Transcript
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
Capítulo 1 Introducción A. Organización de las certificaciones
12
B. Cómo se organiza este libro
12
C. Competencias probadas tras el examen 70-411
14
1. El examen de certificación 2. Preparación del examen
14 14
D. Las máquinas virtuales utilizadas
14
E. El administrador del servidor
14
1. Creación de un grupo de servidores 2. Instalación remota de un rol 3. Eliminar un grupo de servidores F. Servidor en modo instalación mínima
21 24 24 25
1. Instalación de roles con una instalación en modo Core 2. Agregar/eliminar la interfaz gráfica 3. Configuración con sconfig G. Hyper-V
28 29 30 34
1. Requisitos previos de hardware 2. Las máquinas virtuales en Hyper-V 3. La memoria dinámica con Hyper-V 4. El disco duro de las máquinas virtuales 5. Las instantáneas en Hyper-V 6. Gestión de redes virtuales
34 34 35 37 39 39
Capítulo 2 Instalación del entorno de pruebas
www.ediciones-eni.com
© Ediciones ENI
1/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
A. El entorno de pruebas
42
1. Configuración necesaria 2. Instalación de Windows Server 2012 R2
42 42
B. Creación de las máquinas virtuales
43
1. Esquema de la maqueta 2. Máquina virtual AD1 3. Máquina virtual AD2 4. Máquina virtual SV1 5. Máquina virtual SV2 6. Máquina virtual CL8-01 7. Máquina virtual SRV-RT 8. Máquina virtual CL8-02 9. Las instantáneas
48 50 60 60 60 61 61 61 61
Capítulo 3 Gestión de un directorio AD DS A. Introducción
64
B. Presentación de Active Directory Domain Services
64
1. Los distintos componentes de AD DS 2. Visión general de las nociones de esquema y bosque de Active Directory 3. La estructura del directorio Active Directory C. Implementación de controladores de dominio virtualizados 1. Despliegue de controladores de dominio virtualizados 2. Gestión de los controladores de dominio virtualizados D. Implementación de un RODC
69 69 70 70
1. Gestión del almacenamiento en caché en un RODC 2. Administración local sobre los controladores de dominio de solo lectura
www.ediciones-eni.com
64 65 68
© Ediciones ENI
71 71
2/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
E. Administración de Active Directory
72
1. Presentación de las distintas consolas de AD 2. Los módulos de Active Directory para PowerShell 3. Gestión de los roles FSMO 4. Uso de una cuenta de servicio 5. Restauración de una cuenta mediante la papelera de reciclaje AD 6. Copia de seguridad y restauración de Active Directory F. Gestión de la base de datos
72 72 73 74 74 75 75
1. La base de datos de Active Directory 2. Uso del comando NTDSUtil 3. Reinicio del servicio Active Directory 4. Creación de un snapshot AD 5. Restaurar un objeto de dominio G. Trabajos prácticos: Administración de Active Directory H. Validación de conocimientos adquiridos: preguntas/respuestas
75 76 76 77 77 78 120
Capítulo 4 Gestión del entorno A. Introducción
126
B. Automatización de la gestión de cuentas de usuario
126
1. Configuración de la política de seguridad 2. Gestión de la directiva de contraseña muy específica 3. Configuración de las cuentas de servicio C. Directivas de grupo
135
1. Gestión de la configuración 2. Visión general de las directivas de grupo 3. Extensiones del lado cliente
www.ediciones-eni.com
128 131 133
© Ediciones ENI
135 135 136
3/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
4. Directivas de grupo por defecto 5. Almacenamiento de la directivas de grupo 6. GPO de inicio 7. Copia de seguridad y restauración de una directiva de grupo 8. Delegación de la administración 9. PowerShell con GPO D. Implementación y administración de las directivas de grupo 1. Vínculos GPO 2. Orden de aplicación 3. Herencia y opción de aplicación 4. Implementación de filtros para gestionar el ámbito 5. Funcionamiento de una directiva de grupo con enlaces lentos 6. Recuperación de directivas por los puestos clientes E. Mantenimiento de una directiva de grupo 1. Directiva de grupo resultante 2. Informe RSOP 3. Uso de registros de eventos 4. Enlace lento y caché de directivas de grupo 5. Configuración de una política de seguridad Kerberos
136 137 137 139 139 140 141 141 141 142 144 145 146 147 149 149 150 151 151
F. Trabajos prácticos: Gestión del entorno del usuario
152
G. Validación de conocimientos adquiridos: preguntas/respuestas
169
Capítulo 5 Implementar las directivas de grupo A. Introducción
174
B. Plantillas administrativas
174
1. Los archivos ADMX y ADML 2. Creación del almacén central
www.ediciones-eni.com
174 175
© Ediciones ENI
4/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
3. Uso de filtros sobre las plantillas administrativas C. Configuración de la redirección de carpetas y de scripts 1. Presentación de la redirección de carpetas 2. Configuración de la redirección 3. Uso de scripts en las directivas de grupo
175 176 176 176 177
D. Configuración de las preferencias de las directivas de grupo
178
1. Visión general de las preferencias 2. Comparación entre las directivas y las preferencias
178 179
E. Gestión de aplicaciones con ayuda de GPO
179
F. Trabajos prácticos: Gestión de los puestos de usuario
180
G. Validación de conocimientos adquiridos: preguntas/respuestas
193
Capítulo 6 Implementar un servidor DHCP A. Introducción
196
B. Rol del servicio DHCP
196
1. Funcionamiento de la concesión de una dirección IP 2. Uso de una retransmisión DHCP C. Instalación y configuración del rol DHCP 1. Agregar un nuevo ámbito 2. Configuración de las opciones DHCP 3. Reserva de contrato DHCP 4. Implementación de filtros D. Base de datos DHCP
www.ediciones-eni.com
196 197 198 199 201 204 206 210
© Ediciones ENI
5/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
1. Presentación de la base de datos DHCP 2. Copia de seguridad y restauración de la base de datos 3. Reconciliación y desplazamiento de la base de datos
210 211 212
E. Alta disponibilidad del servicio DHCP
216
F. IPAM
216
1. Especificaciones de IPAM 2. Características de IPAM
217 217
G. Trabajos prácticos: Instalación y configuración del rol DHCP
218
H. Validación de conocimientos adquiridos: preguntas/respuestas
249
Capítulo 7 Configuración y mantenimiento de DNS A. Introducción
254
B. Instalación de DNS
254
1. Visión general del espacio de nombres DNS 2. Separación entre DNS privado/público 3. Despliegue de DNS C. Configuración del rol
256
1. Componentes del servidor 2. Consultas realizadas por el DNS 3. Registrar recursos en el servidor DNS 4. Funcionamiento del servidor de caché D. Configuración de las zonas DNS
256 256 257 259 259
1. Visión general de las zonas DNS 2. Zonas de búsqueda directa y zonas de búsqueda inversa
www.ediciones-eni.com
254 255 255
© Ediciones ENI
259 260
6/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
3. Delegación de zona DNS
261
E. Configuración de la transferencia de zona 1. Presentación de la transferencia de zona 2. Protección de la transferencia de zona
261 261 262
F. Administración y resolución de errores del servidor DNS
262
G. Trabajos prácticos: Instalación y configuración del rol DNS
263
H. Validación de conocimientos adquiridos: preguntas/respuestas
271
Capítulo 8 Despliegue y soporte de WDS A. Introducción
274
B. Los servicios de implementación de Windows
274
1. Los componentes de WDS 2. ¿Por qué utilizar WDS?
275 276
C. Implementación del rol WDS
276
1. Instalación y configuración del servidor 2. Gestión de los despliegues
276 279
D. Administración del servicio WDS
280
E. Automatización del despliegue
281
F. Trabajos prácticos: Despliegue con WDS
282
G. Validación de conocimientos adquiridos: preguntas/respuestas
309
www.ediciones-eni.com
© Ediciones ENI
7/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
Capítulo 9 Configuración del acceso remoto A. Introducción
312
B. Componentes de una infraestructura de acceso de red
312
1. Presentación del rol Servicios de acceso y directivas de redes 2. Autenticación y autorización de red 3. Métodos de autenticación 4. Visión general de la PKI 5. Integración de DHCP con enrutamiento y acceso remoto C. Configuración del acceso VPN
312 313 313 314 314 314
1. Las conexiones VPN 2. Protocolos utilizados para el túnel VPN 3. Presentación de la funcionalidad VPN Reconnect 4. Configuración del servidor 5. Presentación del kit CMAK
314 315 315 315 316
D. Visión general de las políticas de seguridad
316
E. Presentación del Web Application Proxy y del proxy RADIUS
317
F. Soporte del enrutamiento y acceso remoto
318
1. Configuración de los logs de acceso remoto 2. Resolución de problemas en VPN G. Configuración de DirectAccess
319
1. Presentación de DirectAccess 2. Componentes de DirectAccess 3. La tabla de directivas de resolución de nombres 4. Requisitos previos para la implementación de DirectAccess H. Presentación del rol Network Policy Server
www.ediciones-eni.com
318 318
© Ediciones ENI
319 319 320 320 320
8/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
I. Configuración del servidor RADIUS
321
1. Nociones acerca del cliente RADIUS 2. Directiva de solicitud de conexión J. Método de autenticación NPS
321 321 321
1. Configurar las plantillas NPS 2. Autenticación
321 322
K. Supervisión y mantenimiento del rol NPS
322
L. Trabajos prácticos: Configuración del acceso remoto
323
M. Validación de conocimientos adquiridos: preguntas/respuestas
368
Capítulo 10 Implementar la solución NAP A. Introducción
372
B. Visión general de la solución NAP
372
1. Forma de aplicar NAP 2. Arquitectura de la plataforma NAP
372 373
C. Proceso de aplicación de NAP
374
1. Implementar IPsec con NAP 2. 802.1x con NAP 3. Implementar NAP con un servidor VPN 4. Uso de NAP para DHCP
374 375 375 375
D. Verificación del cumplimiento
375
E. Supervisión y mantenimiento del servidor NAP
376
www.ediciones-eni.com
© Ediciones ENI
9/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
F. Trabajos prácticos: Implementar la solución NAP
376
G. Validación de conocimientos adquiridos: preguntas/respuestas
388
Capítulo 11 Optimización de los servicios de archivos A. Introducción
392
B. Visión general del rol FSRM
392
C. Administración del servidor de archivos mediante FSRM
393
1. Gestión de las cuotas 2. Administración del filtrado de archivos 3. Los informes de almacenamiento D. Implementar la clasificación de archivos 1. Presentación de las reglas de clasificación 2. Tareas de administración de archivos E. El sistema DFS
398 398 399 399
1. Presentación del espacio de nombres DFS 2. La replicación DFS 3. Funcionamiento del espacio de nombres 4. La desduplicación de datos 5. Escenarios DFS F. Configuración del espacio de nombres 1. Implementar el servicio DFS 2. Optimización de un espacio de nombres G. Configuración y mantenimiento de DFS-R
www.ediciones-eni.com
393 396 397
© Ediciones ENI
400 400 401 401 404 406 406 406 407
10/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
1. 2. 3. 4.
Funcionamiento de la replicación Proceso de replicación inicial Mantenimiento del sistema de replicación Operaciones sobre la base de datos
407 407 407 408
H. Trabajos prácticos: Gestión del servidor de archivos
409
I. Validación de conocimientos adquiridos: preguntas/respuestas
442
Capítulo 12 Cifrado de datos y auditoría A. Introducción
448
B. Presentación de EFS
448
1. Funcionamiento de EFS 2. Recuperación de un archivo cifrado C. Configuración de la auditoría
448 450 451
1. Visión general de la política de auditoría 2. Definir la configuración de auditoría sobre un archivo o una carpeta 3. Activación de la política de seguridad 4. Política de auditoría avanzada
451 452 455 457
D. Trabajos prácticos: Configuración de la auditoría
458
E. Validación de conocimientos adquiridos: preguntas/respuestas
469
Capítulo 13 Implementación del servidor WSUS A. Introducción
www.ediciones-eni.com
474
© Ediciones ENI
11/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
B. Presentación del rol WSUS
474
C. Requisitos previos necesarios para el rol
476
D. Despliegue de actualizaciones con WSUS
476
1. Configuración del cliente de actualización 2. Administración de WSUS 3. Presentación de los grupos de equipos 4. Aprobación de las actualizaciones
476 477 478 478
E. Trabajos prácticos: Implementación del servidor WSUS
478
F. Validación de conocimientos adquiridos: preguntas/respuestas
498
Capítulo 14 Supervisión de servidores A. El Administrador de tareas
502
B. El Monitor de recursos
512
C. El Monitor de rendimiento
517
D. Los registros de eventos
523
1. Creación de una vista personalizada 2. Suscripciones
526 527
E. Trabajos prácticos: Implementación de las herramientas de análisis
528
F. Validación de conocimientos adquiridos: preguntas/respuestas
548
www.ediciones-eni.com
© Ediciones ENI
12/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
Tabla de objetivos
551
índice
555
www.ediciones-eni.com
© Ediciones ENI
13/13
Windows Server 2012 R2 Administración Preparación para la certificación MCSA 70-411 El examen 70-411 "Administración de Windows Server 2012 R2" es el segundo de los tres exámenes obligatorios para obtener la certificación MCSA Windows Server 2012. Valida sus competencias y conocimientos en la administración de Windows Server 2012 R2 en un entorno empresarial. Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos oficiales, tanto desde el punto de vista teórico como desde un punto de vista práctico. Ha sido elaborado por un formador profesional reconocido, también consultor, certificado técnica y pedagógicamente por Microsoft. De este modo, la experiencia pedagógica y técnica del autor le imprime un enfoque claro y visual, alcanzando un nivel técnico muy elevado. Capítulo tras capítulo, podrá validar sus conocimientos teóricos gracias a la gran cantidad de preguntas y respuestas (171 en total) incluidas, poniendo de relieve tanto los elementos fundamentales como las características específicas de los distintos conceptos abordados. Cada capítulo se completa con un trabajo práctico (49 en total) que le permitirá medir su autonomía. Estos ejercicios concretos, más allá incluso de los objetivos fijados por el examen, le permitirán forjarse una experiencia relevante y adquirir verdaderas competencias técnicas sobre situaciones reales. A este dominio del producto y de los conceptos se añade la preparación específica a la certificación: en el sitio web www.edieni.com podrá accedergratuitamente a 1 examen en blanco en línea, destinado a entrenarse en condiciones similares a las de la prueba. En este sitio web, cada pregunta que se plantea se inscribe en el espíritu de la certificación y, para cada una, las respuestas están lo suficientemente desarrolladas como para identificar y completar sus últimas lagunas. Los capítulos del libro: Prefacio – Introducción – Instalación del entorno de pruebas – Gestión de un diccionario AD DS – Gestión del entorno – Implementar las directivas de grupo – Implementar un servidor DHCP – Configuración y mantenimiento de DNS – Despliegue y soporte de WDS – Configuración del acceso remoto – Implementar la solución NAP – Optimización de los servicios de archivos – Cifrado de datos y auditoría – Implementación del servidor WSUS – Supervisión de servidores – Tabla de objetivos
Nicolas BONNET Nicolas BONNET es Consultor y Formador de sistemas operativos Microsoft desde hace varios años. Tiene la certificación MCT (Microsoft Certified Trainer) y es un reconocido Microsoft MVP (Most Valuable Professional) Windows Expert-IT Pro que logra transmitir al lector, a través de este libro, toda su experiencia acerca de las tecnologías de servidor y su evolución. Su capacidad pedagógica hace que este libro sea realmente eficaz para la administración de Windows Server 2012 R2.
