Vous êtes sur la page 1sur 130

Administracin Windows Server 2003 Empezar con Windows Server 2003

1:Introduccin a redes Introduccin Tipos de redes Protocolos IPv6 Arquitectura Cliente/Servidor TCP/IP en Windows Server 2: Instalacin de Windows Server Una visin general de Windows Server Introduccin al Directorio Activo (AD) Instalacin y configuracin de un servidor con Windows Server 3: Administracin de equipos Sistemas de archivos Sistemas de archivos distribuidos 4: Usuarios y Grupos Usuarios y Grupos Perfiles Intellimirror Directivas 5: Recursos Impresoras Software Windows Update 6: DHCP, WINS y DNS en Windows Server Instalacin/configuracin servidor DHCP Instalacin/configuracin servidor DNS Instalacin/configuracin servidor WINS 7: IIS- Servicios Web, ftp, nntp, smtp. Servicio Pop. Instalacin IIS 6.0 Configurar Web Configurar FTP Configurar SMTP

Configurar NNTP Instalacin/configuracin servicio POP 8: Seguridad interna Introduccin Herramientas de administracin Visor de sucesos Registro Servicios 9: Gestin de datos Copias de seguridad Recuperacin de datos Recuperacin del sistema 10: Seguridad externa Implementando la seguridad Perimetral y de Red Ivn Gonzlez Vilaboa [MS MVP Windows Server IIS]

1: Introduccin a Redes
Introduccin
Cuando omos la palabra "red" supongo que nos viene a la memoria una imagen rpidamente, lo que utilizan los pescadores para su trabajo diario, lo que hay en una portera de ftbol, .... En general son utilidades para "atrapar" algo, y su forma es bastante genrica, formada por multitud de filamentos, cuerdas, hilos... todos anudados entre ellos. Por supuesto la RAE (Real Academia Espaola de la lengua) nos lo define siempre como primera acepcin: 1. f. Aparejo hecho con hilos, cuerdas o alambres trabados en forma de mallas, y convenientemente dispuesto para pescar, cazar, cercar, sujetar, etc. En esta ocasin, nos saltaremos las 9 acepciones primeras para acudir a la dcima, que parece que se adapte mejor a lo que deseamos conocer: 10. f. Conjunto de ordenadores o de equipos informticos conectados entre s que pueden intercambiar informacin. Aunque si lo estudiamos detenidamente nos daremos cuenta enseguida que una red comunica a cada uno de los nudos (nodos) con el resto, mediante un hilo (cable fsico o medio oportuno (wireless)), al menos de forma fsica. Y digo fsica, lo que no significa que realmente puedan comunicarse, ya que para ello se necesitarn algunas cosas ms. Quede claro entonces que una red fsica se determina por todos aquellos dispositivos que se encuentran fsicamente con la capacidad de poderse comunicar, pero para ello, nosotros mismos hemos de crear las condiciones necesarias, utilizando los medios lgicos a nuestro alcance para conseguir una red lgica la cual, adems de estar fsicamente unida es capaz de intercambiar informacin entre sus miembros, o sea, comunicarse. Lo primero se conseguir utilizando los dispositivos dedicados para esa misin, como las interfaces de red, los conmutadores, concentradores, enrutadores, cables etc... Lo segundo es misin de los clientes y protocolos de red diseados al efecto. Sin red fsicamente interconectada (por el medio que se considere) no existe red lgica y por tanto no puede haber intercambio de informacin, igualmente, a partir de una red fsica correcta pero sin red lgica puede darse el caso de intercambiar informacin, pero de forma anmala e incorrecta y por supuesto indebidamente configurada. Las redes tienen varias topologas bsicas: Bus, Estrella, Anillo, Malla, o combinando algunas de ellas formar una topologa hbrida. Topologa de bus Una topologa de bus est caracterizada por un medio (cable) principal con dispositivos de red interconectados a lo largo de las conexiones del mismo. Se consideran topologas pasivas. Los ordenadores "escuchan" el BUS. Cuando estn listas para transmitir se aseguran que el BUS est libre y envan sus paquetes. Su arquitectura es ETHERNET. Las redes de bus comnmente utilizan cable coaxial como medio de comunicacin, los ordenadores se conectan al bus mediante un conector BNC en forma de T. En ambos extremos de la red existen terminadores Las redes de BUS son fciles de instalar y de extender. Son muy susceptibles a roturas de cable, conectores y cortos en el cable que

son muy difciles de encontrar. Un problema fsico en la red, tal como un conector T, impide el funcionamiento de toda la red.

Topologa de Estrella En una topologa de estrella, los ordenadores en la red se conectan a un dispositivo central sea un concentrador (HUB) o un conmutador (SWITCH). Cada ordenador se conecta con su propio cable (tpicamente par trenzado) a un puerto del hub o switch. Este tipo tambin es pasivo. Debido a que la topologa estrella utiliza un cable de conexin para cada ordenador, es muy fcil de expandir, slo depender del nmero de puertos disponibles en el hub o switch (aunque se pueden conectar hubs o switchs en cadena para as incrementar el nmero de puertos). La desventaja de esta topologa en todo caso es si el dispositivo central falla, entonces toda la red se cae.

Topologa de Anillo Una topologa de anillo conecta los dispositivos de red uno tras otro sobre el cable en un crculo fsico. La topologa de anillo mueve informacin sobre el cable en una direccin y es considerada como una topologa activa. Las computadoras en la red retransmiten los paquetes que reciben y los envan a la siguiente computadora en la red. El acceso al medio de la red es otorgado a una computadora en particular en la red por un "token". El token circula alrededor del anillo y cuando un ordenador desea enviar datos, espera al token. El ordenador entonces enva los datos sobre el cable. El ordenador destino le responde (al que le envi los datos) que fueron recibidos correctamente. El ordenador que transmiti los datos, crea un nuevo token y los enva al siguiente, empezando el ritual de paso de token o estafeta (token passing) nuevamente.

Topologa de Malla La topologa de malla (mesh) utiliza conexiones redundantes entre los dispositivos de la red as como una estrategia de tolerancia a fallos. Cada dispositivo en la red est conectado a todos los dems (todos conectados con todos). Este tipo de tecnologa requiere mucho cable (cuando se utiliza el cable como medio, pero puede ser inalmbrico tambin). Pero debido a la redundancia, la red puede seguir operando si una conexin se rompe. Las redes de malla, obviamente, son mas difciles y caras para instalar que las otras topologas de red debido al gran nmero de conexiones requeridas.

Tipos de redes
Cmo conocemos a las redes? Las redes tienen unos tipos definidos segn su alcance: Internet, MAN, WAN y LAN. Internet Conocida como la red de redes, no es sino una grandsima red en la que conviven todas y cada una de las topologas, lo cual parece indicar que es hbrida, a ella se interconectan multitud de redes y millones de ordenadores. MAN Red de rea Metropolitana, la constituyen varias WAN.

WAN Red de rea extensa, atraviesan rutas pblicas y est formada por varias LAN interconectadas por dispositivos de conmutacin, a los que no les concierne el contenido de la informacin, slo retransmitir la misma. LAN Con un rea menor que una WAN, desde una pequea oficina a un Campus Universitario. Comparte recursos propios, como impresoras, datos, aplicaciones,... lo que las hace econmicamente rentables y de ahorro de tiempo. Disponen de puentes (bridges) para unir partes distantes de la misma, de encaminadores (enrutadores) para su comunicacin con otras LAN y/o WAN. Conceptos generales: Interfaz de red: La conocemos como tarjeta de red, forma los paquetes de datos que sern transmitidos hacia el medio de conexin, recibe los paquetes desde el medio, comprueba errores a nivel fsico, convierte los datos para la capa superior, identifica al dispositivo con una direccin fsica nica conocida como MAC address. Nodo: Ordenadores, estaciones de trabajo, conectados a la red y desde los cuales accederemos a los recursos compartidos de la red. Broadcast: Definicin de una transmisin de datos para todos los nodos, todas las redes disponen de una direccin de red y una de broadcast, primera y final del segmento IP configurado. Sniffer: Dispositivo hardware/software que intercepta los paquetes que se transmiten por la red, los conmutadores dificultan su tarea y adems las interfaces de red que tengan un sniffer deben estar en modo promiscuo. Repetidor: Simple dispositivo encargado de amplificar la seal que se transmite por el medio, evitando su atenuacin en grandes distancias. Puente(bridge): Un dispositivo con entrada/salida y viceversa que conectan dos segmentos de red de una LAN o en su caso dos LAN, tienen una tabla con las direcciones MAC de los equipos que conforman ambos lados, restringiendo los paquetes que intentan atravesarlo, es decir, si los paquetes tienen como destino una direccin de un lado no los deja pasar hacia el otro lado. Encaminador/enrutador(router): Dispositivo que permite la unin de dos o ms LAN (o segmentos de red), toma como referencia las direcciones lgicas (IP), al igual que los puentes restringen los paquetes pero adems encaminarn aqullos que no pertenezcan a ninguna de sus direcciones hacia el exterior (a diferencia de los puentes), segn sus tablas de enrutamiento decidirn que ruta, adems de ser la ms eficiente, tomarn en su caso. Brouter: Dispositivo con funciones de puente o de router, seleccionable en su configuracin. Pasarela(gateway): Un gateway sera el encargado de interconectar redes con distintos protocolos. Hub: Concentradores para varios nodos, su topologa es BUS, es decir, se limitan a repetir todo el trfico de red sea para quin sea, funcionamiento por broadcast y reducen el ancho de banda considerablemente.

Conmutador(switch): Concentradores inteligentes, transmitirn por cada una de sus bocas la informacin que corresponda y no se limitan a repetir todos los datos, mantienen su ancho de banda.

Protocolos
La familia de protocolos TCP/IP IP (Transport Control Protocol/ Internet Protocol) es la base actual de Internet y de las redes. Esta formada por ms protocolos de los que su nombre indica y lo que realizan es permitir que los equipos se comuniquen entre s . Windows Server necesita de TCP/IP para su Directorio Activo (AD, Active Directory) Existen dos estndares al respecto, el modelo ISO OSI y el propio TCP/IP. El modelo OSI El modelo ISO OSI comienza con la premisa de que la comunicacin entre dos equipos es tan compleja que no podra considerarse como una sola entidad. Por ello el proceso de comunicacin debe dividirse en capas diferentes, donde cada una se situar sobre la inferior, utilizando funciones asignadas por capa. Dejando a los desarrolladores el funcionamiento interno de las mismas. Siete son las capas definidas por la ISO OSI, en orden ascendente:
y y y

y y y y

Fsica: Es la encargada de dejar las secuencias de bits en los medios o de recogerlas. Se implementa por hardware. Enlace de datos: Define los paquetes (tramas), permitiendo el envo de los mismos entre equipos interconectados fsicamente. Se implementa combinando hardware y software. Red: Se encarga que los equipos se enven tramas mediante las capas inferiores. Se implementa por software y no es fiable, es decir, los paquetes pueden perderse, daarse o encaminarse incorrectamente. La confiabilidad le corresponde a capas superiores. Transporte: Se encarga de la transmisin fiable de datos a travs de la red. Utiliza la comunicacin extremo a extremo aadindole confiabilidad. Sesin: Controla la comunicacin entre aplicaciones de lado a lado. Abre y cierra las sesiones. Presentacin: Traduce los formatos de los datos para las diferentes aplicaciones. Aplicacin: Aplicaciones y usuarios; por ejemplo el programa de correo.

El modelo DARPA (TCP/IP) Modelo utilizado en internet. Con slo cuatro capas aunque compatibles con el modelo OSI. Veamos una tabla de correspondencia entre modelos.

IP Internet Protocol

Para una comprensin de TCP/IP es necesario conocer uno de sus protocolos ms importantes: IP. IP es el bloque de construccin de red del resto de protocolos y capas. Se halla perfectamente definido en la RFC 791, Protocolo de Internet. IP ofrece varios servicios a la capa superior:
y

Protocolo de red: Protocolo de red y enrutable. La cabecera contiene la informacin necesaria para el encaminamiento de un paquete, con direccin IP de origen y direccin IP de destino. Una direccin IP tiene dos componentes, la parte de direccin de red y la parte de host. La entrega de paquetes y su enrutamiento es posible al tener una direccin de red de destino. As mismo tambin contiene una cuenta de saltos para limitar el nmero de enlaces por los que pasar el paquete antes de ser descartado. Protocolos de clientes mltiples: IP es un transportador entre redes para los protocolos de capa superior, pudiendo transportar distintos protocolos, pero cada paquete IP slo puede contener datos de un protocolo. Tanto el cliente como el servidor utilizan el mismo protocolo, as el paquete no necesita indicar protocolo de origen y destino. Algunos protocolos son TCP, ICMP, IGMP o UDP. Entrega de datagramas: Proporciona un servicio de entrega sin conexin y no confiable a los protocolos de capas superiores. Sin conexin: no hay negociacin previa entre nodos IP para enviar datos y no se crea ni mantiene conexin lgica. No confiable: El paquete se enva sin secuencia y sin confirmacin de llegada a su destino, esto es responsabilidad de TCP. Independencia de la capa de interfaz de red: IP es independiente de la tecnologa presente en la interfaz de red. Utiliza una direccin de 32 bits (ipv4) que es independiente del esquema de direccionamiento de la capa de interfaz de red. Fragmentacin y reensamblado: Para ser compatible con el tamao mximo de trama de distintas tecnologas de la capa de interfaz de red, IP permite la fragmentacin de una carga al reenviarla por un enlace con una MTU menor que el tamao del datagrama IP. Los enrutadores o el host fragmentan la carga y puede ocurrir en varias ocasiones. El host de destino reensambla los fragmentos. Extensible mediante opciones IP: Si se necesita pueden utilizarse opciones IP para caractersticas no disponibles en la cabecera estndar. Las opciones se anexan a la cabecera, aadiendo funcionalidad personalizada. Por ejemplo especificar una ruta que pueda seguir un datagrama IP en una red IP. Tecnologa de intercambio de paquetes de datagramas: Cada paquete es un datagrama, cuya direccin de destino es significativa y que ser examinada por cada enrutador, el cual tomar independientemente su decisin de enrutamiento para reenviar el paquete. Ello hace que las rutas de cada paquete puedan ser distintas, y llegar en distinto orden del que se envi. -Un datagrama est formado por una cabecera IP y una carga IP. La cabecera tiene un tamao entre 20 y 60 bytes, con incrementos de 4 bytes. Proporciona compatibilidad de enrutamiento, identificacin de carga, tamao del datagrama y cabecera, compatibilidad de fragmentacin y opciones IP. Mientras la carga tiene un tamao variable entre 8 bytes (datagrama de 68 bytes con cabecera de 60 bytes) y 65515 bytes ( un datagrama de 65535 bytes con cabecera de 20 bytes).-

Quizs lo que ms interese a ste nivel sean las direcciones IP; Es muy importante que la asignacin de stas sean nicas y correctas a todos los nodos de la red. No es que parezca tener demasiada dificultad dicha asignacin, pero en realidad hacerlo usando tcnicas de subred si que lo complica. Una direccin IP es una direccin lgica de 32 bits (ipv4) que puede ser:
y y

Una direccin IP de unidifusin, que se asigna a una nica interfaz de red. Se utilizan en comunicaciones de uno a uno. Una direccin IP de difusin, que est diseada para ser recibida por todos los nodos IP del mismo segmento de red. Se utilizan en comunicaciones de uno a todos.

Una direccin IP de Multidifusin, es una direccin para escuchar en un segmento de red o en distintos. Se utilizan en comunicaciones de uno a varios.

Cmo se expresan? Una IP es un valor de 32 bits, que pueden manejar perfectamente los equipos. Sin embargo nosotros no pensamos en binario, normalmente lo hacemos en decimal, por lo que parece ms habitual expresarlas as. La IP se divide en octetos, cantidades de 8 bits, si la direccin es de 32 bits entonces nos encontramos con 4 octetos. Por tanto expresamos la direccin IP con cuatro octetos decimales separados por un punto, conocido como notacin decimal con puntos. Esto es una IP: 00001010000000011111000101000011 Si la dividimos en cuatro octetos: 00001010 00000001 11110001 01000011 Cada octeto se pasa a base 10: 10.1.241.67 Si observamos vemos que el nmero mayor sera 11111111, lo que en decimal supone 255. Utilizaremos la notacin w.x.y.z para referirnos a las direcciones IP. Clases de direcciones Hay 5 clases de direcciones IP, clasificadas como Clase A, B, C, D y E. Las direcciones de la clase A se destinan para redes con gran nmero de hosts. El primer octeto es el Id de red, los restantes Id de host. w = Id de red. x.y.z = Id de host Un ejemplo: 10.0.1.137 Id de red = 10 Id de host = 0.1.137 A esta clase se le asignan las direcciones comprendidas desde 1.0.0.0 a 126.0.0.0, y de ellas 10.0.0.0 para mbito privado. Las direcciones de la clase B para redes de tamao mediano, aqu los dos primeros octetos sern el Id de red y los segundos el Id de host. w.x = Id de red y.z = Id de host Un ejemplo: 172.16.0.25 Id de red = 172.16 Id de host = 0.25 Aqu tenemos desde 128.0.0.0 hasta 191.255.0.0, siendo el rango 172.16.0.0 hasta 172.31.0.0 para redes privadas. Las direcciones de la clase C seran para redes pequeas, en donde el Id de red le corresponde a los tres primeros octetos, siendo el ltimo el significativo Id de host. w.x.y = Id de red z = id de host Un ejemplo: 192.168.0.29 Id de red: 192.168.0 Id de host: 29 Aqu est el rango comprendido entre 192.0.0.0 hasta 223.255.255.0, extrayendo el rango 192.168.0.0 hasta 192.168.255.0 para el mbito privado. Estas tres clases son para IP de difusin.

La clase D se destina para direcciones IP de multidifusin y las de la clase E son direcciones experimentales. El rango 127.x.y.z se reserva como direcciones de bucle invertido. Veamos unas tablas:

Como vemos, la primera direccin y la ltima no son utilizables, ya que la primera w.0.0.0, w.x.0.0, w.x.y.0 es la direccin de red y la ltima w.255.255.255, w.x.255.255, w.x.y.255 est destinada a difusin (broadcast). Con las mscaras de red podemos segmentar una red en distintas subredes, se ver pero esto indica que la primera y ltima direccin de esa subred tambin son inutilizables. Para que un host o un enrutador puedan distinguir el Id de red del Id de host, la RFC 950 define el uso de una mscara de bits para identificar cada Id. Llamada mscara de subred o mscara de direccin . En cada configuracin de direccin IP ha de existir una mscara de subred. Se expresa con el mismo formato que las IP pero no son direcciones IP. Genricamente tenemos:

As cuando expresamos un Id de red podemos hacerlo correctamente de dos formas: - 192.168.4.0, 255.255.255.0 - 192.168.4.0/16 Cmo se determina el Id de red? Con el resultado del AND lgico entre la IP y la mscara de subred. Un ejemplo: IP 10000011 01101011 10100100 00011010 Mscara 11111111 11111111 11110000 00000000 Id de red 10000011 01101011 10100000 00000000 131.107.160.0/20, o 131.107.160.0, 255.255.240.0 Utilizando la mscara podemos dividir cada red en subredes, si nos fijamos, las posibilidades son exactas, es decir: /9, /10, /11, /12, ............./31. Un ejemplo con la clase C: /25 = 126 host en dos subredes, 255.255.255.128 /26 = 62 host en cuatro subredes, 255.255.255.192 /27 = 30 host en ocho subredes, 255.255.255.224 /28 = 14 host en diecisis subredes 255.255.255.240 /29 = 6 host en treinta y dos subredes 255.255.255.248 /30 = 2 host en sesenta y cuatro subredes 255.255.255.252

Bueno y todo esto? Vemoslo con un ejemplo: Tenemos una red de clase C con ID de red 192.168.0.0, la subdividimos en 2 subredes utilizando 192.168.0.0/25, todos los equipos estn fsicamente conectados al mismo medio, pero forman dos redes lgicas distintas. As tenemos que el equipo con IP 192.168.0.1/25 no puede comunicarse con el equipo con IP 192.168.0.129/25, pero si con todos los que tengan un Id menor o igual a 126 y con ninguno que lo tenga superior. Por supuesto las direcciones 192.168.0.0 y 192.168.0.126 no son aplicables a host, ni tampoco la 192.168.0.127 y 192.168.0.255, direcciones de red y broadcast respectivamente de cada segmento. Para que se vieran se necesitara un enrutador o cambiar la mscara de subred. Tabla de enrutamiento (accesible con el comando route print desde la lnea de comandos) Esta tabla contiene las rutas en memoria del nodo (cada nodo tiene una) y cada entrada presenta la informacin necesaria para el reenvo de paquetes para un intervalo de IP de destino. Adems contiene la puerta (o puertas) de enlace predeterminadas para las rutas. Todo ello es utilizado para generar la interfaz de prximo salto y la IP de prximo salto. El primero es el dispositivo fsico o lgico a travs del que se reenva el datagrama IP, el segundo la direccin IP del nodo al que se reenva el datagrama. Una ruta de la tabla tiene la informacin necesaria para identificar el destino, la interfaz y direccin de prximo salto y adems decidir la ruta ms conveniente cuando hay varias. La tabla de enrutamiento contiene la informacin referente a: -Destino: Junto a la mscara de red, representa el intervalo de direcciones IP al que se puede tener acceso con esta ruta. Puede ser una Id de red o una direccin IP. -Mscara de red: Mscara de bits utilizada para determinar los bits significativos de Destino. Debe formarse por una serie de bits 1 contiguos seguidos por una serie de bits 0 contiguos. Como hemos dicho, Destino y mscara definen el intervalo de IP. Un datagrama IP con direccin IP de destino del intervalo coincide con la ruta. Para determinar si una IP de destino de un datagrama reenviado coincide con una ruta, se realiza un AND lgico a nivel de bit entre la IP de destino y la mscara. El resultado se compara con el valor del campo Destino para la ruta. Si coinciden, la ruta es correcta para el paquete y se utiliza la IP de prximo salto. -IP de prximo salto: IP a la que se reenviar el datagrama IP si coincide con la ruta. Es relevante para enlaces de difusin, e irrelevante en enlaces punto a punto. Para rutas de segmentos de red directamente conectados, el campo Prximo salto puede configurarse con la IP de la interfaz de ese segmento de red. -Interfaz: Designacin de la interfaz lgica o fsica utilizada al reenviar datagramas mediante esta ruta. Puede ser un nombre lgico o la IP de la propia interfaz. Windows utiliza la IP asignada a la interfaz de red. -Mtrica: Coste de la ruta, ayuda a determinar la ruta a elegir entre varias con el mismo destino y mscara, se utilizar la ruta con mtrica ms baja. Se utiliza para reflejar la cuenta de saltos(enrutadores hasta el destino). Las rutas pueden ser de los tipos: -Ruta de host: Ruta a un IP especfica, por tanto la mscara de red es /32 (255.255.255.255). Se utilizara para especificar una ruta ms ptima a host especficos en una subred remota.

