones y Administración de
aplicaciones. Los administradores del servidor trabajarán principalmente con la página Operacio-
nes. La página principal presenta una lista de tareas administrativas que necesita realizar. Como
verá, se requieren varias tareas para finalizar la configuración.
NOTA Si ha trabajado con Windows SharePoint Services versión 3.0 o Microsoft Ofice Share
Point Portal Server antes de pasar a WS08, ya estará familiarizado con la interfaz, porque no
ha cambiado.
PARTE IV
haya terminado.
Progreso de la instalación y Resultados de la Revise el progreso de la instalación y haga clic en Finalizar cuando
instalación haya terminado.
Debe habilitar sitios para que reciban correo electrónico y configurarlos con las propiedades
adecuadas. También puede depender del Servicio de administración de directorio de SharePoint
para integrar los grupos en ADDS con su implementación de WSS. Señale a la OU apropiada en
Capítulo 9: Construya la infraestructura de ofrecimientos de servicios virtuales 483
su dominio de producción; ésta debe estar en algún lugar de su estructura de OU Persona. Utilice
nombres relativos distinguidos para incluirlos en la lista de OU (por ejemplo, DC=net,DC=TandT,
DC=Intranet,OU=Persona). Esto le permitirá administrar contenido de grupo en una sola ubicación.
También debe usar las cuentas predefinidas para ejecutar el sitio Web Administración cen-
tral. Por lo general, ése debe ser NetworkService. También puede crear una cuenta de servicios
especial, que necesitará derecho de administración local en ese servidor. Conocerá más sobre las
cuentas de servicio en el capítulo 10.
Cuando establezca propiedades de antivirus, debe tener la capacidad de rastrear documen-
tos al cargarlos y tratar de limpiar los documentos infectados. Si los documentos se limpian al
cargarlos, en realidad no se necesita limpiarlos cuando se descarguen.
Por último, cree todos los sitios que necesite. El proceso es simple y sencillo. Su entorno de
WSS estará listo para usarse una vez que haya terminado.
SUGERENCIA Como opción predeterminada, WSS se instala en el sitio Web predeterminado del
servidor de destino. Sin embargo, a los usuarios les será más fácil acceder a un sitio con un
nombre que suene más a Internet que con el nombre del servidor. También puede asignar al sitio
un nombre DNS apropiado. Cree un alias (CName) dentro de la zona DNS del dominio de pro-
ducción, como Colaboración.Intranet.TandT.Net. También podría crear un GPO de usuario que
cambie la página de inicio de IE a esta dirección para que vaya al sitio Web Colaboración, como
opción determinada, cuando abran IE. También puede agregar la nueva dirección en Administra-
ción central|Operaciones|Coniguración global|Asignaciones de acceso alternativas. Seleccione
Agregar una asignación interna y establezca el nuevo nombre Colaboración en el puerto 80 o, si
quiere comunicaciones seguras, el puerto 443. También necesitará instalar un certiicado PKI en
el servidor para usar el puerto 443.
PARTE IV
Cambie el número de puerto de administración de WSS
Como opción determinada, SharePoint utiliza un puerto aleatorio para conectarse al sitio Web de
administración. Este puerto aparece en el vínculo Conexión, en la parte superior de la ventana
de Internet Explorer. Lo ideal es que quiera estandarizar todos los puertos administrativos para
cada una de sus instalaciones de WSS. Por ejemplo, podría estandarizar todos los sistemas que
ejecutan WSS en el puerto 8088.
1. Abra un indicador de comandos.
2. Vaya a Archivos de programas\Common Files\Microsoft Shared\Web Server Extensions\12\
BIN.
3. Escriba
stsadm.exe –o setadminport –port 8088
Arquitectura
Función del del
servidor procesador CPU RAM Unidad D: Unidad E: Red
PARTE IV
Servidores de x64 Carga media Necesaria para Archivos de Registros de Necesaria
aplicaciones a alta aumentar las datos de transacciones para bases
y servidores velocidades de hosts de hosts de usuarios
Web dedica- procesamiento grandes
dos
Terminal x64 Carga elevada Necesaria para Archivos de Necesario Necesario
Services (depende el procesos de programas y sólo si el ser- para mejor
número de servidor, ade- datos para vidor hospeda transmisión
usuarios) más de los de hosts aplicaciones de datos del
cada usuario de base de protocolo
(mínimo 20 MB datos de escritorio
por usuario) remoto
Servidores de x64 Carga elevada Necesaria para Archivos de Registros de Necesario
colaboración servicios de datos de transacción de para mejor
colaboración hosts hosts transmisión
de datos de
colaboración
Ofrecimientos de Uno Agrupación de todos los ofreci- GPO de servidores de base para
servicios virtuales mientos de servicios y objetos aplicación de coniguraciones de
utilitarios en la organización seguridad (consulte el capítulo
10). Se usa también para división
en categorías.
Servidores de Dos Reagrupa todos los servidores de GPO Servidor Este GPO controla los servidores
aplicaciones y aplicación. También reagrupa todos de aplicacio- de base de datos de servidores
servidores Web los servidores Web nes global Web de propósito general, .NET
dedicados Framework y aplicaciones corpora-
tivas. También controla todos los
parámetros para IIS y servidores
Web. Los elementos pueden subdi-
vidirse si se necesita segregación
adicional. Se delega a operadores
de servidor de aplicaciones.
Servidores TS Dos Contiene todos los servidores TS GPO Servidor Contiene coniguración de Terminal
TS global Services del lado del servidor. Se
delega a operadores de Terminal
Server.
Servidores de Dos Reagrupa todos los servidores GPO Colabora- Contiene parámetros generales
colaboración dedicados a servicios de colabo- ción global para servicios de comunicaciones
ración de Voz sobre IP (VOIP, Voice over
IP), Exchange Server, SharePoint
Portal Server, y Servicios de lujo
de datos de Windows Media. Se
delega para operadores de servi-
dor de colaboración.
Servidores de Tres Reagrupa todos los servidores que GPO Share Contiene coniguraciones que son
SharePoint ejecutan SharePoint Point global particulares de servidores de Sha-
rePoint. Se delega a administrado-
res de SharePoint y posiblemente
Web masters.
Servidores de Tres Reagrupa todos los servidores que GPO Flujo de Contiene coniguraciones que
lujo ejecutan servicios de lujo datos global pertenecen a datos de lujo. Se
delega para los administradores de
lujo de datos.
Infraestructura global
PARTE IV
V
PARTE
Asegure Windows CAPÍTULO 10
Diseñe su infraestructura
E
n esta sección se trata la implementación de prácticas seguras
para proteger redes de todos los niveles. También se inclu-
yen métodos para implementar recuperación de desastres y
proporcionar continuidad del negocio, tanto para el almacén de re-
cursos como para los niveles de ofrecimientos de servicios virtuales.
10
CAPÍTULO
Diseñe su infraestructura de seguridad
L
a seguridad es el tema candente de la tecnología de la información: siempre se encuentra
entre las cuatro principales preocupaciones de los directivos. No es de extrañar. En los últi-
mos años, se han presentado importantes amenazas a la seguridad para cualquier persona
que utilice equipos de cómputo, sobre todo con sistemas operativos Windows. Ya sea mediante
ataques de virus, caballos de Troya, gusanos, root kits o código malicioso en la PC o el servidor,
ataques distribuidos de negación del servicio en el sistema de nombre de dominio (DNS, Do-
main Name System), robo de contraseñas o identidad, o simplemente mediante la ingeniería
social, todo está en riesgo. Una cosa es segura: las organizaciones que no hacen nada acerca de
la seguridad o la continuidad del negocio son vulnerables y pueden llegar a perder todo, incluso
su propia existencia. La seguridad es una ocupación de tiempo completo, sin importar el tamaño
de su organización. Ya sea un trabajador con múltiples funciones de tecnología de la información
que dirige una pequeña tienda para su organización o un técnico especializado que trabaja en
una organización grande, tiene que prestar atención al aseguramiento de sus recursos. Los hac-
kers maliciosos en Internet están tras sus bienes. Peor aún, el hackeo está adquiriendo relevan-
cia y se está volviendo redituable, a medida que las organizaciones tratan de encontrar nuevas
maneras de obtener y preservar información acerca de usted y lo que hace.
De modo que debe protegerse. Microsoft, como fabricante de Windows, le proporciona las
herramientas y las directrices para asegurar sus sistemas. Un ejemplo de ejecución es la Windows
Server 2008 Security Guide (Guía de seguridad de Windows Server 2008), además de su publi-
cación hermana la Windows Vista Security Guide. Ambas le ofrecen una manera estructurada
para que resguarde sus sistemas aún más allá de las protecciones básicas habilitadas cuando
instala Windows. Pero la seguridad tiene un ciclo de vida propio. En el lado técnico, empieza con
la instalación de un sistema de cómputo y abarca toda la duración de su utilidad hasta su retiro.
La seguridad no sólo es una operación técnica; también debe incluir a todos quienes participan
en su organización. Aunque proporcione los niveles técnicos más estrictos de seguridad en sus
sistemas, todo se vendrá abajo si sus usuarios no están al tanto de sus propias responsabilidades
en el ciclo de vida de la seguridad.
491
492 Parte V: Asegure Windows Server 2008
PRECAUCIÓN Windows Server 2008 es seguro, como opción predeterminada. Debido a esto, muchas
aplicaciones, sobre todo las mal diseñadas, tal vez no trabajen apropiadamente en este sistema operati-
vo. Tenga en cuenta que cada vez que modiica el sistema operativo para permitir que se ejecuten en él
aplicaciones heredadas, reduce su nivel de seguridad y, por tanto, aumenta su nivel de exposición. Debe
equilibrar el costo de actualizar aplicaciones con el de ejecutar un sistema operativo más expuesto.
Fundamentos de seguridad
La seguridad es un problema muy extenso porque incluye casi todo dentro de su red. En realidad,
se ha analizado en cada etapa del proceso de creación de red, hasta el momento. El objetivo de la
seguridad es proteger la información. Para ello, debe poner en funcionamiento sistemas de protec-
ción en capas que proporcionarán la capacidad de realizar las siguientes actividades:
• Identificar a las personas, a medida que ingresan en su red.
• Identificar niveles apropiados de aceptación de personas que trabajan en su red, y proporcio-
narles los derechos de acceso apropiados, una vez identificados.
• Identificar que la persona que modifica los datos sea la que está autorizada para hacerlo (de
manera irrevocable y sin repudio).
• Garantizar la confidencialidad de la información, una vez que se haya almacenado dentro de
su red.
• Garantizar la disponibilidad de la información una vez que se ha almacenado dentro de su red.
• Asegurar la integridad de los datos almacenados dentro de su red.
• Vigilar las actividades dentro de su red.
• Auditar los eventos de seguridad dentro de la red y almacenar de manera segura los datos
históricos de auditoría.
• Poner en funcionamiento las actividades administrativas apropiadas para asegurar que la red
sea segura siempre.
Para cada una de estas actividades, hay varios alcances de interacción:
• Local Las personas interactúan con sistemas en el nivel local; estos sistemas deben estar
protegidos, estén o no adjuntos a una red.
• Intranet Las personas interactúan con sistemas remotos. Estos sistemas también deben
estar protegidos siempre, se localicen en la red de área local (LAN, Local Area Network) o en
la red de área amplia (WAN, Wide Area Network).
• Internet Sistemas que se consideran públicos también deben protegerse de ataques de todo
tipo. Se encuentran en una situación peor, porque están expuestos fuera de los límites de la
red interna.
• Extranet Estos sistemas suelen considerarse internos, pero están expuestos a socios, provee-
PARTE V
dores y clientes. La principal diferencia entre sistemas de extranet e Internet es la autentifica-
ción (aunque puede haber identificación en los sistemas de Internet, la autentificación siempre
es obligatoria para acceder a un entorno de extranet).
Cualquiera que sea su alcance, la seguridad es una actividad (como todas las de TI) que de-
pende de tres elementos clave: personas, PC y procesos.
• Las personas son los ejecutores del proceso de seguridad. También son los usuarios principales.
• Las PC representan la tecnología. Incluyen una serie de herramientas y componentes que dan
soporte al proceso de seguridad.
• Los procesos están integrados por patrones de flujo de trabajo, procedimientos y estándares
para la aplicación de seguridad.
494 Parte V: Asegure Windows Server 2008
La integración de estos tres elementos le ayudará a diseñar una directiva de seguridad apli-
cable a toda su organización.
localizados en los muros externos del castillo o dentro de éste. La cuarta capa de defensa es el
propio castillo. Es el edificio principal dentro del cual se encuentran las joyas de la corona. Está
diseñado para defenderse por sí solo; las escaleras son estrechas y las habitaciones están organi-
zadas para confundir al enemigo. La quinta y última capa de protección es la bóveda conservada
dentro del castillo. Es difícil llegar a ella y tiene mucha protección.
Ésta es, por supuesto, una descripción rudimentaria de las defensas incluidas en un castillo.
Los ingenieros medievales trabajaban muy duro para incluir varios sistemas de defensa dentro de
cada capa de protección. Pero cumplían su objetivo. Debe diseñarse un sistema de defensa de TI
de la misma manera que el de un castillo. Al igual que éste, el sistema de defensa de TI requiere
capas de protección. En realidad, cinco capas de protección parecen apropiadas. Empezando
desde el interior, encontrará:
• Capa 1: Información crítica El corazón de su sistema es la información que busca proteger.
Se trata de la bóveda de información.
• Capa 2: Protección física Las medidas de seguridad siempre deben empezar con un nivel
de protección física para sistemas de información. Se compara con el propio castillo.
Capa 3
Endurecimiento del sistema
operativo
- Configuración de seguridad
- Antimalware
- Seguridad general de ADDS
- Sistema de archivos
- Sistema de impresión
- Seguridad de .NET Framework
- Internet Information Services
- Redundancia del sistema
Capa 2
Protección física
- Entorno físico
- Controles físicos
- Comunicaciones
- Vigilancia
Capa 4
Acceso a información
PARTE V
- Endurecimiento de las - Auditoría/vigilancia de acceso
aplicaciones - Administración de derechos
digitales
Pe
rson
as
Capa 5
Acceso externo
• Capa 3: Endurecimiento del sistema operativo Una vez que se han colocado las defensas,
necesita “endurecer” el sistema operativo de cada equipo para limitar lo más posible la superfi-
cie de ataque. Éste es el patio.
• Capa 4: Acceso de información Cuando da acceso a sus datos, necesita asegurar que todo
esté autentificado, autorizado y auditado. Se trata de los muros del castillo y las puertas que
abre en ellos.
• Capa 5: Acceso externo La capa final de protección trata con el mundo exterior. Incluye la
red perimetral y todas sus defensas. Es el foso de su castillo.
Éste es el sistema de defensa del castillo (vea la figura 10-1). Para que se convierta en una
directiva de seguridad completa, debe complementarse con dos elementos: personas y procesos.
Estos dos elementos rodean al sistema de defensa del castillo y completan la imagen de la direc-
tiva de seguridad que representa.
Definir las diversas capas de defensa no es el único requisito de una directiva de seguridad,
sino que es un punto de partida. Deberá realizar otras actividades para completar la definición
de su directiva de seguridad. Esto forma la base del plano de seguridad (vea la figura 10-2). Este
plano delinea un método paso a paso para la definición de una directiva de seguridad. Necesita-
rá soporte con actividades adicionales, que se concentran en la manera en que se administra la
directiva, una vez que la ponga en funcionamiento.
Este capítulo se enfoca en la parte diseñada de solución del plano.
El plan de seguridad
Como ya se mencionó, la directiva de seguridad es sólo el primer paso para completar el plan de
seguridad. Una vez que se ha creado la directiva, debe diseñar e implementar sus defensas, mo-
nitorearlas de manera activa y probarlas y actualizarlas de manera regular. Estas cuatro activida-
des de administración de seguridad (diseño de la directiva, planeación de la directiva, supervisión
y prueba) integran el plan de seguridad. Interactúan con el sistema de defensa del castillo para
configurar la práctica de la administración de seguridad (vea la figura 10-3).
La clave del plan de seguridad es saber qué cubrir y por qué necesita cubrirse. La primera
parte (saber qué se cubre) se delinea en el sistema de defensa del castillo. Identifica todas las
áreas que requieren cobertura por parte de la directiva de seguridad y le ayuda a estar preparado
para cualquier eventualidad. El siguiente es la planeación de la defensa: aquí, el primer paso es
saber el tipo de ataques que puede enfrentar. Entre algunos ejemplos se incluyen:
• Brecha de seguridad accidental Estos ataques suelen causarlos accidentalmente usuarios
u operadores del sistema. Surgen por una falta de conciencia de los problemas de seguridad.
Por ejemplo, los usuarios que no protegen sus contraseñas porque no están conscientes de las
consecuencias pueden ser la causa de los ataques accidentales. De manera similar, los opera-
dores que colocan usuarios en los grupos de seguridad erróneos y les asignan los privilegios
equivocados pueden causar una brecha.
• Ataque interno Es una de las principales fuentes de ataque. En realidad, solía ser la princi-
pal fuente de ataque, pero con la proliferación de ataques basados en Internet, su importancia
en proporción con todos los demás ataques ha disminuido. Provienen de la red interna. Su
fuente puede ser el personal de la organización u otro al que se le permite el acceso a la red
interna. Estos ataques suelen ser resultado de la falta de vigilancia. El personal interno suele
suponer que, debido a que la red interna está protegida del exterior, todas las personas que
tienen acceso son de confianza.
Capítulo 10: Diseñe su infraestructura de seguridad 497
PARTE V
administración del - Federación de - Vigilancia de eventos de
cambio identidad seguridad
- Protección de acceso - Vigilancia de virus
a redes - Vigilancia de nuevos
productos
- Vigilancia de
actualizaciones del
producto
• Ingeniería social Una vez más, estos ataques surgen de la falta de conciencia. Son causados
por fuentes externas que toman la personalidad del personal interno y hacen que los usuarios
498 Parte V: Asegure Windows Server 2008
Administración de seguridad
FIGURA 10-3
Definición de
Actividades de administración la directiva
de seguridad.
Sistema de
Prueba de
seguridad
defensa del Planeación
de la
defensa
castillo
Supervisión
de seguridad
SUGERENCIA Conocerá más información acerca de los tipos de ataques y las estrategias de defensa
en la central de seguridad de Microsoft, en www.microsoft.com/security/default.mspx. Microsoft
Capítulo 10: Diseñe su infraestructura de seguridad 499
PARTE V
defina). Mejora en gran medida la capacidad de ejecutar código seguro, porque proporciona el en-
torno de ejecución del software, limitando la posibilidad de errores en el código que ejecuta. También
identifica si el código está firmado digitalmente por alguien de confianza, además de identificar su
origen, asegurando un grado más elevado de confianza dentro de su entorno de ejecución.
Además, WS08 ofrece otras características nuevas y mejoradas que ayudan a asegurar el sistema
en todos los niveles. Por supuesto, el nivel ideal de protección que puede obtener con WS08 depende-
rá del cliente que esté ejecutando; no hay duda de que la plataforma Windows más segura que cons-
truya incluirá WS08 y Windows Vista. No obstante las características de seguridad de WS08 incluyen:
• Directivas de restricción de software Estas directivas pueden controlar cuál código se per-
mite ejecutar en la red. Esto incluye cualquier tipo de código (aplicaciones corporativas, software
comercial, secuencias de comandos, archivos de procesamiento por lotes) e incluso pueden
500 Parte V: Asegure Windows Server 2008
definirse en el nivel de biblioteca dinámica de vínculos (DLL, Dynamic Link Library). Es una es-
tupenda herramienta para evitar que se ejecuten en su red secuencias de comandos maliciosas.
• Soporte a LAN inalámbrica WS08 incluye objetos de directiva especiales diseñados para
dar soporte a redes inalámbricas seguras.
• Autentiicación de acceso remoto WS08 incluye una estructura basada en directivas para
administrar el acceso remoto y las conexiones de red privada virtual mediante ADDS. Esta
característica está concentrada en un servidor de autentificación de Internet (IAS, Internet Au-
thentication Server) y un servidor de usuarios de marcado telefónico de autentificación remota
(RADIUS, Remote Authentication Dial-In User Server).
• Protección de acceso a redes (NAP, Network Access Protection) Además de las mejoras
en el acceso remoto, WS08 puede mejorar la imposición de los niveles de salud del cliente an-
tes de que se les permita conectarse a su red. NAP puede incluso actualizar los clientes antes
de que se les dé acceso completo a la red.
• Firewall de Windows Server con seguridad avanzada Para facilitar las conexiones a
sistemas remotos hechas con sus servidores, ahora WS08 proporciona una interfaz integrada
para la seguridad en el nivel de IP (IPSec, IP-level Security), con controles de comunicaciones
entrantes y salientes.
• Operaciones en varios bosques En el capítulo 5 se delineó la manera en que los bosques
de Servicios de dominio de Active Directory pueden usar confianzas de bosque para extender
las capacidades de autentificación de su directorio con organizaciones similares. Además, el
uso de los Servicios de directorio ligero de Active Directory (ADLDS, Active Directory Light-
weight Directory Services), le permite crear un directorio central de sistema operativo de red
(NOS, Network Operating System) y luego el número requerido de directorios de aplicación
para dar soporte a sus necesidades de aplicaciones corporativas. Por último, los Servicios de
federación de Active Directory (ADFS, Active Directory Federation Services) le permiten traba-
jar con organizaciones similares sin construir confianzas de bosque, sino, más bien, al depen-
der de los propios directorios NOS internos propios de los demás.
• Infraestructura de clave pública WS08 incluye una PKI mejorada, los Servicios de certifi-
cado de Active Directory (ADCS, Active Directory Certificate Service), compatible con ins-
cripción automática y renovación de certificado (X.509). También da soporte al uso de listas
de revocación de certificados (CRL, Certificate Revocation List) pues simplifica el proceso de
administración de CRL.
• Seguridad de servidor Web Los servicios de información de Internet (IIS, Internet Infor-
mation Service) versión 7 es segura como opción predeterminada. No se instalan al mismo
tiempo que el programa y, una vez instalados, sólo servirán contenido basado en los compo-
nentes instalados.
• Protección de archivos temporales y sin conexión WS08 es compatible con el cifrado de
archivos temporales y sin conexión, además de proteger datos cifrados mientras se encuentran
en tránsito, mediante el nuevo protocolo de entunelamiento de conexiones seguras (SSTP,
Secure Socket Tunneling Protocol).
• Administración de credenciales El Administrador de credenciales de WS08 puede alma-
cenar contraseñas y certificados digitales (X.509) de manera segura. Esto da soporte a acceso
transparente a varias zonas de seguridad.
• Cifrado en modo de kernel WS08 es compatible con los algoritmos criptográficos apro-
bados por el estándar de procesamiento de información federal (FIPS, Federal Information
Capítulo 10: Diseñe su infraestructura de seguridad 501
Processing Standard). Esto significa que las organizaciones, sean gubernamentales o no,
pueden aprovechar este módulo de criptografía para asegurar conexiones de cliente/servidor.
WS08 también implementa los algoritmos criptográficos de la Suite B definidos por el gobier-
no de Estados Unidos. Esto significa que es compatible con cifrado de datos, firmas digitales
e intercambio de claves, además del uso de hashes, permitiendo que otros comercializadores
dependan de esta infraestructura para crear soluciones de seguridad más completas.
PARTE V
compartido, aunque no pudieran abrir los documentos.
• Pertenencia limitada a Todos El grupo Todos sigue incluyendo usuarios autentificados e
invitados, pero los integrantes del grupo Anónimo ya no son parte de este grupo.
• Auditoría Ahora la auditoría en WS08 está basada en operaciones. Esto significa que es
más descriptiva y ofrece la opción de auditar ciertas operaciones para determinados usuarios y
grupos. También puede auditar cambios a ADDS y usar los informes de auditoría para revertir
esos cambios, si se realizaran por error.
• Restablecimiento de opciones predeterminadas Ahora es mucho más simple usar la he-
rramienta del Asistente para configuración de seguridad (SCW, Security Configuration Wizard)
para volver a aplicar las configuraciones de seguridad del equipo a partir de plantillas de base.
• Subsistemas opcionales Los subsistemas opcionales, como POSIX (soporte para aplicacio-
nes de UNIX), ya no se instalan como opción predeterminada.
502 Parte V: Asegure Windows Server 2008
PARTE V
Servicios de información Implemente seguridad de servidor estricta si necesita depender de
de Internet (IIS) Microsoft Virtual Server para agregar vida a hardware de 32 bits.
Redundancia del sistema Dependa de los principales del capítulo 11 para asegurar la continui-
dad del negocio en servidores host.
Capa 4: acceso a la Identiicación del usuario Dependa de autentiicación de tarjeta inteligente o de dos factores
información para administradores en entornos muy seguros.
Directivas de seguridad Asigne directivas apropiadas para el almacén de recursos.
Acceso a recursos En esta red sólo se requieren cuentas administrativas.
Controlador de acceso basado No aplicable, porque esta infraestructura sólo se ejecuta en servicios
en función de virtualización.
Auditoría/supervisión de acceso Habilite la auditoría, además de la de ADDS, para llevar registro de los
cambios.
TABLA 10-1 Aplicación del sistema de seguridad del castillo a almacenes de recursos
504 Parte V: Asegure Windows Server 2008
TABLA 10-1 Aplicación del sistema de seguridad del castillo a almacenes de recursos (Continuación)
de administración
(instalación completa
Almacenamiento com-
de WS08) partido con ofrecimiento
de servicios virtual
Servidor 1
Servicios
DC 1 Servidor 2 redundantes
Servidor 3
Máquinas
DC 2 Servidor 4
Servidores host físicas
Miembro 1 (Server Core
Miembro 2 Máquinas físicas WS08)
(Server Core WS08) Interruptor
Todo en un equipo
Sitio central Sitio remoto
PARTE V
para todas las instalaciones de productos de terceros o personalizados.
Sistema de impresión Implemente una estatregia de seguridad completa para todas las
impresoras.
Seguridad de .NET Framework Aplicable a cualquier máquina que tenga una función aplicable o que
incluya PowerShell (en casi todos los casos, serán todos los servido-
res en la red de ofrecimientos de servicios virtuales).
Servicios de información de Implemente seguridad de servidor Web estricta en servidores Web.
Internet (IIS)
Redundancia del sistema Dependa de los principales del capítulo 11 para asegurar la continuidad
del negocio de servidores de ofrecimientos de servicios virtuales claves.
Capa 4: acceso a la Identiicación del usuario Dependa de autentiicación de tarjeta inteligente o de dos factores
información para administradores en entornos muy seguros.
TABLA 10-2 Aplicación del sistema de seguridad del castillo a los ofrecimientos de servicios virtuales
506 Parte V: Asegure Windows Server 2008
TABLA 10-2 Aplicación del sistema de seguridad del castillo a los ofrecimientos de servicios virtuales (Continuación)
servicios virtuales porque son máquinas virtuales. Es más importante asegurarse de que aplica el
nivel apropiado de seguridad en una instalación completa de WS08 que implementar Server Core
en máquinas virtuales. A largo plazo, apreciará el acceso a la interfaz gráfica cuando se trate de
prácticas de administración a largo plazo de sus ofrecimientos de servicios virtuales.
En el resto de este capítulo se usará esta separación de actividades para ayudarle a compren-
der cuándo aplicarla al almacén de recursos, a los ofrecimientos de servicios virtuales, o a ambos.
Organización grande
Organización mediana
Servicios de
AD FS AD LDS
implementación
Servicios de
Servicios Servicios AD FS AD LDS
impresión
de dominio de archivo
AD Rights Servicios de
Servicios
Managment almacenamiento
de fax
Services avanzado
Sitio remoto
Servicios de unidad de copia Servicios
de seguridad/restauración de firewall Servicios de
Servicios Servicios de agrupación
de acceso certificado en clúster
a red
Organización pequeña
Servicios Servicios Terminal Servicios de Servicios de
de firewall Servicios de base de datos administración
de correo Services
impresión empresarial de claves
electrónico
Servicios
de dominio Sitio central Servidor Servicios de Servicios
Servicios de Web middleware UDDI
Servicios de colaboración
infraestructura
de red
Servicios de copia de
seguridad/restauración Servicios de Servicios de
Servicios de Servicios de
Servicios de archivos actualización de Windows activación
base de datos Windows Server Media de Windows
PARTE V
El lugar para empezar es con lo que necesita proteger. Las organizaciones no tienen opción:
para que la colaboración y la cooperación funcionen dentro de una red, deben compartir datos.
También deben permitir con frecuencia a los usuarios almacenar datos localmente en sus discos
duros. Éste no es un gran problema cuando el usuario tiene una estación de trabajo, porque está
diseñada para permanecer dentro de la red interna (aunque no es una razón para que sea laxo
en el diseño de su directiva), pero se vuelve crítica cuando las unidades de disco duro dejan estos
linderos. Es el nivel de riesgo el que debe identificarse para que las soluciones que diseñe para
proteger los datos sean apropiados.
PRECAUCIÓN En el caso de los almacenes de recursos, debe proteger las unidades de disco virtuales
que integran cada máquina virtual en la red de ofrecimientos de servicios virtuales.
508 Parte V: Asegure Windows Server 2008
Para ello, necesita dividir los datos en categorías. Esta división debe empezar con un inven-
tario de todos los datos dentro de su red. Una vez que se haya hecho esto, puede agruparlos en
cuatro categorías:
• Públicos Información que puede compartirse públicamente dentro y fuera de la red.
• Internos Información que está relacionada con las operaciones organizativas. Se consideran
como privados pero no confidenciales. Como tales, deben protegerse en algún grado.
• Conidenciales Información que no debe divulgarse a personal que no esté autorizado. Por
ejemplo, datos particulares como salarios.
• Secretos Información que es crítica para la operación de la organización. Si esta información
se divulga a partes equivocadas, la propia organización estaría en riesgo.
Para cada categoría de datos, también necesitará identificar cuáles elementos están en riesgo.
Por ejemplo, si los datos de su sitio Web (datos que se consideran públicos) se modifican sin su
conocimiento, la reputación de su organización podría estar en riesgo. Si los datos de la nómina
se filtran dentro de su organización, perderá la confianza de sus empleados y probablemente
causará gran descontento.
La información está integrada por dos elementos: datos y documentos. Los datos suelen alma-
cenarse dentro de tablas estructuradas y suelen encontrarse dentro de algún tipo de base de datos o
lista. Los documentos contienen datos no estructurados y se encuentran dentro de objetos discretos,
como archivos de texto, presentaciones, imágenes u otros tipos de documentos. Ambos tipos de in-
formación requieren protección. Los documentos se protegen mediante las capacidades de los siste-
mas de almacenamiento de archivos o mediante la seguridad de la base de datos, en el caso de sitios
con equipo de Windows SharePoint Services. En el último caso, los documentos se vuelven datos.
Los datos están protegidos en dos niveles. En primer lugar, están protegidos mediante los
mismos mecanismos que los documentos, porque las bases de datos almacenan información en
archivos al igual que los documentos. En segundo lugar, están protegidos mediante las caracte-
rísticas del sistema de base de datos usado para almacenarlos. Por ejemplo, mientras que Micro-
soft SQL Server almacena bases de datos en archivos .mdb, también ofrece varias características
de seguridad para los datos contenidos dentro de esos archivos. Debido a esto, las organizacio-
nes también deben buscar el endurecimiento de las aplicaciones, sobre todo cuando se trate de
datos, si quieren proteger su información. En este caso,“endurecimiento” significa asegurar que
los agujeros de seguridad se hayan eliminado hasta donde sea posible dentro de las aplicaciones
que las organizaciones han desarrollado o comprado. También significa que se han implemen-
tado las características de seguridad del motor de la base de datos para proteger los datos que
contiene. Las filas y columnas que contienen información confidencial y segura deben asegurarse
en el nivel de la base de datos, tal vez hasta cifrarse, y es necesario auditar su acceso.
NOTA También debe tomar en consideración el acceso a la herramienta Threat Analysis and Mode-
ling de Microsoft (http://go.microsoft.com/fwlink/?LinkId=86405). Esta herramienta le permite
ingresar información acerca de su organización para producir una lista extensa de las posibles
amenazas que podría enfrentar. Los resultados le permitirán comprender mejor en cuáles aspectos
de las otras cuatro capas del sistema de defensa del castillo debe concentrarse.
alguna oficina regional no puede considerarse seguro bajo ningún medio. Debe buscar los
gabinetes de sistema apropiados, como los proporcionados por Kell Systems, por ejemplo
(www.kellsystems.com).
PRECAUCIÓN Como podrá imaginar, esta capa se aplica principalmente a almacenes de recursos,
pero también se extiende a su PC o a cualquier sistema que tenga el derecho de conectarse a su
red, aunque sólo interactúe con ofrecimientos de servicios virtuales.
Entre los elementos que necesita para cubrir la capa de protección física se incluyen:
• Ubicación geográica ¿La ubicación física de su edificio se encuentra dentro de lugares con
un entorno peligroso? ¿Hay posibilidades de inundaciones, avalanchas o hundimientos que
podrían afectar los edificios de su negocio? ¿Están cerca de carreteras en que los accidentes
pueden afectar al edificio?
• Ambiente social ¿Su personal está consciente de que el acceso físico a cualquier equipo
de cómputo debería protegerse siempre? ¿Están conscientes de que nunca deben divulgar
contraseñas, bajo ninguna circunstancia?
• Seguridad del ediicio ¿Su edificio es seguro? ¿Las entradas están resguardadas y se iden-
tifica a los visitantes en todos los lugares? ¿Se escolta siempre a los invitados? ¿Se permiten
dispositivos de cómputo falsos dentro del edificio? ¿Está protegida la entrada de la energía
eléctrica al edificio y se tiene un respaldo, sobre todo para los centros de datos? ¿El edificio
está protegido con control de aire, e incluye un sistema de respaldo? ¿Hay un buen plan de
protección contra incendios en todo el edificio? ¿El cableado dentro y fuera del edificio es
seguro? ¿Las emisiones inalámbricas son seguras?
• Construcción del ediicio ¿Es segura la construcción del edificio? ¿Las paredes de los centros
de datos son a prueba de fuego? ¿Las puertas del centro de datos sirven como cortafuegos? ¿Los
pisos están recubiertos con material antiestático? Si hay un generador en las instalaciones, ¿está
en un lugar seguro y protegido? ¿El cuarto de cómputo protege al equipo de comunicación ade-
más del equipo de cómputo? ¿El edificio incluye cámaras de seguridad para ayudar a la vigilancia?
• Seguridad de servidor ¿Los servidores están en cuartos o en gabinetes bajo llave en
todos los lugares? ¿Se vigila y protege el acceso a los cuartos de cómputo? ¿Está controlado
el acceso físico al servidor? Windows Server 2008 soporta el uso de tarjetas inteligentes para
cuentas de administrador. En entornos muy seguros, debe asignar tarjetas inteligentes a todos
los administradores. Con nuevas opciones de tarjetas inteligentes de bajo costo, sobre todo de
PARTE V
USB, hay pocas razones para no implementar esta directiva.
• Seguridad de BIOS Todos los dispositivos de cómputo deben tener alguna forma de pro-
tección en el nivel del sistema básico de entrada y salida (BIOS, Basic Input Output System).
En el caso de servidores físicos, esto debe incluir contraseñas de encendido. Para todos los
sistemas, la configuración de BIOS debe estar protegida con contraseña. Y como todas las con-
traseñas, éstas deben estar muy protegidas y modificarse de manera regular. Nuevas herra-
mientas de interfaces de administración de escritorio (DMI, Desktop Management Interface)
permiten la centralización de la administración de contraseñas de BIOS.
• Seguridad de puesta en funcionamiento ¿Todas las directivas de seguridad físicas es-
tán extendidas a las salas de puesta en funcionamiento donde están instalados los sistemas
físicos? Si no es así, no tiene salas de cómputo muy seguras cuando se abren las instalaciones
para la puesta en funcionamiento.
510 Parte V: Asegure Windows Server 2008
• Seguridad de PC ¿Son seguras las estaciones de trabajo y los dispositivos móviles? ¿Los
sistemas móviles usan sistemas de identificación de hardware, como opciones biométricas y
tarjetas inteligentes? ¿Los datos del dispositivo móvil están seguros cuando el dispositivo se
encuentra en tránsito? ¿Hay conexiones externas de los dispositivos móviles a la red interna
segura? ¿Controla la conexión de dispositivos USB maliciosos?
• Seguridad de red ¿Son seguros la red y sus servicios? ¿Es posible que alguien introduz-
ca servidores falsos de protocolo dinámico de configuración de host (DHCP, Dynamic Host
Configuration Protocol), por ejemplo? Con Windows Server 2008, al igual que Windows
2000/2003, los servidores DHCP deben autorizarse para asignar direcciones, pero sólo si están
basados en servidores DHCP. ¿Hay en funcionamiento una red inalámbrica? ¿Es segura? ¿Es
posible que usuarios inalámbricos maliciosos penetren la red?
• Redundancia ¿Son redundantes sus sistemas críticos? Esto debe incluir todos sus sistemas
(de archivos, protección, Internet, conexiones WAN, clima, electricidad, etcétera).
Todos los aspectos físicos de su instalación deben mantenerse y documentarse. Además, los
aspectos apropiados del plan de protección física deben comunicarse a los empleados de todos los
niveles. Por último, la protección física debe complementarse con un registro de vigilancia. Una vez
más, es una parte que puede desempeñar el personal de todos los niveles. Cada empleado debe
estar consciente de que puede y debe participar en la vigilancia de cualquier actividad sospechosa o
en la notificación de cualquier suceso adverso que puede comprometer sus sistemas de información.
PRECAUCIÓN Una contraseña compleja es su mejor sistema de defensa. En realidad, una contra-
seña de 15 caracteres (la interfaz de Windows soporta hasta 127 caracteres) que incluya letras en
mayúsculas y minúsculas, números y caracteres especiales es muy difícil de descubrir. Las herra-
mientas de descubrimiento de contraseñas bien conocidas sólo funcionan si tienen 14 caracteres o
menos. Si hay una característica que debe implementar para asegurar sus servidores, deben ser las
contraseñas complejas.
• Copie la cuenta del administrador para crear una cuenta de respaldo. Una vez más, use un
nombre de cuenta y una contraseña complejos.
• Cree una cuenta de administrador simulada y asígnele sólo derechos de acceso de invitado.
Use una contraseña compleja para ésta. Su creación sirve como trampa para usuarios que tra-
tan de acceder a la cuenta del administrador real. Audite su acceso para ver quién está tratan-
do de penetrar en su sistema.
• Verifique que la cuenta de Invitado está deshabilitada.
• Verifique la lista de servicios en ejecución y asegúrese de que está bien documentada. Utilice
PARTE V
una hoja de datos de servidor para hacerlo. Apague cualquier servicio que le parezca innecesa-
rio para esta función del servidor.
• Verifique la lista de puertos abiertos, y apague los que le parezcan innecesarios para esta fun-
ción de servidor. Puede identificar la lista de puertos abiertos al usar el comando NETSTAT.
Utilice el siguiente comando:
netstat –a –n -o
El interruptor a pregunta por todos los puertos, el n pide la salida numérica de los puertos y el
o pregunta por el proceso relacionado con el puerto.
Ésta es la seguridad básica. Todo lo demás puede realizarse mediante el Asistente para confi-
guración de seguridad.
512 Parte V: Asegure Windows Server 2008
PRECAUCIÓN Aunque una contraseña compleja es un mejor sistema de defensa, también puede ser
su peor pesadilla, porque las contraseñas complejas son difíciles de recordar. Una de las cosas que
puede hacer es usar palabras o frases reales, pero reemplazar las letras con números y caracteres
especiales, y combinarlos, por ejemplo Ad/\/\min1StraCión (Administración). También debe
usar diferentes contraseñas para distintas ubicaciones. Si encuentra que recordar contraseñas
complejas es demasiado difícil, puede usar una herramienta de almacenamiento de contraseñas,
como Password Keeper, de Gregory Braun (www.gregorybraun.com/PassKeep.html). Esta prác-
tica herramienta almacena todas sus contraseñas en un archivo cifrado de su escritorio y necesita
otra clave para abrirse. Con esta herramienta, sólo tiene que recordar una sola contraseña.
• Directivas de red alámbrica (IEEE 802.3) Controla el acceso a la red mediante tarjetas
inteligentes y otros dispositivos seguros. Implemente Single Sign-On para la red alámbrica.
• Firewall de Windows con seguridad mejorada Controla la configuración de la firewall del
servidor y el equipo cliente.
• Directivas de red inalámbrica (IEEE 802.11) Controla el acceso a la red mediante tarjetas
inteligentes y otros dispositivos seguros. Implemente Single Sign-On para la red inalámbrica.
• Directivas de clave pública Reagrupa todas las directivas relacionadas con PKI. Por ejemplo,
EPS, autoridades de certificado raíz de confianza, asignación automatizada de certificados y más.
• Directivas de restricción de software Controla cuál software tiene permiso de ejecución
en la red.
• Protección de acceso a redes Controla el comportamiento y el estado de la conexión de los
equipos que no cumplen requisitos de salud.
• Directivas de seguridad IP en Active Directory Controla configuraciones de comunica-
ción segura entre clientes y servidores.
El sistema de ayuda de WS08 ofrece información completa acerca de cada una de estas con-
figuraciones de seguridad. De éstas, sólo las primeras seis se ven afectadas por las plantillas y tres
de las demás (configuración de servicios del sistema, registro y del sistema de archivos) son ideales
para aplicar localmente plantillas de seguridad porque controlan el acceso a tipos de objetos espe-
cíficos. La aplicación de derechos de control de acceso a archivos, carpetas y registro, y la configu-
ración de servicios del sistema pueden consumir mucho tiempo. Por tanto, es mejor mantener esta
configuración en plantillas de seguridad locales en lugar de configurarlas directamente en el nivel
de GPO, porque las plantillas de seguridad locales se aplican manualmente (o automáticamente
mediante calendarios que usted controla), mientras que los GPO se están aplicando de nuevo de
manera constante en los sistemas en un dominio de Servicios de dominio de Active Directory.
NOTA Los GPO se actualizan cada cinco minutos en DC y cada noventa minutos en servidores y
estaciones de trabajo.
Asegúrese de que su estrategia de GPO no afecta a estas tres áreas si decide configurar
mediante directivas de seguridad locales debido al orden de aplicación de GPO. Las directivas de
seguridad locales se establecen al arranque del equipo, y siempre se sobrescriben con configura-
ciones que entran en conflicto con los objetos de directiva de grupo.
A diferencia de versiones anteriores de Windows Server, 2008 no incluye plantillas predeter-
PARTE V
minadas con el sistema. Sin embargo, hay plantillas aplicadas a ciertas funciones del sistema. Por
ejemplo, los DC incluyen una plantilla DC. Las plantillas predeterminadas, cuando están dispo-
nibles, se almacenan bajo %SYSTEMROOT%\SECURITY\TEMPLATES. Revise cuidadosamente
la configuración de estas plantillas antes de aplicarlas. Notará que incluso las propias plantillas
de Microsoft sólo se aplican a las tres configuraciones centrales: servicios del sistema, archivos y
registro.
Además, la Windows Server 2008 Security Guide incluye plantillas basadas en función para
servidores y miembros en general, controladores de dominio, y servidores de aplicación, de ar-
chivo e impresión, de infraestructura de red y Web que ejecutan IIS. Todas están basadas en una
plantilla base. Existen dos directrices: una para los servidores miembro y una para los controlado-
res de dominio. Además de la base del servidor miembro, hay plantillas incrementales para cada
función del servidor miembro identificadas antes.
514 Parte V: Asegure Windows Server 2008
La WS08 Security Guide no es la única fuente de plantillas de seguridad de base. La U.S. Na-
tional Security Agency (NSA) ofrece plantillas para descarga, además de documentación completa
de seguridad sobre varios servicios y características de Windows 2000 (seguramente pronto seguirá
con Windows Server 2008). Estas plantillas están disponibles en www.nsa.gov/snac. La documenta-
ción y las plantillas de la NSA son una fuente excelente para recomendaciones de seguridad.
El Center for Internet Security (CIS) también es una fuente excelente de plantillas de segu-
ridad. Sus plantillas están basadas en la función e incluyen la cobertura del sistema operativo
básico para estaciones de trabajo y servidores, además de cobertura del servidor de información
de Internet. Sus plantillas se encuentran en www.cisecurity.org.
Por último, pueden adquirirse plantillas de comercializadores como NetIQ, Symantec, Quest
y muchos otros.
PRECAUCIÓN La aplicación cuidadosa de plantillas de seguridad, sobre todo aquellas con las que no está
familiarizado, puede impedir la ejecución de los sistemas. Debido a que las plantillas de seguridad mo-
diicarán las coniguraciones de seguridad predeterminadas de los sistemas del equipo, es esencial que
las aplique en un ambiente de prueba antes de ponerlas en un sistema de producción. En realidad, debe
probar cada función del servidor y del equipo antes de lanzar una plantilla de seguridad a producción.
PRECAUCIÓN El registro de Windows Server 2008 ya tiene un control muy estricto, de modo que
no es necesario que asegure más sus claves. Sea cuidadoso cuando decida bloquear aún más el
acceso al registro, porque puede afectar la operación de su software.
• También asegure archivos y carpetas. Lo ideal es que asegure las carpetas en lugar de los
archivos. Una vez más, la propagación es preferible pero no siempre es aplicable aquí.
Capítulo 10: Diseñe su infraestructura de seguridad 515
• Sea cuidadoso cuando asegure archivos y carpetas que no modifiquen las configuraciones de
seguridad en objetos que están asegurados automáticamente en WS08. Por ejemplo, no es una
buena idea reemplazar las configuraciones de seguridad en la carpeta Documents and Settings
porque WS08 debe administrar estas configuraciones cada vez que crea un nuevo perfil de usuario.
• Además, establezca servicios de sistema en el modo de inicio apropiado: Automático para
servicios que deben iniciar cuando se arranca el equipo, Automático (inicio demorado),
para servicios que deben iniciar pero que no son necesarios al arranque, Manual cuando un
usuario o un proceso tiene permiso de iniciar un servicio pero no es necesario que inicie auto-
máticamente y Deshabilitado cuando el servicio no es necesario. Tal vez considere la elimina-
ción de servicios que estén en estado deshabilitado.
SUGERENCIA Windows Server 2008 incluye endurecimiento del servicio, una característica que
protege los servicios, como opción predeterminada. Cada servicio usa privilegios reducidos para
acceder a recursos y está diseñado para acceder sólo a los recursos especíicos que necesita para
ejecutarse apropiadamente.
• Por último, puede aplicar seguridad a cada servicio, limitando los derechos de acceso para
iniciar, detener y controlar de manera adicional los servicios. Si establece seguridad en los
servicios, asegúrese de que siempre incluye el grupo Administradores y la cuenta Sistema; de
otra manera, puede encontrar problemas al iniciar el servicio. Como opción predeterminada,
tres objetos tienen acceso: Administradores, la cuenta Sistema y el grupo Interactive.
PRECAUCIÓN Desde Windows Server 2003, hay dos cuentas de “sistema”: NetworkService y Lo-
calSystem. La primera tiene menos privilegios que la segunda y debe usarse para iniciar servicios
en servidores de alto riesgo. Si alguien se las ingenia para controlar un servicio y quiere usarlo
para controlar una máquina, no tendrá los privilegios para lograrlo.
PARTE V
2. En la consola MMC, seleccione Archivo | Agregar o quitar complemento.
3. En el cuadro de diálogo Agregar o quitar complemento, seleccione Plantillas de seguridad y
haga clic en el botón Agregar. Repita la operación con el complemento Configuración y análisis
de seguridad. Haga clic en Aceptar para regresar a la consola. Vaya a Archivo | Guardar, asigne a
la consola el nombre Consola de seguridad y haga clic en Guardar (vea la figura 10-6).
4. Puede agregar sus propias plantillas mediante esta consola. Como opción predeterminada,
las nuevas plantillas se localizarán en DOCUMENTS\SECURITY\TEMPLATES. Para crear una
nueva plantilla, haga clic con el botón derecho en la carpeta y seleccione Nueva plantilla.
Asígnele un nombre y una descripción, y haga clic en Aceptar para crearla. Observe que está
empezando la plantilla desde cero y necesitará definir todos los valores. Vaya a su nueva plan-
tilla y modifique sus parámetros. Expanda la plantilla para ver sus componentes.
516 Parte V: Asegure Windows Server 2008
5. Para establecer la seguridad del Registro, haga clic con el botón derecho en Registro y selec-
cione Agregar clave. En el cuadro de diálogo Agregar clave, localice la clave que desee ase-
gurar y haga clic en Aceptar. Decida si quiere propagar permisos a subclaves, restablezca los
permisos en subclaves o bloquee el reemplazo de permisos en esta clave. Use el botón Editar
seguridad para establecer los derechos de seguridad apropiados y haga clic en Aceptar. Repita
con cada clave o subclave que desee asegurar.
6. Para establecer la seguridad de archivo o carpeta, haga clic con el botón derecho en Sistema de
archivos y seleccione Agregar archivo. En el cuadro de diálogo Agregar archivo o carpeta, loca-
lice el archivo o la carpeta que desee asegurar. Y haga clic en Aceptar. Establezca los derechos
de seguridad apropiados y haga clic en Aceptar. Decida si quiere propagar permisos al archivo
o la carpeta, restablezca los permisos en el archivo o la carpeta, o bloquee el reemplazo de
permisos en este archivo o carpeta. Repita con cada archivo o carpeta que desee asegurar.
7. Para establecer la seguridad en los servicios del sistema, seleccione Servicios del sistema. Haga
doble clic en el servicio apropiado en el panel de la derecha, seleccione Definir esta confi-
guración de directiva en la plantilla, seleccione el modo de inicio y, si es necesario, haga clic
en Modificar seguridad, para modificar la configuración de seguridad. Haga clic en Aceptar,
cuando haya terminado. Repita para cada servicio que desee modificar.
SUGERENCIA Asegúrese de hacer doble clic en el nombre de la plantilla y seleccione Guardar, antes
de salir de la consola.
Puede usar esta consola para crear su propia plantilla o modificar las que obtenga de otras
fuentes. Asegúrese de probar por completo cualquier plantilla que desee implementar.
PARTE V
se desplegará en el panel de la derecha. Para regresar a la base de datos, simplemente quite la
marca de verificación de la opción Ver el archivo de registro, en el menú contextual.
8. Puede modificar la configuración de la base de datos para que se amolde a los valores que de-
see aplicar al mover el valor apropiado y hacer doble clic en él. Seleccione Definir esta directi-
va en la base de datos, modifique la configuración y haga clic en Aceptar.
9. Use el botón derecho del ratón para desplegar el menú contextual de Configuración y análisis de
seguridad, y seleccione Guardar para almacenar las modificaciones que haga a la base de datos.
10. Para configurar un equipo con los parámetros de la base de datos, seleccione Configurar el
equipo ahora, del mismo menú contextual. Una vez más, necesitará especificar la ubicación y
el nombre del archivo de registro.
11. Cierre la consola de seguridad cuando haya terminado.
518 Parte V: Asegure Windows Server 2008
SUGERENCIA También puede usar Coniguración y análisis de seguridad para capturar los paráme-
tros a partir de una máquina existente. Para ello, debe modiicar todos los parámetros que requiere
en la máquina modelo, crear una nueva base de datos, importar una plantilla, analizar el equipo,
veriicar que todos los parámetros son apropiados y exportar la base de datos resultante a un
nuevo archivo de plantilla. Exportar plantilla se encuentra una vez más en el menú contextual del
complemento Coniguración y análisis de seguridad.
SUGERENCIA Realice esta operación en un servidor de prueba que se ejecute dentro de una máqui-
na virtual. Esto facilitará la corrección de errores.
• Si decide usar la opción Borrar base de datos cuando importe plantillas en GPO, esto significa
que nunca debe modificar configuraciones de seguridad en su GPO directamente, debido a
que estas modificaciones se sobrescribirán cuando importe una plantilla.
• Documente siempre sus cambios de GPO, aunque estén almacenados en una plantilla de
seguridad.
Las plantillas de seguridad son útiles, pero Windows Server 2008 incluye una herramienta
mucho más poderosa que puede permitirle controlar muchos elementos de seguridad más: el
Asistente para configuración de seguridad.
Vaya más allá de las plantillas de seguridad con el Asistente para coniguración de seguridad
Como tal vez ya lo sepa, las plantillas de seguridad sólo atienden una cierta selección de los ele-
mentos que necesita controlar para crear una directiva de seguridad completa. El Asistente para
configuración de seguridad va más allá de las plantillas de seguridad que podría crear. También
puede importarlas para incluir sus configuraciones en cualquier elemento que aplique mediante
el asistente. Además, le permite configurar lo siguiente:
• Endurezca la configuración de servicio mediante las configuraciones basadas en función.
• Endurezca la seguridad de red.
• Endurezca la configuración de registro.
• Implemente una directiva de auditoría.
Éstos son los controles predeterminados que encontrará en el Asistente para configuración
de seguridad. Le permite controlar la seguridad de IIS, siempre y cuando seleccione la función
Servidor Web en la página Funciones de servidor del asistente. Tal vez la mejor parte del Asisten-
te para configuración de seguridad sea que proporciona explicaciones completas para cada confi-
guración que modificará. Por lo menos, tiene un solo lugar para determinar qué configuración de
seguridad particular modificará y por qué la modificará (vea la figura 10-7).
Además, el asistente incluye una línea de comandos correspondiente, SCWCMD.EXE, que
le permite aplicar en masa las directivas de seguridad generadas mediante la interfaz gráfica del
Asistente para configuración de seguridad. Éste produce salida en formato XML, que es in-
compatible con GPO, como opción predeterminada. Para convertir la salida del asistente en un
formato legible para inclusión en un GPO, debe usar la siguiente línea de comandos:
scwcmd transform /p:Archivodirectiva.xml /g:nombreGPO
Esto transforma el archivo XML en un nuevo GPO, y debe ejecutarse con privilegios
PARTE V
de administrador de dominio. Las directivas se guardarán bajo la carpeta %SYSTEMROOT%\
SECURITY\MSSCW\POLICIES. El GPO resultante incluirá el contenido del archivo XML del
Asistente para configuración de seguridad en varias secciones del GPO. Estas configuraciones
incluyen el contenido de la configuración de seguridad, las directivas de Seguridad IP y Firewall
de Windows. Las directivas del asistente son mucho más poderosas que cualquier componente
individual para aplicación de seguridad en Windows. Este nuevo GPO debe vincularse entonces
con las OU apropiadas para poderse aplicar.
Puede usar el Asistente para configuración de seguridad para crear nuevas directivas, editar
existentes, aplicar directivas y, la que es tal vez su mejor característica, revertir la asignación de
una directiva de seguridad. Las directivas de seguridad se generan a partir de la configuración de
un servidor base. Lo ideal es que cree servidores base para cada función que pretenda implemen-
tar, que elabore una directiva de línea de base a partir de cada uno de estos servidores y que apli-
que la directiva cada vez que trabaje con un nuevo servidor para cualquier función determinada.
PARTE V
Como observará, BitLocker puede ejecutarse mediante el uso de una unidad Flash USB
externa. Esta unidad almacena la clave cifrada que se usa para bloquear y desbloquear la parti-
ción del sistema operativo. Sin embargo, el uso de una unidad USB es un riesgo, porque puede
perderse o ser robada. Por eso, lo ideal es usar un servidor que tenga los componentes completos
de TPM. En este caso, la clave de cifrado estará almacenada de manera segura dentro del chip
TPM y no puede ser robada.
Si los servidores host que usa para oficinas remotas incluyen estas capacidades, puede tratar
de cifrar su contenido, y luego usar el siguiente procedimiento.
1. Empiece por crear dos particiones durante la instalación. Ambas particiones deben ser prima-
rias. Además, la más pequeña debe establecerse como activa. Ambas particiones deben estar
522 Parte V: Asegure Windows Server 2008
formateadas con NTFS. Puede usar el medio de instalación para crear estas particiones. Confíe
en el comando DISKPART cubierto en el capítulo 4 para ello.
2. Instale Server Core en la partición del sistema operativo.
3. Una vez que esté instalado Server Core, realice las configuraciones posteriores a la instalación
encontradas en el capítulo 4.
4. A continuación, instale la característica BitLocker:
start /w ocsetup BitLocker
Reinicie el sistema una vez que BitLocker esté instalado.
5. Una vez que se reinicie el sistema, estará listo para configurar BitLocker. Empiece por hacer
que BitLocker despliegue las unidades compatibles. Asegúrese de ir a la carpeta apropiada
para hacerlo:
cd\windows\system32
cscript manage-bde.wsf -status
6. Ahora, cifre la unidad del sistema:
cscript manage-bde.wsf –on C: -RecoveryPassword ClaveNumérica –RecoveryKey
UnidadBitLocker -StartupKey UnidadBitLocker
UnidadBitLocker es la letra de la unidad que dio a la partición del sistema. ClaveNumérica es un
número de 48 dígitos, dividido en 8 grupos de seis dígitos, que emplea guiones para separar los
grupos. Cada grupo de seis dígitos debe dividirse entre 11 pero no puede ser mayor de 720,896.
7. Puede repetir este comando para cifrar cualquier otra unidad de su servidor host.
Así es: un comando simple con resultados poderosos. Asegúrese de proteger la clave de
cifrado, y de guardar la contraseña de recuperación.
PRECAUCIÓN El uso de BitLocker afectará el arranque del servidor. Tenga cuidado con el modo
de autentiicación que use, porque tal vez necesite estar presente físicamente cuando reinicie los
servidores. Por ejemplo, esto tendría efecto en su capacidad para parchar servidores de manera
remota.
PARTE V
Este conjunto de configuraciones de GPO le permite controlar código desconocido en su red.
Aunque la directiva de restricción de software le permite controlar más de 38 tipos de archivos
(en esencia, cualquier cosa que se vea como código), hay dos tipos de archivo que debe controlar
por completo: secuencias de comandos y macros. Casi todas las amenazas desconocidas vienen
en la forma de uno de estos dos tipos de archivo. Como usted controla lo que ocurre en su red,
debe identificar explícitamente las secuencias de comandos y las macros que están autorizadas
para ejecutarse en su red.
La manera más fácil de hacer esto consiste en firmar digitalmente sus secuencias de coman-
dos y macros. La firma coloca un certificado PKI dentro del código. Puede definir directivas de
restricción de software que bloqueen todas las secuencias de comandos y macros, excepto las fir-
madas con su certificado. Las directivas están definidas en Configuración del equipo | Directivas
| Configuración de Windows | Configuración de seguridad | Directivas de restricción de software
524 Parte V: Asegure Windows Server 2008
del menú contextual. Luego debe identificar las extensiones que desee deshabilitar, cambiar la
directiva básica e identificar el certificado en que debe confiar. Asegúrese de que no incluya las
directivas de restricción de software del menú contextual. Luego debe identificar las extensiones
que desee deshabilitar, cambiar la directiva básica e identificar el certificado en que se confiará.