Introducción El examen 70-411 "Administración de Windows Server 2012" es el segundo de los tres exámenes obligatorios para obtener la certificación MCSA Windows Server 2012. Valida sus competencias y conocimientos en la administración de una infraestructura Windows Server 2012 y 2012 R2, en el marco de trabajo del entorno de una empresa existente. Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos oficiales(enumerados en un listado en el anexo) tanto desde el punto de vista teórico como desde un punto de vista práctico. Cada capítulo se organiza de la siguiente manera: Una definición de los objetivos a alcanzar: permite exponer, con precisión, las competencias que se abordan en cada capítulo una vez se haya validado. Una sección de formación teórica: permite definir los términos y conceptos abordados y esquematizar, mediante un hilo conductor, los distintos puntos a asimilar. Una sección de validación de conocimientos adquiridos: propuesta bajo la forma de preguntas y respuestas (171 en total). Estas preguntas, y sus respuestas comentadas, ponen de relieve tanto los elementos fundamentales como las características específicas de los distintos conceptos abordados. Trabajos prácticos (49 en total): permiten ilustrar, con precisión, ciertas partes del curso y le darán también los medios necesarios para medir su autonomía. Estos ejercicios concretos, más allá incluso de los objetivos fijados por el examen, le permitirán forjarse una experiencia relevante y adquirir verdaderas competencias técnicas sobre situaciones reales. A este dominio del producto y de los conceptos se le suma la preparación específica a la certificación: en el sitio web www.edieni.com podrá acceder gratuitamente a 1 examen en blanco en línea, destinado a entrenarse en condiciones similares a las de la prueba. En este sitio web cada pregunta que se plantea se inscribe en el espíritu de la certificación y, para cada una, las respuestas están lo suficientemente desarrolladas como para identificar y completar sus últimas lagunas.
Organización de las certificaciones Los anteriores cursos de certificación permitían acceder a la certificación MCITP (Microsoft Certified IT Professional). Estos últimos han pasado a llamarse MCSA (Microsoft Certified Solution Associate) y MCSE (Microsoft Certified Solutions Expert).
Certificación MCSA La certificación MCSA se compone de tres certificaciones. La 70-410, relativa a la instalación y la configuración de Windows Server 2012. Es necesario obtener, a continuación, la segunda certificación con numeración 70-411. Esta última es relativa a la administración de Windows Server 2012. Por último, para completar la certificación, es necesario superar el examen 70-412, que tiene como objetivo la administración avanzada de Windows Server 2012. También existen tres certificaciones MCSE (Microsoft Certified Solutions Expert).
MCSE Server Infrastructure Deben superarse dos exámenes para obtener esta certificación. Además de la certificación MCSA es necesario superar la certificación 70-413 Diseño e implementación de una infraestructura de servidor. Por último, debe superarse el examen 70-414 Implementación de una infraestructura avanzada para obtener la certificación.
MCSE Desktop Infrastructure Esta certificación se compone de dos exámenes. Es necesario obtener las certificaciones 70-415 Implementación de una infraestructura de puesto de trabajo y 70-416 Implementación del entorno de aplicaciones de escritorio.
MCSE Private Cloud Para obtener la certificación MCSE Private Cloud es necesario obtener las certificaciones 70-246 Supervisar y operar una nube privada con System Center 2012 y 70-247 Configuración e implementación de una nube privada con System Center 2012.
Cómo se organiza este libro Este libro le prepara para el examen 70-411 Administración de Windows Server 2012. Este libro se estructura en varios capítulos que le aportarán los conocimientos teóricos necesarios sobre cada área de conocimiento. A continuación, se proponen al lector los trabajos prácticos, que le permitirán poner en práctica los puntos abordados en la parte teórica. Es preferible, por tanto, seguir los capítulos en orden. En efecto, éstos conducen de manera progresiva al lector por las competencias necesarias para superar el examen. Al finalizar cada capítulo, se proponen una serie de preguntas que le permitirán validar el nivel que debe alcanzarse. Si lo supera, el lector puede pasar al siguiente capítulo. Se invita al lector a crear la maqueta, que sirve para la realización de los trabajos prácticos. Esta maqueta se compone de servidores que ejecutan Windows Server 2012 R2 Standard y puestos cliente Windows 8.1. La configuración de los roles se realiza a medida que avanzan los capítulos. El capítulo de gestión del directorio AD DS permite adquirir los conocimientos necesarios a nivel de AD. Tras haber profundizado en los conceptos del directorio LDAP de Microsoft se aborda la virtualización de los controladores de dominio. La parte teórica se completa con la gestión de la base de datos (copia de seguridad, restauración, snapshot…). La parte práctica invita al lector a crear, en primer lugar, el bosque Active Directory llamado Formacion.local. A continuación, se describe la implementación de un RODC y un controlador de dominio virtualizados. La parte teórica se completa con la administración de la base de datos (creación de una instantánea, actualización de la papelera de reciclaje de AD y desfragmentación). A continuación, se aborda la gestión del entorno del usuario. La parte teórica comprende los conceptos relativos a los parámetros de seguridad, las directivas de contraseña muy específicas y la configuración de cuentas de servicio. La parte práctica invita al lector a importar cuentas AD mediante cmdlets PowerShell, a crear directivas de contraseña muy específicas (PSO), cuentas de servicio y, para terminar, y tras haber definido una directiva de grupo, crear un informe RSOP. Las directivas de grupo se abordan en el siguiente capítulo. En esta ocasión, el lector encontrará las distintas funcionalidades de la directiva de grupo (despliegue de software, preferencias, redirección de carpetas…). Esta parte teórica se complementa con una parte práctica que refuerza los conocimientos adquiridos gracias a la teoría. A continuación, se estudian los servidores DNS y DHCP, mediante el análisis de las distintas zonas y registros, también se abordan las nociones de transferencia de zona y de borrado de los datos. La parte DHCP supone un complemento, pues no es una parte obligatoria de la certificación oficial. Se invita al lector, tras hablar de DHCP, a implementar IPAM, funcionalidad aparecida con Windows Server 2012 y que permite administrar los planes de direccionamiento IP de la empresa. El estudio prosigue con el rol Servicios de implementación de Windows. Esta funcionalidad, presente desde Windows Server 2003 SP2, ha sufrido numerosas mejoras. La versión actual, en Windows Server 2012 R2, ofrece posibilidades interesantes que se presentan en las partes teóricas y prácticas. Los dos capítulos siguientes abordan los servicios de red e invitan el lector a estudiar las distintas soluciones de VPN (DirectAccess o VPN clásica) y a implementarlas a continuación. La sección dedicada a la red está compuesta por un segundo capítulo dedicado a NAP. Una vez más, tras la parte teórica se ponen en práctica los conceptos abordados. Por último, la parte gestión de recursos es un extenso capítulo dedicado a la implementación de cuotas y filtros de archivos. Se invita al lector, en primer lugar, a conocer las distintas posibilidades en lo relativo a cuotas y filtros que es posible crear. La parte teórica se completa con DFS y su funcionamiento (espacio de nombres, escenario DFS, replicación DFS-R…). La parte práctica aborda la implementación de ambos servicios. Con el objetivo de garantizar la seguridad de los datos y de los accesos, el capítulo Cifrado de datos y auditoría presenta la funcionalidad EFS y las distintas auditorías. Los trabajos prácticos permiten implementar distintos escenarios de auditoría (acceso a una carpeta, acceso a un recurso compartido, modificación de un objeto AD). El capítulo Implementación del servidor WSUS presenta la implementación de un servidor de gestión de actualizaciones de Microsoft, los trabajos prácticos permiten al lector instalar el servidor y realizar aprobaciones para instalar o eliminar actualizaciones y, por último, generar un informe.
Por último, cierra el libro un capítulo relativo a las distintas herramientas nativas de Windows Server 2012 R2 que permiten administrar los recursos (monitor de recursos, gestión de eventos…).
Competencias probadas tras el examen 70-411 Puede encontrar, al final del libro, la tabla resumen de competencias probadas.
1. El examen de certificación El examen de certificación se compone de varias preguntas. Para cada una de ellas se proponen varias respuestas. Es necesario marcar una o varias de estas respuestas. Para superar el examen es preciso obtener una puntuación de 700. El examen se realiza en un centro homologado Prometric, no obstante la inscripción debe realizarse en el sitio web www.prometric.com. Se presentan varios sitios en la región, es necesario, una vez seleccionado el examen deseado (70-411), seleccionar el centro así como la fecha y la hora del encuentro. El día D dispondrá de varias horas para responder a las preguntas. No dude en tomarse el tiempo necesario para leer bien la pregunta y todas las respuestas. Es posible marcar las preguntas para realizar una relectura antes de finalizar el examen. El resultado se obtiene al finalizar el examen.
2. Preparación del examen Para preparar el examen de forma óptima es necesario, en primer lugar, disponer de tiempo para leer los distintos capítulos y, a continuación, trabajar en los trabajos prácticos. Las preguntas disponibles al finalizar cada módulo le permiten validar sus conocimientos. No pase al siguiente capítulo sin haber comprendido bien el anterior, y vuelva a trabajarlo tantas veces como sea necesario. Con el libro se ofrece un examen en blanco que le permitirá poner a prueba sus conocimientos antes de realizar el examen.
Las máquinas virtuales utilizadas Para poder realizar los trabajos prácticos y para evitar multiplicar el número de máquinas se utiliza un sistema de virtualización. El capítulo presenta, por ello, la instalación de una maqueta. Esta última utiliza el hipervisor de Microsoft (Hyper-V). También puede, si lo desea, utilizar su propio sistema de virtualización. A continuación se instalan varias máquinas virtuales que ejecutan Windows Server 2012 R2 o Windows 8.1. Es posible descargar las versiones de evaluación de estos productos en los siguientes enlaces: Windows 8.1: http://technet.microsoft.com/es-es/evalcenter/hh699156.aspx Windows Server 2012 R2: http://technet.microsoft.com/es-ES/evalcenter/dn205286.aspx
El administrador del servidor La consola Administrador del servidor permite administrar el conjunto del servidor. Presente desde Windows Server 2008 se produjo, con Windows Server 2012, un cambio importante. Permite agregar/eliminar roles, y también la administración de equipos remotos: es posible, con ayuda de WinRM, instalar roles y características. También es posible configurar un conjunto de servidores para administrarlos mediante esta consola.
La gestión del servidor local se lleva a cabo, también, mediante esta consola. Es posible modificar cierta información muy rápidamente, como por ejemplo el nombre del equipo, el grupo de trabajo o el dominio al que pertenece. La configuración del escritorio remoto, o la gestión remota, también son configurables.
La propiedad Configuración de seguridad mejorada para Internet Explorer permite activar o desactivar la seguridad mejorada de Internet Explorer. Por defecto, esta opción está activa. El Panel permite, también, asegurar rápidamente que no existe ningún problema en el servidor.
De este modo, es posible ver en la captura de pantalla anterior que los roles Hyper-V y Servicios de archivos y de almacenamiento funcionan correctamente. Se auditan varios elementos: Eventos, Servicios, Rendimiento y Resultados de BPA. Servicios está precedido por una cifra, lo que indica al administrador que algún servicio tiene un error, está detenido…
Haciendo clic en Servicios se abre una ventana que muestra los detalles del servicio afectado.
Detengamos el servicio de spooler ejecutando el comando
net stop spooler.
La detención del servicio spooler provocará la creación de un nuevo evento. El comando anterior permite detener el servicio spooler.
Volviendo a la consola Administrador del servidor, se ejecuta un nuevo análisis. También es posible actualizar la consola para ver el cambio. La consola le indica, ahora, que existen problemas sobre dos servicios.
Se abre una nueva ventana indicando el o los servicios que presentan problemas, haciendo clic en el vínculo Servicios.
Es posible iniciar el o los servicios deseados haciendo clic con el botón derecho en la fila correspondiente al servicio que presenta el problema y, a continuación, seleccionando la opciónIniciar servicios. Actualizando la consola Administrador del servidor comprobará que el problema relativo al spooler ha desaparecido.
El problema del servicio desaparece. Es posible realizar la misma operación para los servicios remotos. Es, no obstante, obligatorio crear un grupo que incluya estos servidores (este punto se aborda más adelante en este capítulo). El menú Herramientas permite acceder a un conjunto de consolas (Administración de equipos, Servicios, Firewall de Windows con seguridad avanzada…) y de herramientas (Diagnóstico de memoria de Windows, Windows PowerShell…). Haciendo clic en Administrar aparece un menú contextual que permite acceder a un conjunto de opciones: Propiedades del Administrador del servidor: es posible especificar el período de actualización de los datos del Administrador del servidor. Por defecto, el valor está configurado a 10 minutos. El Administrador del servidor puede configurarse para que no se ejecute automáticamente tras iniciar sesión.
Crear grupo de servidores: con el objetivo de poder administrar varios servidores desde esta máquina, conviene crear un grupo de servidores. Es posible agregar/quitar roles o, simplemente, supervisarlos. Es posible agregar servidores escribiendo su nombre o una dirección IP en la pestaña DNS.