-Ruta de Id de red: ruta para destinos con clase, sin clase, de subred y de superred. La mscara se encuentra entre /1 y /31. -Ruta predeterminada: Ruta hacia todos los destinos, se utiliza cuando no hay coincidencias con el destino. Viene representada por 0.0.0.0 y una mscara /0, mejor 0/0. Una puerta de enlace predeterminada configurada en un host, crea una ruta predeterminada en la tabla de enrutamiento. Se utiliza para enrutamiento esttico y para resumir todos los destinos de una gran red IP, como Internet.

y y y

Ruta predeterminada 0/0: es la ruta para cuando nos hay otras coincidencias. En caso de ser elegida, el paquete se reenva a la IP de la puerta de enlace predeterminada (192.168.0.1) mediante la interfaz con IP 192.168.0.4. Ruta de bucle invertido 127.0.0.0/8, coincide con cualquier ruta comprendida entre 127.0.0.0 y 127.255.255.255. Todos los datagramas de este intervalo se reenvan a la direccin reservada de bucle invertido 127.0.0.1 mediante la interfaz de bucle invertido (127.0.0.1). Ruta de red conectada directamente 192.168.0.0/24. El datagrama IP se reenva a la IP de destino mediante la interfaz asignada a la IP 192.168.0.4. (ruta de subred conectada localmente) Ruta de host local 192.168.0.4/32, todo el trfico dirigido a la IP de host local se reenva a la direccin de bucle invertido (127.0.0.1) mediante la interfaz de bucle invertido(127.0.0.1) Ruta de difusin dirigida a todas las subredes 192.168.0.255/32. Los paquetes destinados a la direccin de difusin dirigidas a todas las subredes se envan como difusiones de nivel MAC, mediante la interfaz con IP 192.168.0.4 Ruta de multidifusin 224.0.0.0/4, se utiliza para coincidir con todas las direcciones de clase D reservadas para el trfico IP de multidifusin. Se envan como multidifusiones de nivel MAC utilizando la interfaz con IP 192.168.0.4 Ruta de difusin limitada 255.255.255.255/32, ruta de host para direccin de difusin limitada. Los datagramas dirigidos a esta direccin se envan como difusiones de nivel MAC mediante la interfaz con IP 192.168.0.4.

Las mtricas de enrutamiento 20 indican una interfaz ethernet a 100 Mbps. (Las rutas de las interfaces virtuales vmware han sido eliminadas a propsito)

ICMP (Internet Control Message Protocol)

Este protocolo informa de condiciones de error y control en nombre de IP. Protocolo extensible, proporciona funciones para comprobar la conectividad IP y ayudar en la configuracin automtica de los host. No hace que IP sea confiable. Aunque informa de un error, no tiene requisitos de cmo ha de tratarlos. Depende de la implementacin TCP/IP interpretar el error y ajustar su comportamiento. Los tipos de ICMP son: 0 Respuesta de eco 3 Destino inaccesible 4 Flujo de origen 5 Redireccin 8 Solicitud de eco (Eco) 9 Anuncio de enrutador 10 Solicitud de enrutador 11 Tiempo de espera agotado 12 Problema de parmetros

Protocolo ARP ARP es un protocolo utilizado en redes basadas en difusin., como ethernet y Token Ring. Resuelve la direccin IP de prximo salto de un nodo a su direccin correspondiente de control de acceso al medio MAC, conocida como direccin fsica, hardware o de adaptador de red. La direccin MAC resuelta se convierte en la MAC de destino en la cabecera Ethernet o Token Ring a la que se dirige un datagrama IP cuando se enva en el medio. En resumen, ARP resuelve la direccin de capa de internet(IP) a una de la capa de interfaz de red(MAC). Est formado por dos mensajes: Solicitud ARP, el nodo de reenvo utiliza IP especfica. ste para averiguar la direcci n MAC correspondiente a una

Respuesta ARP, se utiliza para responder al solicitante ARP. Una trama MAC de unidifusin enviada a la MAC de destino del solicitante. Puesto que la solicitud es una difusin MAC, todas las IP de prximo salto deben alcanzarse directamente(la misma subred) desde la que enva la solicitud. Si una entrada de la tabla de enrutamiento contiene una IP prximo salto no vlida y no puede alcanzarse directamente por la interfaz, ARP no podr responder la solicitud. Windows mantiene una tabla basada en RAM de asignaciones IP-MAC conocida como cach ARP. Cuando se completa un intercambio ARP, el solicitante y el contestador almacenan la correspondencia IP-MAC en su cach, los siguientes paquetes reenviados a las ya resueltas utilizarn la MAC de la cach ARP. La cach siempre se comprueba antes de enviar una solicitud ARP. Existe una diferente para cada interfaz IP. El comando arp desde el smbolo de sistema nos ofrece los parmetros utilizables con el propio comando.

Por ejemplo arp -a mostrar la cach RAM. Si esta sale vaca, slo hemos de efectuar un ping a una IP de la red y repetir el comando, ahora nos aparecer dicha resolucin, con la IP utilizada en el ping y su correspondiente MAC.

Protocolo TCP En la capa de transporte hay dos protocolos que se utilizan normalmente: TCP y UDP(User Datagram Protocol). TCP es el encargado de proporcionar un servicio de entrega confiable entre extremos. TCP tiene las siguientes caractersticas:
y

Orientado a la conexin: Antes de transferir informacin, dos procesos de la capa de aplicacin negocian una conexin TCP mediante el proceso de establecimiento de conexin TCP. Y se cierra mediante finalizacin de conexin TCP. Dplex completo: Para cada principal TCP hay una canalizacin de salida y una de entrada. Los datos pueden salir entrar y salir simultneamente. La cabecera TCP contiene el nmero de secuencia de los datos de salida y una confirmacin de los de entrada. Fiable: Los datos se envan secuencialmente y se espera confirmacin de recepcin. En caso de fallar la respuesta se transmite de nuevo. El receptor descarta los duplicados y los que estn fuera de secuencia se reordenan en la correcta. Siempre se utiliza una suma de comprobacin para verificar la integridad de nivel de bit del segmento TCP. Secuencia de bytes: TCP ve los datos de entrada y salida como una secuencia continua de bytes. TCP no reconoce lmites de mensajes o registros en la secuencia. El protocolo de la capa de aplicacin debe proporcionar el anlisis de la secuencia de bytes de entrada. Control de flujo del emisor y del receptor: en evitacin de un envo masivo de datos a la vez y saturar la red, TCP implementa control de flujo del emisor que, gradualmente, escala la cantidad de datos enviados a la vez, y a su vez control de flujo del receptor para evitar que el emisor enve datos que no puede recibir, indicando la cantidad de espacio libre en el bfer del propio receptor. Segmentacin de datos de la capa de aplicacin: TCP segmenta los datos obtenidos desde la capa de aplicacin para adaptarlos a un datagrama IP. Cambia el tamao mximo que puede recibir cada uno y lo ajustan mediante la PMTU. Entrega de uno a uno: Una conexin TCP es un circuito lgico punto a punto entre dos protocolos de la capa de aplicacin. TCP no proporciona servicio de entrega de uno a varios.

Un segmento TCP se enva como un datagrama IP. Tiene una cabecera y un segmento, cuyo tamao mximo es de 65495 bytes. La cabecera TCP es de longitud variable, sin opciones TCP tiene 20 bytes de longitud. Los campos que contiene son:
y

y y y y y

Puerto de origen: Indica el protocolo de la capa de aplicacin de origen que enva el segmento. La combinacin de la IP de origen y el puerto de origen crean un socket de origen, direccin nica desde la que se enva el segmento. Puerto de destino: Indica el protocolo de la capa de aplicacin destino. Aqu se crea un socket de destino, direccin nica a la que se enva el segmento. Nmero de secuencia: Nmero de secuencia basado en secuencias de bytes de salida. Nmero de confirmacin: Nmero de secuencia del siguiente octeto de la secuencia de bytes de entrada que el receptor espera recibir. Desplazamiento de datos: Indica el inicio del segmento TCP. Reservado: campo sin utilizar.

y y y y y

Indicadores: Aqu se encuentran 6 indicadores TCP, URG(urgente), ACK, PSH, RST, SYN y FIN. Ventana: Nmero de bytes de espacio disponible en el bfer de recepcin del emisor de este segmento. Al indicarlo est informando de la cantidad que se pueden enviar y almacenar. Suma de comprobacin: Comprueba la integridad a nivel de bit para el segmento. Puntero urgente: Ubicacin de datos urgentes dentro del segmento. Opciones: Se pueden agregar opciones en tamaos de 4 bytes.

ipv6
Despus de dcadas es obvio que para la versin actual de IP (ipv4) ha pasado el tiempo. Actualmente presenta ciertas desventajas:
y y y y y y

Espacio de direcciones limitado, todas las direcciones pblicas parecen estar en uso ya. Infraestructura de enrutamiento lineal, que ha provocado que en las tablas de enrutamiento troncales de internet existan ms de 80.000 rutas, lo que hace un reenvo ms lento del trfico. Configuracin, Ipv4 debe configurarse manualmente o en todo caso mediante DHCP. Seguridad. Calidad de servicio (QoS). Movilidad.

Por ello la IETF comenz el desarrollo de un protocolo que sustituya a Ipv4 y capaz de resolver los problemas y que, adems, fuera extensible para solucionar problemas adicionales en el futuro. Esto es, Ipv6. Ipv6:
y y

y y y

Espacio de direcciones enorme, sus direcciones tienen una longitud de 128 bits, el espacio de direcciones es 3,4*1038 de direcciones posibles. IInfraestructura de enrutamiento jerrquica, las direcciones pblicas Ipv6 se conocen como direcciones globales, estn diseadas con una infraestructura que se adapta a la tpica jerarqua global-regional-local de los ISP que suele existir entre una organizacin o equipo particular y la red troncal de Internet. Pueden resumirse, generando as pocas entradas de enrutamiento en las tablas de los enrutadores troncales de Internet. Configuracin automtica, los host pueden configurar automticamente sus direcciones Ipv6 y otros parmetros de configuracin, incluso sin un DHCP. Seguridad integrada, al contrario que ipv4, se requiere la compatibilidad de Ipv6 con IPSec. Ms compatibilidad con QoS, con un equivalente al campo TOS de ipv4, que tendr una nica interpretacin para la entrega no estndar. El campo Etiqueta de flujo de la cabecera de ipv6

indica el flujo de paquetes, haciendo que la determinacin de reenvo para servicios de entrega no predeterminados sea ms eficaz en enrutadores intermedios. Movilidad integrada.

Arquitectura Cliente/Servidor
Una arquitectura es un conjunto de reglas, definiciones, trminos y modelos que se emplean para producir un producto. La arquitectura Cliente/Servidor agrupa conjuntos de elementos que efectan procesos distribuidos y computo cooperativo. Beneficios: Mejor aprovechamiento de la potencia de cmputo (Reparte el trabajo). Reduce el trfico en la Red. Opera bajo sistemas abiertos. Permite el uso de interfaces grficas variadas y verstiles. Qu es el Cliente? Conjunto de Software y Hardware que invoca los servicios de uno o varios servidores. Caractersticas: El Cliente oculta al Servidor y la Red. Detecta e intercepta peticiones de otras aplicaciones y puede redirigirlas. Dedicado a la cesin del usuario ( Inicia...Termina ). El mtodo ms comn por el que se solicitan los servicios es a travs de RPC (Remote Procedure Calls). Funciones Comunes del Cliente: Mantener y procesar todo el dialogo con el usuario. Manejo de pantallas. Mens e interpretacin de comandos.

Entrada de datos y validacin. Procesamiento de ayudas. Recuperacin de errores. Qu es el Servidor? Conjunto de Hardware y Software que responde a los requerimientos de un cliente. Tipos Comunes de Servidores: Servidor de Archivos. Servidor de Bases de Datos (SQL, CBASE, ORACLE, INFORMIX). Servidor de Comunicaciones Servidor de Impresin. Servidor de Terminal. Servidor de Aplicaciones. Funciones Comunes del Servidor: Acceso, almacenamiento y organizacin de datos. Actualizacin de datos almacenados. Administracin de recursos compartidos. Ejecucin de toda la lgica para procesar una transaccin. Procesamiento comn de elementos del servidor (Datos, capacidad de CPU, almacenamiento en disco, capacidad de impresin, manejo de memoria y comunicacin). Red de comunicacin. Es todo aquel conjunto de elementos basados en hardware y software que permite establecer un enlace entre los clientes y los servidores, se clasifican por su tamao LAN, MAN y WAN. Caractersticas de la comunicacin: A travs de este medio, el cliente debe localizar e iniciar la comunicacin con el servidor. No se utiliza la metodologa de comparticin de archivos, ya que todos los accesos a la informacin se llevan a cabo a travs de peticiones por medio de comunicacin. Debido a que los programas de manejo y control de informacin ( Archivos y bases de datos solo se envan y reciben los resultados de las operaciones (Trfico igual a Datos ledos o escritos). Debido a la flexibilidad de establecer sesiones con mltiples servidores y manejo de informacin en varias bases de datos (en sitios remotos es requerido el uso de estilos transaccionales y cooperativos).

TCP/IP en Windows Server


La instalacin de los protocolos TCP/IP en Windows Server se incluye por defecto en la propia instalacin de Windows. Aunque en caso de necesidad pueden instalarse desde una sesin de administrador, abriendo el panel de control y accediendo a la carpeta de conexiones de red, seleccionar la conexin de rea local que se desee y seleccionar propiedades, tenemos a nuestro alcance los botones de instalar/desinstalar y propiedades. Si ya tenemos instalado TCP/IP, podemos acceder mediante el botn propiedades:

Y tener acceso a la propia configuracin de la IP y otros valores necesarios:

Y adems, mediante el botn Avanzadas, a propiedades avanzadas:

Cabe recordar que si utilizamos instalar un nuevo protocolo, en Windows Server ya nos aparece la nueva versin, es decir, Ipv6:

2: Instalacin de Windows Server


Una visin general de Windows Server
Con un intento de mejora en aspectos como la seguridad, capacidad de red y el directorio activo, Windows Server pretende ser el centro del nodo de comunicaciones de cada empresa. Parece que la mejor manera de aprovechar al mximo la tecnologa que ofrece es su implantacin junto a un cliente como Windows XP Professional. Mediante tecnologas como IntelliMirror, RIS, instalacin de software, un almacenamiento de documentos y parmetros de los usuarios, que se replican en otros servidores, parece obtenerse:
y y

Un mejor acceso, cualquier usuario puede iniciar sesin en cualquier equipo de la red y todos sus documentos y parmetros le acompaarn. Mayor disponibilidad, La informacin replicada en los servidores puede hallarse tambin en local y estar disponible an cuando el usuario no est conectado a la red. En cuanto se conectan dicha informacin se sincroniza con la nueva. Mejor proteccin, todos los archivos residen en el servidor, con lo que se facilita la realizacin de copias de seguridad como un procedimiento habitual y centralizado.

Para una gestin administrativa se dispone de las MMC (Microsoft Management Console). Disponemos de la tecnologa de Directiva de grupo, con la que podemos disear opciones de la configuracin, de seguridad, de instalacin y de mantenimiento de software, secuencias de comandos, scripts de inicio y cierre. Servicios de Terminal Server, con lo que el proceso de las aplicaciones y sus datos tienen lugar en el propio servidor, utilizando un cliente en las mquinas locales para ello. Disponemos de interoperabilidad con otros sistemas operativos, como Unix, Netware, o servicios de compartimiento de archivos e impresoras con Macintosh. Parece pues que Windows Server representa un avance en fiabilidad, disponibilidad y manejabilidad. Nos encontramos ante un sistema ms verstil que sus predecesores (NT, Windows 2000 Server) y que est basado en conceptos de gestin y administracin introducidos en Windows 2000 Server.
y y

y y

Un Servicio de directorio activo (Active Directory), extensible y escalable, utiliza DNS como sistema de espacio de nombres, un estndar de Internet. La tecnologa IntelliMirror, un conjunto de caractersticas de administracin de cambios y configuraciones que dan soporte para Raid, discos espejo que duplican el entorno y datos del usuario, adems de centralizar la administracin de las instalaciones y del mantenimiento de software. Una mejor Arquitectura de seguridad, introduciendo mejoras en tarjetas inteligentes, claves de cifrado pblicas y privadas, protocolos de seguridad... As como herramientas que analizan la seguridad del sistema y que permiten aplicar configuraciones uniformes de seguridad a grupos. Terminal Server (Terminal Services), lo que permite iniciar sesiones y administrar otros sistemas de forma remota. Windows Scripting Host, creacin de scripts para automatizar tareas habituales de administracin; crear/eliminar cuentas de usuario, aadir impresoras, predeterminarlas, etc...http://www.microsoft.com/technet/community/scriptcenter

Aunque Windows Server incluye muchas ms caractersticas, podramos decir que Active Directory resalta sobre las dems, y que comprender sus estructuras y procedimientos es esencial si queremos ser buenos administradores de sistemas Windows Server. Las versiones de Windows Server se dividen en cuatro:(Comparacin de versiones) Web Edition, una edicin un poco recortada en la que se ofrecen servicios web y sus aplicaciones, aunque no incluye Active Directory, pero si DFS(Distributed File System), EFS(Encryting File System) y Escritorio Remoto para administracin., soporta 2GB de Ram y dos procesadores.

Standard Edition, evolucin de Windows 2000 Server, ofrece servicios y recursos a otros sistemas de red, soporta hasta 4GB de Ram y dos procesadores.

Enterprise Edition, una ampliacin de la edicin anterior, en la que se incluye soporte para Clusters (Cluster service), metadirectorio y servicios Macintosh. Compatible con equipos Intel de 64 bits. Pueden usar hasta 32GB de Ram en x86 y 64GB en 64bits, soportando ocho procesadores. Datacenter Edition, el vrtice de la pirmide, mejora an ms las caractersticas de clster y puede usar hasta 64GB de Ram (128GB en equipos 64 bits), necesita un mnimo de ocho procesadores y soporta hasta 32.

Un servidor con Windows Server (Excluyendo Web Edition) puede configurarse de tres formas: Controlador de dominio, Servidor miembro o Servidor independiente. Los Controladores de dominio almacenan informacin de directorios (necesitan pues AD) y proporcionan servicios de autenticacin y de directorios al dominio. Los servidores miembros forman parte de un dominio pero no guardan informacin de directorios. Los Servidores independientes no forman parte del dominio y tienen su propia base de datos de usuario, por ello autentican los inicios de sesin. Los servidores pueden configurarse como:
y y y y y y y y y y y y

Servidor de aplicaciones Servidor DHCP Servidor DNS Controlador de dominio Servidor de archivos Servidor de correo Servidor de impresin Servidor de acceso remoto/VPN Nodo de clster de servidores (Enterprise Edition) Streaming media Server Terminal Server Servidor WINS

NOTA: En el CD hay un directorio Support Tools, contiene una coleccin de herramientas y utilidades para gestin, su instalacin puede realizarse con Suptools.msi y un buen artculo al respecto lo podis encontrar en: http://www.microsoft.com/spain/technet/comunidad/articulos_mvp.mspx

Tambin se dispone de la versin Windows Server 2003 R2. Web Windows Server R2

Introduccin al Directorio Activo AD


Active Directory es el corazn de Windows Server 2003. En la prctica toda la administracin afectar a AD. Dicha tecnologa est basada en protocolos estndar de Internet, con un diseo apropiado para definir la estructura de una red. AD utiliza DNS(Domain Name System), por lo que presenta una estructura jerrquica, en base a la identificacin de equipos, dominios de organizacin y dominios de nivel superior. DNS tambin se utiliza para resolver nombres de host a direcciones IP. Con DNS la jerarqua de AD puede ser en funcin a Internet o independiente y privada. Es indispensable configurar DNS en la red antes de poder disponer de AD. AD proporciona estructuras lgicas y fsicas, las primeras nos ofrecen: Unidades Organizativas (OU's), Dominios, rboles de dominios y Bosques de dominios; y las segundas: Subredes y Sitios. Se dispone de varias herramientas para la administracin de AD, entre ellas las hay graficas y en lnea de comandos, mientras hay algunas herramientas de soporte slo disponibles en ingls. Directorio Activo en Technet Directorio Activo en Microsoft

Instalando Windows Server 2003


Instalacin y configuracin inicial de un servidor con Windows Server Es muy interesante comprobar la compatibilidad de nuestro hardware con Windows Server 2003, para evitarnos sorpresas posteriores. Podemos visitar la pgina web http://www.microsoft.com/whdc/hcl/search.mspx y si la instalacin la hacemos sobre un equipo que ya tiene un sistema operativo, aprovechar una de las opciones de comprobar la compatibilidad del sistema, lo que har que se nos informe del hardware y/o software que no es compatible.