Asegúrese de que no incluye la directiva dentro de la directiva de dominio predeterminada. De
esa manera, si tiene que desactivarla por alguna razón, no desactivará su directiva de seguridad
de dominio global. También debe incluir los archivos del Instalador de Windows dentro de esta
directiva para asegurar que sólo está instalado código aceptado en sus redes.
En el caso de almacenes de recursos, asigne esta directiva a todo el dominio. Esto afectará a
todos los servidores host. En el caso de ofrecimientos de servicios virtuales, podría sentirse satis-
fecho con la asignación de esta directiva sólo a la PC. En ese caso, asígnela mediante el GPO PC
global que se aplica en el nivel de la OU PC.
SUGERENCIA Si trata de trabajar con tarjetas inteligentes en una sola red, entonces asígnelas en el
nivel del almacén de recursos. Esto le ayuda a asegurar primero esta importante infraestructura.
Para cerciorarse de que sus directorios ADDS son seguros, debe realizar las siguientes accio-
nes:
• Diseñe la estructura de Servicios de dominio de Active Directory con la seguridad en mente
(capítulo 5).
Capítulo 10: Diseñe su infraestructura de seguridad 525
• Asegúrese de que cada dominio contiene por lo menos dos controladores de dominio para
proteger los datos en él (capítulo 5).
• Ejecute bosques en modo plenamente funcional para obtener beneficios de las características
de seguridad más recientes (capítulo 5).
• Coloque maestros de operaciones para máxima eficiencia de servicio (capítulo 5).
• Asegúrese de que todos los servicios relacionados con el directorio usan almacenamiento de
datos integrados al directorio, como DNS (capítulo 6).
• Asegúrese de que usa una estrategia estructurada de directiva de grupo (capítulo 7).
• Cree consolas personalizadas de sólo lectura, hasta donde sea posible (capítulo 7).
• Distribuya consolas mediante Terminal Services y asígneles permisos de sólo lectura y ejecu-
ción (capítulo 9).
• Asegúrese de que todos los datos de directorios están protegidos y sólo las personas correctas
de la organización pueden modificarlas (capítulo 6).
• Administre grupos de manera efectiva para asignar permisos en el directorio (capítulo 7).
• Asegúrese de que la información confidencial almacenada dentro del dominio está oculta de
los ojos curiosos (capítulo 7).
• Asegúrese de que sus controladores de dominio están protegidos físicamente.
• Asegúrese de que sus controladores de dominio tienen aplicadas directivas de seguridad loca-
les específicas.
• Configure las dos directivas de grupo de dominio predeterminadas antes de crear dominios
secundarios para obtener beneficios de la propagación de directivas en la creación de dominios.
• Administre sus confianzas apropiadamente para asegurar una respuesta rápida del servicio
cuando se necesite.
• Delegue sólo los derechos de administración que se requieren y nada más para los adminis-
tradores de servicios y de datos.
• Use la función de controlador de dominio de sólo lectura cuando sea apropiado.
• Controle de manera estricta los permisos de modificación y modifique los permisos de propiedad.
• Implemente una directiva de cuenta global fuerte dentro del directorio para administrador y
una fuerte para usuarios.
• Audite el acceso a objetos importantes dentro del directorio.
• Proteja la contraseña para restaurar el directorio.
• Asegúrese de que tiene una directiva de copia de seguridad de directorio muy completa (capí-
tulo 11).
• Verifique de manera regular la replicación del directorio, y supervise los registros del sistema,
PARTE V
sobre todo el de depuración (capítulo 13).
Muchas de estas actividades ya se han cubierto. Unas cuantas se cubrirán también en otros
capítulos. El resto se cubre en ésta y en la sección “Capa 4: acceso a la información”.
Al hacer clic en el botón Opciones avanzadas del cuadro de diálogo se le lleva a los permisos de
seguridad detallados. Aquí están disponibles varios tipos de información. Para empezar le da acceso
a características especiales de seguridad, como Permisos, Auditoría, Propietario y Permisos efectivos.
Cada ficha delinea información diferente. La ficha Permisos, por ejemplo, identifica si los
permisos son heredados y, en ese caso, desde cuál contenedor, o si son explícitos. La ficha Audi-
toría identifica las directivas de auditoría que se aplican al objeto. La ficha Propietario presenta
una lista de los diversos propietarios de este objeto. Y, por último, Permisos efectivos le permite
identificar los permisos resultantes para un principal de seguridad determinado. Haga clic en
Seleccionar para localizar al usuario o el grupo del que desee ver los permisos efectivos.
Si quiere ver o asignar permisos específicos, regrese a la ficha Permisos y haga clic en Agre-
gar o Editar. Esto despliega el cuadro de diálogo Ingresar permisos. Aquí puede asignar permisos
específicos a usuarios o grupos.
Este nivel de detalle puede hacer muy compleja la administración de permisos de directorio.
Siempre mantenga los permisos de su directorio lo más simple posible, y trate de usar la mayor
cantidad de permisos heredados. Detalle permisos específicos cuando delegue control a una OU.
contraseña por dominio. Pero en Windows Server 2008 esto ya no es así. Esto se debe a que ADDS
incluye directivas de contraseñas más finas, que representan la capacidad de especificar varias
directivas de contraseñas dentro de un solo dominio. Junto con las directivas de contraseñas, puede
asignar diferentes restricciones de bloque de cuenta a diferentes grupos de usuarios.
SUGERENCIA Para conocer una herramienta de directiva de contraseñas múltiples más completa, bus-
que Special Operations’ Password Policy en www.specopssoft.com/products/specopspasswordpolicy.
Las organizaciones que deseen implementar una directiva de contraseña más estricta para
administradores mientras permiten que los usuarios trabajen con una directiva más suelta (por-
que no tienen acceso a contenido privilegiado, por lo menos no en el sentido en que lo tienen los
administradores) deben depender de directivas de contraseñas más finas para crear por lo menos
dos directivas de contraseñas diferentes.
NOTA Para usar directivas de contraseñas más inas, sus dominios deben estar en modo plenamente
funcional para WS08.
La creación de directivas de contraseñas más finas es muy sencilla. Empiece por determinar de
cuáles usuarios, grupos y OU pretende depender para aplicar la directiva de contraseñas más finas.
Luego llene cualquier grupo que necesite crear, defina los objetos de configuración de contrase-
ñas que necesite aplicar a las directivas y, por último, aplíquelas. Puede crear todas las directivas
que necesite, pero recomendamos por lo menos dos: una para los administradores y otra para los
usuarios. Por supuesto, puede crear muchas más, pero recuerde que cuanto más complejo haga su
entorno, más compleja será su administración y será más probable que ocurran errores.
SUGERENCIA Localizará información adicional acerca de las directivas de contraseñas más inas
en http://technet2.microsoft.com/windowsserver2008/en/library/056a73ef-5c9e-44d7-acc1-4f0
bade6cd751033.mspx?mfr=true. Encontrará instrucciones paso a paso para la implementación
de directivas de contraseñas más inas en http://technet2.microsoft.com/windowsserver2008/en/
library/2199dcf7-68fd-4315-87cc-ade35f8978ea1033.mspx?mfr=true. Para obtener una interfaz
gráica de usuario para la implementación de FGPP, vaya a http://powergui.org/entry.jspa?extern
alID=882&categoryID=46.
PARTE V
Auditoría de ADDS
WS08 soportó la auditoría de eventos de ADDS desde el surgimiento de Active Directory en
Windows 2000. Los eventos auditados se almacenaban, como opción predeterminada, en el
Registro de eventos, pero esos eventos dejaban mucho que desear, porque sólo indicaban que un
objeto había cambiado y nada más. Con WS08, Microsoft ha mejorado las capacidades de audi-
toría del directorio. Ahora no sólo puede ver exactamente lo que ha cambiado, sino también los
valores anteriores. Además, puede usar incluso estos valores anteriores para restaurar la configu-
ración que se tenía antes de los cambios.
Los directorios son entornos delicados. Con ADDS, Microsoft ha implementado un entorno
poderoso que soporta autentificación y administración. En realidad, muchas organizaciones de-
penden de este servicio de directorio que crea estructuras de directorio muy complejas y permite
528 Parte V: Asegure Windows Server 2008
que varios operadores controlen diferentes componentes del directorio. En Windows 2000, no
había rastreo ni advertencia cuando un operador efectuaba un cambio (por ejemplo, cuando
desplazaba una OU de una ubicación a otra dentro del directorio). El desplazamiento de objetos
es una proposición compleja en ADDS, debido a que puede cambiar en gran medida el compor-
tamiento del sistema, porque es posible que los GPO asignados ya no se apliquen a ellos o, peor,
que se apliquen los GPO erróneos. Por esto es que Microsoft agregó una advertencia en Win-
dows Server 2003 cada vez que los operadores movían un objeto. Sin embargo, el problema con
esta advertencia es que proporciona a los operadores la capacidad de desactivarla, regresando el
sistema a la configuración de Windows 2000 (vea la figura 10-8).
PRECAUCIÓN La advertencia acerca del desplazamiento de objetos aún está disponible en WS08.
Asegúrese de que sus operadores no lo deshabiliten para que siempre se les prevenga cuando se
desplazan objetos. Arrastrar y colocar es estupendo, pero también permite cometer errores. El
mantenimiento de estas advertencias le permite corregir posibles errores.
En WS08, Microsoft fue un paso más adelante: agregó una nueva característica de produc-
ción para objetos creados en ADDS. Cada vez que se crea un objeto, ahora está protegido contra
la eliminación como opción predeterminada. Esto significa que también está protegido contra el
desplazamiento. Para mover un objeto protegido, necesita ver su ficha Objeto, en el cuadro de
diálogo Propiedades (mediante la vista Características avanzadas) y limpiar su atributo de protec-
ción. Aunque esto recorre un largo trecho en la protección de objetos de directorio de operacio-
nes erróneas, no es suficiente. Por eso necesita habilitar la auditoría de ADDS en sus directorios.
Esta operación debe realizarse en almacenes de recursos y en ofrecimientos de servicios virtuales.
La de ADDS, como toda auditoría, es un proceso de dos pasos. En primer lugar, debe habi-
litarla en el GPO apropiado; luego debe determinar cuáles objetos necesitan auditarse y quién
debe hacerlo. Empiece por habilitar la directiva de auditoría. Como quiere auditar el contenido
del directorio, puede hacerlo dentro de la Default Domain Controllers Policy (directiva predeter-
minada de controladores de dominio).
1. Use la consola Administración de directivas de grupo para lanzar Default Domain Controllers
Policy en el Editor de directiva de grupo.
2. Vaya a Configuración del equipo | Directivas | Configuración de Windows | Configuración de
seguridad | Directivas locales | Directiva de auditoría.
3. Localice la configuración Auditar el acceso del servicio de directorio, haga doble clic en él y
configúrelo para identificar las operaciones correctas, por lo menos. También puede configu-
rarlo para identificar fallas, pero sólo si sospecha que los operadores están tratando de hacer
FIGURA 10-8
Advertencia de ADDS
cuando desplaza
objetos.
Capítulo 10: Diseñe su infraestructura de seguridad 529
cosas que no tienen permitidas. El objetivo de esta directiva es ver lo que ha cambiado y, tal
vez, tener la capacidad de deshacerlo.
4. Cierre el Editor de la directiva de grupo.
La directiva de auditoría está habilitada. Se actualizará en cada DC cinco minutos después de
su cambio.
Ahora necesita indicar a ADDS cuáles objetos desea auditar. Por ejemplo, si quiere auditar
todos los cambios a la estructura de la OU Persona, incluido cualquier cambio a los objetos que
contiene, use el siguiente procedimiento:
1. Vaya al Administrador del servidor | Funciones | Servicios de dominio de Active Directory |
Usuarios y equipos de Active Directory. Asegúrese de que está habilitada Características avan-
zadas en el menú Ver.
2. Expanda su directorio hasta que vea la OU Persona. Haga clic con el botón derecho en ella
para ver el cuadro de diálogo Propiedades.
3. Vaya a la ficha Seguridad y haga clic en Opciones avanzadas.
4. Vaya a la ficha Auditoría. Haga clic en Agregar.
5. Seleccione Usuarios autenticados y haga clic en Aceptar.
6. En el cuadro de diálogo Entrada de auditoría para Persona, seleccione Usuario objetos des-
cendientes en la lista desplegable (el penúltimo objeto de la lista), seleccione Escribir todas las
propiedades, bajo Correcto, y haga clic en Aceptar para cerrar el cuadro de diálogo.
7. Cierre todos los demás cuadros de diálogo.
Ahora, cada vez que modifique un objeto bajo Persona, un número de ID de evento 4662
se desplegará en el Registro de eventos de seguridad. Éste es el comportamiento de todas las
versiones anteriores de Windows Server. Sin embargo, en WS08 puede ir más allá y editar cuatro
actividades más.
• Acceso al servicio de directorio
• Cambios al servicio de directorio
• Replicación del servicio de directorio
• Replicación detallada del servicio de directorio
Por desgracia, estas actividades adicionales no tienen una interfaz gráfica para habilitarlos.
Debe usar una línea de comandos. Por ejemplo, para auditar cambios en el directorio (la activi-
dad que proporciona la información más interesante) necesita escribir el siguiente comando en
cualquier DC:
PARTE V
auditpol /set /subcategory:”Directory Service Changes” /success:enable
SUGERENCIA Tenga cuidado con las subcategorías que habilita porque su Registro de eventos se
llenará muy rápido con eventos recién registrados.
Ahora cambie cualquier objeto bajo Persona. El sistema registrará el cambio. Para ver el
evento, vaya a Administrador del servidor |Diagnóstico | Visor de eventos | Registros de Windows
| Seguridad. Debe ver eventos normales de ADDS que tienen el número ID 4662, pero además
tiene que ver un evento 5136 (vea la figura 10-9). En realidad, la auditoría de ADDS agrega cua-
tro nuevos eventos al registro. Estos eventos se detallan en la tabla 10-3.
530 Parte V: Asegure Windows Server 2008
RODC
Los controladores de dominio de sólo lectura no son un remanente de Windows NT, a pesar de
su parecido con DC de copia de seguridad (BDC, Backup Domain Controller). En NT, sólo el
principal controlador de dominio podía escribir cualquier propiedad en el directorio (todos los
demás DC están en modo de sólo lectura). Mientras que RODC se parece a BDC, ofrece signifi-
cativamente más protección que su predecesor.
Los RODC son controladores de dominio que se proporcionan con una caché especial que
puede almacenar contraseñas de usuario. Recuerde que durante el proceso de inicio de sesión,
debe tener la posibilidad de ponerse en contacto con un servidor de catálogo global para enu-
merar sus pertenencias a grupos globales sólo en caso de que haya una directiva de negación
en ellos. Si no puede conectarse a un catálogo global, entonces se niega el inicio de sesión. El
problema de ponerse en contacto con un catálogo global es que requiere una conexión WAN en
oficinas remotas. Si coloca un DC en el sitio pero sin un catálogo global, entonces cada vez que
un usuario inicia sesión necesita una conexión WAN.
Versiones anteriores de Windows Server incluían varias características para ayudarle en este
proceso. Por ejemplo, podría permitir el almacenamiento en caché de pertenencia a grupo uni-
versal del sitio. Esto le permite al usuario conectarse al catálogo global una vez y luego almace-
nar localmente las pertenencias a grupo por un periodo de ocho horas o la duración del vale de
Kerberos que se otorga al usuario. Después de ocho horas, debe ponerse en contacto de nuevo
con el catálogo global para recuperar las pertenencias.
Los RODC funcionan de manera similar al almacenamiento en caché de pertenencia a
grupo universal, pero en lugar de almacenar las pertenencias a grupo, almacenan las contraseñas
de usuario dentro de una caché protegida. Esto significa que los usuarios pueden depender de
RODC para iniciar sesión en el dominio, pero el RODC aún es un recurso protegido. En el caso
del robo del RODC, puede hacer centralmente que se restablezcan todas las contraseñas que se
almacenarán dentro del RODC, asegurando que aunque el atacante malicioso puede hackear las
contraseñas, serán de poco uso porque todas se habrán reajustado.
Además, puede controlar cuáles contraseñas pueden almacenarse en cualquier RODC en
su dominio. Observe que las contraseñas del administrador nunca se almacenan dentro de las
RODC como opción predeterminada, porque proporcionan acceso a demasiados recursos. El
almacenamiento de contraseña es una propiedad de RODC y de las cuentas de usuario. Dentro
de RODC, establece la directiva de replicación de contraseña (vea la figura 10-10). Los objetos de
usuario también incluyen una ficha Replicación de contraseña, que muestra cuáles RODC están
en la actualidad guardando en caché sus contraseñas.
FIGURA 10-10
Directiva de replicación
de contraseña de un RODC.
PARTE V
532 Parte V: Asegure Windows Server 2008
A diferencia del almacenamiento en caché de pertenencia a grupo universal, los RODC pue-
den incluir contraseñas previamente almacenadas en caché. Por ejemplo, pueden crear grupos
regionales de usuarios y obtener su RODC para llenar previamente todas las contraseñas. Esto se
hace mediante el botón Opciones avanzadas, en la ficha Directiva de replicación de contraseñas,
del cuadro de diálogo Propiedades del RODC.
Por último, puede restaurar automáticamente todas las contraseñas almacenadas en un
RODC en caso de robo. Simplemente elimine la cuenta del RODC de sólo lectura del dominio.
Una vez que confirme la eliminación, obtendrá la opción para reajustar todas las contraseñas de
las cuentas almacenadas en el RODC robado (vea la figura 10-11). Debe tomarse el tiempo de
exportar la lista de usuarios cuyas contraseñas restaura para enviarles una comunicación sobre
las razones por las que se reajustaron sus contraseñas.
archivos de datos críticos, se requiere ayuda profesional. Esta ayuda viene en la forma de una uti-
lería como Tripwire for Servers (www.tripwire.com/products/servers). Tripwire vigila todos los cam-
bios de archivos, incluso en el nivel de propiedades de suma de verificación del archivo. Por tanto,
puede alertar a los administradores cuando personal no autorizado ha modificado archivos críticos.
Además, la seguridad de NTFS ha mejorado de manera considerable en Windows Server
2008. Como los objetos ADDS, usa el concepto de herencia para aplicar permisos de acceso.
También aplica configuraciones fuertes de seguridad al grupo Usuarios para dar estabilidad. Esto
significa que los usuarios ya no pueden ejecutar aplicaciones heredadas que modifiquen archivos
localizados en carpetas sensibles, como Archivos de programa y Windows. Los administradores
deben tomar medidas especiales para asegurar que las aplicaciones heredadas operarán en siste-
mas Windows Server 2008 para usuarios normales. WS08 también incluye protección de recursos
de Windows, una característica diseñada para reparar archivos del sistema y entradas del registro
cuando son dañadas por instalación de software u otros eventos no deseados. Más información
sobre estas características está disponible en el sistema de ayuda de WS08.
SUGERENCIA La combinación de EFS con BitLocker puede darle un sistema muy protegido. En
casi todos los casos, si usa EFS entonces no requerirá BitLocker. Use éste para proporcionar
protección completa al sistema en entornos muy seguros. Use EFS para proporcionar protección a
datos conidenciales en entornos donde el sistema operativo no necesita protección estricta.
El cifrado se activa mediante las propiedades de archivo o carpeta, igual que los permisos.
También puede realizarse con el comando CIPHER. El cifrado es una propiedad de archivo (debi-
do a esto, no puede aplicarse si el archivo se ha comprimido). Estas dos propiedades son mutua-
mente excluyentes. Los archivos que son parte del sistema operativo no pueden cifrarse. Ni lo
pueden hacer los archivos encontrados en la carpeta %SYSTEMROOT%. WS08 soporta el cifrado
PARTE V
de datos contenidos en recursos compartidos de archivos. Pero los datos contenidos en archivos
cifrados localizados en recursos compartidos de red no están necesariamente cifrados cuando se
transportan del recurso compartido de archivo al equipo local. Si es necesario el cifrado comple-
to, aun en el nivel de las comunicaciones, deben usarse tecnologías adicionales como la seguri-
dad del protocolo de Internet (IPSec, Internet Protocol Security) o el protocolo de entunelamien-
to de conector seguro (SSTP, Secure Socket Tunneling Protocol).
WS08 es compatible con el cifrado de archivos sin conexión. Esta propiedad puede establecerse
en el nivel de GPO y aplicarse junto con los dispositivos de redireccionamiento de carpetas. Los
archivos cifrados se descifrarán si se copian en volúmenes que no son NTFS, de modo que debe ad-
vertirse a los usuarios las mejores prácticas para tener archivos seguros. Además, el cifrado no evita
la eliminación de archivos, sólo que vean su contenido usuarios no autorizados. Si los usuarios
tienen permisos para un directorio que incluye archivos cifrados, no podrán ver su contenido, pero
534 Parte V: Asegure Windows Server 2008
pueden tener la capacidad de eliminarlos. Los archivos cifrados se despliegan en color verde dentro
del Explorador de Windows. Esto ayuda a identificar rápidamente los archivos seguros. Una vez
más, esta información debe ser parte de su programa de comunicaciones de seguridad de usuario.
PRECAUCIÓN Para evitar la posibilidad de eliminación por parte de otros usuarios, asegúrese de
implementar enumeración basada en acceso (ABU, Access Based Enumeration) junto con EFS,
ABU debe habilitarse en cualquier caso, si no usa EFS.
SUGERENCIA Para conocer una descripción completa de EFS y su integración con SSTP, busque
“Working with the Encrypting File System” (Trabajo con el cifrado del sistema de archivos) en
http://redmondmag.com/techlibrary/resources.asp?id=101. Para conocer una estrategia detallada
de protección busque el capítulo 12 de Deploying and Administering Windows Vista Bible,
por Cribbs, Ruest, Ruest y Nelly, publicado por Wiley.
Capítulo 10: Diseñe su infraestructura de seguridad 535
PARTE V
1. Cuando un ensamblado (una pieza de código administrado) llama a otro, el CLR evalúa el
nivel de permiso que aplica al nuevo ensamblado.
2. Lo primero que el nuevo ensamblado debe hacer es proporcionar evidencia. Ésta es, en reali-
dad, un conjunto de respuestas a preguntas planteadas por la directiva de seguridad del CLR.
3. Se plantean tres preguntas acerca del origen del ensamblado.
a) ¿De qué sitio se obtuvo el ensamblado? Los ensamblados se descargan automáticamente al
cliente desde el sitio Web.
b) ¿De cuál localizador uniforme de recursos (URL, Uniform Resource Locutor) se originó el
ensamblado? El ensamblado debe proporcionar una dirección URL específica.
c) ¿De cuáles zonas se obtuvo el ensamblado? Esto se aplica a zonas de Internet Explorer
como Internet, Intranet, Máquina local, etc. Algunas zonas son más confiables que otras.
536 Parte V: Asegure Windows Server 2008
1 Solicitud al 5
Se determina la
ensamblado B
directiva de Se aplica el
seguridad 6
código de grupo
Ensamblado A
Empresa
Equipo Se establece el
7
permiso del
Usuario
ensamblado
Dominio de la
aplicación
8
Evaluador de
directiva
Permiso Sí 9
Se recorre la pila
otorgado (¿los ensamblados Nivel de
10
Permiso No A y B han solicitado permiso
denegado nivel de permiso?)
Al dejar las entradas en blanco para nombre de dominio y de usuario, se asegura de que
NetworkService se use para generar contextos de seguridad para la aplicación que ejecuta.
Éste sólo es un ejemplo de seguridad elevada dentro de IIS. El punto clave que se debe
recordar cuando se trabaja con IIS en el nivel 3 del sistema de defensa del castillo consiste en
instalar sólo los módulos que realmente necesita y luego depender del Asistente para configura-
ción de seguridad para ayudarle a asegurar la instalación básica de IIS.
PARTE V
tración de parches de servidor y de estación de trabajo.
Se ha dicho mucho sobre el protocolo Kerberos. Tiene muchas ventajas sobre NTLM. Es más
rápido, seguro, aceptado y fácil de usar. Una de sus mejores características es el hecho de que una
vez que ha autentificado usuarios, no es necesario que regresen al servidor para autorización.
Mientras que en NTLSM, el usuario está regresando constantemente al servidor para validación
de derechos y permisos, en Kerberos, el usuario lleva éstos dentro de la ficha de acceso que otorga
el servidor Kerberos. La ficha de acceso está en la forma de la ficha de Kerberos que se otorga al
usuario al inicio de la sesión. Además, con Kerberos, el servidor autentifica al cliente, asegurándose
de que esté autorizado para conceder al usuario acceso dentro del dominio. Por último, Kerberos
también da soporte a autentificación de dos factores. Éste puede estar en la forma de una tarjeta
inteligente o de un dispositivo biométrico, como un dispositivo de lectura de huellas digitales.
Uno de los elementos clave de un reino de Kerberos (el equivalente de un dominio) es la
estampa de tiempo. La sincronización del tiempo es esencial en Kerberos, porque el servidor de
autentificación compara la hora de la solicitud del cliente con su propio reloj interno. Si la hora
difiere un lapso superior al asignado (establecido dentro de sus directivas de cuenta), el servidor
Kerberos no autentificará al usuario. Ésta es una de las razones por las que Microsoft ha integra-
do el servicio de tiempo en la función Maestro de operaciones de emulador PDC en Servicios de
dominio de Active Directory, y es la razón por la que son tan importantes los procesos delineados
en el capítulo 6 para sincronización de tiempo de todo el bosque.
SUGERENCIA Un usuario tendrá varios SID durante una migración de una red a otra. En este
caso, el usuario lleva el SID de la red original además de un nuevo SID creado por el usuario en
la red de ofrecimientos de servicios virtuales paralela. A esto se le denomina historia de SID. Este
tema se cubre en el capítulo 12, mientras realiza la migración de los principales de seguridad.
PARTE V
mediante plantillas de seguridad. Los objetos de directorio se aseguran mientras los crea. Por
ejemplo, los procedimientos de delegación que usa cuando crea su estructura de OU son parte
de la administración de acceso a objetos de directorio.
La mejor manera de controlar el proceso de autentificación consiste en definir sus límites
mediante directivas de grupo. Hasta ahora, ha creado varios GPO diferentes para administra-
ción de objetos. Ahora puede revisar estas directivas y ver si pueden reutilizarse para fines de
seguridad. Esto también le permitirá identificar si las directivas de seguridad son obligatorias.
En la tabla 10-4 se delinean los GPO creados hasta la fecha. Cada GPO presenta la OU en que
puede encontrarse, su nombre y su objetivo. Aquí se incluyen cuatro GPO nuevos: los dos GPO
predeterminados y dos nuevos: el GPO Dominio de intranet, que se usa para almacenar configu-
raciones de dominio globales, y la GPO Servidor de base, que proporciona una primera capa de
seguridad para todos los servidores. Los nuevos GPO aparecen en negritas.
540 Parte V: Asegure Windows Server 2008
PRECAUCIÓN El GPO Dominio de intranet se crea para limitar las modiicaciones que hace a la
directiva predeterminada de dominio. Esto facilitará futuras actualizaciones y migraciones al
mantener las directivas predeterminadas lo más prístinas posible.
Capítulo 10: Diseñe su infraestructura de seguridad 541
SUGERENCIA En WS08, debe usar el comando GPUPDATE para actualizar manualmente las coni-
guraciones de GPO.
PARTE V
GPO Externas global
SUGERENCIA Todas las directivas de Kerberos tienen asignadas las mismas coniguraciones
predeterminadas que Windows Server, pero su modiicación explícita ayuda a sus operadores de
directiva de grupo a saber cuál es en realidad la coniguración predeterminada.
Todas estas configuraciones se aplican en el nivel del dominio para asegurar que afectan a
todos los objetos dentro del dominio. En realidad, la directiva de cuenta es una directiva de equi-
PARTE V
po. Esto significa que es posible deshabilitar la parte de la configuración del usuario del GPO.
unidad organizativa Domain controllers; de otra manera, no se verán afectados por su directiva pre-
determinada de DC. Por esto es tan importante implementar la auditoría del servicio de directorio.
Recuerde documentar por completo todos los cambios que haga a estos GPO.
Administre conianzas
En Windows 2000 se introdujo el concepto de confianzas transitivas automáticas de dos vías dentro
de un bosque de Active Directory. Windows Server 2008 extiende este concepto aún más con la
adición de confianzas transitivas entre bosques, sobre todo con el surgimiento de los Servicios de
directorio ligero de Active Directory. Pero a pesar de que las confianzas son ahora principalmente
automáticas, aún se necesita cierto grado de administración, porque cada vez que se crea una con-
fianza, da acceso a sus bosques o dominios a personas y objetos en otros contenedores ADDS.
Hay varios tipos de confianzas en Windows Server 2008. Aparecen delineadas en la tabla 10-6.
Las confianzas que usará con más frecuencia en su red de ofrecimientos de servicios vir-
tuales serán bosque, acceso directo y externa. La última se usa para vincular su red paralela de
ofrecimientos de servicios virtuales con la red heredada. Las confianzas de acceso directo se
deben usar para mejorar el rendimiento de validación entre dominios secundarios que requieren
niveles elevados de interacción. Y las confianzas de bosque pueden usarse principalmente entre
su bosque de infraestructura y sus directorios ADLDS.
PARTE V
Árbol-raíz Transitiva de dos vías Son las conianzas automáticas que se establecen cuando se crea un
nuevo árbol.
Bosque Transitiva de una o dos Extiende la transitividad de las conianzas de un bosque a otro.
vías
Acceso directo Transitiva de una o dos Crea una ruta de acceso directo para autentiicación entre dos dominios.
vías Éstos pueden usar esta ruta para autentiicación en lugar de tener que
recorrer la jerarquía del bosque.
Reino Transitiva o intransitiva Crea un vínculo de autentiicación entre un dominio y un reino de Kerbe-
de una o dos vías ros que no es de Windows (como UNIX).
Externa Intransitiva de una o Crea un vínculo de autentiicación entre un dominio de WS08 y uno
dos vías heredado.
Limitaciones Soporte a
Modo Seguridad (si las hay) cliente Comentarios
Anónimo Ninguna No hay seguridad Completo Trabaja en cualquier escenario.
Básico Baja Contraseñas de texto Completo Trabaja en cualquier escenario.
simple; sólo se usa
con SSL
Compendio Media IE 5 o superior Trabaja en cualquier escenario.
Personiicación de Alta Completo Reemplaza a NetworkService con el contexto
ASP.NET del usuario o una cuenta de servicio personali-
zada que cree.
Autentiicación de Alta IE 5 en Trabaja sólo en la intranet; DC necesita ser
Windows Windows, en accesible para el cliente.
infraestructura
de dominio
Autentiicación de Muy alta Completa Depende de los métodos de autentiicación
formularios de aplicaciones internos en lugar de los
integrados en el sistema operativo. Trabaja en
cualquier escenario.
Autentiicación de Muy alta WS08 proporciona Todos los explo- Trabaja en cualquier escenario.
certiicado de cliente inscripción y actuali- radores nuevos
de ADDS zación automáticas
para certiicados
PARTE V
de Active Directory, pero el desarrollador debe tener derechos de creación de almacenes y requiere
menos administración que los esquemas de autorización de aplicaciones anteriores. Asegúrese de
que su desarrollador se esfuerce por usar este método cuando crea servicios Web para uso interno.
SUGERENCIA Para conocer una guía paso a paso sobre la manera de implementar ADRMS, vaya a
http://technet.microsoft.com/en-us/library/cc753531.aspx.
SUGERENCIA Microsoft proporciona un contorno extenso de una red perimetral compleja mediante
su planeación y diseño de estructura. En realidad, esta guía es extremadamente completa y deli-
nea la manera de diseñar su red perimetral y proporcionar instrucciones para la implementación
de la red para dispositivos de red de Nortel y Cisco. Encuéntrelo en www.microsoft.com/
downloads/details.aspx?familyid=ad3921fb-8224-4681-9064-075fdf042b0c&displaylang=en.
PARTE V
replican imágenes de máquina virtual. También puede determinar que necesita implementar
protección de acceso a red para asegurar que cualquier sistema que se conecta al almacén de
recursos siempre esté actualizado en cuanto a parches de seguridad y protección antimalware.
• Los ofrecimientos de servicios virtuales tienen una red perimetral y, por tanto, necesitan
protección en varios niveles. Las redes de perímetro para ofrecimientos de servicios virtuales
pueden incluir una gran cantidad de servicios, pero casi todas incluyen:
• Conexiones remotas para usuarios finales móviles que actúan fuera de sus instalaciones.
• Servicios de federación para organizaciones asociadas.
• Protección de acceso a redes para cualquier sistema que quiere conectar a la red.
• Infraestructuras de clave pública para proporcionar protección para las aplicaciones que
haga disponibles en el perímetro, además de las que den soporte a implementaciones de
tarjetas inteligentes.
550 Parte V: Asegure Windows Server 2008
PRECAUCIÓN Debido a que la red perimetral está integrada por máquinas virtuales, debe depender
de la coniguración interna de Hyper-V de Windows Server en su hipervisor para crear LAN vir-
tuales que segregan las máquinas virtuales que pertenecen a cada parte de su red de ofrecimientos de
servicios virtuales. También podría considerar la colocación de máquinas perimetrales en servidores
hosts especíicos y asegurarse de que nunca se entremezclan con máquinas de la zona de la intranet.
SUGERENCIA Para conocer más información acerca de la Firewall de Windows, vaya a www.
microsoft.com/technet/network/default.mspx. Para conocer información detallada acerca de la con-
iguración de la Firewall de Windows, busque el capítulo 10 de Deploying and Administering
Windows Vista Bible, de Cribbs, Ruest, Ruest y Nelly, publicado por Wiley.
SUGERENCIA Para una revisión completa de las redes privadas virtuales de SSL, consulte “The
Case for SSL Virtual Private Networks” (El caso de redes privadas virtuales de SSL) en
www.reso-net.com/articles.asp?m=8#c bajo la sección Advances PKI.
PARTE V
servicios de ADCS dan soporte a varios tipos de situaciones de seguridad. Puede usarlos para:
• Asegurar servicios, servidores y aplicaciones Web
• Asegurar y firmar correo electrónico digitalmente
• Dar soporte a EFS
• Firmar código
• Dar soporte a inicio de sesión con tarjeta inteligente
• Dar soporte a trabajo con redes privadas virtuales
• Permitir autentificación de acceso remoto
• Ser compatible con la autentificación de vínculos de replicación de Servicios de dominio de
Active Directory sobre SMTP
• Dar soporte a autentificación de red inalámbrica
552 Parte V: Asegure Windows Server 2008
PRECAUCIÓN El CA raíz debe eliminarse de la operación para su protección. Por esto la conigu-
ración ideal para los CA raíz debe estar en las máquinas virtuales. Llevar una máquina virtual
fuera de línea es mucho más fácil que hacerlo con una máquina física. Además, la máquina virtual
puede colocarse en un estado suspendido indeinidamente, facilitando y agilizando el regreso en
línea cuado se necesita.
Las mejores prácticas de PKI también requieren varios niveles de jerarquía. En realidad, en
entornos de PKI que deben interactuar con el público, tiene sentido proteger los primeros dos
niveles de la infraestructura y eliminar ambos de la red. Pero en un entorno de PKI interno, sobre
todo uno que se usará principalmente para firma de código, cifrado, inicio de sesión con tarjeta
inteligente y conexiones de redes privadas virtuales, dos niveles son suficientes. Los CA subordi-
nados deben ser empresariales para que puedan integrarse con ADDS. Con el fin de agregar pro-
tección adicional al CA subordinado, no lo instale en un controlador de dominio. Esto reducirá el
número de servicios en el servidor.
Aunque su entorno de PKI sea interno, aún debe concentrarse en un diseño apropiado de
PKI. Esto significa la implementación de un proceso de siete pasos:
1. Revise la información de PKI de WS08 y familiarícese con los conceptos clave. Un excelente
lugar para empezar es http://technet2.microsoft.com/windowsserver2008/en/library/532ac164-
da33-4369-bef0-8f019d5a18b81033.mspx?mfr=true.
2. Defina los requisitos de su certificado. Identifique todos los usos de los certificados internos,
elabore una lista de ellos y defina cómo deben atribuirse.
3. Cree su arquitectura de PKI. ¿Cuántos niveles de autoridades de certificado requerirá? ¿Cómo
administrará sus CA sin conexión? ¿Cuántos se necesitan?
4. Cree o modifique los tipos de certificado que necesite. Determine si debe usar plantillas. Éstas
son el método de atribución de certificado preferido.
5. Configure la duración del certificado. La duración afecta toda la infraestructura. Los CA raíz
deben tener certificados que duren más que los subordinados.
6. Identifique cómo administrará y distribuirá las listas de revocación de certificados, además de
las funciones de ADCS que quiera incluir en su infraestructura. Esto puede contener inscrip-
ción Web y usuarios que responden en línea, además de CA.
7. Identifique su plan de operaciones para la infraestructura de certificados en su organización.
¿Quién administrará los certificados? ¿Quién puede proporcionarlos a los usuarios? Si se
usarán tarjetas inteligentes, ¿cómo se atribuirán?
Capítulo 10: Diseñe su infraestructura de seguridad 553
El resultado debe proporcionar la arquitectura que pretende usar (vea la figura 10-14).
Considere cada paso antes de implementar ADCS. Éste no es un lugar donde puede cometer
muchos errores. Debe probar por completo cada elemento de su arquitectura de ADCS antes de
proceder a su implementación dentro de su red interna. Por último, así como creó su directiva de
seguridad para definir la manera de asegurar su entorno, debe crear una directiva de certificación
y comunicarlo a su personal.
SUGERENCIA Para conocer más información acerca de PKI y el mundo de conianza al que da so-
porte, vaya a www.reso-net.com/articles.asp?m=8#c. Para conocer información acerca de ADCS,
vaya a http://technet2.microsoft.com/windowsserver2008/en/library/532ac164-da33-4369-bef0-
8f019d5a18b81033.mspx?mfr=true.
Raíz
comercial
externa
PARTE V
Los CA se llevan fuera de línea
CA intermediario CA raíz
(independiente) (independiente)
Funciones agregadas o
nuevos servidores
- Usuarios que responden - Integrado a Active Directory
- Inscripción en Web - Expide certificados de
producción
Expide certificados - Da soporte a inscripción y
de producción renovación automática
CA subordinado CA subordinado
(independiente o empresarial) (empresarial)
554 Parte V: Asegure Windows Server 2008
soporte a Single Sign-on Web. Además, ADFS puede integrarse con ADRMS para proporcionar
servicios de administración de derechos de información extendidos.
El proceso de ADFS es simple (vea la figura 10-15):
1. Un cliente quiere acceder a una aplicación Web.
2. El servidor verifica con el Servidor de federación de recursos (RFS, Resource Federation Ser-
ver) si el cliente tiene otorgado el acceso. Debido a que la solicitud debe atravesar una firewall,
el servidor Web se conecta primero con el servidor de proxy de federación de recursos, que
luego se pone en contacto con el RFS real.
3. El RFS revisa con el Servidor de federación de cuenta (AFS, Account Federation Server), una
vez más mediante el proxy, para ver cuáles derechos de acceso tiene el usuario. El AFS está
directamente vinculado con el ADDS interno de la organización y obtiene derechos de acceso
del directorio.
4. El AFS responde al servidor Web con los derechos de acceso del cliente.
5. El servidor Web otorga acceso a la aplicación.
El proceso es simple, pero la implementación de ADFS es más compleja. La ventaja es que
mediante ADFS, cada organización asociada puede depender de sus propios directorios ADDS
internos para otorgar acceso a los usuarios a aplicaciones externas. Esto facilita y simplifica en
mucho la administración del acceso.
ADDS
Proxy de Proxy de
servidor de Servidor de
servidor de
Servidor de federación de federación
federación de
federación recursos de recursos
recursos
de recursos
Servidores de directiva
Instrucción
de solicitud
de salud
• Alámbrico
PARTE V
o Validador de
• Inalámbrico salud del sistema
Servidores
de corrección
WSUS, antimalware,
No cumple con herramienta de terceros,
la directiva o cualquier combinación
• DHCP Directiva de red
Cliente de
Windows Vista • Red privada virtual Red restringida
• Interruptor/enrutador
• Puerta de enlace de TS
• HTTP Red corporativa
Cumple con
la directiva
4. Los validadores de salud del sistema determinarán el estatus de salud del cliente y lo regresa-
rán al proveedor al solicitar una instrucción de salud del cliente.
5. Con base en el estatus de salud del cliente, ocurrirán una o dos acciones:
• Si el cliente no parece saludable, se le dirigirá a una red restringida. Ésta pondrá en cuaren-
tena el sistema hasta que regrese al estado saludable. La red restringida incluirá, por tanto,
sólo acceso a servidores de corrección (servicios de Windows Server Update, antimalware,
otras herramientas de administración de configuración, o una combinación de ellas). Una
vez que el cliente esté actualizado, su estatus de salud se actualiza para que el proveedor
pueda darle acceso completo a la red.
• Si el cliente parece saludable o se actualiza a un estado donde parece saludable, se permite
acceso completo a la red.
Dependa de Protección de acceso a redes para proteger los almacenes de recursos de la
contaminación en el nivel del hardware. Dependa de Protección de acceso a redes para proteger
ofrecimientos de servicios virtuales de la contaminación en el nivel de los servicios de usuario.
SUGERENCIA Para conocer más información acerca de Protección de acceso a redes, vaya a
www.microsoft.com/technet/network/nap/default.mspx.
U
n elemento importante de la seguridad es la resistencia del sistema: asegurarse que sus
servicios no fallarán, aun en el caso de desastres o una brecha de seguridad. Varios ele-
mentos de resistencia del sistema ya se han cubierto hasta ahora:
• Servicios de dominio de Active Directory La resistencia se crea mediante la distribución
de controladores de dominio en toda su red. También se basa en el sistema de replicación
multimaestro y la creación de una topología de replicación apropiada. Esta característica se
describe en el capítulo 6.
• DNS Mediante la integración del servicio de nombre de dominio (DNS, Domain Name Ser-
vice) con el directorio, usted asegura que su servicio de resolución de nombre de red siempre
funcionará porque es la misma resistencia que el servicio de directorio. Esta característica se
describe en el capítulo 6.
• DHCP Su infraestructura de asignación de dirección también tiene resistencia integrada,
debido a la manera en que la estructuró con ámbitos redundantes. Además, si coloca sus ser-
vidores de protocolo dinámico de configuración de host (DHCP, Dynamic Host Configuration
Protocol) en diferentes sitios, tiene una solución que seguirá trabajando en caso de un desas-
tre. Esta característica se describe en el capítulo 6.
• Servicio de asignación de nombre de Internet de Windows (WINS, Windows Internet
Naming Service) Si ha decidido usarlos, sus servidores de resolución de nombre heredados
también son redundantes, porque el servicio se ofrece mediante los mismos servidores que el
servicio DHCP.
• Infraestructura de administración de objeto Su estructura de administración de objetos
también es resistente, porque está basada en una estructura de unidad organizativa (OU, Or-
ganizational Unit) en el directorio y el directorio de servicio ofrece resistencia del sistema. Esta
estructura se analizó en los capítulos 7, 8 y 9.
• Raíces del sistema de archivos distribuido (DFA, Distributed File System) de dominio
Sus recursos compartidos de archivos son resistentes porque están distribuidos a través del
directorio, haciéndolos que estén disponibles en varios sitios. También incluye conmutación
por error automática (es decir, si el servicio se cae en un sitio, automáticamente se pasan las
conexiones de usuario con falla al otro sitio). La replicación DFS asegura que los destinos de
557
558 Parte V: Asegure Windows Server 2008
espacio de nombres DFS estén sincronizados todo el tiempo. Las estrategias de DFS se descri-
ben en el capítulo 8.
• Instantáneas de volumen Sus archivos compartidos, bases de datos compartidas, alma-
cenes de Exchange y otros depósitos de información compartida también están protegidos
mediante la característica de Instantánea de volumen, tomando instantáneas del sistema de
manera regular e incluso permitiendo a los usuarios recuperar los propios archivos. Esta carac-
terística se describió en el capítulo 8.
• Servicios de Terminal Server Los servidores de Terminal Services que implemente ofrecen
resistencia mediante el Agente de sesiones, que está, a su vez, protegido mediante el equilibrio
de carga del Agente de sesiones. Esta característica se describió en el capítulo 9.
A pesar de que varios de sus sistemas son resistentes, siguen siendo áreas que podrían tener
un efecto significativo en sus operaciones, si fallan. Recuerde que una de las principales razones
para los ataques de hacker es la negación de servicio distribuida o DDoS (Distributed Denial of
Service). Este tipo de ataque puede tener éxito por dos razones. En primer lugar, el servidor que
hospeda el servicio no está protegido y, en segundo lugar, si el servicio está hospedado por un solo
servidor (es decir, no hay servicio de conmutación por error). En el capítulo 10 se le mostró cómo
proteger sus sistemas mediante el sistema de defensa del castillo. Ahora, necesita agregar resisten-
cia adicional a la red mediante dos estrategias: resistencia del sistema y recuperación del sistema.
Por ejemplo, un activo que está valuado en un millón de dólares con un factor de riesgo
de .2 tiene un valor de riesgo de 200 000 dólares. Esto significa que puede invertir hasta 200 000
dólares para proteger ese activo y reducir su factor de riesgo.
Aunque estos cálculos sean de naturaleza esotérica, lo que sigue siendo importante es inver-
tir lo más que se pueda en la protección de sus activos más valiosos. Ésta es una razón por la que
resulta importante saber lo que tiene. La figura 11-1 es un buen recordatorio de este principio.
Capítulo 11: Construya para la continuidad del negocio 559
FIGURA 11-1
Categorías de activos
de la información. Inversión
máxima en
seguridad
Secreto
Confidencial
Interno Inversión
mínima en
Público seguridad
PARTE V
na redundancia en el nivel del sitio (vea la figura 11-2).
La redundancia de sitio también es necesaria en un nivel regional. Por eso el servidor regio-
nal ideal será una caja integral que incluya por lo menos dos servidores hosts físicos, almacena-
miento compartido y conectividad de red de área amplia (WAN, Wide Area Network). Al incluir
dos servidores hosts, puede asegurar que los ofrecimientos de servicios virtuales regionales que
hospeda esta infraestructura siempre estén disponibles (vea la figura 11-3).
Como ya se mencionó, la redundancia en el nivel del sitio ya no es suficiente. Demasiadas
organizaciones pierden literalmente todo cuando surge el desastre. No debe colocar todos los
huevos en la misma canasta. Por fortuna, el surgimiento de la virtualización facilita en mucho
proporcionar redundancia en varios sitios. En primer lugar, necesita construir un segundo centro
de datos, si aún no está disponible. Este centro de datos secundario no necesita hospedar los
mismos recursos que su entorno de producción (vea la figura 11-4). Sólo necesita unos cuantos
560 Parte V: Asegure Windows Server 2008
Leyenda:
Disco duro Máquina virtual Volumen LUN
recursos (sólo los suficientes, en realidad, para ayudarle a volver a ponerse de pie en el caso de una
emergencia). Esto significa que necesita unos cuantos servidores host adjuntos a almacenamiento
compartido. También necesita dispositivos de protección de energía central y conectividad WAN.
Los acuerdos para el nivel del servicio (SLA, Service Level Agreements) para recuperación de
desastres no son los mismos que los de producción normal. Esto significa que puede ejecutar una
infraestructura reducida en el sitio de recuperación de desastres. Puede depender de una fórmula
que le ayude a determinar cuántos recursos físicos requerirá su centro de recuperación de desas-
tres. La fórmula tiene este aspecto:
Recursos de producción/Tiempo de recuperación = Recursos de recuperación
de desastres
Almacén de recursos
Servicios
redundantes
Servidores hosts
Interruptor
Caja integral
FIGURA 11-3 Use cajas integrales para proporcionar redundancia regional en el nivel del sitio.
Capítulo 11: Construya para la continuidad del negocio 561
Discos virtuales
Replicación
Discos virtuales
Por ejemplo, si está ejecutando su infraestructura en 15 hosts físicos y espera que el tiempo
de recuperación sea de tres horas, entonces puede ejecutar el centro de recuperación de desastres
con cinco hosts físicos. Cuanto menor sea el tiempo de recuperación, más recursos necesitará
para llenar el centro de recuperación.
Equilibre el número de recursos físicos en su centro de recuperación con la necesidad de
recargar servicios críticos. En el caso de un desastre, su recuperación necesitará primero servi-
cios esenciales (por ejemplo, Servicios de dominio de Active Directory y DNS), y luego servicios
secundarios, DHCP, servidores de archivos e impresión, etc. El uso de un método graduado para
la recarga de servicios para usuarios le permitirá regresar en línea en etapas y reducirá el costo
de sobrecarga del centro de datos secundario. En casi todos los casos, la recuperación de sus
ofrecimientos de servicios virtuales sigue la estructura de implementación de ofrecimientos de
servicios virtuales de este libro.
PARTE V
SUGERENCIA En muchos casos, no necesita tener su propio centro de datos de recuperación.
Algunos comercializadores, como Sungard (www.sungard.com), ofrecen servicios de hospedaje
para centros de datos secundarios. En muchos casos, es mucho más económico usar un centro de
recuperación hospedado que construir uno propio.
no sólo en el sistema de archivos, sino también dentro de bases de datos como los Servicios de
dominio de Active Directory.
La construcción de redundancia en su sistema es valiosa sólo si sabe que funciona. No es
suficiente estar preparado; necesita saber que su preparación tiene un valor. Para ello, necesitará
probar y volver a probar cada nivel individual de redundancia que implemente en su red. Dema-
siadas organizaciones han cometido el error fatal de crear copias de seguridad de datos durante
años sin probar el proceso de recuperación, sólo para descubrir que éste no funciona. Esto no es
un mito. Sucede en la realidad. No deje que le pase a usted. Pruebe todos sus sistemas y docu-
mente sus procedimientos. En realidad, se trata de una excelente oportunidad para que escriba
procedimientos operativos estándar.
• Equilibrio de carga de red (NLB, Network Load Balancing) Este servicio proporciona
elevada disponibilidad y escalabilidad a los servicios del protocolo de Internet (IP, Internet
Protocol), tanto el protocolo de control de transmisiones (TCP, Transmission Control Protocol)
como el protocolo de datagrama de usuario (UDP, User Datagram Protocol); también propor-
ciona estas ventajas a las aplicaciones al combinar hasta 32 servidores en un solo clúster. Los
clientes acceden al clúster de NLB al acceder a una sola dirección IP para todo el grupo. Los
servicios de NLB redireccionan automáticamente al cliente a un servidor que funciona.
• Equilibrio de carga de componente (CLB, Component Load Balancing) Este servicio
permite que componentes COM+ se distribuyan hasta en 12 servidores. Este servicio no es
nativo de WS08; cuando es necesario, puede ser proporcionado por el Microsoft Application
Center Server.
• Clústeres de recuperación de fallas de Windows Server (WSFC, Windows Server Failo-
ver Clusters) Este servicio proporciona resistencia mediante recuperación de fallas de recur-
sos: si un recurso falla, el cliente se transfiere automáticamente a otro recurso en el clúster. Los
clústeres del servidor pueden contener entre dos y 16 nodos.
Estos tres servicios de clúster trabajan en conjunto para proporcionar una estructura de ser-
vicio completa (vea la figura 11-5).
Sólo dos de estas tecnologías de clúster están disponibles en WS08: clústeres de equilibrio
de carga de red y de conmutación por error. Construya sus soluciones de resistencia con base en
estas dos tecnologías. Tenga lo siguiente en mente:
• Cuando proteja sistemas sin estado o que proporcionan servicios de sólo lectura, utilice el
equilibrio de carga de red.
• Cuando proteja sistemas con estado o que proporcionan servicios de sólo lectura, dependa del
clúster de conmutación por error.
Es una fórmula simple: los sistemas que no tienen datos persistentes deben usar NLB, y los
que los tienen, el clúster de conmutación por error.
PARTE V
de alta disponibilidad esté diseñada para proteger datos todo el tiempo. Ya hemos analizado
varias maneras en que estos datos pueden protegerse, incluidas las instantáneas de volumen y la
replicación DFS. Ahora necesita tomar en consideración la manera de proporcionar una elevada
disponibilidad al servicio que permite que se ejecuten los ofrecimientos de servicios virtuales.
Debido a que los datos persisten en los servidores hosts, deben ejecutar el servicio Clúster
de conmutación por error para permitir la elevada disponibilidad de los ofrecimientos de servi-
cios virtuales. Esto significa que cuando una máquina host falla, los ofrecimientos de servicios
virtuales que ejecuta se pasan automáticamente a otro servidor host que es parte del clúster. Para
esto, debe construir sus servidores hosts de una manera adecuada. Tome por ejemplo, la siguien-
te configuración.
564 Parte V: Asegure Windows Server 2008
• El servidor host 1 tiene 16 gigabytes (GB) de memoria de acceso directa (RAM, Random Ac-
cess Memory). Ejecuta ocho ofrecimientos de servicios virtuales a 1 GB de RAM cada uno.
• El servidor host 2 tiene 16 GB de RAM. Ejecuta ocho ofrecimientos de servicios virtuales a 1
GB de RAM cada uno.
En una configuración en clúster, cada uno de los servidores hosts debe reservar una parte de
RAM en el caso de falla. Cuando ocurre ésta, los hosts que toman el control de la carga de trabajo
de servidor con falla deben tener la suficiente RAM disponible para ejecutar todos los servicios
requeridos para que funcione la conmutación por error.
La configuración de servidores en clúster debe, por tanto, planearse con cuidado, porque
necesitará dar soporte a cada uno de los servidores de la configuración. Además, debido a que los
servidores hosts son físicos, necesitarán componentes de hardware especiales para conectarse a
almacenamiento compartido:
• Los conectores de interfaz pequeña de sistema de cómputo (SCSI, Small Computer System
Interface) permitirán que los servidores hosts se conecten a almacenamiento compartido. Tal
vez sea apropiado para configuraciones de servidor host de oficinas regionales, porque sólo se
requieren dos de ellos.
• Los conectores de canal de fibra a través de adaptadores de bus de hosts son apropiados para
clústeres de hasta 16 nodos.
• Los conectores de interfaz pequeña de sistema de cómputo de Internet (iSCSI, Internet Small
Computer System Interface) son apropiados para clústeres de hasta 16 nodos. En realidad, los
conectores iSCSI, debido a que son conectores de red y resulta más simple implementarlos, a
menudo son los que se prefieren para hosts en clúster.
Debido a que está reuniendo en clústeres servidores hosts, necesita asegurarse de que está
usando la versión apropiada de Windows Server 2008. Eso significa que necesita usar la edición
Enterprise o Datacenter.
Capítulo 11: Construya para la continuidad del negocio 565
NOTA Las ediciones Enterprise y Datacenter incluyen licencias para ofrecimiento de servicios
virtuales; por tanto, casi es seguro que ya esté trabajando con una de estas dos ediciones. Recuerde
que la primera se cobra por servidor y la segunda por procesador físico.
SUGERENCIA Aunque no esté usando NLB con servidores hosts, debe considerar la colocación de
cada uno de los miembros de un clúster de NLB en diferentes nodos de host para proporcionar una
mejor disponibilidad del servicio.
PARTE V
Ambos servicios de clúster ofrecen la capacidad de dar soporte a cuatro requisitos de ofreci-
miento de servicios:
• Disponibilidad Al proporcionar ofrecimientos de servicio mediante un clúster, es posible
asegurar que estén disponibles durante los periodos que la organización considera que deben
estarlo.
• Coniabilidad Con un clúster, es posible asegurar que los usuarios puedan depender del
ofrecimiento de servicio, porque si un componente falla, se reemplaza automáticamente con
otro componente que funciona.
• Escalabilidad Con un clúster, es posible aumentar el número de servidores que proporcio-
nan el ofrecimiento de servicios sin afectar el servicio que se está entregando a los usuarios.
566 Parte V: Asegure Windows Server 2008
Servicio de
clúster Equilibrio de carga de red Clústeres de conmutación por error
Edición WS08 Web Enterprise
Standard Datacenter
Enterprise
Datacenter
Número de nodos Hasta 32 Hasta 16
Recursos Mínimo de dos adaptadores de red Conectores de disco SCSI o iSCSI
Función de Servidores de aplicaciones (sin estado) Servidores de aplicación (con estado)
servidor Servidores Web dedicados Servidores de archivos e impresión
Servidores de colaboración (cliente) Servidores de colaboración (almacenamiento)
Servidores de infraestructura de red
Aplicación Granjas Web Servidores de SQL
Servidor de seguridad de Internet y aceleración (ISA) Servidores de Exchange
Servidores de red privada virtual (VPN) Servidores de cola de mensajes
Servidores de lujo de Windows Media
Servidores de comunicación uniicados
miembro no envía un pulso dentro de un periodo de cinco segundos, los otros miembros realizan
automáticamente una operación de convergencia para eliminar del clúster el miembro que ha
fallado y también de las redirecciones de solicitudes de cliente.
SUGERENCIA Puede agregar más de una tarjeta de interfaz de red (NIC, Network Interface Card)
para el acceso de cliente, pero dos conforman la coniguración mínima que debe ejecutar.
NOTA Si decide construir ofrecimiento de servicios basados en hardware por alguna razón, tome en
consideración esto en la selección de la coniguración de hardware para los servidores. Como cada
miembro de clúster usa datos idénticos, a menudo es útil optimizar el hardware de servidor para
dar soporte a operaciones rápidas de lectura. Por esto, muchas organizaciones planean utilizar
clústeres de NLB para no implementar subsistemas de disco RAID porque la redundancia es
proporcionada por miembros de clúster. El acceso a disco está optimizado porque no hay una so-
brecarga de RAID durante las operaciones de lectura. Sin embargo, es esencial asegurar que todos
los sistemas estén completamente sincronizados todo el tiempo. Si decide o no construir servidores
NLB sin protección de RAID es una decisión que tomará cuando diseñe su arquitectura de NLB.
Dependerá principalmente de su estrategia de sincronización de datos, el tipo de servicio que trata
de hospedar en el servidor y el número de servidores que trata de colocar en su clúster de NLB.
Debido a que los servidores de NLB son ofrecimientos de servicios virtuales, no necesita
hacer ninguna consideración especial relacionada con el hardware, aunque debe crear máquinas
virtuales idénticas para proporcionar el ofrecimiento del servicio.
El eje del servicio NLB es el controlador wlbs.sys. Éste es un controlador que se ubica
entre la tarjeta de interfaz de red y el tráfico de la red. Filtra todas las comunicaciones de NLB y
establece al servidor miembro para que responda a solicitudes, si se han dirigido a él.