Es posible realizar la búsqueda del puesto con ayuda de Active Directory, seleccionando la ubicación (raíz del dominio, unidad organizativa…) y, a continuación, seleccionando el nombre de la máquina.
Agregar/Quitar roles y características: las operaciones para agregar o quitar roles pueden realizarse sobre el servidor local o sobre una máquina remota. Se utiliza el protocolo WinRM para llevar a cabo esta acción. Cuando se agrega un nuevo rol aparece un nodo en la columna izquierda. Haciendo clic sobre él, el panel central da acceso a las propiedades y eventos del rol.
1. Creación de un grupo de servidores Como hemos podido ver, la creación de un grupo nos permite realizar la administración de manera remota. Esto se realiza desde la consola Administrador del servidor. El menú Administrar permite llevar a cabo esta operación (seleccione la opción Crear grupo de servidores). En la etapa de creación es necesario asignar un nombre al grupo mediante el campo Nombre de grupo de servidores.
A continuación, basta con agregar los servidores con ayuda de las distintas pestañas. La pestañaActive Directory da acceso a una lista desplegable Sistema operativo. Permite filtrar sobre un tipo de sistema concreto (por ejemplo: Windows Server 2012 / Windows 8). Basta, entonces, con hacer clic en el botón Buscar ahora, seleccionar los servidores deseados (AD1, AD2…) y, a continuación, incluirlos en el grupo mediante el botón ubicado entre los campos de selección y el campo Seleccionada.
El nuevo grupo está disponible en la consola Administrador del servidor.
Este grupo permite recuperar el estado de salud de los puestos.
2. Instalación remota de un rol Se ha creado el grupo en un servidor, vamos, a continuación, a utilizarlo para instalar el rol Servidor de fax en un servidor remoto. En la consola, es necesario hacer clic en el vínculo Agregar roles y características. En la ventana de selección del servidor de destino es posible seleccionar el servidor sobre el que se quiere realizar la instalación.
A continuación, seleccione el rol que desea instalar y continúe con la instalación.
3. Eliminar un grupo de servidores La eliminación de un grupo de servidores se opera de manera tan sencilla como su creación. La operación se realiza desde la consola Administrador del servidor. Haciendo clic con el botón derecho sobre el grupo afectado, aparece la opción Eliminar grupo de servidores disponible.
A pesar de eliminar el grupo, los puestos siguen estando presentes en la sección Todos los servidores. Es preciso eliminarlos manualmente haciendo clic con el botón derecho sobre la fila del servidor afectado.
Servidor en modo instalación mínima Cuando se instala un servidor en modo Instalación mínima o modo Core, programa explorer.exeno se encuentra instalado. Sólo está presente la ventana de comandos.
el
La administración del servidor se realiza mediante comandos DOS. Escribiendo el comando hostname es posible obtener el nombre genérico asignado al servidor. Durante la instalación, dado que no se provee el nombre, se asigna un nombre generado aleatoriamente al servidor.
Para cambiar el nombre, es posible utilizar la herramienta sconfig (véase más adelante en este mismo capítulo) o el comando netdom. La sintaxis del comando
netdomes la siguiente:
netdom renamecomputer NombreActual /NewName:SRVCore NombreActualpuede remplazarse por
%computername%(el nombre de su servidor).
Es necesaria una validación, para ello basta con presionar la tecla S y, a continuación, la tecla [Enter].
Para hacer efectivo el nombre, el servidor debe reiniciarse. Para realizar esta operación puede ejecutar el comando shutdown -r -t 0. La opción
-r permite reiniciar el servidor, -t 0indica que se desea un reinicio inmediato.
Antes de configurar la tarjeta de red es preciso recuperar su nombre. Para realizar esta operación
puede utilizar el comando
netsh interface ipv4 show interfaces.
El nombre de la tarjeta de red es Ethernet, el comando que permite configurar la interfaz es, entonces: netsh interface ipv4 set address name="NombreTarjeta" source=static address=192.168.1.15 mask=255.255.255.0 gateway=192.168.1.254 Remplace caso.
NombreTarjetapor el verdadero nombre de la tarjeta de red, Etherneten este
Ha configurado la tarjeta, aunque la dirección comando netshpermite agregar el servidor DNS:
del servidor DNS no
se
ha
informado. El
netsh interface ip set dns "NombreTarjeta" static 192.168.1.10 primary Remplace NombreTarjeta por el verdadero nombre de la tarjeta de red, nuestro caso.
Ethernet en
El comando
ipconfig /allpermite verificar la correcta configuración del puesto.
Es, ahora, posible acceder al servidor de dominio, para ello conviene utilizar el siguiente comando: netdom join SRVCore /domain:Formacion.local /UserD:Administrador /passwordD:* Debe informarse la contraseña, puesto que se ha pasado un opción /passwordD. Cuando la informe, no se mostrará ningún carácter.
asterisco
en
la
La última etapa consiste en reiniciar el servidor con el objetivo de aplicar la configuración y unirlo al dominio. Continuando con la configuración de nuestro servidor, vamos a desactivar a continuación el firewall. Una vez más, el comando netshnos permite realizar esta acción: netsh firewall set opmode disable
1. Instalación de roles con una instalación en modo Core El servidor no posee una interfaz gráfica, por lo que la instalación debe realizarse por línea de comandos. Vamos a utilizar el comando dism para enumerar, habilitar o eliminar cualquier funcionalidad del sistema operativo. Para enumerar la lista de roles y características es preciso utilizar el comando
dism:
dism /online /get-features > Caracteristicas.txt Las características disponibles en el sistema operativo en ejecución (opción /online) se enumeran (/get-features). El resultado se escribe en el archivo Caracteristicas.txt.
El archivo muestra el nombre de cada funcionalidad y su estado. Para agregar el rol o la característica es preciso utilizar el comando dism. Antes de cualquier intento de instalación, debe recuperarse el nombre de la funcionalidad concreta. Por ejemplo, para DNS, el nombre es DNSServer-Full-Role. Ejecutando el comando dism /online /Enable-Feature /FeatureName:DNS-ServerFull-Roleen una ventana de comandos DOS es posible realizar su instalación.
Ahora es posible administrar el rol desde un servidor que posea interfaz gráfica. En el caso de que el firewall esté habilitado, piense en que debe autorizar la administración remota.
Por último, dismpuede, a su vez, eliminar una funcionalidad. Para realizar esta operación debe ejecutar el siguiente comando: dism /online /Disable-Feature /FeatureName:DNS-Server-Full-Role
Se elimina el rol del servidor.
2. Agregar/eliminar la interfaz gráfica Desde Windows Server 2008 es posible instalar servidores que no posean interfaz gráfica. No obstante, una vez instalado el servidor, es imposible la marcha atrás. Desde Windows Server 2012 es posible agregar o eliminar la interfaz gráfica. La eliminación/agregación puede afectar al shell(interfaz gráfica completa) o a las herramientas e infraestructuras de administración gráfica (incluye las herramientas necesarias para administrar el servidor sin el explorador Internet Explorer). Para llevar a cabo esta operación es preciso agregar o eliminar la funcionalidad Infraestructura e interfaces de usuario. Es posible instalar o eliminar dos opciones: Infraestructura y herramientas de administración gráfica Shell gráfico de servidor
Al finalizar la instalación, la consola le indica que es necesario reiniciar el servidor. La interfaz gráfica está, ahora, presente. Basta con eliminar la funcionalidad recién instalada para volver al servidor en modo instalación mínima.
3. Configuración con sconfig Un servidor Core no posee interfaz gráfica, por lo que la configuración debe realizarse por línea de comandos. El comando sconfig, presente en las instalaciones mínimas, evita al administrador tener que introducir los distintos comandos utilizados para configurar el nombre del servidor o la configuración IP. Es posible realizar más operaciones: Configuración del grupo de trabajo o de la unión a un dominio Active Directory. Cambio del nombre de equipo. Agregar una cuenta de administrador local. Descargar e instalar las actualizaciones de Windows Update. Configuración de la fecha y la zona horaria. Desconexión, parada y reinicio del servidor. Para acceder a la interfaz basta con ejecutar el comando DOS.
sconfigen una ventana de comandos
Para seleccionar la zona horaria debe seleccionar la opción número 9. Para ello, escriba 9 y, a continuación, presione la tecla [Enter]. Podrá modificar la zona horaria así como la fecha y la hora del servidor. El menú le permite, también, acceder a la Configuración de red (opción 8). En primer lugar, conviene seleccionar la tarjeta de red deseada mediante su índice.
Una vez seleccionada la interfaz de red es preciso seleccionar el parámetro que desea modificar (dirección de la tarjeta de red, servidor DNS…).
Escriba e (para realizar una configuración estática) y, a continuación, valide su elección presionando la tecla [Enter]. Es necesario configurar, a continuación, la dirección IP, la máscara de subred y la puerta de enlace predeterminada.
No debe olvidar la configuración DNS, para ello se presenta la opción 2.
De este modo, la configuración de un servidor en modo instalación mínima resulta mucho más sencilla.
Hyper-V El capítulo dedicado a la instalación de un entorno de pruebas presenta la instalación de una maqueta, en la que el sistema de virtualización propuesto es Hyper-V. Este sistema se presenta en este capítulo. Se trata de un sistema de virtualización disponible en los sistemas operativos de servidor desde Windows Server 2008, y actualmente está disponible la versión 3. La ventaja de este hypervisor es el acceso inmediato al hardware de la máquina host (obteniendo así mejores tiempos de respuesta). Es posible instalar el rol Hyper-V con Windows Server 2012 R2 en modo instalación completa (con la interfaz gráfica instalada) o en modo instalación mínima (sin interfaz gráfica).
1. Requisitos previos de hardware Como ocurre con muchos roles en Windows Server 2012 R2, Hyper-V tiene ciertos requisitos previos. El hardware de la máquina host está afectado por estos requisitos previos. La máquina o servidor host debe poseer un procesador de 64 bits y soportar SLAT (Second LevelAddress Translation). La capacidad del procesador debe, también, responder a ciertas exigencias de las máquinas virtuales. Éstas pueden soportar un máximo de 32 procesadores virtuales. La cantidad de memoria en el servidor host debe ser superior a la memoria configurada en las máquinas virtuales. Durante la asignación de memoria a las máquinas virtuales es preciso reservar una parte para el funcionamiento de la máquina física. Si la máquina host posee 32 GB de memoria disponible, se recomienda reservar 1 o 2 GB para el funcionamiento del servidor físico (el tamaño de la reserva varía en función de los roles que estén instalados en la máquina física).
2. Las máquinas virtuales en Hyper-V Por defecto, una máquina virtual utiliza los siguientes componentes: BIOS: se simula la BIOS de un ordenador físico, es posible configurar varias opciones: El orden de arranque para la máquina virtual (red, disco duro, DVD…). La activación o bloqueo automático del teclado numérico. Memoria RAM: a la máquina virtual se le asigna una cantidad de la memoria disponible. Como máximo, es posible asignar 1 TB de memoria. Desde Windows Server 2008 R2 SP1 es posible asignar memoria dinámicamente (se verá más adelante en este mismo capítulo). Procesador: como con la memoria, es posible asignar uno o varios procesadores (en función del número de procesadores y del número de núcleos de la máquina física). Es posible asignar, como máximo, 32 procesadores a una máquina virtual. Controlador IDE: es posible configurar dos controladores IDE en la VM (Virtual Machine), cada uno con dos discos como máximo. Controlador SCSI: agrega un controlador SCSI a la máquina virtual. De este modo, es posible agregar discos duros o lectores de DVD. Tarjeta de red: por defecto, la tarjeta de red de la máquina virtual no se hereda, lo que permite obtener una mejor tasa de transferencia, pero impide a la máquina realizar un arranque PXE (arranque del servidor en la red y carga de una imagen). Para poder iniciar en red es preciso agregar una tarjeta de red heredada. Tarjeta de vídeo 3D RemoteFX: este tipo de tarjetas permiten una representación gráfica de mejor calidad, aprovechando DirectX. Seleccionando una máquina virtual y, a continuación, haciendo clic en Configuración en el menúAcciones, aparece la siguiente ventana.
Es posible configurar los siguientes componentes durante la creación de una máquina virtual (tarjeta de red, disco duro, lector DVD) o accediendo a la configuración de la máquina correspondiente.
3. La memoria dinámica con Hyper-V Tras la aparición de Windows Server 2008, el sistema de virtualización Hyper-V permitía asignar únicamente una cantidad de memoria estática. De este modo, el número de máquinas virtuales se veía reducido. Si se deseaba asignar 4 GB de RAM a un servidor, la cantidad de memoria reservada era idéntica, incluso si no existía ninguna actividad sobre la máquina virtual. La memoria dinámica permite asignar una cantidad mínima de memoria. No obstante, si la máquina virtual necesita más memoria, está autorizada a solicitar una cantidad suplementaria (esta última no puede exceder la cantidad máxima acordada). Esta funcionalidad se ha incluido en los sistemas operativos de servidor desde Windows Server 2008 R2 SP1. A diferencia de Windows Server 2008 R2, cualquier administrador puede modificar, en Windows Server 2012 R2, los valores mínimo y máximo de la memoria dinámica que una máquina puede consumir cuando ésta se encuentra encendida. La memoria buffer es una funcionalidad que permite a la máquina virtual aprovechar una cantidad de RAM suplementaria si fuera necesario.
El peso de la memoria permite implementar prioridades acerca de la disponibilidad de la memoria.
4. El disco duro de las máquinas virtuales Un disco duro virtual es un archivo que utiliza Hyper-V para representar los discos duros físicos. De este modo, es posible almacenar, en estos archivos, sistemas operativos o datos. Es posible crear un disco duro utilizando: La consola Administrador de Hyper-V. La consola Administrador de discos. El comando de DOS diskpart. El comando de PowerShell New-VHD. Con la llegada de la nueva versión de Hyper-V, contenida en Windows Server 2012, es posible utilizar un nuevo formato, el VHDX. Este nuevo formato ofrece varias ventajas respecto a su predecesor, el formato VHD (Virtual Hard Disk). De este modo, el tamaño de los archivos no está limitado a 2 TB, cada disco duro virtual puede tener un tamaño máximo de 64 TB. El VHDX es menos sensible a la corrupción de archivos tras un corte inesperado (debido a un fallo de corriente, por ejemplo) del servidor. Es posible convertir los archivos VHD existentes en VHDX (este punto se aborda más adelante en este mismo capítulo).