Si ya hemos determinado que nuestro equipo cumple con la compatibilidad adecuada o deseamos seguir con la instalacin aunque no estemos seguros, esto es lo que iremos viendo sucesivamente durante el proceso de instalacin: Partiendo del escenario planteado, es decir un equipo sin sistema anterior, podremos observar dos fases diferenciadas y separadas por un reinicio, la primera con una interfaz de texto y la segunda de una manera ms grfica. Pero vemoslo mediante imgenes... Comienza la instalacin:

La primera bifurcacin: se nos ofrecen tres opciones, como se observa en la imagen, instalar ahora, reparar/recuperar una instalacin existente o salir de la instalacin de Windows sin instalarlo. Nosotros por supuesto pulsamos la tecla ENTRAR y con ello seleccionamos instalar Windows ahora.

Luego se nos presentar el contrato de licencia para el usuario final, lo leeremos y si lo encontramos conforme pulsaremos la tecla F8, con lo que aceptaremos dicho contrato y proseguiremos con la instalacin.

Siguiente bifurcacin, hemos de elegir el lugar donde instalar Windows, aqu podemos crear una particin en el espacio que no est particionado, eliminar alguna/s para aumentar el espacio, o directamente elegir el espacio libre y pulsar ENTRAR.

Qu sistema de archivos elegimos para el formato de la particin? Bueno, si deseamos todo el potencial de Windows para nuestro servidor, la que viene marcada por defecto, que es NTFS.

Se procede a formatear la particin con el formato elegido en la pantalla anterior.

Despus del formato, el proceso de instalacin efecta la copia de archivos necesarios para los siguientes pasos.

Terminada la copia de archivos se inicia la configuracin.

La primera fase ha finalizado y se procede al reinicio. La primera de las pantallas que se nos muestra es la que desde ese momento veremos al iniciar el sistema o reiniciarlo, sea por alguna actualizacin, instalacin de nuevo hardware o software, u otras.

Iniciando el sistema.

Aqu nos muestra los tres pasos ya llevados a cabo y el que comienza: Instalando Windows.

Instalando dispositivos.

Por defecto tenemos la configuracin en Espaol. Pulsando en personalizar podremos comprobar que todo est correcto.

Las opciones regionales, avanzadas y, configuracin regional y de idioma, en sta ltima el botn detalles nos da paso al idioma del dispositivo de entrada.

Escribiremos nuestro nombre y nuestra organizacin.

Introduciremos la clave del producto.

Aqu hemos de elegir el modo de licencia, recordemos: Por servidor se refiere a las conexiones concurrentes al software del servidor, mientras Por dispositivo o usuario se aplica al dispositivo o usuario sin importar a qu servidor se acceda.

Nombre de equipo y contrasea del administrador, si la misma no cumple los requisitos de una contrasea segura recibiremos una advertencia, aunque nos permitir seguir utilizando la propuesta.

Luego configuramos los valores de fecha y hora.

Seguidamente se instala la red.

Para la configuracin de red podemos elegir una configuracin tpica y modificarla despus o hacerla personalizada desde el inicio.

Si la hacemos personalizada nos aparecer n cada adaptador de red del equipo, seleccionaremos el Protocolo de Internet(TCP/IP) y pulsaremos en propiedades.

Configuraremos la IP, la mscara de subred y la puerta de enlace predeterminada. Luego pondremos la IP del DNS. En el caso de que el servidor se promocione a DC o se configure el servicio DNS, hemos de reconfigurar ste ltimo valor.

Luego seleccionaremos si el equipo estar como un servidor stand-alone(independiente) o pertenecer a un dominio existente(servidor miembro) introduciendo el nombre del dominio al que se unir, si fuese el segundo caso habra que configurar el DNS de dicho dominio en la configuracin de TCP/IP vista anteriormente.

Comienza la copia de archivos.

Luego instalar los elementos del men de inicio.

Registrar los componentes.

Guardar la configuracin.

Eliminar los archivos temporales innecesarios.

Se reiniciar.

Aqu se nos muestra la pantalla de inicio, pulsando Ctrl-Alt-Supr iniciaremos el sistema.

Nos mostrar la ventana de inicio de sesin, y lo haremos como administrador para terminar los pasos iniciales.

Unos consejos: Un servidor deber a dedicarse simplemente a eso, a Servidor, no deber a plantearse su uso como una estacin de trabajo ms, aunque esto parece que depende mucho de cada cual y de sus necesidades. Pensando en que slo realizar dichas tareas, siempre configuro el men de inicio clsico, dejo el fondo de pantalla en el clsico azul y configuro el equipo para el mximo rendimiento. Sobre todo, antes de realizar cualquier conexin a internet, activar el cortafuegos y despus actualizar el sistema con todos los parches de windows update que crea necesarios. Luego activo el sistema si la versin instalada no es Corporativa y exenta de dicha activacin.

Clic derecho sobre la conexin de red local, propiedades, avanzadas.

Marco la casilla de verificacin para activar la proteccin y observo como el icono de la conexin muestra un candado sobre la misma.

Visito windows update y actualizo todo lo que creo necesario.

Activo la copia de windows pulsando en el systray sobre el icono de advertencia o navego por el botn inicio, programas, accesorios, herramientas del sistema, Activar windows. Luego sigo el asistente de activacin. Desde aqu ya puedo promocionar el servidor a DC si es mi deseo, unirlo a un dominio si no lo hice durante la instalacin o dejarlo como servidor independiente. NOTA:* Debido a las diversas versiones, sp's etc... puede que las imgenes de las pantallas mostradas no coincidan en todos los casos.

3: Administracin de equipos
Sistemas de archivos
Un sistema de archivos garantiza la organizacin lgica de los datos en los discos duros y proporciona al sistema operativo las rutinas necesarias para que puedan ser accedidos, modificados y eliminados. Cualquier sistema operativo suele tener soporte para varios sistemas de archivos, aunque slo sea en modo lectura. Los sistemas de archivos de la familia Microsoft que podemos encontrarnos son: FAT (FAT16 y FAT32) y NTFS (NTFS4, NTFS5).

NTFS (New Technology File System) fue diseado para NT e incorporaba un sistema de seguridad integrado que nos permita asignar permisos a archivos y directorios a nivel de usuarios y grupos. Sus mejoras han hecho que desde Windows 2000 Server se puedan crear particiones dinmicas y con ello la posibilidad de Cuotas de disco, sistemas de archivos cifrados (EFS) y desfragmentacin NTFS. Antes de entrar en los puntos siguientes, vamos a recordar ciertas definiciones:
y y y y y

y y

y y y y y

Unidad fsica: El propio disco duro, sin ms. Unidad lgica: Fragmento que se comporta como una particin y que est dentro de una particin extendida. Unidad de asignacin: Es la unidad ms pequea de espacio de disco duro administrado, se llama clster. Particin: Puede ser el total del tamao del disco o una parte. Particin primaria: Particin que el sistema marca como iniciable o arrancable, as como MSDOS slo soportaba una, Windows Server(2000 o 2003) pueden tener hasta cuatro por disco (lmite de particiones en una unidad fsica). Particin extendida: particin que no es de inicio y que a su vez puede contener unidades lgicas. Slo puede haber una por disco. Disco bsico: Unidad fsica tradicional, dividida o no en varias particiones, no admiten funciones avanzadas de administracin de discos, pero pueden convertirse en muchos casos en discos dinmicos. Disco dinmico: Unidad fsica administrada que puede utilizarse para crear varios volmenes. Volumen: Unidad de espacio en disco compuesta de uno o varios fragmentos de uno o ms discos dinmicos. Volumen simple: Un equivalente a particin. Parte de un solo disco dinmico, con una letra de unidad o ninguna y puede montarse en cero o ms puntos de montaje. Volumen lgico: equivalente a unidad lgica. Volumen distribuido: conjunto de fragmentos de discos duros combinados en una sola unidad. Se les da formato como una unidad fsica, pueden tener una letra de unidad, pero abarcan varias unidades fsicas, no ofrecen tolerancia a fallos, en todo caso aumentan la posibilidad de estos, aunque emplean ms eficientemente el espacio de disco disponible. Volumen extendido: Parecido a volumen distribuido, y a veces sinnimo, cualquier volumen dinmico que se haya ampliado desde su tamao original. Si se utiliza partes de varias unidades fsicas es ms propio llamarlo volumen distribuido. RAID (matriz redundante de discos independientes): Utilizar varias unidades fsicas en una matriz para ofrecer mayor tamao, tolerancia a fallos y mayor rendimiento. Hay varios niveles, RAID-0, RAID-1, RAID-5,etc. La numeracin no indica mejor rendimiento o tolerancia a fallos, tan solo diferencias de mtodos. Volumen seccionado: Como los volmenes distribuidos combinan varios fragmentos de disco en una sola entidad. Utilizan un formato especial para escribir por igual en cada uno de los fragmentos para aumentar el rendimiento. No ofrecen tolerancia a fallos sino lo contrario, pero son ms rpidos. Aunque suelen denominarse RAID-0 puede inducirse a error, ya que el seccionamiento no implica redundancia. Volumen con espejo: Pareja de volmenes dinmicos, contienen datos idnticos y son vistos como una sola unidad. En caso de fallo en alguno, el otro puede independizarse para seguir ofreciendo acceso completo. Se denomina RAID-1 y ofrece tolerancia a fallos. Volumen RAID-5: Como los volmenes seccionados, combina varios fragmentos de varios discos en una sola entidad con los datos distribuidos por igual en todos los fragmentos. Escribe la informacin de paridad de cada seccin en un fragmento distinto, lo que permite la recuperacin en caso de fallo de un solo disco. Ofrecen rendimiento excelente para operaciones de lectura, siendo un poco ms lentos para escritura que otras opciones.

Introduccin a los sistemas de archivos Comparacin entre NTFS, FAT y FAT32 Administrador de Discos Windows Server trae una interfaz nueva, basada en MMC y que adems aade un nuevo conjunto de posibilidades. No slo permite administrar los discos duros locales, sino tambin unidades de otros equipos que ejecuten Windows XP, Windows 2000 o Windows Server, pudiendo administrar tareas de disco y asignaciones de espacio desde una estacin de trabajo.

Discos dinmicos Otra caracterstica importante es el concepto de disco dinmico. Al transformar los discos en discos dinmicos se ofrece la posibilidad de administrarlos sin necesidad de reinicio en la mayora de casos. Ampliar su volumen, distribuirlos entre varios discos, seccionar el volumen, crear un espejo o agregarlo a RAID-5, todo desde la propia MMC y sin necesidad de reinicio una vez convertido en discos dinmicos. La conversin primera necesita un reinicio. Se dispone de un conjunto de asistentes para la adicin de nuevas unidades fsicas, creacin de volmenes, creacin de particiones, creacin de unidades lgicas y la eliminacin de particiones, volmenes o unidades lgicas.

El sistema de archivos NTFS existe desde la primera versin de Windows NT. Desde Windows 2000 y siguiendo con Windows Server 2003 se han introducido cambios significativos para que soporte nuevas caractersticas, como las instantneas, cuotas de disco y cifrado de archivos y del sistema de archivos en el nivel del disco fsico. Cuotas de disco: Hasta Windows 2000 los administradores de Windows NT no podan limitar los recursos de disco de los usuarios sin software adicional, ahora se proporcionan cuotas recomendadas o absolutas de disco para usuarios o grupos. Sin embargo, cada volumen o particin se trata como una entidad separada, por lo que no se pueden aplicar cuotas a un tamao total en el servidor o en la empresa. Tambin cabe recordar que una vez aplicada y los usuarios llegan a su lmite recibirn un mensaje de disco lleno hasta que eliminen archivos suficientes para quedar por debajo del lmite, y eso incluye la papelera de reciclaje pues los archivos que la ocupan tambin cuentan y hay que vaciarla. Por defecto las cuotas de disco estn deshabilitadas en todas las particiones y/o volmenes. Hay que habilitarlas en cada una de ellas/os en las/os que se quiera establecer una cuota. Y slo estn disponibles para los volmenes que tengan asignada una letra de unidad. Pueden establecerse cuotas diferentes para cada usuario o grupo de usuarios, o idntica para todos. Botn derecho en la letra de unidad, propiedades, pestaa cuota y seleccionar "Habilitar la administracin de cuota". Despus podemos limitar el uso del disco para esa unidad, tenemos las opciones:
y y y y

Denegar espacio de disco a usuarios que excedan el lmite de cuota: Esto se aplica a toda la utilizacin del disco, sin, los lmites son orientativos. Limitar espacio de disco a: Nos permitir establecer el lmite de espacio de disco para los nuevos usuarios del volumen. Establecer el nivel de advertencia en: Aqu establecemos el lmite en el que los usuarios recibirn el mensaje de advertencia. Opciones de registro: registrar cuando se supera el lmite, el nivel de advertencia o dejarlo en blanco sino queremos registrar dichos eventos.

Nos saldr un mensaje de confirmacin, si todo ha ido bien, aceptaremos para examinar el disco y habilitar las cuotas. El nico inconveniente al habilitar las cuotas siguiendo estos pasos es que slo se aplican a los usuarios, no a los administradores, a no ser que explcitamente se indique una entrada de cuota distinta. Para ello debemos realizar unos pasos extra: Abierta la ventana de cuotas de la unidad, pulsaremos en el botn "Valores de cuota" y tendremos una ventana que contiene entradas para todos los que hayan almacenado archivos en ese volumen, a menos que se hayan eliminado. Podemos modificar las propiedades de cualquier entrada con doble clic en ella, apareciendo un cuadro de dilogo donde podemos definir la cuota. Un consejo: Huir de el establecimiento de cuotas para cada usuario, al final es una pesadilla. Por supuesto en Windows Server podemos exportar o importar las cuotas de un volumen a otro, tan simple como abrir las entradas de ambos volmenes y arrastrarlas de uno al otro, o escoger la entrada y seleccionar exportar para guardarla en un archivo y luego en el volumen receptor escoger importar.

Sistemas de archivos Distribuidos


Cuando se comparten archivos en una red siempre aparecen dificultades de acceso por parte de los usuarios para buscar aqullos que necesitan. Si slo existe un servidor el problema parece menos grave, pero cuando existen diversos servidores de archivos y en distintos lugares se aprecia cualquier ayuda a los usuarios para encontrar los recursos compartidos, al final siempre se gana en tiempo. El sistema de archivos distribuidos (DFS) se dise para evitar este problema y a la vez, aadir ciertas ventajas como el equilibrio de carga, la tolerancia adicional a fallos y la conservacin del ancho de banda intra-sitios. DFS oculta la estructura de los archivos compartidos bajo carpetas virtuales, de forma que los usuarios ven una nica estructura contigua de carpetas, cuando en la realidad puedan estar en varios servidores por toda la red. La ventaja ms clara es tener un nico punto de acceso a los recursos compartidos de la red. Tambin permite una organizacin de los mismos y al mismo tiempo administrar una mejor disponibilidad y tolerancia a errores, con el aadido de la funcionalidad de equilibrio de carga. Dfs conforma un conjunto virtual de recursos compartidos de archivos organizado jerrquicamente, con el que los usuarios slo necesitan conectarse a un servidor (el de la estructura DFS) para tener acceso a todas las carpetas compartidas, estn donde estn. Dfs esconde a los usuarios la estructura real de carpetas, aprovecha el AD para la replicacin y optimizacin de sitios, usando las rplicas para el equilibrio de carga. Los usuarios recorren los recursos compartidos aislados de los archivos reales, por lo que desconocen la procedencia de los archivos a los que acceden. El administrador slo necesita modificar los vnculos, sin necesidad de desconectar los recursos, para que apunten a cualquier otro servidor, de forma totalmente transparente a los usuarios.

Dfs en ningn caso complica la seguridad, sigue mantenindose NTFS, an cuando se definen permisos para la raz Dfs. Para acceder a una estructura Dfs es necesario un cliente Dfs, y los hay para windows95/98/me/NTsp3/2000/XP/2003. Una raz Dfs puede albergarse en cualquier equipo ejecutando Windows Server (en cualquiera de sus versiones) y en Windows 2000 Server, sea en dominio o de forma independiente. Apertura de una raz Dfs Hemos de crear una raz Dfs para trabajar con Dfs, para ello podemos seguir al asistente que se nos ofrece en la siguiente ruta: Inicio->Programas->Herramientas administrativas->Sistema de archivos distribuidos. O abrir el Panel de control y pulsar en Herramientas administrativas->Sistema de archivos distribuidos.

Seguidamente elegiremos crear una nueva raz, con clic derecho sobre Sistema de archivos distribuidos del rbol de la izquierda.

Desde aqu hemos de seguir al 'Wizard' seleccionando las opciones que se nos solicitan, entre ellas:
y y

Seleccionar el tipo de raz DFS El servidor que lo albergar

y y y y y y y y y

La ruta del recurso a crear y el nombre con que se compartir. Una vez creada la raz DFS, hemos de aadir vnculos DFS. Elegiremos la raz a la que se desea agregar el vnculo. Comando Nuevo vnculo del men Accin. Escribiremos el nombre de la carpeta compartida en Nombre de vnculo. Escribiremos la ruta UNC o DNS, o pulsaremos en examinar para buscarla. Si se desea, escribiremos comentarios. Configuraremos el tiempo en segundos que los clientes almacenarn la referencia en la cach antes de volver a comprobar si es correcta. Le daremos a Aceptar.

4: Usuarios y Grupos
Usuarios y Grupos
En una red es imprescindible conseguir que los usuarios tengan todo lo que necesiten y evitar los problemas que impidan su trabajo. Acceso a archivos, carpetas, aplicaciones, impresoras, internet, etc... requeridos para su trabajo. As que manos a la obra. Grupos Por definicin, los grupos en Windows Server son objetos del servicio de Active Directory o, del equipo local, que a su vez pueden contener usuarios, contactos, equipos, y otros grupos. El objetivo es una administracin ms simple, para que el administrador pueda asignar derechos y permisos por grupo y no a usuarios individuales. En Windows Server nos encontramos con los grupos de seguridad y los grupos de distribucin, aunque casi todos los grupos utilizados son de seguridad ya que son a los que se pueden asignar permisos. Cada grupo de seguridad tiene asignado un mbito de grupo, que definir como se asignan los permisos a sus miembros. Los grupos de distribucin no tienen seguridad activada y slo se pueden usar con aplicaciones de correo electrnico para enviar correos a conjuntos de usuarios. mbitos de Grupos Los mbitos: Cuando creamos un grupo se le asigna un mbito de grupo, encontrndonos con grupos globales, grupos locales de dominio y grupos universales. mbito global Es un grupo global en cuanto los permisos se conceden sobre los recursos de cualquier dominio. Los usuarios de pertenencia provienen del dominio en el que se crea el grupo por lo que en este sentido no parece global. Son adecuados para cuentas de usuario y grupo y a su vez pueden pertenecer a grupos universales o locales de dominio en cualquier dominio y como miembros pueden tener a otros grupos globales en el mismo dominio y cuentas individuales del mismo dominio. mbito local de dominio Es un grupo contrario al anterior, pues sus miembros pueden provenir de cualquier dominio y sus permisos slo pueden definirse para recursos del dominio en el que se crea el grupo. Como miembros pueden tener a otros grupos locales de dominio en el mismo dominio, globales de cualquier dominio, universales de cualquier dominio y cuentas individuales de cualquier dominio. mbito universal Un grupo universal puede tener miembros pertenecientes de cualquier dominio y se le pueden asignar permisos a recursos de cualquier dominio. Slo est disponible en dominios en modo nativo. Sus

miembros pueden ser otros grupos universales, globales y cuentas individuales. Deben utilizarse comedidamente pues afectan al rendimiento de la red. Para los anidamientos entre grupos hemos de tener en cuenta que sus reglas se aplican completamente en modo nativo y no en modo mixto. Es muy importante una correcta planificacin pues afectan al rendimiento de la red, vemoslo: Cuando un usuario inicia sesin el DC determina los miembros del grupo del usuario y le asigna un testigo de seguridad, que incluye el SID de todos los grupos a los que pertenezca y el ID del propio usuario. Cuantos ms grupos pertenezca el usuario ms se tarda en la creacin del testigo y por ende en iniciar sesin. Por otra parte el testigo ser enviado a cada equipo al que accede el usuario, donde se comparar todos los SID con los permisos de los recursos compartidos. Un gran nmero de usuarios aadidos a un gran nmero de recursos consume ancho de banda y tiempo de proceso. En cuanto a los grupos universales tienen un impacto por s mismos en el rendimiento de la red, pues todos los grupos con sus miembros se muestran en el catalogo global, cualquier cambio en un grupo con mbito universal ser transmitido a todos los servidores de catlogo global del rbol de dominios, aumentando el trfico de rplica. Los grupos globales o locales tambin estn en el catlogo global pero no as sus miembros individuales, por lo que el consumo es menor. Un buen artculo sobre grupos: Grupos Los grupos, al igual que las cuentas de usuario (como veremos) obtienen un identificador exclusivo para monitorizarlos (SID) en el momento de su creacin. Cuentas de usuario Definamos dos tipos de cuentas, aqullas que se circunscriben al Active Directory y que llamaremos cuentas de usuario de dominio y las que se crean para tener acceso al equipo local que llamaremos cuentas de usuario locales. Aunque Windows Server muestra nombres de usuario para indicar privilegios y permisos, los identificadores clave de las cuentas son los SID(Security Identifiers), exclusivos y generados al crear las cuentas, lo forman un prefijo del identificador de seguridad del dominio y un identificador relativo exclusivo asignado por el maestro de identificadores relativos. Estos identificadores son utilizados para monitorizar las cuentas, aparte del nombre de usuario. De entre las funciones del SID las dos ms importantes son permitir cambiar fcilmente el nombre de usuario y eliminar cuentas sin preocuparse de que alguien pueda obtener acceso a los recursos con slo crear una cuenta. Ya que cuando se cambia el nombre a un usuario se solicita un SID para un nombre nuevo, al eliminar una cuenta se indica que el SID ya no ser vlido, as que cuando creamos una nueva an con el mismo nombre, el SID ser diferente. Creacin de usuarios y grupos Las herramientas presentes en Windows Server para la creacin de usuarios y grupos son: Usuarios y equipos de Active Directory y Usuarios y grupos locales; con la primera administraremos las cuentas de un dominio AD y con la segunda administraremos las cuentas de un equipo local. En el caso de ser un DC la segunda quedar anulada y todas las cuentas locales creadas anteriormente a la promocin se ajustarn al AD. Crearemos una cuenta de usuario de dominio desde la herramienta de Usuarios y equipos de AD, pudiendo ser una cuenta nueva o una cuenta nueva que herede las opciones de una existente. El asistente nos solicitar varios datos para la cuenta, entre ellos el nombre de inicio de sesin, la

contrasea (que deber ajustarse a las directivas de contraseas) y algunos valores sobre las mismas que elegiremos marcando las casillas correspondientes. Crearemos una cuenta de usuario local desde la herramienta Administracin de equipos del conjunto de Herramientas administrativas del panel de control. En este caso cambiar la forma del nombre de inicio de sesin, si en el anterior ser del estilo nombre@dominio, aqu slo aparecer nombre. Para la creacin de grupos se utilizan las mismas herramientas, aunque la segunda slo nos servir para crear grupos locales y aadir miembros. Tip: limitar inicios de sesin concurrentes Restricting Concurrent Logons Cconnect.exe: Con-Current Connection Limiter Limiting a User's Concurrent Connections in Windows 2000 and Windows NT 4.0 LimitLogin.exe