NLB es un DNS tipo round-robin, pero proporciona mejor tolerancia a fallas. Este tipo de DNS
depende de varias entradas DNS para un servicio. Cuando los clientes requieren una conexión, el
servicio DNS proporciona la primera dirección, luego la segunda, la tercera, etc. No puede revisarse
si en realidad la dirección se resuelve. Ésta es una razón por la que NLB es mejor. Siempre revisa
las direcciones de destino para asegurar que el servidor está disponible cuando se redirigen los
clientes. Y, como el servicio NLB está hospedado en cada miembro clúster, no hay un punto único
de falla. También hay conmutación por error inmediata y automática de miembros de clúster.
PARTE V
Modos del multidifusión en comparación con unidifusión
Los clústeres de NLB operan en modo de multidifusión o de unidifusión. El modo predetermi-
nado es unidifusión. En este modo, el clúster de NLB reasigna automáticamente la dirección del
control de acceso a medios (MAC, Media Access Control) para cada miembro del clúster en la
tarjeta de interfaz de red que está habilitada en el modo de clúster. Si cada miembro tiene sólo
una NIC, las comunicaciones de miembro a miembro no son posibles en este modo. Ésta es una
razón por la que resulta mejor instalar dos NIC en cada servidor.
Cuando se use el modo de multidifusión, NLB asigna dos direcciones de multidifusión al
adaptador de clúster. Este modo asegura que todos los miembros de clúster se pueden comunicar
automáticamente entre sí porque ya no cambian a las direcciones MAC originales. Sin embar-
go, hay desventajas en este modo, sobre todo si utiliza enrutadores de Cisco. La respuesta del
568 Parte V: Asegure Windows Server 2008
protocolo de resolución de dirección (ARP, Address Resolution Protocol) enviada por un host
de clúster es rechazada por estos enrutadores. Si usa el modo de multidifusión en un clúster de
NLB con enrutadores Cisco, debe reconfigurar manualmente los enrutadores con entradas ARP,
asignando la dirección IP del clúster a su dirección MAC.
Ya sea que utilice un modo u otro, debe recurrir por lo menos a dos tarjetas de red en cada
miembro. Una ventaja de hacer esto es que le permite configurar una tarjeta para recibir tráfico
entrante y la otra para enviar tráfico saliente, haciendo que sus miembros de clúster respondan
aún mejor. También puede asegurarse de que, si su clúster de NLB es sólo cliente de una estruc-
tura compleja de clúster, como la ilustrada en la figura 11-5, todas las comunicaciones de cliente
son manejadas por la tarjeta de red que no es de clúster.
Por último, si se espera que sus miembros de NLB manejen cargas extremadamente elevadas
de tráfico, puede agregar más tarjetas de red en cada miembro y unir el servicio NLB a cada una,
mejorando el tiempo de respuesta general para cada miembro.
• El nombre de Internet del clúster: el nombre DNS que pretende usar para el clúster.
• La dirección IP virtual del clúster y la máscara de subred apropiada: la dirección que se vincu-
lará con el nombre DNS.
• El modo IP que pretende usar: IPv4, IPv6 o ambos.
• Las direcciones IP actuales y las máscaras de subred para cada miembro de clúster.
• El modo de difusión de clúster que desea usar: unidifusión o multidifusión. Si utiliza multi-
difusión, querrá también utilizar el protocolo de multidifusión del grupo de Internet (IGMP,
Internet Group Multicast Protocol) para reducir el número de puertos empleados para dirigir
el tráfico de administración de clúster y restringirlo al rango de clase D del IPv4 estándar; es
decir, de 224.0.0.0 a 239.255.255.255.
• El modo de afinidad de clúster que desea emplear: afinidad única, clase C o sin afinidad.
• Si quiere o no habilitar el control remoto del clúster empleando la aplicación NLB.EXE.
PRECAUCIÓN Es muy recomendable no habilitar esta característica porque puede causar un riesgo
de seguridad. Cualquier usuario con acceso a la aplicación NLB.EXE puede controlar un clúster.
Es mejor emplear la consola Administrador de equilibrio de carga de red para administrar sus
clústeres de NLB. El acceso a esa consola puede controlarse mejor que el acceso a NLB.EXE.
PARTE V
ticas en el panel de acciones.
2. Seleccione la característica Equilibrio de carga de red. Haga clic en Siguiente.
3. Haga clic en Instalar, y luego en Cerrar, una vez que la característica esté instalada.
Está listo para construir el primer nodo del clúster.
1. Lance el Administrador de equilibrio de carga de red. Vaya al menú Iniciar, seleccione Herra-
mientas administrativas y haga clic en Administrador de equilibrio de carga de red.
2. Esto abre la Consola de administración de Microsoft (MMC) del Administrador de NLB. Para
crear un nuevo clúster, haga clic con el botón derecho en Clústeres de equilibrio de carga de
red, en el panel de la izquierda, y seleccione nuevo clúster.
3. Utilice los valores en la tabla 11-2 para rellenar este asistente.
570 Parte V: Asegure Windows Server 2008
Ahora puede agregar miembros de clúster. Haga clic con el botón derecho en el nombre de
clúster para seleccionar Agregar host al clúster. Escriba el nombre DNS del miembro y haga clic
en Conectar. Una vez más, utilice los valores de la tabla 11-2 para preparar este host. Cuando
complete esta adición, el servicio NLB realizará una convergencia para traer en línea todos los
miembros del clúster.
Ya ha terminado. A partir de ahora, puede administrar el clúster (agregar, eliminar y configu-
rar miembros) mediante esa consola (vea la figura 11-6). Observe que esta interface despliega los
miembros del clúster en el panel de árbol, el estatus de cada nodo en el panel de detalles y, abajo,
en el panel de información, presenta una lista de los detalles de la operación de NLB.
Los clústeres de NLB serán útiles para medios de flujo de equilibrio de carga, comunicacio-
nes unificadas, aplicaciones Web y servidores de red privada virtual dentro de su red.
SUGERENCIA El sitio Web que acompaña este libro ofrece una ayuda de trabajo para la preparación
de clústeres de NLB en www.reso-net.com/livre.asp?p=main&b=WS08.
NOTA Muchas organizaciones deciden depender de equilibradores de carga de hardware para esa
tarea. Proporcionan exactamente el mismo servicio que NLB, pero a menudo incluyen capacidades
de aceleración de tráico. Comercializadores como CAI Networks (www.cainetworks.com) y F5
Networks (www.f5.com) ofrecen productos en esta categoría. Estos dispositivos funcionan bien
con ofrecimientos de servicios virtuales.
Capítulo 11: Construya para la continuidad del negocio 571
PARTE V
de base de datos financiera de cuatro nodos para que el primer nodo administre la entrada de
pedidos, el segundo el procesamiento de pedidos, el tercero los servicios de pago y el cuarto
otras actividades contables. Para ello, su aplicación debe ser plenamente compatible con clústeres
(cumpliendo por completo con todas las características de WSFC). No todas las aplicaciones o
incluso los servicios de WS08 son completamente compatibles con los clústeres.
ciones (API, Application Programming Interface) del clúster para recibir estratos y notificacio-
nes del clúster de servidor. También puede reaccionar a eventos de clúster.
• Independiente de WSFC (o inconsciente) es un producto o servicio de WS08 interno que no
está consciente de la presencia del clúster pero que puede instalarse en un clúster y compor-
tarse de la misma manera que si estuviera en un solo servidor. Sólo responde a los eventos de
clúster más básicos.
• Incompatible con WSFC es un producto o servicio interno de WS08 que no se comporta
bien en el contexto de un clúster y no debe instalarse en un nuevo clúster de servidor.
• Compatible con NLB presenta productos que son adecuados para los clústeres de NLB. NLB
y WSFC suelen ser compatibles entre sí.
En la tabla 11-3 se presentan por categorías los sistemas de Windows Server de Microsoft y
las funciones de WS08 en cuanto a compatibilidad de clúster.
La información de la tabla 11-3 está sujeta a cambios a medida que cada uno de los pro-
ductos evoluciona, pero sirve como un buen punto de partida para determinar la manera en que
puede configurar una elevada disponibilidad para sus servicios.
PARTE V
IIS X X Los clústeres NLB son los
preferidos.
Servidor ISA X X Los clústeres NLB son los
preferidos
Administrador de ciclo X Completamente compatible.
de vida de identidad de
Microsoft
Cola de mensajes de X Completamente compatible.
Microsoft
la manera en que cada nodo de un clúster de cuatro nodos debe tener la capacidad de absorber la
falla de cada nodo diferente hasta que quede un nodo solo. Éste es, por supuesto, un escenario
del peor caso, pero demuestra que en un clúster, los recursos del sistema deben estar reservados
para fallas; de otra manera, el clúster no podrá proporcionar una disponibilidad elevada.
Puede configurar sus clústeres de servidor de muchas maneras. Además, en clústeres de varios
modos, puede usar una mezcla y combinar los servicios o las aplicaciones de instancia múltiple con
funciones de una sola instancia. Si la aplicación es crítica para la misión y no puede caerse bajo nin-
guna circunstancia, puede configurarla como una instancia múltiple en algunos nodos y hospedarla
en modo pasivo en otros nodos para tener la mejor disponibilidad posible para la aplicación.
Por último, tenga cuidado con sus directivas de conmutación por error. Un clúster de dos a
cuatro nodos puede utilizar fácilmente directivas aleatorias de conmutación por error (el servicio
fallado se distribuye al azar entre los otros nodos disponibles) porque la combinación posible de
recursos es relativamente pequeña. Pero si tiene más de cuatro nodos en clúster, es una buena
idea especificar las directivas de conmutación por error, porque la combinación posible de recur-
sos será muy grande y los nodos pueden sobrecargarse durante la recuperación. La ilustración de
la figura 11-7 es un ejemplo de una directiva de conmutación por error aleatoria.
Capítulo 11: Construya para la continuidad del negocio 575
NOTA Las aplicaciones de una sola instancia son más adecuadas para clústeres activo-pasivo de dos
nodos, donde un nodo ejecuta el servicio y el otro hospeda el servicio en modo de espera. De esa
manera, si el servicio falla en el nodo que se ejecuta, el segundo nodo puede tomar el control.
Coniguraciones de clúster
Además, su configuración de clúster necesitará la capacidad de compartir información sobre sí
mismo entre los nodos. Esto se realiza mediante un recurso de quórum en un disco testigo. Como
opción predeterminada, hay un solo recurso de quórum por clúster. Cada nodo del clúster puede
acceder al recurso de quórum y saber el estado del clúster porque contiene una copia de la configu-
ración de éste. El quórum ayuda al clúster a determinar si debe seguir ejecutándose cuando cierto
número de nodos falla. WS08 da soporte a cuatro configuraciones de quórum diferentes:
• Mayoría de nodos Cuando los clústeres tienen un número non de nodos, utilice esta confi-
guración. Por ejemplo, un clúster de un nodo requerirá un quórum de mayoría de nodos. Una
configuración de nodos nones puede dar soporte a la falla de la mitad de los nodos menos
una. En un clúster de cinco nodos, por ejemplo, sólo dos nodos pueden caer antes de que
caiga el clúster.
• Mayoría de nodos y discos Esta configuración se recomienda cuando su clúster tiene un
número par de nodos. Consta de un disco de quórum más mayoría de nodos. Siempre y cuan-
do el disco permanezca en línea, puede fallar hasta la mitad de nodos del clúster y seguir eje-
cutándose. Si el disco falla también, entonces el clúster se comportará como una configuración
de Mayoría de nodos solamente, fallando cuando la mitad menos uno de los nodos fallen.
PARTE V
• Mayoría de nodos y recurso compartido de archivos Esta configuración suele recomen-
darse para clústeres dispersos geográficamente. Es la misma que la Mayoría de nodos y discos,
excepto que el disco testigo es desplazado por un recurso compartido de archivos testigo.
• Sin mayoría: sólo discos Ésta era la configuración estándar de clústeres antes de WS08.
Microsoft ya no la recomienda porque el disco proporciona un solo punto de falla debido a
que es el único testigo de la operación del clúster. Por otra parte, esta configuración puede caer
a un solo nodo antes de que falle el clúster.
Como puede ver, hay varias configuraciones. Debido a que la mayoría crea clústeres de dos
nodos, la configuración de Mayoría de nodos y discos es la recomendada para el quórum. En una
configuración de dos discos, el clúster puede ejecutarse con sólo un nodo disponible, siempre y
cuando el disco testigo esté disponible.
576 Parte V: Asegure Windows Server 2008
NOTA La coniguración de Mayoría de nodos y discos es la misma que la coniguración Sin mayo-
ría: sólo discos cuando se trata de un clúster de dos nodos. Si el disco falla, todo el clúster falla.
Pero proporciona mejor soporte para clúster a medida que agrega nuevos nodos.
Disco de quórum
q
(Q:)
Volumen 1
(servicio
i i 1)
1
Volumen 2
((servicio
servicio
i i 2))
Volumen 3
(servicio
i i 33)
Volumen n
i i n)
(servicio
Leyenda:
Disco dedicado Propietario de Soporte a conmuta-
del sistema disco compartido ción por errores Servicio x: activo Servicio x: pasivo
Además, necesita configurar una red de área local virtual (VLAN, Virtual Local Area Net-
work) que reagrupe los nodos de varios sitios, incluido el WFS. Si no puede construir conexiones
WAN de baja latencia ni una VLAN, incluido cada sitio que hospeda un nodo, entonces no debe
diseñar clústeres de varios sitios.
Cuando se configuran clústeres de varios sitios, necesita utilizar una nueva característica de
WS08: los conjuntos de nodos de mayoría (MNS, Majority Node Sets). Esos conjuntos son nece-
sarios porque el clúster de varios sitios no puede compartir conjuntos de datos como el clúster de
un solo sitio, porque los nodos no están localizados en el mismo lugar físico. Por tanto, el servicio
de clúster debe tener la capacidad de mantener y actualizar los datos de configuración de clúster
PARTE V
en cada unidad de almacenamiento del clúster. Ésta es la función del conjunto de nodos de ma-
yoría (vea la figura 11-9).
Sitio A Sitio B
Quórum Datos de configuración
compartido de clúster
Miembro 1 Miembro 2 Miembro 3 Miembro 4
MNS MNS MNS MNS
Datos de aplicación
Conjunto de nodos
de mayoría
Sitio C
Recurso compartido
de archivos testigo
Pida soporte técnico a su fabricante de hardware. Esto asegurará que sus clústeres de servidor
aprovechen por completo las características de alta disponibilidad y confiabilidad del hardware y
de WS08. Además, debe tomar en cuenta las siguientes consideraciones:
• Clúster de nodo de mayoría WS08 sólo da soporte a clústeres de nodo de mayoría de dos
sitios. La característica de nodo de mayoría de WS08 no administra replicación de datos para
aplicaciones; esta función debe estar disponible dentro de la propia aplicación. Por ejemplo,
Exchange 2007 incluye la capacidad de ejecutar un clúster geográfico. También es importante
tomar nota de que los conjuntos de nodo de mayoría no pueden sobrevivir durante periodos
largos con un solo nodo; necesitan tener la mayoría de los nodos disponibles para seguir ope-
rando. Los clústeres de quórum simple pueden, por otra parte, sobrevivir con uno solo porque
los datos del quórum están almacenados en una sola ubicación.
• Servidores de identidad en clúster No se recomienda unir en clúster controladores de do-
minio debido a la naturaleza de este servicio. Por ejemplo, las funciones de maestro de operacio-
nes flexibles simples no pueden utilizarse para conmutación por error y pueden causar interrup-
ciones de servicio si el nodo host falla. Además, es posible que el controlador de dominio (DC)
esté tan ocupado que no corresponda a las solicitudes del clúster. En esta situación, el clúster
hará fallar el DC porque considerará que ya no está funcionando. No una en clúster DC.
• Almacenes de recursos en clúster Los almacenes de recursos pueden aprovechar los clús-
teres de quórum sencillo y los conjuntos de nodo de mayoría. Pero debido a que es complicado
construir estos últimos y requieren hardware muy especializado, tal vez lo mejor sea que ejecute
los clústeres de quórum sencillo para proporcionar alta disponibilidad para los ofrecimientos
de servicios virtuales que se ejecutan en los servidores hosts. Entonces, si ocurre una falla total
en un sitio, puede poner a funcionar los ofrecimientos de servicios virtuales del sitio secundario
mediante una serie de procedimientos o incluso automatizarlo mediante secuencias de coman-
dos. Todo depende de sus acuerdos de nivel de servicio para fallas totales del sitio.
Éstas no son las únicas consideraciones importantes cuando se crean e instalan clústeres de
servidor, sino que proporcionan una buena referencia y son la base antes de que empiece. Lo
mejor que hay que hacer es determinar dónde serán de más ayuda los clústeres de conmutación
por error. Utilice los detalles de las tablas 11-1 y 11-3 para ayudarse a tomar las decisiones apro-
piadas sobre los clústeres.
Capítulo 11: Construya para la continuidad del negocio 579
NOTA Los miembros de clúster deben pertenecer a un dominio de ADDS. De otra manera, no podrá
construir el clúster.
2. A continuación, instale el servicio WSFC y apague el servidor. Haga esto para cada uno de los
nodos de clúster.
3. Prepare las unidades de almacenamiento compartidas.
4. Arranque el primer nodo para conectar el almacenamiento compartido y asigne etiquetas de
unidad apropiadas. Además, configure las tarjetas de interfaz de red. Una tarjeta vinculará a
los usuarios con el clúster y otra proporcionará tráfico de pulsos para el clúster. Configure cada
uno de manera apropiada. También puede asignarles nombres apropiados: “Pública” para la
NIC pública y “Privada” para la privada. Apague el nodo.
SUGERENCIA Los discos de quórum o testigos a menudo se etiquetan como “Quórum” y los discos
de datos como “DiscoCompartido” en los clústeres de dos nodos. De manera correspondiente, a
la unidad de quórum se le asigna la letra Q: y a los discos de datos compartidos se le asigna la
letra S: (de Shared, compartido). Utilice su juicio para asignar nombres adecuados a los discos de
quórum y compartidos en sus clústeres de varios nodos.
SUGERENCIA Cuando construya un clúster, necesita asignarle un nombre y una dirección IP. El
nombre debe seguir su convención estándar de asignación de nombres de servidor, y la dirección
IP debe ser una dirección estática pública en el formato IPv4 o IPv6.
PARTE V
A continuación, mantenga el primer nodo del clúster en ejecución, y arranque otro nodo.
Utilice los comandos de clúster para agregar este nodo al clúster. Repita para cada nodo de
clúster adicional.
7. Configure los servicios o aplicaciones en el clúster, y asígneles recursos.
Necesita seguir este proceso de cerca; de otra manera, su clúster fallará.
1. Empiece por crear su instalación de Server Core. Utilice los procedimientos delineados en el
capítulo 4 para ello. Únase al dominio que creó para su almacén de recursos. Repita para cada
nodo del clúster.
2. A continuación, instale la característica WSFC. Utilice la siguiente línea de comandos para
ello:
start /w ocsetup FailoverCluster-Core
Se utiliza el comando /w para indicar que empiece a esperar hasta que el proceso esté comple-
to para regresar al indicador. Una vez que se regresa al indicador, puede verificar si la caracte-
rística está instalada o no al utilizar el comando:
oclist
PRECAUCIÓN Asegúrese de que los otros nodos estén apagados en esta etapa. Windows tratará de
contender por los discos compartidos con otras máquinas, si los nodos están conectados a cada
servidor mientras se están ejecutando.
rá que el disco está alienado por sectores, con lo que debe mejorar su rendimiento hasta en
20%.
select partition 1
active
format label=etiquetadisco
donde etiquetadisco es la etiqueta que desea asignar al disco.
assign letter=etiquetadisco
donde etiquetadisco es la letra de la unidad que desea asignar al disco. La letra de la unidad
no debe incluir los dos puntos (por ejemplo, si va a asignar la letra Q, simplemente escriba Q.
exit
Repítalo para cada volumen que necesite conectar.
b) A continuación, configure las tarjetas de interfaz de red. Los coamandos varían si está
usando IPv4 o IPv6. Recuerde que una tarjeta utilizará una dirección pública para comuni-
caciones con los usuarios y otra utilizará una dirección privada para comunicaciones con el
clúster interno. En el caso de IPv4, utilice los mismos comandos presentados en el capítulo
4. Empiece por encontrar el ID de cada interfaz y luego asigne direcciones apropiadas.
Empiece con la tarjeta de interfaz pública:
netsh interface ipv4 show interfaces
netsh interface ipv4 set address name=ID source=static address=direcciónIPE
stática mask=MáscaraSubred gateway=PerutaEnlacePredeterminada
netsh interface ipv4 add dnsserver name= ID address=PrimeraDirecciónIPDNS index=1
netsh interface ipv4 add dnsserver name= ID address=SegundaDirecciónIPDNS index=2
A continuación, configure la NIC privada. Utilice el número de ID descubierto previamente.
netsh interface ipv4 set address name=ID source=static address=direcciónIPE
stática mask=MáscaraSubred
NOTA La NIC privada no usa servidores DNS o una puerta de enlace. Emplee una dirección de un
rango de IPv4 privado para esta NIC.
Si quiere configurar direcciones IPv6, utilice el mismo comando. Empiece por encontrar los
ID de la interfaz y luego asígneles direcciones:
PARTE V
netsh interface ipv6 show interfaces
netsh interface ipv6 set address interface=ID address=DirecciónIPv6
netsh interface ipv6 set dnsserver name=ID source=static address=PrimeraDir
ecciónIPDNS register=both
netsh interface ipv6 set dnsserver name=ID source=static address=SegundaDir
ecciónIPDNS register=both
NOTA Use una dirección de un rango IPv6 privado para la NIC privada.
Repita para cada interfaz pública que quiera configurar.
c) Por último, apague este servidor.
5. Arranque el segundo nodo e inicie sesión con credenciales de administrador de dominio.
582 Parte V: Asegure Windows Server 2008
a) Agregue los discos con letras de unidad apropiadas. Deben ser las mismas que las asigna-
das en el primer nodo. Use los siguientes comandos:
diskpart
list disk
select disk n
select partition 1
assign letter=letradisco
exit
Repita para cada volumen que necesite agregar.
PRECAUCIÓN ¡No formatee de nuevo los discos! Si lo hace, ya no trabajarán con el primer nodo.
b) Configure las NIC.
NOTA Si aún tiene que agregar más nodos, apague éste y repita la operación para cada nodo restan-
te. En el último nodo que agregará, deje el servidor ejecutándose y vaya al siguiente paso.
6. Cree el clúster en el último nodo en ejecución. Esto le ahorrará ahora por lo menos una opera-
ción de arranque. Aquí necesita crear el clúster, asignarle un nombre y su dirección IP, además
de seleccionar el disco de quórum. Utilice el siguiente comando:
cluster /cluster:NombreClúster /create /node:NombreNodo /ipaddr:DirecciónIP
Donde NombreClúster es el nombre de su clúster, NombreNodo es el nombre del equipo (por lo
general en formato de notación corta, como ServidorUno) y DirecciónIP es la dirección IP pú-
blica del clúster en formato IPv4 (xxx.xxx.xxx.xxx/yyy.yyy.yyy.yyy para la subred) o IPv6 (xxxx:
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx).
SUGERENCIA En este punto, ya ha creado su clúster. Puede seguir trabajando con la línea de
comandos para inalizar la coniguración del clúster, pero es muy recomendable que pase a la
máquina virtual de administración y inalice las operaciones desde allí. En la máquina de admi-
nistración, lance la consola Administración de clúster de conmutación por error, haga clic con
el botón derecho en Administración de clúster de conmutación por error en el panel de árbol y
seleccione Administrar un clúster. Escriba el nombre de su clúster, y luego realice todas las opera-
ciones inales con esta consola.
7. Agregue los otros nodos. Arranque cada servidor de uno en uno y agréguelos al clúster. No ne-
cesita iniciar sesión en cada servidor; simplemente agréguelos mediante la consola en el primer
servidor de clúster. Vaya a la sección Nodos del panel de árbol, haga clic con el botón derecho y
seleccione Agregar nodo. Agregue cada uno de los nodos del clúster y recorra el asistente. Puede
elegir que se valide la configuración. Debido a que no puede validar la configuración con la mis-
ma facilidad que mediante la línea de comandos, tal vez sería una buena idea hacerlo allí.
8. A continuación, verifique el disco de quórum. Si no es correcto, cámbielo. Para ello, haga clic
con el botón derecho en el nombre del clúster en el panel del árbol, y seleccione Más acciones
| Configurar opciones de quórum de clúster. La mejor selección es Mayoría de nodos y discos,
a menos que esté construyendo un clúster disperso geográficamente (vea la figura 11-10). Re-
corra el asistente, seleccionando su disco de quórum preparado como disco testigo. Su clúster
está listo para operación.
Capítulo 11: Construya para la continuidad del negocio 583
9. Ahora puede configurar servicios o aplicaciones para que se ejecuten en el clúster. En este
caso en particular, queda ejecutar soporte de individualización. Haga clic con el botón derecho
en el nodo Servicios y aplicaciones, y seleccione Configurar un servicio o aplicación. En este
caso, necesita utilizar un recurso genérico de secuencias de comandos, además de recursos de
disco físicos. La secuencia de comandos genérica administra el apagado y reinicio de los ofre-
cimientos de servicio virtuales, a medida que van de uno al otro. En realidad, esta secuencia de
comandos coloca las máquinas virtuales en estado guardado y las restaura en el otro nodo. El
recurso de disco físico hospeda los VHD que integran sus ofrecimientos de servicios virtuales.
10. Pruebe la conmutación por error de su nuevo servicio de clúster. Para ello, haga clic con el bo-
tón derecho en el recurso de secuencia de comandos genérica y seleccione Conmutación por
error. La secuencia de comandos debe ejecutarse y los recursos deben moverse a otro nodo del
clúster.
El clúster de su Server core está listo
PARTE V
tica WSFC. Use el comando Agregar característica en el Administrador del servidor | sección
Características. Una vez que la operación esté completa, verifique que la característica está
instalada en la misma sección del Administrador del servidor. Repita para cada nodo. Apague
cada nodo cuando haya terminado.
2. Prepare los discos virtuales que se necesitarán para el clúster. Deberá preparar por lo menos
tres volúmenes. Uno pequeño, con casi 1 GB de espacio, es para el quórum o disco testigo. El
otro será un volumen más grande para almacenar archivos de datos. Éste debe ser el mayor
de los tres discos. Si va a ejecutar un servicio, como recursos compartidos de archivos, o bases
de datos, entonces cree un tercer disco para almacenar archivos de registro o instantáneas.
Siempre es mejor asignar de más que tener que cambiar el tamaño de los volúmenes desde el
principio. Repita la creación de los últimos dos volúmenes para cada nodo activo que trate de
tener en el clúster. Conecte cada volumen a cada nodo en el clúster.
3. Arranque el primer nodo del clúster, e inicie sesión credenciales de administrador de dominio.
PRECAUCIÓN Asegúrese de que los otros nodos están apagados en esta etapa. Windows tratará
de contender por los discos compartidos con otras máquinas si los nodos están conectados a cada
servidor mientras se están ejecutando.
NOTA Las credenciales de administrador de dominio son las preferidas, pero puede usar cualquier
otra cuenta que tenga privilegios administrativos locales en todos los nodos del clúster.
NOTA La NIC privada no usa servidores DNS o una puerta de enlace. Utilice una dirección de un
rango de IPv4 o IPv6 para esta NIC.
Sólo se requiere una NIC privada, pero puede ejecutar varias NIC públicas en el clúster. Si
lo hace, configure cada una con una dirección pública.
c) Apague el servidor.
4. Arranque el segundo nodo e inicie sesión con credenciales de administrador de dominio.
a) Agregue los discos con letras de unidad apropiadas. Debe ser la misma que la asignada en
el primer nodo. Primero ponga el disco en línea; luego use el comando Cambiar la letra y
Capítulo 11: Construya para la continuidad del negocio 585
FIGURA 11-11
Inicialización de un disco
con una tabla de partición
de GUID.
rutas de acceso de unidad para asignar la letra apropiada. Repita para cada volumen que
necesite configurar.
PRECAUCIÓN ¡No formatee de nuevo los discos! Si lo hace, ya no trabajarán con el primer nodo.
NOTA Si tiene más nodos que agregar, apague este nodo y repita la operación para cada nodo que
falte. En el último, deje el servidor en ejecución y pase al siguiente paso.
5. Cree el clúster en el último nodo en ejecución. Esto le ahorrará por lo menos una operación
de arranque. Aquí, necesita crear el clúster, asignarle un nombre y su dirección IP, además de
seleccionar el disco de quórum.
a) Utilice menú Iniciar | Herramientas administrativas | Administrador de clústeres de conmu-
tación por error.
b) Haga clic en crear un clúster en el panel de detalles o el de acciones.
c) Use los valores de la tabla 11-4 para ejecutar este asistente.
6. A continuación, agregue los otros nodos. Arranque cada servidor de uno en uno y agréguelos
PARTE V
al clúster. No necesita iniciar sesión en cada servidor; simplemente agréguelos mediante la
consola en el primer servidor de clúster. Vaya a la sección Nodos del panel de árbol, haga clic
con el botón derecho y seleccione Agregar nodo. Agregue cada uno de los nodos del clúster y
recorra el asistente. Puede elegir que se valide la configuración. Si ya validó la configuración
del primer nodo y pasó y realizó apropiadamente todas las actividades de preparación, es
probable que pueda omitir la validación.
7. A continuación, verifique el disco de quórum. Si no es correcto, cámbielo. Para ello, haga
clic con el botón derecho en el nombre del clúster en el panel del árbol, y seleccione Más
acciones|Configurar opciones de quórum de clúster. La mejor selección es Mayoría de nodos
y discos, a menos que esté construyendo un clúster disperso geográficamente. Recorra el asis-
tente, seleccionando su disco de quórum preparado como disco testigo.
586 Parte V: Asegure Windows Server 2008
8. Ahora puede configurar servicios o aplicaciones para que se ejecuten en el clúster. Todos
los servicios y aplicaciones requerirán un recurso de disco físico. Los servicios se configuran
mediante la sección Servicios y aplicaciones del panel de árbol, a través del comando Confi-
gurar un servicio o aplicación. Aplicaciones como Exchange o SQL Server suelen requerir una
instalación real en nodos de clúster una vez que se ha configurado el clúster. Utilice el método
apropiado para configurar el servicio o la aplicación que desee ejecutar en el clúster.
9. Pruebe la conmutación por error para su nuevo servicio o aplicación de clúster. Para ello, haga
clic con el botón derecho en el servicio o la aplicación y seleccione Conmutación por error. Los
recursos deben moverse a otro nodo del clúster.
10. Asegúrese de que documenta la configuración y el objetivo del clúster, porque lo más probable
es que tenga varios clústeres de ofrecimientos de servicios virtuales.
El clúster está listo.
PARTE V
nes anteriores de Windows, pero WS08 también incluye nuevas características que son específi-
cas de este sistema operativo.
Los sistemas de recuperación nunca representan una tarea fácil. La mejor manera de evitar
que se enfrente a la recuperación de un sistema es mediante el uso de una estrategia de protec-
ción en varias capas. Pero si llega a la etapa donde se necesita una operación de recuperación,
debe tener una estrategia detallada para seguir. Como todas las operaciones en la red de ofre-
cimiento de servicios virtuales, las recuperaciones deben planearse. Su estrategia de recupera-
ción debe empezar con la comprensión de las propias capacidades de recuperación del sistema
operativo. A continuación, una vez que esté familiarizado con las herramientas que ofrece el
sistema operativo para ayudar a recuperar los sistemas, puede delinear o ajustar su estrategia de
recuperación. Por último, puede integrar su estrategia de detección y solución de problemas con
la estrategia de recuperación nueva o actualizada.
588 Parte V: Asegure Windows Server 2008
elementos clave: integración con las API de instantánea de volumen para aprovechar esta ca-
racterística, completa recuperación de sistema a partir de medios extraíbles e integración con
los Servicios de dominio de Active Directory.
PARTE V
• Recursos disponibles para realizar recuperación de sistemas.
Además, necesita tener la octava función del servidor (el servidor seguro contra fallas) o un
sitio activo (un sitio separado que es un reflejo de su sitio de producción y que puede tomar el
control en caso de desastre). Como sabe, con los almacenes de recursos, ese sitio secundario es
realmente fácil de configurar.
que está enfrentando se identifica de manera equivocada, puede causar un desastre peor. Esta
estrategia se aplica a almacenes de recursos y a ofrecimientos de servicios virtuales.
En general, las solicitudes de ayuda y los reportes de problema deben abordarse con un
método organizado y científico que trate los errores de sistema como si fueran causales; es decir,
los problemas no sólo suceden: son desviaciones de una norma que tienen causas distintivas e
identificables. El trabajo de un técnico de detección y solución de problemas consiste en deducir
lógicamente las causas de los problemas basados en su conocimiento sobre la manera en que
funciona el sistema. El mejor modo de hacer esto consiste en usar un procedimiento estándar.
Esos pasos delinean un procedimiento de detección y solución de problemas estándar:
1. Documente toda la información apropiada: por ejemplo, la hora, la fecha, el equipo y la infor-
mación del usuario.
2. Documente toda la información relevante que se relacione con el problema. Tome como refe-
rencia la información de operación del sistema base, si es necesario.
3. Cree una descripción de problemas dividida en elementos. Responda a estas preguntas:
a) ¿El problema se puede reproducir de manera confiable o aleatoria?
b) ¿Está relacionado con la hora del día?
c) ¿El problema es específico del usuario?
d) ¿Es específica de la plataforma?
e) ¿Es específico de la versión?
f) ¿Está relacionada con el espacio libre en el disco duro?
g) ¿Está relacionado con el tráfico de red?
h) ¿Qué no lo es?
4. Investigue casos similares en sus bases de datos de detección y solución de problemas inter-
nos. Revise el sistema de ayuda de Windows Server 2008, si está disponible. También revise
bases de datos de detección y solución de problemas externos, como Microsoft TechNet
(http://technet.microsoft.com) y la base de datos de conocimiento de Microsoft (http://
support.microsoft.com). También es una buena idea recurrir a la experiencia de sus compañe-
ros de trabajo.
5. Cree una hipótesis razonable basada en toda la información disponible.
6. Pruebe la hipótesis y documente los resultados.
7. Si la prueba resuelve con éxito el problema, documéntela y cierre el caso. Si no se tiene éxito,
modifique la hipótesis o, si es necesario, cree una nueva hipótesis. Repita el ciclo de hipótesis
y prueba hasta que se resuelva el problema.
Tome nota de que los problemas complejos (más que una relación causa-efecto) tal vez
requieran varias iteraciones del paso 2 al 7.
de seguridad. Por esto es que la estrategia de copias de seguridad es uno de los elementos más
importantes del diseño de resistencia de sistema.
PARTE V
principal: la virtualización. Si configura su infraestructura de manera correcta, la copia de seguri-
dad de estas máquinas será relativamente fácil. Como ya se analizó, la infraestructura ideal para
los servidores hosts es la de un servidor blade conectado a almacenamiento compartido. Esto
proporciona varios niveles de defensa contra la pérdida de datos o el sistema:
• Cada partición puede depender del servicio Instantáneas de volumen o de la herramienta
de instantáneas interna proporcionada con la unidad de almacenamiento para entregar una
primera línea de defensa.
• La segunda línea de defensa es proporcionada por la instantánea de volumen de las máquinas
virtuales localizadas en la unidad de datos.
• Una tercera línea de defensa se proporciona mediante la replicación de DFS de los archivos
que integran cada uno de los ofrecimientos de servicios virtuales.
592 Parte V: Asegure Windows Server 2008
• Una cuarta línea de defensa se proporciona mediante procesos de conmutación por error.
• La última línea de defensa se proporciona mediante copias de seguridad de los discos que
integran cada sistema host.
PRECAUCIÓN Necesita agregar otras particiones del disco a cada servidor host o conectar a una
unidad de red para realizar copias de seguridad mediante copias de seguridad de Windows Server.
Éstas no permiten la grabación en cinta.
Configure sus programas para proteger sistemas de manera regular. Aunque no puede hacer
esto con copias de seguridad de Windows Server, debe realizar copias de seguridad completas
una vez a la semana y seguir con copias diferenciales diarias, si su producto les da soporte. Las
copias de seguridad diferenciales ocupan más espacio que las incrementales, pero son más fáciles
de recuperar porque incluyen todos los cambios a partir de la copia de seguridad completa. En
una situación de recuperación, sólo necesita las copias de seguridad y diferencial más recientes
para restaurar el sistema.
Si decide realizar copias de seguridad del sistema host a partir de copias de seguridad de
Windows Server, entonces utilice la siguiente línea de comandos. Realiza una copia de seguridad
completa del sistema una vez al día a las 6:00 p.m. en una partición de disco.
wbadmin enable backup addtarget:IDDisco Schedule:18:00 user:Nombreusuario
password:Contraseña
Donde IDDisco es el número de disco a respaldar; use el comando DISKPART para identi-
ficar IDDisco. Nombreusuario y Contraseña deben ser de una cuanta de servicio con derechos de
administración local en el servidor.
NOTA Las unidades de destino deben reservarse exclusivamente para propósitos de respaldo porque
toda otra información será borrada.
PARTE V
NOTA La Copia de seguridad de Windows Server no es compatible con NTBackup, la herramienta
de copias de seguridad de versiones anteriores de Windows. Si tiene datos almacenados en una
copia de NTBackup y quiere restaurarla en un servidor WS08, entonces descargue NTBackup de
Microsoft en http://go.microsoft.com/fwlink/?LinkId=82917.
Necesita dar soporte a su estrategia de copias de seguridad con una solución de almacena-
miento remota, además de almacenado de medios fuera del sitio. Recuerde que necesitará una
herramienta de copia de seguridad de terceros si quiere crearlas en cinta. Es necesario que se ase-
gure de contar con un espacio de almacenamiento seguro, fuera del sitio para multimedia. Debe
rotar los medios fuera del sitio de manera regular. Por ejemplo, cada tercera copia de seguridad
completa debe almacenarse fuera de sitio en un entorno controlado.
594 Parte V: Asegure Windows Server 2008
Un programa común depende de una estrategia de retención de cuatro semanas. Eso signi-
fica que retiene un medio de copia de seguridad por un periodo de cuatro semanas. Si mantiene
una segunda copia fuera del sitio, siempre estará a una semana del desastre completo. Además,
su programa de archivado determinará cuáles copias debe mantener fuera de sitio de manera
permanente.
NOTA Si está usando DFSR para replicar todo los ofrecimientos de servicios virtuales en un sitio
remoto, tal vez no necesite esta directiva determinada, porque ya tiene copias fuera de sitio de
todas las máquinas virtuales, e Hyper-V de Windows Server le permite montar VHD en un modo
fuera de línea, permitiéndole recuperar cualquier archivo de datos que necesite a partir de una
unidad de disco duro virtual montada.
y usarlos para poner en funcionamiento o restaurar DC. Cuanto más recientes sean los medios,
menor replicación se necesitará. Las recuperaciones de este tipo no son demasiado complejas.
Para llevarlas a cabo, se supone que los datos dentro de otra réplica de la base de datos del di-
rectorio están autorizadas (son datos válidos). También significa que no habrá datos que no sean
críticos o que no estén replicados dentro del DC que ha dejado de funcionar.
Surgen problemas cuando hay datos críticos dentro de un DC que ha dejado de funcionar,
datos que no se encuentran dentro de otras réplicas, o cuando ocurre un error y los datos dentro
del directorio están dañados y deben restaurarse. En este caso, debe realizar una restauración
autorizada. Aquí es donde empieza a encontrar las limitaciones de las copias de seguridad de
Windows Server.
Los Servicios de dominio de Active Directory administran la replicación de directorios me-
diante el número de secuencia de actualización (USN, Update Sequence Number). USN puede
considerarse como un contador de cambios y representa el número de modificaciones en un
controlador de dominio desde la última replicación. Los valores de objetos y propiedades que
tienen el USN más elevado se replican en otros controladores de dominio y reemplazan los valo-
res que están en las copias de la base de datos del directorio localizada en el DC de destino. Los
USN también se usan para administrar conflictos de replicación. Si dos controladores de dominio
tienen el mismo USN, entonces una estampa de tiempo se utiliza para determinar el cambio más
reciente. Cuando realiza una restauración de ADDS normal, los datos que se restauran a partir
de la copia de seguridad se actualizan de acuerdo con la información en otros controladores de
dominio; en realidad, se sobrescribe si el USN para los datos en otros DC es más elevado que el
de los datos en el DC restaurado.
Cuando necesite restaurar datos de un DC que ha dejado de funcionar y que incluye datos
críticos (que no se encuentran en la versión actual del directorio, como en el caso en que alguien
eliminó una OU completa y esto se ha replicado en todos los DC), necesita realizar una restaura-
ción autorizada. En ésta, la información que recuperará de la copia de seguridad tomará prece-
dencia sobre la información en el directorio, aunque los USN tengan un valor menor.
Para realizar una restauración autorizada, debe empezar con una normal. Luego, una vez
que los datos sean restaurados y que el controlador de dominio aún esté sin conexión, utilice la
herramienta NTDSUTIL para que la restauración sea autorizada. Ésta puede incluir todos o sólo
una parte de los datos de los Servicios de dominio de Active Directory restaurados.
Como puede ver, restaurar la información que puede eliminarse por el error de un solo
operador puede ser algo muy complejo. Ésta es una de las razones clave por las que consideraría
usar una tecnología de copia de seguridad más completa, que esté especialmente diseñada para
PARTE V
integrar y dar soporte a todas las características de Windows Server 2008.
SUGERENCIA Cuando elimina un objeto en ADDS, se mueve al contenedor de archivo muerto (un
contenedor especial del sistema al que normalmente no tiene acceso). Por lo general, se conserva
en este espacio por el periodo deinido como muerto, que puede ir de 60 días a mucho más tiempo,
dependiendo de su coniguración. Desafortunadamente, las herramientas predeterminadas de
WS08 no le dan acceso a estos datos de archivo muerto. Sin embargo, puede depender de utilerías
gratuitas de terceros para abrir el contenedor y restaurar la información que contiene. Resulta
mucho más fácil que realizar una restauración a partir de una copia de seguridad, sea autoriza-
da o no. Quest Software ofrece una copia de Object Restore for Active Directory en www.quest.
com/object-restore-for-active-directory. Utilícela. Vale su peso en oro, y cuando se combina con la
596 Parte V: Asegure Windows Server 2008
protección automática ante la eliminación de objetos de WS08, puede proporcionar una estrategia
poderosa de restauración para ADDS.
Debido a esto, tal vez necesite una herramienta que no sólo realice conversiones de física
a virtual, sino también de virtual a física. Entonces, tal vez la mejor estrategia que puede usar-
se sea combinar los requisitos de copia de seguridad y restauración con los de conversiones de
máquina. Lo ideal es que pueda usar una herramienta que cree copia de seguridad de cualquier
máquina (física o virtual) y luego almacene esta copia en una ubicación central. En este caso, las
copias de seguridad de imagen de disco a menudo son las mejores. Cuando llegue el momento
de restaurar la máquina, entonces puede mover la imagen de esta ubicación de copia de segu-
ridad central a cualquier destino posible, una vez más físico o virtual. La característica clave que
necesita identificar es la capacidad de actualizar los controladores de sistema operativo cuando
se ejecuta el proceso de restauración. Muchas de estas herramientas podrán señalar a un alma-
cén central de controladores para obtenerlos antes de seguir adelante, y luego inyectarlos en la
imagen a medida que se van restaurando (vea la figura 11-12). A partir de aquí, esta herramienta
pasará a dar soporte a copias de seguridad, restauraciones y conversiones de cualquier máquina,
esté en el almacén de recursos o en los ofrecimientos de servicios virtuales.
Capítulo 11: Construya para la continuidad del negocio 597
\\nombreservidor\controladores
Obtiene e inyecta
controladores
Máquina virtual
Conversión
Copia de
Copia de
seguridad
seguridad
Restauración
Conversión/
Copia de Diferente hardware
seguridad de máquina física
Depósito
Servidor de datos
físico original (estado intermedio)
Máquina virtual
(XenSource, VMware, Microsoft)
FIGURA 11-12 Uso de una herramienta que combina la copia de seguridad con conversiones de física a
virtual y de virtual a física.
PARTE V
regular. Demasiadas organizaciones han realizado copias de seguridad durante periodos extensos
y han cometido el error fatal de no probarlas nunca o probarlas sólo en la fase de implementa-
ción de la solución y descontinuar las pruebas después de ellas. ¡No cometa ese error!
La resistencia es la esencia de cualquier red. También es la etapa de preparación final de la red
paralela. Ahora su red está lista para proporcionar servicios completos a su organización. Dos elemen-
tos clave que aún se tienen que cubrir antes de que la red paralela esté completamente operacional:
• La migración de usuarios y datos a la red paralela, además de la eliminación de la comisión de
la red heredada.
• La modificación de las funciones operativas dentro de su organización de tecnología de infor-
mación para cubrir nuevas actividades administrativas integradas para la nueva red.
Ambos elementos se cubren en el siguiente capítulo.
VI
PARTE
Migre a Windows CAPÍTULO 12
Lleve la red de
E
n esta sección se aborda el desplazamiento de la nueva in-
fraestructura de Windows Server 2008 que preparó en la red
paralela para ofrecimientos de servicios virtuales. Todos los
sistemas están listos, y ahora necesita mover todo el contenido de
la red heredada a la nueva red paralela. Esto significa realizar la mi-
gración real, además de preparar a su personal de soporte técnico y
operativo para trabajar en el nuevo entorno.
12
CAPÍTULO
Lleve la red de ofrecimiento
de servicios virtuales a producción
Y
a se han hecho los preparativos técnicos finales para la red paralela de ofrecimiento de
servicios virtuales. Está casi listo para ir en línea. Ahora necesita migrar todos los usuarios,
las PC, los datos y los servicios a la red paralela y quitar la comisión del entorno heredado.
Es al final de esta operación que habrá completado su migración a Windows Server 2008 (WS08).
Entonces pasará a la operación de la nueva red. Es en esa etapa que descubrirá que hay cambios
en la manera en que habrá de administrar y operar una red nativa de WS08.
A medida que realizaba todas las operaciones delineadas en los capítulos anteriores, observó
que se han modificado varias tareas tradicionales de tecnología de la información y que se han agre-
gado nuevas tareas a la rotación operativa. Mientras se preparaba para colocar la red paralela en lí-
nea y completar la migración de usuarios de la red heredada, se dio cuenta de que hay una actividad
final que debe realizar. Se trata de la revisión de las funciones administrativas y operativas dentro de
su red empresarial. Una vez que se haya hecho esta revisión, su red estará lista para debutar.
Estos cambios se analizarán aquí. En el capítulo 13 se le llevará a echar un vistazo de cerca a la
administración de las redes de Windows Server 2008, delineando tareas específicas y la manera de
realizarlas. Pero antes de llegar allí, necesita llenar su red nueva de ofrecimientos de servicios virtuales.
601
602 Parte VI: Migre a Windows Server 2008
Puesta en
funcionamiento
del servidor
A medida que se ponen en Se vuelven a comisionar los
línea servicios esenciales, se servidores a medida que se agregan
desconectan servidores servidores hosts y nuevas máquinas
específicos virtuales
Almacén de migración
Los servidores se reconstruyen
como hosts (si es aplicable)
Se quita la comisión de la red heredada cuando todas las PC, todos los usuarios y
todos los servicios de red hayan migrado a la red de Windows Server 2008.
• Vuelva a comisionar cualquier cosa que esté basada en hardware x64. Lo ideal es que esto esté
montado en racks o, aún mejor, en servidores blade que pueda conectar fácilmente a almace-
namiento compartido. La consideración más importante al volver a comisionar servidores x64
como servidores host es la naturaleza del procesador o los procesadores que contiene. Para
obtener beneficios de la virtualización de x64, los procesadores deben ser compatibles con
Intel VT o AMD-V, que ofrecen soporte integrado a virtualización.
• Vuelva a comisionar cualquier cosa que sea una adquisición reciente. Aunque vuelva a comi-
sionar algunos sistemas de 32 bits, aún puede ejecutar los servicios de host de virtualización
en ellos. Sólo tiene que ejecutar Microsoft Virtual Server (www.microsoft.com/windowsserver-
system/virtualserver) en lugar de Windows Server Hyper-V. Y tiene que asegurarse de hacerlo
así en una instalación completa de WS08, no de Server Core, porque Virtual Server requiere
componentes de Internet Information Services (IIS) que no están disponibles en Server Core.
Utilice estos sistemas para cargas de trabajo virtuales de prioridad inferior en producción. Aún
mejor, muévalos para ejecutar entornos de prueba o desarrollo en sus laboratorios. Tome en
cuenta que si despliega Virtual Server mediante el administrador de máquinas virtuales del
centro del sistema, no necesitará IIS.
• Adquiera nuevo hardware cuando sea posible. Si tiene un programa de arrendamiento, tal
vez pueda intercambiar sus sistemas de 32 bits por nuevos sistemas de 64 bits, sobre todo los
sistemas de servidor en un solo gabinete que necesita para oficinas remotas.
SUGERENCIA Por ejemplo, el fabricante de gabinetes Kell Systems ofrece pequeños gabinetes para
servidor portátiles que son ideales para el concepto de servidor integrado. Descubra más al respec-
to en www.kellsystems.com.
• Asegúrese de deshacerse de sus servidores no usados de una manera apropiada. Varias or-
ganizaciones comerciales se dedican al negocio de desechar servidores de manera ecológica.
Búsquelos en Internet.
• Si puede, canibalice los sistemas que ya no retendrá para recuperar artículos como tarjetas de
memoria de acceso directo (RAM, Random Access Memory), tarjetas de red y discos duros.
Agréguelos a su almacén de recursos.
• Si puede, vuelva a comisionar algunos de los servidores de 32 bits más poderosos como esta-
ciones de trabajo para desarrollo o administración.
• Asegúrese de que todo el hardware que retiene será parte de un bosque de un solo dominio
de los Servicios de dominio de Active Directory (ADDS, Active Directory Domain Services) del
almacén de recursos, para asegurar una seguridad más fuerte entre los almacenes de recursos
y los ofrecimientos de servicios virtuales.
• Asegúrese de que elimina por completo la información y los datos en todos los discos existen-
tes de cualquier sistema que deje de comisionar. No querrá que alguien reconstruya los datos
en una unidad de disco porque no se borraron adecuadamente.
SUGERENCIA Hay algunas herramientas muy buenas para borrado de discos en el mercado. Sólo
PARTE VI
Este proceso tomará algún tiempo, pero encontrará que es más sencillo y maleable que nun-
ca para la administración de recursos.
604 Parte VI: Migre a Windows Server 2008
SUGERENCIA Recuerde que si sus servidores host son blades y están conectados a almacenamiento
compartido, en realidad puede depender de copias de las unidades lógicas que integran la parti-
ción de sistema para proporcionar nuevos servidores host. Esto es más rápido y fácil que usar una
herramienta de implementación real.
SUGERENCIA Para conocer más acerca de la migración de Microsoft Exchange Server, busque
MCITP Self-Paced Training Kit (Exam 70.238): Deploying Messaging Solutions con Micro-
soft® Exchange Server 2007, por Ruest y Ruest, publicado por MS Press.
SUGERENCIA Si necesita migrar PC, le recomendamos que descargue el libro electrónico gratuito The
Definitive Guide to Vista Migration, que se encuentra en www.realtime-nexus.com/dgvm.htm.
Proporciona una gran cantidad de información que también puede ayudarle a la migración de sus
servidores.
SUGERENCIA Recuerde que, debido a que los ofrecimientos de servicios virtuales se ejecutan en
máquinas virtuales, en realidad no necesita una herramienta como WDS para proporcionarlos,
porque todo lo que necesita es copiar los archivos que integran las máquinas de origen para crear
606 Parte VI: Migre a Windows Server 2008
uno nuevo. Además, consulte el webcast Application Virtualization: Ending DLL hell once and
for all (virtualización de aplicaciones: termine con la pesadilla de los DLL de una vez y para siem-
pre) en www.bitpipe.com/detail/RES/1193672482_325.html.
• Servidores Web dedicados Si está utilizando servidores Web de un solo propósito, enton-
ces los servidores Web dedicados pueden ser lo siguiente, porque IIS 7 proporciona com-
patibilidad hacia atrás para aplicaciones Web. Asegúrese de probar por completo todas las
aplicaciones antes de ponerlas en producción. Hay modificaciones serias en IIS 7 que pueden
afectar la operación de la aplicación. Al igual que con los servidores de infraestructura de red,
no se requiere un cliente especial para operar con IIS.
• Servidores de aplicaciones Los servidores IIS propósito general de igual forma logran mi-
grarse al mismo tiempo que los servidores Web dedicados, por la misma razón. Los servidores de
base de datos también pueden migrarse porque, una vez más, operarán con clientes existentes.
Los servidores de aplicaciones corporativos asimismo pueden integrarse porque operarán con
clientes existentes. Recuerde probar cada componente antes de ofrecerlo a los usuarios finales.
• Terminal Services Los servidores Terminal Services (TS) de WS08 operan mediante co-
nexiones Web de escritorio remoto mediante Acceso Web TS. Los clientes necesitan estar
ejecutando la última versión del cliente de escritorio remoto (RDC, Remote Desktop Client).
Si quiere publicar aplicaciones que aprovechen RemoteApps y que quiera hacer disponibles
para las PC existentes, asegúrese de implementar el RDC más reciente en cada PC.
SUGERENCIA Tal vez no necesite trabajar con Terminal Services, si ha decidido moverse a la vir-
tualización de aplicaciones. Le sugerimos que eche un vistazo a este modelo operativo, porque es
menos costoso y más eicaz que ejecutar aplicaciones remotas mediante Terminal Services. Para
Dominio Dominio
de utilería Sobrante Sobrante de utilería
DC/DNS DC/DNS
SAN
Discos virtuales
Almacén de recursos
Capítulo 12: Lleve la red de ofrecimiento de servicios virtuales a producción 607
SAN
Sitio de oficina
remota/sucursal
(servidor integrado)
Dominio Dominio
de utilería Sobrante Sobrante de utilería
DC/DNS DC/DNS Dominio de utilería
de conmutación
Función Hyper-V Función Hyper-V Función Hyper-V Función Hyper-V por error
DC/DNS
conocer más información, consulte el capítulo 6 de The Definitive Guide to Vista Migration en
www.realtime-nexus.com/dgvm.htm.
PRECAUCIÓN Tenga en cuenta que puede y debe buscar el reemplazo de los servicios de archivos
con servicios de colaboración basados en Windows SharePoint Services (WSS). Éstos proporcio-
nan un entorno más rico para la colaboración que los servidores de archivo.
• Servicios de colaboración Estos servicios deben mantenerse hasta el final, porque son la base
de la evolución del servicio de red. Los servicios de colaboración de WS08 extienden las capaci-
dades de su red. Como tales, requieren las capacidades completas de la nueva red. Podría tomar
en cuenta su uso, sobre todo de la función WSS, en lugar de trabajar con servidores de archivos,
reemplazando por completo los servidores de archivos orientados a usuarios con servidores WSS.
Recuerde crear primero su estructura de unidad organizativa (OU, Organizational Unit) y los
servidores de etapa previa en el directorio. Luego cree el kernel del servidor y siga con el proce-
so de activación de la función de servidor. Entonces, y sólo entonces, podrá migrar los datos y
usuarios a la nueva red.
(los localizados en la red heredada y los que ya migraron a la nueva red) tengan acceso a
recursos compartidos para que puedan seguir trabajando juntos durante el tiempo que dure la
migración. Este método debe extenderse a todos los usuarios de carpetas compartidas, porque
deben compartir recursos durante el tiempo que dure la migración.
• Migración de cuentas de usuario A continuación, debe migrar las cuentas de usuario de la
red heredada al nuevo entorno. Los usuarios deben tener autoridad para modificar su propia
información personal mediante el uso de una página Web de modificación de datos de usuario,
como se analizó en el capítulo 7, para que puedan capturar cualquier error en los datos. La Herra-
mienta de migración para Active Directory (ADMT, Active Directory Migration Tool), disponible
en Microsoft, será de gran ayuda aquí, porque migra las cuentas de usuario, las contraseñas, los
grupos y las membresías de grupo, las cuentas de servicio y las cuentas de equipos y más.
NOTA Ésta es una excelente oportunidad para limpiar su base de datos de directorio heredada mien-
tras se importa en el nuevo dominio de producción.
NOTA Una vez más, busque The Definitive Guide for Vista Migration para conocer más informa-
ción sobre el tema.
la red heredada. Éste será el paso que identifican cuando la migración está completa.
Una vez que estos pasos se hayan completado, su migración finalizará y estará listo para
pasar a la administración y optimización de su red (vea la figura 12-5).
610 Parte VI: Migre a Windows Server 2008
Confianza
Grupo bidireccional
Grupo local
global
Anidado de grupos
Directorio heredado Grupo
global
Grupo
local
Confianza
bidireccional
Directorio heredado
Migración de
datos de usuario
Confianza
bidireccional
Migración de PC
Otros sistemas Windows Vista
Puesta en
operativos
funcionamiento
Directorio heredado de PC
Dejar de comisionar directorio heredado
A Eliminar anidado de grupo
B Eliminar confianza de dos vías
C Dejar de comisionar directorio
heredado
Confianza
bidireccional
Directorio heredado
FIGURA 12-5 Proceso de migración de las cuentas de usuario, los datos y las PC.
NOTA El uso de una herramienta de migración comercial evita muchos de los problemas, porque
toma todas las situaciones en cuenta.
Capítulo 12: Lleve la red de ofrecimiento de servicios virtuales a producción 611
PRECAUCIÓN Asegúrese de que sus nuevos servidores virtuales pueden comunicarse con los
dominios heredados de origen antes de seguir adelante con esta operación. Esto podría signiicar el
cambio de las propiedades de sus conexiones de protocolo de Internet (IP, Internet Protocol) para
incluir servidores de sistema de nombres de dominio (DNS, Domain Name System) adicionales.
También debe hacer ping con el dominio heredado antes de empezar la operación, para asegurarse
que los nombres se resuelvan de manera apropiada.
Las confianzas se crean en la consola Dominios y confianzas de Active Directory. Utilice los
pasos siguientes:
1. Realice esta operación desde la red paralela. Inicie sesión con credenciales de administración
de dominio. Asegúrese de que tiene el mismo nivel de credenciales en los dominios de origen.
2. Lance menú Iniciar|Herramientas administrativas|Dominios y confianzas de Active Directory.
3. Expanda el bosque en el panel de árbol hasta ver el dominio de producción secundario global,
y haga clic en el nombre del dominio para elegir propiedades.