Windows Server 2012 R2 soporta el almacenamiento de los discos duros virtuales sobre particiones de archivo SMB 3. Tras la creación de una imagen virtual Hyper-V bajo Windows Server 2012 R2 es posible especificar un recurso compartido de red.
Los distintos tipos de discos Durante la creación de un nuevo disco duro virtual, es posible crear distintos tipos de discos, incluyendo discos de tamaño fijo, dinámico o pass-through. Durante la creación de un disco virtual de tamaño fijo se reserva en disco el tamaño total correspondiente al archivo. De este modo, es posible limitar la fragmentación en el disco duro de la máquina host y mejorar el rendimiento. No obstante, este tipo de discos ofrecen el inconveniente de que consumen el espacio de disco incluso si el archivo VHD no contiene datos. Durante la creación de un disco de tamaño dinámico se define un tamaño máximo para los archivos. El tamaño del archivo aumenta en función del contenido hasta alcanzar el tamaño máximo. Durante la creación de un archivo VHD de tipo dinámico, este último tiene un tamaño de 260 KB frente a los 4096 KB necesarios para un formato VHDX. Es posible crear un archivo VHD mediante el cmdlet de PowerShell New-VHDy el parámetro -Dynamic. El disco virtual de tipo pass-through permite a una máquina virtual acceder directamente al disco físico. El disco se considera como un disco interno para el sistema operativo de la máquina virtual. Esto puede resultar muy útil para conectar la máquina virtual a una LUN (Logical Unit Number) iSCSI. No obstante, esta solución requiere un acceso exclusivo de la máquina virtual al disco físico correspondiente. Este último debe dejarse fuera de servicio mediante la consola Administrador de discos.
Administración de un disco virtual Es posible realizar ciertas operaciones sobre los archivos VHD. Es posible, por ejemplo, comprimirlo para reducir el volumen utilizado o convertir el formato VHD en VHDX. Durante la conversión del disco virtual, el contenido se copia sobre un nuevo archivo (conversión de un archivo de tamaño fijo en uno de tamaño dinámico, por ejemplo). Una vez copiados los datos e implementado el nuevo disco, el anterior archivo se elimina. Es posible realizar otras operaciones tales como la reducción de un archivo dinámico. Esta opción permite reducir el tamaño de un disco siempre que no utilice todo el espacio que se le ha asignado. Para los discos de tamaño fijo es necesario convertir antes el archivo VHD en un archivo de tipo dinámico. Estas acciones pueden llevarse a cabo mediante el Asistente para editar discos duros virtuales, opción Editar disco… en el panel Acciones. La ventana nos da acceso a varias opciones.
También es posible utilizar los cmdlets de PowerShell resize-partitiony resize-vhd para realizar la compresión de un disco duro virtual dinámico.
Los discos de diferenciación Un disco de diferenciación permite reducir el tamaño necesario para el almacenamiento. En efecto, este tipo de discos consiste en crear un disco padre común a varias máquinas virtuales y un disco que contiene las modificaciones que se realizan respecto al disco padre, disco que es propio de cada máquina. El tamaño necesario para almacenar las máquinas virtuales se ve, de este modo, reducido. Preste atención, la modificación de un disco padre provoca errores en los vínculos con los discos de diferenciación. Es, por tanto, necesario volver a conectar los discos de diferenciación utilizando la opción Inspeccionar disco... en el panel Acciones. Es posible crear un disco de diferenciación utilizando el cmdlet de PowerShell New-VHD. El siguiente comando permite crear un disco de diferenciación llamado Diferencial.vhd, que utiliza un disco padre llamado Padre.vhd.
New-VHD c:\Diferencial.vhd -ParentPath c:\Padre.vhd
5. Las instantáneas en Hyper-V Un snapshot (instantánea) se corresponde con una "foto" de la máquina virtual en el momento en que se realiza. Este último está contenido en un archivo con la extensión avhd o avhdx en función del tipo de archivo de disco duro seleccionado. Es posible realizar un snapshot seleccionando la máquina y haciendo clic en la opción Instantánea en el panel Acciones.
Cada máquina puede poseer hasta 50 snapshots. Si este último se crea mientras la máquina se encuentra iniciada, el snapshot incluirá el contenido de la memoria viva. Si se utiliza un snapshot para restablecer un estado anterior, es posible que la máquina virtual no pueda conectarse al dominio. En efecto, se produce un intercambio entre el controlador de dominio y la máquina virtual unida al dominio. Restaurando una máquina, este intercambio (contraseña) se restablece también. No obstante, la contraseña restablecida puede no seguir siendo válida, de modo que se rompería el canal seguro. Es posible reiniciarla realizando una nueva unión al dominio o utilizando el comando netdom resetpwd. Preste atención, el snapshot no remplaza, en ningún caso, a la copia de seguridad, pues los avhd o avhdx se almacenan en el mismo volumen que la máquina virtual. En caso de degradación en el disco, se perderían todos los archivos.
6. Gestión de redes virtuales Es posible crear varios tipos de redes y aplicarlos a una máquina virtual, lo cual permite a las distintas estaciones comunicarse entre sí o con los equipos externos a la máquina host (router, servidor…).
Los conmutadores virtuales Un conmutador virtual se corresponde con un conmutador físico, que podemos encontrar en cualquier red informática. También conocido como red virtual, con Windows Server 2008, hablamos ahora de conmutador virtuales desde Windows Server 2012. Es posible gestionarlos utilizando la opción Administrador de conmutadores virtuales en el panel Acciones. Es posible crear tres tipos de conmutadores: Externo: con este tipo de conmutador virtual es posible utilizar la tarjeta de red de la máquina host en la máquina virtual. De este modo, este conmutador virtual tiene una conexión sobre la red física que le permite acceder a los equipos o servidores de la red física. Interno: permite crear una red entre la máquina física y las máquinas virtuales. Es imposible, para las máquinas de la red física, comunicarse con las VM. Privada: la comunicación puede realizarse únicamente entre las máquinas virtuales, la máquina host no puede conectarse con ninguna de las VM.
Una vez creado, conviene volver a vincular la tarjeta de red de la VM con el conmutador deseado.
Requisitos previos y objetivos 1. Requisitos previos Poseer ciertas nociones sobre virtualización de servidores. Tener nociones sobre el funcionamiento de un sistema operativo.
2. Objetivos Configuración del servidor Hyper-V. Instalación de la maqueta que permitirá realizar los trabajos prácticos.
El entorno de pruebas El entorno de pruebas permite crear un entorno virtual o físico para llevar a cabo las pruebas. Éstas se realizan sin poner en riesgo máquinas o servidores en producción. La virtualización permite disminuir el número de máquinas físicas necesarias. Todas las máquinas virtuales funcionan sobre el mismo servidor físico. Será, no obstante, necesario disponer de una cantidad de memoria y un espacio de disco suficientes.
1. Configuración necesaria Se requiere una máquina potente para soportar todas las máquinas virtuales; la maqueta descrita más adelante está equipada con un procesador Pentium Core i7 con 8 GB de RAM. El sistema operativo instalado es Windows Server 2012 R2. Si su configuración es inferior, bastará con arrancar solamente aquellas máquinas virtuales necesarias. Es útil prever un mínimo de 1 GB para la máquina host, y unos 7 GB para el conjunto de máquinas virtuales. La solución de virtualización que se ha escogido es Hyper-V, integrada en las versiones servidor de Windows desde la versión 2008. Es posible, desde Windows 8, utilizar Hyper-V en los sistemas operativos cliente.
2. Instalación de Windows Server 2012 R2 Antes de instalar Windows Server 2012 R2 en el puesto físico es necesario respetar los requisitos previos del sistema operativo. Procesador: 1,4 GHz como mínimo, y arquitectura de 64 bits. Memoria RAM: 512 MB como mínimo. No obstante, un servidor equipado con 1024 MB es, en mi opinión, el mínimo aceptable. Espacio de disco: una instalación básica, sin ningún rol, requiere un espacio de disco de 15 GB. Habrá que prever un espacio más o menos adecuado en función del rol del servidor. Desde Windows 2008 se proporcionan dos tipos de instalación. Una instalación completa: con una interfaz gráfica que permite administrar el servidor de manera visual o por línea de comandos. Una instalación mínima: el sistema operativo se instala sin ninguna interfaz gráfica. Sólo se muestra en pantalla una línea de comandos: la instalación de roles y características, o la administración cotidiana del servidor, se realizan por línea de comandos. Es, no obstante, posible administrar los distintos roles de forma remota instalando archivos RSAT en un puesto remoto. Ciertos criterios, tales como las características técnicas del servidor o la voluntad de reducir la administración, facilitan la elección entre ambos tipos de instalación. Si el servidor posee características limitadas o si desea reducir el número de actualizaciones que tendrá que instalar se recomienda realizar una instalación mínima. Una vez terminada la instalación del servidor es necesario reconfigurar el nombre del servidor y definir su configuración IP.
Creación de las máquinas virtuales La siguiente etapa consiste en la instalación del rol Hyper-V y la creación, instalación y configuración posterior de las distintas máquinas virtuales.
Haga clic en el Administrador del servidor
.
En la consola, haga clic en Agregar roles y características.
Se abre el asistente, haga clic en Siguiente. Dado que Hyper-V es un rol, deje marcada la opción por defecto Instalación basada en características o en roles y, a continuación, haga clic en Siguiente.
Verifique que el servidor de destino es el suyo y haga clic en Siguiente.
Marque la opción Hyper-V y, a continuación, haga clic en Agregar características. Haga clic en Siguiente en la ventana de instalación de características. Es necesario crear un conmutador virtual: haga clic en la tarjeta de red para realizar un puente
entre la red física y la máquina virtual. Haga clic dos veces en Siguiente y, a continuación, en Instalar. Reinicie el servidor una vez terminada la instalación. Haga clic en el botón Inicio y, a continuación, acceda a las Herramientas administrativas y haga clic en el Administrador de Hyper-V.
Ahora es preciso configurar la interfaz de red. Es posible utiliza la tarjeta física o crear una tarjeta interna. Para esto último, existen dos opciones: Red interna: se crea una red virtual entre la máquina host y las máquinas virtuales. Es imposible alcanzar una máquina en la red física (servidor, impresora de red…). Red privada: las máquinas virtuales están aisladas de la máquina host, es imposible conectar con la máquina física y las máquinas de la red física. Haga clic en Administrador de conmutadores virtuales en la consola Hyper-V (panel Acciones).
Haga clic en Nuevo conmutador de red virtual y, a continuación, seleccione el tipo Interno.
Acepte la selección haciendo clic en el botón Crear conmutador virtual. Dé nombre a la tarjeta creada en la red virtual "Interna". Repita la operación para crear el conmutador de red virtual Interna 2.
Haga clic en Aplicar y, a continuación, en Aceptar.
1. Esquema de la maqueta Se van a crear siete máquinas virtuales, los sistemas operativos utilizados serán Windows Server 2012 R2 y Windows 8.1. Durante la instalación de las máquinas virtuales, éstas serán miembro del grupo de trabajo Workgroup. A continuación, crearemos el dominio de Active Directory Formacion.local. Se utilizarán dos redes, con dos rangos diferentes de direcciones IP, enlazadas mediante un servidor SRV-RT. La maqueta contiene cinco servidores y dos puestos cliente: AD1, controlador de dominio del dominio Formacion.local. AD2, controlador de dominio del dominio Formacion.local. SV1, servidor miembro del dominio Formacion.local. SV2, servidor miembro del dominio Formacion.local. SRV-RT, servidor miembro con el rol de enrutador. CL8-01, puesto de cliente Windows 8.1 miembro del dominio Formacion.local. CL8-02, puesto de cliente Windows 8.1 miembro del dominio Formacion.local.
Roles instalados y configuración de los servidores y puestos: Rol instalado AD1
Active Directory, DNS y DHCP
Configuración IP Dirección IP: 192.168.1.10 Máscara de subred: 255.255.255.0 Puerta de 192.168.1.254
enlace
predeterminada:
Servidor DNS primario: 192.168.1.10 AD2
Active Directory y DNS
Dirección IP: 192.168.1.11 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.1.254 Servidor DNS primario: 192.168.1.10
SV1
Ningún rol
Dirección IP: 192.168.1.12 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.1.254 Servidor DNS primario: 192.168.1.10
SV2
Ningún rol
Dirección IP: 192.168.1.13 Máscara de subred: 255.255.255.0 Puerta de 192.168.1.254
enlace
predeterminada:
Servidor DNS primario: 192.168.1.10 CL801y CL802
Ningún rol
Configuración atribuida por el servidor DHCP
SRV-RT
Enrutador
Tarjeta de red 1: Dirección IP: 192.168.1.254 Máscara de subred: 255.255.255.0 Servidor DNS primario: 192.168.1.10 Tarjeta de red 2: Dirección IP: 172.16.1.254 Máscara de subred: 255.255.0.0
La instalación y la configuración de los roles se detallan más adelante en este libro.
2. Máquina virtual AD1 El procedimiento detallado a continuación debe reproducirse para los demás servidores.
a. Creación y configuración de la VM En la consola Hyper-V, haga clic en Nuevo dentro del panel Acciones y, a continuación, enMáquina virtual. En la ventana Antes de comenzar, haga clic en Siguiente. Escriba AD1 en el campo Nombre y, a continuación, haga clic en Siguiente.
Seleccione la opción Generación 2 y, a continuación, haga clic en el botón Siguiente.
Escriba 1024 en el campo Memoria de inicio. Haga clic en Siguiente.
En la ventana Configurar funciones de red, seleccione la tarjeta de red deseada (interna o tarjeta de red física) y haga clic en Siguiente. Escriba 60 en el campo Tamaño del disco y valide con el botón Siguiente.
Conecte, a la máquina virtual, la ISO o el DVD de Windows Server 2012 R2 y haga clic enSiguiente.
En la ventana de resumen, haga clic en Finalizar. Aparece la nueva máquina en la ventana central de la consola. El disco duro de la máquina se ha creado, pero está virgen. Es preciso particionarlo e instalar un sistema operativo.
b. Instalación del sistema operativo En la consola Hyper-V, haga doble clic en la máquina que acaba de crear y, a continuación, haga clic en el botón que permite iniciar la VM (icono verde).
La máquina arranca y se inicia la instalación de Windows Server 2012 R2. Haga clic en Siguiente en la ventana que permite escoger el idioma (el idioma Español está seleccionado por defecto).