Perfiles
Los perfiles de usuario son el propio entorno del usuario, tal como la configuracin de escritorio, opciones de men o la propia red. En Windows Server todo usuario tiene un perfil, y en cada equipo en el que inicie sesin habr una copia del mismo, o lo que es lo mismo, estar presente en el disco duro del equipo y por tanto si accede a varios equipos tendr un perfil en cada uno, esto se denomina perfil local y como ya se indica se almacena localmente, lo cual podra provocar que el usuario tuviese un perfil distinto en cada equipo donde accede. Para evitar esto es posible la creacin de un perfil al que puedan acceder otros equipos, lo que se denomina perfil mvil. Con un perfil mvil el usuario puede tener el mismo perfil independientemente del equipo en el que inicia sesin, obligatoriamente los perfiles mviles han de almacenarse en un servidor que ejecute Windows Server; cuando un usuario inicia sesin en cualquier equipo el perfil es descargado desde el servidor y almacenado localmente como una copia, los cambios se almacenarn al cerrar la sesin tanto en la copia local como la del servidor. El administrador puede controlar los perfiles o permitir a los propios usuarios a que lo hagan ellos mismos. Los perfiles controlados por el administrador son perfiles obligatorios, los usuarios que disponen de este perfil slo podrn cambiar su entorno durante la sesin ya que al cerrarla estos cambios no se guardarn y por tanto al volver a iniciar sesin cargar de nuevo el perfil original. Si no se cambia la configuracin predeterminada los perfiles sern locales, por lo que una vez creado el usuario y ste inicie sesin en un equipo, se almacenar en el disco duro de dicho equipo. Qu contiene un perfil? Dentro de cada perfil se encuentran las siguientes carpetas:
y y y y y y y y y y y

Configuracin local: Datos de programa, historial y archivos temporales. Cookies Datos de programa: configuraciones especficas de programas determinadas por los desarrolladores de los mismos y configuracin de seguridad especfica del usuario. Entorno de red: Accesos directos a Mis sitios de red. Escritorio: Archivos, carpetas, accesos directos, apariencia. Favoritos: Accesos directos a ubicaciones favoritos, especialmente sitios web. Impresoras: Accesos directos a elementos de la carpeta impresoras. Men inicio: Elementos del men de inicio del usuario. Mis documentos Plantillas Reciente: Accesos directos a carpetas y archivos utilizados recientemente.

SendTo: Elementos del men Enviar a.

Perfiles mviles Los perfiles mviles han de almacenarse en un servidor que ejecute Windows Server, para ello seguiremos los siguientes pasos:
y y

Crear un recurso compartido en el servidor, asegurndonos que los permisos de recurso sean totales para el grupo todos. Por ejemplo: Perfiles Acceder a las propiedades del/los usuarios en la consola Usuarios y equipos de Active Directory, seleccionando la pestaa Perfil y escribiendo la ruta en el campo Ruta de acceso al perfil. Por ejemplo: \\servidor\perfiles\usuario

El directorio usuario se crear automticamente cuando inicie sesin por primera vez. Perfiles obligatorios Se crea de la misma manera que un perfil mvil, hacerlo obligatorio es cambiar la extensin al archivo Ntuser.dat por Ntuser.man. La posible ventaja es que dicho perfil puede ser pre configurado y ser asignado a varios usuarios con lo que todos dispondran del mismo perfil.

Intellimirror
Intellimirror es un conjunto de caractersticas de Windows Server para la administracin, cambio y configuracin del entorno de usuario, conjugando las ventajas de una administracin centralizada con el rendimiento y flexibilidad de una computacin distribuida. Bsicamente, IntelliMirror proporciona a los usuarios la posibilidad de tener siempre acceso a su entorno personal. Los usuarios tienen acceso permanente a toda su informacin y software, estn o no conectados a la red, con la garanta aadida de que sus datos permanecen seguros y estn siempre disponibles. IntelliMirror permite al administrador establecer las directivas una vez, sabiendo que se aplicarn sin ninguna intervencin administrativa adicional. IntelliMirror incorpora tres caractersticas:
y y y

Administracin de datos del usuario; Instalacin y mantenimiento del software; Administracin de la configuracin de los usuarios.

Las caractersticas de IntelliMirror se pueden usar de forma independiente o conjunta, en funcin de las necesidades. Qu es IntelliMirror? Intellimirror puede ser configurado para el control y la administracin de:
y y y

Datos de los usuarios: archivos, documentos, hojas de clculo, libros de trabajo y otra informacin que crean los usuarios y emplean para llevar a cabo su trabajo. Instalacin y mantenimiento del software: comprende la instalacin, configuracin, reparacin y desinstalacin de aplicaciones, actualizaciones y Service packs. Configuracin del usuario: incluye las personalizaciones del sistema operativo y las aplicaciones que definen el entorno informtico de un usuario. Por ejemplo, la configuracin de idioma, diccionarios personalizados, distribucin del escritorio, combinaciones de colores y otras preferencias del usuario.

La mayora de caractersticas se aplican mediante la Directiva de grupo y AD, pero no son exclusivas para el uso de muchas otras. Muchas se pueden establecer nivel local o por directivas locales, otras,

como las carpetas sin conexin slo necesitan que el cliente windows acceda a un servidor compatible con SMB. IntelliMirror permite administrar los cambios y configuraciones por medio de un sistema de administracin basado en directivas. La administracin basada en directivas consiste en usar la directiva local o Directiva de grupo para definir la configuracin y capacidades de un usuario o equipo. La directiva local se define en un equipo local, mientras que la Directiva de grupo se configura en Active Directory y afecta a grupos de usuarios o equipos. Mediante el uso de la Directiva de grupo, IntelliMirror sirve de ayuda para centralizar y simplificar la administracin de cambios y configuraciones. La Directiva de grupo se puede usar para aplicar, de forma centralizada, requisitos a grupos de usuarios y equipos. Una vez que se aplica la Directiva de grupo, el sistema conserva ese estado sin que sea necesaria ninguna otra intervencin. Administracin de datos de los usuarios El usuario siempre tiene acceso a sus datos, est o no conectado a la red, ya que intellmirror los almacena en lugares de la red especificados y los presenta al usuario como datos locales. Esto puede configurarse mediante diversos mtodos, de forma manual, para cada usuario, o de forma global mediante la Directiva de grupo. Uno de los mtodos es redirigir carpetas especficas del usuario a un recurso en la red y establecer dicho recurso como sin conexin. Ello hace que cuando el usuario guarda un documento en dicha carpeta se guarde en la red, aunque a posteriori se sincroniza localmente, dicha sincronizacin se realiza de forma transparente al usuario y en segundo plano. El usuario realiza su trabajo de forma normal, tanto si est conectado como si no, no afectndole las interrupciones del servicio de red. Todas las modificaciones y cambios se efectan en la copia local y en cuanto vuelve a estar conectado se sincroniza automticamente. Si hay cambios en ambas copias deber escoger entre conservar ambas copias o sincronizarlas basndose en una u otra. Instalacin y mantenimiento del software El usuario tiene acceso a las mismas aplicaciones en cualquier equipo en el que inicie sesin. El usuario no percibe ninguna configuracin o instalacin significativa, simplemente tiene las aplicaciones disponibles, slo se realizan instalaciones o reparaciones en casos necesarios. Si las aplicaciones se asignan mediante la directiva de grupo, se crean accesos directos en el men de inicio y se adecua el registro a la asociacin de archivos necesarias. Windows Installer ser el encargado en este caso de comprobar que los archivos y parmetros necesarios estn disponibles en cuanto un usuario accede a la aplicacin o intenta abrir un archivo asociado a ella, y en caso necesario los recuperar del punto de distribucin. Otra opcin sera que la Directiva de grupo publique las aplicaciones y estas aparecen en agregar o quitar programas, as el usuario decide instalar o no dicha aplicacin publicada. La reparacin tambin la realiza el servicio windows installer en cuanto detecta que falta algn archivo imprescindible para la aplicacin, recuperndola del punto de distribucin de forma automtica, as cuando el usuario abre la aplicacin no hay errores. Administracin de las configuraciones de los usuarios La configuracin de un usuario, al igual que sus datos, puede seguir a disposicin de ste sea cual sea el equipo en el que se inicie la sesin ya que IntelliMirror usa la Directiva de grupo y Active Directory para almacenar todas los valores importantes de configuracin.

Directivas
Las directivas tienen un orden de aplicacin que denominaremos Regla nemotcnica y que es LSDOU: Local (Directivas Locales) Site (Directivas de sitio) Domain (Directivas de Dominio) OU (Directivas de Unidad organizativa)

En este orden se irn aplicando por defecto, por tanto, las locales las primeras y las de OU las ultimas. Podemos forzar la aplicacin de directivas con los comandos: En windows 2000: secedit:227448 Using Secedit.exe to Force Group Policy to Be Applied Again En windows XP/2003: gpupdate:298444 A Description of the Group Policy Update Utility La Directiva de grupo es un conjunto de objetos y normas que definen qu recursos estn disponibles para que los use un grupo determinado. La Directiva de grupo no se define a nivel de usuario o de equipo local. La Directiva de grupo se basa en los agrupamientos y permisos de Active Directory, entre los que se incluyen los Grupos de seguridad. Esos grupos pueden incluir varios equipos y usuarios, desde un nico equipo o usuario a varios millones. Los objetos de Directiva de grupo (GPO) pueden definir varios aspectos del entorno de escritorio que tiene que controlar un administrador, por ejemplo el software asignado, la posibilidad de instalar o no aplicaciones adicionales, as como de modificar los valores de configuracin del equipo local. Las GPO se van creando de forma acumulativa, desde el agrupamiento de mayor tamao (el dominio) al menor (el usuario o equipo individual). Cada valor sucesivo anula los anteriores, y cada nivel de configuracin tiene un grado de detalle superior al que le precede. No todos los valores de Directiva de grupo tienen un efecto obvio e inmediato en las actividades del usuario. Muchas de las directivas que pueden aplicarse sirven para bloquear o controlar qu puede hacer un usuario en un equipo. Los usuarios no se dan cuenta de que existe esa directiva, ni siquiera son conscientes de que se est aplicando.

5. Recursos
5.1. Impresoras
Antes de entrar en el uso de Windows Server 2003 como un servidor de impresin, echemos un vistazo a cmo Windows Server 2003 trata a las impresoras y servidores de impresin.
5.1.1. Terminologa

Dentro de una confusa terminologa de impresin a causa de un diferente uso de nombres para el mismo objeto, encontramos los trminos utilizados ahora: impresora, para referirse a la que efecta la impresin real e impresora lgica para significar la interfaz de software. Podemos tener una impresora lgica asociada a una impresora, o varias impresoras lgicas asociadas a una impresora. En el segundo caso, utilizamos cada una en distintos niveles de prioridad, mientras una controla la impresin normal y otra gestiona los trabajos menos prioritarios y que deberan imprimirse en horas menos saturadas. Tambin podemos asociar una impresora lgica a varias impresoras fsicas (permitiendo enviar los trabajos a la primera impresora libre). Esta disposicin suele llamarse grupo de impresin.
5.1.2. Servidores de impresin

Son equipos (o dispositivos de red) que administran las comunicaciones entre las impresoras y los clientes que quieren imprimir en ellas.
y

Windows XP o Windows 2000 Professional pueden actuar como servidores de impresin tambin, pero slo soportan 10 usuarios de forma simultnea, y no soportan clientes Macintosh o NetWare.

Los servidores de impresin en Windows Server 2003 proporcionan a los clientes los controladores adecuados de impresora y mantienen la cola de impresin, gestionando la comunicacin entre impresoras y clientes y as reducir la carga en los equipos clientes. Asimismo ofrecen auditora sobre

los documentos impresos, y capacidad de ubicacin de impresoras, mediante exploracin de la red o bsqueda de la base de Active Directory. Importante: Un equipo que acta como un servidor de impresin est parcialmente ocupado en las tareas de impresin, por lo que cualquier otra aplicacin del servidor que se ejecute en el mismo equipo se ver afectada en su rendimiento, siendo la impresin la afectada si el servidor comparte archivos, ya que este servicio tiene precedencia sobre el resto. Las impresoras pueden conectarse al servidor de impresin mediante conexiones de red, puerto paralelo, serie, mediante USB y por el puerto 1394 IEEE. An as, lo ms apropiado sera utilizar las impresoras de red: son ms rpidas, fciles de localizar (no necesitan estar cerca del servidor de impresin) y reducen la cantidad de potencia de procesamiento utilizada en el servidor de impresin.
5.1.3. Instalacin de impresoras

Para aadir impresoras al sistema Windows Server 2003, al igual que versiones anteriores, se utiliza el Asistente para agregar impresoras. Recordemos que despus de aadir una impresora es necesario configurar los permisos apropiados para la misma, configurar las opciones de instalacin y establecer los parmetros de impresin predeterminados.
5.1.4. Impresoras compartidas?

No slo los servidores, ni si se utilizan como servidores de impresin, pueden compartir impresoras. La verdad es que depender de nuestra estructura de red lo que har que dejemos que se compartan impresoras desde los equipos que no son servidores de impresin o no. Se nos complicar la administracin de las mismas, sus niveles de prioridad, su auditora, etc... Adems de aumentar la carga de los equipos clientes.
5.1.5. Asignar las impresoras a los usuarios automticamente.

Podemos asignar las impresoras a los usuarios mediante scripts de inicio de sesin. Sea una o varias, incluso podemos asignar la que ser predeterminada. Un ejemplo de un script: <<<<comienza script Set WshNetwork = CreateObject("WScript.Network") PrinterPath = "\\nombre servidor\nombre recurso compartido" PrinterDriver = "nombre del controlador" WshNetwork.AddWindowsPrinterConnection PrinterPath, PrinterDriver WshNetwork.SetDefaultPrinter "\\nombre servidor\nombre recurso compartido" finaliza script>>>>

5.2. Software
Una de las tareas ms tediosas de un administrador es la gestin de software en los equipos cliente. Todo esto exige mucho tiempo al tener que ir donde se encuentra cada equipo y realizar cada instalacin/configuracin. Desde Windows 2000 se ha dado un gran salto hacia delante, con los servicios de instalacin y mantenimiento de software y los servicios de instalacin remota. Se recomienda tener un buen conocimiento sobre la Directiva de Grupo antes de utilizar estas herramientas.

Para implantar una aplicacin hay que crear o editar el objeto directiva de grupo (GPO) y aadir el paquete del Instalador de Windows propio de la aplicacin a la directiva de instalacin y mantenimiento de software del usuario o del equipo, segn se desee. La directiva de grupo pondr la aplicacin a disposicin del grupo de usuarios o de equipos correspondiente. Cuando el usuario inicie sesin o se reinicie el equipo se aplicar la directiva y la aplicacin se instalar de forma automtica, se aadir a la lista de agregar o quitar programas o, se instalar al utilizarla la primera vez desde el men Inicio. Las tecnologas utilizadas son:
y

RIS: Permite la instalacin remota de Windows 2000/XP professional y windows server 2003 en equipos de la red. http://support.microsoft.com/default.aspx?scid=kb;es-sp;298750 http://support.microsoft.com/default.aspx?scid=kb;es-es;325862 http://support.microsoft.com/default.aspx?scid=kb;es;304314 http://support.microsoft.com/default.aspx?scid=kb;es-sp;300483 IntelliMirror: Permite a los usuarios acceder a sus datos y aplicaciones desde cualquier equipo en la red que ejecute Windows 2000/XP Professional o Windows Server 2003. Distribuye los datos, el software y las configuraciones mediante una metodologa de extraccin, lo que viene a decir que los clientes solicitan sus datos de Active Directory a medida que los van necesitando. SMS: Gestiona la implantacin de software en redes complejas, controla el calendario y proporciona posibilidades de inventario, ofreciendo herramientas de planificacin y diagnstico. Puede insertar el software prcticamente en clientes que utilicen cualquier versin de Windows. Adems de la capacidad de actualizar sus versiones de Windows. En contra tiene que necesita de una instalacin inicial grande y no es barato. http://www.microsoft.com/spain/servidores/smserver/ MOM: Proporciona una capa de gestin sobre servidores Microsoft permitiendo supervisar la red y determinar qu tareas se necesitan realizar. Herramienta potente que se puede utilizar cuando la red crece tanto que es necesaria una manera de gestionar las herramientas de gestin. http://www.microsoft.com/spain/servidores/mom/

5.3. Windows Update


Diremos que Windows Update es un software basado en pginas web de actualizacin para los sistemas operativos de Microsoft. Dicho servicio sirve para que cada equipo que ejecuta uno de estos sistemas operativos, incluido Windows Server 2003, pueda obtener rpidamente cualquier actualizacin del propio sistema. El acceso al servicio se realiza mediante una pgina web, la cual nos instala un control activeX, comprobando aquello que es necesario actualizar en nuestro sistema. Windows Update nos muestra tres tipos de actualizaciones:
y y y

Actualizaciones crticas: partes del propio sistema. Actualizaciones de software: limitado al que lleva el sistema. Actualizaciones hardware: controladores de componentes.

Una vez comprobado la presencia del ActiveX, ste realizar la comprobacin y nos mostrar clasificado en los tres tipos descritos, las actualizaciones disponibles para nuestro equipo, las cuales podemos marcar, o no, y proceder a descargarlas e instalarlas.

Por otra parte encontramos tambin a Office.Update, que realiza la misma tarea, aunque con distinto interfaz web, que Windows Update, pero para los productos Office de Microsoft. As mismo, en el momento actual, Microsoft ha implementado el sitio Microsoft Update, que con el funcionamiento de Windows Update, comprueba, no slo las actualizaciones del sistema, sin que adems, comprobar las que necesitemos para Office(desde 2003), SQL, y Exchange Server si los tenemos instalados en nuestro equipo. As mismo podemos configurar las actualizaciones automticas para que nuestro sistema sea el encargado de conectarse a Windows Update o MS Update y compruebe la existencia de actualizaciones crticas, y segn como lo configuremos, proceda a su descarga, y/o a su descarga e instalacin. Bien, hasta aqu la parte que seguramente ya conocemos todos, pero... estamos hablando de un servidor con Windows Server 2003 y posiblemente con una red y un dominio activo funcionando, todas y cada una de las estaciones han de actualizarse va internet, cuando muchas tienen los mismos sistemas y necesitan los mismos parches? La respuesta es no. Tenemos alternativas para que nuestra red se actualice frente a nuestros servidores, mientras nosotros descargamos las actualizaciones una sola vez y con ello disminuimos la utilizacin del ancho de banda. Entre estas alternativas nos encontramos con:
y y y

SUS WSUS SMS

SUS lo podemos encontrar aqu Pero como podris comprobar el soporte a dicho producto termina en diciembre de 2006, y realmente parece evidente que su sustituto es WSUS. WSUS lo hallaremos en: wsus/default.mspx servidores/wus/default.aspx seguridad/herramientas/wsus.mspx Finalmente, SMS: aqu. En definitiva, cada uno de ellos nos dar ciertas posibilidades para la implementacin de la distribucin de actualizaciones dentro de nuestra red.

6.DHCP, WINS y DNS en Windows Server 6.1.DHCP

6.1.1. Qu es? Cul es su funcin?

En realidad DHCP es un protocolo para usar en un entorno cliente/servidor, aunque normalmente siempre hablamos ms de la parte servidor, refirindonos siempre al Servidor DHCP. Su funcin desde la parte servidor se circunscribe a facilitar automticamente datos sobre la red que de otra forma deberamos configurar manualmente en los clientes, mientras que en la parte cliente es prcticamente buscar si hay algn servidor activo y solicitarle dichos datos. En resumen llamaremos a un equipo cliente DHCP cuando est configurado para obtener su configuracin de red desde un Servidor DHCP, un cliente se comunicar con un servidor y solicitar los datos que necesita, como la IP que usar dentro de la red, la mscara correspondiente, la IP de la puerta de enlace predeterminada, las IP de los servidores DNS que consultar o en su caso de los servidores WINS, los cuales realizarn la conversin de nombres a IP, lo que se denomina resolucin; algo as como conocer la IP del equipo llamado PACO01 o en DNS www.paco.local o paco.local, etc... El rango de IP's y datos de configuracin que un servidor DHCP podr entregar a las solicitudes de los clientes DHCP se denomina normalmente mbito, ello incluye ciertas opciones que el administrador desea que los clientes obtengan tambin. Las opciones se dividen en varios subgrupos:
y y y y y

Opciones predefinidas, nos permiten definir opciones predeterminadas para todas las compatibles del servidor y crear algunas nuevas para ese servidor. Opciones de servidor, que son los valores asignados a todos los clientes y mbitos definidos en el servidor.(a menos que se omitan por mbito, clase o cliente) Opciones de mbito, aqullas que slo se aplican a clientes de un mbito especfico. Opciones de clase, podemos definir clases de opciones definidas por el usuario o fabricante, proporcionando datos a una clase especfica de clientes DHCP. Opciones reservadas de cliente, se configuran para un cliente DHCP reservado e individual.