4. Vaya a la ficha Confía.
5. Haga clic en Nueva confianza.
6. En el Asistente para nueva confianza, haga clic en Siguiente.
7. Puede crear confianzas entre dominios, bosques o reinos de Kerberos V5 (UNIX o Linux). En
este caso, necesitará una confianza de dominio a dominio. Escriba el nombre del dominio de
origen y haga clic en Siguiente.
8. El sistema buscará el dominio y luego producirá la página de creación de confianzas apropia-
da. Seleccione Bidireccional y haga clic en Siguiente (vea la figura 12-6).
NOTA Deberá utilizar una conianza bidireccional para asegurar que las operaciones funcionan
durante la migración y que los usuarios pueden acceder a los recursos que han migrado, además
de los que faltan aún por migrar.
Para una migración, es mejor usar autentificación del lado del dominio (vea la figura 12-7).
Haga clic en Siguiente. Repita para el dominio de origen.
12. Revise sus elecciones y haga clic en Siguiente para crear la confianza.
13. Una vez que se haya creado la confianza, haga clic en Siguiente para configurarla.
612 Parte VI: Migre a Windows Server 2008
14. Seleccione Sí, confirme la confianza de salida y haga clic en Siguiente. Seleccione Sí, confirme
la confianza de entrada y haga clic en Siguiente.
15. Haga clic en Finalizar tras la confirmación de su relación de confianza. Se desplegará un cuadro
de diálogo de advertencia acerca de habilitar el historial de SID (vea la figura 12-8). Haga clic
en Aceptar. No seleccione la casilla de verificación No mostrar este cuadro de diálogo de nuevo,
porque es útil para tener un recordatorio acerca de habilitar el historial de SID cuando haya
terminado. Haga clic en Aceptar una vez más para cerrar el cuadro de diálogo Propiedades.
Repita esta operación en cada dominio de origen que necesite vincular. Tome nota de cada
confianza que aplique, porque necesitará eliminarlas una vez que haya completado la migración.
PARTE VI
Dominio Permisos de
Grupo Local directorio
Permisos de
Cuentas Grupo global Grupo Local extremo
Acceso de bosque
Grupo universal
Usado para acceso a
todo el bosque
Acceso a dominio
Dominio Permisos de
Grupo Local directorio
Permisos de
Cuentas Grupo global Grupo Local extremo
Repita para cada grupo al que necesite otorgar acceso. También puede usar el comando DS
para realizar esta operación mediante una secuencia de comandos. En este caso, necesitará los
comandos DSADD y DSMOD.
En el caso de otros recursos, necesitará utilizar grupos locales de servidores miembros para
otorgar acceso a recursos. Ahora está listo para mover el contenido de un dominio al otro.
NOTA ADMT puede ejecutarse en modo de prueba. La elección de este modo le permite probar los
resultados de la migración antes de realizar en realidad esta operación. Simplemente seleccione ¿Pro-
bar la coniguración de migración y migrar más adelante? cuando utilice uno de los asistentes.
Esto le pedirá una contraseña que no se desplegará en la pantalla. Considere que Domi-
nioOrigen es el nombre del dominio de origen y ArchivoClave es el nombre del archivo que se
generará. Coloque el archivo en un recurso compartido de archivos muy seguro en un dispositivo
de bus serial universal (USB, Universal Serial Bus) para asegurarlo.
616 Parte VI: Migre a Windows Server 2008
También debe crear una cuenta de servicio en el dominio de destino. Esa cuenta necesita de-
rechos de administración de dominio. Asegúrese de otorgar a esta cuenta derechos de adminis-
tración locales en el DC de destino. Esta cuenta se utilizará para ejecutar el servicio de migración
de contraseñas.
En el DC de origen, localice el archivo de instalación de PES. Estará bajo %SYSTEMROOT%\
ADMT\PES y se llama PWDMIG.MSI. Haga doble clic en él para lanzar la instalación. Especifique
la cuenta bajo la que se ejecutará, señale su archivo de clave de cifrado y proporcione la contrase-
ña para desbloquearla y completar la instalación.
Una vez que el servicio esté instalado, necesita iniciarlo. Vaya a la consola Servicios, localice
el servicio Servidor de exportación de contraseñas e inícielo. Es una buena idea dejarlo en inicio
manual porque de esta manera puede iniciarlo sólo cuando lo necesite. Deténgalo de nuevo una
vez que haya realizado la migración de las contraseñas.
NOTA Los informes deben generarse antes de que pueda verlos. Muchos informes se generan a
partir de la información que se recolecta de equipos de toda su red. Esto afectará su rendimiento;
por tanto, tal vez decida utilizar servidores dedicados para esta función. Además, los informes no
son dinámicos; son informes de puntos en el tiempo y deben volverse a generar para obtener una
imagen actualizada.
El último método puede ser su mejor apuesta, porque el ADMT le permitirá controlar la
manera en que se tratan las cuentas después de la migración. En realidad, puede asegurar que
ninguna cuenta se active hasta que realice una operación de limpieza en las cuentas recién mi-
gradas.
Capítulo 12: Lleve la red de ofrecimiento de servicios virtuales a producción 617
PRECAUCIÓN Se recomienda activar el acceso heredado sólo durante el tiempo que dure la opera-
ción de migración y desactivarlo en cuanto la operación esté completa, debido a sus posibles ries-
gos de seguridad. Esto signiica que debe activarlo, realizar una migración de usuarios o grupos y
luego desactivarlo. No lo active durante la migración del dominio porque esto puede durar mucho
PARTE VI
Hay otros prerrequisitos que debe tomar en cuenta antes de realizar una migración (como el
nivel de service pack en las máquinas de dominio de origen). ADMT también requerirá algunos
618 Parte VI: Migre a Windows Server 2008
parámetros adicionales, pero puede realizar automáticamente las modificaciones durante una
operación de migración.
Puede utilizar ADMT para realizar casi todas las operaciones identificadas previamente para
dar soporte a su migración de red, incluidas:
• Crear un informe de objetos de dominio de origen para fines de filtrado.
• Migrar cuentas de usuarios, grupos y cuentas de equipo (si el sistema ya está ejecutando Win-
dows Vista o, por lo menos, Windows XP).
• Realizar traducciones de seguridad para dar a los usuarios acceso a sus datos.
La única operación que no maneja es la migración de los datos de usuario que están almace-
nados en recursos compartidos de red. Como ya se mencionó, es importante migrar los datos de
usuario antes de que realicen traducciones de seguridad.
usuario haya iniciado sesión por lo menos una vez en ellas. Ya no basta con mover los archivos
de la carpeta de inicio del usuario de un servidor a otro, porque la carpeta de destino del usuario
sólo se creará más adelante. Debido a esto, debe idear una estrategia de migración de datos de
usuario personales. Hay tres posibilidades:
• En primer lugar, puede pedir a todos los usuarios que muevan todos sus archivos del directorio de
inicio a su carpeta Documentos, en su escritorio. Luego, cuando migren a la nueva red e inicien
sesión por primera vez, el contenido de sus carpetas Documentos se moverá automáticamente a
la nueva carpeta compartida gracias a la directiva de grupo de redireccionamiento de carpetas.
• En segundo lugar, puede migrar los datos a una carpeta contenedora y, mediante una secuen-
cia de comandos especial de inicio de sesión de un solo uso, mover los archivos a la carpeta
redireccionada recién creada del usuario, una vez que éste haya iniciado sesión y que se haya
aplicado la directiva del grupo.
• En tercer lugar, si necesita poner en funcionamiento PC porque no están ejecutando Windows
Vista, puede agregar operaciones al proceso de migración de perfil, porque se requerirá en todos
los sistemas. La operación que necesita agregar es similar al primer método: la secuencia de co-
mandos es un proceso que toma todos los datos del directorio de inicio del usuario y los copia en
la carpeta Documentos antes de realizar la migración del perfil. Los datos se redireccionarán auto-
máticamente en cada primer inicio de sesión del usuario en la nueva red, y se aplicará el GPO.
De estas tres estrategias, la primera y la tercera son las mejores. La primera es relativamente
simple, pero tiene una falla: debe depender de operaciones que están fuera de su control para
que se complete el proceso. No funcionará a menos que tenga una base de usuarios bien entre-
nada y que les proporcione excelentes instrucciones. La tercera funciona cuando deben ponerse
en funcionamiento las PC de los usuarios.
Por último, tal vez necesite migrar perfiles de usuario de roaming si estuvieron en uso en la
red heredada. Recuerde que la nueva red no utilizará perfiles de roaming, sino que dependerá del
redireccionamiento o, por lo menos, utilizará una combinación de ambos. Para migrar perfiles de
roaming, simplemente desactive la característica en la red heredada (sólo en el caso de usuarios
que están destinados a migración). El perfil regresará a la máquina local. Si la máquina ya está
ejecutando Windows Vista, el perfil se transformará automáticamente al redireccionamiento de
carpeta cuando la máquina se una al nuevo dominio y el usuario inicie sesión, porque los GPO
activarán el redireccionamiento de carpetas. Si es necesario poner en funcionamiento la máqui-
na, el perfil se capturará mediante el proceso de puesta en funcionamiento.
Para la migración real de archivos del dominio de origen al de destino, consulte “Migre ser-
vidores de archivos”, en páginas posteriores de este capítulo.
Es posible migrar las bases de datos de versiones anteriores de Windows Server que ejecutan
servicios como DHCP y WINS si ha decidido usar este último en la nueva red. Si está comple-
tamente feliz con su servicio DHCP existente, simplemente mueva la base de datos DHCP del
servidor de origen a los nuevos servidores virtuales que se ejecutan en la red de ofrecimientos de
servicios virtuales.
SUGERENCIA Recomendamos que se mueva a las zonas de nombre global de DNS en lugar de utilizar
WINS, si es posible en su red. Resulta más simple trabajar en estas zonas y obtendrá beneicios de to-
das las poderosas características de DNS, en lugar de depender de un servicio heredado como WINS.
Sin embargo, debe tener en cuenta que hay varios cambios a DHCP en Windows Server
2008, que no garantizan la migración de su base de datos existente. Por ejemplo:
• Windows Server 2008 da soporte a DHCPv6, que funcionará con direcciones IPv6. Sus ser-
vidores DHCP anteriores no tienen esta capacidad, y será necesario que vuelva a crear los
ámbitos de DHCP para estos datos.
• Windows Server 2008 también cambia la naturaleza del ámbito local, porque necesita asignar
servidores DNS a cada ámbito local que también incluya un controlador de dominio. DNS
está hospedado ahora en cada controlador de dominio; por tanto, los usuarios de sitios remo-
tos dependerán de su controlador de dominio local para resolución de nombres de DNS. Cada
ámbito local recuperado necesitará actualizarse con esta información.
• Tal vez quiera actualizar sus ámbitos y empezar a utilizar nuevas características, como super-
ámbitos, para simplificar más la administración de ámbitos.
Por estas razones, puede ser más fácil simplemente crear nuevos ámbitos en su red de ofre-
cimientos de servicios virtuales. Pero si decide recuperar ámbitos existentes, necesitará utilizar el
siguiente procedimiento. Recuerde depender de la regla 80-20 en sus nuevos servidores.
1. Exporte la configuración del servidor DHCP de los servidores de origen.
2. Cree un archivo de exportación para cada ámbito.
3. Importe los ámbitos en los servidores de destino.
4. Deshabilite los ámbitos en el servidor de origen.
5. Habilite los ámbitos en los nuevos servidores.
Luego debe modificar los ámbitos para que cumplan con los requisitos generados por la
nueva red de ofrecimientos de servicios virtuales.
Otro contenido que puede migrar en la categoría del servidor de infraestructura de red es la
imagen que utiliza en los servicios de implementación de Windows. Simplemente cree nuevos
servidores WDS, asegúrelos de manera apropiada y luego copie las imágenes de los servidores
antiguos a los nuevos.
Por último, cuando se trata de los servicios de actualización de Windows Server, lo único que
realmente necesita recuperar es la lista de actualizaciones aprobadas. WSUS rastreará automá-
ticamente todas las PC y los servidores para determinar cuáles actualizaciones se han aplicado.
De modo que en realidad no es necesaria la recuperación del inventario. La mejor manera de
efectuar esta migración consiste en instalar simplemente una nueva versión de WSUS en la
nueva red de ofrecimientos de servicios virtuales, rastrear todos los sistemas y asegurarse que ha
capturado la lista aprobada de actualizaciones de la red heredada.
Capítulo 12: Lleve la red de ofrecimiento de servicios virtuales a producción 621
la industria tuvo la sensación de que si se necesitaban más servicios de Windows, era más fácil
simplemente agregar una nueva caja a la red que tratar de obtener varios servicios que cohabita-
ran en el mismo servidor. Bueno, Microsoft ha recorrido un largo trecho para ayudar a echar por
tierra este mito, no sólo al proporcionar información valiosa sobre la manera en que se deben
622 Parte VI: Migre a Windows Server 2008
escalar los servidores, sino también al hacer el código de Windows más rápido y robusto. Hoy en
día, Windows Server 2008 puede ejecutar fácilmente varios miles de impresoras en una máquina
o almacenar terabytes de información en un solo clúster. Por esto es que muchas organizaciones
consideran seriamente la consolidación de servidores cuando se trata de la migración de servicios
de impresión y archivos. No está de más mencionar que cuantas más cajas tenga, más complejo
será su manejo y, sobre todo, su corrección.
La migración del almacenamiento distribuido en redes heredadas a una nueva estructura de
discos y carpetas compartidas debe dar soporte a varias actividades (consulte la tabla 12-1). Por
ejemplo, debe reasignar automáticamente los derechos de seguridad apropiados dentro de la red
de destino para que los usuarios sigan teniendo acceso a sus datos. Lo ideal es que la herramien-
ta de migración de archivos que utilice dé soporte al acceso paralelo a los servidores de origen y
destino hasta que la migración esté completa o que proporcione un método de corte para avisar
a los usuarios que se están migrando sus archivos. También debe dar soporte a la verificación y
modificación de las listas de control de acceso (ACL, Access Control List) en la red de destino,
para eliminar los permisos heredados a los archivos. En el caso de una migración, esto significa
que la herramienta dará soporte al historial de SID, porque las cuentas de usuario adquieren
nuevos SID cuando se mueven de un dominio heredado a un nuevo directorio. Una vez que
los archivos se mueven y que los permisos se actualizan, la herramienta de migración debe dar
soporte a la modificación de la configuración de usuario en PC locales. Si es posible, realizará
esta tarea automáticamente o con poco esfuerzo administrativo. Esta herramienta de migración
también debe dar soporte a formatos de archivo especiales, como los que incluyen protección de
contraseña, o, si se migra desde redes más modernas, archivos que se han protegido con el sistema
de cifrado de archivos (EFS, Encrypting File System).
En los mejores escenarios de migración, la herramienta que use también debe dar soporte
a la migración de contenido de un sistema de recursos compartidos de archivo estándar a uno
DFS, porque este último se ha diseñado para eliminar la necesidad de unidades asignadas. Por
último, debe ayudarle a pasar de directorios de inicio antiguos al redireccionamiento más avan-
zado de carpetas al que da soporte Windows Server.
SUGERENCIA En el peor de los escenarios, puede utilizar Copia de seguridad de NT para crear co-
pias de los servicios de archivos de sus servidores heredados y restablecerlos en su nuevo servidor,
y luego utilizar el editor de migración de seguridad de Microsoft, que es gratuito con Windows
Server 2008, para realizar la regeneración de SID en sus archivos. Recuerde que Copia de seguri-
dad de NT no está disponible en WS08 y que debe descargarlo (consulte el capítulo 11).
NOTA Asegúrese de que comunica la directiva de protección de datos a sus usuarios. En realidad,
podría ser una excelente idea utilizar un sitio de equipo de WSS para proporcionar un manual en
línea a todos los usuarios inales. De esta manera, sabrán exactamente lo que está pasando en su
nueva red.
PARTE VI
En realidad, las migraciones que realice deben asignarse a los nuevos servicios de archivo
que implemente. En el capítulo 8 se delineó la manera en que deben estructurarse sus servicios
de archivo (vea la figura 12-10). Éstas son las carpetas compartidas en que necesita concentrarse.
En la tabla 12-2 se delinea la manera en que debe migrarse cada tipo de servicio de archivos.
624 Parte VI: Migre a Windows Server 2008
SUGERENCIA Para conocer instrucciones sobre la manera de crear manualmente recursos compar-
tidos de DFS para migración de archivos, busque el artículo 829 885 de la base de datos de cono-
cimientos en http://support.microsoft.com/default.aspx?scid=kb%3b%5blN%5d%3b829885. Mi-
crosoft también ofrece un acelerador de soluciones para la consolidación de servidores de archivos
e impresión. Los aceleradores de soluciones son un conjunto de documentos y herramientas que
proporcionan una operación más simple en tareas complejas. Se encuentra en http://go.microsoft.
com/fwlink/?linkid=24719&clcid=0x409.
En muy raras ocasiones tendrá la posibilidad de migrar datos cuando no están en uso, a
menos que realice la migración durante fines de semana o en momentos en que sus servidores
están apagados. Incluso entonces, es difícil encontrar tiempo suficiente para realizar la migración.
Lo más probable es que estará migrando datos cuando los usuarios estén en línea y necesiten
acceder a ellos. Por eso es que la solución ideal consiste en ejecutar los servidores de archivos de
origen y los sistemas de destino en paralelo. Asegúrese de comunicar sus planes a los usuarios
finales para limitar el número de llamadas al escritorio de ayuda que puede generar la migración.
Si se dejan tareas por realizar a los usuarios, asegúrese de detallar y delimitar claramente esas
tareas en sus comunicaciones.
El paso final en cualquier migración del servidor de archivos consiste en ejecutar informes en
sus recursos compartidos de archivo existentes, pero a menos que esté ejecutando Windows Ser-
ver 2003 R2 en los servidores de origen, no tendrá herramientas integradas para crear estos infor-
Disco de datos
Carpeta principal para archivos del
sistema y herramientas administrativas
Carpetas de proyecto
mes. Tendrá que comprobar manualmente los archivos mientras los migra. Sin embargo, puede
migrar los archivos y, una vez realizado esto, generar informes de uso sobre los nuevos servidores
mediante la característica Informes de administración de recursos de servidor de archivos.
Una vez que tenga una idea de los requisitos de espacio (recuerde que siempre es aconseja-
ble tener más espacio disponible en sus nuevos servidores que en los anteriores), puede pasar a
la migración de cada servicio de recursos compartidos de archivo a su tecnología de destino.
NOTA En versiones anteriores de Windows Server, Microsoft proporcionó el File Server Migration
Toolkit. Desafortunadamente, este juego de herramientas ya no funciona en Windows Server 2008
y Microsoft no ha visto la necesidad de actualizarlo para esta versión del sistema operativo. Esto
lo deja solo en cuanto a herramientas de migración gratuitas se reiere. Puede depender de la ruta
de migración delineada en la tabla 12-2 para simpliicar el proceso. Sin embargo, es improbable
que organizaciones de tamaño medio o grande puedan realizar esta operación sin la compra de
herramientas de migración. Hay varias herramientas muy buenas en el mercado. Hemos traba-
jado con las de Quest y Metalogix, entre otras. Estas herramientas proporcionan características
completas a un costo razonable.
Es fácil trabajar con el Print Migrator. Descargue el ejecutable y cárguelo en cualquier servi-
dor. En realidad, no se requiere una instalación, porque el ejecutable es independiente. Utilice el
siguiente método:
1. Haga doble clic en PRINTMIG.EXE para ejecutar el migrador de impresión.
2. Acepte el indicador Run que se presenta.
3. Print Manager despliega una lista automática de la configuración de impresoras en el sistema
local (vea la figura 12-11).
4. Si está ejecutando la herramienta en el servidor de impresión de origen, vaya el menú Actions y
seleccione Backup. Identifique la ubicación donde quiere guardar el archivo CAB (lo ideal es que
sea una carpeta compartida) y, como opción, identifique el servidor de destino para la operación.
5. Haga clic en Abrir y luego en Aceptar para realizar la copia de seguridad.
Para restaurar la configuración en el servidor de impresión de destino, repita la operación
con el comando Actions | Restore. Aquí puede seleccionar dos opciones:
• Suprimir las pantallas emergentes de advertencia. Éstas se capturarán en el archivo de registro
aunque no se desplieguen mientras ejecuta la restauración.
Capítulo 12: Lleve la red de ofrecimiento de servicios virtuales a producción 627
• Tratar la conversión de LPR a SPM. Si sus impresoras antiguas utilizaban puertos LPR, trate
de convertirlos a un monitor de puerto estándar (SPM, Standard Port Monitor) de TCP/IP para
un mejor rendimiento.
Print Migrator también se conecta a servidores remotos y captura sus configuraciones de
impresora. Utilice el elemento de menú View | Target para conectarse a servidores remotos.
Por último, la migración de impresoras puede automatizarse, porque el programa
PRINTMIG.EXE también se ejecuta desde la línea de comandos. Utilice el siguiente comando
para identificar sus opciones:
printmig /?
Repita la operación para cada servidor de impresoras en su red heredada. En realidad, puede
realizar migración de impresoras en cualquier momento durante la migración, porque las impre-
soras de redes heredadas y nuevas pueden ejecutarse en paralelo sin problemas.
SUGERENCIA Es posible recuperar los objetos huérfanos antes de la migración. Consulte el artículo
918744 de la base de datos de conocimientos para conocer más información en http://go.microsoft.
com/fwlink/?linkid=69958&clcid=0x409.
Una vez que tenga resultados de PUST, puede pasar a la propia migración. Si está pasando
de una versión de SharePoint a instalaciones independientes de WSS en WS08, entonces debe
realizar una migración de WMSDE a WID porque esta última está disponible en WS08. En esen-
cia, necesita dar los siguientes pasos:
Capítulo 12: Lleve la red de ofrecimiento de servicios virtuales a producción 629
NOTA Los pasos detallados para esta operación pueden encontrarse en http://technet2.microsoft.com/
windowsserver/WSS/en/library/1f505e96-60e2-41ac-bf5d-9739105f047c1033.mspx?mfr=true.
NOTA Metalogix también elabora herramientas para migrar contenido del servidor de administra-
ción de contenido de Microsoft u otros sitios de SharePoint a la versión 3 de WSS. Revíselas, por-
que proporcionan una mejor experiencia de migración que el proceso actualizado descrito antes.
zas del nuevo dominio de producción. Utilice la consola Dominios y confianzas de Active
Directory para realizar esta actividad.
• Ahora puede pasar a dejar de comisionar el dominio heredado. Pero antes de hacerlo, es una
buena idea realizar copias de seguridad completas del controlador de dominio primario (si
630 Parte VI: Migre a Windows Server 2008
está en una red de Windows NT) o de los DC que ejecutan las funciones de maestro de opera-
ciones (si ésta es Windows 2000 o 2003).
• Cuando se hayan completado las copias de seguridad, almacénelas en un lugar seguro, y
luego apague el controlador de dominio final del dominio heredado (controlador de dominio
primario o del DC principal).
• Si puede recuperar ese servidor como un nuevo host, tiene la opción de instalar Server Core o, si es
un servidor de 32 bits, la instalación completa y unirlo a su nuevo dominio de almacén de recursos.
¡En esta etapa, podría pensar en celebrar, porque lo merece! Usted y su equipo de migración
han hecho una gran cantidad de trabajo preparando la nueva red y migrando cada recurso here-
dado al nuevo entorno. ¡Felicidades!
Pero, celebraciones aparte, también será una buena idea que realice una revisión posterior
a la migración para asegurarse de que puede reciclar este proceso y mejorarlo, si alguna vez lo
necesita de nuevo.
Para desactivar el historial de SID, utilice el siguiente comando con credenciales de adminis-
trador de empresa.
netdom trust DominioDestino /domain:DominioOrigen /quarantine:No
/ usero:NombreUsuario /password:Contraseña
donde NombreDestino es su nuevo dominio, DominioOrigen es el dominio heredado y Nom-
breUsuario y Contraseña son las credenciales del administrador de empresa.
PRECAUCIÓN ¡Tenga cuidado cuando realiza esta operación, porque la contraseña aparece en texto
simple en la pantalla!
Administradores Administradores
DDNS de topología de
Propietarios de bosque sitio
Administradores de bosque
Propietario de dominio
raíz de bosque
Administrador de
delegación de steward
de GPO/OU
Propietarios Propietarios
de dominio de dominio
Propietarios Administradores Propietarios Administradores
de OU de DDNS de OU de DDNS
Operadores Operadores
de GPO Propietarios Administradores de GPO Propietarios Administradores
de OU de servicio de OU de servicio
Propietarios
de dominio
Propietarios Administradores
de OU de DDNS
PARTE VI
Leyenda
Operadores
Informes directos
de GPO Propietarios Administradores
de OU Vínculos del sistema
de servicio
SUGERENCIA Microsoft ofrece una guía completa de operaciones de Active Directory. Se encuentra
disponible en dos partes en http://technet2.microsoft.com/windowsserver/en/library/9c6e4dd4-
3877-4100-a8e2-5c60c5e19bb01033.mspx?mfr=true. También delinea cuál función debe realizar
cada operación.
NOTA Este procedimiento para la creación de consolas personalizadas de Microsoft (MMC) y la de-
legación de derechos, al igual que el usado para la creación de grupos administrativos apropiados,
se delineó en el capítulo 7.
PARTE VI
Por último, deberá seguir adelante con la delegación de la administración de servicios, como
se delineó en los capítulos 8 y 9. Las actividades de administración de servicios deben relacionar-
se de cerca con la estructura de la OU Ofrecimientos de servicios virtuales que diseñó durante la
preparación de los servicios de la red paralela de ofrecimiento de servicios virtuales. También está
634 Parte VI: Migre a Windows Server 2008
Corporación T&T
TI/SI Unidades de
negocios
Tenedor de la directiva
de cambios al esquema Propietarios de OU
Administrador de la Administrador de
topología del sitio delegación
Administrador de
DDNS - TI es responsable de los dominios de producción, capacitación
y puesta en funcionamiento
- El personal técnico de TI también son usuarios
Propietarios de OU - Muchas funciones de TI también son funciones de seguridad
designados - El tenedor de la directiva de cambio del esquema es necesario
aunque ADLDS se utilice para integrar aplicaciones a los
Servicios de dominio de Active Directory.
Operadores de
GPO
Administradores del
servicio
Usuarios
FIGURA 12-13 La estructura organizativa de las funciones de TI de ADDS en la Corporación T&T (sólo red de
ofrecimientos de servicios virtuales).
unida de cerca con las siete funciones esenciales de servidor que se identificaron en el capítulo 3,
pero también se requieren operaciones adicionales, como bien sabrá (copias de seguridad del siste-
ma, monitoreo de rendimiento, administración de seguridad, administración de problemas, soporte
a usuarios, etc.). Entre las funciones principales que se deben cubrir aquí se incluyen:
• Operadores de archivos e impresión
• Operadores del servidor de aplicaciones
• Operadores de los servicios de Terminal Server
Capítulo 12: Lleve la red de ofrecimiento de servicios virtuales a producción 635
Dominio Dominio
de utilería Sobrante Sobrante de utilería
DC/DNS DC/DNS Dominio de utilería
de conmutación
Función Hyper-V Función Hyper-V Función Hyper-V Función Hyper-V por error
DC/DNS
FIGURA 12-14 Interacciones entre los administradores del almacén de recursos, los técnicos del escritorio
de ayuda, los administradores de servicios virtuales y los usuarios inales.
operativos pueden subdividirse en grupos más pequeños y enfocados, que sean responsables de
tecnologías específicas. Otra función, el operador del servidor de administración de identidad, es
su administrador de dominio y ya se ha identificado antes.
Varias de las actividades de manejo y administración que necesita cubrir requerirán tecnolo-
gías especiales. Se requiere una herramienta para dar soporte a la implementación de aplicaciones,
los inventarios y el análisis de hábitos de uso del software. Otra herramienta debe dar soporte a la
administración de rendimiento de alertas dentro de la red, sobre todo con servicios críticos. Pero si
tiene una red heredada, lo más probable es que ya esté utilizando tecnologías de este tipo.
Debe ser cuidadoso con las personas a las que da acceso al RSAT. Se trata de herramien-
tas poderosas que pueden causar un riesgo de seguridad si se utilizan mal. Una de las mejores
maneras de controlar su acceso consiste en almacenarlas en servidores y utilizar RemoteApps de
Terminal Services para dar acceso a herramientas determinadas. Una ventaja adicional de este
método consiste en que no necesita crear y mantener estaciones de trabajo administrativas u OU
operativas para su personal de TI. Sus estaciones de trabajo pueden ser similares a las de otros
usuarios avanzados dentro de su empresa y concentrarse en herramientas productivas. Luego,
cuando necesiten realizar una tarea administrativa, pueden lanzar la RemoteApp que necesiten
para acceder a la herramienta apropiada.
Esto puede ayudar a aumentar la seguridad. Debido a que las herramientas administrativas no
se encuentran en la PC de los operadores, pueden usar su cuenta de usuario para realizar sus tareas
diarias. Luego, cuando una tarea administrativa sea necesaria, pueden iniciar sesión con la cuenta
administrativa en la sesión de RemoteApp de Terminal Services. Es posible agregar una capa adi-
cional de seguridad mediante el uso de tarjetas inteligentes para inicios de sesión administrativos.
Debido a que WS08 da soporte al uso de tarjetas inteligentes para administradores, puede asegurar
que se exija la autentificación de dos factores para el funcionamiento de las tareas administrativas.
SUGERENCIA Una buena referencia para la administración de Windows Server 2008 es el centro
de tecnología de Windows Server 2008, Microsoft TechNet, en http://technet.microsoft.com/
en-us/windowsserver/default.aspx.
SUGERENCIA Encontrará más información sobre el System Center Virtual Machine Manager en
PARTE VI
www.microsoft.com/systemcenter/scvmm/default.mspx.
Es posible que los administradores de almacenes de recursos terminen trabajando con varias
herramientas adicionales, como aparecen en la lista de la tabla 12-5.
638 Parte VI: Migre a Windows Server 2008
Función/
característica Herramienta Línea de comandos
ADCS Complemento Autoridad de certiicado CertUtil.exe
Complemento Certiicados CertReq.exe
Complemento Plantillas de certiicado CertSrv.exe
Complemento Respuesta en línea
PKIView
ADDS Administrador del servidor | Usuarios y equipos de Active Directory CSVDE
Administrador del servidor | Sitios y servicios de Active Directory Dsadd
Dominios y conianzas de Active Directory Dsmod
Dsrm
Dsmove
Dsquery
Dsget
LDIFDE
Ntdsutil
Servidor DNS Administrador del servidor | Servidor DNS Nslookup
Servidor DHCP Administrador del servidor | Consola DHCP Netsh
Servicios de archivo Administrador del servidor | Administración DFS Netstart, netstop (Macintosh)
Administrador de recursos del servidor de archivos Dfsradmin.exe
Administrador del servidor | Administración de informes de almace- Dfsdiag.exe
namiento Dirquota.exe
FileScrn.exe
StorRept.exe
PowerShell Interfaz PowerShell en instalación completa o estación de trabajo No hay comando
administrativa
Servicios de impresión Administrador del servidor | Servicios de impresión Netstart, netstop (Macintosh)
MMC Imprimir Lpg
Lpr
Print
Prncnfg.vbs
Prndrvr.vbs
Prnjobs.vbs
Prnport.vbs
Prnqctl.vbs
TABLA 12-5 Herramientas adicionales de administración para los administradores del almacén de recursos
Capítulo 12: Lleve la red de ofrecimiento de servicios virtuales a producción 639
Función/
característica Herramienta Línea de comandos
Server Core Línea de comandos local
MMC personalizada remota
Administración de WS y Shell remota de Windows (WinRS)
Escritorio remoto
PowerShell remota
Comando WMI (WMIC)
Terminal Services Administrador del servidor | Terminal Services Tsadmin.exe
Administrador de Terminal Services Tscc.msc
Coniguración de Terminal Services Eventvwr.msc
Consola Escritorios remotos quser
Hyper-V de Windows Server Administrador Hyper-V
TABLA 12-5 Herramientas adicionales de administración para los administradores del almacén de recursos (Continuación)
Función/característica Herramienta
ADCS Autoridad de certiicado
ADDS Administrador del servidor | Usuarios y equipos de Active Directory
Administrador del servidor | Sitios y servicios de Active Directory
Dominios y conianzas de Active Directory
ADFS Administrador de IIS
Servicios de federación de Active Directory
ADLDS Administrador del servidor | Usuarios y equipos de Active Directory
Administrador del servidor | Sitios y servicios de Active Directory
Dominios y conianzas de Active Directory
Editor de ADSI
Ldp.exe
Utilerías de administración de esquema
ADRMS ADRMS MMC
Servidor de aplicaciones Administrador del servidor | Servicios de componentes
Servidor DNS Administrador del servidor | Servidor DNS
Servidor DHCP Administrador del servidor | Consola DHCP
Servidor de faxes Administrador del servicio de fax
Servicios de archivos Administrador del servidor | Administración DFS
Administrador de recursos del servidor de archivos
Administrador del servidor | Administración de cuotas
Administrador del servidor | Administración de supervisión de archivos
Administrador del servidor | Administración de informes de almacenamiento
Protección de acceso a redes MMC NPS
MMC HRA
MMC Administración de clientes de NPA
MMC Enrutamiento y acceso remoto
Directivas de red inalámbrica
Directivas de red cableada
PowerShell Interfaz de PowerShell
Servicios de impresión Administrador del servidor | Servicios de impresión
PARTE VI
MMC Imprimir
TABLA 12-6 Herramientas adicionales de administración para los administradores de ofrecimientos de servicios
virtuales
640 Parte VI: Migre a Windows Server 2008
Función/característica Herramienta
Terminal Services Administrador de Terminal Services
Administrador del servidor | Administrador de RemoteApp de TS
Administrador del servidor | Administrador de puerta de enlace de TS
Coniguración de servicios de Terminal Server
Administrador de licencias de terminal
Escritorios remotos
Administración de acceso Web de terminal
Servidor Web (IIS) Administrador de IIS 6.0
Administrador de IIS
Servicios de implementación de Windows Administrador WDS
Windows Server Línea de comandos local
Administración de WS08 y shell remota de Windows (WinRS)
Escritorio remoto
PowerShell
Administrador del servidor
Comando WMI (WMIC)
Windows SharePoint Services Administración central de SharePoint 3.0
Asistente para la coniguración de productos y tecnologías de SharePoint
TABLA 12-6 Herramientas adicionales de administración para los administradores de ofrecimientos de servicios
virtuales (Continuación)
Hoy en día, las redes están integradas por colecciones acopladas de manera suelta de ser-
vidores y estaciones de trabajo que pueden o no incluir mainframes o minicomputadoras. La
administración de redes o de sistemas se ha vuelto mucho más compleja y cubre una cantidad
mucho mayor de tareas que en aquellos días, pero de alguna manera hemos perdido algo en la
transición. Hoy en día, casi ningún administrador mantiene libros de registros. Casi todos care-
cen de calendarios fijos para actividades administrativas. Muchos ni siquiera realizan las tareas de
administración más básicas.
Pensamos que es hora de regresar a la administración estructurada de sistemas. Por eso, en el
capítulo 13 proporcionamos una lista extensa de tareas administrativas y su realización programada
con base en nuestra experiencia pasada. Este capítulo trata de ser diferente al ir directo al corazón
de la materia. Cada tarea delineada en el capítulo está concentrada en la propia tarea. No suele
incluir ninguna información extensa de antecedentes, porque supone que cuando necesita realizar
la tarea, no se necesita una explicación de la manera en que algo funciona, sino más bien una de
cómo hacer algo, porque se encuentra a la mitad de la tarea y quiere respuestas rápido.
Si es posible, cada descripción de una tarea cubre por lo menos tres áreas:
• La interfaz gráfica
• La línea de comandos, si está disponible
• Una secuencia de comandos recomendada, si es aplicable
La primera área alude a la manera en que se acercaría a la tarea para realizarla en uno o dos
servidores. En realidad, el método gráfico está diseñado principalmente para administradores de
redes pequeñas que contienen menos de 25 servidores. La segunda es la manera en que realiza-
ría una tarea cuando tiene que aplicarla a una serie de servidores. Desafortunadamente, aunque
Windows Server 2008 incluye una gran cantidad de nuevas herramientas de línea de comandos,
ese tipo de herramientas no siempre está disponible para todas las tareas. La ventaja de este mé-
Capítulo 12: Lleve la red de ofrecimiento de servicios virtuales a producción 641
todo es que resulta fácil insertar líneas de comandos en archivos con formatos CMD o BAT para
ejecutarlos automáticamente. Otra ventaja del archivo de comandos es que puede canalizarse a
un archivo de texto para mantener registros automáticos, lo que simplifica aún más su tarea. Una
tercera ventaja es que se ejecuta en Server Core, si se tiene soporte para esta función.
El tercer método es para redes extremadamente grandes, donde hay cientos de servidores.
Cada vez que se aplica una secuencia de comandos a una tarea determinada, se hace referencia a
ella en la tarea.
NOTA Si encuentra que el programa o la lista de tareas no se adecua a sus necesidades, envíenos
una nota, háganos saber qué es lo mejor para usted, y publicaremos información actualizada en el
sitio Web dedicado a este libro. Escriba a Infos@reso-net.com.
El administrador de sistemas
Como administrador de sistemas, deberá utilizar varias herramientas para realizar las activida-
des que aparecen en esta lista. Algunas de las actividades serán administrativas, otras técnicas,
algunas siempre seguirán siendo manuales, mientras que otras serán automatizadas. Algunas
utilizarán la interfaz gráfica de Windows Server 2008 y otras la línea de comandos.
Para realizar este trabajo, tendrá que ser técnico, administrador, gerente, comunicador, ope-
rador, usuario, negociador y, en ocasiones, director. También necesitará una comprensión signifi-
cativa del entorno en que trabaja y de las tecnologías que le dan soporte. Por esto es importante
que obtenga una fuerte comprensión de Windows Server 2008.
pueda familiarizarse con ellas. Además es buena idea revisar todas las tareas que aparecen como
“ad hoc” y determinar cuándo quiere realizarlas.
En esencia, las tareas diarias se realizan por la mañana. Si puede volverlas automáticas, en-
tonces consistirán principalmente de verificación de registros en lugar de realizar en realidad la
642 Parte VI: Migre a Windows Server 2008
7 de noviembre
Lunes Martes Miércoles Jueves Viernes Sábado Domingo
Octubre Noviembre
Tareas diarias
Tareas semanales
Tareas diarias
Tareas semanales
Tareas diarias
Tareas semanales
Diciembre
Tareas diarias
Tareas semanales
tarea. Esto le ahorrará muchísimo tiempo. Las tareas semanales se realizan los jueves, los miérco-
les y los martes. Si administra correctamente su calendario, puede realizar la mayor parte de estas
tareas por las mañanas, junto con las tareas diarias de esos días. Extienda las tareas mensuales a
los lunes y viernes de cada semana. Esto le deja un poco de tiempo cada día para realizar tareas
ad hoc a medida que surgen.
Un objetivo del capítulo 13 consiste en ayudarle a ahorrar tiempo. Podría realizar todas las
tareas diarias por la mañana, y luego dedicar las tardes de la mitad de la semana a realizar las
tareas semanales. Reserve dos tardes de cada semana para tareas mensuales; de esta manera
puede extenderlas durante todo el mes. Por lo general, esto debe dejarle tiempo para otras tareas
ad hoc. Empiece con este tipo de programa y perfecciónelo a medida que avanza.
Ahora que ha construido una nueva y poderosa red e implementado el centro de datos diná-
mico, necesita asegurarse de que lo mantiene tan prístino como cuando lo construyó por primera
vez. Eso sólo puede suceder si lo administra de una manera estructurada. Ése es el objetivo de la
lista de tareas que se presentan en el capítulo 13: ayudarle a mantener la red que construyó con
base en estos primeros 12 capítulos.
VII PARTE
Administre Windows CAPÍTULO 13
Tareas de administración
E
n esta sección se abordan varias tareas administrativas gene-
rales con Windows Server 2008. Cubre la administración de
almacenes de recursos y de ofrecimiento de servicios virtuales.
13
CAPÍTULO
Tareas de administración comunes
E
n el capítulo 12 se delineó la importancia que tiene administrar apropiadamente las redes
que ejecuta Windows Server 2008 (WS08). El objetivo de este capítulo es delinear las tareas
de administración comunes para cada categoría de servidor que se cubrió en las otras
partes del libro, a medida que construye y llena los almacenes de recursos y los ofrecimientos
de servicios virtuales que están diseñados para hospedar. Más de 150 tareas aparecen aquí. Si es
posible, cada descripción de tarea cubre por lo menos dos áreas:
• La interfaz gráfica
• La línea de comandos, si está disponible
Además, debido a que el motor de PowerShell está disponible en Windows Server, pueden
generarse secuencias de comandos para realizar casi todas las operaciones.
SUGERENCIA Para tener una lista completa de herramientas de línea de comandos vaya a
http://go.microsoft.com/fwlink/?linkid=81765.
NOTA No necesita instalar el motor de PowerShell en un servidor para ejecutar una secuencia de
comandos contra él. Debe instalar PowerShell en una estación de trabajo de Vista y ejecutar remo-
tamente secuencias de comandos en sus servidores. La instalación de PowerShell en sus servidores
aumenta el riesgo, porque es un componente más que se debe administrar.
Las tareas están divididas por función de servidor. Las funciones cubiertas aquí son:
• Servidor general Las tareas que son comunes a todos los servidores que ejecutan WS08.
• Servidor de archivos e impresión Tareas que son comunes para los servidores que ejecu-
tan la función de archivo e impresión.
• Servidor de infraestructura de red Tareas que son comunes para la función de infraestruc-
tura de red.
• Servidor de administración de identidad Las tareas comunes para la función de admi-
nistración de identidad, incluida la función controlador de dominio (DC, Domain Controller),
además de la función del sistema de nombres de dominio (DNS, Domain Name Systems).
• Servidor de Web dedicado y servidor de aplicaciones Las tareas son comunes para los
servidores Web y de aplicaciones, porque sus funciones son muy similares.
645
646 Parte VII: Administre Windows Server 2008
• Servidor de Terminal Service Las tareas que son comunes para los servidores que ejecutan
Terminal Services, tanto de administración remota como para RemoteApps.
• Servidor de colaboración Tareas que son comunes para servidores que ejecutan la función
de colaboración.
Las tareas sólo cubren actividades comunes que están relacionadas con las capacidades básicas
de WS08; no se cubren productos adicionales del sistema de Windows Server u otros orígenes.
NOTA La explicación de la tarea es breve en este capítulo, porque se enfoca en el delineado de lo que
se necesita hacer. La información de antecedentes para casi todas las tareas ya se ha identiicado
en los capítulos anteriores de este libro. Para conocer una lista correspondiente de tareas en PC
de Vista, busque Deploying and Administering Windows Vista Bible, por Shane Cribbs, Nelson
Ruest, Danielle Ruest y Bob Kelly (Wiley, 2008).
Cada sección empieza con una tabla que delinea las diferentes tareas para esta función
determinada del servidor. En la tabla se presenta una lista de cada tarea por número, seguida por
su nombre y su frecuencia. Además, la tabla indica si la tarea se aplica al almacén de recursos, los
ofrecimientos de servicios virtuales, o ambas. El objetivo de estas tablas es ayudarle a construir
un calendario administrativo apropiado e identificar con él las tareas que deben realizarse en
cada nivel del sistema.
SUGERENCIA Estas tareas han sobrevivido a la prueba del tiempo. Originalmente se derivaron
de Windows Server 2003 Pocket Administrator, de Danielle Ruest y Nelson Ruest (McGraw
Hill, 2003). Además, se han probado a través de cursos impartidos durante días completos sobre
administración de Windows Server en conferencias de Interop (www.inter.com) en Las Vegas y
Nueva York, durante los últimos años. Este curso ha sido impartido a varios miles de administra-
dores, que están de acuerdo: una vez que empieza a trabajar con el calendario delineado aquí, no
tendrá que trabajar horas extras de manera regular para administrar su red. ¡El tiempo extra casi
se vuelve una cosa del pasado! Le animamos a que siga ese programa y lo adapte por su cuenta.
También necesitará varias herramientas para dar soporte a cada una de estas tareas. Median-
te la implementación de su red, instaló varias herramientas y descubrió distintas maneras de ad-
ministrar sistemas. Muchos administradores instalan herramientas administrativas en sus propias
PC. Esto es bueno hasta cierto grado, pero algunas de ellas no se prestan a ese tipo de instala-
ción. Por ejemplo, el Administrador del servidor no soporta conexiones de equipos remotos; en
cambio, puede publicar el Administrador del servidor como una RemoteApp en cada servidor y
vincularla con la aplicación publicada para administrar remotamente servidores mediante esta
herramienta. Este procedimiento se delinea en el capítulo 9.
SUGERENCIA Para conocer información adicional sobre tareas dentro de Windows Server 2008, vaya
a TechCenter de WS08 en http://technet.microsoft.com/en-us/windowsserver/2008/default.aspx.
Además, PowerShell no se ejecuta en Server Core, pero puede crear un comando PowerShell
en un equipo que ejecute la instalación completa de WS08 y ejecutarlo remotamente en equi-
pos de Server Core. Ésta es la razón por la que resulta importante tener máquinas virtuales que
Capítulo 13: Tareas de administración comunes 647
pertenezcan al dominio del almacén de recursos y que ejecuten la instalación completa sólo con
el fin de la administración remota de recursos de hardware.
PowerShell es una herramienta de línea de comandos. Esto hace un poco más complicado
PARTE VII
el trabajo con ella para usuarios que no están familiarizados con sus comandos. Ésta es la razón
por la que debe trabajar mediante PowerGUI, una interfaz gráfica gratuita para PowerShell que
ha sido desarrollada por Quest Software (www.quest.com). Quest ha generado una comunidad
de usuarios que se mantiene agregando funcionalidad a PowerGUI en http://powergui.org. Por
ejemplo, esta comunidad ha proporcionado una serie de diferentes complementos y funcionali-
dades adicionales en categorías como sistema de archivos, Servicios de dominio de Active Direc-
tory, administración de red y más (vea la figura 13-1). No hay duda de que cada vez será más y
más la cantidad de administradores en todos lados que empezarán a trabajar con PowerShell.
SUGERENCIA Microsoft también proporciona mucha ayuda sobre PowerShell. La página principal
de PowerShell está en www.microsoft.com/windowsserver2003/technologies/management/
powershell/default.mspx, y el centro de secuencias de comandos de TechNet ofrece muchas de éstas
para el uso de PowerShell en www.microsoft.com/technet/scriptcenter/hubs/msh.mspx.
Además, puede obtener ayuda para PowerShell mediante la ayuda gratuita de PowerShell,
de Sapien Technologies. Se trata del fabricante de PrimalScript, un poderoso motor de creación de
secuencias de comandos para soporte a varios lenguajes de creación de comandos. PowerShell
ofrece ayuda sobre todos los comandos en una manera gráfica agradable (vea la figura 13-2). La
ayuda de PowerShell está disponible en www.primalscript.com/Free_Tools/index.asp. Y mientras
está allí, obtenga gratis Logon Script Generator. Le ahorrará mucho tiempo.
Por último, cuando toda la ayuda que pueda obtener no es suficiente, puede pasar a las herra-
mientas de secuencias de comandos profesionales, como Primal Script, de Sapien, o AdminScript
Editor (ASE), de iTripoli. ASE es un entorno de secuencias de comandos que presenta varias herra-
mientas únicas, incluida una serie de asistentes que le ayudan a generar secuencias de comandos
complejas para instrumentar la administración de Windows (WMI, Windows Management Instru-
mentation), el lenguaje extensible de marcado (XML, Extensible Markup Language), la administra-
ción de base de datos, la interfaz de servicios de Active Directory (ADSI, Active Directory Services
Interface) y más (vea la figura 13-3). ASE le permite crear ejecutables de secuencia de comandos
seguras que incluyen credenciales de administrador cifradas, que le permiten ejecutar secuencias de
comandos poderosas incluso en contextos de usuario final. Por sí solo, ASE es un recurso valioso.
Además, puede generar secuencias de comandos en diversos lenguajes, incluido PowerShell, KiX-
tart, VBScript y archivos de procesamiento por lotes simples o de comandos.
PARTE VII
FIGURA 13-3 Trabajo con AdminScriptEditor de iTripoli.
NOTA Casi todas las actividades de la sección requieren derechos administrativos locales.
El trabajo con servidores requiere que tenga derechos de acceso administrativos para ellos. El
acceso otorgado a los administradores de Windows Server 2008 es poderoso, porque le permite
un control completo de un equipo en el nivel local, un dominio en el nivel de dominio o un bos-
que en el nivel de la empresa. Estos derechos deben usarse con cuidado y consideración, sobre
todo porque cualquier cosa que se ejecute dentro de un contexto administrativo automáticamen-
te tendrá todos los derechos en una máquina.
650 Parte VII: Administre Windows Server 2008
PARTE VII
Hardware
HW-04 Administración de dispositivos Ad hoc X X
Copias de seguridad y restauración
CSR-01 Generación de copias de seguridad del disco del Diaria X X
sistema
CSR-02 Veriicación de copia de seguridad Diaria X X
CSR-03 Administración de copias de seguridad fuera del Semanal X X
sitio
CSR-04 Prueba de la estrategia de recuperación de Mensual X X
desastres
CSR-05 Prueba de procedimientos de restauración Mensual X X
CSR-06 Revisión de la estrategia de copia de seguridad Mensual X X
Administración remota
AR-01 Administración de RDC de servidor Mensual X X
AR-02 Administración de RDC de PC Ad hoc X
AR-03 Soporte a usuarios mediante asistencia remota Ad hoc X
PRECAUCIÓN Debido al riesgo que plantea a su organización, debe cambiarse el nombre prede-
terminado de las cuentas administrativas y tener contraseñas complejas fuertes, por lo general
de más de 15 caracteres. Al inal de cuentas, deben estar vinculadas a tarjetas inteligentes para
seguridad adicional.
NOTA Es posible acceder a cualquier herramienta mediante Ejecutar como administrador. En Win-
dows Server 2008, sólo haga clic con el botón derecho en la herramienta y seleccione Ejecutar como
administrador; dé las credenciales apropiadas y haga clic en Aceptar para lanzar la herramienta.
Esta actividad se identifica como diaria porque estará usando este comando de manera coti-
diana mientras realiza actividades administrativas en todos los servidores de su organización.
Como opción, puede usar el comando Ejecutar como, mediante la línea de comandos. El
problema con éste, sin embargo, es que no hay manera de evitar el Control de cuentas de usua-
rios (UAC) mediante la línea de comandos. Mientras esté ejecutando operaciones de línea de
652 Parte VII: Administre Windows Server 2008
SUGERENCIA No existe un comando para elevación en Windows Vista, de modo que sus herra-
mientas se ejecutarán con privilegios administrativos, como opción predeterminada. Sin embargo,
hay una pequeña utilería escrita por Michael Murgolo, un asesor de los servicios de consultoría de
Microsoft, que hace eso. Descárguela de www.microsoft.com/technet/technetmag/issues/2007/06/
UtilitySpotlight/default.aspx.
Además, una de las utilerías administrativas más útiles es la capacidad de lanzar una ventana
del indicador de comandos mediante el Explorador de Windows, ya sea en el modo normal o el
elevado. La única manera de hacerlo consiste en agregar un hackeo en el registro a sus servido-
res. Para conocer una lista de las entradas del registro necesarias para crear indicadores de co-
mandos en modos normal o elevado, vaya a www.randyrants.com/2007/02/vista_tip_eleva.html.
Guarde las entradas en un archivo con extensión .reg y haga doble clic en él para ejecutarlo en
sus servidores. El resultado serán dos comandos “Command Prompt Here” (vea la figura 13-4).
Por último, como no hay manera predeterminada de generar normalmente una ventana del
indicador de comandos en el lugar en donde está usted, tampoco hay una manera predetermina-
da de hacer esto con PowerShell. Eso significa que necesita usar un hackeo para hacerlo. Use las
utilerías antes mencionadas para elevación (por Michael Murgolo) para crear en el menú contex-
tual entradas similares a las creadas antes por el indicador de comandos. Los archivos de Michael
no se encuentran en formato REG, sino en formato INF. Esto significa que debe hacer clic con el
botón derecho en el archivo apropiado y seleccionar Instalar, para que funcionen. Una vez insta-
lados, tendrá los indicadores apropiados en el menú contextual de cualquier carpeta mediante el
Explorador de Windows.
FIGURA 13-4
Uso de hackeos de registro
para obtener el comando
“Command Prompt Here”.
Capítulo 13: Tareas de administración comunes 653
NOTA Una hoja de datos de servidor detallada puede encontrarse en el sitio Web que acompaña este
libro: www.Reso-Net.com/livre.asp?p=main&b=WS08. Use esta hoja como base de la documenta-
PARTE VII
ción de su servidor para identiicar los servicios instalados.
Para verificar el estado de los servicios en los servidores con los que trabaja:
1. Lance la consola Administrador del servidor para el servidor apropiado (área Inicio rápido |
Administrador del servidor u otra ubicación de acceso directo).
2. Vaya a la ventana Servicios (Configuración | Servicios).
3. Ordene los servicios de acuerdo con el estatus, al hacer clic en Estado, en la parte superior de
la ventana Servicios.
4. Mediante sus registros, verifique que todos los servicios estén en el estado apropiado de ejecución y
arranque. Si algunos servicios usan credenciales diferentes a las de la cuenta del sistema local, utili-
ce el procedimiento SG-05 para asegurarse de que estas credenciales se ingresen apropiadamente.
5. Registre e investigue cualquier servicio que no se encuentre en el estado que se pretenda.
Verifique todos los servidores.
Como opción, todos los servicios pueden controlarse mediante los comandos SC o NET. En el
caso del último, escriba NET en el indicador de comandos para ver la lista de los comandos a los
que se da soporte. Escriba NET HELP NOMBRECOMANDO en el indicador de comandos para obtener
información detallada sobre cada comando. La desventaja de este comando es que no puede eje-
cutarse de manera remota. Tiene que abrir sesiones locales o remotas en el servidor que necesite
administrar para usar estos comandos.
Por otra parte, el comando SC puede ejecutarse en cualquier servidor al que tenga acceso. Su
estructura de comandos es como sigue:
SC \\nombreservidor query >nombrearchivo.txt
Donde \\nombreservidor es el nombre del servidor al que quiere acceder (déjelo en blanco
para el servidor local) y QUERY proporciona el estado de cada servicio. Escriba SC /? para conocer
más información. El uso del carácter angular (>) con el nombre del archivo canaliza automática-
mente el resultado del comando en un archivo de texto. Puede colocar una serie de estos coman-
dos en un archivo de comandos (utilizando la extensión .cmd) y usar el procedimiento SG-21
para generar automáticamente archivos de salida cada día. Esto le ayuda a identificar rápida-
mente el estado de todos los servicios en su red, porque todo lo que tiene que hacer es revisar los
resultados del archivo de texto para ver el estatus de servicios en cada servidor.
Por último, puede usar una secuencia de comandos de PowerShell para realizar la misma
acción. Ésta tiene una extensión .ps1 y debe ejecutarse en un sistema que tenga instalado Power-
Shell. Utilice la siguiente secuencia de comandos para consultar el estatus del servicio:
get-service
SUGERENCIA Puede ver automáticamente cualquier evento crítico en cada servidor al ir a la página
de inicio del Registro de eventos, donde se desplegará un resumen de los eventos más importantes.
También puede restablecer el tamaño de cada registro de Windows. Para ello, haga clic con el
botón derecho en el nombre del registro, en el panel de árbol de la MMC, y seleccione Propieda-
des. Establezca el tamaño de registro máximo y cualquier otra opción que sea relevante para sus
necesidades.
PRECAUCIÓN Si establece el archivo de registro en bloqueo (No sobrescribir eventos) una vez que
llega al tamaño máximo del registro, Windows automáticamente apagará el servidor hasta que se
limpie el archivo de registros.
Utilice el comando WEVTUTIL para crear secuencias de comandos:
wevtutil qe system >nombrearchivo.txt
Tenga cuidado, porque este comando generará una tonelada de texto XML. Una secuencia
de comandos de PowerShell consistiría de:
get-eventlog system|nombrearchivo salida.txt
SUGERENCIA Como opción predeterminada, los eventos de auditoría están habilitados en Windows
Server 2008; por tanto, sólo necesita reinarla aún más y agregarla a los objetos que quiera veri-
PARTE VII
icar. Además, los registros de Windows de seguridad están deinidos a 132 megabytes (MB) y se
sobrescriben a medida que el registro se va llenando.
Siga el procedimiento SG-03 para revisar los registros de Windows de seguridad. Cambie
“Sistema” por “Seguridad” en todos los comandos.
También puede usar el comando AUDITPOL para controlar la directiva de auditoría que esta-
blezca. Use AUDITPOL /? para obtener más información sobre este comando.
SUGERENCIA Para conocer más información sobre la manera de usar el registro de eventos a su
tamaño completo, lea la serie de artículos titulados: “Manage Change in Windows Vista” (Admi-
nistre el cambio en Windows Vista”) en www.reso-net.com/download.asp?FIchier=A195.
Las cuentas administrativas son bienes muy preciados en toda red. Ya dejaron de existir los
días donde se tenían que entregar casi a cualquier persona que se quejara lo suficientemente
fuerte. En la red de Windows Server 2008 de hoy en día, puede y debe definir sólo la cantidad
correcta de derechos de acceso para todas y cada una de las personas que interactúan con su
sistema. Por tanto, debe tener muy pocas cuentas administrativas en el nivel de dominio o de
bosque, y tener una cantidad mayor de cuentas administrativas de especialidad que se concen-
tran en otorgar sólo la cantidad correcta de derechos de acceso para hacer un trabajo específico.
Estas cuentas y los accesos que otorgan deben administrarse, o por lo menos revisarse, a diario.
Varios procedimientos soportan la asignación de derechos apropiados y permisos a cuentas
administrativas. Algunos se asignan mediante la composición de grupos de seguridad integrados,
como operadores de servidor o de copia de seguridad, mientras otros se asignan mediante la asocia-
ción con las directivas de asignación de derechos de usuario a las cuentas, o más bien, a los grupos
que contienen estas cuentas. Tres herramientas dan soporte a la asignación de derechos apropiados:
• Utilice Usuarios y equipos de Active Directory para crear las cuentas y asignarlas a grupos
administrativos integrados o personalizados.
• Utilice la consola Administración de directivas de grupo para localizar y editar el objeto de
directivas de grupo (GPO, Group Policy Object) apropiado.
• Use el Editor de directivas de grupo para asignar realmente los derechos de usuario.
Además, podría usar el Administrador del servidor o la consola Administración de equipos
para asignar derechos locales a grupos de dominio y cuentas.