Haga clic en Instalar ahora para iniciar la instalación. Haga clic en la versión Estándar (instalación con interfaz de usuario). Acepte el contrato de licencia y, a continuación, haga clic en Siguiente. Seleccione el tipo de instalación Personalizada: instalar solo Windows (avanzado).
Con ayuda de la opción Opciones de unidad (avanz.), cree dos particiones de 30 GB. Haga clic en la primera partición de 30 GB y, a continuación, en Siguiente. Se completa la instalación… Escriba la contraseña Pa$$w0rd y, a continuación, confírmela.
Termina la instalación. La siguiente etapa consiste en la modificación del nombre del equipo y la configuración IP de la máquina. Los roles se instalarán a lo largo de los siguientes capítulos.
c. Configuración post-instalación Realice un [Ctrl][Alt][Fin] en la máquina virtual recién instalada, o haga clic en el primer icono de la barra de herramientas para escribir un nombre de usuario y una contraseña.
Abra una sesión como administrador, introduciendo la contraseña configurada en la sección anterior. En el Administrador del servidor, haga clic en Configurar este servidor local.
Haga clic en Nombre de equipo para abrir las propiedades del sistema.
Haga clic en Cambiar y, a continuación, escriba AD1 en el campo Nombre de equipo. Haga clic dos veces en Aceptar y, a continuación, en Cerrar. Reinicie la máquina virtual para que se hagan efectivos los cambios. A continuación es preciso configurar la dirección IP de la tarjeta de red. Haga clic con el botón derecho en Centro de redes y recursos compartidos y, a continuación, haga clic en Abrir. Haga clic en Cambiar configuración del adaptador.
Haga doble clic en la tarjeta de red y, a continuación, en Propiedades. En la ventana de Propiedades, haga doble clic en Protocolo de Internet versión 4
(TCP/IPv4).
Configure la interfaz de red como se muestra a continuación.
Estas manipulaciones hay que reproducirlas, con otros parámetros, en las siguientes máquinas virtuales. Las modificaciones que hay que llevar a cabo son el nombre del equipo y su configuración IP.
3. Máquina virtual AD2 Este servidor es el segundo controlador de dominio de la maqueta, llamado AD2. La cantidad de memoria asignada es de 1024 MB y el disco virtual de 60 GB, repartido en dos particiones. Dirección IP: 192.168.1.11 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.1.254 Servidor DNS preferido: 192.168.1.10 Contraseña del administrador local: Pa$$w0rd Los roles se instalarán en los siguientes capítulos. La máquina no debe unirse al dominio.
4. Máquina virtual SV1 Servidor miembro del dominio. Se instalarán distintos roles más adelante. La cantidad de memoria asignada es de 1024 MB y el disco virtual de 60 GB, repartido en dos particiones.
Nombre de equipo: SV1 Dirección IP: 192.168.1.12 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.1.254 Servidor DNS preferido: 192.168.1.10 Contraseña del administrador local: Pa$$w0rd
5. Máquina virtual SV2 Servidor miembro del dominio. Se instalarán distintos roles más adelante. La cantidad de memoria asignada es de 1024 MB y el disco virtual de 60 GB, repartido en dos particiones. Nombre de equipo: SV2 Dirección IP: 192.168.1.13 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.1.254 Servidor DNS preferido: 192.168.1.10 Contraseña del administrador local: Pa$$w0rd
6. Máquina virtual CL8-01 Puesto cliente con Windows 8.1, miembro del dominio. La configuración IP se realizará mediante un contrato DHCP. La cantidad de memoria asignada es de 1024 MB y el disco virtual de 30 GB, repartido en una sola partición. Nombre de equipo: CL8-01 Contraseña del administrador local: Pa$$w0rd
7. Máquina virtual SRV-RT Servidor miembro del dominio. Se instalarán distintos roles más adelante. La cantidad de memoria asignada es de 1024 MB y el disco virtual de 60 GB, repartido en dos particiones. Este servidor virtual contiene dos interfaces, cada una conectada a un conmutador virtual distinto. Nombre de equipo: SRV-RT Tarjeta de red 1: Dirección IP: 192.168.1.254 Máscara de subred: 255.255.255.0 Servidor DNS preferido: 192.168.1.10 Tarjeta de red 2: Dirección IP: 172.16.1.254
Máscara de subred: 255.255.0.0 Contraseña del administrador local: Pa$$w0rd
8. Máquina virtual CL8-02 Puesto cliente con Windows 8.1, miembro del dominio. La configuración IP se realizará mediante un contrato DHCP. La cantidad de memoria asignada es de 1024 MB y el disco virtual de 30 GB, repartido en una sola partición. Nombre de equipo: CL8-02 Contraseña del administrador local: Pa$$w0rd
9. Las instantáneas Las instantáneas permiten salvaguardar el estado de la máquina virtual. Es, así, posible restablecer la captura instantánea y volver con facilidad a un estado anterior. Abra la consola Administrador de Hyper-V. Haga clic con el botón derecho sobre la VM elegida y, a continuación, seleccione Instantánea. En la consola aparece la captura instantánea.
Una vez realizada la misma operación sobre el conjunto de máquinas virtuales, es posible restaurar el estado de una o varias VM de la maqueta.
Requisitos previos y objetivos 1. Requisitos previos Poseer competencias en Active Directory. Tener conocimientos acerca de sistemas de virtualización.
2. Objetivos Presentación del servicio AD DS (Active Directory Domain Services). Presentación de las novedades relativas a la virtualización del controlador de dominio. Mantenimiento de la base de datos de Active Directory.
Introducción El directorio Active Directory es un componente esencial en un sistema de IT. Gestionado por un controlador de dominio, es importante realizar la administración cotidiana de este servidor minuciosamente.
Presentación de Active Directory Domain Services Active Directory utiliza una base de datos donde se almacena la información necesaria para realizar la identificación de los distintos objetos de Active Directory (equipos, grupos, usuarios…). Esta base de datos se almacena y administra mediante un servidor llamado controlador de dominio. Éste se encarga de autenticar a los distintos usuarios y equipos del dominio. Esta autenticación les permite acceder a los recursos de la red.
1. Los distintos componentes de AD DS Los componentes de Active Directory pueden clasificarse en dos categorías, componentes físicos y componentes lógicos.
Los componentes físicos Los controladores de dominio son un componente físico, contienen una copia de la base de datos. La carpeta SYSVOL es una carpeta compartida y se encuentra una réplica en cada servidor que tenga el rol de controlador de dominio. Los servidores tienen un rol de catálogo global y poseen la lista de objetos que se han creado en el bosque, así como parte de sus atributos (aquellos que se replican en el catálogo global). De este modo, las búsquedas de un objeto presente en el bosque son mucho más rápidas. Por último, el componente RODC (Read Only Domain Controller) aparece con Windows Server 2008 y consiste en la instalación de un controlador de dominio de solo lectura. A diferencia de un controlador de dominio que posea permisos de escritura, es imposible realizar modificaciones sobre un RODC.
Los componentes lógicos Como complemento a los componentes físicos, una solución Active Directory posee, también, componentes lógicos. Hemos visto, antes, que toda la información de un objeto se contiene en una base de datos. Ésta se compone de varias particiones: Dominio Esquema DNS Configuración La partición de dominio contiene los distintos objetos que se han creado en el dominio. A diferencia de esta última, la partición de esquema contiene todos los objetos que pueden crearse. Además, las dos particiones contienen, a su vez, distintos atributos de los objetos. La sección Configuración está compuesta por la topología del bosque, de modo que encontramos información relativa al dominio, sitios y conexiones entre controladores de dominio. Por último, la partición DNS contiene las distintas zonas del servidor. Para ello, es preciso que el servidor DNS se instale sobre un controlador de dominio. Es posible clasificar otros componentes dentro de la familia de componentes lógicos, la arborescencia de dominio y el bosque forman parte de esta familia. El bosque Active Directory consiste en una serie de dominios vinculados entre sí por una relación de confianza bidireccional transitiva. Cuando varios nombres de dominio tienen una raíz DNS común (Formacion.local, ES.Formacion.local, EU.Formacion.local), estos últimos se presentan bajo la misma arborescencia de dominio. Por último, también es posible encontrar sitios AD así como unidades organizativas. Los sitios Active Directory permiten dividir un dominio de cara a su replicación. Esto permite ahorrar en ancho de banda entre ambos sitios remotos, por ejemplo. La unidad organizativa es un objeto de Active Directory sobre el que es posible posicionar directivas de grupo. Este objeto puede, a su vez, servir para implementar delegaciones.
2. Visión general de las nociones de esquema y bosque de Active Directory
Un bosque Active Directory se compone de una o varias arborescencias de dominio. Cada una de estas arborescencias contiene, a su vez, varios dominios. El nombre del bosque es idéntico al del primer dominio creado. Este último, llamado dominio raíz, contiene, por lo general, objetos que sólo están presentes en él. De este modo, podemos encontrar cuentas de administradores de empresa, administradores del esquema o los roles FSMO (Flexible Single Master Operation) Maestro de esquema y Maestro de nomenclatura de dominios. Un usuario externo al bosque no puede acceder a un recurso presente en un dominio del bosque. En el caso de que existan dos bosques de Active Directory es preciso crear una relación de confianza entre bosques para permitir a los usuarios del bosque A acceder a los recursos del bosque B, y viceversa. No obstante, este tipo de relación de confianza posee dos requisitos previos: Nivel funcional mínimo Windows Server 2003 en ambos bosques. Redirector condicional configurado sobre los servidores DNS (generalmente controlador de dominio raíz de ambos bosques).
sobre
el
La implementación de una relación de confianza de este tipo permite a todos los usuarios del bosque A acceder a todos los recursos del bosque B (en función de las ACL) y viceversa. Es, por tanto, necesario limitar las personas que tendrán acceso a los recursos o pueden conectarse a un equipo, conviene implementar la autenticación selectiva. El administrador debe configurar las autorizaciones para el usuario del segundo dominio sobre la cuenta de equipo del o de los servidores deseados. Debe utilizarse, para ello, el permiso NTFS Permiso para autenticar.
El esquema Active Directory contiene el conjunto de objetos que pueden crearse, así como sus atributos. Cuando se ejecuta un proyecto de migración o de instalación de un servidor Exchange, es preciso actualizar el esquema. Esta etapa se realiza automáticamente tras una migración de
Windows Server 2008 R2 a Windows Server 2012 o superior. En efecto, la etapa de promoción de un controlador de dominio se ha visto simplificada para determinar si es necesario llevar a cabo la etapa de actualización. Esta operación debe realizarse sobre el servidor que posea el rol FSMO Maestro de esquema, además la cuenta que ejecuta la operación debe ser miembro del grupo Administradores de esquema. La consola Esquema de Active Directory no está accesible por defecto, para habilitarla es preciso ejecutar el comando Regsvr32 Schmmgmt.dll.
A continuación, es posible agregar el componente visual Esquema de Active Directory a la consola.
La consola permite visualizar las distintas clases de objeto así como sus atributos.
3. La estructura del directorio Active Directory Un dominio Active Directory consiste en un grupo de usuarios y equipos que pertenecen a una misma entidad. Esta agrupación se realiza con el objetivo de simplificar la seguridad y la
administración de la red informática. Hemos visto que un bosque está compuesto de varios dominios y, estos últimos, pueden contener varios controladores de dominio, por lo que resulta necesario que la base de datos de Active Directory (ntds.dit) se replique sobre varios servidores. Hablamos, en este caso, de replicación intersitio para una replicación entre servidores de sitios diferentes (por ejemplo, un sitio creado en Barcelona y otro en Madrid). La replicación intrasitio se corresponde con una replicación entre dos controladores de dominio de un mismo sitio AD. Un usuario o equipo puede, por tanto, autenticarse en todos los controladores de dominio que componen su dominio, los cuales le autorizan el acceso a los distintos recursos. Sólo es posible realizar el inicio de sesión si la cuenta de usuario y la cuenta de equipo están autenticadas. Tras haber unido un equipo al dominio, se crea una cuenta para él. Como ocurre con los usuarios, esta cuenta de equipo posee una contraseña que cambia cada 30 días, de modo que se establece un canal seguro entre el controlador de dominio y la estación. En el caso de la restauración de un equipo de trabajo o, incluso peor, de un controlador de dominio, también se restaura la contraseña de una o varias máquinas. Desgraciadamente es diferente a la contraseña almacenada en el servidor, o a la inversa. En este momento, se rompe el canal seguro y no es posible realizar ningún inicio de sesión. Existen diversos comandos que permiten realizar el cambio de contraseña en ambos lados. Es posible, a su vez, sacar y volver a meter el equipo de trabajo en el dominio, con el objetivo de repararlo. De este modo, es fácil comprobar la importancia de un controlador de dominio. A modo de recordatorio, contiene además de la base de datos una carpeta compartida llamada SYSVOL que contiene parte de las directivas de grupo creadas y los scripts de usuario (estos puntos se abordan en capítulos posteriores). Para evitar modificaciones fraudulentas o accidentales sobre los objetos contenidos en la base de datos es posible, desde Windows Server 2008, instalar un controlador de dominio de solo lectura (RODC, Read Only Domain Controller). Este punto se desarrolla más adelante en este capítulo. Tras la creación del directorio Active Directory se crean varios objetos, además de los distintos usuarios, grupos o cuentas de equipos. Las carpetas de sistema Builtin y Users contienen los distintos grupos y usuarios por defecto (Administrador, Administradores de dominio, Operador de copia de seguridad…). A nivel de unidades organizativas únicamente se crea por defecto la OU (Organizational Unit) Domain Controllers. Es posible proceder a la creación de varias unidades organizativas y anidarlas si es necesario. Permiten asignar directivas de grupo al conjunto de usuarios o equipos que la componen, además de implementar delegaciones. Esta acción consiste en otorgar a otro usuario permisos más o menos limitados (restablecer la contraseña, agregar/eliminar una cuenta…).
Implementación de controladores de dominio virtualizados La virtualización es una solución que se utiliza, a día de hoy, en la gran mayoría de parques informáticos. Además de permitir obtener una ganancia de sitio en las salas de servidores, permite alcanzar un mejor uso de los recursos de los servidores. En efecto, trabajando con servidores físicos, los recursos de hardware no siempre se utilizaban en su totalidad. Entre los servidores virtualizados es frecuente encontrar servidores con el rol de controlador de dominio. Microsoft recomienda tener, como mínimo, un controlador de dominio instalado sobre un servidor físico, puesto que este tipo de servidores arrancan con mayor velocidad que un servidor virtual que necesita, previamente, el arranque de la máquina host. Esta recomendación es principalmente útil en caso de producirse algún corte de corriente y la detención de todos los servidores.