Los equipos utilizan el protocolo DHCP para obtener una concesin inicial, renovarla y detectar servidores no autorizados.
6.1.2. Instalacin/Configuracin Servidor DHCP

Para poder configurar el servicio DHCP, primero debe instalarse en el servidor. DHCP no se instala de manera predeterminada durante la instalacin tpica de Windows Server 2003 Standard Server o Windows Server 2003 Enterprise Server. Puede instalarse DHCP durante la instalacin inicial de Windows Server 2003 o despus de que la instalacin inicial haya terminado. Para instalar el servicio: Inicio Panel de Control Windows Agregar o quitar programas Agregar o quitar componentes de

En el propio asistente, Componentes

Servicios de red

pulsamos en detalles.

Activamos(marcamos) la casilla de verificacin Protocolo de configuracin dinmica de host (DHCP) y aceptamos. Pulsaremos en siguiente y se nos pedir el CD de Windows Server 2003, la instalacin copiar los archivos necesarios; una vez completado pulsamos Finalizar.

Despus de instalar e iniciar el servicio DHCP, hemos de crear un mbito, que como hemos dicho es un intervalo de direcciones IP validas que se pueden conceder a los equipos cliente DHCP de la red. Microsoft recomienda que cada servidor DHCP del entorno tenga al menos un mbito que no se superponga con ningn otro mbito de servidor DHCP de su entorno. En Windows Server 2003, los servidores DHCP de un dominio basado en Active Directory deben estar autorizados para impedir que se pongan en conexin servidores DHCP falsos. Windows Server 2003 cierra todos los servidores DHCP no autorizados que encuentra. Para crear un mbito nuevo: Inicio Programas Herramientas Administrativas DHCP

En el rbol de consola, con clic derecho en el servidor DHCP seleccionar mbito nuevo. Nos aparece un asistente para mbito nuevo, pulsamos en siguiente y describimos el nombre y descripcin del propio mbito, y pulsamos en siguiente. Definimos el intervalo de direcciones IP que podrn concederse como parte del mbito, por ejemplo, 192.168.1.1 hasta 192.168.1.155; indicamos la mscara de subred, pulsamos siguiente. Si nos interesa especificamos las direcciones que deseamos excluir del intervalo especificado. Como las Ip de los DC, de los servidores DHCP, o de DNS; pulsamos siguiente. Configuramos el tiempo de vigencia de la concesin, es decir, una vez concedida una direccin IP a un equipo el tiempo que podr utilizarla antes de caducar y renovarla. En das, horas y minutos. Pulsaremos siguiente. Configuramos la IP de la puerta de enlace predeterminada para el uso de los clientes que obtienen una direccin del mbito; pulsamos en Agregar para aadirla y pulsamos siguiente. Si hay servidores DNS, indicaremos el dominio, pulsando en Resolver comprobaremos que el DHCP se pone en contacto con el DNS y determinar su IP. Pulsaremos en Agregar para aadirlo en la lista de DNS. Pulsamos siguiente. Si utilizamos un servidor WINS haremos lo mismo que para el DNS. Pulsamos siguiente. Para activar el mbito pulsaremos en Activar ste mbito, y as los clientes podrn obtener direcciones IP del mismo. Pulsamos siguiente. Pulsaremos finalizar En el rbol, seleccionamos el servidor y seleccionamos Autorizar en el men Accin. Si un equipo cliente no obtiene los datos (IP, etc...), es porque no ha encontrado o no ha podido contactar con un servidor autorizado de DHCP. Ello puede indicar errores en la red o que el servidor no se encuentra activo o tiene problemas. Si el servidor est activo y hay otros equipos que si obtienen los datos correctamente, habra que comprobar que el que no los obtiene no tiene problemas en su conexin de red y sus dispositivos relacionados (cables, adaptadores) funcionan correctamente. Si sucede en general y nadie obtiene los datos, puede que el problema est en el servidor, porque no est iniciado el servicio correctamente, o que el servidor no haya sido autorizado. Si ha dejado de

funcionar y hasta ese momento lo haca correctamente, lo mejor es dar un vistazo en el visor de sucesos para ver si hay alertas relacionadas. Para reiniciar el servicio DHCP: Pulsamos en Inicio y, a continuacin, en Ejecutar. Tecleamos cmd y acto seguido pulsamos ENTER. Desde la ventana de smbolo del sistema teclearemos el comando net start dhcpserver y pulsaremos ENTER, o si lo preferimos podemos pulsar en Inicio, seleccionar Panel de control, Herramientas administrativas y, despus, pulsar en Administracin de equipos. Expandimos Servicios y Aplicaciones y, luego, pulsamos en Servicios. Buscamos el Servidor DHCP y pulsamos doble clic en l. Hemos de comprobar que Inicio est en Automtico y que Estado del servicio tambin est en Iniciado. Si no es as, deberemos pulsar en Iniciar. Luego en Aceptar y, despus podemos cerrar la ventana Administracin de equipos.
6.1.3. Configurar un nuevo servidor de Protocolo de configuracin dinmica de host (DHCP) basado en Windows Server 2003 en un dominio de Active Directory de Windows Server 2003.

Instalar el servicio DHCP Podemos instalarlo durante o despus de la instalacin inicial de Windows Server, pero en este caso debe existir un servidor DNS en funcionamiento. Para instalar el servicio: Inicio Panel de Control Windows

Agregar o quitar programas

Agregar o quitar componentes de

En el propio asistente, Componentes

Servicios de red

pulsamos en detalles.

Activamos(marcamos) la casilla de verificacin "Protocolo de configuracin dinmica de host (DHCP)" y aceptamos. Pulsaremos en siguiente y se nos pedir el CD de Windows Server 2003, la instalacin copiar los archivos necesarios; una vez completado pulsamos Finalizar. Despus de instalarlo e iniciarlo debemos crear un mbito y el servidor debe estar autorizado dentro del dominio Active Directory. Cuando instalamos y configuramos el servicio DHCP en un controlador de dominio, se suele autorizar el servidor la primera vez que se agrega a la consola de DHCP. Sin embargo, si lo instalamos y configuramos en un servidor miembro o en un servidor independiente, hemos de autorizarlo expresamente. Autorizar un servidor DHCP Hemos de iniciar sesin como miembro de administradores. Inicio programas herramientas administrativas DHCP En el rbol seleccionamos el servidor, si hay una flecha roja en la parte inferior derecha del objeto, significa que no se ha autorizado. Pulsamos con el botn secundario del ratn en el servidor y, seguidamente, pulsamos Autorizar.

Despus de unos momentos, volvemos a pulsar con el botn secundario del ratn y pulsamos Actualizar. Debe aparecer una flecha de color verde en la esquina inferior derecha para indicar que se ha autorizado el servidor.

6.2.DNS
Todos los equipos que ejecutan TCP/IP deben tener una IP nica. Los equipos trabajan fcilmente con estas direcciones, pero no las personas, las cuales identifican mejor los sistemas mediante un nombre. As, tenemos que para facilitar la comunicacin, los usuarios utilizan nombres y los equipos utilizan direcciones IP, y ello de forma transparente. Existen dos espacios de nombres principales y mtodos de resolucin de los mismos utilizados en Windows Server: NetBIOS implementado por el servicio WINS (Windows Internet Naming Service) y el sistema de nombres de dominio DNS (Domain Name System). DNS es un servicio estndar del grupo IETF, que permite a los equipos cliente resolver nombres de dominio DNS, los cuales se usan para buscar y acceder a recursos en otros equipos de la red o de otras redes. Sus componentes esenciales son:
y y y

Espacio de nombres de dominio y registros de recursos (RR) asociados, no es ms que una base de datos distribuida de informacin de nombres. Servidores de nombres DNS, almacenan el espacio de nombres de dominio y RR, para responder a las consultas de los clientes DNS. Resolucin DNS, utilidad de cliente DNS para contactar con el servidor de nombres y emitir una consulta con el fin de obtener la informacin de los registros de recursos.

El espacio de nombres de dominio es jerrquico, estructurado en forma de rbol, comienza en una raz; cada dominio puede tener dominios secundarios. No hay diferencias entre minsculas ni maysculas, el dominio www.pepe.com es el mismo que WWW.PEPE.COM. Este nombre se conoce como FQDN o nombre completo de dominio. Un dominio secundario podra ser hola.pepe.com. La raz sin nombre es "." el punto, desde aqu tendramos los dominios de nivel superior y luego los de segundo nivel. Por ejemplo: com, edu, gov, int, biz, name, org,....es, uk, it..... son dominios de nivel superior. Un registro de recursos tiene la informacin de un dominio de la base de datos del DNS, cuya informacin puede ser recuperada por un cliente para su uso. Cada DNS contiene los RR del espacio de nombres para el que tiene autoridad. Windows Server utiliza varios RR, entre ellos:
Tipo de RR A CNAME Contenido Direccin del host Alias Utilizacin Guarda la IP de un equipo especfico Un alias de equipo o host

MX

Agente de intercambio Enrutamiento de mensajes a un servidor de correo. de correo Servidor de nombres Puntero Inicio de autoridad Lista de servidores autorizados para un dominio, o los DNS autorizados para cualquier subdominio delegado. Se usa para bsqueda inversa Determina el DNS principal de una Zona DNS

NS PTR SOA SRV

Localizador de servicios Proporciona capacidad de buscar el servidor que tiene un servicio especfico.

El sistema de nombres de dominio (DNS) de Windows Server ofrece resolucin de nombres, compatibilidad con Active Directory e interoperabilidad con otras tecnologas basadas en estndares. Una correcta implementacin de DNS en un infraestructura cliente/servidor permitir que los propios recursos de una red busquen otros recursos con la resolucin de nombres. DNS es el mtodo principal de resolucin en Windows Server, adems de ser un requisito obligatorio para Active Directory, aunque no a la inversa, Active Directory no es necesario para DNS. Su integracin hace que la resolucin de nombres tenga una seguridad, rendimiento y disponibilidad mejores. Para utilizar las zonas integradas, el DNS ha de ejecutarse en un controlador de dominio y exclusivamente con zonas principales. Windows
y y y

Server ha aadido nuevas caractersticas al DNS, como:

Reenvo condicional. Permite reenviar consultas DNS en funcin del nombre de dominio DNS de la consulta Zonas de rutas internas. Permiten sincronizar los servidores DNS que alojan zonas principales con los servidores DNS que tienen autoridad en sus respectivas zonas secundarias. Zonas integradas de Active Directory. Permiten almacenar datos de zona en la base de datos de Active Directory. La informacin de zona de un servidor DNS principal en una zona integrada de Active Directory siempre se replica.

Adems de utilidades como: Active Directory Sizer Calcula el hardware necesario para implementar Active Directory en funcin del perfil, la informacin de dominios y la topologa de sitios de la organizacin. Active Directory Sizer utiliza informacin del usuario y frmulas internas para calcular el nmero de:
y y y y

controladores de dominio por dominio por sitio. servidores de catalogo global por dominio por sitio. CPU por equipo y tipo de CPU. discos necesarios para el almacenamiento de datos de Active Directory.

Adems, Active Directory Sizer calcula:


y y y

la cantidad de memoria necesaria. el uso de ancho de banda en la red. el tamao de la base de datos del dominio.

y y

el tamao de la base de datos del catalogo global. el ancho de banda necesario para la replicacin entre sitios.

Netdiag Ayuda a aislar problemas de red y conectividad. Netdiag realiza una serie de pruebas que se pueden utilizar para determinar el estado del cliente de red. Dnscmd.exe Esta herramienta de lnea de comandos se puede utilizar para llevar a cabo la mayora de las tareas que se pueden realizar en el complemento MMC (Microsoft Management Console) de DNS.
Trminos importantes relacionados con DNS:
y

y y y

Servidor de nombres con autoridad. Servidor que tiene autoridad para resolver consultas DNS en una zona especificada. Los servidores de nombres con autoridad contienen un archivo de zona local con registros de recursos para los equipos de la zona. En cada zona hay como mnimo un servidor de nombres con autoridad. Reenvo condicional. Esta funcin permite especificar un nombre de dominio y una direccin IP internos que el reenviador asocia con el nombre de dominio designado en la consulta. En DNS de Windows Server 2003 se pueden agregar condiciones basadas en nombres a los reenviadores DNS para mejorar el rendimiento de la resolucin de nombres. Despus de crear una correspondencia entre el nombre de dominio designado en la consulta y el nombre de dominio especificado en la condicin, el reenviador pasa la consulta a un servidor DNS del dominio especificado. Los servidores DNS configurados para utilizar el reenvo condicional pueden llevar a cabo la resolucin de nombres sin utilizar la recursividad. Delegacin. Proceso que consiste en distribuir la responsabilidad de los nombres de dominio entre diferentes servidores DNS de la red. Para cada nombre de dominio delegado se debe crear al menos una zona. Cuantos ms dominios se deleguen, ms zonas ser necesario crear. Espacio de nombres DNS. Estructura jerrquica del rbol de nombres de dominio. Cada etiqueta que se utiliza en un nombre de dominio completo (FQDN) indica un nodo o rama del rbol del espacio de nombres de dominio. Por ejemplo, host1.contoso.com es un FQDN que representa el nodo host1, que est situado bajo el nodo Contoso, que se encuentra bajo el nodo com, que a su vez est bajo la raz de Internet. Resolucin de DNS. Servicio que se ejecuta en los equipos cliente y enva consultas a un servidor DNS. Servidor DNS. Equipo en el que se ejecuta el servicio Servidor DNS. Los servidores DNS mantienen informacin acerca de una parte de la base de datos DNS y resuelven consultas DNS. Espacio de nombres externo. Espacio de nombres pblico, como Internet, al que se puede tener acceso mediante un dispositivo conectado. Debajo de los dominios de nivel superior, la Corporacin de Internet para la asignacin de nombres y nmeros (ICANN, Internet Corporation for Assigned Names and Numbers) y otras autoridades de nomenclatura en Internet delegan dominios en organizaciones como los proveedores de servicios de Internet (ISP), que a su vez delegan subdominios en sus clientes. Nombre de dominio completo (FQDN). Nombre DNS que identifica de forma exclusiva un nodo de un espacio de nombres DNS. El FQDN de un equipo es una expresin concatenada que se compone del nombre del equipo (por ejemplo, cliente1) y el sufijo DNS principal del equipo (por ejemplo, contoso.com). Espacio de nombres interno. Espacio de nombres controlado por las organizaciones, lo que incluye el acceso al mismo. Las organizaciones pueden utilizar el espacio de nombres interno para proteger de Internet los nombres y direcciones IP de los equipos internos. Una organizacin puede tener varios espacios de nombres internos. Las organizaciones pueden crear sus propios servidores raz y los subdominios que necesiten. El espacio de nombres interno puede coexistir con un espacio de nombres externo. Servidor de nombres. Servidor DNS que responde a las solicitudes de resolucin DNS de los clientes dentro de una zona especificada y resuelve nombres completos en direcciones IP. Las zonas pueden contener servidores de nombres principales y secundarios. Servidor de nombres maestro. Servidor que tiene autoridad para la resolucin de nombres en una zona. Si un servidor maestro es un servidor de nombres principal, debe contener un archivo de zona local de registros de

y y y

recursos. Si un servidor maestro es un servidor de nombres secundario, debe obtener los registros de recursos para la zona en otro servidor de nombres maestro durante una transferencia de zona. Servidor de nombres principal. Servidor que se encarga de la resolucin de nombres para la zona en la que tiene autoridad. Los servidores de nombres principales tienen una base de datos DNS principal de registros de recursos con asignaciones de nombres de host a direcciones IP. Los registros de la base de datos DNS principal estn contenidos en un archivo de zona local. Servidor de nombres secundario. Servidor que debe obtener los registros de recursos de una zona en un servidor de nombres maestro durante una transferencia de zona. Los servidores de nombres secundarios no disponen de un archivo de zona local. Si un servidor secundario es un servidor de nombres maestro, tiene autoridad para la resolucin de nombres en una zona, pero debe obtener los registros de recursos en otro servidor de nombres maestro. Si un servidor secundario no es un servidor de nombres maestro, se puede utilizar con fines de redundancia y equilibrio de carga. Registro de recursos (RR). Estructura estndar de base de datos DNS que contiene informacin utilizada para procesar las consultas DNS. Por ejemplo, un registro de recursos de direccin (A) contiene una direccin IP correspondiente a un nombre de host. La mayora de los RR bsicos est n definidos en el documento RFC 1035, "Domain Names Implementation and Specification" (Nombres de dominio: implementacin y especificacin), pero en otros RFC se definen tipos de RR adicionales que estn aprobados para su uso en DNS. Zona de rutas internas. Copia parcial de una zona que se puede alojar en un servidor DNS y utilizar para resolver consultas recursivas o iterativas. Las zonas de rutas internas contienen los registros de recursos de inicio de autoridad (SOA) de la zona, los registros de recursos DNS en los que se enumeran los servidores con autoridad de la zona y los registros de recursos de adherencia de host (A) necesarios para contactar con los servidores que tienen autoridad en la zona. Zona. En una base de datos DNS, parte contigua del rbol DNS que un servidor DNS administra como una entidad nica independiente. La zona contiene registros de recursos para todos los nombres de la zona. Archivo de zona. Archivo formado por los registros de recursos de la base de datos DNS que definen la zona. Cada servidor de nombres principal contiene un archivo de zona. Transferencia de zona. Proceso que consiste en mover el contenido del archivo de zona ubicado en un servidor de nombres principal a un servidor de nombres secundario. La transferencia de zonas proporciona tolerancia a errores al sincronizar el archivo de zona de un servidor de nombres principal con el archivo de zona de un servidor de nombres secundario. El servidor de nombres secundario puede continuar realizando la resolucin de nombres si se produce un error en el servidor de nombres principal. La transferencia de zonas proporciona tambin equilibrio de la carga al dividir la carga de la red entre los servidores de nombres principales y secundarios durante perodos en los que tiene lugar un volumen alto de consultas de resolucin de nombres.

Agregando un DNS:

Necesitamos un servidor ejecutando Windows Server en la red. Inicio Configuracin Panel de control Agregar o quitar programas Windows Servicios de red Componentes Detalles Agregar o quitar componentes de

Activaremos la casilla correspondiente a Sistema de nombres de dominio(DNS) y pulsaremos en aceptar. Seguiremos los pasos del asistente pulsando en siguiente, se nos pedir el CD de Windows Server. El programa copiar lo necesario para el DNS y las herramientas. Cuando haya terminado la copia pulsaremos Finalizar.
Integrar DNS de Windows Server en el dominio DNS

Si el entorno ya tiene un dominio DNS y una infraestructura DNS, y Active Directory no est activado, podemos utilizar el dominio DNS existente y delegar ciertas zonas a este servidor. Utilizaremos el dominio DNS existente si, por ejemplo, el equipo est ejecutando programas que requieren bsquedas DNS no admitidas en los servidores

DNS, como bsquedas DNS de registros de servicio (SRV). Para completar el siguiente paso se tiene que haber instalado primero el servidor DNS de Windows Server. Si los servidores DNS de la organizacin no pueden efectuar bsquedas de registros SRV (y no se pueden actualizar para hacerlo), podemos integrar un servidor DNS de Windows Server directamente en la zona DNS ya existente. Para ello, delegamos ciertas zonas al servidor DNS de Windows Server. Algunos pasos adicionales necesarios son la creacin de nuevas zonas en el servidor DNS de Windows Server para determinadas zonas de los otros servidores DNS y la habilitacin de la actualizacin dinmica en las zonas nuevas.
Utilizar el Asistente para configurar servidor DNS con el fin de delegar zonas al servidor DNS

Pulsamos en Inicio, seleccionamos Programas, pulsamos en Herramientas administrativas y, luego, en DNS. Pulsamos en el objeto Servidor DNS correspondiente a nuestro servidor en el panel izquierdo de la consola y, despus, expandimos el objeto servidor para expandir el rbol. Pulsamos con el botn secundario del mouse (ratn) en el objeto servidor y pulsaremos en Configurar un servidor DNS para iniciar el Asistente para configurar servidor DNS. Siguiente. Pulsamos en Crear una zona de bsqueda directa (recomendado para redes pequeas) y, luego, Siguiente. Pulsaremos en Un proveedor de servicios de Internet (ISP) administra la zona y una copia secundaria de slo lectura reside en este servidor. En el cuadro de dilogo Nombre de zona, escribimos el nombre de la zona (por ejemplo, microsoft.com o nuevaZona.microsoft.com). En el cuadro de dilogo Servidores maestros DNS, escribiremos la direccin IP de un servidor DNS conocido. Pulsamos en Siguiente. Pulsaremos en No, no reenviar consultas y, luego, en Siguiente. Pulsamos en Finalizar para guardar la nueva configuracin y configurar el servidor DNS.

Como este servidor DNS slo ser responsable de atender a zonas que admiten registros SRV y actualizaciones dinmicas, se deben delegar en l algunas zonas de los otros servidores DNS. Entre stas se encuentran:
y y y y

_tcp.Nombre de dominio DNS (por ejemplo: _tcp.micompaa.com) _udp.Nombre de dominio DNS (por ejemplo: _udp.micompaa.com) _msdcs.Nombre de dominio DNS (por ejemplo: _msdcs.micompaa.com) _sites.Nombre de dominio de directorio DNS (por ejemplo: _sites.micompaa.com)

Tenemos que repetir las dos secciones siguientes para cada zona que creemos. Una vez delegadas las zonas en el servidor DNS, creamos una zona para cada una de las zonas anteriores en el servidor DNS de Windows Server.
Crear una zona nueva para las zonas del servidor DNS de Windows Server

Pulsamos en Inicio, seleccionamos Programas, Herramientas administrativas y, luego, pulsamos en DNS.