Para modificar los derechos de usuario, use el procedimiento CD-33 para editar el GPO
apropiado, por lo general uno que afectará a todos los objetos que quiera modificar. Localice la
configuración Asignación de derechos de usuario (Configuración del equipo | Directivas | Confi-
guración de Windows | Configuración de seguridad | Directivas locales | Asignación de derechos
de usuarios) y asigne configuraciones apropiadas para cuentas administrativas. Recuerde que
siempre es más fácil asignar derechos a un grupo que a objetos individuales. Es una buena idea
reagrupar cuentas administrativas en grupos administrativos. Utilice el procedimiento CD-33
una vez más para asegurar el uso apropiado de estas cuentas.
656 Parte VII: Administre Windows Server 2008
Además, en la red empresarial de hoy, debe administrar cuentas de servicio (cuentas que tienen
otorgados los suficientes privilegios administrativos para dar soporte a la operación de servicios
específicos de su red). Por ejemplo, podríamos usar cuentas de servicio para ejecutar motores anti-
virus o tareas programadas (consulte el procesamiento SG-21). La ventaja del uso de una cuenta de
servicio para operar un servicio determinado o tareas automatizadas es que también puede usar el
Registro de eventos de seguridad para revisar la operación apropiada del servicio. Un evento correc-
to se escribe en el registro cada vez que él utilice su acceso privilegiado o que se inicie sesión en él.
Las cuentas de servicio, en particular, deben tener estas configuraciones y propiedades específicas:
• La cuenta debe tener un nombre complejo.
• La cuenta debe tener una contraseña compleja de por lo menos 15 caracteres de largo.
• La contraseña nunca caduca.
• El usuario no puede cambiar la contraseña.
• Actuar como parte del sistema operativo.
• Iniciar sesión como servicio.
PRECAUCIÓN Las últimas dos coniguraciones deben aplicarse con mucho cuidado, sobre todo
Actuar como parte del sistema operativo, porque otorga un nivel de acceso extremadamente alto a
la cuenta del servicio.
Las dos últimas configuraciones deben establecerse en un GPO en la Directiva de seguri-
dad local (LSP, Local Security Policy) bajo la configuración Asignación de derechos de usuario.
Recuerde reagrupar las cuentas de servicio en grupos, si puede.
Las cuentas de servicio presentan la sobrecarga operativa adicional de requerir cambios
regulares de la contraseña. Esto no puede limitarse a cambiar simplemente la contraseña en
Usuarios y equipos de Active Directory, porque cuando las cuentas de servicio se asignan a servi-
cios, debe darles la contraseña de la cuenta que corresponde para que funcione apropiadamente.
Esto significa que también debe modificar la contraseña en el cuadro de diálogo Propiedades del
servicio. Utilice el procedimiento SG-02 para hacerlo.
Parte de su trabajo también consiste en registrar lo que hace y lo que necesita hacer para man-
tener o reparar la red de manera constante. Ésta es la razón por la que debe mantener un registro
diario de actividades. Lo ideal es que este registro sea electrónico y transportable, para que pueda
hacer anotaciones cuando lo necesite. Puede almacenarse en una Tablet PC o una Pocket PC que
lleve consigo todo el tiempo. La PC es más útil, porque soporta una versión de trabajo completa de
Windows y puede permitirle ejecutar máquinas virtuales para simular situaciones problemáticas.
Además, Microsoft OneNote es idealmente adecuado para registrar actividades diarias.
Si ninguno de los dos dispositivos está disponible, debe por lo menos usar un bloc de regis-
tro en papel que pueda llevar a todos lados todo el tiempo. Puede mantener este registro de la
manera que más se le acomode, pero en ocasiones es mejor anotar actividades a medida que las
realiza que esperar una hora específica del día.
NOTA Un registro diario de actividades en formato de Microsoft Excel se encontrará en el sitio Web
que acompaña este libro en www.Reso-Net.com/livre.asp?p=main&b=WS08.
Capítulo 13: Tareas de administración comunes 657
PARTE VII
PRECAUCIÓN La protección general contra virus y malware es un elemento clave de un sistema
de defensa integrado. Resulta esencial para asegurarse de que esa herramienta está trabajando
apropiadamente de manera continua.
Ésta es la primera tarea de“marcador de posición”. Está aquí porque necesita realizar esa tarea
en los servidores sin importar otra cosa, pero no es una tarea esencial de Windows Server 2008.
Se requieren tres tareas cotidianas para la administración de la protección antimalware:
• Revise los registros de administración de virus o malware para asegurarse de que no se han
encontrado virus en el último día.
• Revise su consola de administración de virus o malware para determinar que sus firmas están
actualizadas. Vuelva a configurar el programa de actualización, si no es apropiado o si aumen-
tan las amenazas.
• Realice rastreos de protección aleatorios en los recursos compartidos de archivo, las aplicacio-
nes y las unidades de sistema para asegurarse de que no están infectados.
Use la consola de administración de virus o malware para configurar las acciones apropia-
das. En algunos motores, la mayoría de esas tareas pueden automatizarse y las consolas pueden
alertar en caso de encontrar malware.
SG-08: Administración de informes de tiempo de actividad
Frecuencia de la actividad: semanal
Una vez a la semana, debe producir un informe de tiempo de actividad para todos los servidores.
Esto le ayuda a llevar registro del estatus de varios servidores e identificar cuáles configuraciones son
mejores en su entorno. Hay varias herramientas que puede usar para producir estos informes.
El comando SYSTEMINFO da la información sobre el servidor que está examinando, además
del tiempo que ha estado ejecutándose. Otra herramienta, UPTIME, está diseñada específicamen-
te para informar sobre el tiempo de actividad del servidor. Esa herramienta sólo está disponible
como descarga. Vaya al artículo 232243 de la base de datos de conocimientos para obtenerla
(http://support.microsoft.com/kb/232243).
Con el uso de la herramienta y un poco de ingenio, se producen automáticamente informes
del tiempo de actividad:
1. Descargue e instale UPTIME.EXE en la carpeta C:\TOOLKIT.
NOTA Cree una carpeta personalizada llamada Toolkit en la unidad de sistema de sus servidores
para que los administradores puedan compartir las herramientas incluidas allí. Asegure esta car-
peta con los permisos apropiados; por ejemplo, elimine el grupo Usuarios autentiicados y asigne
derechos de acceso sólo al grupo local Administradores.
2. Cree un archivo de comandos que contenga la siguiente línea de código, una para cada servi-
dor de su red:
uptime \\nombreservidor
658 Parte VII: Administre Windows Server 2008
El comando UPTIME creará el informe cada semana. Todo lo que tiene que hacer es localizar
el archivo de salida y revisar los resultados.
PRECAUCIÓN Asegúrese de que la herramienta UPTIME.EXE esté disponible para la tarea progra-
mada. Lo ideal es que incluya la ruta de acceso al comando en el archivo de comandos, de modo
que la tarea programada pueda encontrar el comando cuando lo necesite.
Las secuencias de comandos son una parte esencial de la administración de red de Win-
dows. Windows Server da soporte a motores de secuencia de comandos: archivos de comando,
PowerShell y Visual Basic Scripts (VBScripts). Lo ideal es que use las secuencias de comandos de
PowerShell lo más posible, porque es el entorno más simple y está completamente orientado ha-
cia la administración del sistema. Pero en muchos casos dependerá de secuencias de comandos
de VBScript; por ejemplo, para crear secuencias de comandos de inicio de sesión. Estas secuen-
cias de comandos pueden ejecutarse en cualquier modo gráfico (orientado a los usuarios) o de
caracteres (secuencias de comandos administrativas). La ejecución de una secuencia de coman-
dos en cualquier modo está controlada por el comando que se utilice para activarlos:
wscript nombresecuencia
csript nombresecuencia
donde WSCRIPT se ejecuta en modo gráfico y CSCRIPT se ejecuta en modo de caracteres.
Con la proliferación de virus y caballos de Troya en secuencia de comandos, debe asegurarse
de que las secuencias de comandos que se ejecutan sean seguras. La mejor manera de hacerlo
consiste en firmarla con un certificado digital. En primer lugar, deberá obtener el certificado. Esto
puede hacerse a partir de una autoridad de certificados de terceros, o puede hacerlo usted mismo
si decide usar sus propios servidores certificados (mediante los Servicios de certificado de Active
Directory). Utilice el procedimiento CD-29 para ello.
NOTA Si crea toda su secuencia de comandos mediante PowerShell de Windows, no tendrá que
irmarlos, porque todas las secuencias de comandos de PowerShell están irmadas digitalmente,
como opción predeterminada.
Cada secuencia de comandos que cree y firme debe estar completamente documentada. Esta
documentación debe incluir toda la información pertinente para la secuencia de comandos y
debe revisarse y mantenerse actualizada de manera semanal.
Además de una secuencia de comandos de inicio de sesión, tal vez quiera desplegar un men-
saje previo al inicio de sesión para sus usuarios. Esto le ayuda a asegurarse de que se advierte
previamente a los usuarios de las consecuencias legales del mal uso del equipo y la información
de tecnología de la información. Una vez más, esto se hace mediante una GPO. Use el procedi-
Capítulo 13: Tareas de administración comunes 659
miento CD-33 para editar el GPO apropiado y modificar los siguientes parámetros para desple-
gar un mensaje de inicio de sesión:
PARTE VII
• Configuración del equipo | Directivas | Configuración de Windows | Configuración de seguri-
dad | Directivas locales | Opciones de seguridad | Inicio de sesión interactivo: Título de mensa-
je para los usuarios que intentan iniciar una sesión.
• Configuración del equipo | Directivas | Configuración de Windows | Configuración de seguri-
dad | Directivas locales | Opciones de seguridad | Inicio de sesión interactivo: texto de mensaje
para los usuarios que tratan de iniciar una sesión.
PRECAUCIÓN Si decide utilizar este comando en servidores hosts, necesita asegurarse de que no lo
realiza en los modos activo y pasivo de su clúster al mismo tiempo. Utilícelo en uno, espere casi
una hora y después aplíquelo en el otro. Al apagar un nodo automáticamente se forzará a que las
máquinas virtuales que se ejecuten en ese nodo se pasen al otro de modo que puedan continuar
proporcionando servicios al usuario inal.
PRECAUCIÓN Se recomienda fuertemente que empiece por examinar la manera en que Windows
Server 2008 opera dentro de su red antes de seguir adelante con el uso de esta práctica. Encon-
trará que los servidores WS08 ya no requieren reinicios regulares. En realidad, se sorprenderá del
nivel de servicio que puede lograr con este sistema operativo. Esto se verá en la evidencia dejada
en los informes de tiempo de actividad que produzca con el procedimiento SG-08.
Si percibe que aún necesita realizar esta actividad de manera regular, puede usar el coman-
do shutdown desde la línea de comandos para apagar remotamente y reiniciar los servidores. El
siguiente comando apaga y reinicia un servidor remoto:
shutdown -r -f -m \\nombreservidor
Use el procedimiento SG-21 para asignar el archivo de comandos a una tarea programada.
660 Parte VII: Administre Windows Server 2008
NOTA El comando de cierre omite automáticamente el Rastreador de eventos de apagado (un cuadro
de diálogos que normalmente debe completarse cuando apaga un servidor Windows Server 2008 en
ejecución). Para rastrear los eventos de apagado, siempre agregue el interruptor -c al comando.
El Rastreador de eventos de cierre es una herramienta que Windows Server 2008 utiliza para
registrar información de cierre y reinicio. Almacena su información en los registros de eventos y
puede verse mediante Administrador del servidor | Diagnóstico | Visor de eventos | Registros de
Windows. Puede controlarse por medio de dos configuraciones:
• Configuración del equipo | Directivas | Plantillas administrativas | Sistema | Mostrar rastreador
de eventos de apagado.
• Configuración del equipo | Directivas | Plantillas administrativas | Sistema | Activar la caracte-
rística Datos de estado del sistema del rastreador de eventos de apagado.
Utilice el procedimiento CD-33 para modificar el GPO apropiado. Éste debe afectar a todos
los servidores.
Los parches de seguridad son un factor vital en cualquier entorno de cómputo. Pero si sus
sistemas operativos están diseñados apropiadamente y sus servidores sólo ejecutan los servicios
requeridos para dar soporte a esta función, lo más probable es que puedan limitar su verificación
de parches de seguridad disponibles a una revisión mensual.
Capítulo 13: Tareas de administración comunes 661
Microsoft ofrece varias herramientas y técnicas con Windows o sin él para realizar esta activi-
dad. Ofrece notificación por correo electrónico para boletines de seguridad. Regístrese para éstos
y otros boletines de Microsoft en www.microsoft.com/technet/security/secnews/default.mspx.
PARTE VII
Para ello necesitará una cuenta de Microsoft Passport. Si no tiene una, siga las instrucciones en el
sitio para obtenerla.
Microsoft no es la única organización que envía boletines de seguridad. Una fuente excelen-
te de este tipo de información es el SANS Institute. Puede suscribirse a boletines de SANS en
www.sans.org/newsletters.
Además, Windows Server 2008 incluye actualizaciones automatizadas. Esto significa que puede
descargar previamente correcciones activas y actualizaciones, e indicarle cuando están listas para
instalación. Esta característica también puede modificarse para indicarle a todas las máquinas de su
red de información que obtengan información de parches de un servidor de Internet central. Una
vez más, se trata de configuraciones de GPO. Se ubican en Configuración del equipo | Directivas |
Plantillas administrativas | Componentes de Windows | Windows Update, e incluyen:
• Conigurar Autorizaciones automáticas En un entorno corporativo, debe usar el valor 4
para descargar e instalar actualizaciones de acuerdo con un calendario mensual fijo.
• Especiicar la ubicación del servicio Windows Update en la intranet Asigne el nombre
del servidor del que pueden descargarse las actualizaciones; utilice el nombre DNS completo
del servidor.
• No reiniciar automáticamente en instalaciones de Actualizaciones automáticas Use
este parámetro para evitar que los servidores se reinicien después de la instalación de actuali-
zaciones. Los servidores pueden reiniciarse de manera regular con el procedimiento SG-10.
Utilice el procedimiento CD-33 para evitar el GPO apropiado. Éste debe aplicarse a servido-
res únicamente. Otro GPO debe establecerse de manera similar para estaciones de trabajo, pero
utilizando, de preferencia, un servidor de origen de intranet diferente. Estos parámetros deben
usarse junto con Windows Server Updates Services (WSUS). Utilice el servidor WSUS para va-
lidar las correcciones de seguridad y las actualizaciones que requiere en su entorno corporativo.
Documente todos los cambios.
NOTA Para descargar e instalar WSUS, busque “Microsft Server Update Services” en
http://technet.microsoft.com/en-us/wsus/default.aspx.
También puede usar el Microsoft Baseline Security Analyzer (MBSA) para analizar el estatus
de correcciones activas y los service pack de sus sistemas. MBSA está disponible en
www.microsoft.com/technet/security/tools/mbsahome.mspx.
Como el archivo de configuración de MBSA corresponde al Instalador de Windows, puede
instalarlo interactivamente o utilizar el procedimiento CD-15 para instalarlo en varios siste-
mas de destino. MBSA también puede usarse para rastrear un solo sistema o una red completa.
Incluso puede rastrear segmentos de red con base en los rangos de direcciones del protocolo de
Internet (IP, Internet Protocol). Para rastrear un sistema:
1. Lance MBSA (menú Iniciar | Todos los programas | Microsoft Baseline Security Analyzer).
2. Seleccione Scan a Computer.
3. Utilice el nombre del equipo o su dirección IP y seleccione las opciones que desee usar en el
rastreo. Haga clic en Start Scan (vea la figura 13-5).
662 Parte VII: Administre Windows Server 2008
2. Haga clic en Approve Updates para revisar las actualizaciones disponibles. Ordene las actuali-
zaciones con base en el estatus. Seleccione las que se apliquen a su entorno.
3. Haga clic en el botón Approve para aplicar cada una de las actualizaciones que seleccionó.
PARTE VII
Espere hasta que se hayan aplicado en sus máquinas de prueba y reinícielas, si es necesario.
4. Verifique la operación apropiada del sistema de prueba después de la aplicación. Si hay un
problema, elimine las actualizaciones de una en una, hasta que el problema se corrija, para
identificar la actualización con falla. Vuelva a probar las actualizaciones restantes. Observe que
las actualizaciones estén aprobadas.
5. Vaya a su servidor de producción de WSUS, y apruebe las actualizaciones para distribución a
sus sistemas de producción.
Las correcciones activas y las actualizaciones se instalan automáticamente mediante WSUS,
pero éste no es el caso de los service packs. Éstos tienden a requerir una preparación más amplia
para implementación e instalación. Su preparación incluye pruebas mucho más completas que
las correcciones activas porque los service packs afectan a demasiadas áreas de un servidor. Una
vez que un service pack se ha evaluado y aprobado, utilice el procedimiento CD-08 para imple-
mentarlo (a menos que use una herramienta de implementación más robusta, que no dependa
de la instalación del software de las directivas de grupo).
Una de las tareas que debe realizar por lo menos mensualmente es administrar el inventario.
Incluye inventarios de hardware y software. Puede tener o no una herramienta de administración
de inventarios de terceros en su red. Si la tiene, estupendo; su tarea está hecha. Si no, necesitará
usar otras herramientas. Microsoft ofrece la herramienta Microsoft Inventory Analysis (MSIA).
No administra el inventario de todo el software, pero sí administra todo el software de Microsoft.
Para descargar MSIA, vaya a www.microsoft.com/resources/sam/msia.mspx.
MSIA es una herramienta basada en asistente que le permite realizar tres tareas:
• Rastrear un equipo local en busca de productos de Microsoft.
• Preparar un archivo de entrada de línea de comandos que incluya todos los parámetros de
rastreo que quiera usar.
• Ejecutar un rastreo utilizando un archivo de entrada de línea de comandos previamente pre-
parado.
Además, le permite rastrear sistemas locales y remotos, toda una red, o todo a la vez. La
instalación se basa en el servicio Instalador de Windows. Puede instalarlo interactivamente o usar
el procedimiento CD-15 para instalarlo en equipos de destino. Para crear un archivo de entrada
de línea de comandos:
1. Lance MSIA (menú Iniciar | Todos los programas | Microsoft Software Inventory Analyzer).
Haga clic en Next.
2. Seleccione Scan Using Custom Settings y Create Custom Settings. Haga clic en Examinar para
seleccionar la carpeta externa y asigne un nombre al archivo de salida. Tendrá una extensión
.cli para entrada de línea de comandos. Haga clic en Save para crear el archivo. Haga clic en
Next para seguir adelante.
664 Parte VII: Administre Windows Server 2008
3. Seleccione el ámbito del rastreo: Local Computer, Network o Report Consolidation. Haga clic
en Next.
4. En el cuadro de diálogo Download Database Files, haga clic en Download. MSIA irá al sitio
Web de Microsoft y descargará los últimos archivos de datos para los productos de Microsoft.
Se le pedirá que acepte un certificado de Microsoft para la instalación de la base de datos.
Haga clic en Yes. Haga clic en OK cuando la descarga esté completa. Haga clic en Next.
5. Seleccione los productos que desea rastrear y haga clic en Add (puede usar CONTROL-clic para
seleccionar más de un producto.) Seleccione Save These Products As The Default y luego haga
clic en Next.
6. Seleccione el formato o los formatos del informe. Haga clic en Browse para seleccionar la car-
peta del informe y déle nombre al archivo. Haga clic en Save para crear el archivo. Haga clic
en Next para seguir adelante.
7. Puede elegir consolidar reportes de resumen. Esto es útil para administración. Haga clic en Next.
8. Puede seleccionar que se envíe el informe de resumen por correo electrónico a alguien (o pue-
de enviarlo más adelante). Si necesita enviarlo a un grupo, cree un grupo distribuido e ingrese
aquí su dirección de correo electrónico.
9. No seleccione Save Settings As Default, porque está creando un archivo de entrada de línea
de comandos.
10. Haga clic en Finish para cerrar el archivo de entrada de línea de comandos.
Para ejecutar un rastreo de MSIA:
1. Lance MSIA (menú Iniciar | Todos los programas | Microsoft Software Inventory Analyzer).
Haga clic en Next.
2. Seleccione Scan Using Custom Settings y Load Existing Custom Settings. Si el archivo desple-
gado no es el que quiere utilizar, haga clic en Browse para seleccionar la carpeta y el archivo
que necesite. Haga clic en Open para cargar el archivo. Haga clic en Next para continuar.
MSIA rastrea los sistemas con base en las configuraciones de archivo.
3. Seleccione View Reports Now y haga clic en Finish. Ésta es una estupenda herramienta para
verificar el inventario de software de Microsoft.
Una segunda herramienta, útil y gratuita, para la administración de inventarios es el Mi-
crosoft Baseline Security Analyzer (MBSA) mencionado en el procedimiento SG-12. Como
opción predeterminada, se utiliza MBSA para rastrear sus sistemas de red en busca de parches
de seguridad faltantes, y los informes se almacenan en archivos localizados en el sistema que eje-
cuta MBSA. Éste incluye un poderoso conector para Microsoft Visio. Al vincular MBSA con Visio
mediante ese conector, automáticamente generará un inventario gráfico de su red. Haga clic en
cualquier elemento en la vista gráfica, y verá los detalles del sistema y el software que ejecuta. Por
supuesto, debe tener Visio, pero ¿qué administrador de tecnología de la información no necesi-
ta una red poderosa que tenga programas como éste? Obtenga el conector en www.microsoft.
com/technet/security/tools/mbsavisio.mspx.
Capítulo 13: Tareas de administración comunes 665
PARTE VII
De vez en cuando, también debe darse el tiempo de revisar el nuevo software de adminis-
tración. El objetivo de esa tarea es ver si puede reducir su carga de trabajo al integrar un nuevo
producto operativo. Un buen ejemplo de una herramienta operativa muy productiva es el System
Center Operations Manager 2007 (SCOM). Es muy eficaz porque vigila los eventos del sistema
en servidores y corrige automáticamente el comportamiento que puede ser dañino, además de
notificarle de su corrección.
Por otra parte, si su empresa es de un tamaño que no permite una herramienta tan compleja
como SCOM, tal vez prefiera buscar otra herramienta con capacidades similares. Muchas de las
tareas administrativas que realiza también pueden hacerse mediante secuencias de comandos,
como ya ha visto en varias de las tareas descritas antes. También pueden hacerse con herramien-
tas de bajo costo o dominio público. Dos buenas fuentes de información de herramientas son
www.MyITForum.com y www.TechRepublic.com.
Asegúrese de no adquirir herramientas cuyo uso sea significativamente diferente entre sí.
Eso le ayudará a limitar el número de herramientas o interfaces que usted y sus compañeros
administradores necesitarán aprender. Documente cualquier nueva adición a su red.
La mejor manera de asegurarse de que sólo puedan ejecutarse secuencias de comando fir-
madas en su red consiste en utilizar directivas de restricción de software (SRP, Software Restric-
tion Policies). Las SRP proporcionan verificación de secuencia de comandos y programa en una
de cuatro maneras:
• Reglas de hash
• Reglas de certificado
• Reglas de ruta de acceso
• Reglas de zona de red
Las dos más seguras y simples de usar son las reglas de hash y de certificado. Ambas pueden
aplicarse a secuencia de comandos y programas como paquetes de instalación de software (por
lo general en el formato del Instalador de Windows o .msi). Aquí se muestra cómo aplicar o veri-
ficar reglas SRP basadas en certificado:
1. Utilice el procedimiento CD-33 para editar el GPO apropiado. Puede aplicarse a todos los
sistemas de destino.
2. Haga clic con el botón derecho en Directivas de restricción de software (Configuración de
usuario | Directiva | Configuración de Windows | Configuración de seguridad | Directiva de
restricción de software) y seleccione Nuevas directivas de restricción de software del menú
contextual. Esto genera el entorno de SRP.
3. Haga doble clic en el elemento Cumplimiento del panel de detalles, y haga clic en Aplicar re-
glas de certificado. Asegúrese de que no está seleccionada la opción de bibliotecas (.dll). Haga
clic en Aceptar. Esto asegurará que sus reglas de certificado se apliquen.
666 Parte VII: Administre Windows Server 2008
4. Asegúrese de que las directivas de restricción del software estén establecidas en el panel de
árbol, y luego haga clic con el botón derecho en Reglas adicionales y seleccione Nueva regla
de certificado.
5. En el cuadro de diálogo Regla de nuevo certificado, haga clic en Examinar para localizar el
certificado que utiliza para firmar paquetes de instalación y secuencias de comando, seleccio-
ne Ilimitado como nivel de seguridad y escriba una descripción. Haga clic en Aceptar cuando
haya terminado.
6. Vaya a Directivas de restricción de software, y seleccione tipos de archivo designados del panel
de detalles. Observará que.wsc y .msi ya aparecen en la lista como extensiones restringidas. Puede
agregar cualquier otra extensión aquí. Haga clic en Aceptar para cerrar el cuadro de diálogo.
7. Seleccione Editores de confianza en la misma ubicación. Seleccione Definir esta configuración
de directiva, y acepte la configuración predeterminada. Bajo Comprobación de certificados,
seleccione ambos elementos. Haga clic en Aceptar cuando haya terminado.
PRECAUCIÓN Tiene la opción de eliminar a los administradores locales para que no se vean afecta-
dos por esta regla, pero hágalo con mucho cuidado.
Documente todos sus cambios. Coloque estos valores en un GPO que afecte a todas las PC y
los servidores de su red.
En Windows Vista, primero debe asegurar que se ha instalado el Service Pack 1. Luego, la
instalación de RSAT se realiza en dos pasos. El primero instala una actualización en el sistema
cliente y el segundo instala las propias herramientas.
PARTE VII
1. Empiece por instalar la actualización. La actualización de RSAT está disponible en el artículo
941314 de la base de conocimientos de Microsoft en http://support.microsoft.com/kb/941314.
Descargue e instale esa actualización. Haga doble clic en ella para lanzar el proceso de insta-
lación. Este proceso requiere derechos elevados y se realizan mediante el instalador indepen-
diente de Windows Update. Acepte el acuerdo de licencia para empezar la instalación. Una
vez que la instalación esté completa, las herramientas de administración local incluirán un
tema de ayuda para las herramientas de administración del servidor remoto.
2. A continuación, una vez que la actualización se haya instalado, debe habilitar la nueva carac-
terística RSAT de Windows. Vaya a Panel de control | Programas, y seleccione Habilitar o des-
habilitar características de Windows. Acepte el indicador de elevación del Control de cuentas
de usuario y vaya hacia abajo, a Herramientas de administración de servidor remoto. Obser-
vará que la sección RSAT está dividida en dos suscripciones: Herramientas de administración
de características y Herramientas de administración de funciones. Expanda ambas y marque
todas las herramientas (vea la figura 13-6).
3. Haga clic en Aceptar para lanzar la adición de estas herramientas.
Ahora está listo para crear la consola. Utilice el mismo procedimiento en WS08 o Vista.
Para crear una consola de la administración de Server Core, comience por la consola Ad-
ministración de equipos, que es una buena consola de propósito general. Además de todas las
características de la consola Administración de equipos, su consola personalizada debe incluir los
siguientes complementos:
A medida que trabaja con el almacén de recursos, pronto se dará cuenta de que es absolu-
tamente necesaria una consola gráfica de administración de la máquina virtual. Por esta razón,
es una buena idea instalar dos instancias de la instalación completa de Windows Server 2008 de
x64 junto con la función Hyper-V en el almacén de recursos. Estas dos máquinas deben tener las
siguientes características:
Capítulo 13: Tareas de administración comunes 669
FIGURA 13-7
Instalación de la función
Hyper-V en una instalación
PARTE VII
completa de WS08.
El tamaño del negocio que está ejecutando y el número de servidores dentro de él determi-
nará la frecuencia de esa tarea. Pero en algunos negocios se ponen en funcionamiento servidores
670 Parte VII: Administre Windows Server 2008
de manera regular, aunque sólo sea para reconstruir servidores antiguos y rediseñar su estruc-
tura de servicios.
La puesta en funcionamiento del servidor incluye una gran cantidad de actividades diferen-
tes. Como se analiza en el capítulo 4, Windows Server 2008 da soporte a diferentes métodos de
puesta en funcionamiento del servidor:
• Puesta en funcionamiento manual o interactiva Este método debe por lo menos basarse
en una lista de verificación completa.
• Archivo de respuesta no aprendida Este método se basa en un archivo de respuesta riguro-
so y completo y se usa principalmente para actualizar o para construir un servidor de referencia.
• Creación de imagen de disco con Sysprep Este método reproduce una imagen completa
de un servidor de referencia.
• Instalaciones remotas Este método construye un servidor a partir de un modelo capturado
y almacenado en el servidor de Servicios de implementación de Windows.
En el centro de datos dinámico, tiene dos procesos para puesta en funcionamiento. El pri-
mero está orientado al propio almacén de recursos y atiende la generación de un nuevo servidor
host. Los servidores pueden construirse de una de dos maneras.
• Puede depender de imágenes de disco o de procesos de instalación remota para generar un
nuevo servidor host.
• Si está usando almacenamiento compartido para sus servidores de hardware y ejecutando
el disco de sistema desde el almacenamiento compartido, entonces sólo necesita copiar esta
partición para crear una nueva imagen del servidor.
Capítulo 13: Tareas de administración comunes 671
En cualquier caso, necesita crear una imagen de servidor de referencia y mantenerla a través
de Windows Updates. Y para utilizarla con el fin de sembrar otras instancias de servidor, debe
ejecutarla mediante el proceso Sysprep. Dependa de las instrucciones del capítulo 4 para ello.
PARTE VII
También recuerde que su servidor host debe tener por lo menos dos tarjetas de interfaz de red,
una para la administración de red virtual y una para la administración remota del host.
El segundo proceso de puesta en funcionamiento que necesita atender es el de las máquinas
virtuales. Debido a su naturaleza, se ponen en funcionamiento las máquinas virtuales con sólo
copiar los archivos que las conforman. Una vez más, necesita crear un servidor real de referencia
y convertirlo en una imagen creada con Sysprep. La ventaja de las máquinas virtuales es que
puede y debe copiar los archivos del servidor de referencia y luego usar esta copia para generar el
Sysprep.
NOTA Tenga en mente que no porque las máquinas virtuales se puedan crear en menos de 20
minutos debe crearlas a voluntad. Asegúrese de seguir controlando la proliferación de servidores.
Siempre debe tener una nueva directiva de justiicación de equipos puesta en funcionamiento.
El Programador de tareas es una de las herramientas sin la que los administradores no pue-
den vivir porque sirve para automatizar tareas recurrentes en una red. El Programador de tareas
en Windows Server 2008 se localiza bajo Configuración, en la Consola del Administrador del
servidor.
1. Haga clic en Programador de tareas en el Administrador del servidor (Configuración | Progra-
mador de tarea).
2. Haga clic en Crear tareas, en el panel Acciones.
3. Asigne un nombre a la tarea, junto con sus credenciales.
4. Vaya a la ficha Desencadenadores y seleccione Nuevo.
5. Seleccione el desencadenador apropiado. Los desencadenadores pueden ser horas o fechas,
además de eventos específicos.
6. Seleccione Al producirse un evento, como desencadenador de la tarea.
7. Elija Básica o Personalizada como configuración del evento:
672 Parte VII: Administre Windows Server 2008
a) La configuración básica le permite seleccionar cuál registro de eventos será el origen del even-
to, y luego cuál origen de eventos y finalmente cuál ID de evento buscar (vea la figura 13-9).
b) La configuración personalizada le permite crear un filtro de eventos, dejándole determinar
exactamente cómo debe lanzarse la tarea con base en una serie de condiciones filtradas.
8. Siga agregando las prioridades de la tarea, como condiciones, acciones y configuraciones.
Las tareas son mucho más poderosas en Vista y WS08 que antes. También puede generar la
tarea directamente desde el Visor de eventos. Aquí, repite gran parte del mismo proceso, excepto
que la tarea se genera desde el propio evento en lugar de hacerlo de otra manera.
Cuando cree una tarea automatizada desde el Visor de eventos, utilice el siguiente procedimiento:
1. Localice el evento al que desea adjuntar la tarea. Puede ir directo al evento o crear un filtro
para localizarlo.
2. Haga clic con el botón derecho en el evento para seleccionar Adjuntar tarea a este evento, o
utilice el panel de acciones para hacer clic en el mismo comando. Esto lanza automáticamente
el Asistente para tarea básica.
3. Ejecute los paneles del asistente para generar la tarea.
La ventaja de usar este método para crear la tarea es que automáticamente rellena toda la infor-
mación necesaria para generar el desencadenador del evento. La desventaja es que sólo puede crear
una tarea básica utilizando este método. Por supuesto, una vez que la tarea es creada, puede ir al pro-
gramador de tareas para agregar características y propiedades a la tarea, pero esto requiere más pasos.
El último método consiste en utilizar la línea de comandos para crear tareas. Por ejemplo,
podría usar:
schtasks /create /TN nombretarea /TR acción /SC ONEVENT /EC System /MO *
[System/EventID=númeroID]
donde nombretarea es el nombre que quiere asignar a la tarea, acción es la acción que se desarro-
llará y númeroID es el número de ID del evento que actuará como desencadenador de la tarea.
En este ejemplo, el registro de eventos de origen es el registro de sistema. El programa de la tarea
está basado en la ocurrencia del evento y se modifica para identificar el ID del evento.
FIGURA 13-9
Uso de la coniguración
básica para adjuntar
una tarea a un evento.
Capítulo 13: Tareas de administración comunes 673
También puede utilizar el comando SCHTASKS en cada servidor para verificar el estatus de las
tareas programadas. Utilice el siguiente comando:
schtasks /query /s nombreequipo
PARTE VII
donde nombreequipo es el nombre DNS o la dirección IP de un servidor.
Utilice SCHTASKS /? para conocer más información.
NOTA Junto con GPO y el Asistente para coniguración de seguridad, las plantillas de seguridad y
la coniguración de seguridad son modos clave en que puede asegurar sus servidores restantes.
Las plantillas se usan para diversos fines. Pueden usarse para asignar configuraciones de se-
guridad a servidores, o para analizar configuraciones reales contra las almacenadas en la plantilla.
Ambas pueden realizarse en modo gráfico o de carácter.
directiva en la base de datos, modifique la configuración y haga clic en Aceptar. Repita con
cada valor que necesite modificar.
9. Utilice el botón derecho del ratón para desplegar el menú contextual de Configuración y análisis
de seguridad, y seleccione Guardar, para guardar las modificaciones que haga a la base de datos.
10. Para configurar un equipo con los valores de la base de datos, seleccione Configurar el equipo
ahora, del mismo menú contextual. Una vez más, necesitará especificar la ubicación y el nom-
bre del archivo de registro antes de que inicie la configuración.
Como opción, puede utilizar el comando SECEDIT para realizar esas tareas en la línea de
comandos. Utilice el siguiente comando para configurar un sistema:
secedit /configure /db nombrearchivo.sdb /log nombrearchivo.log /areas REGKEYS
FILESTORE SERVICES /quiet
Utilice el siguiente comando para analizar un sistema:
secedit /analyze /db nombrearchivo.sdb /log nombrearchivo.log /quiet
La última se puede establecer en una tarea programada al utilizar el procedimiento SG-21.
Utilice SECEDIT /? para conocer más información.
De vez en cuando, también debe darse tiempo para revisar todo su entorno técnico y ver si
requiere cualquier cambio. Esta tarea suele emprenderse dos veces al año. Utilice su registro de
actividad y sus reportes de detección y solución de problemas para identificar áreas de mejora
para su red y los servicios que entrega. También podría instituir un área de sugerencias para el
usuario. La mejor manera de hacer esto consiste en crear un alias de correo electrónico de suge-
rencias y distribuirlo a los usuarios.
Documente cada cambio propuesto en un caso de negocios para obtener fondos y aproba-
ción para el cambio. En realidad, documente cuidadosamente cada cambio que implemente.
También debe darse tiempo para revisar su sistema y documentación de red de manera ad
hoc. ¿Está actualizada? ¿Describe con exactitud su entorno real? Ésa no es una tarea que muchos
de nosotros realizaríamos como administradores de sistema; sin embargo, es necesaria. Utilice las
herramientas apropiadas como Microsoft Office y Visio para elaborar su documentación (consulte
el procedimiento SG-14).
Además, Microsoft proporciona una serie de herramientas que documentan automáticamen-
te ciertos aspectos de la red. Éstas son Microsoft Product Support’s Reporting Tools, y pueden
encontrarse al buscar su nombre en www.microsoft.com/download. Hay varias herramientas
disponibles para creación de documentos: Alliance (un programa especial de soporte que incluye
una versión para PC x64), Clúster, Directory Services, Network, Setup, WSUS, SQL Server, Micro-
soft Data Access Components (MDAC) y Exchange.
Asegúrese de manera regular que su documentación está actualizada.
Capítulo 13: Tareas de administración comunes 675
PARTE VII
SG-25: Administración del acuerdo de nivel de servicio
Frecuencia de la actividad: ad hoc
Otra actividad ad hoc es la revisión de sus acuerdos de nivel de servicio (SLA, Service Level
Agreements). Esto debe hacerse al menos dos veces al año. SLA se refiere a los acuerdos que es-
tablece con su comunidad de usuarios para la entrega de servicios. Los servicios deben ordenarse
en categorías por prioridad y asignarse diferentes tiempos de recuperación a cada prioridad. Por
ejemplo, un servicio no crítico puede restaurarse en cuatro horas o menos, mientras uno crítico
debe de restaurarse antes de una hora.
Una vez más, sus informes de detección y solución de problemas serán muy útiles durante
esta revisión. La información de los usuarios es muy valiosa durante esta revisión, porque sus ne-
cesidades pueden cambiar mientras aprenden a entender mejor las capacidades de sus sistemas.
La revisión final que debe realizar de manera bianual es la revisión de su carga de traba-
jo. Aún deberá revisar su carga de trabajo para asegurarse de que tenga sitios suficientes para
satisfacer todas las tareas que debe realizar. Si algunas tareas no son atendidas con la frecuencia
propuesta en este capítulo, tal vez requiera ayuda adicional. Si es así, prepare cuidadosamente un
caso de negocios para su propuesta y preséntela a su administración. Cuando ese tipo de suge-
rencias están bien preparadas y justificadas de manera apropiada, rara vez son rechazadas.
676 Parte VII: Administre Windows Server 2008
Administración de hardware
Todas las tareas incluidas en la administración de hardware son de marcador de posición; aunque es
vital que las realice de manera regular, resulta difícil documentar exactamente cómo debe realizarlas,
porque hay muchos modelos y métodos diferentes para administración de hardware en el mercado.
Por lo tanto, deberá modificar cada tarea que aparece en la lista para agregar sus propias
actividades personalizadas.
Por lo general, su red está integrada por una serie de conmutadores, concentradores, enruta-
dores, firewalls, etc. Su buena salud continua asegurará la operación apropiada de Windows Server
2008. Por tanto, es útil que dé un paseo regular por el cuarto de cómputo para revisar que el hard-
ware de la red esté ejecutándose de manera apropiada. Esto incluye las siguientes actividades:
• Revisar cada uno de los dispositivos de red para asegurarse de que las luces indicadoras apro-
piadas estén encendidas.
• Revisar los registros de la máquina y las configuraciones para asegurarse de que sean estables
y ver si han ocurrido intrusiones.
• Verificar los cables y las conexiones para asegurarse de que estén en buenas condiciones.
Esta tarea debe personalizarse para incluir las herramientas que permite su entorno.
Como ocurre con los sistemas operativos, las versiones del sistema básico de entrada y salida
(BIOS) cambian continuamente y los fabricantes agregan capacidades y funcionalidades. Por fortu-
na, casi todos los fabricantes de servidores se adhieren a las recomendaciones de la Desktop Mana-
gement Task Force (www.dmtf.org) para que ya no necesite estar sentado frente al servidor con el fin
de realizar una actualización del BIOS. La herramienta que utilice variará dependiendo de la plata-
forma con la que esté trabajando, pero todos los fabricantes de servidores importantes proporcionan
herramientas de administración remota DMTF. Intel incluso solía ofrecer una herramienta genérica
de administración remota DMTF, LANDesk, que funciona con casi todo el hardware de Intel.
Ahora está disponible con LANDesk Software (www.landesksoftware.com). No importa
cuál herramienta utilice, a menudo necesitará mantener el BIOS y otro software de fabricante de
hardware actualizado con el fin de calificar completamente para soporte constante.
Una vez al mes, debe revisar la disponibilidad de nuevas ediciones del BIOS para su hard-
ware y revisar si requiere el nuevo BIOS en su entorno. Si es así, descargue el nuevo y utilice sus
herramientas de DMTF para realizar la actualización en todos los servidores de destino.
Además del software del BIOS, los fabricantes de hardware proporcionan software de ad-
ministración de firmware y de servidor. Esas herramientas dan soporte a todo tipo de actividad,
Capítulo 13: Tareas de administración comunes 677
desde indicarle el estatus de los componentes dentro de los gabinetes de su servidor hasta ejecu-
tar componentes específicos de hardware. En casi todos los casos, esas herramientas incluyen un
gran número de componentes distintos. Por tanto, tienden a actualizarse de manera regular. Una
PARTE VII
vez más, necesitará mantenerse actualizado si quiere soporte continuo de su fabricante.
Una vez al mes, debe revisar la disponibilidad de nuevas ediciones de software de adminis-
tración de firmware y de servidor para su hardware y revisar si requiere estos nuevos componen-
tes en su entorno. Si es así, descárguelas y utilice su DMTF o sus herramientas de software de
administración de servidor para realizar la actualización en servidores de destino.
mientos delineados aquí están basados en WBAHMIN.EXE, la herramienta de copia de seguridad pre-
determinada de Windows Server 2008. Esta edición de copia de seguridad de Windows es mucho más
completa que versiones anteriores, con la adición del servicio Instantáneas de volumen y la opción
de recuperación completa de los sistemas. La primera le permite al sistema tomar una instantánea de
todos los datos antes de hacer la copia de seguridad, resolviendo muchos problemas con los archivos
abiertos. La segunda le permite reconstruir un servidor sin tener que reinstalar su software.
SUGERENCIA Consulte el capítulo 11 para conocer más información acerca de las copias de
seguridad de Windows.
Si su empresa es seria con sus datos, lo más probable es que tendrá un motor de copia de se-
guridad más completo. El mejor de éstos es Galaxy, de Commvault Systems, Inc. (www.commvault.
com). Ésta es una de las únicas herramientas de copia de seguridad que da soporte completo a los
Servicios de dominio de Active Directory, dejándole restaurar objetos y atributos directamente den-
tro del directorio, sin tener que realizar una restauración de autoridad, una operación que es bastante
compleja. Además, si tiene volúmenes masivos de datos, Galaxy le ahorrará un tiempo considerable,
sobre todo en el caso de copias de seguridad completas, porque construye una imagen completa de
copia de seguridad incrementales pasadas, utilizando una tecnología de almacenamiento de una
sola instancia. Esto significa que nunca le faltará tiempo para hacer su copia de seguridad, porque no
se obtiene en realidad de los propios sistemas, sino de imágenes anteriores de copia de seguridad.
Las copias de seguridad del disco del sistema son críticas en cada servidor, porque son las
herramientas que protegen al sistema operativo. Los datos del disco del sistema siempre se copian
como un todo y no pueden segregarse. Ésa es una tarea diaria que debe volverse automática.
SUGERENCIA Debe conigurar las copias de seguridad para que se ejecuten en un almacenamiento
compartido o en discos extraíbles, para que pueda almacenarlos fuera de sitio.
Aunque las copias de seguridad son un poco más fáciles de hacer y más confiables con
WS08, aún debe tomarse el tiempo de asegurarse de que se han realizado de manera correcta.
Capítulo 13: Tareas de administración comunes 679
PARTE VII
• Personalizada: si quiere excluir algunos volúmenes
Especiicar hora de copia de Hay dos opciones:
seguridad • Una vez al día y Seleccionar hora del día
• Más de una vez al día y Agregar la programación de copia de seguridad
Seleccionar disco de destino Debe seleccionar el disco para la copia de seguridad. Puede tener varios discos. Haga clic en
Mostrar todos los disponibles para seleccionar el disco y, en la ventana Discos disponibles,
seleccione de nuevo el disco. Aparecerá un mensaje de advertencia, notiicándole que el
disco se volverá a formatear.
Etiquetar disco de destino Veriique que el disco esté etiquetado correctamente, de acuerdo con la columna de la etiqueta.
Para ello, necesita ver el registro de las copias de seguridad en cada servidor de archivos. Para
revisar estos registros:
1. Utilice el procedimiento AR-01 para abrir la conexión de escritorio remoto con el servidor que
quiere verificar.
2. Haga clic en la herramienta Copias de seguridad del servidor de Windows Server, en la conso-
la Administrador del servidor, bajo Almacenamiento, para ver el estatus de la copia de seguri-
dad, y haga clic en Ver detalles.
3. Busque la palabra “Error” en el registro del informe.
Si encuentra errores, determine si es un archivo crítico y utilice el Explorador de Windows
para ver por qué el archivo no se copia o si necesita recuperarse. Anote los resultados de la inves-
tigación en su registro de actividades diarias (procedimiento SG-06).
SUGERENCIA Si implementó una directiva de replicación para el contenido del servidor host de
una ubicación a otra, entonces todos sus ofrecimientos de servicios virtuales estarán protegidos,
porque los archivos que los integran estarán en más de un sitio.
680 Parte VII: Administre Windows Server 2008
Una estrategia de recuperación de desastres sólo es tan buena como su capacidad proba-
da de recuperar y reconstruir sus sistemas. Por tanto, debe tomarse el tiempo de validar su
estrategia de recuperación de desastres de manera mensual. Esto significa asegurarse de que
todo lo que integra la estrategia de recuperación de desastres esté en funcionamiento y listo para
dar soporte a la reconstrucción de su sistema en cualquier momento. En el caso de almacenes
de recursos, esto incluye todo, desde tener partes, servidores y componentes de red sobrantes,
almacenamiento fuera de sitio de discos de copia de seguridad, un sólido sistema de rotación
de discos de copia de seguridad, procedimientos documentados para reconstrucción del sistema
(sobre todo reconstrucción de ADDS), etc. Esta revisión debe basarse en una lista de verificación
que se utiliza para validar cada uno de los elementos que dan soporte a la recuperación del siste-
ma. Documente cualquier cambio que haga a esa estrategia después de que complete la revisión.
Las copias de seguridad sólo son tan buenas como su capacidad para restaurar información
a un sistema. Por tanto, una vez al mes debe realizar una prueba de restauración a partir de una
copia aleatoria de sus medios de copia de seguridad, para asegurarse de que en realidad fun-
cione. Muchas organizaciones se han quedado con las manos vacías cuando tratan de restaurar
archivos críticos de discos de copia de seguridad que nunca fueron probados, sólo para descubrir
que no funcionan. Para probar el procedimiento de restauración, utilice la consola Administrador
del servidor para lanzar el asistente para recuperación (Almacenamiento | Copia de seguridad de
Windows Server), e introduzca la información de la tabla 13-3.
Verifique la integridad de los archivos que restaura. Destruya los archivos cuando haya
terminado.
Una vez al mes también debe tomarse el tiempo para revisar su estrategia de copia de
seguridad. ¿Ha cambiado el volumen de copias de seguridad? ¿Existe nueva información para
incluir en sus copias de seguridad? ¿Es apropiado su calendario de copia de seguridad? Éstas y
otras preguntas deben ayudarle a formar una lista de verificación que puede usar para revisar su
estrategia de copia de seguridad.
Documente cualquier cambio que haga.
Administración remota
En Windows 2000 se introdujo el concepto de administración de servidor remota a través de Termi-
nal Services, en el modo de administración. Esto le permite integrar dos conexiones remotas a un
servidor sin licencias adicionales de cliente de Terminal Services. En Windows Server 2008, a esta
característica se le denomina conexiones de escritorio remoto (RDC, Remote Desktop Connections).
Capítulo 13: Tareas de administración comunes 681
PARTE VII
Seleccionar elementos para Bajo Elementos disponibles, expanda el signo de más. De la carpeta, elija cada uno de los
recuperar elementos que desea restaurar.
Especiicar opciones de Hay dos opciones para la ubicación:
recuperación • Ubicación original.
• Otra ubicación: necesitará ingresar la ruta de acceso completa de la ubicación o hacer clic
en el botón Examinar.
Hay tres opciones para los archivos y las carpetas que habrá de restaurar:
• Crear copias para que tenga ambas versiones del archivo o la carpeta.
• Sobrescribir archivos existentes con archivos recuperados.
• No recuperar ningún archivo o carpeta existentes.
RDC es un beneficio para los administradores de servidores porque les da acceso completo
al escritorio de un servidor, sin tener que acceder físicamente a éste. Además, puede depender de
RemoteApps al publicar sólo la aplicación a la que necesita acceder y no todo el escritorio.
NOTA RDC es más seguro porque limita el acceso a los cuartos del servidor. Los administradores
pueden trabajar desde sus propios escritorios para administrar y conigurar remotamente los
servidores.
Una vez al mes, debe revisar sus prácticas de administración de servidor remoto. Esta revi-
sión debe servir para responder preguntas como: ¿Están seguras nuestras conexiones remotas?
¿Cuántos administradores tienen acceso remoto a los servidores? ¿Cambiamos nuestras contra-
señas administrativas con la frecuencia suficiente? ¿Están las consolas que dan acceso remoto a
servidores lo suficientemente protegidas?
NOTA Recuerde que las conexiones de escritorio remoto sólo son necesarias si debe modiicar con-
iguraciones en un servidor. En almacenes de recursos, trate de adquirir el hábito de trabajar con
una consola MMC personalizada. En ofrecimiento de servicios virtuales, trate de publicar sólo la
herramienta que necesite. Consulte el capítulo 9 para conocer información acerca de las aplicacio-
nes de publicación con RemoteApps y para información sobre la manera de trabajar con la consola
Escritorio remoto.
NOTA Si habilita RDC, necesitará implementar el cliente de Escritorio remoto 6.1 en cada equipo,
si aún no lo tiene.
3. Haga clic en el botón Seleccionar usuarios para presentar una lista de los usuarios que pueden
conectarse a este equipo; cualquier miembro del grupo Administradores puede conectarse,
aunque no aparezca en la lista.
4. No necesita hacer nada más si sus administradores son miembros del grupo Administradores
locales, porque automáticamente tienen acceso al servidor. Como opción alterna, puede agre-
gar operadores de servidor remoto al grupo integrado Usuarios de Escritorio remoto (usuarios
y equipos de Active Directory | Built-in). Esto le dará acceso al escritorio local en una sesión
remota. Si no son miembros de algún grupo, debe enumerar a los usuarios de uno en uno.
Haga clic en Seleccionar usuarios remotos para ello.
5. Haga clic en Aceptar en cada cuadro de diálogo cuando haya terminado.
También puede establecer esta opción remotamente mediante una directiva de grupo. Esto
debe ser un GPO que se aplica sólo a servidores. Habilite el valor Permitir que los usuarios se
conecten de forma remota mediante Terminal Services (Configuración del equipo | Directivas
| Plantillas administrativas | Componente de Windows | Terminal Services | Terminal Server |
Conexiones). Este parámetro de GPO proporciona la misma funcionalidad que las casillas de
verificación de Propiedades del sistema.
La administración de RDC en las PC es igual que en los servidores y usa exactamente el mis-
mo método (consulte el procedimiento AR-01). Las PC sólo permiten un inicio de sesión a la vez.
Si inicia sesión remotamente en una PC mientras un usuario ya la ha iniciado, se cierra automáti-
camente la sesión del usuario. Si necesita proporcionar ayuda, utilice en cambio el procedimiento
AR-03.
Si necesita proporcionar soporte remoto a un usuario, sobre todo mientras esté todavía en su
sesión, no puede usar Conexión de Escritorio remoto porque automáticamente termina la sesión
del usuario y hace que se inicie la suya. Utilice, en cambio, Asistencia remota.
PRECAUCIÓN ¡No pida a un usuario sus credenciales para que pueda iniciar sesión bajo este
contexto de seguridad!
Capítulo 13: Tareas de administración comunes 683
La Asistencia remota funciona de dos maneras. Puede permitir que los usuarios soliciten
ayuda al escritorio de ayuda, o puede dejar que los operadores del escritorio de ayuda ofrezcan
asistencia técnica a los usuarios. Éstos deben aceptar explícitamente la ayuda antes de seguir
PARTE VII
adelante. La Asistencia remota se controla mediante dos configuraciones de GPO: Asistencia
remota solicitada y Ofrecer asistencia remota (Configuración del equipo | Directivas | Plantillas
administrativas | Sistema | Asistencia remota). Cada una incluye la capacidad de identificar a perso-
nas que pueden brindar ayuda en su organización. Asistencia remota solicitada le permite también
establecer los tiempos durante los cuales los usuarios pueden solicitar ayuda y el mecanismo de
solicitud: mailto o Interfaz de programación de aplicación de mensajería simple (MAPI, Messaging
Application Programming Interface). Además, cada una le permite determinar el tipo de ayuda que
se ofrece, identificar si el personal de soporte puede interactuar con el escritorio o simplemente
vigilar. La interacción proporciona el soporte más completo, pero puede representar un riesgo de
seguridad. Ambas configuraciones requieren una lista de auxiliares. Los auxiliares son grupos de
usuarios que están escritos en el formato nombredominio\grupodominio.
PRECAUCIÓN Recuerde que antes de que un auxiliar pueda ayudar a un usuario o interactuar con
su escritorio, los usuarios deben aceptar el ofrecimiento de Asistencia remota. Asegúrese de adver-
tir a los usuarios que nunca dejen sus escritorios sin atender mientras alguien está interactuando
con él.
NOTA Casi todas las actividades de esa sección requieren derechos administrativos locales o
delegación apropiada de derechos para el servicio.
PARTE VII
Administración del servicio de archivos
Con Windows Server 2008, la administración del servicio de archivos incluye todo, desde formatear
un nuevo disco hasta integrarlo con Active Directory para crear estructuras de carpetas compartidas
complejas con el Servicio de archivos distribuido. Pero está concentrado principalmente en discos y
los servicios a los que Windows Server 2008 da soporte cuando trata con almacenamiento.
Pueden usarse cuatro herramientas principales para administrar servidores de archivos:
• El Explorador de Windows, porque le da acceso a discos y carpetas compartidas.
• La consola Administrador de recursos del servidor de archivos, porque es de un solo propósito
y se concentra en discos y recursos compartidos.
• El comando NET SHARE, porque es una herramienta de línea de comandos que puede usarse
para secuencias de comandos de operaciones de intercambio.
• El comando DISKPART, porque está diseñado para administrar discos, volúmenes y particiones.
La revisión del espacio libre en un servidor requiere una vista de las unidades reales de disco
localizadas en el servidor. Hay varias maneras de hacerlo, pero la más fácil consiste en simple-
mente abrir una Conexión de Escritorio remoto (RDC) con el servidor cuyas unidades desea
verificar. Si no lo ha hecho, utilice el procedimiento AR-01 para crear un vínculo RDC con cada
uno de los servidores a los que quiere verificar y luego haga lo siguiente:
1. Lance una sesión de Escritorio remoto con el servidor que desea verificar e inicie sesión con
sus credenciales administrativas.
2. Utilice el acceso directo del Explorador de Windows localizado en el área Inicio rápido para
hacer clic en Equipo.
3. Asegúrese de que está en la vista Mosaico o Detalles, y verá el espacio usado y disponible en
cada disco. También puede verlo al hacer clic en el propio disco y revisar la barra de estado, en
la parte inferior de la ventana del Explorador de Windows.
4. Observe el espacio disponible para cada disco de datos en su registro de espacio libre disponible.
5. Cierre el Explorador de Windows cuando haya terminado.
Por supuesto, si tiene 500 servidores, este procedimiento puede volverse tedioso. De modo
que tal vez prefiera utilizar un método más automatizado. El Administrador del servidor de
Windows WS08 incluye un monitor de rendimiento (Diagnóstico | Confiabilidad y rendimiento
| Herramientas de supervisión | Monitor de rendimiento). Este complemento le permite super-
visar el rendimiento de la aplicación y el hardware, personalizar los datos para recolectarlos en
registros, definir umbrales para alertas y acciones automáticas, generar reportes y ver los datos
de rendimiento pasados de diferentes maneras. Para agregar contadores, haga clic en el signo de
más en el panel Detalles. Incluye contadores para más de 50 objetos.
Puede crear un monitor o una consola de monitor de rendimiento que lleve registro auto-
máticamente del espacio libre en disco en todos los servidores. Esta consola necesitará derechos
de acceso para revisar contadores en cada servidor que supervise, de modo que es mejor que
686 Parte VII: Administre Windows Server 2008
utilice el comando Ejecutar como administrador (consulte el procedimiento SG-01) para lanzar la
consola del Monitor de rendimiento (Administrador del servidor | Diagnóstico | Confiabilidad y
rendimiento | Herramientas de supervisión) y luego proceda de la siguiente manera:
1. Utilice el signo de más en la barra de herramientas para agregar un contador.
2. En el campo Seleccionar contadores del equipo, escriba el nombre del servidor que quiera
ver. Recuerde utilizar el nombre de la convención universal de asignación de nombres (UNC,
Universal Naming Convention), por ejemplo, \\NombreEquipo.
3. Seleccione Disco lógico, como objeto de rendimiento, y % de espacio disponible, como conta-
dor (haga clic en la flecha hacia abajo para ver los contadores).
4. Seleccione el sistema y la unidad del disco de datos, y haga clic en Agregar. Repita este pro-
cedimiento para cualquier otro servidor que quiera incluir. Haga clic en Aceptar cuando haya
terminado.
5. Ahora que todos los servidores y discos se han agregado, utilice Acciones adicionales | Nuevo |
Conjunto de recopiladores de datos, del panel Acciones.
6. Asigne al recopilador de datos el nombre “Espacio disponible en disco”, haga clic en Siguiente,
guárdelo en la ubicación predeterminada y haga clic en Siguiente.
7. En el siguiente cuadro de diálogo, haga clic en Cambiar, bajo Ejecutar como, para agregar
credenciales apropiadas a este conjunto recolector. Haga clic en Aceptar.
8. Haga clic en Guardar, en Cerrar y luego en Finalizar.
9. Para ejecutar el recolector, vaya al Administrador del servidor | Diagnóstico | Confiabilidad y
rendimiento | Conjuntos de recopiladores de datos | Definido por el usuario. Haga clic con el
botón derecho en su conjunto recopilador y seleccione Iniciar.
10. Ejecute cualquier acción que necesite para revisar el espacio disponible en sus servidores.
Utilice esta consola para ver el espacio libre en todos los servidores de archivos, a partir de ahora.