1. Despliegue de controladores de dominio virtualizados A partir de Windows Server 2012 se implementa una nueva funcionalidad a nivel de la virtualización de controladores de dominio. Ahora es posible realizar un clonado de un controlador de dominio. En los sistemas operativos anteriores, los controladores de dominio no conocían su estado virtualizado. Los snapshots sobre las máquinas virtuales no estaban, por tanto, recomendados. Con la aparición de Windows Server 2012 los servidores con el rol de controlador de dominio tienen, ahora, consciencia de su estado virtualizado. De este modo, en lo sucesivo es posible realizar el clonado de un controlador de dominio virtualizado o implementar snapshots sobre DC virtualizados. La operación de clonado requiere ciertas precauciones, es imposible tener, en el mismo bosque, dos controladores de dominio con el mismo nombre, GUID (Globally Unique Identifier) o SID (Security Identifier). El despliegue de controladores de dominio se ve, de este modo, enormemente facilitado. No obstante, es preciso tener en cuenta ciertos requisitos previos: El servidor que posee el rol FSMO Emulador PDC debe, obligatoriamente, encontrarse sobre un controlador de dominio que ejecute Windows Server 2012 o superior. El maestro Emulador PDC procede a la creación de los distintos identificadores necesarios para el nuevo controlador de dominio clonado para ser considerado servidor réplica. Este servidor debe estar disponible durante la etapa de clonado. El hypervisor que gestiona las máquinas virtuales debe incluir la funcionalidad que permite generar el ID. Hyper-V 3.0, presente desde Windows Server 2012, posee esta funcionalidad. La etapa de clonado utiliza archivos XML para llevar a cabo las distintas etapas de la operación. La configuración del nuevo controlador de dominio se encuentra en el archivo DcCloneConfig.xml. Este archivo se genera mediante un cmdlet PowerShell si no existe ninguna aplicación no autorizada sobre el servidor. En efecto, algunos roles tales como DHCP, Entidad certificadora, etc., no son compatibles con el clonado de DC, de modo que es necesario, previamente, desplazar estos roles a algún otro servidor. Además, es posible que algunas de sus aplicaciones estén consideradas como excluidas (no autorizadas), en cuyo caso es primordial asegurarse en primer lugar con el fabricante acerca de la compatibilidad del software con la funcionalidad de clonado. A continuación, es necesario crear una excepción y autorizar así la aplicación excluida anteriormente. Esta operación se realiza mediante cmdlets PowerShell. Una vez realizada la verificación, y si no existe ninguna aplicación excluida presente en el servidor, se crea el archivo de clonado DcCloneConfig.xml en la carpeta NTDS. A continuación, es necesario exportar la máquina virtual e importarla. Al arrancar la máquina clonada, se realizan las etapas de configuración. Si la máquina original se ha detenido, piense en arrancarla antes de la VM clonada.
2. Gestión de los controladores de dominio virtualizados Desde Windows Server 2012 es posible aplicar un snapshot sobre un servidor virtualizado y
utilizarlo si fuera necesario. Tras la restauración de un estado anterior (uso del snapshot), el controlador de dominio va a intentar realizar una restauración no autoritativa. De este modo, tratará de replicarse con sus servidores asociados de replicación. Se recomienda, en tal caso, no restaurar todos los controladores de dominio en el mismo momento, pues la replicación no podrá llevarse a cabo y ningún servidor hará de autoridad. Se inicia una replicación y se elimina el pool de RID (Relative ID) del controlador de dominio restaurado. Tras esta eliminación se le atribuye un nuevo pool de RID (esto permite evitar una duplicación de los SID en AD DS). También se inicia una replicación no autoritativa de la carpeta SYSVOL. Es posible utilizar cmdlets PowerShell para realizar la gestión de los snapshots de Hyper-V. La creación de un snapshot se realiza mediante el cmdlet Checkpoint-VM mientras que la exportación se lleva a cabo mediante el cmdlet Export-VMSnapshot. Es posible obtener la lista de snapshots asociados a una máquina virtual mediante el comando Get-VMSnapshot. Es posible eliminar, renombrar o restaurar un snapshot mediante las instrucciones RemoveVMSnapshot,Rename-VMSnapshoty Restore-VMSnapshotrespectivamente. Por último, para terminar con los snapshots, es preciso tener en cuenta los puntos siguientes: Los snapshots no remplazan a la copia de seguridad cotidiana. No se debe restaurar un snapshot que se haya tomado antes de realizar la promoción de un servidor pues la promoción del servidor tendrá que realizarse manualmente. Preste atención, no obstante, a que es necesario realizar una limpieza previa de la base de datos de AD. El procedimiento (cleanup metadata) está disponible en el sitio web de Microsoft:http://technet.microsoft.com/en-us/library/cc816907(v=ws.10).aspx
Implementación de un RODC El RODC (Read Only Domain Controller) es un servidor con el rol de controlador de dominio. Este servidor posee, únicamente, permisos de solo lectura sobre la base de datos. Es, por tanto, imposible realizar modificaciones desde este servidor. Los atributos considerados como críticos (contraseña, por ejemplo) no se replican sobre los RODC. Por defecto, entonces, un controlador de dominio de solo lectura sólo transmite la solicitud de autenticación a su controlador de dominio de escritura. Este mecanismo puede suponer, rápidamente, un problema en caso de ruptura de una línea WAN (Wide Area Network), por lo que es necesario realizar el almacenamiento en caché de las contraseñas. Para ello es preciso indicar al servidor con permisos de escritura sobre la base de datos de AD los usuarios y equipos a los que se quiere aplicar este almacenamiento en caché. Tras la siguiente replicación se produce el almacenamiento en caché. El almacenamiento en caché de la cuenta de equipo es necesario puesto que el inicio de sesión requiere la validación de la contraseña del equipo y del usuario. Si alguna de las dos contraseñas no fuera válida o no pudiera comprobarse (línea WAN cortada) sería imposible realizar el inicio de sesión.
La administración de un controlador de dominio (para la instalación de una impresora, por ejemplo) supone poseer una delegación o ser miembro del grupo Administradores de dominio. Con un RODC es posible delegar la administración local a un usuario de dominio. Éste no podrá administrar Active Directory (salvo si es miembro del grupo Administradores de dominio). Es frecuente ver zonas DNS integradas con Active Directory con el objetivo de facilitar la replicación y securizar las actualizaciones dinámicas. Sobre un RODC es posible instalar el rol DNS e integrar las zonas con AD. No obstante, como con Active Directory, el servidor DNS es de solo lectura. La instalación del RODC supone el cumplimiento de ciertos requisitos previos. De este modo, es necesario tener un nivel funcional Windows Server 2003 o superior a nivel del bosque. La actualización del esquema se realiza mediante el comando adprep /RODCPrepantes de cualquier intento de instalación. Por último, es preciso disponer de al menos un controlador de dominio con Windows Server 2008 o superior. Preste atención, solo es posible tener un servidor con el rol RODC por sitio AD.
Una vez validados los requisitos previos, es posible pasar a la instalación. Para ello, hay que crear previamente la cuenta o realizar la promoción del servidor como controlador de dominio. La primera solución permite delegar a una tercera persona la etapa de promoción, mientras que la segunda requiere permisos de administración.
1. Gestión del almacenamiento en caché en un RODC Tras la instalación de un RODC, es posible almacenar en caché las credenciales. Esta funcionalidad consiste en enviar las contraseñas de los objetos deseados. Esta operación se realiza tras la replicación del controlador de dominio hacia el RODC. Almacenando en caché los objetos usuarios y equipos, la solicitud de autenticación puede procesarse localmente mientras que, en caso contrario, se envía al controlador de dominio. En el momento de la promoción de un servidor como RODC se crean dos grupos: Grupo de replicación de contraseña RODC permitida Grupo de replicación de contraseña RODC denegada El primer grupo permite el alojamiento en caché de las contraseñas, mientras que el segundo no permite realizar esta operación. Basta, por tanto, con agregar objetos a uno u otro grupo según la necesidad.
Una buena práctica consiste en crear grupos globales para cada RODC y no almacenar en caché más que las cuentas que posean permisos de administración.
2. Administración local sobre los controladores de dominio de solo lectura A diferencia de los otros controladores de dominio, es posible administrar de manera local los RODC. Es, por tanto, posible alojar en caché una delegación sin que el usuario afectado obtenga permisos de administración. La delegación puede llevarse a cabo mediante los comandos ntdsutil o dsmgmt.
Administración de Active Directory La administración de Active Directory puede realizarse de varias formas (por línea de comando, a través de una herramienta gráfica).
1. Presentación de las distintas consolas de AD Existen varias consolas disponibles para realizar la administración de Active Directory. La consolaUsuarios y equipos de Active Directory permite crear, modificar o eliminar todos los objetos de Active Directory tales como las cuentas de usuario y equipos, los grupos o las unidades organizativas. La consola Sitios y servicios de Active Directory tiene como objetivo administrar la topología de Active Directory. Es, así, posible realizar operaciones (agregar un sitio, agregar una conexión…) sobre los sitios de Active Directory, con el objetivo de gestionar las replicaciones intersitio. La consola Dominios y confianzas de Active Directory permite, por su parte, gestionar las relaciones de confianza o los niveles funcionales del bosque y del dominio. El esquema Active Directory contiene un conjunto de objetos con sus atributos, los cuales pueden examinarse mediante la consola Esquema Active Directory. Esta consola no está habilitada por defecto.
La consola Centro de administración de Active Directory La consola Centro de administración de Active Directory permite proveer opciones suplementarias (interfaz gráfica de la papelera de reciclaje de Active Directory…). Permite, a su vez, realizar todas las operaciones más comunes, del tipo: Creación y administración de las cuentas de usuario, equipos y grupos. Gestión de las unidades organizativas. La consola presente en Windows Server 2012 R2 aporta su conjunto de novedades: Interfaz gráfica para utilizar la papelera de reciclaje de Active Directory. Creación y administración de las directivas de contraseña muy específicas (PSO - Password Security Object) mediante una interfaz gráfica. Es posible visualizar el comando PowerShell que se utiliza para realizar alguna acción desde la consola. Esto facilita la creación de scripts.
2. Los módulos de Active Directory para PowerShell El módulo de Active Directory presente en Windows Server 2012 R2 contiene una lista de los cmdlets que permiten administrar los distintos tipos de objetos de Active Directory. Gestión de las cuentas de usuario, equipos y grupos Gestión de la política de contraseñas Búsqueda y modificación de objetos en Active Directory Gestión del bosque y de los dominios Administración de los controladores de dominio y de los roles FSMO Administración de las cuentas de servicio Gestión de los sitios AD Este módulo se instala automáticamente tras la promoción del servidor como controlador de dominio o tras instalar el rol ADLDS (Active Directory Lightweight Directory Services).
3. Gestión de los roles FSMO Un bosque de Active Directory se compone de cinco roles FSMO (Flexible Single Master Operation) distribuidos en uno o varios servidores.
Maestro de esquema Se ubica, generalmente, en un controlador de dominio del dominio raíz, dado que es el único servidor con permisos de escritura sobre el esquema de Active Directory (los demás tienen, únicamente, permisos de lectura).
Maestro de nomenclatura de dominios Como con el maestro de esquema, este rol se asigna, por lo general, a un controlador de dominio del dominio raíz del bosque. Este rol se utiliza tras agregar o eliminar un dominio o una partición de aplicación. Si el servidor que posee este rol no está accesible, no se puede realizar la operación deseada. A diferencia de los dos roles anteriores, los tres siguientes roles se presentan en cada dominio que compone el bosque.
Maestro RID El maestro RID permite distribuir el pool de RID a los demás controladores de dominio de su dominio. Estos RID se utilizan para generar los SID durante la creación de un nuevo objeto. En efecto, un SID está compuesto por el SID del dominio (común a todos los objetos de este dominio) así como del RID (único). Si el maestro RID está fuera de servicio, los demás controladores de dominio tienen la posibilidad de continuar con la creación de objetos hasta que se agote el pool.
Maestro de infraestructura Este rol es útil en un bosque multidominio. Su responsabilidad es supervisar los objetos de los demás dominios del bosque que son miembros de objetos de su dominio.
Maestro Emulador PDC El maestro Emulador PDC (Primary Domain Controller) permite gestionar las actualizaciones de las directivas de grupo en un dominio. Ofrece, a su vez, la funcionalidad de sincronización de los relojes Una diferencia superior a 5 minutos entre un puesto y su controlador de dominio implica la imposibilidad de iniciar sesión o acceder a un recurso. Tras haberse sincronizado a través de Internet, el servidor con el rol de Maestro Emulador PDC sincroniza con su hora al conjunto de puestos y del dominio.
Buenas prácticas para la distribución de roles FSMO Los roles FSMO Maestro de esquema y Maestro de nomenclatura de dominios se instalan sobre un controlador de dominio raíz del bosque. En un bosque multidominio, el rol maestro de infraestructura no debe estar presente sobre un servidor con la función de catálogo global. Si el bosque se compone de un único dominio, y solamente en este caso, el maestro de infraestructura puede instalarse sobre el servidor catálogo global. Para conocer los servidores que poseen los roles FSMO, hay que ejecutar el comando query fsmo.
netdom
4. Uso de una cuenta de servicio Antes de poder utilizar una cuenta de servicio, es interesante comprender la utilidad de este tipo de cuenta.