Pulsamos en el objeto Servidor DNS correspondiente a nuestro servidor en el panel izquierdo de la consola y, despus, expandimos el objeto servidor para expandir el rbol. Pulsamos con el botn secundario del mouse en Zonas de bsqueda directa y, despus, pulsamos en Zona Nueva. Siguiente. Pulsamos en Zona principal para crear una copia maestra de la nueva zona. Pulsamos en Siguiente. Escribimos el nombre de la nueva zona (por ejemplo, _tcp.micompaa.com) y, luego, pulsamos en Siguiente. Pulsamos en Aceptar para aceptar el nombre de archivo predeterminado para el nuevo archivo de zona y, despus, en Siguiente. Pulsaremos en Permitir actualizaciones dinmicas y, a continuacin, en Siguiente. Pulsamos en Finalizar.
Activar las actualizaciones dinmicas en la zona nueva

En la consola de administracin DNS, pulsamos en el objeto Servidor DNS correspondiente a nuestro servidor en el panel izquierdo de la consola y, despus, expandimos el objeto servidor para expandir el rbol. Pulsamos con el botn secundario del mouse en el objeto servidor y, a continuacin, en Propiedades. En la pestaa General, pulsamos en el cuadro desplegable Permitir actualizaciones dinmicas y, despus, en S. Finalmente pulsamos en Aceptar. Repetiremos los pasos de Crear una zona nueva para las zonas del servidor DNS de Windows Server y, luego, los pasos de Activar las actualizaciones dinmicas en la zona nueva por cada zona creada en el servidor DNS de Windows Server.
Opciones para configurar sugerencias de raz o reenviadores si no estn disponibles

Si no se detecta ningn servidor DNS durante la configuracin inicial de DNS de Windows Server, normalmente el sistema designar al nuevo servidor DNS como "servidor raz", que es la mxima autoridad para todas las actividades de resolucin de nombres. Por tanto, el nuevo servidor DNS no puede reenviar a otro servidor ni a los servidores raz de Internet las consultas de resolucin de nombres que no pueda resolver. Como resultado, un servidor DNS de Windows Server que se haya configurado como servidor raz desactiva las opciones para agregar reenviadores automticamente. Si ms adelante decide que este servidor DNS debe integrarse en un entorno DNS mayor como Internet, se tendr que quitar la zona "raz" de bsqueda directa. Para quitar la zona raz de bsqueda directa:
y y y y y

Pulsamos en Inicio, seleccionamos Programas, Herramientas administrativas y, luego, pulsamos en DNS. Pulsamos en el objeto Servidor DNS correspondiente a nuestro servidor en el panel izquierdo de la consola y, despus, lo expandimos para expandir el rbol. Pulsamos en Zonas de bsqueda directa para expandirlo. Seleccionamos la zona marcada con un punto y presionamos SUPR. Pulsamos en Aceptar para confirmar que deseamos eliminar la zona.

6.3.WINS
WINS proporciona resolucin de nombres NetBIOS en direcciones de protocolo de Internet (IP) para una red Windows. Los clientes de una red habilitada para WINS pueden registrar, actualizar y quitar de forma dinmica sus nombres de una base de datos mantenida por WINS. Un administrador tambin puede asignar entradas estticas en una base de datos WINS para equipos que ejecuten sistemas operativos distintos de Windows y proporcionar redundancia mediante la replicacin de la base de datos WINS entre ms de un servidor WINS de la red. En el caso de las direcciones que estn fuera de la red, se puede habilitar el servidor WINS de forma que haga referencia a un archivo LMHosts configurado estticamente. El procedimiento que se utiliza para instalar WINS incluye dos pasos. En el primer paso se configuran los valores TCP/IP estticos para el servidor y, en el segundo paso, se instala WINS. Antes de comenzar la instalacin, recopilamos la informacin siguiente:
y y y y y

Una direccin IP esttica para el servidor WINS. Si el servidor reside en una red basada en el Protocolo de configuracin dinmica de host (DHCP), tiene que excluir la direccin IP del mbito DHCP. (Configuracin del DHCP) La mscara de subred. La direccin IP de la puerta de enlace predeterminada (enrutador). La direccin IP del servidor DNS preferido. La direccin IP del servidor DNS alternativo, si corresponde.

Configurar el direccionamiento TCP/IP esttico

NOTA: las direcciones IP que aparecen se utilizan para redes internas y no funcionan en Internet, sirven de ejemplo. Si no hay servidor DNS alternativo, dejamos en blanco el cuadro Servidor DNS alternativo. Si la red slo cuenta con una subred, dejamos en blanco el cuadro Puerta de enlace predeterminada. Para configurar el direccionamiento TCP/IP esttico en el equipo servidor WINS:
y y y y y y y

Pulsamos en Inicio, seleccionamos Panel de control, Conexiones de red y, a continuacin, pulsamos con el botn secundario del mouse (ratn) en Conexin de rea local. Pulsamos en Propiedades del men contextual. (clic derecho en la conexin de rea local) Pulsamos en Protocolo Internet (TCP/IP) y, luego, en Propiedades. Pulsamos en Usar la siguiente direccin IP. En el cuadro Direccin IP, escribimos la direccin IP que usar, por ejemplo, 172.16.32.11. En el cuadro Mscara de subred, escribimos la mscara de subred correspondiente de la red, por ejemplo, 255.255.255.0. En el cuadro Puerta de enlace predeterminada, escribimos la IP del enrutador correspondiente, por ejemplo, 172.16.32.1.

Para establecer la configuracin DNS del servidor WINS:


y y y y y y

Pulsamos en Usar las siguientes direcciones de servidor DNS. En el cuadro Servidor DNS preferido, escribimos la IP del servidor DNS, por ejemplo, 172.16.4.11. En el cuadro Servidor DNS alternativo, escribimos la IP de un servidor DNS alternativo si hay alguno disponible, por ejemplo, 172.16.8.11. Pulsamos en Avanzadas, pestaa WINS y, luego, en Agregar. Escribimos la misma IP que asignamos al servidor. En el ejemplo, escribiramos 172.16.32.11. Pulsamos en Agregar. Cerramos el cuadro de dilogo Servidor WINS TCP/IP y, luego, pulsaremos dos veces en Aceptar.

Instalar WINS

NOTA: Hemos de iniciar sesin como administrador local.

y y y y y

Pulsamos en Inicio, seleccionamos Panel de control, pulsamos en Agregar o quitar programas y, luego, pulsamos en Agregar o quitar componentes de Windows. Cuando se inicie el Asistente para componentes de Windows, pulsamos en Servicios de red (sin activar la casilla de verificacin) y, luego, pulsamos en Detalles. En el cuadro de dilogo Servicios de red, activamos la casilla de verificacin Servicio WINS y, luego, pulsamos en Aceptar. Siguiente y seguimos las instrucciones que nos aparecen en pantalla para completar la instalacin. Pulsamos en Finalizar, cerramos el cuadro de dilogo Agregar o quitar programas y, luego, cerramos el Panel de control.

NOTA: para asegurar la disponibilidad, podemos agregar ms servidores WINS a la red y configurarlos como asociados de replicacin. Hay informacin si buscamos "Replicacin de WINS" en la Ayuda de Windows.

7: IIS- Servicios Web, ftp, nntp, smtp. Servicio Pop.


7.1. Instalacin IIS 6.0
Internet Information Server (IIS) es el servicio web que lleva Windows Server 2003, y para proceder a su instalacin o aadir/quitar componentes, hemos de ir a Panel de control y utilizar el asistente de Agregar o quitar programas.

De la lista que se nos mostrar nos interesa "Servidor de aplicaciones Web" y luego pulsamos el botn detalles:

y despus Instalar Internet Information Services (IIS)

Volvemos a pulsar en Detalles para ver la lista de componentes opcionales, que por defecto son:
y y y y

Archivos comunes Extensiones de servidor de FrontPage 2002 Complemento de Servicios de Internet Information Server Administrador de Servicios de Internet Information Server

y y y

Servicio NNTP Servicio SMTP Servicio World Wide Web

El servicio NNTP es para tener un servidor de Noticias y el SMTP es necesario (junto al servicio POP3 que no se halla aqu) para realizar tareas de servidor de correo. Seleccionando Servicio World Wide Web y pulsando en "Detalles" vemos la lista de subcomponentes opcionales, por defecto est seleccionado el Servicio World Wide Web solamente. Pulsamos en Aceptar cuando hayamos elegido los que deseamos y el foco retrocede al asistente de componentes de windows. Pulsamos en siguiente y, seguidamente en finalizar, lo que terminar el asistente.

7.2. Configurar web


Como configurar autenticacin annima:
y

Pulsar "Inicio", seleccionamos Herramientas Administrativas y despus pulsamos en Administrador de Internet Information Server(IIS)

Expandimos la rama que corresponde al nombre del servidor que vamos a configurar, pulsamos el botn derecho sobre Sitios Web, y seguidamente pulsamos propiedades.

y y y

En el cuadro de dilogo Propiedades de sitios Web, pulsamos en la pestaa Seguridad de directorios. En Autenticacin y control de acceso, pulsamos Modificar. Activamos la casilla de verificacin "Habilitar acceso annimo"

NOTA: la cuenta de usuario mostrada en el cuadro Nombre de usuario se emplea nicamente para el acceso annimo, a travs de la cuenta Invitado de Windows. De forma predeterminada, el servidor crea y utiliza la cuenta IUSR_nombreDeEquipo. La contrasea de la cuenta de usuario annimo slo se utiliza en Windows; los usuarios annimos no inician sesin con nombre de usuario y contrasea.
y

En acceso autenticado, activamos la casilla de verificacin "Autenticacin de Windows integrada" y seguidamente pulsamos en Aceptar dos veces.

Configuracin bsica del sitio web:


y

Pulsamos en Inicio, seleccionamos Herramientas Administrativas y, seguidamente, pulsamos en Servicios de Internet Information Server (IIS)

Expandimos el nombre del servidor que vamos a configurar, luego, expandimos Sitio Web predeterminado, y pulsamos en Propiedades.

y y

Pulsamos en la pestaa Sitio Web. Si hay varias direcciones IP asignadas al equipo, en el cuadro Direccin IP seleccionamos la que deseamos asignar al sitio. Pulsamos en la ficha Rendimiento. Aqu lo utilizamos para establecer las propiedades relativas a memoria, uso del ancho de banda y nmero de conexiones web.

Al configurar el ancho de banda de red de un sitio determinado, puede controlarse mejor la cantidad de trfico que atraviesa el sitio. Si restringimos el ancho de banda en un sitio web de baja prioridad, permitimos aumentar el acceso a otros sitios. De forma similar, cuando se especifican el nmero de conexiones se liberan recursos para otros sitios. La configuracin siempre es especfica para el sitio y debe ajustarse a medida que el trfico de red y el uso cambien.
y y

Active la casilla de verificacin Limitar el ancho de banda de red total disponible para este sitio web para configurar IIS de forma que regule el ancho de banda, en kilobytes por segundo (KB/S) Active la casilla de verificacin Conexiones de sitio Web para seleccionar un nmero especfico o ilimitado de conexiones a servicios web.

Nota: cada cliente que explora un sitio Web suele utilizar tres conexiones.
y

Pulsamos en la pestaa Directorio Particular Aqu decidimos si usar el contenido web almacenado en local, pulsando en Un directorio de este equipo y escribiendo la ruta de acceso en Ruta de acceso local.

Nota: Para ms seguridad, no deben crearse carpetas de contenido Web en la Raz. Si deseamos utilizar el contenido almacenado en otro equipo, pulsamos Un recurso compartido de otro equipo y escribimos la ubicacin en Directorio de red.

Si lo que queremos es utilizar el contenido almacenado en otra direccin web, pulsaremos en Una redireccin a una direccin URL y escribimos la ubicacin en el cuadro Redirigir a. En El cliente se enviar a, activamos la casilla de verificacin adecuada.

Pulsamos en la pestaa Documentos. Aqu figuran los documentos que IIS utilizar como inicio predeterminados. Si deseamos otro, debemos agregarlo. Y luego pulsamos en Aceptar para cerrar el cuadro. Propiedades de sitio Web predeterminado.

Pulsamos con el botn secundario del ratn en Sitio Web predeterminado y, a continuacin, pulsamos en Permisos.

Aqu aparecen las cuentas de usuario con permisos en este sitio. Si queremos otras, hemos de agregarlas.
y y

Pulsamos en Aceptar para volver a la ventana de servicios de Internet Information Server. Detendremos y reiniciaremos el servicio sitio web predeterminado.

De esta forma, el servidor est configurado para aceptar las solicitudes Web de entrada al sitio Web predeterminado. Puede sustituir el contenido del sitio Web predeterminado por el contenido Web que desee o puede crear un sitio Web nuevo.

7.3. Configurar ftp

FTP depende de los servicios de IIS, por tanto si no est instalado debemos proceder a instalar IIS, para hacerlo junto al FTP: 1. Inicio, panel de control, Agregar o quitar programas 2. Agregar o quitar componentes de Windows 3. Componentes, Servidor de aplicaciones, Instalar Servicios de Internet Information Server (IIS) (no activar ni desactivar la casilla de verificacin), pulsamos en Detalles. 4. Activamos las casillas, si no lo estn, de: o Archivos comunes o Servicio de Protocolo de transferencia de archivos (FTP) o Administrador de servicios de Internet Information Server 5. Activaremos las casillas de verificacin situadas junto a otros servicios o subcomponentes relacionados con IIS que deseemos instalar y luego pulsamos Aceptar hasta volver a asistente para componentes de Windows. 6. Pulsaremos siguiente, cuando se pida, insertaremos el CD de Windows Server en la unidad de CD o DVD, o especificaremos una ruta de acceso si est en una unidad de red. Luego pulsamos Aceptar. 7. Pulsamos en finalizar, tendremos IIS y FTP instalados.

Configurar el servidor FTP Para configurar el servicio FTP para conexiones annimas: 1. 2. 3. 4. 5. Accedemos al Administrador de servicios de Internet Information Server o abrimos el complemento de IIS. Expandimos el servidor. Expandimos Sitios FTP. Pulsando con el botn derecho del ratn en Sitio FTP predeterminado, seleccionamos Propiedades. Accedemos a la pestaa Cuentas de seguridad.

6. Activamos la casilla de verificacin Permitir slo conexiones annimas si no est activada. As configuramos el FTP para que permita nicamente conexiones annimas. Los usuarios no pueden iniciar sesin con su nombre de usuario y contrasea.

7. Pulsamos en la pestaa Directorio Particular 8. Activamos las casillas de verificacin Lectura y Registrar visitas (si no lo estn), y desactivamos la casilla de verificacin Escritura (si est activada). 9. Pulsamos Aceptar

7.4. Configurar smtp


SMTP depende de los servicios de IIS, por tanto si no est instalado debemos proceder a instalar IIS, para hacerlo junto al SMTP:
y y y y y

y y

Inicio, panel de control, Agregar o quitar programas Agregar o quitar componentes de Windows Componentes, Servidor de aplicaciones, Instalar Servicios de Internet Information Server (IIS) (no activar ni desactivar la casilla de verificacin), pulsamos en Detalles. Activamos las casillas, si no lo estn, de: o Servicio de SMTP Activaremos las casillas de verificacin situadas junto a otros servicios o subcomponentes relacionados con IIS que deseemos instalar y luego pulsamos Aceptar hasta volver a asistente para componentes de Windows. Pulsaremos siguiente, cuando se pida, insertaremos el CD de Windows Server en la unidad de CD o DVD, o especificaremos una ruta de acceso si est en una unidad de red. Luego pulsamos Aceptar. Pulsamos en finalizar, tendremos IIS y SMTP instalados

Configurar un servidor SMTP de IIS independiente para retransmitir a un dominio remoto.


y y y y

Iniciamos el Administrador de servicios de Internet Information Server o abrimos el complemento IIS. Expandimos el servidor, luego expandimos el Servidor virtual SMTP predeterminado. Con el botn secundario en Dominios seleccionamos Nuevo y luego Dominio. Pulsamos en Remoto y despus siguiente

Escribimos el nombre del nuevo dominio en Nombre. Podemos especificar un nico dominio o utilizar el comodn (*) al principio o separado por un punto del resto de nombre para especificar ms de uno. Pulsamos en finalizar

y y y

En el panel derecho, pulsamos con el botn secundario del ratn en el nuevo dominio remoto y seleccionamos propiedades. Pulsamos la pestaa General. En Seleccione la configuracin adecuada para el dominio remoto, active la casilla de verificacin Permitir que el correo entrante se retransmita a este dominio con objeto de permitir que el servidor SMTP acte como servidor de retransmisin de correo. En Dominio de enrutamiento, haga clic en Reenviar todo el correo al host inteligente y, a continuacin, escriba la direccin IP o el nombre de dominio completo (FQDN) del servidor de correo corporativo de la red interna. Si utiliza una direccin IP, asegrese de escribirla entre corchetes "[ ]". Por ejemplo, [nnn.nnn.nnn.nnn]. Y pulsamos Aceptar.

Detenemos y reiniciamos el servidor virtual SMTP. (pulsamos con el botn secundario del ratn en el Servidor Virtual SMTP Predeterminado y luego detener, luego con la misma operacin pulsamos en Iniciar.

Configurar permisos de operador Se pueden establecer las cuentas de usuario que tendrn permisos de operador para el servidor virtual SMTP. Despus de configurar las cuentas de usuario de Windows, podemos dar o quitar permisos si agregamos o quitamos usuarios de la lista Operadores. Asignando permisos de operador:
y y y y y y

Iniciamos el Administrador de servicios de IIS o el complemento de IIS. Expandimos el servidor Con el botn secundario sobre el servidor virtual accedemos a propiedades Pulsamos en la pestaa Seguridad y luego en agregar Seleccionamos la cuenta de usuario que deseamos agregar y pulsamos Agregar y luego Aceptar. La cuenta aparece en la lista Operadores. Pulsamos Aceptar y salimos del Administrador de IIS o cerramos el complemento de IIS.

Para quitar los permisos de operador: Se trata de quitar la cuenta de la lista de Operadores.
y y y y y y

Iniciamos el Administrador de IIS o abrimos el complemento IIS. Expandimos el servidor Con el botn secundario sobre el servidor virtual SMTP accedemos a propiedades. Pulsamos la pestaa Seguridad En la lista de Operadores elegimos la cuenta a quitar y pulsamos quitar, luego Aceptar. Salimos del Administrador de IIS o cerramos el complemento IIS.

Autenticacin de las conexiones entrantes Tenemos tres mtodos posibles, podemos seleccionar y utilizar, uno, dos o tres. Acceso annimo: No se requiere ningn nombre de cuenta o contrasea. Lo cual significa que se carece de autenticacin. (No recomendable) o Autenticacin bsica: El usuario y la contrasea se envan como texto y no cifrado. El dominio debe anexarse al nombre de cuenta para autentificarse. E.g. dominio pepe.es, cuenta juan, debe configurarse como juan@pepe.es o Autenticacin de Windows integrada: se autentican el nombre y contrasea de la cuenta de Windows. Iniciamos el Administrador de IIS o abrimos el complemento de IIS Expandimos el servidor Con el botn secundario sobre el servidor virtual SMTP accedemos a propiedades. Pulsamos en la pestaa Acceso, luego en Control de Acceso y pulsamos en Autenticacin
y o

y y y y

y y y y y

Para acceso annimo: activaremos Acceso annimo y desactivamos las dos restantes. Para texto sin cifrar: activamos Autenticacin bsica, pulsando adems S en el mensaje posterior y definimos un dominio de windows en el cuadro Dominio predeterminado. Desactivaremos las otras dos. Para utilizar autenticacin de Windows integrada: Activamos la casilla de Autenticacin de Windows integrada y desactivamos las restantes. Pulsaremos en Aceptar las veces necesarias dependiendo de la autenticacin elegida. Salimos del Administrador o cerramos el complemento.

Autenticacin de los mensajes salientes Se dispone de los tres mtodos descritos para los mensajes entrantes. Podemos cambiar la opcin establecida para un dominio especfico. Es decir, el nivel de autenticacin tratar la mayor parte de transmisiones y permitir excepciones para direcciones individuales. Por ejemplo:
y

Si los mensajes se envan a varias direcciones, deshabilitamos la autenticacin. Si los intentos de entregar los mensajes a una direccin no tienen xito por los requisitos de autenticacin, agregue un dominio remoto para la direccin y seguidamente habilitamos la autenticacin para el dominio en el nivel requerido. Si los mensajes se envan a una direccin que requiere autenticacin, se determina el nivel requerido para conectarse y, seguidamente, se habilita el servidor con el mismo nivel. Si se desea adems enviar a otras direcciones, se configuran dominios remotos y se establecen las opciones de autenticacin.

Autenticacin bsica
y y y y y y y

Iniciamos el Administrador de IIS o abrimos el complemento IIS. Expandimos el servidor Con el botn secundario del ratn sobre el servidor virtual accedemos a propiedades. Pulsamos en la pestaa Entrega y luego en Seguridad saliente Pulsamos en Autenticacin bsica y escribimos el nombre y contrasea de la cuenta en los cuadros correspondientes. Pulsamos en Aceptar dos veces Salimos del Administrador de IIS o cerramos el complemento de IIS

Autenticacin de Windows Integrada Se requiere un nombre de cuenta y contrasea de Windows.


y y y y y y y y

Iniciamos el Administrador de IIS o abrimos el complemento de IIS Expandimos el servidor Con el botn secundario del ratn sobre el servidor virtual accedemos a propiedades. Pulsamos en la pestaa Entrega y luego en Seguridad saliente. Pulsamos en Autenticacin de Windows integrada Escribimos el nombre de la cuenta y contrasea de windows en los cuadros. Pulsamos Aceptar dos veces Salimos del Administrador o cerramos el complemento.

Deshabilitar la autenticacin
y y y y y y y

Iniciamos el Administrador de IIS o abrimos el complemento de IIS Expandimos el servidor Con el botn secundario del ratn sobre el servidor virtual accedemos a propiedades Pulsamos en la pestaa Entrega y luego en Seguridad saliente Pulsamos en Acceso annimo Pulsamos dos veces en Aceptar Salimos del Administrador o cerramos el complemento.