Por último, puede usar una herramienta de línea de comando simple para verificar el espacio
libre en disco. Funciona en cualquier sistema y puede enviar su salida a un archivo de texto. Utili-
ce la siguiente estructura:
freedisk /S NombreEquipo /D NombreUnidad
donde NombreEquipo es el nombre DNS del servidor remoto y NombreUnidad es el nombre de
la unidad o el volumen que desea verificar. Ponga esto en un archivo de comandos y ejecútelo
como una tarea programada (consulte el procedimiento SG-21).
También puede usar el Administrador de recursos del servidor de archivos (FSRM, File
Server Resource Manager) en la consola independiente (mediante Herramientas administrativas)
o mediante el Administrador del servidor (Funciones | Servicios de archivos | Administración de
almacenamiento y recursos compartidos) para ejecutar informes de almacenamiento.
PARTE VII
crear reportes. Agregue cada unidad.
3. Puede crear informes de información muy variada:
• Archivos duplicados
• Auditorías de vigilancia de archivos
• Archivos por grupo de archivo
• Archivos por propietario
• Archivos grandes
• Archivos de acceso menos reciente
• Archivos de acceso más reciente
• Uso de cuotas
Cada informe incluye una vista de todo el disco. Seleccione los objetos que desea incluir en el
informe y seleccione el formato de éste (DHTML, HTML, XML, CSV o texto).
4. Vaya a la ficha Programa y haga clic en Crear programa.
5. Haga clic en Nuevo y luego seleccione el programa que quiera. Haga clic en Aceptar cuando
haya terminado.
6. Haga clic en la ficha Entrega e incluya una dirección de correo electrónico. Lo ideal sería
que se trate de una dirección del grupo, si no hay más de un administrador interesado en este
informe. Como opción predeterminada, los informes se almacenan en la carpeta
%SYSTEMDRIVE%\STORAGEREPORTS\SCHEDULED.
PRECAUCIÓN Para que este servidor envíe correo electrónico, debe incluirse en la lista de Agentes
de retransmisión, de su servidor de protocolo de transferencia de correo simple (SMTP, Simple
Mail Transfer Protocol).
SUGERENCIA El Administrador del servidor sólo generará informes sobre el servidor local. Para
generar informes de otros servidores, debe utilizar la consola FSRM independiente, porque es la
única que le permite conectarse a otro equipo.
Windows Server 2008 ofrece mucha funcionalidad adicional en esta área, sobre todo con el
servicio Instantáneas virtuales. Utilice el procedimiento RSC-01 para crear las copias de seguridad.
También debe darse tiempo para asegurarse de que se han realizado apropiadamente. Para ello,
necesita ver el registro de copia de seguridad de cada servidor de archivos. Utilice el procedimiento
RSC-02 para revisar sus registros de copia de seguridad de datos. Si encuentra errores, determine si
688 Parte VII: Administre Windows Server 2008
están en un archivo crítico (los errores de copia de seguridad de datos sólo están en archivos de las
unidades de datos), y utilice el Explorador de Windows para ver por qué no se copió el archivo.
PRECAUCIÓN Deberá establecer permisos de seguridad en estas carpetas. Recuerde que los per-
misos de sistema de archivos de nueva tecnología (NTFS, New Technology File System) son los
deinitivos. Esto signiica que debe concentrarse primero en estos permisos.
Para crear nuevas carpetas:
1. Abra la conexión de Escritorio remoto con el servidor apropiado.
2. Lance el Explorador de Windows (área Inicio rápido | Explorador de Windows), y seleccione la
unidad D: (todos los datos deben estar en la unidad D:).
3. Localice el nivel donde desee crear la nueva carpeta en el panel de la izquierda. Haga clic con
el botón derecho en el panel de la derecha del Explorador de Windows, seleccione Nuevo |
Carpeta y escriba el nombre de la carpeta. Elija un nombre que pueda usarse como carpeta y
como nombre de recurso compartido. Oprima ENTER cuando haya terminado. Repita para cada
carpeta que necesite.
4. Aplique configuraciones de seguridad NTFS a cada carpeta. Para ello, haga clic con el botón
derecho en cada nombre de carpeta y seleccione Propiedades. Vaya a la ficha Seguridad. Agregue
los grupos apropiados y asigne configuraciones de seguridad apropiados a cada grupo.
SUGERENCIA Debe modiicar las coniguraciones de seguridad en las carpetas raíz, porque estas
coniguraciones se heredan cada vez que crea sus carpetas. De esta manera, sólo necesitará ainar
las coniguraciones de su carpeta a partir de ese momento.
Puede compartir carpetas y publicar un recurso compartido en los Servicios de dominio de
Active Directory. Para conocer más información sobre cómo hacer esto, consulte el capítulo 8.
También puede compartir carpetas mediante la línea de comandos. Utilice la siguiente sin-
taxis, una vez que se haya creado la carpeta:
net share NombreRecurso=RutaCarpeta /grant:NombreGrupo,full /unlimited
Donde NombreCompartido es el nombre del recurso compartido, RutaCarpeta es la letra de la uni-
dad y la ruta a la carpeta y NombreGrupo es el nombre del grupo al que le desea asignar los derechos.
El servicio Replicación DFS (DFSR, DFS Replication) es la esencia del Sistema de archivos
distribuido y de las operaciones del Servicio de dominio de Active Directory cuando los dominios
Capítulo 13: Tareas de administración comunes 689
están en modo plenamente funcional para WS08. Su operación apropiada debe verificarse diaria-
mente. La mejor manera de hacer esto consiste en usar el Administrador del servidor.
1. Vaya al registro de replicación DFS (Diagnóstico | Visor de eventos | Registro de aplicaciones y
PARTE VII
servicios | Replicación DFS).
2. Identifique cualquier error o advertencia. Emprenda las acciones apropiadas, si aparece
alguna.
Tome nota de cualquier acción correctiva que deba emprender. Utilice el procedimiento SG-
06 para registrar los diferentes eventos que investigue cada día.
También puede usar una herramienta de línea de comandos para administrar DFSR: DFRSADMIN.
Simplemente escriba el comando en una ventana de comandos para ver su archivo de Ayuda.
El servicio Instantáneas de volumen (VSS, Volume Shadow Copy) es una herramienta útil
para administradores de sistemas, porque proporciona a los usuarios la capacidad de restaurar
sus propios archivos. También proporciona la capacidad de crear copias de seguridad a partir de
copias o instantáneas de datos de producción, lo que le permite crear las copias de seguridad de
los datos sin afectar el entorno de producción. Consulte el capítulo 6 para conocer más informa-
ción al respecto.
Las instantáneas son una característica de los volúmenes de disco. Para verificar el estatus de VSS:
1. Abra una Conexión de Escritorio remoto con el servidor apropiado, y luego abra el Explorador
de Windows (área Inicio rápido | Explorador de Windows).
2. Vaya a la unidad de datos (unidad D:) y haga clic con el botón derecho para seleccionar Pro-
piedades.
3. Vaya a la ficha Instantáneas y haga clic en Configuración.
4. En el cuadro de diálogo Configuración, haga clic en Detalles. Esto desplegará un cuadro de
diálogo que presenta las instantáneas de volumen en que están localizados, además de la can-
tidad de espacio disponible en el volumen y la cantidad de espacio utilizado por VSS. Verifique
que haya suficiente espacio disponible para las instantáneas y haga clic en Aceptar para cerrar
el cuadro de diálogo.
NOTA Las instantáneas deben localizarse en un volumen dedicado. Esto asegura que VSS no inter-
ferirá con los niveles de servicio de producción.
5. Verifique el tamaño máximo asignado a VSS y modifíquelo, si es necesario.
6. También debe revisar el programa de VSS. Haga clic en Programa, verifique que todo esté
como debe estar y haga clic en Aceptar, cuando haya terminado. El programa predeterminado
suele ser apropiado para casi todos los entornos.
7. Cierre el cuadro de diálogo Propiedades cuando haya terminado, al hacer clic en Aceptar.
690 Parte VII: Administre Windows Server 2008
El sistema de archivos distribuido (DFS) es uno de los servicios de archivos más poderoso de
Windows Server 2008. Proporciona acceso completo a recursos compartidos de archivos redun-
dantes en modo independiente o de dominio. Utilice la consola Administración de DFS (Admi-
nistrador del servidor | Funciones | Servicios de archivo) para asegurar la operación apropiada de
este servicio.
1. Si el nombre del espacio DFS que desea administrar no está visible, utilice el menú Acción para
conectarse a sus raíces de DFS (panel Acciones | Agregar espacios de nombre que se van a mos-
trar), localice el espacio de nombres que desea administrar, selecciónelo y haga clic en Aceptar.
2. Para asegurarse de que el recurso compartido de DFS está operando apropiadamente, haga
clic con el botón derecho en el nombre compartido de DFS y seleccione Revisar el estado, del
menú contextual.
3. Todos los destinos deben mostrar un estatus en línea. Si no, verifique por qué los destinos no
están en línea y repárelos (el servidor puede haberse caído).
NOTA DFS depende en gran medida del servicio Llamada a procedimiento remoto. Asegúrese de
que el servicio esté activo y funcionando. Además, los espacios de nombres de DFS basados en
dominio deben tener relojes sincronizados (para dar soporte a réplica y localización de los desti-
nos). Asegúrese de sintonizar todos los sistemas con el emulador de PDC (ésta es normalmente la
opción predeterminada del dominio de Servicios de dominio de Active Directory).
La consola DFS puede usarse para modificar la configuración de DFS, agregar nuevos desti-
nos y vínculos, configurar replicación, etcétera.
Capítulo 13: Tareas de administración comunes 691
Los espacios de nombres de DFS independientes tienden a aplicarse con más frecuencia en
clústeres de servidor. Si utiliza los clústeres de servidor y espacios de nombres DFS independientes,
tendrá la oportunidad de reciclar este procedimiento. Conozca más sobre DFS en el capítulo 8.
PARTE VII
Además, pueden usarse dos herramientas de línea de comandos para la administración de
DFS: DFSCMD y DFSUTIL. De los dos, el último es el más útil. Simplemente escriba el comando en
un indicador de comandos para ver su archivo de Ayuda.
Debido a que los datos se almacenan en unidades y éstas tienden a ser el punto principal de
falla de cualquier sistema, es importante verificar que se revisa de manera regular la integridad de
los volúmenes que utiliza.
Para revisar la integridad de un disco, utilice el siguiente comando:
chkdsk Volumen /f
donde Volumen es el nombre de una unidad o volumen que quiere revisar. Este comando se pue-
de establecer como una tarea común programada (consulte el procedimiento SG-21).
También puede revisar este comando mediante una interfaz gráfica. Use el Explorador de
Windows para localizar la unidad de disco que desea verificar, haga clic con el botón derecho en
ella, seleccione Propiedades, vaya a la ficha Herramientas y haga clic en Comprobar ahora.
NOTA Este comando sólo puede ejecutarse en tiempo real en volúmenes que no son del sistema.
Debido a que CHKDSK necesita acceso exclusivo a un volumen durante la veriicación, sólo puede
ejecutarse al inicio del servidor en volúmenes del sistema.
PARTE VII
Dominio | Objetos de directiva de grupo) y ubique el GPO que desee modificar. Debe ser el
GPO Servidor de archivos e impresión global. Haga clic con el botón derecho en esa directiva
y seleccione Editar.
3. Habilite la directiva de auditoría de acceso de objetos (Configuración del equipo | Directivas | Con-
figuración de Windows | Configuración de seguridad | Directivas locales | Directiva de auditoría).
4. A continuación, debe identificar las carpetas que desea auditar (Configuración del equipo | Di-
rectivas | Configuración de Windows | Configuración de seguridad | Sistema de archivos). Para
ello, debe utilizar el comando Agregar archivo, localizar la carpeta que desea auditar, hacer
clic en el botón Opciones avanzadas, ir a la ficha Auditoría y hacer clic en Agregar, localizar el
grupo que desea auditar (Todos) e identificar los eventos que desee auditar para este grupo.
Cierre los cuadros de diálogo y el Editor de directivas del grupo cuando haya terminado.
SUGERENCIA Ésta es una de las raras oportunidades donde el grupo Todos se aplica porque, en reali-
dad, no deberá auditar sólo a usuarios autentiicados, sino a todos los que tienen acceso al sistema.
5. Utilice el Administrador del servidor para ver los resultados de la auditoría bajo Diagnósticos |
Visor de eventos | Registros de Windows | Seguridad.
PRECAUCIÓN La auditoría del acceso de objetos crea una gran cantidad de entradas. Tenga cuidado
de lo que decide auditar y asegúrese de que su registro de eventos de seguridad está establecido
en un tamaño de archivo apropiado (Visor de eventos|Registros de Windows|Seguridad|panel
Acciones|Propiedades).
Las aplicaciones necesitan crear archivos temporales para asegurar que los usuarios no pier-
dan sus datos mientras trabajan. Esos archivos temporales suelen eliminarse cuando la aplicación
se cierra. Desafortunadamente, no todas las aplicaciones se comportan bien. Debe verificar los
discos de datos en busca de archivos temporales o corruptos para eliminarlos de manera regular.
Puede hacerlo de manera interactiva empleando la utilería de limpieza de disco. Utilice el
siguiente procedimiento para ello:
1. Para lanzar Limpieza de disco, vaya al menú Iniciar | cuadro Iniciar búsqueda y escriba Disk
Cleanup.
2. Elija Archivos de todos los usuarios en este equipo y acepte el indicador de Control de cuentas
de usuario.
3. Limpieza de discos revisa el equipo en busca de archivos que pueden eliminarse. Seleccione
los archivos que habrán de limpiarse o comprimirse y haga clic en Aceptar.
4. Haga clic en Sí para confirmar la operación.
También puede hacer esto al crear una secuencia de comandos global que revise de manera
regular unidades y elimine todos los archivos temporales o corruptos. Esta secuencia de coman-
dos debe ejecutarse en los momentos en que menos usuarios hayan iniciado sesión, aunque
694 Parte VII: Administre Windows Server 2008
operará apropiadamente cuando los usuarios tengan archivos temporales activos en el volumen,
porque éstos se bloquean y no pueden eliminarse.
La secuencia de comandos debe eliminar los siguientes tipos de archivos:
• *.tmp
• ~*.*
Use los siguientes comandos en su secuencia:
del volumen:*.tmp /s /q >nombrearchivo.txt
del volumen:~*.* /s /q /a:h >nombrearchivo.txt
donde volumen: es el nombre de la unidad de datos. Los interruptores /s y /q significan incluir
los archivos localizados en sus directorios y no pedir confirmación, respectivamente, y el inte-
rruptor /A:H asegura que se eliminen sólo los archivos temporales, porque normalmente están
ocultos de los usuarios (algunos usuarios pueden utilizar la tilde [~] en sus nombres de archivos).
Por último, la canalización de información a un archivo (nombrearchivo.txt) le da una lista com-
pleta de todos los archivos eliminados.
PRECAUCIÓN La seguridad es siempre una preocupación en un entorno de datos en red. Por tanto,
es necesario veriicar que los parámetros de seguridad sean apropiados en las unidades de datos y
del sistema.
La mejor manera de verificar las configuraciones de seguridad es usar el Administrador de
configuración de seguridad en el modo de Análisis. Compara una implementación de seguridad
existente con una plantilla de seguridad de base y delinea las diferencias. Eso significa que debe
mantener seguimiento de todos los cambios que hará a los parámetros de seguridad en las uni-
dades de datos, y que debe actualizar su plantilla de seguridad básica de manera regular.
Para analizar un equipo y compararlo con una directiva de seguridad determinada en modo
gráfico, utilice el Procedimiento SG-22. Si necesita realizar esta verificación en varios sistemas,
debe hacerlo mediante la línea de comandos. El comando que se debe usar es:
secedit /analyze /db nombrearchivo.sdb /log nombrearchivo.log
Además, puede usarse el interruptor /VERBOSE para crear un archivo de registro que esté
muy detallado. Si no se especifica ningún registro, SECEDIT registrará automáticamente toda la
información en el archivo scesrv.log en la carpeta %WINDIR%\SECURITY\LOGS. Para configurar un
equipo en lugar de analizarlo, reemplace el interruptor /ANALIZE con /CONFIGURE.
NOTA Este comando debe ejecutarse localmente. Si crea secuencias de comandos para ejecutarlo,
asegúrese de que las diseña para ejecutarse localmente en cada servidor de archivos.
Para cifrar datos en carpetas compartidas, debe confiarse en los servidores de archivos para
delegación dentro de Servicios de dominio de Active Directory. Se trata de una propiedad de la
Capítulo 13: Tareas de administración comunes 695
cuenta del equipo del servidor dentro del directorio (Nombre del servidor | Propiedades | Delega-
ción | Confiar este equipo para delegación a cualquier servicio (sólo Kerberos)).
Además, las carpetas sólo pueden contener uno de dos valores: compresión o cifrado. Si una
PARTE VII
carpeta no está disponible para cifrado, es porque su valor de comprensión está establecido.
Por último, los valores de cifrados se aplican mediante las propiedades de la carpeta (Propie-
dades | ficha General | Opciones avanzadas), y los archivos y las carpetas cifradas se despliegan
en verde en el Explorador de Windows.
Consulte el capítulo 10 para conocer más información sobre EFS.
SUGERENCIA Para conocer más información sobre EFS consulte “Working with the Encrypting
File System” (trabajo con el sistema de cifrado de archivos), bajo “Advanced PKI” (PKI avanza-
do) en www.reso-net.com/articles.asp?m=8#c.
Windows Server 2008 no incluye realmente ninguna herramienta esencial para archivado de
datos, aunque sí incluye soporte para tecnologías de archivado, como almacenamiento remoto sin
conexión. Puede utilizar Copia de seguridad de WS08 para realizar una copia de seguridad de los
datos para fines de archivado y luego eliminar los datos de la red para crear espacio libre adicional,
pero ésta no es una tarea necesariamente fácil. Para archivar datos con base en la fecha de creación
o modificación en Windows Server 2008, debe ejecutar el informe de almacenamiento para iden-
tificar todos los archivos antiguos, luego ejecutar la copia de seguridad y eliminarlos (consulte el
procedimiento SA-01 para conocer información sobre el Informe de almacenamiento).
Es mucho más simple crear carpetas compartidas de archivo especiales y pedir a los usuarios
que coloquen los datos que pueden archivarse en esos recursos compartidos especiales. Luego,
de manera regular, cree copias de seguridad de ellos y elimine el contenido de la carpeta.
SUGERENCIA Si hace esto de manera regular, debe adquirir un sistema de retención de contenido
con dirección. Búsquelos en Internet.
2. Haga clic en el grupo de replicación en el panel del árbol y vea sus detalles en el panel Detalles.
3. Si parece que hay un problema con el grupo, entonces haga clic con el botón derecho en su
nombre y seleccione Crear informe de diagnóstico.
4. Utilice la información del informe para reparar el grupo y reiniciar la replicación.
5. Revise el estatus de la replicación de cada grupo de replicación DFS.
DFSR utiliza tres topologías diferentes de replicación: concentrador y radio, malla completa
y personalizado. Puede cambiar el modo de replicación al hacer clic con el botón derecho en el
grupo de replicación y seleccionar Nueva topología.
También puede realizar estas operaciones mediante la línea de comandos con el comando
DFSRADMIN. Escriba DFSRADMIN en el indicador de comandos para conocer más información acer-
ca de esta poderosa herramienta.
PARTE VII
no se requiere que se reinicie un servidor, sino sólo que se reinicie la cola de impresión. En rea-
lidad, WS08 puede reiniciar automáticamente la cola de impresión cuando falla, haciendo que la
falla sea transparente para la mayoría de los usuarios conectados a la impresora. El único usuario
que notará la falla es aquel cuyo trabajo causó que fallara la cola de impresión.
Esto se debe a que los controladores de Windows 2008 son de modo de usuario, en oposición
a los controladores de modo de kernel. Estos últimos controladores son de versión 2 y se usaban
en versiones anteriores de Windows. Pero un controlador de modo de kernel que falla puede hacer
que falle todo el kernel o, más bien, todo el servidor. Para proporcionar una mejor confiabilidad, los
controladores de Windows 2008 se movieron al modo de usuario. En Windows Server 2008, una
directiva de grupo predeterminada bloquea el uso de los controladores de versión 2.
NOTA En WS08, cada impresora incluye un tema especial de detección y solución de fallas bajo el
menú Ayuda. Esto le proporciona una serie de asistentes que le ayudan a depurar problemas de
impresión.
Además, una directiva de grupo bloquea la administración de impresoras remotas en nuevos
servidores de impresión. Esa directiva debe desactivarse antes de que pueda administrar servi-
dores de impresión desde la comodidad de su escritorio. Debe asegurarse de que la directiva de
grupo que afecta los servidores de impresión tenga la siguiente configuración:
• Permitir que el administrador de trabajos de impresión acepte conexiones cliente: habilitado
(Configuración del equipo | Directivas | Plantillas administrativas | Impresoras).
Esto le permitirá administrar el servidor de impresión de forma remota, aunque no se
compartan impresoras todavía. Esa directiva se activa automáticamente cuando comparte una
impresora en un servidor.
Debido a que la impresión es una función que todos usan de manera cotidiana, debe realizar to-
dos los días una verificación proactiva de la cola de impresión. Para verificar el estado de impresión:
1. Lance el Explorador de Windows (área Inicio rápido | Explorador de Windows).
2. Conéctese al servidor cuyas impresoras quiere revisar empleando el nombre UNC del servidor
(\\nombreservidor). También puede buscar impresoras en los Servicios de dominio de Active
Directory.
3. Haga clic en cada impresora para ver su estado. Repare su estado, si es necesario.
698 Parte VII: Administre Windows Server 2008
4. En este caso, tal vez tenga que eliminar o pausar los trabajos y luego reiniciar la cola de impre-
sión. Todos estos comandos se encuentran bajo el mismo archivo.
También puede utilizar la línea de comandos para administrar colas de impresión:
net print \\nombreservidor\nombreimpresoracompartida
Donde \\nombreservidor\nombreimpresoracompartida es el nombre UNC de la impresora. Al
escribir este comando se muestra una lista de los detalles de la cola de impresión. También puede
utilizar los interruptores: /DELETE, /HOLD y /RELEASE para controlar los trabajos de impresión.
Debe proporcionar el número de trabajo para ello. Por ejemplo:
net print \\nombreservidor\nombreimpresoracompartida 10 /delete
SUGERENCIA El acceso a la impresora se controla mediante los derechos de acceso. Como siempre,
la asignación de derechos apropiados y controlados es un aspecto importante del trabajo de un
administrador de sistemas.
Existen tres derechos básicos que pueden asignarse a impresoras compartidas (Impresora |
Propiedades | ficha Seguridad):
• Imprimir
• Administrar impresoras
• Administración de documentos
Estos derechos controlan quién puede hacer cada una de las tareas en una impresora. Como
opción predeterminada, todos pueden utilizar una impresora una vez que se comparte, pero esto
puede cambiarse. Si, por ejemplo, tiene una impresora a color nueva que será reservada sólo para
los administradores, necesita cambiar sus configuraciones de seguridad predeterminadas, elimi-
nando el grupo Todos y asignando derechos de impresión al grupo Administradores. Cualquiera
que tenga derechos de impresión puede administrar sus propios documentos en la impresora.
Como opción predeterminada, los grupos Operadores de impresión, Operadores de servi-
dor y Administradores tienen control completo sobre impresoras compartidas. Esto significa que
pueden administrar documentos y detener e iniciar la cola de impresión. Debe ser un miembro
de uno de sus grupos para realizar actividades de administración de impresión.
Como se mencionó al principio, WS08 utiliza controladores de impresora versión 3. Tal vez
no estén disponibles para todas y cada una de sus impresoras. Si sucede así, deberá monitorear
las impresoras más de cerca, porque los controladores de la versión 2 pueden hacer que un servi-
dor deje de funcionar cuando fallan.
Ésa es la razón por la que debe revisar regularmente el sitio Web del fabricante de la impresora
para buscar controladores de impresora autorizados para Windows Server 2008. Luego, en cuanto
esté disponible un controlador de la versión 3, modifique la impresora compartida para mejorar la
Capítulo 13: Tareas de administración comunes 699
PARTE VII
puedan instalar (No admitir la instalación de impresoras con controladores en modo kernel, bajo
Configuración del equipo | Directivas | Plantillas administrativas | Impresoras). Si necesita utilizar
controladores de modo de kernel debido a que está utilizando impresoras antiguas, debe habili-
tar esa configuración de directiva.
PRECAUCIÓN Si desactiva esa coniguración, haga que uno de sus principales objetivos sea volver
a habilitarla en cuanto sea posible para mejorar la coniabilidad del servidor de impresión.
Por último, los controladores de impresora de modo de usuario permiten a los usuarios
establecer sus propias preferencias de impresora, pero esas preferencias se derivan de las propie-
dades que usted establezca. Asegúrese de establecer propiedades apropiadas. Por ejemplo, si la
impresora puede imprimir por los dos lados, establezca esta opción como predeterminada. Esto
facilitará el trabajo a los usuarios finales y evitará que se talen algunos árboles, al mismo tiempo.
NOTA Como se están volviendo más ecológicos los centros de datos, ya no tiene sentido imprimir
por un solo lado cuando una impresora tiene la capacidad de imprimir por los dos. Haga las
cuentas: se ahorrará la mitad del papel.
Los servidores de impresión grandes deben incluir en cola una gran cantidad de trabajos de
impresión. Eso significa una gran cantidad de actividad en disco. La mejor manera de proporcio-
nar impresión rápida y confiable consiste en dedicar una unidad de disco (o una partición) a la
cola de impresión. Esto significa que necesita preparar una unidad especial y asignar la cola de
impresión a esta unidad:
1. En el Explorador de Windows, abra Impresoras, seleccione Propiedades del servidor, del menú
Archivo (o utilice el botón derecho del ratón en cualquier lugar del panel Detalles para selec-
cionar Propiedades de servidor, del menú contextual).
2. Vaya a la ficha Opciones avanzadas y escriba la ubicación de la cola de impresión. Por ejemplo,
podría ser E:\Spool\Printers si E: fue su unidad de cola de impresión dedicada. Haga clic en
Aceptar cuando haya terminado.
Utilice el procedimiento SA-01 de manera regular para asegurarse de que hay suficiente
espacio en la unidad para la cola de impresión.
Windows Server 2008 soporta el rastreo de la ubicación de la unidad (PLT, Printer Location
Tracking). Este componente se basa en la topología de sitio de Servicios de dominio de Active
Directory diseñada para su red. Uno de los elementos clave de la topología del sitio es la sub-
red. Cada subred incluye un nombre y una descripción. También puede incluir información de
ubicación. Esa información se almacena en forma jerárquica en las propiedades de la subred
bajo la ficha ubicación. Cada nivel está separado por una diagonal. Puede usar hasta 256 niveles
en un nombre de ubicación, aunque el nombre total de la ubicación no puede tener más de 260
caracteres de largo. Cada parte del nombre puede incluir hasta 32 caracteres. Por ejemplo, una
impresora localizada en la esquina noreste del primer piso del edificio de las oficinas centrales
podría identificarse como OC/Primer piso/Esquina noreste.
Para habilitar el rastreo de ubicación de impresora en su dominio, necesita los siguientes
elementos:
• Las subredes y sus ubicaciones ingresadas en Sitios y servicios de Active Directory
• Una convención de asignación de nombres de ubicación de impresoras
• La GPO de rastreo de ubicación habilitada
Capítulo 13: Tareas de administración comunes 701
PARTE VII
Para habilitar el rastreo de ubicación de impresora, debe habilitar la configuración del texto
Preparar el texto de búsqueda automática de la ubicación de impresora, bajo Configuración del
equipo | Directiva | Plantillas administrativas | Impresoras. Este parámetro habilita el botón Exa-
minar, en la ficha Ubicación de la impresora, y las propiedades del equipo dentro del directorio.
También habilita este botón en la herramienta Buscar impresoras. Aplique esta configuración en
una directiva de grupo que cubra todas las máquinas de su red.
Las configuraciones de ubicación de impresora están establecidas en la ficha General del
cuadro de diálogo Propiedades. Puede escribir o hacer clic en el botón Examinar para ingresar la
ubicación. Sea lo más específico que pueda.
NOTA Tiene que realizar la misma operación en todos los objetos del equipo en el directorio. Abra el
cuadro diálogo Propiedad y utilice la icha Ubicación para escribir o hacer clic en el botón Exami-
nar para ingresar la ubicación.
Ahora, siempre que los usuarios utilicen la herramienta Buscar para localizar una impresora,
la ubicación de la impresora se ingresará automáticamente en el campo Ubicación, permitiendo
que su comunidad de usuarios encuentren las impresoras cerca de ellos, sin tener que conocer
su estrategia de asignación de nombres de ubicación. Consulte el capítulo 8 para conocer más
información sobre PLT.
NOTA También puede realizar modiicaciones masivas a las impresoras con el Microsoft Print
Migrator. Busque Print Migrator en www.microsoft.com/download para conocer más informa-
ción. Además, consulte el capítulo 12 con el mismo in.
NOTA También podría decidir que no es necesario adquirir impresoras PostScript (excepto en casos
especiales, como para edición de documentos de escritorio o equipos gráicos) porque Windows
Unidriver rivaliza con las capacidades de PostScript a un menor costo.
PARTE VII
Los servicios de clúster dependen de la detección de los pulsos para asegurar que cada uno
de los nodos esté funcionando. Si el servicio de clúster no detecta un pulso de un nodo, automá-
ticamente se utilizarán los recursos de protección contra fallas en otros nodos.
Lo primero que debe hacer cuando verifique el estado de sus clústeres es asegurarse de que
cada uno de los nodos esté operando apropiadamente. Utilice el siguiente comando para ello:
ping nombrenodo o direcciónipnodo
donde nombrenodo es el nombre DNS del nodo o direcciónipnodo es la dirección IP física para la
tarjeta de interfaz de red pública en el nodo.
Si los nodos no responden, puede haber problemas. Verifique el estado del nodo con una
Conexión de escritorio remoto. Puede fácilmente incluir este procedimiento en secuencias de
comandos y canalizar todo el proceso en un archivo de texto (utilizando el interruptor >nom-
brearchivo.txt) y simplemente revisar los resultados de su archivo de texto.
Los clústeres de servidor también son útiles como servidores de impresión, porque propor-
cionan conmutación por error automática tras fallas de una impresora. Sin embargo, para ello,
todas las impresoras deben usar controladores que se actualicen para cumplir con los requisitos
de Windows Server 2008. Utilice el procedimiento SI-03 para asegurarse de que está usando
controladores de impresión apropiados en el clúster del servidor.
Las colas de impresión del clúster operan de la misma manera que las normales, excepto
que proporcionan capacidades de protección contra fallas. Para verificar el estatus de la cola de
impresión de clúster, utilice el procedimiento SI-01.
SC-04: Clústeres: Veriicación del estado de testigo de quórum o de recurso compartido de archivos
Frecuencia de la actividad: semanal
Un quórum depende de una colección de discos que se comparte entre miembros del clúster.
El quórum es el disco compartido que mantiene la consistencia del clúster. En WS08, el quórum
puede ser de dos tipos: unidades únicas de disco que se comparten entre todos los miembros de
clúster o un conjunto de nodos de mayoría. El último, el conjunto de nodos de mayoría, incluye
unidades de disco independientes para cada miembro de un clúster y pueden estar separados
geográficamente. El conjunto de nodo de mayoría elimina el único punto de falla de un clúster de
servidor porque utiliza un testigo de recurso compartido de archivos para determinar el estatus
del clúster, pero además también depende de la replicación para operar apropiadamente.
El servicio de clúster conserva un registro de quórum, y es mediante ese registro que man-
tiene operaciones de quórum. Este archivo de registro se llama QUOLOG.LOG y se localiza bajo la
carpeta \MSCS del quórum (%SYSTEMROOT%\CLUSTER\QUORUMGUID\MSCS).
PRECAUCIÓN Tenga cuidado con estas operaciones. Asegúrese de que no hay usuarios en el recurso
antes de cualquier simulación de falla o desmonte de recurso de quórum.
También puede usar el comando CLUSTER /QUORUM para ver quorums disponibles.
Como siempre, puede canalizar este comando a un archivo de texto utilizando el interruptor
Capítulo 13: Tareas de administración comunes 705
PARTE VII
Administrador del servidor de infraestructura de red
Otra función de servidor que es crítica para la operación de la red es la del servidor de infraes-
tructura de red. Este servidor incluye varias actividades diferentes, todas diseñadas para asegurar-
se de que los servicios de red funcionen apropiadamente.
La administración de los servidores de infraestructura de red está dividida en cinco catego-
rías. Entre éstas se incluyen el protocolo de configuración de host dinámico (DHCP, Dynamic
Host Configuration Protocol) y el servicio de asignación de nombres de Internet de Windows
(WINS, Windows Internet Naming Service), los servidores de implementación que ejecutan los
servicios de implementación de Windows, los servidores de equilibrio de carga de red (NLB, Net-
work Load Balancing), los servidores que controlan acceso remoto o conexiones de red privada
virtual (VPN, Virtual Private Network) y servidores de directiva de acceso a red. En la tabla 13-5
se presentan las actividades de administración que debe realizar de manera cotidiana para ase-
gurar la operación apropiada de los servicios de red que entrega, tanto en el nivel de almacén de
recursos como en el de la comunidad de usuarios. También identifica la frecuencia de cada tarea.
NOTA Recuerde que debe utilizar las zonas de nombres globales de DNS (GNZ, GlobalNames
Zones) en lugar de los servidores WINS, si es posible. Consulte el capítulo 6 para conocer más
información.
Observe que en esa tabla no se incluye el servicio de asignación de nombres de dominio
(DNS, Domain Naming Service). Aunque este servicio se ha vinculado tradicionalmente con las
infraestructuras de red, hoy en día está unido a los Servicios de dominio de Active Directory por-
que forma la base de la estructura jerárquica de ADDS. Como tal, se cubrirá en la administración
del servidor de identidad.
Tal vez no necesite realizar todas estas actividades porque no utiliza algunos de los servicios
mencionados aquí. Por ejemplo, las redes grandes rara vez dependen de Windows Server para
acceso remoto. En caso de que sea así, simplemente ignore la tarea.
Tal vez también use un calendario diferente. Recuerde personalizar la lista de tareas para
adaptarla a su entorno.
NOTA Casi todas las actividades de esta sección requieren derechos administrativos locales o dere-
chos apropiados de delegación del servicio apropiado.
Las herramientas de uso más común para administrar DHCP y WINS son:
• Administrador del servidor, porque contiene acceso a ambos servicios.
• La herramienta de línea de comandos NETSH administra servicios de DHCP y WINS. Se trata de
un comando de shell; esto significa que crea un entorno de shell cuando se usan y se ingresan
comandos en esta shell una vez que se ha establecido en enfoque.
• El comando NBTSTAT también es útil con WINS. Da soporte a la administración de registros
desde la línea de comandos.
Los servidores DHCP están diseñados para proporcionar un servicio que forma la base de
una red TCP/IP: direccionamiento. Cada vez que un nuevo cliente arranca, se pone en contacto
con el servidor DHCP para recibir toda la información que le permitirá que funcione en la red.
Por tanto, la operación apropiada de sus servidores DHCP es crítica.
Una vez a la semana, debe verificar la correcta operación de sus servidores DHCP. En casi
todas las redes, habrá por lo menos dos de estos servidores para proporcionar redundancia al
servicio. Estos servidores utilizarán los mismos ámbitos, pero cada uno de éstos debe estar divi-
dido en porciones 80/20: 80% hospedado en un servidor y 20% en el otro. Esto permite que cada
Capítulo 13: Tareas de administración comunes 707
servidor DHCP proporcione seguridad a cualquier ámbito dado. Por supuesto, si sólo tiene 50 PC
o menos, tendrá un solo servidor DHCP.
Para verificar el estatus de sus servidores DHCP, necesita realizar tres tareas:
PARTE VII
• Revisar estadísticas de servidor
• Reconciliar ámbitos
• Revisar registros de DHCP
La primera le permite identificar el tiempo que su servidor ha estado ejecutándose y lo bien
que se desempeña. El segundo está diseñado para evitar cualquier error en un arrendamiento de
dirección de IP. DHCP almacena información detallada y de resumen acerca de arrendamientos.
Los ámbitos de reconciliación permiten a DHCP revisar ambos conjuntos de información para
ver si hay alguna inconsistencia. En caso de que se encuentren, se reparan durante este proce-
so. La tercera operación le permite ver cómo se comporta su servidor DHCP en una base diaria
(todos los registros se almacenan en un formato de un solo día).
PRECAUCIÓN Tiene que ser miembro de un grupo de administradores de DHCP local o del grupo
Administradores local para operar y conigurar el servidor DHCP.
Para revisar estadísticas del servidor:
1. Lance la consola DHCP (menú Iniciar | Herramientas administrativas | DHCP).
2. Conéctese al servidor apropiado (Acción | Conectar con otro equipo) y escriba el nombre del
servidor (\\nombreservidor) o utilice el botón Examinar para localizarlo. Haga clic en Aceptar
cuando haya terminado.
3. Asegúrese de que hace clic en el servicio DHCP y que su información se despliega en el panel
Detalles. Luego haga clic con el botón derecho en DHCP para seleccionar Mostrar estadísti-
cas, del menú contextual.
4. Esto desplegará estadísticas actuales para el servidor, incluido tiempo de actividad, descubri-
mientos, ofertas, solicitudes y más. Anote estos valores en su registro DHCP semanal. Haga
clic en Cerrar cuando haya terminado.
Para reconciliar los ámbitos:
1. Una vez más, haga clic con el botón derecho en DHCP y seleccione Reconciliar todos los ám-
bitos.
2. Haga clic en Comprobar, para empezar la reconciliación.
3. Haga clic en Aceptar, cuando DHCP indique que todos los ámbitos son consistentes.
4. Haga clic en Cancelar, para cerrar la ventana Reconciliar todos los ámbitos.
Todos los eventos DHCP están almacenados dentro del registro de eventos del sistema, pero
DHCP también escribe sus propios registros. Éstos se almacenan bajo %SYSTEMROOT%\SYSTEM32\
DHCP. Estos registros están habilitados como opción predeterminada para los ofrecimientos de
DHCP IPv4 e IPv6 y son propiedades del protocolo (vea la figura 13-10).
Para ver registros de DHCP:
1. Abra una Conexión a escritorio remoto con el servidor DHCP.
2. Cuando la conexión esté abierta, lance el Explorador de Windows (vaya a Inicio rápido | Explo-
rador).
3. Vaya a la carpeta %SYSTEMROOT%\SYSTEM32\DHCP.
708 Parte VII: Administre Windows Server 2008
4. Haga doble clic en cualquiera de los registros de la última semana para verlos. Los archivos de
registro tienen el nombre DHCPSRVLOG-DIA.LOG donde día es la abreviatura de tres caracteres del
día de la semana. Cada uno de los siete archivos de registro se describe en cada semana.
NOTA La cantidad de espacio disponible en el servidor para ines de registro determinará la canti-
dad de información que DHCP almacenará en estos archivos de registro. Asegúrese de que esté
disponible espacio suiciente. Como opción predeterminada, el tamaño mínimo del registro es de
20 megabytes (MB) y el máximo es de 70 MB.
Esta configuración puede encontrarse en las propiedades del servidor de DHCP. El servidor
DHCP también almacena información de registro en el registro de eventos del sistema, pero la
información almacenada en sus propios archivos de registro es mucho más completa.
También puede usar herramientas de línea de comandos para la información acerca del ser-
vidor. Esto significa usar el comando NETSH dentro del ámbito DHCP. Para ver interactivamente
la información del servidor, utilice los siguientes comandos:
netsh
dhcp
server NombreServidor
show all
donde NombreServidor es el nombre DNS del servidor al que desea conectarse. En esencia, el pri-
mer comando abre la consola NETSH, el segundo establece el ámbito DHCP, el tercero establece el
enfoque en un servidor específico y el último solicita información acerca del servidor. Para salir de
la consola de NETSH, escriba:
quit
SUGERENCIA Para ver la información acerca de los comandos NETSH DHCP, escriba /? en el indica-
dor de comandos netsh dhcp>.
FIGURA 13-10
El registro de auditoría
de DHCP está habilitado
como opción
predeterminada.
Capítulo 13: Tareas de administración comunes 709
PARTE VII
donde NombreServidor es el nombre DNS del servidor DHCP y nombrearchivo.txt es el nom-
bre del archivo de salida en que desea que se almacene la información. Puede poner una serie
de estos comandos en un archivo de comandos y utilizar el procedimiento SG-21 para generar
automáticamente los archivos de salida cada semana. Esto le ayuda a identificar rápidamente el
estado de todos los servidores DHCP en su red.
NOTA Observe la estructura del comando NETSH. Funciona interactivamente si presiona ENTER
después de que escribe cada parte de un comando, o funciona en un modo de procesamiento por
lotes si escribe una cadena de comandos completa a la vez.
PRECAUCIÓN Tiene que ser miembro del grupo Usuarios de WINS o del grupo de Administradores
para operar y conigurar el servidor WINS.
Para revisar las estadísticas del servidor:
1. Lance la consola WINS (menú Iniciar | Herramientas administrativas | WINS).
2. Conéctese al servidor apropiado mediante Acción | Conectar con otro equipo. Escriba el nom-
bre de servidor (\\nombreservidor) o utilice el botón Examinar para localizarlo. Haga clic en
Aceptar cuando haya terminado.
3. Asegúrese de hacer clic en el servicio WINS y de que su información se despliega en el panel
Detalles. Luego haga clic con el botón derecho en WINS para seleccionar Desplegar estadísti-
cas, del servidor del menú contextual.
4. Eso desplegará estadísticas actuales para el servidor, incluidos tiempo de actividad, descubri-
mientos, ofrecimientos, solicitudes y más. Tome nota de estos valores en su registro de WINS
mensual. Haga clic en Cerrar cuando haya terminado.
710 Parte VII: Administre Windows Server 2008
Puede utilizar el mismo menú contextual para seleccionar Rastrear base de datos, Compro-
bar consistencia de bases de datos y Comprobar consistencia del ID de versión.
También puede usar herramientas de línea de comandos para ver información acerca del
servidor. Esto significa el uso del comando NETSH dentro del ámbito de WINS. Para recolectar
automáticamente información acerca del servidor WINS, escriba:
netsh wins server nombreservidor show statistics >nombrearchivo.txt
donde nombreservidor es el nombre DNS del servidor WINS y nombrearchivo.txt es el nombre
del archivo de salida en que quiere almacenar la información. Puede poner una serie de estos
comandos en un archivo de comandos y utilizar el procedimiento SG-21 para generar automá-
ticamente los archivos de salida. También puede incluir el comando INIT SCAVENGE en estos
archivos para iniciar automáticamente la revisión de sus servidores.
SUGERENCIA También puede recolectar información interactivamente al escribir sólo cada coman-
do. Para ver la información acerca de NETSH WINS escriba /? en el indicador de comandos NETSH
WINS>.
Los servidores WINS en Windows Server 2008 dan soporte a compactación dinámica de base
de datos. Esto significa que cada vez que la base de datos del servidor se ha actualizado y que el
servidor está vacío, tratará de recuperar espacio perdido dentro de su base de datos. Desafortu-
nadamente, esto no recupera todo el espacio perdido. Por tanto, debe compactar manualmente
la base de datos al menos una vez al mes para recuperar todo el espacio perdido. Para ello, debe
llevar fuera de línea al servidor WINS.
Use la siguiente serie de comandos para detener el servicio, compacte la base de datos y
reinicie el servicio:
sc \\nombreservidor stop wins
timeout /t 300
netsh wins server nombreservidor init compact
sc \\nombreservidor start wins
Aquí, el comando de tiempo de espera para desconexión es necesario para asegurarse de que
el servicio WINS se ha detenido antes de que empiecen la compactación. Puede insertar estos
comandos en un archivo de comandos y usar el procedimiento SG-21 para realizar automática-
mente esta operación de manera mensual.
Para conocer más información sobre este tipo de comandos, escriba NBTSTAT en el indicador
de comandos.
PARTE VII
DW-04: Administración de atributos de DHCP
Frecuencia de la actividad: ad hoc
Junto con las direcciones IP, los servidores DHCP proporcionan atributos de dirección IP a
sus clientes. Esos atributos son globales (es decir, se proporcionan a todos los clientes) o locales
(es decir, se proporcionan a sólo aquellos clientes dentro de un ámbito de dirección determina-
do). Estos atributos pueden cambiar de vez en cuando, por tanto, necesitará modificar atributos
existentes o agregar nuevos atributos.
En la consola DHCP, estos atributos se llaman opciones de ámbito. Las opciones de ámbito
global suelen incluir por lo menos lo siguiente:
• 003 Enrutador La dirección de un enrutador.
• 006 Servidores DNS La dirección de por lo menos dos servidores DNS.
• 015 Nombre de dominio DNS El nombre de dominio del ámbito.
• 044 Servidores WINS/NBNS La dirección de por lo menos dos servidores WINS (opcional).
• 046 Tipo de nodo WINS/NBT Esto debe establecerse en nodo H (opcional). La resolución
de nodo H es la mejor, aún en redes de área amplia, porque reduce en gran medida la canti-
dad de transmisión en cada red.
SUGERENCIA Los servidores DNS se coniguran globalmente aquí para asegurar que todos los
clientes siempre tengan una dirección DNS válida; aunque en Windows Server 2008, con la
integración de Servicios de dominio de Active Directory, el servicio DNS está acoplado al servicio
Controlador de dominio, colocando un servidor DNS en cada lugar donde hay un DC. Debe so-
brescribir los valores globales con valores de ámbito local debido a que las opciones de ámbito local
deben ahora incluir el servidor DNS local, porque DNS ahora está integrado con ADDS y cada
cliente debe encontrar el servidor DNS más cercano, que suele ser uno que es local a su red (sobre
todo en oicinas regionales).
Para configurar opciones de ámbito:
1. Lance la consola DHCP (menú Iniciar | Herramientas administrativas | DHCP).
2. Conéctese al servidor apropiado (Acción | Conectar a otros equipos), y escriba el nombre del
servidor (\\nombreservidor) o utilice el botón Examinar para localizarlo. Haga clic en Aceptar
cuando haya terminado.
3. Vaya al servicio DHCP (Servicios y aplicaciones | DHCP).
4. Para modificaciones globales, haga clic con el botón derecho en Opciones de servidor, bajo el
protocolo apropiado, y elija Configurar opciones, del menú contextual.
5. Configure o modifique las opciones que necesite (o como se delineó antes). Haga clic en
Aceptar cuando haya terminado.
Esto establecerá las opciones globales para todos los ámbitos en este servidor.
Para configurar las opciones de ámbito local, expanda el ámbito al hacer clic en él y utilice el
mismo procedimiento, pero esta vez con las opciones de ámbito.
Para modificar opciones de ámbito global o local mediante la línea de comandos, utilice el
siguiente comando:
712 Parte VII: Administre Windows Server 2008
PARTE VII
reserva de dirección en cada servidor DHCP que pueda responder a solicitudes de máquinas que
requieren una reserva. Esto asegura que sus clientes no reciban una dirección dinámica por error.
SUGERENCIA Necesitará la dirección de control de acceso a medios (MAC, Media Access Control)
para cada una de las tarjetas de red para las que desee reservar una dirección IP. Las direcciones
MAC pueden desplegarse al escribir IPCONFIG /ALL en el indicador de comandos del sistema
para la cual es necesaria la reserva.
Para configurar una reserva de dirección:
1. Lance la consola DHCP (menú Iniciar | Herramientas administrativas | DHCP).
2. Conéctese al servidor apropiado (Acción | Conectar con otro equipo), y escriba el nombre del
servidor (\\nombreservidor) o utilice el botón Examinar para localizarlo. Haga clic en Aceptar
cuando haya terminado.
3. Seleccione el ámbito apropiado para crear reservas dentro de él. Haga clic en Reservas en el
panel de árbol y luego haga clic con el botón derecho en Reservas.
4. Elija Reserva nueva del menú contextual.
5. Rellene los detalles de la reserva. Cierre el cuadro de diálogo al hacer clic en Agregar. Repita
conforme sea necesario.
SUGERENCIA Si utiliza DHCP para asignar direcciones estáticas a servidores, debe asegurarse de
que la coniguración alterna de las propiedades de protocolo de Internet (TCP/IP) de cada tarjeta
de red esté en los mismos valores que la reserva. Utilice Panel de control|Conexión de red para
ver las propiedades IP de cada tarjeta de red.
Los superámbitos son agrupamientos de ámbitos que dan soporte a la asignación de varios
ámbitos que administran diferentes subredes desde el mismo servidor. Los superámbitos reagru-
pan todos esos ámbitos en un solo grupo de administración. Una ventaja de utilizar superámbi-
tos es que puede activar todo el superámbito y todos sus ámbitos en un solo paso.
NOTA Los superámbitos no pueden crearse hasta que por lo menos haya creado un ámbito en un
servidor DHCP.
Para crear un superámbito:
1. Lance la consola DHCP (menú Iniciar | Herramientas administrativas | DHCP).
2. Conéctese al servidor apropiado (Acción | Conectar con otro equipo) y escriba el nombre de
servidor (\\nombreservidor) o utilice el botón Examinar para localizarlo. Haga clic en Aceptar
cuando haya terminado.
3. Una vez que haya creado por lo menos un ámbito, haga clic con el botón derecho en DHCP y
seleccione Superámbito. Esto lanzará el Asistente para crear superámbito nuevo. Haga clic en
Siguiente para seguir adelante.
714 Parte VII: Administre Windows Server 2008
4. Asigne un nombre al superámbito y luego seleccione los ámbitos que serán parte de él. Cierre
el cuadro de diálogo cuando haya terminado.
Una vez que se ha creado un superámbito, pueden agregársele nuevos ámbitos de una de
dos maneras: el ámbito puede crearse dentro del superámbito al hacer clic con el botón derecho
en el nombre de éste y seleccionar Ámbito nuevo, o puede crearse fuera del superámbito y agre-
garlo una vez que se haya creado. Esto se hace al hacer clic con el botón derecho en el ámbito y
seleccionar Agregar a superámbito.
Todos los ámbitos necesitan activación antes de que puedan empezar a servir a los clientes.
Puede activar varios ámbitos a la vez al activar un superámbito. Revise la configuración de cada
ámbito para asegurarse de que sean apropiados, y luego active el superámbito. Para ello, haga clic
con el botón derecho en el nombre del superámbito y seleccione Activar del menú contextual.
SUGERENCIA La activación del ámbito también puede actuar como un mecanismo de seguridad
contra fallas, porque puede crear ámbitos sobrantes en cada servidor antes de que en realidad se
necesiten y activarlos sólo cuando sean necesarios.
4. También puede activar el ámbito mediante el asistente. Hágalo sólo si está seguro de que
todos sus parámetros son correctos.
5. Haga clic en Finalizar cuando haya terminado.
PARTE VII
También puede crear ámbitos de multidifusión mediante la línea de comandos. Utilice el
siguiente comando:
netsh dhcp server nombreservidor add mscope parámetros
donde nombreservidor es el de DNS del servidor de DHCP y parámetros incluye los detalles de las
modificaciones que desea hacer. Utilice add MSCOPE /? para conocer los detalles de la configura-
ción de parámetros.
SUGERENCIA Los ID de clase son sensibles a mayúsculas y minúsculas. Debe escribir las palabras
del ID de clase exactas para que funcione apropiadamente.
Las opciones de clase definidas por el usuario pueden asignarse al servidor o a las opciones
de ámbito, dependiendo de si se aplican a sistemas en todos los ámbitos o sólo a los sistemas de
ámbitos específicos.
SUGERENCIA Las clases deinidas por el usuario también son útiles para la asignación de nombres
de dominio a sistemas que están localizados en ubicaciones físicas pero que utilizan dominios múl-
tiples. Por ejemplo, si tiene usuarios en la misma ubicación física que usan diferentes dominios,
como una intranet y un dominio de desarrollo, puede utilizar una clase deinida por el usuario
para asegurarse de que los sistemas registran valores DNS en el controlador de dominio DNS
apropiado. Utilice la clase deinida por el usuario sólo para el número más pequeño de sistemas.
Esto facilitará la puesta en funcionamiento y administración de los sistemas.
Para agregar una clase mediante la línea de comandos, utilice los siguientes comandos:
netsh dhcp server nombreservidor add class parámetros
donde nombreservidor es el nombre DNS del servidor DHCP y parámetros incluye los detalles de
las modificaciones que quiere hacer. Utilice ADD CLASS /? para conocer los detalles de la confi-
guración.
PRECAUCIÓN La autorización del servidor sólo pueden hacerla usuarios con las credenciales
apropiadas. Debe ser un administrador de dominio para activar un servidor.
Capítulo 13: Tareas de administración comunes 717
PARTE VII
servidor (\\nombreservidor) o utilice el botón Examinar para localizarlo. Haga clic en Aceptar
cuando haya terminado.
3. Dependiendo del servicio que esté autorizando, haga clic con el botón derecho en DHCP y
seleccione Administrar servidores autorizados del menú contextual.
4. Haga clic en Autorizar, escriba el nombre de servidor que desea autorizar y haga clic en Aceptar.
5. Haga clic en Cerrar cuando haya terminado.
Su servidor está listo para servir a los clientes.
Servidores de implementación
Windows Server 2008 incluye una tecnología de implementación central: Servicios de implemen-
tación de Windows (WDS, Windows Deployment Services). WDS puede utilizarse para servi-
dores y estaciones de trabajo, pero en el centro de datos dinámico es más útil para estaciones
de trabajo, porque los servidores se implementan mediante la replicación de un equipo virtual
para ofrecimiento de servicios virtuales o la replicación de una partición de almacenamiento
compartida para almacenes de recursos. WDS depende del uso de la tarjeta de red del entorno
de ejecución previo al arranque (PXE, Preboot eXecution Environment). Esto significa que puede
iniciar un nuevo equipo que no incluya un sistema operativo, oprimir F12 durante la secuencia de
arranque, iniciar desde la tarjeta de interfaz de red y seleccionar el sistema operativo que habrá
de instalarse a partir de las opciones que se le presentan.
También puede usar WDS para implementar sistemas operativos en máquinas sin dispo-
sitivos conectados mediante el uso de Windows PE. Debido a que WDS utiliza la secuencia de
arranque de una tarjeta de red para ponerse en contacto con la máquina que habrá de ponerse
en funcionamiento, debe proporcionar a esta máquina una dirección IP, de manera muy parecida
a como lo hace DHCP. Debido a esto, WDS también debe estar autorizada en los Servicios de
dominio de Active Directory para funcionar.
Los servidores de WDS se administran principalmente mediante la interfaz gráfica (porque
suelen tener sólo unos cuantos tipos de servidores en cualquier red).
4. Expanda el panel de árbol para ver la carpeta Imágenes de instalación, en el servidor en que se
está trabajando.
5. Haga clic con el botón derecho en la carpeta y seleccione Agregar imagen de instalación. Eso
lanza el Asistente para agregar imagen.
6. Las imágenes se almacenan en grupos de imágenes. Si no encuentra un grupo de imágenes,
el asistente empezará por solicitarle que cree uno. Cree el grupo de imágenes o seleccione el
apropiado para almacenar esta imagen. Haga clic en Siguiente.
7. Señale la imagen que quiere cargar. Las imágenes se encuentran en formato .wim. Seleccione
la imagen y haga clic en Aceptar. Haga clic en Siguiente.
8. Asigne un nombre a la imagen y agregue una descripción. Haga clic en Siguiente. El sistema
validará la imagen.
9. Haga clic en Finalizar cuando haya terminado.
Utilice el mismo proceso para agregar una imagen de arranque.
También puede realizar esas tareas desde la línea de comandos. Utilice las siguientes líneas
para realizar las mismas operaciones:
wdsutil /add-image /imagefile:\\nombreservidor\nombrerecurso\nombreimagen.wim
/imagetype:install
wdsutil /add-image /imagefile:\\nombreservidor\nombrerecurso\nombreimagen.wim
/imagetype:boot
Las imágenes se validan y después se cargan en el almacén WDS.
NOTA Las instrucciones paso a paso para realizar otras operaciones de WDS pueden encon-
trarse en http://technet2.microsoft.com/WindowsVista/en/library/9e197135-6711-4c20-bfad-
fc80fc2151301033.mspx?mfr=true.
Clústeres de NLB
El servicio Equilibrio de carga de red (NLB) proporciona una elevada disponibilidad y escalabili-
dad para servicios de IP (tanto TCP como UDP) y aplicaciones al combinar hasta 32 servidores en
un solo clúster. Los clientes acceden al clúster de NLB al acceder a una sola dirección IP de todo
el grupo. Los servicios de NLB redirigen automáticamente al cliente a un servidor de trabajo.
Están instalados como opción predeterminada en Windows Server 2008. Los clústeres de NLB
son útiles para servicios de terminal de equilibrio de carga, flujo de medios, aplicaciones Web y
servidores de red privada virtual.
Se usan dos herramientas para administrar clústeres de NLB:
• El Administrador de equilibrio de carga de red es una interfaz gráfica que proporciona acceso a
todos los comandos de administración de NLB. Es la herramienta de administración preferida.
• NLB.EXE es una herramienta de línea de comandos diseñada para administrar clústeres de
NLB. El control remoto debe habilitarse en el clúster para que funcione NLB.EXE.
PRECAUCIÓN Se recomienda que evite activar Control remoto en clústeres en NLB y que también evite
el uso de la herramienta de línea de comandos NLB.EXE, porque expone el clúster a posible daño de
personas con intentos maliciosos. Utilice, en cambio, el Administrador de equilibrio de carga de red.
También puede iniciar el Administrador de equilibrio de carga de red de la línea de coman-
dos utilizando NLBMGR.EXE.
Capítulo 13: Tareas de administración comunes 719
PARTE VII
Los clústeres de NLB están compuestos por varios servidores que responden a elementos
semejantes a solicitudes. Una de las mejores maneras de identificar el estatus del clúster de NLB
consiste en habilitar el registro y verificar el archivo del registro de manera regular.
Para habilitar el registro:
1. Lance el administrador de NLB (Iniciar | Herramientas administrativas | Administrador de
equilibrio de carga de red).
2. Seleccione Configuración de registro, del menú Opciones.
3. En el cuadro de diálogo Configuración de registro, seleccione Habilitar registro y, en el nom-
bre del archivo de registro, localice el archivo en C:\Toolkit y asígnele el nombre NLBLog.txt.
4. Haga clic en Aceptar para cerrar el cuadro de diálogo.
A partir de ahora, toda la actividad de NLB será registrada en el archivo NLBLog. Este archi-
vo es muy útil, aunque toda la actividad se despliegue en el panel inferior de la ventana del ad-
ministrador de NLB, porque éste sólo despliega información acerca de la sesión actual, mientras
el archivo de registro proporciona información acerca de todas las sesiones.
Para revisar el estatus del clúster de NLB, localice el archivo NLBLog y haga doble clic en él.
Organice la información almacenada en el archivo. Revise ese archivo de manera semanal.