Es habitual tener que ejecutar servicios de ciertas aplicaciones (backup, sql…) con cuentas de AD. A excepción de los permisos que poseen, no existe ninguna otra diferencia entre una cuenta de usuario y una cuenta de servicio. Este tipo de cuenta está, evidentemente, exento de realizar cambios de contraseña; además, la aplicación de una política de bloqueo puede requerir un mayor trabajo de administración. Las necesidades descritas más arriba suponen un fallo de seguridad que debería tenerse en cuenta. En efecto, una persona malintencionada que conozca la contraseña podría utilizar los privilegios de la cuenta para realizar operaciones malintencionadas. Con el objetivo de resolver este problema, Microsoft pone a disposición del administrador las cuentas de servicio, que tienen en cuenta la gestión de las contraseñas. Ahora es posible asociar una política de seguridad a estas cuentas sin tener que reconfigurar el conjunto de servicios para que conozcan la nueva contraseña. Estos objetos son del tipo de la clase de objetos msDS-ManagedServiceAccount y se almacenan en el contenedor Managed Service Accounts (presente en la raíz). Es posible acceder a este contenedor desde la consola de Usuarios y equipos de Active Directory. Además, para utilizar esta funcionalidad, es necesario respetar ciertos requisitos previos: Sistema operativo Windows Server 2008 R2 o Windows 7 como mínimo. Un esquema en versión Windows Server 2008 R2. Disponibilidad de los cmdlets PowerShell necesarios. Se dedica un trabajo práctico a la creación de una cuenta de servicio en el capítulo siguiente.
5. Restauración de una cuenta mediante la papelera de reciclaje AD La eliminación accidental de uno o varios objetos de AD puede tener consecuencias más o menos graves en la producción de una empresa. Para evitar esto, Microsoft ha implementado, desde hace varios años, la protección de objetos contra la eliminación accidental o el Tombstoned. Esta última funcionalidad permite, durante un periodo de 180 días, recuperar una cuenta. No obstante, será necesario reconfigurar el conjunto de propiedades del objeto (número de teléfono, etc.). Con la aparición de Windows Server 2008 R2 se incluye la papelera de reciclaje AD. Es posible, en adelante, restaurar una cuenta junto a todas sus propiedades. El número de días puede alcanzar, también, hasta 180 días. Esta funcionalidad requiere un nivel funcional igual a Windows Server 2008 R2 o superior. Además, la activación es irreversible. Las distintas operaciones de activación y de gestión se realizan, en Windows Server 2008 R2, mediante PowerShell. Windows Server 2012 R2 mejora la administración cotidiana de esta funcionalidad permitiendo realizar la gestión y la activación mediante una interfaz gráfica. El método, en PowerShell, se describe en la siguiente dirección:http://blogs.technet.com/b/canitpro/archive/2013/04/10/step-by-step-enabling-activedirectory-recycle-bin-in-windows-server-2012.aspx. Existe, además, un trabajo práctico al final de este capítulo que nos permite descubrir la nueva interfaz gráfica.
6. Copia de seguridad y restauración de Active Directory La copia de seguridad de Active Directory requiere la copia de seguridad del estado del sistema en las versiones anteriores a Windows Server 2012. Es, por tanto, necesario realizar la copia de seguridad de los volúmenes críticos. La restauración propone dos opciones distintas.
Restauración no autoritativa También llamada restauración normal, consiste en restaurar el sistema a una fecha precisa. Tras el arranque del controlador de dominio, realiza una replicación con sus socios para actualizar su base de datos. Este tipo de replicación debe utilizarse si sólo el controlador de dominio restaurado ha sufrido algún mal funcionamiento o la eliminación de objetos. Los demás controladores de dominio deben estar en línea para permitir la replicación del servidor restaurado.
Restauración autoritativa Esta operación consiste en restaurar un controlador de dominio con la última versión correcta (idéntica a una restauración normal) y, a continuación, marcar los objetos eliminados accidentalmente o dañados (estos objetos tienen el mismo estado por replicación sobre los demás controladores de dominio). Marcando el objeto, el número de versión es más alto. Tras el arranque del servidor, provoca una replicación notificando a sus socios del cambio y del número de versión. Siendo mayor, el servidor restaurado impone su autoridad.
Gestión de la base de datos La base de datos de Active Directory contiene información importante (cuentas de usuario, cuentas de equipo…) para el funcionamiento del usuario. Es, por tanto, preciso supervisar y mantener la base de datos para evitar eventuales problemas.
1. La base de datos de Active Directory La base de datos de Active Directory se descompone, lógicamente, en varias particiones. Éstas contienen cada una datos e información diferentes. La partición de dominio contiene los objetos creados en el dominio (usuario, GPC (Group Policy Containers) …). La partición Configuración contiene la estructura lógica del bosque. Encontramos, así, información acerca de los dominios, los sitios AD, las subredes… A diferencia de la partición de dominio, que contiene únicamente los objetos creados, la partición Esquema contiene el conjunto de objetos que pueden crearse y sus atributos. Es frecuente almacenar la zona DNS en Active Directory para aprovechar las ventajas de esta integración (consulte el capítulo dedicado a DNS). En este caso, la zona DNS se almacena en la partición Aplicaciones de la base de datos de AD. Ubicado en la carpeta NTDS, el archivo ntds.dit contiene todas las particiones vistas anteriormente. No obstante, esta carpeta contiene también archivos de transacción y registros de eventos. Se utilizan archivos EDB*.log para las transacciones. En efecto, la escritura en la base de datos no se realiza inmediatamente, y la escritura definitiva se registra únicamente si se valida la transacción. Tras la validación de la transacción, se escribe cierta información en el archivo Edb.chk.
2. Uso del comando NTDSUtil NTDSUtil es una herramienta por línea de comandos que se utiliza para gestionar la base de datos de AD. Es posible realizar varias operaciones con esta herramienta, entre ellas: Creación de un snapshot Desfragmentación de la base de datos Migración de la base de datos Por último, el comando NTDSUtil permite reinicializar la contraseña utilizada tras el arranque del servidor en modo restauración de Active Directory (NTDSUtil set dsrm).
Es posible realizar otras operaciones, tales como el Metadata Cleanup, que consiste en eliminar la información relativa al controlador de dominio cuya eliminación se ha forzado (de un servidor aislado, por ejemplo).
3. Reinicio del servicio Active Directory Active Directory tiene la exclusividad de uso de la base de datos, lo cual limita el número de acciones que es posible realizar sobre ella. Es, por tanto, obligatorio liberar el acceso en primer lugar, y para ello es necesario reiniciar el controlador de dominio en modo restauración de Active Directory. No obstante, desde la versión Windows Server 2008, existe un servicio que ha hecho aparición. El servicio de directorio permite arrancar o parar el directorio Active Directory. Esta solución es prácticamente idéntica al reinicio en modo restauración de Active Directory y ofrece, por el contrario, la posibilidad de utilizar los demás roles o funcionalidades del servidor (impresión, demás software…).
Preste atención, no obstante, a no detener este servicio sobre todos los controladores de dominio al mismo tiempo, pues no dispondrá de ningún controlador de dominio sobre el dominio.
4. Creación de un snapshot AD Es posible crear snapshots de Active Directory mediante el comando NTDSUtil. Se realiza una copia de seguridad del estado concreto del directorio. A continuación, es posible acceder a este snapshot desde la herramienta LDP. El comando LDIFDE permite, por su parte, exportar los objetos presentes en el snapshot para importarlos en el directorio. Existe un trabajo práctico dedicado a este tema al final de este capítulo.
5. Restaurar un objeto de dominio Tras la eliminación de un objeto, éste se desplaza al contenedor. Tras este desplazamiento se eliminan numerosos atributos (pertenencia a grupos…). A pesar de restaurar el objeto, es imposible volver a trabajar con él. Esta funcionalidad, llamada Tombstoned se complementa desde Windows Server 2008 R2 con la papelera de reciclaje de AD. La papelera de reciclaje de AD permite restaurar la cuenta eliminada pero, también, el conjunto de atributos. Ya no es necesario volver a restaurar la cuenta desde un programa de copia de seguridad. Preste atención, la habilitación de la papelera de reciclaje de Active Directory es irreversible. Tras su activación, todos los componentes eliminados podrán restaurarse junto con sus atributos correspondientes durante un periodo de tiempo definido. Este último se especifica mediante el
atributo msDS-deletedObjectLifetime. El Tombstoned también tiene un atributo dedicado llamadotombstoneLifetime que define el número de días en que se almacena la cuenta en el Tombstoned. La papelera de reciclaje de AD requiere un nivel funcional Windows Server 2008 R2. Una vez comprobado este requisito previo, es posible habilitarla, para lo que se nos ofrecen dos opciones: En PowerShell, mediante el cmdlet
Enable-ADOptionalFeature.
En modo gráfico desde la consola Centro de administración de Active Directory. Desde Windows Server 2012, la restauración de objetos suprimidos se realiza desde una interfaz gráfica (la consola Centro de administración de Active Directory). Recuerde que la gestión con Windows Server 2008 R2 se realiza mediante PowerShell.
Trabajos prácticos: Administración de Active Directory Objetivo: los trabajos prácticos le permitirán implementar distintos controladores de dominio (de lectura/escritura, de solo lectura) y, a continuación, abordan distintas funcionalidades adicionales (clonado, snapshot…).
1. Instalación y configuración de Active Directory Objetivo: el objetivo de este trabajo práctico es instalar el rol AD DS en AD1. A continuación, la configuración consiste en crear un bosque llamado Formacion.local. Arranque la máquina AD1 y, a continuación, inicie una sesión como Administrador. Verifique que el servidor se llama AD1 y posee la configuración IP adecuada. Se abre la consola Administrador del servidor, haga clic en Agregar roles y características. En la página Antes de comenzar, haga clic en Siguiente. Deje la opción marcada por defecto en la ventana Seleccionar tipo de instalación y haga clic enSiguiente.
En la ventana que permite seleccionar el servidor de destino, haga clic en Siguiente. En la ventana Seleccionar roles de servidor, seleccione el rol Servicios de dominio de Active Directory.
Haga clic en Agregar características en la ventana que se abre. Haga clic en Siguiente en la ventana Seleccionar características. Haga clic dos veces en Siguiente y, a continuación, en Instalar. La instalación está en curso, haga clic en Cerrar. En la consola Administrador del servidor, haga clic en el triángulo amarillo y seleccione la opciónPromover este servidor a controlador de dominio.
Se abre el asistente… En la ventana Configuración de implementación, haga clic en Agregar un nuevo bosque y, a continuación, escriba formacion.local en el campo Nombre de dominio raíz.
Haga clic en Siguiente para validar esta opción.
En el campo Escribir contraseña de modo de restauración de servicios de directorio (DSRM), escriba Pa$$w0rd y, a continuación, confirme esta contraseña.
Haga clic en Siguiente. Valide todas las ventanas haciendo clic en Siguiente y, a continuación, en Instalar para ejecutar la promoción. El servidor ha sido promovido.
2. Implementación de un RODC Objetivo: tras haber creado el sitio AD, se instala un controlador de dominio de solo lectura. A continuación, se envían las contraseñas de los usuarios a la caché. En AD1, abra la consola Sitios y servicios de Active Directory. Despliegue el nodo Sites y, a continuación, haga clic con el botón derecho en Default-First-SiteName. Haga clic en Cambiar nombre y, a continuación, escriba Madrid.
Haga clic con el botón derecho en la carpeta Sites y, a continuación, en el menú contextual seleccione Nuevo y Sitio. Aparece un nuevo menú… Escriba Barcelona en el campo Nombre y, a continuación, haga clic en DEFAULTIPSITELINK.
Valide haciendo clic en Aceptar. En el mensaje de información que aparece, haga clic en Aceptar. El nuevo sitio aparece en la consola.
Abra la consola Usuarios y equipos de Active Directory. Haga clic con el botón derecho en Formacion.local y, a continuación, en el menú contextual haga clic en Nuevo - Unidad organizativa. Escriba Barcelona en el campo Nombre.
Haga clic en Aceptar para proceder a la creación. Haga clic con el botón derecho sobre el nodo Formacion.local y a continuación, en el menú contextual, haga clic en Nuevo - Unidad organizativa. Escriba Madrid en el campo Nombre. Haga clic en Aceptar para proceder a su creación. Haga clic sobre la OU Barcelona y, a continuación, sobre el botón de la barra de herramientas que permite crear un nuevo usuario.
Escriba Marcos en el campo Nombre y VELASCO en el campo Apellidos.
En los campos Nombre de inicio de sesión de usuario y Nombre de inicio de sesión de usuario (anterior a Windows 2000), escriba mvelasco.
Haga clic en Siguiente y, a continuación, escriba Pa$$w0rd en el campo Contraseña. Confirme y, después, demarque la opción El usuario debe cambiar la contraseña en el siguiente inicio de sesión. Valide haciendo clic en Siguiente y, a continuación, en Finalizar. Repita las operaciones para los siguientes usuarios: Enrique MARTINEZ (nombre de usuario: emartinez, contraseña: Pa$$w0rd). Estefanía SUAREZ (nombre de usuario: esuarez, contraseña: Pa$$w0rd). Juan VALDES (nombre de usuario: jvaldes, contraseña: Pa$$w0rd). En la unidad organizativa Barcelona, haga clic sobre el icono que permite crear un grupo (botón situado a la derecha del que le permite crear un usuario en la barra de herramientas). Escriba la información tal y como se describe en la siguiente pantalla:
Haga clic en Aceptar para realizar la creación. Haga doble clic sobre el grupo Becarios y, a continuación, seleccione la pestaña Miembros. Haga clic en Agregar y escriba los nombres de inicio de sesión de los usuarios creados anteriormente, separados por un punto y coma.
Haga clic en el botón Comprobar nombres y, a continuación, en Aceptar. Los usuarios aparecen incluidos en el grupo.
Haga clic con el botón derecho sobre la OU Domain Controllers y, a continuación, seleccione la opción Crear previamente una cuenta de controlador de dominio de solo lectura. Marque la opción Usar la instalación en modo avanzado y, a continuación, haga clic enSiguiente.
En la ventana Credenciales de red, deje la opción por defecto y, a continuación, haga clic enSiguiente. Escriba AD2 en el campo Nombre de equipo y valide haciendo clic en Siguiente.
Seleccione el sitio Active Directory Barcelona y, a continuación, haga clic en Siguiente.
En la ventana Opciones adicionales del controlador de dominio, deje la opción por defecto. El servidor hace las veces de RODC, servidor DNS de solo lectura y catálogo global.
La ventana Especificar la directiva de replicación de contraseñas permite indicar la política de replicación en caché de contraseñas. Por defecto, las contraseñas de las cuentas que posean permisos de administrador (operador, administrador…) no se alojan en caché.
Haga clic en Siguiente. En la ventana Delegación de instalación y administración de RODC, haga clic en Establecer. Escriba mvelasco y, a continuación, haga clic en Comprobar nombres. Por último, haga clic en Aceptar y, a continuación, en Siguiente. Ejecute la instalación y haga clic en Finalizar para cerrar el asistente. La cuenta se ha creado previamente.