Restringiendo el acceso a direcciones IP Podemos permitir o denegar el acceso al servidor virtual SMTP a una lista de direcciones IP. Por defecto todas las IP tienen acceso. Para establecer restricciones podemos especificar una direccin IP, un grupo de direcciones con una mscara de subred o un nombre de dominio. Para hacerlo:
y y y y y y y y

Iniciamos el Administrador de IIS o abrimos el complemento de IIS Expandimos el servidor Con el botn secundario del ratn sobre el servidor virtual accedemos a propiedades Pulsamos en la pestaa Acceso, luego en Control de conexin pulsamos en Conexin Elegimos Slo la lista siguiente o en Todos excepto la lista siguiente Pulsamos agregar y especificamos el equipo, grupo de equipos o dominio y luego pulsamos Aceptar Para quitarlos seleccionamos el elemento o elementos y pulsamos en quitar, luego en Aceptar Pulsamos Aceptar y salimos del Administrador de IIS o cerramos el complemento de IIS.

Configurar las restricciones de retransmisin Por defecto, se impide que los equipos retransmitan correo no deseado. A excepcin de los que cumplen los requisitos de autenticacin configurados, el acceso est bloqueado para todos. Si el servidor virtual est en Internet, es recomendable no permitir la retransmisin. As evitamos la propagacin de correo no deseado.
y y y y y y

Iniciamos el Administrador de IIS o abrimos el complemento IIS Expandimos el servidor Con el botn secundario del ratn sobre el servidor virtual accedemos a propiedades Pulsamos en la pestaa Acceso y luego en Restricciones de retransmisin en Retransmitir. Seleccionamos Slo los de la lista siguiente o en Todos excepto la lista siguiente Pulsando en agregar podemos agregar excepciones a la opcin elegida.

Pulsamos en Aceptar y salimos del Administrador o cerramos el complemento.

10. Salimos del Administrador de servicios de Internet Information Server o cerramos el complemento IIS. Ahora, el servidor FTP est configurado para aceptar las solicitudes de FTP entrantes. Copia o mueve a la carpeta de publicacin de FTP los archivos para los que desees que est disponible el acceso. La carpeta predeterminada es unidad:\Inetpub\Ftproot, donde unidad es la unidad en la que est instalado IIS.

Expandimos la rama que corresponde al nombre del servidor que vamos a configurar, pulsamos el botn derecho sobre Sitios Web, y seguidamente pulsamos propiedades.

y y y

En el cuadro de dilogo Propiedades de sitios Web, pulsamos en la pestaa Seguridad de directorios. En Autenticacin y control de acceso, pulsamos Modificar. Activamos la casilla de verificacin "Habilitar acceso annimo"

NOTA: la cuenta de usuario mostrada en el cuadro Nombre de usuario se emplea nicamente para el acceso annimo, a travs de la cuenta Invitado de Windows. De forma predeterminada, el servidor crea y utiliza la cuenta IUSR_nombreDeEquipo. La contrasea de la cuenta de usuario annimo slo se utiliza en Windows; los usuarios annimos no inician sesin con nombre de usuario y contrasea.
y

En acceso autenticado, activamos la casilla de verificacin "Autenticacin de Windows integrada" y seguidamente pulsamos en Aceptar dos veces.

Configuracin bsica del sitio web:


y

Pulsamos en Inicio, seleccionamos Herramientas Administrativas y, seguidamente, pulsamos en Servicios de Internet Information Server (IIS)

Expandimos el nombre del servidor que vamos a configurar, luego, expandimos Sitio Web predeterminado, y pulsamos en Propiedades.

y y

Pulsamos en la pestaa Sitio Web. Si hay varias direcciones IP asignadas al equipo, en el cuadro Direccin IP seleccionamos la que deseamos asignar al sitio. Pulsamos en la ficha Rendimiento. Aqu lo utilizamos para establecer las propiedades relativas a memoria, uso del ancho de banda y nmero de conexiones web.

Al configurar el ancho de banda de red de un sitio determinado, puede controlarse mejor la cantidad de trfico que atraviesa el sitio. Si restringimos el ancho de banda en un sitio web de baja prioridad, permitimos aumentar el acceso a otros sitios. De forma similar, cuando se especifican el nmero de conexiones se liberan recursos para otros sitios. La configuracin siempre es especfica para el sitio y debe ajustarse a medida que el trfico de red y el uso cambien.
y y

Active la casilla de verificacin Limitar el ancho de banda de red total disponible para este sitio web para configurar IIS de forma que regule el ancho de banda, en kilobytes por segundo (KB/S) Active la casilla de verificacin Conexiones de sitio Web para seleccionar un nmero especfico o ilimitado de conexiones a servicios web.

Nota: cada cliente que explora un sitio Web suele utilizar tres conexiones.
y

Pulsamos en la pestaa Directorio Particular Aqu decidimos si usar el contenido web almacenado en local, pulsando en Un directorio de este equipo y escribiendo la ruta de acceso en Ruta de acceso local.

Nota: Para ms seguridad, no deben crearse carpetas de contenido Web en la Raz. Si deseamos utilizar el contenido almacenado en otro equipo, pulsamos Un recurso compartido de otro equipo y escribimos la ubicacin en Directorio de red.

Si lo que queremos es utilizar el contenido almacenado en otra direccin web, pulsaremos en Una redireccin a una direccin URL y escribimos la ubicacin en el cuadro Redirigir a. En El cliente se enviar a, activamos la casilla de verificacin adecuada.

Pulsamos en la pestaa Documentos. Aqu figuran los documentos que IIS utilizar como inicio predeterminados. Si deseamos otro, debemos agregarlo. Y luego pulsamos en Aceptar para cerrar el cuadro. Propiedades de sitio Web predeterminado.

Pulsamos con el botn secundario del ratn en Sitio Web predeterminado y, a continuacin, pulsamos en Permisos.

Aqu aparecen las cuentas de usuario con permisos en este sitio. Si queremos otras, hemos de agregarlas.
y y

Pulsamos en Aceptar para volver a la ventana de servicios de Internet Information Server. Detendremos y reiniciaremos el servicio sitio web predeterminado.

De esta forma, el servidor est configurado para aceptar las solicitudes Web de entrada al sitio Web predeterminado. Puede sustituir el contenido del sitio Web predeterminado por el contenido Web que desee o puede crear un sitio Web nuevo.

7.5 Configurar nntp


NNTP es otro de los servicios que lleva IIS. Se instala como el resto de componentes de IIS:

Al finalizar el proceso de instalacin se habr aadido al Administrador de IIS el nodo de Servidor virtual NNTP predeterminado.

Pero podemos crear uno nuevo si lo deseamos: Para crear un servidor virtual NNTP:
y y y y

Inicio, programas, herramientas administrativas, Administrador IIS En el servidor adecuado, seleccionamos nuevo del men Accin y elegimos Servidor Virtual NNTP Se inicia un asistente, escribimos la descripcin del nuevo servidor virtual y pulsamos siguiente. Luego se especifica la direccin IP que prestar el servicio y el nmero de puerto, pulsamos siguiente.

En la ruta de acceso se especifica la ruta a los archivos internos, y pulsamos siguiente.

y y y

Luego elegimos el medio local o remoto, de almacenamiento y pulsamos siguiente. Despus escribimos la ruta al almacn de contenido de noticias y pulsamos siguiente. Pulsamos finalizar

El mtodo de autenticacin: Para especificar un mtodo de autenticacin:


y y y y

Inicio, programas, herramientas administrativas, Administracin de IIS. Con el botn derecho del ratn sobre el servidor virtual NNTP, accedemos a propiedades. Luego pulsamos en la pestaa Acceso. En Control de Acceso, pulsamos Autenticacin. Seleccionamos una o ms de las casillas de verificacin y pulsaremos Aceptar. Las opciones son: o Permitir annimos o Autenticacin bsica o Paquete de seguridad Windows o Administrado por IIS o Activar autenticacin de cliente SSL Pulsamos aceptar y regresamos al administrador de IIS.

Configuracin de parmetros de un directorio virtual: Un directorio virtual es una carpeta en local o remoto que almacenar el contenido de los grupos de noticias (newsgroups).
y y

En el Administrador de IIS, expandimos el NNTP que queremos, pulsamos en Directorios Virtuales. En el panel de grupos de noticias, con el botn secundario sobre el directorio elegido elegimos propiedades.

y y

Bajo las propiedades del directorio virtual, pulsamos en contenidos. En el cuadro de dilogo especificaremos el lugar de almacenamiento para los contenidos del directorio y pulsaremos aceptar. Aceptar

Para crear grupos de noticias:


y y y

Iniciamos el Administrador de IIS y expandimos el servidor virtual NNTP y vemos el nodo de Grupos de noticias. Con el botn secundario del ratn en Grupos de noticias seleccionamos nuevo y pulsamos en Grupo de noticias. Seguimos el asistente que aparece, escribimos el nombre, descripcin y si queremos un nombre descriptivo.

Pulsamos en finalizar.

Instalacin/configuracin servicio POP


Notas: El protocolo SMTP define de qu forma se comunican cliente y servidor para habilitar el envo de mensajes, por otra parte POP3 define lo necesario para que una vez recibidos los mensajes en el servidor, el cliente pueda descargarlos a su ordenador. Hasta Windows Server 2003 los sistemas de servidor de MS no incorporaban un servidor POP, ahora ya disponemos de la posibilidad de poner en marcha nuestro propio servicio de e-mail al estar incluido en este S.O. Necesitamos tener registrado un dominio. Instalando lo necesario Si contamos con una mquina con Windows Server 2003 conectada permanentemente a internet, con una IP fija, y que no pertenece a un dominio de Active Directory: Como siempre acudimos al icono de agregar o quitar programas del Panel de control, agregar o quitar componentes de Windows, Servicios de correo electrnico.

Recordemos que necesitamos tener instalado el Servidor SMTP (que est en las opciones de IIS para tener un servidor de correo). Ahora vamos a seguir configurando el servidor de correo, para configurar el servicio POP abrimos herramientas administrativas y pulsamos en Servicio POP o en Administre su servidor y buscar servidor de correo(POP, SMTP) tenemos un enlace a administrar este servidor; ambos abren la mmc del Servicio POP.

Como podremos leer se nos insta a comprobar el modo de autenticacin antes de crear un dominio. Tenemos tres opciones:
y y y

Cuentas locales Windows (Local Windows accounts) Integracin con Active Directory Archivo de contrasea cifrada

El primer mtodo nos servira si nuestro servidor de correo no es un servidor miembro en un entorno de Active Directory, o si lo es, queremos que las cuentas de usuario se almacenen en el servicio POP3 donde est instalado. El segundo si nuestro servidor de correo es en un controlador de dominio, o es un servidor miembro y queremos que las cuentas se almacenen en Active Directory. El tercero (el que usaremos en la configuracin) nos servir por si no queremos usar active directory o no queremos tener cuentas de usuario en la mquina local. Dependiendo de la configuracin del servidor estarn disponibles unos u otros mtodos:
y y y

Si el ordenador donde el servicio POP3 se est ejecutando es un servidor miembro en un dominio Active Directory, los tres mtodos estn disponibles. Si se est ejecutando en un controlador de dominio, los mtodos disponibles son Integrado en Active Directory y archivo de contrasea cifrada. En cualquier otro caso, Cuentas locales de windows y archivo de contrasea cifrada son los que estarn disponibles.

Clic derecho en el servidor y Propiedades, escogemos el mtodo de autenticacin Archivo de contrasea cifrada y pulsamos en Aceptar. As tendremos los buzones de correo sin que deban corresponder con usuarios de Windows y con ello podremos crear libremente los que queramos.

Despus ya creamos el dominio en el servicio POP, teniendo en cuenta que es el nombre del dominio que tengamos registrado en Internet.

Luego ya podemos crear buzones:

Aunque hay un apartado para el SMTP, veamos como configuraremos ste con los datos que hemos puesto en el POP. Para llegar al servidor de envo (SMTP) abriremos el administrador de Internet Information Services (IIS) desde inicio Herramientas administrativas. En el apartado correspondiente a nuestro servidor (WWP) seleccionamos Servidor virtual SMTP predeterminado y lo expandimos, clic derecho sobre dominios, Nuevo.... Dominio, indicamos el tipo de dominio como Alias y ponemos el nombre, pulsamos finalizar. Ya tenemos el nuevo dominio en la lista de dominios que gestiona este servidor SMTP.

Ahora hemos de modificar la seguridad para permitir el envo de correo. Hemos de asegurarnos que no pueda utilizarse nuestro servidor de correo de forma discriminada por alguien para envo masivo de correo y ser una pasarela gratuita para los spammers y usuarios malintencionados. Tambin es necesario su configuracin para que nuestros propios usuarios puedan enviar correos a servidores externos.

En Acceso tenemos tambin el Control de acceso, botn autenticacin, que nos ofrece una ventana con los mtodos para ste servidor.

Ahora hemos de conseguir que cuando alguien enve un correo a alguien@correo-wwp se entregue en nuestro servidor. Se ha de preparar el enrutador (router), en todo caso los puertos 25(SMTP) y 110(POP3) han de estar encaminados hacia el servidor. Hemos de configurar una entrada en el DNS del dominio (normalmente el que nos registra nuestro dominio suele tener un panel de control para que podamos modificar los registros), dicha entrada se compone de un registro A, por ejemplo de nombre mail.correo-wwp que apunte a la IP pblica de nuestra conexin (la IP pblica del router), y de un registro MX 10 que apunte al registro A. Normalmente en un plazo entre 24 y 48 horas las nuevas entradas del DNS se propagarn por Internet y el dominio

de correo ser accesible. Tengamos en cuenta que muchas de las configuraciones sern un poco diferentes y con matices si se est en un entorno Active Directory.

8: Seguridad interna Introduccin Herramientas de administracin Visor de sucesos Registro Servicios 9: Gestin de datos Copias de seguridad Recuperacin de datos Recuperacin del sistema

Implementando la seguridad perimetral y de red


Por Ivn Gonzlez Vilaboa [MS MVP Windows Server IIS]
Conocimientos imprescindibles:
y y y

Descripcin de los fundamentos de seguridad de una red Experiencia prctica con Windows Server (2000/2003) Experiencia con las herramientas de administracin de Windows.

1. Implementando la seguridad perimetral y de red 1. Introduccin


a) Introduccin Defensa en profundidad:

El uso de una solucin en niveles aumenta la posibilidad de que se detecten los intrusos y disminuye la posibilidad de que estos logren su propsito. Aplicando ACL y cifrado a los DATOS. Reforzando a las aplicaciones con una solucin antivirus. Reforzando el sistema operativo con la administracin de actualizaciones, utilizando autentificacin, HIDS. Utilizando segmentos de red, IPSec y NDIS en la red interna. Con servidores de seguridad y sistemas de cuarentena en VPN en el permetro. Una seguridad fsica con vigilantes, bloques, dispositivos de seguimiento. Realizando programas de aprendizaje para los usuarios, con directivas, procedimientos y concienciacin.

Propsito y limitaciones de las defensas de permetro.


y y y y y

Los servidores de seguridad y enrutadores de borde configurados adecuadamente constituyen la piedra angular de la seguridad del permetro. Internet y la movilidad aumentan los riesgos de seguridad. Las VPN han debilitado el permetro y, junto con las redes inalmbricas, han ocasionado, esencialmente, la desaparicin del concepto tradicional de permetro de red. Los servidores de seguridad tradicionales con filtrado de paquetes slo bloquean los puertos de red y las direcciones de los equipos. Actualmente, la mayor parte de ataques se producen a nivel de aplicacin.

Propsito y limitaciones de las defensas de los clientes


y y

y y

Las defensas de los clientes bloquean los ataques que omiten las defensas del permetro o que se originan en la red interna. Las defensas de los clientes incluyen, entre otras: o Refuerzo de la seguridad del sistema operativo o Programas antivirus o Servidores de seguridad personales Las defensas de los clientes requieren que se configuren muchos equipos. En entornos no administrados, los usuarios pueden omitir las defensas de los clientes.

Propsito y limitaciones de la deteccin de intrusos


y y

Detecta el modelo de ataques comunes, registra el trfico sospechoso en registro de sucesos y/o alerta a los administradores. Las amenazas y puntos vulnerables evolucionan constantemente, lo que deja a los sistemas en una situacin vulnerable hasta que se conoce un ataque nuevo y se crea y distribuye una nueva firma.

Objetivos de seguridad en una red: Defensa del permetro Servidor ISA Firewall de Windows 802.1x WPA IPSec X X X X X X X Defensa de los clientes Deteccin de intrusos X Control de acceso Acceso remoto Confidencialidad a la red seguro X X

2. Uso de defensas en el permetro

Uso de defensas en el permetro

b) Uso de defensas en el permetro

Contra qu NO protegen los servidores de seguridad:


y y y y y y

Trfico peligroso que atraviesa los puertos abiertos y no es inspeccionado en el nivel de aplicacin por el servidor de seguridad. Trfico que atraviesa un tnel o sesin cifrados. Ataques que se producen una vez que se ha entrado en una red. Trfico que parece legitimo. Usuarios y administradores que intencionada o accidentalmente instalan virus. Administradores que utilizan contraseas poco seguras.

Servidores de seguridad de software y de hardware: Factores de decisin Flexibilidad Extensibilidad Eleccin de proveedores Descripcin La actualizacin de las vulnerabilidades y revisiones ms recientes suele ser ms fcil con servidores de seguridad basados en software. Muchos servidores de seguridad de hardware slo permiten una capacidad de personalizacin limitada. Los servidores de seguridad de software permiten elegir entre hardware para una amplia variedad de necesidades y no se depende de un nico proveedor para obtener hardware adicional. El precio de compra inicial para los servidores de seguridad de hardware podra ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fcilmente y el hardware antiguo se puede reutilizar. Los servidores de seguridad de hardware suelen ser menos complejos. El factor de decisin ms importante es si un servidor de seguridad puede realizar las tareas necesarias. Con frecuencia, la diferencia entre los servidores de hardware y de software no resulta clara.

Costo

Complejidad Disponibilidad global

3. Uso de Microsoft Internet Security and Acceleration Server (ISA) para proteger los permetros

Implementando la seguridad perimetral y de red


Uso de Microsoft Internet Security and Acceleration Server (ISA) para proteger los permetros
c) Uso de Microsoft Internet Security and Acceleration Server (ISA) para proteger los permetros. Anlisis de la informacin de un paquete

Actualmente la mayora de los cortafuegos comprueban solamente la informacin bsica del paquete. El equivalente en el mundo real a mirar el nmero y destino de un autobs y de no mirar a los pasajeros.
Asunciones fundamentales N3/N4
y y y y y y

Confiamos en que el trfico sobre un puerto es lo que pensamos que debe ser (TCP80==HTTP) Confiamos implcitamente que el trfico que atraviesa est limpio (obviamos la revisin de este). No utilizamos estos dispositivos para protegernos de las redes internas, ya que confiamos en nuestros usuarios. El usuario de la mquina 1.2.3.4 debe ser el nico que siempre utiliza la misma mquina. TCP 80 est cas siempre abierto para todo. Es el protocolo universal que hace de puente y evita el cortafuegos. La mayora de estos errores dan lugar a una brecha de seguridad de la cual se responsabiliza generalmente al Sistema Operativo, o a las aplicaciones, pero su origen puede ser la red. Defensa del permetro Defensa de los clientes Deteccin de intrusos X(*) Control de acceso Acceso remoto Confidencialidad a la red seguro X X

Servidor ISA

Firewall de Windows 802.1x WPA IPSec

X X X X X X

*Deteccin bsica de intrusos, que se ampla gracias al trabajo de los asociados

Proteccin de los permetros

ISA Server tiene completas capacidades de filtrado:


y y y y y y

Filtrado de paquetes Inspeccin de estado Inspeccin del nivel de aplicacin o HTTP. FTP. SMTP. H.323, medios de trasmisin. RPC y otros. ISA Server bloquea todo el trfico de red a menos que usted lo permita. ISA Server permite establecer conexiones VPN seguras. ISA Server tiene las certificaciones ICSA y Common Criteria.

DMZ's en ISA Server (Zonas desMilitariZadas)


y y

ISA Server las llama "redes perimetrales" Tipos: o Opuesto con opuesto (DMZ regular) o Triple Interfaz (Subred apantallada) o Tercera opcin interesante no documentada Bastante fcil de elegir

Pero primero...
Interfaces de Red

Dos tipos:
y y

Interna Externa
o o

Interfaz-Internet DMZ

Interfaces Internas
y y

Puede tener ms de una Definida por la LAT: Cualquier interfaz cuya direccin IP est en la LAT es una interfaz interna.

Interfaces Externa
y

Interfaz-Internet Puede tener slo una Debe ser la frontera

Slo una interfaz con una puerta de enlace por defecto Est conectada a Internet Ms de una no est soportada y no trabaja DMZ

El resto de las interfaces en el ordenador

No incluida en la LAT, no conectada a Internet.


Comportamiento del trfico

Diseo apropiado
y y

Servidores ISA opuesto-con-opuesto LATs Externo: rango(s) de direcciones IP de la red de la DMZ Interno: rango(s) de direcciones IP de la red corporativa Alcanza a inspeccionar todo Internet a DMZ DMZ a red corporativa

Diseo subptimo
y

El trfico entrante y saliente de la DMZ no est bien protegido El filtrado de paquetes es igual al de cualquier otro cortafuegos No reconoce los protocolos de aplicaciones No puede inspeccionar para cumplir con las reglas No utiliza filtros de Web o aplicaciones

Recomendacin: No utilizar diseos de triple interfaz, si se utiliza, descargar la seguridad sobre los propios servicios de la DMZ.

Publicacin opuesto-con-opuesto
y y

En la DMZ Mtodo de publicacin normal En la red corporativa Publicacin de recursos sobre el servidor ISA interno Publicacin del servidor ISA interno sobre el servidor ISA externo Usar tarjetas SSL para HTTPS http://microsoft.com/isaserver/partners/ssl.as AEP Crypto -- rpido y barato!

Alternativa interesante
y y y

Diseo de triple interfaces No interfaz de "DMZ" Dos interfaces internas Inspecciones de aplicaciones entre Internet y todas las interfaces internas Necesidad de proteger la comunicacin a travs de las interfaces Cmo?