NOTA Antes de que pueda ver los archivos del registro de RAS, debe conigurarlos. La conigura-
ción se realiza bajo Registro de acceso remoto (Administración de equipos|Servicios y aplicacio-
nes |Enrutamiento y acceso remoto|Registro de acceso remoto). Haga doble clic en archivo local
para establecer parámetros de registro. Seleccione cada uno de los elementos que desea registrar,
en la icha Coniguración, y establezca el formato del archivo de registro, además de la nueva fre-
cuencia de archivo en la icha Archivo de registro. Asegúrese de que la nueva frecuencia de archivo
está establecida en semanal.
Capítulo 13: Tareas de administración comunes 721
PARTE VII
Windows Server 2008 proporciona un poderoso motor para protección de redes. La protec-
ción de acceso de redes depende de dos funciones de servidor claves para proporcionar pro-
tección a las conexiones de su red. Estas conexiones pueden hacerse mediante red cableada o
inalámbrica y pueden ser internas o externas.
Cada semana, debe verificar la operación apropiada de sus servicios de acceso y directivas de
red para asegurar que la protección de acceso a redes funciona apropiadamente. La verificación
del estatus del servicio puede depender del procedimiento SG-02, que le permite revisar si el
servicio está en operación o no.
También puede depender del Administrador del servidor para verificar que la protección de
acceso a redes esté funcionando apropiadamente:
1. Utilice Escritorio remoto para conectarse al servidor apropiado, o utilice la aplicación del Ad-
ministrador del servidor que está compartida mediante RemoteApps.
2. Lance Administrador del servidor y vaya a servicios de directiva de red y acceso (Funciones |
Servicios de acceso y directivas de red).
3. Revise el estatus de su servidor en los detalles de resumen del panel de Detalles.
4. Investigue y repare cualquier evento extraño.
Esto le ayudará a asegurar que sus conexiones de red están protegidas todo el tiempo.
1. Lance Administrador del servidor (área Inicio rápido | Administrador del servidor).
2. Vaya a Interfaces de red (Administrador del servidor | Funciones | Servicios de acceso y directi-
vas de red | Enrutamiento y acceso remoto | Interfaces de red) y haga clic en él una vez.
3. Haga clic con el botón derecho en Interfaces de red y seleccione Interfaz de marcado a peti-
ción nueva, del menú contextual. Esto lanza el Asistente para interfaz de marcado a petición.
Haga clic en Siguiente.
4. Asigne un nombre a la interfaz y haga clic en Siguiente.
5. Seleccione Conectar utilizando una red privada virtual y haga clic en Siguiente.
6. Seleccione Selección automática, o, si está seguro de que quiere usar L2TP, seleccione L2TP y
haga clic en Siguiente.
7. Inserte el nombre de la dirección de destino en el formato de nombre de host y haga clic en
Siguiente.
8. Seleccione Enrutar paquetes IP en esta interfaz y Agregar una cuenta de usuario para que un
enrutador remoto pueda conectarse, y haga clic en Siguiente.
9. Agregue la ruta remota de esta interfaz. Utilice el botón Agregar para agregar cada parte de la
ruta y después haga clic en Siguiente.
10. Escriba la contraseña para la conexión de marcado telefónico, haga clic en Siguiente, escriba
las credenciales para la conexión de marcado y haga clic en Siguiente. Haga clic en Finalizar
para crear la interfaz.
A partir de ahora, haga clic con el botón derecho en la interfaz y seleccione Propiedades,
para revisar su configuración.
PARTE VII
identidad del usuario y las cuentas del equipo; controla grupos; y da soporte a la estructuración
y organización de objetos mediante bosques, dominios y unidades organizativas. Por medio del
poder de las directivas del grupo, controla el comportamiento de los objetos que contiene.
La administración de los servidores de identidad se divide en dos categorías. Éstas incluyen la
administración de controladores de dominio y todos los objetos que contienen, además de la admi-
nistración de los servidores DNS. Aquí se contienen porque ese servicio es la base de ADDS. Sin los
servicios DNS plenamente funcionales, ADDS sería inalcanzable por completo, porque todos sus
servicios se basan en la estructura jerárquica y los registros de DNS. En realidad, para asegurar una
operación apropiada de ADDS, cada controlador de dominio también debe hospedar el servicio DNS.
En la tabla 13-6 se delinean las actividades administrativas que debe realizar de manera
continua para asegurar la operación apropiada de los servicios que entrega a su comunidad de
usuarios. También se identifica la frecuencia de cada tarea para almacenes de recursos y ofreci-
mientos de servicios virtuales.
Tal vez necesite realizar todas estas actividades porque no utiliza alguno de los servicios
mencionados aquí. También puede utilizar un programa diferente. Recuerde personalizar la lista
de tareas para adaptarla a su entorno.
NOTA Casi todas las actividades de esta sección requieren derechos administrativos de dominio o
bosque (empresarial) o derechos de delegación apropiados para el servicio adecuado.
Ofrecimientos
Número de Almacén de servicios
procedimiento Actividad Frecuencia de recursos virtuales
Controladores de dominio
CD-01 Administración del usuario Diaria X
CD-02 Restablecimiento de la contraseña de usuario Diaria X
CD-03 Veriicación de eventos del registro del servicio de directorio Diaria X X
CD-04 Administración de cuenta Diaria X
CD-05 Administración de grupos de seguridad Diaria X
CD-06 Administración del estatus del servicio KCC Semanal X X
CD-07 Veriicación de la topología de replicación Active Directory Semanal X X
CD-08 Veriicación del estatus del catálogo global Semanal X X
CD-09 Administración del grupo de administración universal Semanal X X
CD-10 Veriicación de la directiva de cuenta Semanal X
CD-11 Veriicación de servicio ADCS Semanal X
CD-12 Veriicación de las cuentas administrativas y de servicio de Mensual X X
Active Directory
CD-13 Administración de objetos perdidos Mensual X
CD-14 Administración de delegación de derechos Ad hoc X
CD-15 Administración de la instalación de software Ad hoc X
CD-16 Administración de GPO Ad hoc X X
CD-17 Administración de objeto de equipo Ad hoc X
CD-18 Administración del grupo de distribución Ad hoc X
CD-19 Administración del bosque de ADDS Ad hoc X X
CD-20 Administración de información de ADDS Ad hoc X
CD-21 Administración de esquema Ad hoc X
CD-22 Administración del acceso al esquema Ad hoc X
CD-23 Modiicación del contenido del esquema Ad hoc X
CD-24 Evaluación de software para modiicación de esquemas Ad hoc X
Controladores de dominio
CD-25 Administración de la función Maestro de operaciones Ad hoc X X
CD-26 Transferencia de la función Maestro de operaciones Ad hoc X X
CD-27 Recuperación de desastres de Maestro de operaciones Ad hoc X X
CD-28 Promoción del controlador de dominio Ad hoc X X
CD-29 Recuperación de desastres del controlador de dominio Ad hoc X X
CD-30 Administración de conianza Ad hoc X
CD-31 Administración de estructura de bosque/dominio/OU Ad hoc X
CD-32 Administración de servicios de tiempo en bosques Ad hoc X X
CD-33 Administración de listas de control de acceso Ad hoc X
CD-34 Administración de consultas guardadas Ad hoc X
CD-35 Administración de espacio dentro de ADDS Ad hoc X X
CD-36 Administración de la directiva de consultas de LDAP Ad hoc X
CD-37 Administración de la base de datos de ADDS Ad hoc X X
CD-38 Eliminación de RODC Ad hoc X
Administración de nombres de espacio (DNS)
DN-01 Veriicación de registro de eventos DNS Diaria X X
DN-02 Administración de coniguración de DNS Mensual X X
DN-03 Administración del registro DNS Ad hoc X
DN-04 Administración de particiones de aplicaciones de DNS Ad hoc X
Debido a que el servicio ADDS es tan crítico para la operación apropiada de la red de Windows
Server 2008, se deben realizar varias actividades de manera más frecuente que con otros servicios.
PARTE VII
SUGERENCIA El centro de secuencia de comandos TechNet de Microsoft incluye una serie de hosts
de secuencia de comandos de Windows (WSH) y secuencias de comandos de ejemplo de Power-
Shell que le ayudan a realizar tareas de administración de usuarios y grupos. Éstas se encuentran
en www.microsoft.com/technet/scriptcenter/default.mspx. Debido a esto, las referencias a las
secuencias de comandos no se repetirán en cada actividad relacionada con usuarios o grupos, a
menos que haya una secuencia de comandos especíica que atienda la tarea.
NOTA Esa actividad se realiza en el almacén de recursos, pero no se acerca a la frecuencia presente
en los ofrecimientos de servicio virtual.
Para crear un nuevo objeto de usuario:
1. Lance el Administrador del servidor (área Inicio rápido | Administrador del servidor). La con-
sola se conecta automáticamente a su dominio predeterminado. Si necesita trabajar con un
bosque o un controlador de dominio diferente, utilice Usuarios y equipos de Active Directory
(menú Iniciar | Herramientas administrativas | Usuarios y equipos de Active Directory) y haga
clic en la parte superior del nodo de árbol para seleccionar otro bosque o dominio.
2. Vaya a la unidad organizativa (OU) apropiada. Esto debe ser algún lugar en la estructura de la
OU Persona.
3. Haga clic con el botón derecho en el panel Detalles para seleccionar Nuevo | Usuario, en el
menú contextual o utilice el icono Nuevo usuario de la barra de herramientas de la consola.
Esto activa el asistente Nuevo objeto-Usuario.
4. Este asistente despliega dos cuadros de diálogo. El primero trata con los nombres de cuenta.
Aquí usted establece el nombre completo del usuario, el nombre de despliegue del usuario, su
nombre de inicio de sesión o su nombre principal de usuario (UPN, User Principal Name), y
su nombre de nivel inferior (o previo a Windows 2000). Haga clic en Siguiente.
5. La segunda pantalla trata las restricciones de contraseña y cuenta. Escriba la de ese usuario, y
asegúrese de que la casilla de verificación El usuario debe cambiar la contraseña al iniciar una
sesión de nuevo esté seleccionada. Si el usuario no está listo para tomar posesión inmediata
de la cuenta, entonces también debe seleccionar la opción La cuenta está deshabilitada. Haga
clic en Finalizar cuando haya terminado.
726 Parte VII: Administre Windows Server 2008
PRECAUCIÓN Tenga cuidado al establecer una contraseña que nunca caduca. Si es para una cuenta
que no es de usuario, como una de servicio (cuentas que están diseñadas para operar servicios) o
para una cuenta de propósito genérico, también debe asegurarse de seleccionar la opción El usua-
rio no puede cambiar la contraseña. De esta manera, nadie puede usar la cuenta para cambiar su
contraseña.
También puede utilizar casi el mismo procedimiento para modificar cuentas existentes y
realizar operaciones como habilitar cuentas, cambiar nombre y reasignarlas.
También puede automatizar el proceso de creación de usuarios. El comando CSVDE está di-
señado para realizar modificaciones masivas de usuarios en Active Directory. Utilice el siguiente
comando para crear varios usuarios a la vez:
csvde -i -f nombrearchivo.csv -v -k >nombrearchivosalida.txt
donde -i activa el modo de exportación, -f indica el archivo de origen para la importación (nom-
brearchivo.csv); este archivo de origen debe estar en un formato de valor separado por comas
(CSV, Comma-separated Value). Además, -v coloca el comando en modo de texto extenso, y -k
le indica que ignore los errores y continúe hasta el final. Puede revisar el archivo nombrearchivo-
salida.txt para conocer los resultados de la operación.
NOTA Los archivos CSV sólo pueden crearse en Microsoft Excel. Por lo general contiene una
primera línea que indica cuáles valores deben esperarse. Por ejemplo: CN,Nombre,Apellido,
Descripción debe dar soporte a valores como fdetal,Juan,DeTal,Administrador o japineda,Jorge,
Ramos,Técnico, etc. Una vez creado, utilice Excel para guardar el archivo como un archivo CSV
(Delimitado por comas).
Si necesita migrar información de un dominio a otro, utilice el comando CSVDE para exportar
primero la información y luego importarla de un dominio a otro. Escriba CSVDE -? para conocer
más información.
NOTA También puede crear otros dos tipos de objetos de usuario. InetOrgPerson es un objeto de usuario
que tiene exactamente las mismas propiedades que el objeto Usuario. Se usa para mantener compati-
bilidad con otros servicios de directorio que no son de Microsoft. Contacto es un objeto de usuario que
no puede ser un principal de seguridad. Se crea sólo para incluir su información en el directorio.
La actividad más común que los administradores deben realizar en cuentas de usuario es el
restablecimiento de contraseñas. Ésta es una de las razones por las que se establece como tarea
diaria. Dependiendo del tamaño de su red, tal vez no tenga que restablecer contraseñas diaria-
mente, pero es probable que tenga que hacerlo más de una vez a la semana.
PRECAUCIÓN Para evitar el retraso de la replicación, sobre todo cuando restablece una contraseña
de un usuario regional, siempre debe conectarse al controlador de dominio más cercano al usuario
para restablecer la contraseña. De esta manera, los usuarios no tienen que esperar a que se repli-
quen los cambios del DC central a los DC regionales para poder usar la nueva contraseña.
Capítulo 13: Tareas de administración comunes 727
PARTE VII
2. Una vez conectado, haga clic con el botón derecho en el nombre de dominio y seleccione
Buscar.
3. Escriba el nombre del usuario en el cuadro de diálogo Buscar y haga clic en Buscar ahora.
4. Una vez que localice al usuario apropiado, haga clic con el botón derecho en su nombre y
seleccione Restablecer contraseña.
5. En el cuadro de diálogo Restablecer contraseña, escriba la nueva contraseña, confírmela y
seleccione El usuario debe cambiar la contraseña al iniciar una sesión de nuevo.
6. Haga clic en Aceptar cuando haya terminado.
7. Notifique al usuario la nueva contraseña.
También puede cambiar contraseñas mediante la línea de comandos:
dsmod user “DNUsuario” -pwd a5B4c#D2eI -mustchpwd yes
donde DNUsuario es el nombre distinguido del usuario. Por ejemplo, “CN=Fulano de Tal,
OU=Persona, DC=Intranet, DC=TandT, DC=NET” hace referencia al usuario Fulano de Tal en
la OU persona del dominio Intranet.TandT.Net. Utilice comillas para abarcar el nombre completo
del usuario.
El directorio también almacena una gran cantidad de información que no está necesaria-
mente disponible para los administradores. Un ejemplo es la información de cuenta. Una herra-
mienta poderosa, ACCTINFO.DLL, puede encontrarse en las herramientas de bloqueo de cuenta
(búsquela en www.microsoft.com/download).
Esta herramienta debe registrarse en el servidor o la estación de trabajo utilizando la con-
sola Usuarios y equipos de Active Directory antes de que pueda utilizarla. Ejecute este comando
desde un indicador de comandos elevado:
regsvr32 acctinfo.dll
Una vez registrado, agrega una nueva ficha a la página Propiedad: La ficha Informe de cuen-
ta adicional (vea la figura 13-11). Esa ficha es muy útil porque proporciona información adicional
acerca del estatus de la cuenta y también proporciona un botón para restablecer contraseñas
regionales de usuario directamente en su DC de sitio (Establezca PWD en DC de sitio), evitando
las demoras de replicación.
PRECAUCIÓN Cuando registra este DLL, debe detener y reiniciar la consola que está usando para
que se aplique. Además, este DLL parece funcionar sólo en la consola real de Usuarios y equipos
de Active Directory, no en el Administrador del servidor. Por último, si creó una consola per-
sonalizada de acuerdo con el procedimiento SG-17, entonces debe descargar y volver a cargar el
complemento Usuarios y equipos de Active Directory para que se muestre el DLL.
FIGURA 13-11 Ficha Informe de cuenta adicional en la página Propiedad del usuario.
Además, como hay más de 200 atributos asociados con la cuenta de usuario, casi todas las
organizaciones comparten la carga de la administración de datos entre diferentes funciones. Los
usuarios, por ejemplo, son responsables de actualizar su propia información en el directorio. Esto
PARTE VII
incluye su dirección, su función en la organización, y otra información específica de la ubicación.
Los representantes del usuario son a menudo responsables de la información relacionada con
grupos de trabajo en el directorio: para quién trabaja el usuario, en cuál departamento, etc. Los
administradores a menudo se quedan con la creación de cuentas de usuario, el restablecimiento de
contraseñas, la terminación del bloqueo de cuentas y otras tareas relacionadas con el servicio. Los
usuarios actualizan su propia información mediante la herramienta Buscar, de Windows, o median-
te una herramienta de terceros; buscan su nombre en el directorio, luego modifican los campos que
están disponibles para ellos (consulte el capítulo 7 para conocer información acerca de una herra-
mienta gratuita para las actualizaciones de usuario). Los representantes de usuarios suelen trabajar
con consolas de delegación y tienen acceso sólo a los objetos de los que son responsables en el
directorio. Los administradores utilizan la consola Usuarios y equipos de Active Directory.
Los equipos también tienen cuentas que es posible administrar en Active Directory. Están
incluidas en un contenedor especial de directorio, como opción predeterminada: el contenedor
Computers. Como el contenedor Users, Computers no es un OU. Esto significa que necesita crear
previamente las cuentas en OU apropiadas o mover las cuentas a estas OU una vez creadas.
NOTA Microsoft ofrece un complemento que le permite hacer clic con el botón derecho en una cuen-
ta de equipo y seleccionar Control remoto. Ese complemento se llama Remote Control AD-on for
Active Directory Users and Computers, y se localiza en www.microsoft.com/downloads/details.
aspx?FamilyID=0A91D2E7-7594-4ABB-8239-7A7ECA6A6CB1&displaylang=en. Además,
Special Operations Software ofrece un complemento gratuito que le permite controlar equipos
de Wake-On-LAN para equipos mediante Usuarios y equipos de Active Directory en
www.specopssoft.com/products/specopsgpupdate.
Utilice los procedimientos CD-01 y CD-02 para crear nuevas cuentas o modificar existentes.
NOTA También se usa el comando CSVDE delineado en el procedimiento CD-01 para precargar el
directorio con nombres de equipos. Esto resulta realmente útil cuando necesita instalar nuevos
equipos y quiere crear todas las cuentas de equipo en una OU especíica.
NOTA Los grupos dentro de bosques plenamente funcionales de Windows Server pueden convertir-
se de un tipo a otro en cualquier momento. Por tanto, si encuentra que un grupo ya no requiere
sus características de seguridad, puede cambiarlo a un grupo de distribución y eliminar sus
derechos de acceso.
Además del tipo de grupo, Windows Server da soporte a varios ámbitos de grupo diferentes.
Los ámbitos del grupo están determinados por ubicación del grupo. Si el grupo está localizado
en un equipo local, su ámbito será local. Eso significa que sus miembros y los permisos que le
asigne afectarán sólo al equipo en que el grupo está localizado. Si el grupo se encuentra dentro
de un dominio en un bosque, tendrá un ámbito de dominio o bosque. Los modos de dominio y
bosque afectan la funcionalidad del grupo. En un bosque de Windows Server plenamente funcio-
nal, podrá trabajar con los siguientes ámbitos de grupo:
• Entre los miembros locales de dominio se pueden incluir cuentas (usuario y equipo), otros
grupos locales de dominio, grupos globales y grupos universales.
• Entre los miembros globales se pueden incluir cuentas y otros grupos globales dentro del
mismo dominio.
• Entre los miembros universales se pueden incluir cuentas, grupos globales y grupos universa-
les de cualquier lugar del bosque, o incluso entre bosques, si existe confianza.
Los grupos, sobre todo los de seguridad, tienen funciones específicas. Estas funciones están ba-
sadas en la regla AGLP. Esta regla está delineada en el capítulo 7. De acuerdo con ella, los usuarios
deben colocarse en grupos globales, los grupos globales se colocan en grupos locales de dominio o
locales y los permisos se asignan a los grupos locales de dominio o locales. Los grupos universales
se usan como puente entre dominios y bosques al colocar grupos globales dentro de ellos y colo-
carlos dentro de los grupos locales de dominio o locales para otorgar acceso a recursos.
La regla AGLP simplifica la determinación del tipo de grupo que necesita crear porque es
muy lógica. Utilice esta lógica para determinar el ámbito del grupo y el tipo del grupo cuando se
crean éstos. Eso simplifica en gran medida la administración del grupo.
Utilice el procedimiento CD-01 para crear grupos. Elija Nuevo | Grupo del menú contextual.
Siga las instrucciones del asistente para crear el grupo. Si está seguro de lo que quiere crear, utili-
ce el siguiente comando:
dsadd group “DNgrupo” -secgrp yes -scope ámbito -desc descripción
donde DNgrupo es el nombre distinguido del grupo y ámbito es “l”,“g” o “u” para cada uno de los
ámbitos disponibles. Descripción es la descripción que quiere agregar al grupo.
Para administrar los usuarios de un grupo, primero utilice el procedimiento CD-02 para loca-
lizar el grupo, luego haga doble clic en el nombre del grupo. Vaya a la ficha Miembros y haga clic
en Agregar. Escriba los nombres de los objetos que habrán de agregarse, y haga clic en Compro-
bar nombres. Si se despliegan varios resultados, seleccione el objeto o los objetos apropiados y
haga clic en Aceptar. Haga clic en Aceptar para agregar el objeto. Haga clic en Aceptar para cerrar
el cuadro del diálogo Propiedades del grupo.
NOTA También puede navegar al contenedor en que quiere que se agreguen o almacenen los objetos,
seleccionarlos, hacer clic con el botón derecho en ellos y seleccionar Agregar al grupo, para agre-
gar varios objetos a la vez.
Capítulo 13: Tareas de administración comunes 731
PARTE VII
La replicación es la esencia de los Servicios de dominio de Active Directory. Ocurre dentro de un
sitio determinado si hay más de un DC en el sitio y ocurre entre sitios si hay DC localizados en dife-
rentes sitios. Como opción determinada, las rutas de replicación entre sitios las administra el servicio
KCC. Para que esto ocurra entre sitios, debe crearse por lo menos un vínculo entre cada sitio que
contiene un controlador de dominio. Este vínculo de sitio incluye información de costos. También
incluye información de programación de replicación; es decir, cuando se permite replicar al DC.
NOTA El comando REPADMIN también es útil para desplegar información acerca de diferentes aspec-
tos de la replicación. Utilice REPADMIN /? para conocer más información.
Este procedimiento está relacionado de cerca con el CD-06. Para que KCC funcione de
manera apropiada, debe definirse adecuadamente la topología de sitio. Es una buena idea com-
probar el estado de la topología de su sitio una vez a la semana, al mismo tiempo que realiza la
comprobación del servicio de KCC. Esto depende de la verificación del registro de eventos de
servicios de directorio en busca de errores orientados a la replicación. Utilice el procedimiento
CD-03 para hacerlo.
Hay varios factores importantes que hacen que funcione la replicación entre sitios. Uno de
los más importantes es la latencia de la replicación de su red. Ésta se calcula al multiplicar el
número de saltos de replicación entre los extremos más distantes de su red de área amplia por
la frecuencia de replicación que esté establecida. Por ejemplo, si tiene tres saltos (el sitio 1 debe
enviar al sitio 2, el sitio 2 al 3 y el sitio 3 al 4) y su frecuencia de replicación es la opción predeter-
minada de 180 minutos, tomará tres veces 180 minutos, o 540 minutos, replicar en el sitio 4 un
cambio que se hizo en el sitio 1. Tenga esto en cuenta cuando diseñe su topología de replicación.
Para verificar la topología de replicación:
1. Empiece por lanzar la parte Sitios y servicios de Active Directory, del Administrador del servidor.
2. Vaya a NTDS Settings (Funciones | Servicios de dominio de Active Directory | Sitios y servi-
cios de Active Directory | Sites | nombresitio | Server | nombreservidor | NTDS Settings), donde
nombresitio y nombreservidor son el sitio y el servidor que desea verificar, y haga clic en él.
3. Haga clic con el botón derecho en NTDS Settings para seleccionar Toda las tareas | Compro-
bar la topología de replicación.
4. Haga clic en Aceptar para cerrar el cuadro de diálogo Comprobar topología de replicación.
5. Oprima la tecla F5 o seleccione el icono Actualizar, de la barra de herramientas, para actualizar
las conexiones en el panel de la derecha.
También puede utilizar el mismo procedimiento para imponer la replicación si necesita
hacerlo:
1. Seleccione NTDS Settings, vaya al panel Detalles y seleccione el vínculo que desea verificar.
2. Haga clic con el botón derecho en el vínculo para seleccionar Replicar ahora, del menú con-
textual.
3. Haga clic en Aceptar para cerrar el cuadro del diálogo estatus de la replicación.
También hay dos herramientas de línea de comandos que pueden usarse para verificar el
estatus de la replicación. Para verificarlo en un DC específico:
repadmin /showreps nombreservidor
donde nombreservidor es el nombre DNS del servidor que desee revisar. Para validar las conexio-
nes DNS para replicación:
dcdiag /test:replications
Este comando presentará cualquier replicación entre controladores de dominio. Puede ca-
nalizar los resultados de ambos comandos a un nombre de archivo para guardar la información.
Ingrese cualquier anomalía en su registro de actividades semanales.
Capítulo 13: Tareas de administración comunes 733
PARTE VII
El Catálogo global es crucial para la operación apropiada de los Servicios de dominio de Ac-
tive Directory. Sin él, nadie puede encontrar ninguno de los objetos almacenados en el directorio.
De modo que debe verificarse su operación apropiada de manera regular.
Los catálogos globales contienen dos tipos de información: objetos que se han marcado
como globalmente útiles y, por tanto, deben estar disponibles para todos en todo momento, y
pertenencia al grupo universal. Por ello, debe designarse al menos un controlador de dominio en
cada sitio como servidor de catálogo global (GCS, Global Catalog Server). Además, los sitios sin
un GC pero con un DC deben tener habilitado el Caché de pertenencia a. Esto debe reducir en
gran medida la cantidad de replicación requerida entre estos sitios.
NOTA Como se delineó en el procedimiento CD-05, los grupos universales sólo deben contener otros
grupos, sobre todo grupos globales. Por tanto, no necesita replicar información cuando se modiica
la membresía global, porque hasta donde abarca al grupo universal, no ha habido cambio.
Para verificar que la información de catálogo global esté disponible en sitios remotos:
dsquery * -gc -s nombreservidor
donde nombreservidor es el nombre del servidor remoto que desea verificar. El interruptor -GC
también asegura que es un Servidor de catálogo global que responde a las respuestas. Este coman-
do debe devolver una lista de 100 resultados (el volumen predeterminado de la salida del comando
DSQUERY). Si esta consulta no funciona, utilice el procedimiento CD-07 para forzar la replicación.
También puede automatizar este proceso al colocarlo en un archivo de comandos junto con
el procedimiento SG-21.
Para que un DC se vuelva un GCS:
1. Empiece por lanzar la parte Sitios y servicios de Active Directory del Administrador del servidor.
2. Vaya a NTDS Settings (Funciones | Servicios de dominio de Active Directory | Sitios y servi-
cios de Active Directory | Sites | nombresitio | Server | nombreservidor | NTDS Settings), donde
nombresitio y nombreservidor son el sitio y el servidor que desea verificar, y haga clic en él.
3. Haga clic con el botón derecho en NTDS Settings, y seleccione Propiedades, del menú contextual.
4. Seleccione la opción Catálogo global, en la ficha General. Haga clic en Aceptar, para cerrar el
cuadro de diálogo Propiedades.
Para establecer el almacenamiento en caché de la pertenencia al grupo universal:
1. Empiece por lanzar la parte Sitios y servicios de Active Directory del Administrador del servidor.
2. Vaya al sitio que desee modificar (Funciones | Servicios de dominio de Active Directory | Sitios
y servicios de Active Directory | Sites | nombresitio) donde nombresitio es el sitio que desea
modificar, y haga clic en él.
3. Vaya al panel de la derecha, y haga clic con el botón derecho en NTDS Site Settings, para
seleccionar Propiedades, del menú contextual.
4. Seleccione Habilitar caché de pertenencia al grupo universal y haga clic en Aceptar, para cerrar
el cuadro de diálogo.
734 Parte VII: Administre Windows Server 2008
PRECAUCIÓN Para asegurarse de que esta directiva se aplique a todo, haga esta coniguración en
la directiva de dominio predeterminada del dominio raíz de cada uno de los bosques que usted
administra.
Aunque establezca esta directiva, es posible que alguien con suficientes derechos adminis-
trativos y las habilidades apropiadas pueda “darle la vuelta” por breves periodos (los GPO se
actualizan cada cinco minutos en DC). Por eso debe revisar regularmente la pertenencia a estos
grupos para asegurarse de que nadie los ha modificado y se ha agregado a los grupos. También
puede usar el procedimiento de auditoría de cambios de ADDS delineado en el capítulo 10 para
atrapar todas las modificaciones a ADDS.
PRECAUCIÓN Es una buena idea crear el mismo tipo de directivas de grupo restringido para el
grupo Administradores de dominio en cada uno de los dominios de su bosque, porque este grupo
también tiene derechos elevados.
NOTA Puede combinar esa directiva con directivas de contraseña adicionales más inas. Consulte el
capítulo 10 para conocer más información.
PARTE VII
NOTA Todas las coniguraciones recomendadas de la directiva Kerberos están establecidas en las
coniguraciones predeterminadas de Windows Server, pero al establecerlas explícitamente se ayu-
da a los operadores de directivas de grupo para que sepan lo que en realidad es esta coniguración
predeterminada.
Los Servicios de Certificate Server de Active Directory (ADCS) se usan en diversas instan-
cias dentro de la red de Windows Server. Dan soporte al sistema de cifrado de archivos; auten-
tificación inalámbrica; autenticación de tarjeta inteligente; conexiones de red privada virtual; y,
cuando se utiliza con directivas de restricciones, pueden certificar sus secuencias de comandos
y sus paquetes de software, protegiéndolas de virus incluidos en secuencias de comando. La
administración del servicio ADCS en Windows Server puede hacerse mediante el complemento
Autoridades de certificado o el comando CERTUTIL.
Utilice el siguiente comando para ver el estatus de un servidor de certificado:
certutil -cainfo -config nombremaquinaca\nombreac
donde nombremaquinaca y nombreac son el nombre del equipo y el nombre de la autoridad de
certificados para la máquina de destino.
El comando CERTUTIL es poderoso y da soporte a casi todas las operaciones relacionadas
con administración de certificados de Windows Server 2008. Para conocer más información sobre
este comando, escriba CERTUTIL /? en el indicador de comandos.
También puede utilizar Herramientas administrativas | Visor de PKI para verificar el estatus
de sus servidores ADCS en la red. Por último, también puede usar el administrador de certifica-
dos para ver los certificados relacionados con el equipo o las cuentas de usuario. Para ello, utilice
menú Iniciar | Iniciar búsqueda | CertMgr.msc.
los datos en los DC, el objeto recién creado ya no tiene un hogar. Cuando esto sucede, ADDS
almacena automáticamente estos objetos dentro del contenedor LostAndFound. Ese contenedor
especial administra objetos perdidos dentro del dominio. Otro contenedor especial, LostAnd-
PARTE VII
FoundConfig, administra objetos perdidos en el bosque. El último está sólo en un dominio raíz
de bosque.
Por tanto, una vez al mes, debe verificar los contenedores LostAndFound y LostAndFound-
Config en busca de objetos para determinar si deben moverse a los contenedores o simplemente
eliminarse del directorio.
Para verificar los contenedores LostAndFound:
1. Empiece por lanzar Usuarios y equipos de Active Directory del Administrador del servidor.
2. Asegúrese de que Vista avanzada está activada (Ver | Características avanzadas), y haga clic en
el contenedor LostAndFound.
3. Identifique cualquier objeto localizado dentro de esta carpeta. Decida si necesitan moverse a
otro contenedor o si debe eliminar los objetos.
Esto ocurre con menos frecuencia en bosques de WS08 debido a la nueva característica
Bloquear objeto, asignada a todos los nuevos objetos, pero aún debe verificar este contenedor de
manera regular.
PRECAUCIÓN Tenga cuidado con eliminar objetos. Asegúrese de revisar las propiedades del objeto
antes de hacerlo. En ocasiones, es mejor mover el objeto y desactivarlo mientras se comunica con
sus colegas para ver si es un objeto necesario. Recuerde que una vez eliminado, los SID se habrán
ido para siempre.
NOTA La delegación se hace principalmente con unidades organizativas. Los sitios y dominio rara
vez deben delegarse.
La delegación se realiza mediante el Asistente para delegación de control. Además de la
delegación de control, a menudo tiene que crear consolas personalizadas para dar a los adminis-
tradores delegados acceso a los objetos que ha delegado para ellos. Si la consola está basada en
un complemento determinado, también tendrá que asegurarse de que está instalada en el equipo
del usuario, antes de que puedan usar la consola personalizada.
NOTA También puede realizar algún grado de delegación mediante el uso de los grupos integrados
de Windows Server. Windows Server incluye grupos especiales para administración de Cuen-
tas, Copias de seguridad, Coniguración de red, Directiva de grupo, DNS, Impresión y Servidor,
además de Supervisión de rendimiento, Publicación de certiicados y más. Estos grupos deben
utilizarse junto con el asistente de delegación de control de ADDS para delegar operaciones en
ADDS.
738 Parte VII: Administre Windows Server 2008
SUGERENCIA Si quiere instalar sólo una parte de las herramientas administrativas de Windows
Server en un equipo, en lugar de todos ellos, consulte el artículo de la base de conocimientos
314 978 en http://support.microsoft.com/kb/314978.
PARTE VII
2. Lance la consola Administración de directivas de grupo.
3. Vaya al contenedor Objetos de directivas de grupo (Administración de directivas de grupo |
Bosque: nombrebosque | Dominios | nombredominio | Objetos de directivas de grupo).
4. Localice el GPO que desea editar, o cree un nuevo GPO para editarlo (haga clic con el botón
derecho en el panel de la derecha, seleccione Nuevo, asigne un nombre y haga clic en Acep-
tar). Debido a que el software se asigna a equipos, haga clic con el botón derecho en el GPO y
seleccione Configuración de usuario deshabilitada, del elemento de menú Estado de GPO.
5. Haga clic con el botón derecho en el GPO que habrá de editarse y seleccione Editar. Esto
lanza el editor de GPO.
6. Vaya a Instalación de software (Configuración del equipo | Directivas | Configuración de
software) y haga clic con el botón derecho en el panel de la derecha para seleccionar Nuevo |
Paquete, del menú contextual.
7. Vaya a la carpeta compartida que contiene su paquete y selecciónelo. Haga clic en Abrir.
8. Seleccione Asignado y haga clic en Aceptar, del cuadro de diálogo Implementación.
Puede hacer clic con el botón derecho en el paquete recién creado para ver sus propiedades
y modificar configuraciones adicionales. Por ejemplo, tal vez quiera agregar un archivo de trans-
formación al paquete (extensión .MST) para personalizar su comportamiento. También puede
asegurarse de descifrar automáticamente cuando ya no sea válido.
NOTA También pueden iltrar instalaciones de software con grupos de seguridad. Esto le permite
asignar instalaciones de software mediante un solo GPO mientras se dirige a diferentes sistemas.
Para tomar como destino un grupo específico con una instalación de software:
1. Localice el paquete que quiere tomar como destino (Editor de GPO | Configuración del equi-
po | Directivas | Configuración de software | Instalación de software).
2. Haga clic con el botón derecho del paquete y seleccione Propiedades.
3. Vaya a la ficha Seguridad.
4. Elimine el grupo Usuarios autentificados y agregue el grupo apropiado (puede ser un grupo
global que contiene sólo cuentas de equipo) con derechos de lectura.
5. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades.
Su instalación sólo se aplicará en el grupo de destino porque los otros sistemas no podrán
leerlo en el directorio.
NOTA Rápidamente, las instalaciones de software se están volviendo algo del pasado, porque están
siendo reemplazadas con virtualización de aplicaciones. Para conocer más información sobre los
beneicios de la virtualización de aplicaciones, consulte “Virtualize Your Business Desktop
Environment” (Virtualice su entorno de escritorio de negocios) en www.altiris.com/upload/
wp_virtualizeyourbussinessdesktopdeployment_072606.pdf. Además, consulte The Definitive
Guide to Vista Migration, un libro electrónico gratuito de www.realtime-nexus.com/dgvm.htm.
740 Parte VII: Administre Windows Server 2008
Las directivas de grupo son una de las herramientas más poderosas de Windows Server
2008. Hay más de 2 400 configuraciones de GPO que pueden aplicarse en un bosque de Win-
dows Server. Esas configuraciones controlan todo, desde la apariencia de un escritorio hasta la
configuración de Terminal Services para todos los usuarios. Por eso estará trabajando con GPO
de manera regular.
PRECAUCIÓN Tenga cuidado con el número de GPO que crea. Evite el uso de GPO de un solo
propósito y use iltros de GPO para reinar su aplicación.
1. Empiece por lanzar la consola Administración de directivas de grupo (GPMC) mediante el
menú Iniciar | Herramientas administrativas | Administración de directivas de grupo.
2. Vaya al contenedor Objetos de directivas de grupo (Administración de directivas de grupo |
Bosque: nombrebosque | Dominio | nombredominio | Objetos de directiva de grupo).
3. Localice el GPO que habrá de editarse y haga clic con el botón derecho en él para seleccionar
Editar, de menú contextual.
4. Realice la modificación apropiada en el editor de GPO.
5. Agregue un comentario a este GPO, al hacer clic en el botón derecho en el nombre de GPO
en el editor y elegir Propiedades. Agregue comentarios a la ficha Comentarios. Los comenta-
rios se ven en la ficha Detalles de la consola GPMC.
GPO puede vincularse rápidamente con cualquier contenedor dado dentro de la consola de ad-
ministración de directivas de grupo. Para ello, arrastre y coloque el GPO en el contenedor apropiado.
Los GPO también pueden filtrarse. Están disponibles dos tipos de filtros: seguridad e instru-
mentación de administración de Windows (WMI). Los filtros de seguridad son simplemente dere-
chos de acceso otorgados o negados a grupos específicos. Los filtros WMI toman como destino re-
sultados específicos de una consulta WMI. Por ejemplo, si todos sus equipos portátiles son Toshiba,
puede utilizar un filtro WMI para tomar como destino todas las máquinas Toshiba en su dominio.
Para aplicar filtros a GPO:
1. Empiece por lanzar la consola Administración de directivas de grupos.
2. Vaya al contenedor Objetos de directivas de grupo (Administración de directivas de grupo |
Bosque: nombrebosque | Dominio | nombredominio | Objetos de directiva de grupo).
3. Haga clic en el GPO que se filtrará. En el panel de la derecha, agregue o elimine grupos de
seguridad para filtrar el GPO con seguridad.
4. Para filtrar el GPO con una consulta a WMI, haga clic en la lista desplegable y seleccione el
filtro apropiado. Responda Sí cuando se le consulte en el cuadro de diálogo del filtro WMI.
Los filtros WMI deben crearse antes de que pueda aplicarlos.
Los filtros WMI se crean al hacer clic con el botón derecho en Filtro WMI y seleccionar Nue-
vo, del menú contextual. Los filtros WMI son comparables a consultas SQL, aunque utilicen un
lenguaje diferente: el lenguaje de consulta de Windows (WQL, Windows Query Language). Un
ejemplo de un filtro para localizar laptops Toshiba es:
Root\CimV2; Select * from Win32_ComputerSystem where manufacturer = “Toshiba”
and Model = “Satellite Pro 4200” OR Model = “Satellite Pro 4100”
Capítulo 13: Tareas de administración comunes 741
Los filtros WMI pueden crearse en archivos de texto simple e importarse directamente en la
consola Administración de directivas de grupo.
Por último, tres comandos GPO son realmente útiles cuando trabaja con directivas de grupo.
PARTE VII
Para actualizar directiva de grupo en un objeto teclee:
gpupdate
Como opción determinada, esto actualizará las directivas de usuario y equipo en el sistema
de destino, pero sólo cambiará la configuración. Utilice el interruptor /FORCE para volver a aplicar
todas las configuraciones de directiva. Utilice /? para conocer más información.
Para identificar el conjunto resultante de directivas en un objeto:
gpresult /S nombreequipo /USER nombreusuariodestino /Z
donde nombreequipo es el nombre del equipo para verificar resultados y nombreusuariodestino el
nombre del usuario cuya directiva desea verificar. El interruptor /Z permite el modo supertextual,
que le da una información muy detallada. Tal vez quiera canalizar este comando a un nombre de
archivo para capturar todos los resultados.
Para restablecer el GPO Default Domain Policy o Default Domain Controller Policy a su
configuración original:
dcgpofix /ignoreschema
Como opción predeterminada, este comando actualiza ambas directivas predeterminadas.
El interruptor /IGNORESCHEMA es el que necesitará más probablemente si ha agregado cualquier
modificación al esquema o cualquier software para este efecto a su red. Si el esquema ya no se
encuentra en su estado predeterminado y el interruptor no se usa, el comando no funcionará.
3. Haga clic con el botón derecho en el panel de la ventana derecha para seleccionar el comando
Nuevo | Equipo, en el menú contextual o utilice el icono Nuevo equipo, en la barra de herra-
mientas de la consola. Esto activa el asistente Nuevo objeto - Equipo.
4. Este asistente despliega dos cuadros de diálogo. El primero contiene los nombres de cuen-
ta. Aquí se establece el nombre del equipo. También tiene la oportunidad de identificar cuál
grupo de usuarios puede agregar este equipo a un dominio. Para ello, haga clic en Cambiar,
escriba el nombre del grupo, haga clic en Comprobar nombres, seleccione el grupo correcto y
haga clic en Aceptar. Haga clic en Siguiente.
SUGERENCIA Puede crear un grupo Técnicos que pueda asignarse a esta función. De esta manera
no necesita asignarles más derechos de los requeridos.
5. La segunda pantalla trata con el estatus del equipo en el directorio. Si se trata de un equipo
administrado, debe hacer clic en éste y escribir su identificador único global (GUID, Globally
Unique Identifier). Haga clic en Siguiente.
NOTA Todo equipo tiene un GUID. Puede encontrarse en el BIOS del equipo o en la etiqueta del
equipo, junto con su número de serie. Si compró equipos al mayoreo (como lo debe hacer para
evitar lo más posible la diversidad), debe hacer que el fabricante le proporcione una lista de hoja de
cálculo con los GUID de cada equipo del lote. También puede depender de esta hoja de cálculo para
crear previamente sus cuentas.
6. Haga clic en Finalizar para crear la cuenta.
NOTA Debe tomarse el tiempo de revisar y llenar las propiedades de la cuenta. Por lo menos debe
ser miembro de grupos apropiados para recibir las instalaciones de software apropiadas (consulte
el procedimiento CD-15).
También puede volver automático el proceso de creación de cuentas de equipos. El comando
CSVDE está diseñado para realizar modificaciones de cuenta masivas en ADDS. Utilice el siguien-
te comando para crear varias cuentas de equipos a la vez:
csvde -i -f nombrearchivo.csv -v -k >nombrearchivosalida.txt
donde -i habilita el modo de importación, -f indica el archivo de origen para la importación
(nombrearchivo.csv), que debe estar en formato CSV, -v coloca el comando en modo de texto ex-
tenso y -k le indica que ignore errores y siga al final. Puede revisar el archivo nombrearchivosalida.
txt para conocer los resultados de la operación.
SUGERENCIA Si recibe de su revendedor de equipos una hoja de cálculo que contiene GUID, puede
utilizar estas hojas como la base de su archivo de origen separado por comas de creación de cuentas.
pueden atender el nombre del grupo y enviar automáticamente un correo electrónico a cada
miembro del grupo.
PARTE VII
PRECAUCIÓN No utilice grupos de distribución para duplicar grupos de seguridad. Estos grupos
tienen las mismas características que los de distribución y también pueden usarse para tomar
como destino correo electrónico. Por esta razón, estos grupos se usan mucho menos que los de se-
guridad. Debido a que no es necesario duplicar los grupos de seguridad para ines de distribución,
debe tener un número mucho menor de grupos de distribución que de seguridad.
Utilice el procedimiento CD-05 para crear sus grupos de distribución.
Los administradores de bosques necesitan administrar actividades globales dentro del bosque.
En primer lugar y ante todo, el administrador del bosque debe autorizar la creación de nuevos bos-
ques, sobre todo los permanentes. También debe orientarse a limitar el número de bosques perma-
nentes en su red. Esto le ayudará a controlar el costo total de la propiedad de su red.
PRECAUCIÓN Recuerde que cada instancia única de los Servicios de dominio de Active Directory
es un bosque.
Los bosques se crean por las siguientes razones:
• Esquemas diferentes de base de datos Sólo puede almacenarse una estructura de base
de datos dentro de un solo bosque. Si el esquema debe ser diferente, estará contenido en un
bosque diferente. Pero con los Servicios de directorio ligero de Active Directory (ADLDS), hay
poca necesidad de hospedar varios bosques por razones de esquema.
• Prueba o desarrollo Si se requiere una prueba especial (por ejemplo, para herramientas
que modificarán el esquema de su bosque de producción), tal vez necesite crear un bosque de
prueba. Lo mismo se aplica para proyectos de desarrollo.
• Bosques de perímetro Si su organización hospeda una extranet o un sitio de Internet, tal
vez necesite un bosque diferente para agregar y proteger objetos internos del perímetro. Re-
cuerde que también puede depender de ADLDS para esta función.
PRECAUCIÓN Es una muy buena idea segregar bosques internos de los perímetros externos. De
esta manera, no se compromete la seguridad interna si su perímetro es atacado.
También debe limitar el número de dominios contenidos dentro de su bosque. Tanto los do-
minios como los bosques deben justificarse antes de crearse. Las razones para crear un dominio
incluyen:
• Reglas diferentes de autentiicación Los dominios forman los límites de las reglas utilizadas
para autentificar usuarios y equipos, porque son el contenedor en que estos objetos están creados.
• Diferentes directivas de seguridad para cuentas de usuario Las directivas de seguridad
que se aplican a cuentas de usuario están almacenadas dentro del dominio. Tal vez éstas nece-
sitan ser diferentes entre dominios. Por ejemplo, los desarrolladores requieren privilegios más
elevados que los usuarios normales. Es una buena idea dejar que los desarrolladores trabajen
744 Parte VII: Administre Windows Server 2008
PARTE VII
El esquema de Servicios de dominio de Active Directory define la estructura de una base de
datos de bosque. Como opción predeterminada, el esquema de Windows Server 2008 contiene
más de 200 diferentes tipos de objeto y más de 1 000 atributos. El esquema de ADDS es extensi-
ble; le permite agregar nuevas estructuras a la base de datos para que pueda agregar el contenido
de su elección. Pueden utilizarse varias herramientas para extender el esquema, pero antes de
hacerlo debe preguntarse si realmente son necesarios.
La base de datos de ADDS es distribuida. Esto significa que está dispersa por toda su organi-
zación, y que a menudo tiene controladores de dominio en cada oficina regional, además de las
oficinas centrales. Cada vez que cambia el esquema de ADDS, se aplicará a todas las ubicaciones.
Otro factor que debe contener su deseo de cambiar el esquema es que los cambios no pueden
deshacerse. Aunque pueda desactivar clases de nuevos objetos o atributos agregados al esquema,
no puede eliminarlos. Sin embargo, puede cambiar su nombre y volverlos a usar.
Con versiones anteriores de Windows, éste era un dilema importante, pero no lo es con
Windows Server 2008, porque da soporte a los Servicios de directorio ligero de Active Direc-
tory. ADLDS es como un mini ADDS que puede ejecutar varias instancias en una sola máquina
(Windows Vista o Windows Server). Esto significa que en lugar de planear la modificación del
ADDS de su sistema operativo de red, siempre debe considerar la posibilidad de reemplazar esta
modificación con una instancia de ADLDS. Esto mantendrá su ADDS de sistema operativo de
red en la versión más prístina posible.
Sin embargo, habrá algunos casos en que la modificación de los esquemas será obligatoria.
Esto se relaciona principalmente con herramientas para sistemas operativos de red; un ejemplo
son complementos como Microsoft Exchange Server. Por ejemplo, Exchange lleva a más del
doble el número de objetos y atributos en el esquema del sistema operativo de red. En este caso,
debe utilizar el procedimiento CD-22 y CD-23 para hacer las modificaciones al esquema.
Si decide modificar el esquema, debe hacerlo de acuerdo con una directiva de modificación
del esquema. Esa directiva incluye:
• Una lista detallada de los miembros del grupo universal Administradores de empresa.
• Una estrategia de seguridad y administración para el grupo universal Administradores de
esquema (consulte el procedimiento CD-22).
• La creación de la función contenedor de directiva de cambio de esquema (SCPH, Schema
Change Policy Holder). Esta función es responsable de la aprobación o negación de los cam-
bios al esquema.
• Documentación completa de la estrategia de administración de cambio del esquema, incluido:
• Soporte a la documentación de solicitudes de cambios, lo que proporciona una descripción
y justificación de la modificación deseada.
• Un análisis de impacto del cambio, impactos de la replicación a corto y largo plazos, costos
del cambio solicitado y beneficios del cambio a corto y largo plazos.
• Un identificador de objeto globalmente único para la nueva clase o atributo. Debe obtener-
se de una fuente válida (consulte el procedimiento CD-23).
• Una descripción de clase oficial, incluidos el tipo de clase y localización en la jerarquía.
• Resultados de prueba de estabilidad de sistema y seguridad. Diseñe un conjunto estándar
de pruebas para todas las modificaciones.
746 Parte VII: Administre Windows Server 2008
NOTA Todas las modiicaciones del esquema deben realizarse directamente en el Master de operacio-
nes del esquema.
PRECAUCIÓN Debe ser un miembro del grupo Administradores de empresa para realizar este
procedimiento.
Utilice el siguiente procedimiento para controlar el acceso al esquema:
1. Utilice el procedimiento CD-05 para agregar un usuario autorizado al grupo Administradores
de esquema. Este procedimiento debe realizarse en el dominio raíz de su bosque.
2. Permita que el usuario autorizado realice la modificación.
3. Utilice el procedimiento CD-05 para eliminar al usuario del grupo Administradores de esquema.
PRECAUCIÓN Todas las modiicaciones del esquema deben probarse completamente en un entorno
de laboratorio antes de realizarse en la red de producción.
Capítulo 13: Tareas de administración comunes 747
PARTE VII
La mejor manera de proteger su esquema de producción es formar una directiva de modifi-
cación de esquema (consulte el procedimiento CD-21). Esta directiva se mantiene en el contene-
dor de directivas de cambio de esquema, al cual se presentan todos los cambios de los esquemas
para su aprobación. La directiva no sólo determina quién tiene la función contenedor de directiva
de cambio de esquema, sino también la manera en que se aprobarán, prepararán y desplegarán
las modificaciones al esquema. La asignación de la función para administrar el esquema asegura
que grupos que no se comunican entre sí no harán las modificaciones de manera ad hoc. Debido
a que, ante todo, el contenedor de directiva de cambio de esquema debe aprobar todas las modi-
ficaciones, el proceso es claro para todos.
La estructura X.500 de la base de datos ADDS está basada en un esquema de numeración
de objetos que es globalmente único. Por tanto, una autoridad central tiene la capacidad de
generar identificadores de objetos para nuevos objetos X.500: La International Standards Or-
ganization (ISO). Los números también pueden obtenerse del American National Standards
Institute (ANSI). Como tal, la numeración X.500 puede obtenerse en www.iso.org o www.ansi.
org. Microsoft también ofrece numeración X.500 en un árbol de clases de objetos adquirido con
el fin de dar soporte a Active Directory. Puede recibir ID de objeto de Microsoft al enviar correo
electrónico a oids@microsoft.com. En su correo electrónico, incluya el prefijo de asignación de
nombre de la organización y la siguiente información de contacto: nombre de contacto, dirección
de contacto y número telefónico de contacto. Para obtener el prefijo de asignación de nombres
de su organización, lea la parte Servicios de dominio de Active Directory de los estándares de
aplicaciones en http://msdn2.microsoft.com/en-us/library/ms954370.aspx.
Los identificadores de objeto son cadenas en una notación tipo “punto”, similar a las direc-
ciones IP. Las autoridades que los expiden pueden dar un identificador de objeto en un subni-
vel a otras autoridades. El ISO es la autoridad raíz. ISO tiene un número 1. Cuando asigna un
número a otra organización, ese número se utiliza para identificar a dicha organización. Si se le
asigna a una organización el número 488077 y se expide a un desarrollador y éste asignó 10 a
una aplicación, el número de aplicación sería “1.488077.1.10”.
Los identificadores de objeto son necesarios cada vez que se agrega un objeto o atributo al
esquema. Obtenga estos identificadores antes de seguir adelante para modificar el esquema.
Las modificaciones al esquema no sólo residen con objetos o adiciones de atributos. Puede
modificar el esquema para:
• Agregar un objeto o atributo al catálogo global. Esto lo hace disponible a todos los usuarios de
su organización.
• Indizar un objeto dentro del directorio. Esto genera el objeto que permite la búsqueda.
• Desactivar un objeto o atributo. Esto hace que el objeto quede en estado latente en su directo-
rio. Sólo es posible desactivar los objetos agregados al directorio.
• Cambiar el nombre y reciclar un objeto o atributo agregados.
Las modificaciones pueden realizarse de manera interactiva, mediante herramientas de línea
de comandos, o programación. Para modificar el esquema de directorio de manera interactiva:
1. Asegúrese de que ha agregado el grupo Administradores de esquema (consulte el procedi-
miento CD-22).
748 Parte VII: Administre Windows Server 2008
NOTA Si, después de todo, decide modiicar su esquema, puede documentar sus modiicaciones con
un programa de documentación de esquema disponible en www.microsoft.com/downloads/details.
aspx?FamilyID=BEF87B1D-D2F1-4795-88C5-CA66CFC3AB29&displaylang=en.
Tanto Microsoft como otros desarrolladores utilizan extensiones de esquema para integrar de
manera más completa sus productos con Active Directory. Microsoft Exchange es el producto que
hace la mayor parte de las modificaciones al esquema porque casi duplica su estructura.
Debe estar consciente del software de modificación de esquema porque tiene un impacto
a largo plazo en su directorio de sistema operativo de red. Recuerde que el directorio que cree
en su red durará mucho tiempo y necesitará contar con la posibilidad de actualizarlo fácilmente
cuando surjan nuevas versiones de productos de Windows Server.
Cuando deba decidir si procederá con un producto determinado que modifique el esquema,
debe tomar los siguientes elementos en consideración:
Capítulo 13: Tareas de administración comunes 749
• ¿Cuál es la reputación y el estado financiero del fabricante del producto? No querrá encon-
trarse unido a un producto que dentro de poco ya no tendrá el soporte después de que lo haya
implementado.
PARTE VII
• ¿Es realmente esencial la función que proporciona el producto? ¿Hay otros productos en el
mercado que realizan la misma función sin modificar el esquema?
• ¿Cuál es el método del fabricante para los Servicios de directorio ligero de Active Directory?
¿Están comprometidos con la integración de ADLDS en lugar de estarlo con modificaciones al
directorio del sistema operativo de red?
Las respuestas a esas preguntas le ayudarán a determinar si debe implementar el producto
o no. Por supuesto, en algunos casos, la pregunta en realidad no se plantea. Por ejemplo, si su
organización está ejecutando Exchange y ha migrado a Windows Server, no lo pensará dos veces
para modificar el esquema.
Una vez que haya tomado la decisión de seguir adelante, utilice los procedimientos CD-21,
CD-22 y CD-23 para realizar la modificación.
PARTE VII
tro de infraestructura, PDC para el emulador de PDC, RID para el Maestro de RID y SCHEMA para el
maestro de esquema.
PRECAUCIÓN Los controladores de dominio de sólo lectura no pueden contener ninguna función
de FSMO.
Como sabe, sólo puede haber una instancia de cada función de Maestro de operaciones
dentro de cada ámbito, bosque o dominio. Aunque en casi todos los casos, el bosque o dominio
operarán por periodos cortos cuando uno u otro maestro está caído, es preferible transferir la
función de un DC a otro si sabe que uno de los DC de Maestro de operaciones estará caído por
un periodo importante. Esto puede suceder cuando se programa el mantenimiento del servidor.
PRECAUCIÓN La transferencia de las funciones del Maestro de operaciones puede ser peligrosa
para su red de producción si no la realiza adecuadamente. Por ejemplo, transferir la función
Maestro de esquema de manera impropia puede dañar todo el esquema del bosque, obligándolo a
recuperar Active Directory a partir de copias de seguridad. Asegúrese de realizar estas operacio-
nes con todo cuidado.
Para transformar cualquiera de las funciones mediante la interfaz gráfica, necesita básica-
mente utilizar el procedimiento de identificación de FSMO, como se delineó en el procedimiento
CD-25. He aquí cómo hacerlo:
1. Lance o vaya a la consola apropiada del FSMO que quiera transferir.
2. Haga clic con el botón derecho en el nombre de dominio, seleccione Conectar con un contro-
lador de dominio, escriba el nombre del DC al que quiere transferir la función y haga clic en
Aceptar.
3. Vea el cuadro de diálogo Propiedades de FSMO, y haga clic en Cambiar.
Nuevamente, resulta más fácil hacerlo mediante la línea de comandos:
ntdsutil
roles
connection
connect to server nombreservidor
quit
transfer nombreFSMO
quit
quit
donde nombreservidor es el nombre DNS del DC al que quiere transferir la función y Nombre
FSMO es la función que desea transferir. Escriba HELP en el indicador FSMO MAINTENANCE para
identificar los nombres de FSMO de este comando, o consulte el procedimiento CD-25.
752 Parte VII: Administre Windows Server 2008
El procedimiento CD-26 sólo funciona cuando el FSMO que quiere transferir aún está
operando. En el caso de una falla total del sistema de un FSMO, necesita tomar el control de la
función de FSMO; es decir, necesita indicar al directorio que la función debe transferirse, aunque
no puedan ponerse en contacto con el FSMO que la origina.
PRECAUCIÓN Si toma el control de cualquier función, asegúrese de que ésta se elimina por com-
pleto del servidor que la origina antes de traerla de vuelta en línea al bosque o el dominio. De lo
contrario, puede haber serios daños para su ADDS.
Los controladores de dominio en Windows Server 2008 son muy diferentes de las versiones
anteriores de Windows. En Windows Server, puede convertir fácilmente un servidor de DC en un
servidor miembro y viceversa, si lo desea. Todo se hace mediante el comando DCPromo. Se acce-
de a este comando a través de varios métodos: línea de comandos, el comando Agregar funcio-
nes del Administrador del servidor, el comando Ejecutar, etc. El método más fácil es mediante el
Administrador del servidor. Se lanza automáticamente al inicio del sistema o mediante el menú
Iniciar | Herramientas administrativas.