Para presupuestos limitados

Proteccin de los clientes Mtodo Funciones de proxy Clientes admitidos Reglas Complementos Descripcin Procesa todas las solicitudes para los clientes y nunca permite las conexiones directas. Se admiten todos los clientes sin software especial. La instalacin del software de servidor de seguridad ISA en clientes Windows permite utilizar ms funciones. Las reglas de protocolo, reglas de sitio y contenido, y reglas de publicacin determinan si se permite el acceso. El precio de compra inicial para los servidores de seguridad de hardware podra ser inferior. Los servidores

de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fcilmente y el hardware antiguo se puede reutilizar.

Proteccin de los servidores Web


y

Reglas de publicacin en Web o Para proteger de ataques externos a los servidores Web que se encuentran detrs de los servidores de seguridad, inspeccione el trfico HTTP y compruebe que su formato es apropiado y cumple los estndares. Inspeccin del trfico SSL o Descifra e inspecciona las solicitudes Web entrantes cifradas para comprobar que su formato es apropiado y que cumple los estndares. o Si se desea, volver a cifrar el trfico antes de enviarlo al servidor Web.

URLScan
y y

El paquete de caractersticas 1 de ISA Server incluye URLScan 2.5 para ISA Server. Permite que el filtro ISAPI de URLScan se aplique al permetro de la red. o Se produce un bloqueo general en todos los servidores Web que se encuentran detrs del servidor de seguridad. o Se bloquean en el permetro los ataques conocidos y los descubiertos recientemente.

Proteccin de Exchange Server

Mtodo

Descripcin

Asistente para Configurar reglas de ISA Server con el fin de publicar servicios de correo interno para usuarios publicacin de correo externos de forma segura Message Screener Publicacin RPC Filtra los mensajes de correo electrnico SMTP que entran en la red interna. Protege el acceso del protocolo nativo de los clientes Microsoft Outlook Proporciona proteccin del servidor de solicitudes de cliente OWA para los usuarios remotos de Outlook que tienen acceso a Microsoft Exchange Server sin una VPN a travs de redes que no son de confianza.

Publicacin OWA

Trfico que omite la inspeccin de los servidores de seguridad


y y y

Los tneles SSL atraviesan los servidores de seguridad tradicionales porque este tipo de trfico est cifrado, lo que permite a los virus y gusanos pasar sin ser detectados e infectar los servidores internos. El trfico VPN se cifra y no se puede inspeccionar El trfico de Instant Messenger (IM) no se suele inspeccionar y podra utilizarse para transferir archivos.

Inspeccin de todo el trfico


y y y

Utilice sistemas de deteccin de intrusos y otros mecanismos para inspeccionar el trfico VPN una vez descifrado. o Recuerde: defensa en profundidad Utilice un servidor de seguridad que pueda inspeccionar el trfico SSL Expanda las capacidades de inspeccin del servidor de seguridad o Utilice complementos para el servidor de seguridad que permitan inspeccionar el trfico de IM (Akonix L7 Enterprise para ISA Server)

Inspeccin de SSL
y y

Los tneles SSL atraviesan los servidores de seguridad tradicionales porque este tipo de trfico est cifrado, lo que permite a los virus y gusanos pasar sin ser detectados e infectar los servidores internos. ISA Server puede descifrar e inspeccionar el trfico SSL. El trfico inspeccionado se puede enviar al servidor interno sin cifrar o cifrado de nuevo.

Refuerzo de la seguridad de ISA Server


y

Refuerzo de la pila de red o artculos 315669 y 324270 de Konwledge Base o http://support.microsoft.com/default.aspx?scid=kb;es;315669 o http://support.microsoft.com/default.aspx?scid=kb;es;324270 Deshabilite los protocolos de red innecesarios en la interfaz de red externa: o Cliente para redes Microsoft o Compartir impresoras y archivos para redes Microsoft o NetBIOS sobre TCP/IP

Ampliando la plataforma
y y y

Ubicamos los cortafuegos en diferentes localizaciones por diversas razones. Se debe comprender las necesidades y establecer los filtros en concordancia. Ample la funcionalidad bsica con filtros de protocolos que cubran en su escenario especfico. Ningn dispositivo ser siempre la solucin perfecta; las soluciones son ms importantes que los dispositivos.

Recomendaciones
y y y y

Utilice reglas de acceso que nicamente permitan las solicitudes que se admitan de forma especfica. Utilice las capacidades de autentificacin de ISA Server para restringir y registrar el acceso a Internet. Configure reglas de publicacin en Web para conjuntos de destinos especficos. Utilice la inspeccin de SSL para inspeccionar los datos cifrados que entren en la red.

4. Uso del cortafuegos de Windows para proteger a los clientes

Implementando la seguridad perimetral y de red


Uso del cortafuegos de Windows para proteger a los clientes
d) Uso del cortafuegos de Windows para proteger a los clientes Informacin general sobre el cortafuegos de Windows

(Despus de SP2 para XP y SP1 para 2003 Server, esta informacin puede quedar desfasada; previsto el SP2 para XP durante 2004 y SP1 2003 en 2005) Qu es? Cortafuegos de Windows en Microsoft Windows XP y Microsoft Windows Server 2003. Qu hace? Ayuda a detener los ataques basados en la red, como Blaster, al bloquear todo el trfico entrante no solicitado. Caractersticas principales:
y y

Los puertos se pueden abrir para los servicios que se ejecutan en el equipo. La administracin corporativa se realiza a travs de directivas de grupo.

Se puede habilitar activando la casilla de verificacin en Avanzadas de las propiedades en cada conexin. Con el asistente para configuracin de red. Con el Asistente para conexin nueva. Se habilita de forma independiente en cada conexin.

Al activarse el icono de conexin muestra un pequeo candado.

Configuracin avanzada del cortafuegos de Windows:

Servicios de red Aplicaciones basadas en Web

Opciones de registro Opciones del archivo de registro

Configure el cortafuegos de Windows mediante directivas de grupo

Combine el cortafuegos de Windows con Control de cuarentena de acceso a la red

Recomendaciones
y y y y

Utilice el cortafuegos de Windows en las oficinas domsticas y en las pequeas compaas con el fin de proporcionar proteccin a los equipos que estn conectados directamente a Internet. No active el cortafuegos de Windows en una conexin VPN (aunque debe habilitarlo en la conexin LAN o de acceso telefnico subyacente). Configure las definiciones de servicio para cada conexin de cortafuegos de Windows a travs de la que desee que funcione el servicio. Establezca el tamao de registro de seguridad en 16 megabytes para impedir el desbordamiento que podran ocasionar los ataques de denegacin de servicio.

Links informativos SP2 XP


y y y

http://www.microsoft.com/spain/technet/recursos/wxpsp2/Informacion_SP/default.asp http://www.microsoft.com/spain/technet/recursos/wxpsp2/mejoras/default.asp http://download.microsoft.com/download/0/0/8/008764de-2ebc-4196-b43ebbc29304361e/WindowsXPSP2RC1_ResumendeCaracteristicas.pdf

5. Proteccin de redes inalmbricas

Proteccin de redes inalmbricas


e) Proteccin de redes inalmbricas Aspectos de seguridad en dispositivos inalmbricos
y

Limitaciones de Wired Equivalent Privacy (WEP) o Las claves WEP estticas no se cambian de forma dinmica y, por lo tanto, son vulnerables a los ataques. o No hay un mtodo estndar para proporcionar claves WEP estticas a los clientes. o Escalabilidad: el compromiso de una clave WEP esttica expone a todos los usuarios. Limitaciones del filtrado de direcciones MAC. o Un intruso podra suplantar una direccin MAC permitida.

Posibles soluciones
y y y

Autentificacin de nivel 2 basada en contraseas o PEAP/MSCHAP v2 de IEEE 802.1x Autentificacin de nivel 2 basada en certificados o EAP-TLS de IEEE 802.1x Otras opciones o Conexiones VPN L2TP/IPSec (la solucin preferida) o PPTP No permite usuarios mviles Resulta til cuando se utilizan zonas interactivas inalmbricas pblicas No se produce la autentificacin de los equipos ni se procesa la configuracin establecida en directivas de grupo o IPSec Problemas de interoperabilidad

Comparaciones de la seguridad de WLAN Tipo de seguridad de WLAN WEP esttico PEAP de IEEE 802.1x TLS de IEEE 802.1x VPN IPSec Nivel de seguridad Bajo Alto Alto Alto (L2TP/IPSec) Alto Facilidad de implementacin Alta Media Baja Media Baja Facilidad de uso e integracin Altos Altos Altos Bajos Bajos

802.1x
y

Define un mecanismo de control de acceso basado en puertos o Funciona en cualquier tipo de red, tanto inalmbrica como con cables. o No hay ningn requisito especial en cuanto a claves de cifrado Permite elegir los mtodos de autentificacin con EAP o Es la opcin elegida por los elementos del mismo nivel en el momento de la autentificacin o El punto de acceso no tiene que preocuparse de los mtodos de EAP Administra las claves de forma automtica o No es necesario programar previamente las claves de cifrado para la red inalmbrica

Requisitos del sistema para 802.1x


y y

Cliente: Windows XP Servidor: IAS de Windows Server 2003 o Servicio de autentificacin Internet: nuestro servidor RADIUS o Certificado en el equipo IAS 802.1x en Windows 2000

o o o o

El cliente e IAS deben tener SP3 Ver el artculo 313664 de Knowledge Base http://support.microsoft.com/default.aspx?scid=kb;es;313664 No se admite la configuracin rpida en el cliente Slo se admiten EAP-TLS y MS-CHAPv2 Es posible que los futuros mtodos de EAP en Windows XP y Windows Server 2003 no se puedan utilizar.

Configuracin de 802.1x
y y y y y y y y y

Configurar Windows Server con IAS Unir un dominio Inscribir un certificado de equipo Registrar IAS en Active Directory Configurar el registro RADIUS Agregar el punto de acceso como cliente RADIUS Configurar el punto de acceso para RADIUS y 802.1x Crear una directiva de acceso para clientes inalmbricos Configurar los clientes o No olvide importar el certificado raz

Directiva de acceso

Condicin de directiva o El tipo de puerto NAS coincide con Wireless IEEE 802.11 o con otro tipo de red inalmbrica. o Grupo de Windows = <algn grupo de AD> o Opcional; proporciona control administrativo Debe contener cuentas de usuario y de equipo

Perfil de directivas de acceso:

Perfil:
y y y y y

Tiempo de espera 60 min.(802.11b) o 10 min. (802.11a/g). No elija mtodos de autenticacin regulares Tipo de EAP:EAP protegido; utilice certificados de equipo Cifrado: slo el ms seguro (MPPE de 128 bits) Atributos: Ignore-User-Dialin-Properties = True

Wireless Protected Acces (WPA)


y y y

Especificacin de mejoras en la seguridad interoperables y basadas en estndares que aumenta enormemente el nivel de proteccin de los datos y el control de acceso para los sistemas actuales y futuros de LAN inalmbrica. WPA requiere la autentificacin de 802.1x para el acceso de red Objetivos o Cifrado mejorado de los datos o Permitir la autentificacin de los usuarios o Compatible con versiones futuras de 802.11i o Proporcionar una solucin que no sea RADIUS para las oficinas domsticas o de pequeo tamao. Wi-Fi Alliance comenz las pruebas de certificacin de la interoperabilidad de los productos de WPA en febrero de 2003

Recomendaciones:
y y y y y y

Utilice la autentificacin de 802.1x Organice en grupos a los usuarios y equipos inalmbricos Aplique directivas de acceso inalmbrico con directivas de grupo Utilice EAP-TLS para la autenticacin basado en certificados y PEAP para la autenticacin basada en contraseas Configure una directiva de acceso remoto para permitir la autenticacin de los usuarios y de los equipos Desarrolle un mtodo que se ocupe de los puntos de acceso sospechosos, como la autenticacin de 802.1x basada en LAN, las encuestas a sitios, la supervisin de la red y el entrenamiento de los usuarios.

6. Proteccin de comunicaciones mediante IPSec

Implementando la seguridad perimetral y de red


Proteccin de comunicaciones mediante IPSec
f) Proteccin de comunicaciones mediante IPSec Introduccin a IPSEc
y

Qu es Seguridad de IP (IPSec)? o Un mtodo para proteger el trfico IP. o Una estructura de estndares abiertos desarrollada por el Grupo de trabajo de ingeniera de Internet (IETF, Internet Engineering Task Force) Por qu se debe utilizar IPSec? o Para garantizar que las comunicaciones se cifran y se autentican en el nivel IP. o Para proporcionar seguridad en el transporte independiente de las aplicaciones o de los protocolos de nivel de aplicacin.

Escenarios de IPSec:

y y y y

Filtrado bsico para permitir o bloquear paquetes Comunicaciones seguras en la LAN interna Replicacin en los dominios a travs de servidores de seguridad Acceso a VPN a travs de medios que no son de confianza

Implementacin del filtrado de paquetes de IPSec


y y y y y

Filtros para trfico permitido y bloqueado No se produce ninguna negociacin real de las asociaciones de seguridad de IPSec Los filtros se solapan: la coincidencia ms especfica determina la accin No proporciona filtrado de estado Se debe establecer "NoDefaultExempt = 1" A IP Mi IP de Internet Mi IP de Internet Protocolo Cualquiera TCP/IP Puerto Origen N/D Cualquiera Puerto destino N/D 80 Accin Bloquear Permitir

Desde IP Cualquiera Cualquiera

El filtrado de paquetes no es suficiente para proteger un servidor:


y y y

Los paquetes IP suplantados contienen consultas o contenido peligroso que puede seguir llegando a los puertos abiertos a travs de los servidores de seguridad. IPSec no permite la inspeccin de estado Muchas herramientas que utilizan los piratas informticos emplean los puertos de origen 80, 88, 135 y otros para conectar a cualquier puerto de destino.

Trfico que IPSec no filtra:


y y y

y y

Direcciones de difusin IP o No puede proteger a varios receptores Direcciones de multidifusin o De 224.0.0.0 a 239.255.255.255 Kerberos: puerto UDP 88 de origen o destino o Kerberos es un protocolo seguro, que el servicio de negociacin IKE puede utilizar para la autenticacin de otros equipos en un dominio. IKE: puerto UDP 500 de destino o Obligatorio para permitir que IKE negocie los parmetros de seguridad de IPSec Windows Server 2003 configura nicamente la exencin predeterminada de IKE.

Comunicaciones internas seguras:


y

Utilice IPSec para permitir la autenticacin mutua de dispositivos o Utilice certificados o Kerberos o La utilizacin de claves compartidas slo es conveniente para pruebas Utilice Encabezado de autenticacin (AH) para garantizar la integridad de los paquetes o El Encabezado de autenticacin proporciona integridad en los paquetes o El Encabezado de autenticacin no cifra, con lo que se basa en los sistemas de deteccin de intrusos de red. Utilice Carga de seguridad encapsuladora (ESP) para cifrar el trfico sensible o ESP proporciona integridad en los paquetes y confidencialidad o El cifrado impide la inspeccin de los paquetes Planee minuciosamente qu trfico debe protegerse

IPSec para la replicacin de dominios:


y

y y

Utilice IPSec para la replicacin a travs de servidores de seguridad o En cada controlador de dominio, cree una directiva IPSec para proteger todo el trfico a la direccin IP del otro controlador de dominio. Utilice ESP 3DES para el cifrado Permita el trfico a travs del servidor de seguridad: o Puerto UDP 500 (IKE) o Protocolo IP 50 (ESP)

Acceso de VPN a travs de medios que no son de confianza


y y

VPN de cliente o Utilice L2TP/IPSec VPN de sucursal o Entre Windows 2000 0 Windows Server, con RRAS: utilice tnel L2TP/IPSec (fcil de configurar, aparece como una interfaz enrutable) o A una puerta de enlace de terceros: utilice L2TP/IPSec o el modo de tnel puro de IPSec. o A la puerta de enlace RRAS de Microsoft Windows NT 4: utilice PPTP (IPSec no est disponible)

Estado de IPSec NAT Trasversal


y y y y y y

Manipulado por la necesidad para el acceso remoto sobre IPSec - basado en VPNs Implementando en IETF estndar propuesto (Draft-02) La interoperabilidad probada con enrutadores de 3ros para L2TP/IPSec Previsto para L2TP/IPSec en Windows XP y anteriores Previsto para todos los usos de IPSec en Windows Server 2003 Soportado por el Sistema Operativo Soporte L2TP/IPSec S Soporte general del modo transporte de IPSec S4

Versin Windows Server 2003

Windows XP Windows 2000 Windows NT4 Windows 98/Me

S1 S2 S3 S3

No recomendado5 No No No

1. 2. 3. 4. 5.

Windows Update o QFE QFE Con descarga de web FTP Activo no trabajar Algunas reducciones PTMU no trabajan

Estados estndares
y

Draft-02 fue lo mejor disponible durante mucho tiempo - windows o Microsoft y otros lo han implementado o Usable ahora Versin RFC en revisin ahora o Cambia algunos detalles pequeos en nmeros estndares o Microsoft lo adoptar en lanzamientos futuros

Escenarios de implementacin
y y

y y y

Filtrado bsico de paquetes permitir/bloquear Asegurar la comunicacin interna en la LAN o Cliente a servidor o Entre grandes grupos de ordenadores Usar IPSec para la replicacin de dominios a travs de cortafuegos Establecimiento de tneles VPN sitio-a-sitio Acceso desde red confiado, a mquinas autorizadas

El problema:
y y y

Usted conoce quien es su gente. Usted conoce quienes son sus ordenadores Usted sabe que est haciendo su gente y sus aplicaciones

Conociendo sus ordenadores


y y

Windows 2000 NO requiere ser miembro del dominio La directiva de grupo ayuda? o No puede hacerla cumplir a sus miembros o Puede prohibir retirarse desde el dominio o No puede parar a los no miembros que se comunican sobre la red

Parar el acceso a red no confiable


y y

Usted requiere que sus usuarios sean miembros del dominio. Por qu no, sus ordenadores, tambin? o "Mustreme las credenciales" o Tpicamente no puede parar que alguien se conecte en su LAN Acceso a red basado en: autentificacin mutua=confianza o IKE Kerberos - trabaja dentro y atraviesa bosques con relacin de confianza bidireccional o Nivel de Bosque IPSec AH con Kerberos V miembros del dominio en los que se confa. o Autentificacin del certificado de IKE - control ms fino para la confianza o Autorice el acceso a red solamente a ordenadores especficos del dominio utilizando el derecho de inicio de sesin "Acceso a este ordenador desde la red"

Conocer sus ordenadores


y

Es buena idea porque usted... o Tiene (o desea) una directiva que requiera el uso de mquinas aprobadas solamente. o Desea forzar a los ordenadores del centro de datos a comunicarse solamente con otros aprobados (no con servidores extraos)

Limitar las comunicaciones servidor-a-servidor en su DMZ para frustrar ataques MITM y spoofing de direcciones

Hgalo con IPSec AH


y

y y y

Autentificacin de paquete o La suma de comprobaciones significa la fuente es la fuente o El contenido sea el contenido Fcil de localizar las averas con Netmon Los cortafuegos pueden filtrar el interior de AH en protocolos y puertos en caso de necesidad El sistema de Deteccin de Intrusos (NIDS) puede examinar el contenido de los paquetes en caso de necesidad

Escenarios
y

TCI nivel empresarial o Prevenir que lo que no son miembros del dominio hagan cualquier cosa o IPSec AH Certificado o Kerberos o Aplicar directivas de grupos con "dominio por defecto" TCI servidor-a-servidor o Prevenir servidores no autorizados o enmascarados en el centro de datos o Slo certificados - enrollment manual

PRXIMOS PASOS
y y y

Mover los enrutadores VPN con RRAS a Windows Server 2003 Mover los clientes VPN a Windows XP o Windows 2000 o Si fuese absolutamente necesario, descargue y use cliente Windows 98, Windows NT. Mover los RAS VPN a L2TP/IPSec o Descargar las actualizaciones de los clientes Windows XP y Windows 2000

Rendimiento de IPSec
y

El procesamiento de IPSec tiene algunas consecuencias en el rendimiento o Tiempo de negociacin de IKE, inicialmente entre 2 y 5 segundos 5 recorridos de ida y vuelta Autenticacin: Kerberos o certificados Generacin de claves criptogrficas y mensajes cifrados Se realiza una vez cada ocho horas de forma predeterminada y se puede configurar o El cambio de claves de la sesin es rpido: entre uno y dos segundos, dos recorridos de ida y vuelta, una vez cada hora y se puede configurar o Cifrado de paquetes Cmo se puede mejorar? o Al descargar el proceso criptogrfico en NIC, IPSec casi alcanza la velocidad de los dispositivos con cable

Recomendaciones
y y y y y y y

Planee minuciosamente la implementacin de IPSec Elija entre AH y ESP Utilice directivas de grupo para implementar directivas IPSec Considere el uso de NIC de IPSec No utilice nunca la autenticacin con claves compartidas fuera de un entorno de prueba Elija entre la autenticacin basada en Kerberos o en certificados Tenga cuidado al requerir el uso de IPSec para las comunicaciones con controladores de dominio y otros servidores de infraestructuras

Pasos siguientes
y y y y y y

Mantenerse informado sobre seguridad Suscribirse a boletines de seguridad http://www.microsoft.com/spain/technet/seguridad/boletines Obtener las directrices de seguridad de Microsoft ms recientes: http://www.microsoft.com/latam/technet/seguridad/practicas.asp Obtener aprendizaje adicional de seguridad: Buscar seminarios de aprendizaje en lnea y presenciales: http//www.microsoft.com/spain/technet/seminarios Buscar un CTEC local que ofrezca cursos prcticos: http://www.microsoft.com/spain/technet/formacion/ctec/

Para obtener ms informacin


y y y

Sitio de seguridad de Microsoft (todos los usuarios) o http://www.microsoft.com/spain/seguridad Sitio de seguridad de Technet (profesionales de IT) o http://www.microsoft.com/spain/technet/seguridad Sitio de seguridad de MSDN (desarrolladores) o http://msdn.microsoft.com/security (este sitio est en ingls)