La promoción de un controlador de dominio puede hacerse en varias situaciones diferentes.
Puede darse para crear un nuevo bosque. En esta instancia, se le indica a DCPromo que quie-
re instalar el primer DC en un bosque. Puede ser para un nuevo árbol en un bosque existente.
Puede ser para un dominio secundario. También puede ser para otro DC en un dominio existente
o incluso para un controlador de dominio de sólo lectura (RODC).
Capítulo 13: Tareas de administración comunes 753
PRECAUCIÓN Para utilizar DCPromo, necesita tener derechos de Administrador de empresa o Ad-
ministrador de dominio, o tener delegados los derechos apropiados. Los derechos delegados pueden
PARTE VII
proporcionarse junto con el procedimiento CD-19, si trata de crear un nuevo dominio secundario
o un árbol en un bosque existente.
La promoción de un DC es un proceso de dos pasos. En primer lugar, debe instalar la fun-
ción ADDS. Luego debe ejecutar el comando DCPromo. Consulte el capítulo 6 para conocer más
información.
PRECAUCIÓN Si está creando un dominio secundario en un bosque existente, debe realizar el pro-
cedimiento DN-04 antes de ejecutar DCPromo.
Cuando crea controladores de dominio regionales, es útil cargar previamente los datos del
directorio durante la promoción de DC. Esto reduce en gran medida los requisitos de replicación,
porque sólo se replican las diferencias entre el directorio real y la copia de seguridad a partir de la
cual se realiza la carga previa.
NOTA Antes de que pueda promover un DC empleando información de carga previa, debe utilizar el
procedimiento RSC-01 para crear una copia de seguridad de un DC en el dominio de destino.
Para realizar la promoción de un DC a partir de archivos de copia de seguridad, o para acce-
der a las características avanzadas de la promoción del DC, utilice:
dcpromo /adv
o haga clic en la opción Características avanzadas, en la versión gráfica de DCPromo.
4. Oprima F8 una vez más para seleccionar Modo de restauración de servicios de directorio, y
oprima ENTER. Inicie sesión con la cuenta de restauración de directorios. Lance el indicador de
comandos:
ntdsutil
authoritative restore
restore database
quit
quit
5. Reinicie el servidor en el modo normal.
El comando de la base de datos de restauración marca todos los datos en la base de datos
NTDS.DIT de este DC como autorizado. Una vez que se restaure el servidor, empezará el proceso
de replicación y la información restaurada se replicará a todos los demás controladores de dominio.
Si quiere restaurar sólo una parte del directorio, utilice el siguiente comando de restauración:
restore subtree ou=nombreou, dc=nombredc, dc=nombredc
donde debe proporcionar el nombre distinguido de la OU que desee restaurar.
PRECAUCIÓN Las operaciones de conianza requieren privilegios elevados. Esto signiica Admi-
nistradores de dominio o los Administradores de empresa (dependiendo del nivel de conianza
necesario). También necesitará credenciales privilegiadas en el dominio de destino, sobre todo si
está creando conianzas transmitidas de dos vías.
Para crear una confianza:
1. Lance Dominios y confianzas de Active Directory (menú Iniciar | Herramientas administrativas).
2. Haga clic con el botón derecho en el dominio al que desea asignar la confianza y seleccione
Propiedades.
3. Vaya a la ficha Confía, del cuadro de diálogo Propiedades, y haga clic en Nueva confianza.
Esto lanzará el Asistente para nueva confianza. Haga clic en Siguiente.
Capítulo 13: Tareas de administración comunes 755
PARTE VII
Árbol-raíz Transitiva de dos vías Son las conianzas automáticas que se establecen cuando se crea
un nuevo árbol.
Bosque Transitiva de una o dos vías Extiende la transitividad de las conianzas de un bosque a otro.
Acceso directo Transitiva de una o dos vías Crea una ruta de acceso directo para autentiicación entre dos domi-
nios. Pueden usar esta ruta para autentiicación en lugar de tener que
recorrer la jerarquía del bosque.
Reino Transitiva o intransitiva de Crea un vínculo de autentiicación entre un dominio y un reino de
una o dos vías Kerberos que no es de Windows (como UNIX).
Externa Intransitiva de una o dos vías Crea un vínculo de autentiicación entre un dominio de WS08 y uno
heredado.
4. Escriba el nombre del dominio o bosque con el que desee establecer la confianza. Los nom-
bres de dominio pueden estar en formato NetBIOS, pero los nombres del bosque deben estar
en formato DNS. Haga clic en Siguiente.
5. Seleccione el tipo de confianza que desee crear (Bidireccional, Unidireccional de entrada o
Unidireccional de salida).
6. Si tiene derechos administrativos en ambos dominios, puede seleccionar Este dominio y el
dominio especificado para crear ambos lados de la confianza al mismo tiempo. Haga clic en
Siguiente.
7. Escriba sus credenciales administrativas para el dominio o el bosque de destino. Haga clic en
Siguiente.
8. El asistente está listo para crear la confianza saliente en el dominio o el bosque de destino.
Haga clic en Siguiente. Una vez terminado, le pedirá que configure la nueva confianza. Haga
clic en Siguiente.
9. Seleccione Sí, confirme la confianza saliente y luego haga clic en Siguiente. La confirmación
de la confianza es una buena idea porque prueba de inmediato la nueva confianza.
10. Seleccione Sí, confirme la confianza entrante y luego haga clic en Siguiente. Revise sus cam-
bios y haga clic en Finalizar cuando haya terminado.
PRECAUCIÓN Si no tiene credenciales para ambos dominios, debe ejecutar el Asistente para nueva
conianza una vez en cada dominio. En este caso, debe proporcionar la misma contraseña de con-
ianza cada vez. Es una buena idea utilizar contraseñas muy fuertes para relaciones de conianza.
Esto signiica contraseñas complejas que tienen por lo menos 15 caracteres.
Utilice el mismo procedimiento para crear todos los demás tipos de confianzas. El asistente
automáticamente cambiará su comportamiento con base en los valores que ingrese en la segun-
da página.
Para verificar confianzas:
1. Lance Dominios y confianzas de Active Directory.
2. Haga clic con el botón derecho en el dominio que contiene las confianzas que desea verificar
y seleccione Propiedades.
756 Parte VII: Administre Windows Server 2008
NOTA Las últimas dos herramientas son muy complejas y requieren una gran cantidad de prueba
antes de que siga adelante. Asegúrese de familiarizarse con ellas antes de usarlas en un entorno de
Capítulo 13: Tareas de administración comunes 757
producción. Por ejemplo, si utiliza la herramienta para cambiar nombres de dominio de manera in-
apropiada, su dominio podría corromperse, forzándole a recuperarse a partir de copias de seguridad.
PARTE VII
El comando MOVETREE le permite mover objetos y rastrear el movimiento al canalizar la infor-
mación en archivos de registro que pueden archivarse. Además, incluye un interruptor /CHECK, que
sólo probará el movimiento. Junto con el interruptor /VERBOSE, le dará una gran cantidad informa-
ción acerca de los posibles movimientos antes de que en realidad los realice. Además, como opción
predeterminada, el interruptor /START verificará automáticamente un movimiento y realizará el
movimiento sólo si la verificación de operación se completa sin errores. Por ejemplo, para probar un
movimiento de la OU Recursos humanos a la OU Administración del Servidor 1 a Servidor 2 en el
dominio TandT.net y canalizar los resultados en un archivo, escriba:
movetree /check /s server1.tandt.net /d server2.tandt.net /sdn OU=“Recursos
Humanos”, DC=tandt,DC=net /ddn OU=“Recursos Humanos”,OU=Administración,DC=tandt,
DC=net /verbose >nombrearchivo.txt
Utilice MOVETREE /? para conocer más información.
NOTA Recuerde que las unidades organizativas se utilizan por cuatro razones: para delegar admi-
nistración de objetos, asignar directivas de grupo a objetos, reagrupar o separar objetos en catego-
rías y ocultar objetos. La última se realiza mediante la asignación o negación de permisos reales a
la OU. Utilice el procedimiento CD-34 para asignar permisos apropiados a OU.
tráfico de SNTP. Otros orígenes de tiempo están disponibles. Utilice su herramienta de búsqueda
favorita de Internet para localizarlos.
Para verificar que el comando tuvo éxito, escriba:
net time /querysntp
Esto debe devolver los tres nuevos orígenes de tiempo como resultado.
PRECAUCIÓN Esto debe tomarse como una mejor práctica de seguridad. La primera parte del hac-
keo consiste en tener la información a la mano. Si oculta la información al aplicar listas de control
de acceso a OU, tendrá una red más segura.
NOTA Antes de realizar esta tarea, utilice el procedimiento CD-05 para crear un grupo de seguridad
llamado Usuarios negados, y asigne todos los usuarios a los que desea ocultar la información a este
grupo. Asegúrese de que no incluye sus cuentas administrativas en este grupo; de otra manera,
también se le negará acceso a la información oculta. No asigne el grupo Usuarios de dominio a este
grupo porque incluirá su cuenta. Además podría agregar en este grupo la cuenta de usuarios de
plantilla para que se asigne como opción predeterminada a cada nueva cuenta de usuario.
Para asegurar el contenido de una OU:
1. Lance el Administrador del servidor y vaya a Usuarios y equipos de Active Directory (Funcio-
nes | Servicios de dominio de Active Directory | Usuarios y equipos de Active Directory).
2. Expanda el nombre de dominio y vaya a la OU que quiere modificar, o cree una. Para crear
una OU, haga clic con el botón derecho en el objeto principal (dominio u OU principal), y
seleccione Nueva | Unidad organizativa.
3. Haga clic con el botón derecho en la OU y seleccione Propiedades, del menú contextual.
4. Vaya a la ficha Seguridad. Haga clic en Agregar. Escriba Usuarios negados y haga clic en
Aceptar.
5. Asigne al grupo Usuarios negados el permiso Denegar en el área Lectura. Haga clic en Acep-
tar para cerrar el cuadro de diálogo.
A partir de ahora, todos los objetos que coloque en esta OU estarán ocultos para todos los
usuarios que sean miembros del grupo Usuarios negados.
Capítulo 13: Tareas de administración comunes 759
PRECAUCIÓN Tenga cuidado con esta operación porque, en ADDS, la negación siempre sobrescri-
be permisos, de modo que aunque usted (como administrador) tenga derechos plenos sobre este
PARTE VII
objeto, todo lo que tiene que hacer es ser miembro del grupo Usuarios negados para perder acceso
a los objetos en la OU.
PRECAUCIÓN La asignación de cuotas de NTDS es una buena práctica, porque asegura que
ninguna cuenta de usuario o equipo cree objetos suicientes en ADDS para crear una situación
de negación del servicio al crear tantos objetos que el DC se quede sin espacio de almacenamiento.
Esta situación también puede afectar el ancho de banda de la red porque el DC atacado trata de
replicar todos los nuevos datos a sus colegas.
Las cuotas afectan a todos los objetos del directorio. Por ejemplo, si establece cuotas gene-
rales de 1000, eso significa que ningún objeto ADDS simple puede poseer más de 1000 objetos
distintos. Esto incluye objetos activos y muertos (objetos que se han eliminado del directorio pero
que aún no se han borrado, porque la eliminación no se ha replicado a todos los socios). También
760 Parte VII: Administre Windows Server 2008
puede asignar un peso a los datos muertos. Eso significa que, en lugar de permitir que un objeto
muerto tenga el mismo peso que uno activo, puede indicarle al directorio que tome menos espa-
cio que los objetos activos.
Por último, también puede crear grupos y asignarles cuotas diferentes de la general. Por
ejemplo, si quiere dar a los servidores de impresión el derecho de poseer más de 1000 colas de
impresión, crearía un grupo, incluiría todos los servidores de impresión en él y le otorgaría una
cuota más elevada. Como opción predeterminada, el directorio no contiene ninguna cuota.
Es posible asignar cuotas a todas las particiones del directorio: configuración, dominio y
aplicación, pero no a la partición del esquema. La última no puede contener cuotas. Para conocer
más información sobre las particiones de aplicaciones, consulte el procedimiento de DN-04.
PRECAUCIÓN Las cuotas se establecen en el nivel del dominio. Asegúrese de asignar cuotas en cada
dominio de su bosque.
Por ejemplo, para establecer una cuota de 500 para el grupo Usuarios de dominio en la parti-
ción de dominio TandT.net, escriba:
dsadd quota dc=TandT,dc=net -acct “cn=Usuarios de dominio,cn=usuarios,dc=TandT,
dc=net” -qlimit 500
NOTA El nombre distinguido Usuarios de dominio está entre comillas porque hay un espacio en el
nombre del grupo.
PRECAUCIÓN La asignación de una directiva de consulta LDAP es una buena práctica, porque
protege al directorio de ataques de negación de servicio basados en consultas de LDAP. Aunque se
PARTE VII
trata de una buena práctica para directorios internos, es una obligación absoluta para cualquier
Active Directory que esté localizado en un perímetro o una zona de red desmilitarizada.
No se preocupe si siente que no sabe lo suficiente acerca de LDAP para definir una directi-
va de consulta; ADDS incluye una directiva de consulta predeterminada que puede usarse para
proteger su directorio. Para asignar la directiva de consulta predeterminada a su directorio:
1. Lance Administrador del servidor y vaya a Sitios y servicios de Active Directory (Funciones |
Servicios de dominio de Active Directory | Sitios y servicios de Active Directory).
2. Haga clic en el nombre del controlador de dominio (Administración de equipos | Sitios y servi-
cios de Active Directory | Sites|nombresitio | Servers | nombreDC) donde nombresitio y nombreDC
son los nombres del sitio donde está localizado el DC y el nombre del DC que desea ver.
3. Haga clic con el botón derecho en NTDS Settings, en el panel Detalles, y seleccione Propiedades.
4. En la ficha General, seleccione Default Query Policy, de la lista desplegable Consultar directiva.
5. Haga clic en Aceptar.
Esta operación sólo se requiere en un DC del dominio.
Para modificar o crear su propia directiva de consulta, utilice el comando NTDSUTIL en el
contexto LDAP POLICIES. Utilice el sistema de ayuda de WS08 para encontrar más información
acerca de este comando.
PRECAUCIÓN La compactación de la base de datos debe hacerse fuera de línea. Esto signiica que
debe detener el servicio ADDS antes de realizar esta operación. Este servicio sólo puede detenerse
si el DC que está deteniendo puede ponerse en contacto con otro DC en la red (una buena razón
más para tener por lo menos dos DC en cualquier dominio). También puede utilizar el comando
NET STOP NTDS para ello.
1. Una vez que se ha detenido el servicio ADDS, lance una consola de comando elevada y escriba:
ntdsutil
files
compact to nombrecarpetatemporal
quit
quit
donde nombrecarpetatemporal es el nombre de la carpeta de destino donde la base de datos com-
pactada se almacenará temporalmente. Asegúrese de que la operación se completa de manera
apropiada.
762 Parte VII: Administre Windows Server 2008
NOTA En casi todos los directorios grandes, esta operación puede tomar algo de tiempo.
2. A continuación, elimine todos los archivos de registro:
cd\windows\ntds
Del *.log
3. Ahora haga una copia de seguridad de NTDS.DIT:
copy NTDS.DIT carpetacopia
donde carpetacopia es el nombre de la carpeta de destino donde se almacenará la base de da-
tos que se ha copiado. Asegúrese de que la copia de seguridad esté completamente asegurada.
4. Copie de nuevo la base de datos compactada en su carpeta original:
copy nombrecarpetatemporal\ntds.dit
donde nombrecarpetatemporal es el nombre de la carpeta de destino donde debe almacenarse
temporalmente la base de datos compactada. Sobrescribe el archivo NTDS.DIT original.
5. Ahora revise la integridad del nuevo archivo compactado:
ntdsutil
files
integrity
quit
quit
Una vez que esté completa la comprobación de integridad, reinicie el servicio ADDS. Repita
en cada DC en su bosque.
Puede incluir toda la operación en una secuencia al utilizar la línea de comandos, si quiere
automatizarlo. Sin embargo, debe realizar la operación interactivamente, porque si algo sale mal
y no está consciente de ello, su DC no será funcional.
PRECAUCIÓN Todos los DC deben dejarse dentro de la OU Domain Controllers, porque se verán
afectados por las directivas de grupo especiales que aseguran esta función de servidor virtual.
3. Localice el RODC faltante, selecciónelo y oprima SUPR.
4. En el cuadro de diálogo Eliminar controlador de dominio, seleccione Restablecer todas las
contraseñas de cuentas de usuario en caché en este DC de sólo lectura, además de Exportar la
Capítulo 13: Tareas de administración comunes 763
lista de cuentas que se almacenaron en caché en este controlador de dominio de sólo lectura a
este archivo, e ingrese el nombre del archivo al que se exportará la lista. Haga clic en Aceptar
para realizar la eliminación.
PARTE VII
5. Utilice la lista exportada para informar a los usuarios afectados que sus contraseñas se han
restablecido y que se deberán poner en contacto con el escritorio de ayuda antes de que pue-
dan iniciar sesión.
Por fortuna, nunca necesitará realizar esta operación. Pero en caso de que la tenga que hacer,
seguirá asegurando el acceso a su directorio.
La última depende del momento en que creó sus zonas de Internet y las decisiones tecnoló-
gicas que tomó entonces.
Una cosa es cierta (o debe serlo): su estructura interna DNS se ejecutará en Windows Server
porque está usando ADDS. Debido a que Windows Server da soporte a la adición y eliminación
de registros DNS (en conjunción con el servicio DHCP), todos sus servidores DNS deben esta-
blecerse para habilitar el rastreo de los registros inactivos (Administrador del servidor | Funciones
| Servidor DNS | DNS | nombreservidor | Propiedades | ficha Opciones avanzadas). Esto mantiene
automáticamente su base de datos DNS limpia.
Puede realizar esta actividad manualmente al hacer clic con el botón derecho en el nombre
de servidor, en la consola DNS, y seleccionar Explorar registro de recursos inactivos. También es
una buena idea seleccionar Actualizar archivos de datos del servidor (del mismo menú contex-
tual) de manera regular. Además, puede iniciar el rastreo desde la línea de comandos:
dnscmd nombreservidor /startscavenging
donde nombreservidor es el nombre del servidor que desea iniciar para rastrear.
contenida sólo dentro del dominio real. La aplicación DNS se crea automáticamente mientras
instala DNS mediante DCPromo (procedimiento CD-28), pero también puede crearlos manual-
mente mediante el menú contextual del servidor DNS en la consola DNS.
PARTE VII
También puede utilizar el comando DNSCMD para crear particiones adicionales:
dnscmd /CreateBuiltinDirectoryPartitions opción
donde opción alude al ámbito de la partición y puede ser /DOMAIN, /FOREST o /ALLDOMAINS. Para
enumerar las particiones existentes:
dnscmd /EnumDirectoryPartitions
SUGERENCIA Cuando cree un bosque de varios dominios, utilice delegaciones “modelo” para forzar
al asistente para DCPromo a instalar DNS y crear las particiones de aplicación de dominio en el
propio dominio. Ahora DCPromo se ocupa de esta operación automáticamente porque promueve el
primer DC en un dominio secundario.
NOTA Casi todas las actividades de esta sección requieren derechos administrativos locales o dere-
chos de delegación apropiados para el servicio adecuado.
Ofrecimientos
Número de Almacén de servicios
procedimiento Actividad Frecuencia de recursos virtuales
Servidores Web dedicados
SW-01 Veriicación del registro de eventos de aplicaciones Diaria X X
SW-02 Veriicación del estatus del servidor de IIS Semanal X
SW-03 Generación de estadísticas de uso del servidor IIS Mensual X
SW-04 Veriicación de registro del servidor Web Mensual X
SW-05 Veriicación de parches de seguridad de IIS Ad hoc X
SW-06 Administración de la coniguración del servidor Web Ad hoc X
Servidores de aplicaciones
SAP-01 Veriicación de estado de aplicaciones compartidas Semanal X
SAP-02 Administración de aplicaciones COM+ Semanal X
SAP-03 Administración del servidor de base de datos Semanal X
SAP-04 Acceso de cliente a aplicaciones de servidor Ad hoc X
Terminal Services
TS-01 Administración de las conexiones de Terminal Services Semanal X X
TS-02 Administración de impresoras de Terminal Services Ad hoc X
TS-03 Administración de licencias de Terminal Services Ad hoc X
TS-04 Administración de acceso de usuarios de Terminal Services Ad hoc X
TS-05 Administración de RemoteApp de Terminal Services Ad hoc X X
Windows SharePoint Services
SP-01 Veriicación de Windows SharePoint Services Diaria X
SP-02 Generación de copias de seguridad de Windows SharePoint Diaria X
Services
SP-03 Registro de diagnóstico Mensual X
SP-04 Análisis de uso Mensual X
SP-05 Veriicación de credenciales de seguridad Ad hoc X
Rendimiento y monitoreo
RM-01 Veriicación del registro de enrutamiento y irewall Diaria X X
RM-02 Monitoreo del espacio en disco general Semanal X X
RM-03 Administración de recursos del sistema Semanal X X
RM-04 Monitoreo del tráico de red Semanal X X
RM-05 Administración de la capacidad del servidor Mensual X X
RM-06 Diagnósticos del sistema Ad hoc X X
PARTE VII
3. Este registro almacena todos los eventos relacionados con las aplicaciones. Tal vez quiera fil-
trar u ordenar eventos para ver sólo eventos IIS. La mejor manera de hacerlo es haciendo clic
en el botón Origen, en el encabezado del panel Detalles. Esto ordena automáticamente todos
los errores de acuerdo con el origen. Localice eventos ISS al buscar eventos del proveedor de
servicios para aplicaciones (ASP, Application Service Provider).
4. Identifique cualquier error o advertencia. Tome la acción apropiada si aparece alguno de ellos.
Como opción predeterminada, ISS sólo registra un subconjunto de errores de ASP en el
registro de eventos. Otros registros son generados por el propio IIS y se almacenan en
%SYSTEMDRIVE%\INETPUB\LOGS\LOGFILES.
comando Ejecutar como administrador para lanzar el Administrador del servidor y luego proce-
der de la siguiente manera:
1. Utilice el procedimiento SA-01 para crear un nuevo conjunto recopilador de datos.
2. Agregue contadores para el servicio Web como objeto de rendimiento, y agregue los siguientes
contadores empleando todas las instancias:
• Usuarios anónimos/sec.
• Usuarios anónimos actuales.
• Usuarios no anónimos/sec.
• Usuarios no anónimos actuales.
• Intentos de conexión/sec.
3. Repita el procedimiento con Caché de servicio Web y Visitas de caché de archivos como obje-
tos de rendimiento.
NOTA Debe supervisar el servicio Web y el caché de servicio Web si quiere ver el número total de
usuarios que visitan sus sitios.
4. Repita en cada uno de los servidores Web.
5. Establezca el calendario para que se ejecute mensualmente.
Esto registrará automáticamente toda la actividad de uso Web.
PRECAUCIÓN Es una buena idea revisar los archivos de registro de IIS de manera regular para de-
tectar posibles ataques. Busque patrones de repetición en la manera en que los usuarios visitan su
sitio. Si su sitio tiene habilitada la autentiicación, busque los intentos repetidos de iniciar sesión
de fuentes desconocidas.
NOTA Debe utilizar el procedimiento SA-02 para hacer copias de seguridad regulares de sus archi-
vos de registro IIS. También debe limpiar los archivos de registro después de que los respalde para
limpiar el espacio en disco en el servidor IIS.
IIS ha sido el favorito de los hackers. Por esto es que necesita prestar especial atención a los
parches de seguridad para este servicio.
Capítulo 13: Tareas de administración comunes 769
NOTA Esta tarea se establece como ad hoc porque nunca sabrá cuándo será necesario realizarla. Por
lo menos, debe realizarla una vez cada mes.
PARTE VII
Utilice el procedimiento SG-14 para verificar actualizaciones de seguridad desde el sitio
Web de Microsoft y otros sitios como el SANS Institute. Para información de Microsoft, vaya al
sitio del boletín de seguridad de Microsoft en www.microsoft.com/technet/security/current.aspx.
Seleccione IIS 7.0 bajo Product/Technology y haga clic en Ir.
Descargue, pruebe e instale cualquier parche aplicable. Si aún no lo ha hecho, debe utilizar el
procedimiento SG-13 para suscribirse en la notificación de boletín de seguridad.
NOTA Debe enviar un mensaje a los usuarios si va a cerrar una sesión o un archivo. Utilice el
comando NET SEND para ello. Escriba NET SEND /? para conocer más información.
Capítulo 13: Tareas de administración comunes 771
También puede ver sesiones abiertas y archivos abiertos mediante la línea de comandos
net session nombreservidor
net file
PARTE VII
donde nombreservidor es el nombre NetBIOS del servidor en el formato \\nombreservidor.
NOTA Al igual que el Administrador del servidor, no es posible ejecutar remotamente el comando
NET FILE. Debe estar en el propio servidor para usar este comando.
Los usuarios de la partición de aplicaciones deben asignarse en ADDS, de modo que estén
disponibles en todo el dominio.
PARTE VII
SAP-03: Administración del servidor de base de datos
Frecuencia de la actividad: semanal
Windows Server 2008 es el servidor de base de datos ideal, porque tiene capacidad para admi-
nistrar inteligentemente los procesos. SQL Server 2005 y 2008 han sido optimizados para ejecutarse
en esta plataforma, pero Windows Server también da soporte a otras bases de datos que se ejecutan
en Windows. WS08 incluye la base de datos interna de Windows, que es una versión en tiempo de
ejecución de SQL Server 2005 Express. Pocas actividades de administración se aplican a esta base
de datos interna, porque es, ante todo, una base de datos en tiempo de ejecución. Aún es importan-
te mencionar que una de sus tareas de administración de sistemas para servidores de aplicaciones
incluye la administración de bases de datos. Al final, significa que necesita comprobar el estatus del
servidor, su disponibilidad de memoria y la operación apropiada de sus discos.
Utilice el procedimiento SG-02 para verificar el estatus de sus servicios de base de datos.
Utilice el procedimiento SA-01 o RM-02 para verificar el estatus de los discos que se ejecutan
en el sistema de la base de datos. Y utilice el procedimiento RM-05 para verificar el estatus de la
memoria de acceso directo (RAM, Random Access Memory) en sus servidores de base de datos.
NOTA Si los clientes están ejecutando Windows Vista, ya tienen el cliente RDC.
774 Parte VII: Administre Windows Server 2008
Terminal Services da soporte a redirección de sonido a clientes de PC; por tanto, si opera una
aplicación multimedia en el servidor, los usuarios escucharán la información como si la aplicación
se estuviera ejecutando en su propia estación de trabajo. Además, la versión de Windows Server de
Terminal Services da soporte a imágenes de mayor calidad, incluido color verdadero y el mayor ni-
vel de resolución al que da soporte el hardware del cliente, además de distribución entre monitores,
cuando los sistemas de usuario tienen varios monitores. La resolución y el color deben establecerse
en el cliente y en el servidor para que operen. Por último, TS está ahora integrada con directivas de
grupo, lo que permite controlar centralmente las características de Terminal Services.
Los modelos de cliente delgado se están volviendo cada vez más populares, sobre todo con
la proliferación de las Pocket PC y Tablet PC inalámbricas. Ambas hacen que el hospedaje de
aplicaciones sea cada vez más atractivo.
NOTA Para obtener funcionalidad completa de la consola Administrador de Terminal Services, primero
debe conectarse remotamente al servidor TS y luego lanzar la consola del servidor. Eso lo coloca dentro
del entorno de TS y le da acceso a características como control remoto y creaciones de conexiones.
Para verificar las conexiones de TS:
1. Abra una conexión de RDC con el servidor apropiado.
2. En el servidor TS, lance el Administrador de Terminal Services (menú Iniciar | Herramientas
administrativas | Administrador de Terminal Services).
NOTA Es una buena idea colocar esta herramienta en el área Inicio rápido para cada servidor TS.
3. Haga clic en el nombre del servidor, en el panel de la izquierda, para ver conexiones actuales.
Haga clic en el nombre de dominio en el panel de la izquierda para ver las conexiones de los
servidores de su dominio.
4. Revise el estatus de cada conexión.
Puede utilizar el Administrador de TS para realizar actividades administrativas. Por ejemplo,
si quiere ver una sesión en progreso o ayudar a un usuario, haga clic con el botón derecho en
Capítulo 13: Tareas de administración comunes 775
la conexión de usuario y seleccione Control remoto. Eso lanzará una ventana, dejándole ver las
acciones del usuario en el servidor.
También puede revisar conexiones mediante la línea de comandos. Para identificar todos los
PARTE VII
servidores TS en su dominio:
query termserver
Este comando presenta una lista de todos los servidores de Terminal Services en su dominio.
Si se despliega más de una sola página, haga pausa en cada página nueva.
Para ver las conexiones en un servidor TS:
query session /Server:nombreservidor /counter
donde nombreservidor es el nombre DNS del servidor. El empleo del interruptor /COUNTER también
despliega la información acerca de los contadores actuales de TS, incluido el número de sesiones
creadas y terminadas. También puede canalizar los resultados de esta consulta hacia un archivo de
texto y programar la tarea empleando el procedimiento SG-21 de manera semanal. Esto le permite
comprobar el estado de la conexión con sólo revisar los resultados en el archivo de texto.
NOTA El modelo de operación de las aplicaciones de Terminal Services es ligeramente diferente del
modelo estándar de Windows debido al entorno multiusuarios. Siempre debe revisar las secuen-
cias de comandos de compatibilidad para las aplicaciones que instale. Estas secuencias modiican
instalaciones estándar para hacerlas compatibles con TS. Deben ejecutarse después de la instala-
ción de la aplicación. Las secuencias de comandos se encuentran en la carpeta %SYSTEMROOT%\
APPLICATION COMPATIBILITY SCRIPT\INSTALL.
Capítulo 13: Tareas de administración comunes 777
1. Una vez que la aplicación esté instalada, muévase al Administrador del servidor y vaya a Fun-
ciones | Terminal Services | Administrador de RemoteApp de TS.
2. Haga clic en Agregar RemoteApps, en el panel de acciones. Esto lanza el Asistente para Re-
PARTE VII
moteApps. Haga clic en Siguiente.
3. Seleccione el programa que se agregará a la lista de RemoteApps. Esa lista despliega todas las
aplicaciones instaladas conocidas. Puede ver sus propiedades antes de pasar a la siguiente pá-
gina. La página Propiedades le permite controlar argumentos de línea de comandos, además
de iconos, y si las aplicaciones estarán disponibles en Acceso Web de TS o no. Haga clic en
Aceptar cuando haya terminado.
4. También puede agregar todas las aplicaciones a la vez en esta página, si lo quiere. Haga clic en
Siguiente.
5. Revise sus opciones y haga clic en Finalizar cuando esté listo. Utilice el botón Anterior para
corregir cualquier parámetro que no parezca correcto.
Consulte el capítulo 6 para conocer instrucciones sobre la manera de implementar el Remo-
teApp que acaba de poner a disposición de los usuarios.
SUGERENCIA Para conocer más información sobre WSS, vaya al TechCenter de WSS en
http://technet2.microsoft.com/windowsserver/WSS/en/library/dec1c405-b54b-4c1b-976f-3
fa6d814cda51033.mspx?mfr=true.
Debido a que WSS está construido sobre IIS versión 7, depende de la misma interfaz para
registro de eventos. Por tanto, puede depender del procedimiento SAP-01 para verificar el regis-
tro de eventos de Windows SharePoint Services. Por supuesto, también puede usar Administra-
dor del servidor | Funciones | Windows SharePoint Services para obtener una rápida revisión del
estatus de sus servicios de WSS. Si ocurre cualquier evento impredecible, se desplegará en la vista
Resumen incluida en este nodo.
778 Parte VII: Administre Windows Server 2008
Pero para una revisión completa de eventos, en realidad debe ir al Registro de eventos (Ad-
ministrador del servidor | Diagnóstico | Visor de eventos). Verifique estos registros a diario.
PARTE VII
7. Haga clic en Aceptar para empezar la copia de seguridad.
La copia de seguridad empieza y despliega información del progreso. Esta información se
actualiza cada 30 segundos. También se escribe un registro de la copia de seguridad en la carpeta
de destino. El nombre del archivo del registro es SPBACKUP. LOG.
Para realizar la misma operación mediante la línea de comandos, utilice:
stsadm –o backup –directory \nombreservidor\nombrerecursocompartido
–backupmethod full
donde nombreservidor y nombrerecursocompartido son la ruta UNC para el conjunto de servidores.
Esto crea una copia de seguridad de todo el conjunto de servidores. Utilice el procedimiento SG-
21 para crear una tarea programada que realice esta copia de seguridad todos los días.
NOTA El comando STSADM se encuentra en la carpeta bin de SharePoint, que se localiza bajo %
PROGRAMFILES%\COMMON FILES\MICROSOFT SHARED\WEB SERVER EXTENSIONS\12\BIN
en un servidor x86 y %DRIVE%\PROGRAM FILES (X86) \COMMON FILES\MICROSOFT
SHARED\WEB SERVER EXTENSIONS\12\BIN en un servidor x64. Debido a que esta ruta no se in-
cluye en su variable de servidor de rutas automatizadas, ésta es una excelente oportunidad para usar
la característica Elevated Command Prompt Here analizada en el procedimiento SG-01.
Utilice un procedimiento similar para restaurar los datos en el caso de pérdida. Pruebe sus
copias de seguridad de manera regular para asegurar que funcionan apropiadamente.
NOTA Esta tarea se establece como ad hoc, porque en realidad depende del programa que establezca
para los cambios de contraseña de la cuenta de servicio. Sin embargo, debe hacerse de manera re-
gular (por ejemplo, cada dos meses) y, por supuesto, debe hacerse en cualquier momento que crea
que las contraseñas están comprometidas.
Entre las contraseñas posiblemente afectadas se incluyen las de los siguientes servicios:
• Servicio SQL Server (MSSQLSERVER)
• Servicio Agente SQL Server (MSSQLSERVER)
• Servicio Búsqueda de texto de SQL Server (MSSQLSERVER) [opcional]
• Almacén de aplicaciones del Sitio Web Administración central de SharePoint
• Servicio Timer de Windows SharePoint Services
• Servicio Búsqueda de Windows SharePoint Services
• La cuenta de acceso predeterminada
• La identidad del almacén de aplicaciones de todas las aplicaciones Web usada por Windows
SharePoint Services 3.0
Utilice la siguiente estrategia para cambiar las contraseñas:
1. Primero, cambie todas las contraseñas en ADDS. Utilice el procedimiento SG-05 para este efecto.
2. A continuación, vaya al nodo Servicios en el Administrador del servidor (Configuración |
Servicios), localice los siguientes servicios, haga clic con el botón derecho en ellos, seleccione
Propiedades, vaya a la ficha Iniciar sesión y escriba y confirme la nueva contraseña. Detenga y
reinicie el servicio para asegurar que la nueva contraseña sea correcta.
• Servicio SQL Server (MSSQLSERVER)
• Servicio Agente SQL Server (MSSQLSERVER)
• Servicio Búsqueda de texto de SQL Server (MSSQLSERVER) [opcional]
Capítulo 13: Tareas de administración comunes 781
3. A continuación, cambie las contraseñas del almacén de aplicaciones del sitio Web Adminis-
tración central y el servicio Timer de SharePoint Services empleando la herramienta STSADM.
Vaya a la ubicación apropiada (consulte el procedimiento SP-02) y abra un indicador de
PARTE VII
comandos elevado:
stsadmn –o updatefarmcredentials –userlogin dominio\nombreusuario password
nuevacontraseña
iisrest /noforce
donde dominio\nombreusuario es el nombre de usuario de bajo nivel y nuevacontraseña es la
contraseña cambiada. Cuando haya terminado, restablezca el servicio IIS.
4. Ahora cambie la contraseña del servicio Búsqueda de SharePoint Services, además de la cuenta
de acceso predeterminada. En Administración central, vaya a la página Operaciones. Haga clic en
Servicios del servidor, bajo la sección Topología y servicios. Haga clic en Windows SharePoint Servi-
ces Search. Escriba las contraseñas aplicables en cada cuadro de contraseña de esta página y haga
clic en Aceptar. El uso de Administración central asegura que la operación que realiza en el paso 3
funcionó, pero también puede cambiar esas contraseñas mediante la línea de comandos:
stsadmn –o spsearch -farmserviceaccount dominio\nombreusuario
-farmservicepassword nuevacontraseña
stsadmn –o spsearch -farmcontentaccesaccount dominio\nombreusuario
-farmcontentaccesspassword nuevacontraseña
5. Ahora establezca la contraseña para los almacenes de aplicaciones Web. Regrese a la página
Operaciones, y haga clic en Cuentas de servicio, bajo la sección Configuración de seguridad.
Haga clic en Grupo de aplicaciones Web, seleccione Aplicación Web de Windows SharePoint
Services de la lista desplegable Servicio Web y seleccione SharePoint – 80 de la lista desple-
gable Grupo de aplicaciones. Escriba la nueva contraseña y haga clic en aceptar. Verifique que
WSS funciona apropiadamente cuando haya terminado.
NOTA Muchas redes no sólo dependen de Windows Server para protección del enrutamiento o la
irewall. En cambio, dependen de hardware especializado para realizar esas tareas. Si éste es el
caso de su red, también debe veriicar ambos registros de manera semanal.
Tanto las características de la firewall como del enrutamiento de Windows Server dan sopor-
te al registro de actividades. La característica de enrutamiento utiliza principalmente el registro
de eventos del sistema para el registro de actividad. Puede utilizar el procedimiento SG-03 para
revisar los registros apropiados de manera semanal.
Si no utiliza de WS08 para protección de enrutamiento y firewall, entonces verifique los re-
gistros del sistema de los que depende. Cuando verifique los registros de enrutamiento o firewall,
busque patrones inusuales en las entradas del registro. Esto le ayudará a identificar comporta-
mientos sospechosos.
NOTA Si se necesitan más soluciones automatizadas, el administrador de operaciones del centro del
sistema de Microsoft (SCOM, System Center Operation Manager) puede utilizarse para propor-
cionar alertas productivas en problemas con espacio en disco. Conocerá más información en el
sitio Web de Microsoft.
Capítulo 13: Tareas de administración comunes 783
PARTE VII
Las ediciones Enterprise y Datacenter de Windows Server 2008 incluyen una herramienta
adicional para administración de recursos del sistema. Es el administrador de recursos del siste-
ma de Windows (WSRM, Windows System Resource Manager). Esta herramienta es una caracte-
rística y puede agregarse mediante Agregar características, en el Administrador del servidor.
WSRM puede utilizarse de dos maneras. En primer lugar, para perfilar aplicaciones. Eso signifi-
ca que le ayuda a identificar cuántos recursos requiere una aplicación de manera regular. Cuando
se opera de este modo, WSRM sólo actúa sobre el Registro de eventos de aplicaciones cuando la
aplicación excede sus límites permitidos. Esto ayuda a afinar los requisitos de las aplicaciones.
El segundo modo ofrecido por WSRM es el de administración. En éste, utiliza sus directivas
de asignación para controlar cuántos recursos pueden usar las aplicaciones en un servidor. Si
éstas exceden sus asignaciones de recursos, WSRM puede incluso detener la aplicación.
WSRM también da soporte al monitoreo de alertas y eventos. Se trata de una herramienta
poderosa diseñada para ayudar a controlar el uso de CPU, disco y memoria en servidores de
multiprocesamiento grandes.
Como opción predeterminada, WSRM incluye dos directivas de administración: la predeter-
minada, que simplemente informa sobre el uso de aplicaciones, y la directiva Igual por usuario,
que asigna recursos iguales de acuerdo con el número de usuarios conectados a una aplicación.
La operación de WSRM es similar a la de la consola Rendimiento: usted determina lo que se
administra al agregar y eliminar contadores de objetos específicos. Por último, WSRM da soporte
a la auditoría de aplicaciones, permitiéndole saber cómo y cuándo se usan las aplicaciones en sus
servidores.
Utilice WSRM para evaluar, en primer lugar, cómo se están usando sus aplicaciones. Y luego
aplique la directiva de administración. Asegúrese de probar por completo sus directivas antes
de aplicarlas en su entorno de producción. Puede utilizar el procedimiento CD-05 para crear
grupos especiales de seguridad que puedan utilizarse como pilotos para sus nuevas directivas
de administración. De esta manera, podrá familiarizarse con WSRM antes de implementarlo por
completo en su red. Cuando esté listo, puede utilizar el calendario para determinar cuándo debe
aplicarse esta directiva.
NOTA Si está administrando varios servidores con WSRM, tal vez necesite dedicarle recursos, por-
que ocupa muchos de éstos. Podría pensar en colocarlo en un servidor de administración dedicado,
si éste es el caso.
Esta herramienta se instala mejor en una estación de trabajo, porque puede monitorear
remotamente el tráfico. Una vez que el monitor de red está instalado, puede accederse mediante
el menú Iniciar | Todos los programas|Microsoft Network Monitor 3.1. Debido a que tratará de
utilizar esta herramienta de manera semanal, debe colocarlo en su área Inicio rápido.
NOTA También debe utilizar este procedimiento cada vez que pone en funcionamiento un nuevo
servidor, para crear una línea de base original para él. De esta manera, puede comparar resultados
con la línea de base original y determinar la manera en que la carga de trabajo está cambiando,
además de lo que necesita modiicar en el servidor para mantener los niveles de rendimiento.
Puede utilizar el procedimiento SA-01 para crear una consola especial de monitoreo de la
capacidad del servidor, que pueda rastrear los siguientes elementos de cada servidor en su red:
• Espacio libre en disco (% espacio disponible en disco físico y % espacio disponible en disco lógico)
• Tiempo de uso del disco (% de tiempo de disco físico y % de tiempo de disco lógico)
• Lecturas y escrituras de disco (lecturas de disco físico por segundo y escrituras de disco físico
por segundo)
• Cola de disco (longitud promedio de cola de disco), activa como opción predeterminada
• Uso de memoria (bytes disponibles)
• Paginación de memoria (páginas por segundo), activa como opción predeterminada
• Actividad de paginación de archivos (%de uso)
• Uso del procesador (% tiempo de procesador), activa como opción predeterminada
• Interrupciones (interrupciones de procesador por segundo)
Capítulo 13: Tareas de administración comunes 785
PARTE VII
• Colas de trabajo del servidor (longitud de la cola de trabajo del servidor)
• Almacén paginado del servidor (pico paginado de almacén del servidor)
Utilice el botón Mostrar descripción para aprender lo que cada configuración significa.
Monitoree estos parámetros con el tiempo para identificar cómo se desempeñan sus servidores.
Una vez que tenga confianza de que sabe cómo deben desempeñarse sus servidores, establezca
o ajuste sus acuerdos de nivel de servicio basados en este rendimiento. Luego, si ve desviaciones
del rendimiento a largo plazo (comparadas con la línea de base original), puede aumentar la
capacidad del servidor mediante sus mecanismos de crecimiento.
este trabajo es la consola Información del sistema (menú Iniciar | Todos los programas | Acceso-
rios | Herramientas del sistema | Información del sistema).
Esta consola proporciona información acerca de los recursos del hardware, los componentes,
el entorno del software y la configuración de Internet en cualquier servidor de su red. Para ver
información de otro servidor, haga clic en Ver | Equipo remoto y es el nombre del servidor que
desea ver.
También puede ver la historia del sistema mediante el Monitor de confiabilidad de Windows
(Administrador del servidor | Diagnóstico | Confiabilidad y rendimiento | Herramientas de mo-
nitoreo | Monitor de confiabilidad), lo que le permite identificar cambios a sus sistemas con el
tiempo (vea la figura 13-13).
El Monitor de confiabilidad rastrea cada cambio a su sistema y le permite encontrar lo que
pudo haber sucedido para hacer que su sistema dejara de responder. Verifíquelo cada vez que un
problema afecte el rendimiento de un servidor.
Notas inales
En este capítulo se proporcionaron más de 150 diferentes tareas que los administradores deben
realizar de manera regular para administrar apropiadamente sus redes de Windows Server. Su
objetivo es ayudar a simplificar la carga de trabajo que los administradores deben emprender
en todo lugar para asegurar que su red entrega servicios apropiadamente a sus comunidades
de usuario y para asegurar que sus almacenes de recursos dan soporte a estos ofrecimientos de
servicios virtuales de manera apropiada.
Utilice el calendario delineado aquí. Varios cientos de administradores han seguido el curso
en que está basado esta lista y han aprendido que, aunque el tiempo extra tal vez no sea una cosa
del pasado, por lo menos ya no es una constante.
Si encuentra que algunas tareas no se han cubierto, o si encuentra maneras nuevas e inno-
vadoras de realizar esas tareas, siéntase con la libertad de compartirlas con nosotros. Nosotros,
a la vez, las colocaremos en el sitio Web que acompaña a este libro para ayudar al mejoramiento
adicional de la experiencia de administración de las redes de Windows Server.
Puede ponerse en contacto con nosotros en Infos@Reso-Net.com. No olvide visitar el sitio
Web que acompaña a este libro en www.reso-net.com/livre.asp?p=main&b=WS08.
Índice
A ActiveX, opción, 58
Abrir primero la ruta más corta (OSPF), Actividades para la puesta en funcionamiento
enrutamiento de, 782 del bosque creación del segundo DC en el
ABU (enumeración basada en acceso), 534 dominio raíz del bosque, 280-282
Acceso DC de dominio secundario, 282-284
de cliente a aplicaciones de servidor, 773 instalación del primer servidor,
remoto, 719, 720 configuración de administración de
verificación de las directivas, 721 alertas, 278-279
verificación del estatus del servidor, configuración del servicio de hora,
720 277-278
Web de TS (TWA), 471 directiva de grupo predeterminada y
ACL (listas de control de acceso), 622, 758 personalización de seguridad, 279-
Active Directory (AD). Véase también Servicios 280
de dominio de Active Directory (ADDS); finalización de la configuración de
Servicios de federación de Active Directory DNS, 275-277
(ADFS); Servicios de directorio ligero de instalación y configuración, 272, 280
Active Directory (ADLDS); Active Directory realización de la promoción de DC,
Rights Management Services (ADRMS) 272-275
modos, 253 servidor de administración de claves,
PKI, 175-176 279
publicación/búsqueda de recursos revisión general, 271
compartidos, 413 Actualizaciones
Rights Management Services (ADRMS), Active Directory existente, 300-304
9, 20, 21, 43, 502, 548-549 archivos de instalación no atendida, 161-
verificación, 735-737 162
verificación de la topología de opción de actualización, 138
replicación, 732 para software/aplicaciones, 439
787
788 Índice
Acuerdos del nivel del servicio (SLA), 86, 560, diseño de OU para administración de
675 PC, 323
Ad hoc, actividades, 665-675 administración centralizada
AD. Véase Active Directory de PC, 323-330
ADCS (Servicios de certificado de Active administración descentralizada de PC,
Directory), 21, 38, 42, 64, 500, 735 331-332
ADFS. Véase Servicios de federación de Active estructura de OU Persona,
Directory infraestructura, 387-390
ADLDS (Servicios de directorio ligero de terminación, 387-390
Active Directory), 236-237, 452-453, 500 grupos,
Administración administración de propiedad de
central, sitio Web, 480-481 grupo, 373-375
de empresa, 734, 745 estrategia de asignación estándar de
de servicio, 203 nombre, 371-373
de sistema, 3-4 grupos globales, 375-376
de virtualización de Windows, consola, regla AGLP, 369-371
670-671 revisión general, 362-363
Administración de objetos tipos/ámbitos, 363-369
ADDS, objetos de usuario, 348-362
bucle invertido de la directiva, 317 Administración/creación de grupos
conceptos de GPO, 308-310 estrategia de asignación estándar de
diseño de directivas, 321 nombre a grupos, 371-373
estrategia de GPO, 321-323 grupos globales, 375-376
filtrado de directiva, 318 propiedad, 373-375
optimización de inicio de sesión regla AGLP, 369-371
rápido, 319-321 revisión general, 362-363
procesamiento de GPO, 310-317 tipos/ámbitos, 363-369
administración de PC, Administrador
entrega de software en la red, 340-344 de clúster, consola, 703
instalaciones de software, 337-340 de configuración de seguridad, 694
completar la estrategia de OU, 344-348 de cuentas de seguridad (SAM), 254,
delegación, 371, 744
dentro de ADDS, 332-335 de dispositivos, herramienta, 677
diseño de estrategia, 335-337 de equipos virtuales (VMM), 130
revisión general, 332 de imágenes del sistema (SIM), 136
diseño de OU, de imágenes del sistema de Windows
administración de datos de usuario, (SIM), 153, 156-157
383-386 de licencias de TS (TSLM), 459
conceptos de GPO relacionados con de recursos del servidor de archivos
el usuario, 379-383 (FSRM), 401
estructura de la OU Persona, 377-379 de recursos del sistema de Windows
secuencias de comandos de inicio y (WSRM), 28-29, 783-784
cierre sesión, 386-387 de reinicio, aplicación, 105
Índice 789
Evaluación del modelo de nuevas impresoras, 702 GCPD (dominio de producción secundario
Experiencia de calidad de audio y video de global), 266, 282-286
Windows (qWave), motor de, 484 GCS (servidor de catálogo global), 733
Exploración Web, 58 Gigabytes (GB), 118
Explorador de Windows, 56-57 GNZ (zona de nombres globales), 288, 293-
Extensión de dirección física (PAE), 122 294, 705
GPC (contenedor de directivas de grupo),
F 315
Fase de retiro, 87 GPEdit (editor de directiva de grupo), 311-
Federal Information Technology Security 312, 655
Assessment Framework (FITSAF), 492 GPMC (consola de administración de
FGPP (directivas de contraseña más finas), directiva de grupo), 311-312, 314-315, 528,
526-527 655, 740
FileShare Migration Manager para SharePoint, GPO de directiva de dominio de Internet,
herramienta, 629 424
Filtros, 56 GPT (plantillas de directiva de grupo),
de indización, 404 315
FIPS (estándar de procesamiento de Grupos, 179
información federal), 500-501 administración del grupo de
Firewall, servicios de, 8 administración universal, 734
Físico a virtual (P2V) anidamiento global, 613-614
conversiones, 301 de distribución, 729, 742-743
migraciones, 104 de dominio local, 371
FITSAF (Federal Information Technology de seguridad globales, 347
Security Assessment Framework), 492 de trabajo, 79
FLO (optimización de inicio de sesión rápido), globales,
317, 320-321, 384 administrativos especiales, 376
Flujo de datos de Windows Media (WSM), 484 basados en proyecto, 376
Formato de imagen de Windows, 25, 27, 165 de línea de negocios, 375
Fragmentos de código, 439 funciones de TI, 375
FRS (servicio de replicación de archivos), 731 operativos, 376
FSMO (maestro de operaciones flexible predeterminados, 365-369
único), 187, 216-217, 749 de bosque, 365-369
FSRM (administrador de recursos del servidor locales y de dominio, 365-369
de archivos), 401 regla AGLP, 369-371
Fuentes de noticias RSS, 58 administración de propiedad, 373-
Fuerza de tareas de administración de 375
escritorio (DMTF), 90, 676-677 globales, 375-376
tipos, 363
G GUI (interfaz gráfica de usuario),
Galaxy, herramienta de copias de seguridad, 148
678 GUID (identificador global único), 123, 373,
GC (catálogo global), 180, 187, 218-219, 733 584-585, 742
800 Índice
H I
Habilitar comentarios y actualizaciones IAS (servidor de autentificación de Internet),
automáticas de Windows, cuadro de 500
diálogo, 142 IBS (configuración basada en imagen), 91,
Hackeo del registro, 652 117, 298
HAL (capa de abstracción de hardware), Iconos, 308
118 ICT (tareas de configuración inicial), 25, 27-28,
Hardware, tareas de administración 54, 59-61, 67, 143
administración, 676 ID relativo (RID), maestro de, 217, 751
de actualización del software de Identidad, administración. Véase Servicios de
administración de firmware y dominio de Active Directory (ADDS)
servidor, 676 Identificación de usuario, 538-539
de dispositivos, 677 Identificador
del BIOS, 676 de seguridad (SID), 250, 362-363, 373,
revisión de hardware de red, 676 609, 617, 630
HCAP (protocolo de autorización de global único (GUID), 123, 373, 584-585,
credenciales de host), 555 742
HCL (lista de compatibilidad de hardware), IE (Internet Explorer), 28, 35, 53, 58-59
124, 423, 702 IETF (Internet Engineering Task Force), 22, 109
Herramienta(s) IGMP (protocolo de multidifusión de grupo
administrativas, 637-640 de Internet), 569
de administración remota, IIFP (paquete de características de integración
del servidor (RSAT), 666-667, 669 de identidad), 213
para almacenes de recursos, 637 IIS (Internet Information Services)
para ofrecimientos de servicios aplicaciones Web, 9
virtuales, 638 conjunto de características, 446-449
revisión general, 635-637 consola del administrador, 767-769
de migración comercial, 618 consolidación del servidor, 586-587
de migración para Active Directory endurecimiento del sistema operativo,
(ADMT), 264, 362, 609, 614-618, 756 537
de rastreo previo a la actualización generación de estadísticas de uso del
(PUST), 628 servidor, 767-768
Hipervisor, 4, 78, 81, 106 herramienta de migración, 621
Host físico, 120 revisión general, 33-34
Hosts de secuencias de comandos de seguridad, 537
Windows (WSH, Windows Scripting Host), servidores,
361 de impresión e, 697-698
HSC (centro de ayuda y soporte técnico), 71- Web dedicados, 437
72 verificación,
Huellas de seguimiento, barra de acceso con, de estatus del servidor, 767
56 de parches de seguridad, 768-769
Hyper-V, característica, 8, 13, 17-18, 243-244, Imágenes
251, 669 basadas en archivos, 163
Índice 801
RFS (servidor de federación de recursos), 554 de Visual Basic (VBScripts), 361, 658
RID (ID relativo), maestro de, 217, 749-750 Seguridad
RIPE Network Coordination Centre (RIPE administración, 556
NCC), 274 de grupo, 729-730
RIR (Registros de Internet regionales), 274 almacenes de recursos, 502-504
RIS (servicios de instalación remota), 169, 716 características de WS08, 499-502
Roaming, perfiles de, 320, 385-386 de capa de transporte (TLS), 58
RODC. Véase Controladores de dominio de del protocolo de Internet (IPSec), 39,
sólo lectura 533, 549-550, 721
ROI (rendimiento por inversión), 251 del sistema de archivos, 532-533
round-robin, DNS tipo, 567 diseño de directiva, 494-506
RPC (llamadas a procedimientos remotos), 228 en el ciclo de vida de ofrecimiento de
RRAS (servicio de enrutamiento y acceso en el nivel de IP (IPSec), 500
remoto), 719 Servicios, 86
RSAT (herramientas de administración remota filtros de, 740
del servidor), 666-668 fundamentos de, 493-494
RSoPs (conjuntos de directivas resultantes), grupos, 729-730
315 guía de seguridad de Microsoft WS08,
RSS, fuentes de noticias, 58 497-499
herramientas de soporte/recursos y, 635
infraestructura de red, 258-259, 279-280
S mejoras en, 38-46
SAM (administrador de cuentas de ofrecimientos de servicios virtuales, 504-
seguridad), 254, 371, 744 506
SAN (redes de área de almacenamiento), 9, personalización de servidor de bosque
46, 48-49, 105, 124, 405, 661 de ofrecimientos de servicios virtuales,
Sapien Technologies, 647 279-280
SATA (datos adjuntos seriales de tecnología planes, 496-497
avanzada), discos, 395 protección de acceso a redes y, 500
SBS08 (Windows Small Business Server 2008), revisión general, 491-492
6 sistema de defensa del castillo,
SCOM (Microsoft System Center Operations acceso a información, 537-549
Manager), 665, 782 acceso externo, 549-556
SCPH (contenedor de directiva de cambio de endurecimiento del sistema operativo,
esquema), función, 745, 747 510-537
SCSI (interfaz pequeña de sistema de información crítica, 507-508
cómputo), 395, 564 protección física, 508-510
SCVMM (System Center Virtual Machine revisión general, 494-496
Manager), 244 tipos de ataque, 496-497
SCW (Asistente para configuración de verificación,
seguridad), 38, 39, 492, 519-520, 543 de credenciales, 780-781
Secuencias de comandos, 386-387, 523-524, de parámetros, 694
637, 647-648 Server Core, característica, 12, 70, 161
Índice 813
cifrado de sistema de archivos (EFS), operativo de red (NOS), 186, 216, 500,
533-534 745
cifrado de unidad Bitlocker, 521-522 y servicio de nombre de dominio. Véase
configuración de seguridad del DNS
sistema, 510-511 Sitios Web, migración, 620-621
control de dispositivos, 520-521 SLA (acuerdos del nivel del servicio), 86, 560,
dentro del directorio, 525-526 675
directivas de contraseña más fina, SM. Véase Administrador del servidor
526-527 SMART (específico, medible, alcanzable,
directivas de restricción de software, orientado a resultados y a tiempo), método,
523-524 97
herramientas antimalware, 522-523 SMB (bloque de mensajes de servidor), 410
IIS 7.0, 537 SMTP (protocolo simple de transferencia de
.NET Framework, 535 correo), 7, 227, 407
plantillas de seguridad, 512-519 SNMP (protocolo simple de administración de
proceso de evaluación de código red), 143, 278
administrado, 535-536 SNTP (protocolo simple de tiempo de red),
revisión general, 510 757
RODC, 530-532 SOA (arquitectura orientada a servicio), 185
seguridad posterior a la instalación, SOAP (protocolo simple de acceso a objetos),
511-512 185
servicios de dominio de Active Software
Directory, 524-525 activos de, 339-340
sistema de archivos, 532-533 entrega en la red,
sistema de impresión, 535 asignaciones, 342-343
información crítica, 507-508 conceptos de implementación, 341-
protección física, 508-510 342
revisión general, 494-496 legalidad y asignaciones de PC
seguridad de .NET framework, 535 regionales, 343-344
seguridad del sistema de impresión, 535 revisión general, 340-341
Sistema(s) instalaciones,
básico de entrada y salida (BIOS), 509, administración, 738-739
676 optimización de inicio de sesión
de archivos de nueva tecnología (NTFS), rápido, 320-321
126, 298, 394, 398-401, 688 procedimientos operativos estándar y,
de archivos de red (NFS), 406, 410 131-137
de espejo de disco, 123 red heredada, 442-443
de impresión, seguridad de, 535 reempaquetamiento, 339
de información (IS), 193 revisión general, 337-339
de Windows Server (WSS), 214 Soporte al desarrollo de aplicaciones, 440-442
externos administrados, 325 almacenamiento de aplicaciones, 440
externos no administrados, 325 aplicaciones como servicios de NT, 441
operativo, 12-18 cola de mensajes, 442
Índice 823