En AD2, inicie una sesión y, a continuación, haga clic en Agregar roles y características en la consola Administrador del servidor. Se inicia el asistente, haga clic tres veces en Siguiente.
Seleccione el rol Servicios de dominio de Active Directory y, a continuación, haga clic en el botón Agregar características en la ventana que se muestra.
En la ventana de selección de características, haga clic en Siguiente. Haga clic en Siguiente y, a continuación, en Instalar. Una vez terminada la instalación, haga clic en Cerrar. En la consola Administrador del servidor, haga clic sobre la bandera que contiene el signo de exclamación y, a continuación, en Promover este servidor a controlador de dominio.
Se abre el asistente, haga clic en el botón Seleccionar. Autentíquese como formacion\mvelasco (contraseña Pa$$w0rd) y, a continuación, haga clic enAceptar.
Tras algunos segundos, aparece el dominio formacion.local en la ventana. Seleccione el dominio y, a continuación, haga clic en Aceptar.
Se muestra el nombre de dominio en el campo, haga clic en Siguiente.
Escriba Pa$$w0rd en el campo Escribir contraseña de modo de restauración de servicios de directorio (DSRM).
Haga clic en Siguiente en las ventanas Opciones adicionales, Rutas de acceso y Revisar opciones dejando la configuración por defecto. Proceda a realizar la promoción haciendo clic en Instalar. Tras el reinicio de AD2, inicie una sesión como formacion\mvelasco (contraseña Pa$$w0rd). El controlador de dominio es de solo lectura. Es imposible crear un usuario, un grupo… Las opciones aparecen, ahora, sombreadas y deshabilitadas. Por defecto, la consola se conecta al controlador de dominio de lectura/escritura. Para que la consola se conecte al RODC, haga clic con el botón derecho en el dominio y seleccione, a continuación, la opción Cambiar el controlador de dominio.
El servidor DNS también es de solo lectura.
En AD1, abra la consola Sitios y servicios de Active Directory. Despliegue los nodos Sites, Barcelona y, a continuación, Servers. Verifique la presencia del
servidor AD2.
Abra la consola Usuarios y equipos de Active Directory en AD1. Despliegue el nodo Formacion.local y, a continuación, haga clic en el contenedor Usuarios. Haga doble clic en Grupo de replicación de contraseña RODC permitida y, a continuación, seleccione la pestaña Miembros. Haga clic en Agregar, escriba mvelasco;emartinez;esuarez;jvaldes y, a continuación, haga clic en Comprobar nombres. Valide haciendo clic en Aceptar. Seleccione la unidad organizativa Domain Controllers. Haga doble clic en AD2 y, a continuación, seleccione la pestaña Directiva de replicación de contraseñas.
Haga clic en el botón Opciones avanzadas y, a continuación, en Directiva resultante. Haga clic en el botón Agregar, escriba mvelasco;emartinez;esuarez;jvaldes y, a continuación, haga clic en el botón Comprobar nombres. Haga clic en Aceptar, se muestra el resultado de Permitir.
La contraseña de las cuentas de usuario se alojará en caché tras la siguiente replicación o conexión del usuario. En algunos casos, puede resultar útil "forzar" la replicación en caché sin tener que esperar a la replicación o a la conexión del usuario. Seleccione la pestaña Uso de directivas y, a continuación, haga clic en Rellenar contraseñas previamente.
Escriba mvelasco;emartinez;esuarez;jvaldes y, a continuación, haga clic en nombres. Haga clic en Aceptar y, a continuación, en Sí en la ventana que se muestra.
Comprobar
Ahora las cuentas están replicadas en caché.
En la pestaña Uso de directivas, ahora están las cuentas presentes.
El controlador de dominio de solo lectura puede, en adelante, autentificar estas cuentas incluso si se produce alguna ruptura en la conexión con el controlador de dominio de lectura/escritura.
3. Clonación de un controlador de dominio virtual Objetivo: clonar AD1 para crear un nuevo controlador de dominio virtualizado. En AD1, en la interfaz Windows, haga clic con el botón derecho en Windows PowerShell y, a continuación, haga clic en Ejecutar como administrador. Para saber qué servidor tiene el rol FSMO Emulador PDC, escriba el comando:
Get-ADComputer (Get-ADDomainController -Discover -Service "PrimaryDC").name -Property operatingsystemversion | fl Es posible descargar el script desde la página Información.
AD1 ejecuta Windows Server 2012 R2, de modo que se cumple el requisito previo (el servidor Emulador PDC está instalado en un servidor que ejecuta Windows Server 2012 R2). Abra la consola Usuarios y equipos de Active Directory y, a continuación, seleccione el contenedor Usuarios. Renombre el grupo Controladores de dominio clonables por Cloneable Domain Controllers y, a continuación, agregue AD1 como miembro. Sin renombrar el grupo o sin crear un nuevo grupo con este nombre la operación de clonado falla puesto que no se encuentra el grupo (aunque exista el mismo nombre en español).
Valide haciendo clic en el botón Aceptar. Escriba el siguiente comando PowerShell para asegurar que no hay ninguna aplicación excluida en el servidor: Get-ADDCCloningExcludedApplicationList Es posible descargar el script desde la página Información.
El comando devuelve las aplicaciones, servicios o roles que no son compatibles con la función de clonado. Aquí, WLMS no está soportada por la operación de clonado, por lo que resulta necesario crear una excepción. Ésta aparece en el archivo XML CustomDCCloneAllowList.xml. WLMS aparece porque estamos trabajando con una versión de evaluación.
Escriba el siguiente comando para generar el comando XML: Get-ADDCCloningExcludedApplicationList -GenerateXML
Es posible descargar el script desde la página Información.
El archivo está presente en la carpeta NTDS.
Escriba el siguiente comando PowerShell para asegurar que no existe ninguna aplicación excluida en el servidor: Get-ADDCCloningExcludedApplicationList El archivo DCCloneConfig.xml puede, ahora, crearse mediante el comando: New-ADDCCloneConfigFile -Static -IPv4Address "192.168.1.20" -IPv4DNSResolver "192.168.1.10" -IPv4SubnetMask "255.255.255.0" -CloneComputerName "AD3" -IPv4DefaultGateway "192.168.1.254" -SiteName "Madrid" Este archivo contiene la configuración IP y, también, el nombre del nuevo servidor. El servidor DNS presente en la configuración IP del equipo debe, en primer lugar, ser el del servidor actual, pues en caso contrario la operación fallará. A continuación, es posible modificarlo.
Es posible descargar el script desde la página Información.
El archivo está presente en la carpeta NTDS.
Detenga la VM y, a continuación, en la consola Hyper-V, haga clic con el botón derecho en la VM y seleccione Exportar. La exportación debe realizarse en una carpeta distinta a aquella donde se encuentren las VM. Una vez terminada la exportación, reinicie AD1. Haga clic en Importar máquina virtual en la consola Hyper-V. Es posible importar la máquina virtual sobre el mismo servidor Hyper-V o sobre un servidor diferente. La importación sobre el mismo servidor funciona siempre y cuando la máquina original esté alojada en una ubicación diferente a la nueva (nombre del archivo VHD idéntico para la máquina original y la VM clonada).
Se abre el asistente de importación… En la ventana Antes de comenzar, haga clic en Siguiente. Haga clic en el botón Examinar y, a continuación, seleccione la carpeta creada anteriormente.
Haga clic dos veces en Siguiente. En la ventana Elegir tipo de importación, seleccione la opción Copiar la máquina virtual (crear un identificador único nuevo) y, a continuación, haga clic en Siguiente.
Haga clic dos veces en Siguiente y, a continuación, en Finalizar. La importación está en curso… Renombre la máquina virtual que acaba de importar para que no tenga el mismo nombre que AD1.
Arranque la máquina que acaba de importar. El clonado está en curso.
El controlador de dominio se ha clonado correctamente.
La configuración IP del servidor AD3 es la especificada en el archivo DCCloneConfig.xml.
El servidor AD3 es un servidor DNS, es posible configurar la dirección IP de AD3 como servidor DNS preferido y AD1 como servidor DNS alternativo.
El sitio AD Madrid contiene, ahora, dos servidores: AD1 y AD3.
Ahora resulta más sencillo desplegar nuevos controladores de dominio.
4. Creación de un snapshot de AD Objetivo: creación y montaje de un snapshot de Active Directory.
Máquina virtual: AD1. En AD1, abra una ventana de comandos DOS. Escriba
ntdsutily, a continuación, valide presionando la tecla [Enter].
Escriba los siguientes comandos (presione [Enter] tras cada comando): snapshot activate instance ntds create quit quit Se abre un GUID relativo al snapshot. Este identificador se utiliza más adelante.
En la consola Usuarios y equipos de Active Directory, despliegue el nodo Formacion.local y, a continuación, haga clic en Barcelona. Mueva la cuenta de usuario de Enrique Martínez a la unidad organizativa Madrid. Se realiza este cambio con el objetivo de mostrar la diferencia respecto al snapshot.
En AD1, escriba el comando
ntdsutilen una ventana de comandos DOS.
Escriba los siguientes comandos y presione la tecla [Enter] al final de cada uno: snapshot activate instance ntds list all Se muestran los distintos snapshots creados y su GUID.
Monte el snapshot creado anteriormente. Para ello, escriba los comandos: mount guid quit quit
Guid es el identificador que se muestra en el comando introducido anteriormente.
Debe iniciarse la instancia del snapshot. Para ello, escriba el comando: Dsamain /dbpath c:\$snap_datetime_volumec$\windows\ntds\ntds.dit /ldapport 5000 Remplace $snap_datetime_volumec$ por el nombre de la carpeta ubicada en C y que comienza por $snap.
En un controlador de dominio, es preciso cambiar el puerto de la instancia, el puerto 389 ya está en uso por una instancia en producción. Este cambio de puerto sólo se realiza sobre un controlador de dominio.
Abra la consola Usuarios y equipos de Active Directory y, a continuación, haga clic con el botón derecho sobre el dominio Formacion.local. Seleccione la opción Cambiar el controlador de dominio y, a continuación, en el campo
, escriba AD1:5000.
Haga clic en Aceptar y, a continuación, despliegue el nodo Formacion.local. Seleccione la unidad organizativa Barcelona, la cuenta de usuario Enrique MARTINEZ está presente. El cambio se ha llevado a cabo tras realizar el snapshot. Este último no contiene el cambio.
Las propiedades del usuario están, efectivamente, en solo lectura. Ahora es preciso desmontar el snapshot. En la ventana de comandos, pulse comandos ntdsutily snapshot.
las
teclas
[Ctrl] C y, a
continuación, escriba
Habilite la instancia NTDS mediante el comando activate instance ntds. Utilice el comando
list allpara encontrar el GUID deseado.
Escriba el comando Remplace
unmount guid.
guidpor el identificador del snapshot deseado.
Salga de la ventana de comandos escribiendo la instrucción
quitdos veces.
los
Recuerde que la funcionalidad snapshot no remplaza a la copia de seguridad.
5. Manipulación de la papelera de reciclaje AD Objetivo: habilitar y utilizar la funcionalidad Papelera de Reciclaje de Active Directory. Máquina virtual: AD1. En AD1, abra la consola Centro de administración de Active Directory. Seleccione el nodo Formacion (local) y, a continuación, haga clic en Habilitar papelera de reciclaje en la sección Tareas.
Haga clic en Aceptar dos veces en las ventanas de advertencia. En la consola Usuarios y equipos de Active Directory, seleccione el menú Ver y, a continuación, seleccione Características avanzadas. Haga clic con el botón enPropiedades.
derecho
sobre
la
unidad
organizativa
Barcelona y haga
clic
Seleccione la pestaña Objeto y desmarque la opción Proteger objeto contra eliminación accidental.
Haga clic en Aceptar y, a continuación, elimine la unidad organizativa Barcelona.
En la consola Centro de administración de Active Directory, haga clic en Formacion (local) y, a continuación, haga doble clic en DeletedObjects. Actualice la consola si el contenedor DeletedObjects no estuviera presente.
El conjunto de objetos está presente.
Seleccione el conjunto de objetos manteniendo pulsada la tecla [Ctrl] y, a continuación, haga clic en Restaurar.
Es posible restaurar los objetos en un lugar diferente seleccionando la opción Restaurar en.
Los objetos están, de nuevo, presentes en la consola Usuarios y equipos de Active Directory.
6. Desfragmentación de la base de datos Objetivo: desfragmentar la base de datos de Active Directory. Máquina virtual: AD1. En AD1, abra la consola Services.msc y, a continuación, detenga los Servicios de dominio de Active Directory.
Abra una ventana de comandos DOS. Escriba los comandos cada comando).
ntdsutily activate instance ntds(pulse la tecla [Enter] tras
Escriba filey, a continuación, valide presionando la tecla [Enter]. Ejecute la desfragmentación mediante el comando compact to c:\.
Copie el archivo c:\ntds.dit en la carpeta c:\windows\ntds\. Elimine los archivos con extensión log ubicados en la carpeta c:\windows\ntds. En la ventana de comandos DOS, escriba tecla [Enter].
Escriba
integrityy, a continuación, valide presionando la
quitdos veces para salir del comando ntdsutil.
Cada comando
quitdebe validarse presionando la tecla [Enter].
Reinicie el servicio Servicios de dominio de Active Directory. Abra la consola Usuarios y equipos de Active Directory para comprobar que no se ha producido ningún problema derivado de la desfragmentación.
Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Cuál es el rol de un controlador de dominio? 2 ¿De qué se compone un bosque de Active Directory? 3 ¿Cuáles son los objetos y roles que contiene, únicamente, el dominio raíz? 4 Un usuario de un bosque A necesita conectarse a un dominio del bosque B y a la inversa. ¿Cómo se puede permitir esta conexión? ¿Cuáles son los requisitos previos? 5 ¿Qué es la autenticación selectiva? 6 ¿Qué contiene el esquema Active Directory? 7 Mi controlador de dominio ejecuta Windows Server 2008 R2, si realizo una migración a un servidor Windows Server 2012, ¿es preciso actualizar el esquema de manera manual? 8 ¿Cuál es el comando que permite activar la consola esquema AD? 9 ¿Cuál es la consecuencia de la ruptura de un canal seguro? 10 ¿Qué contiene la carpeta SYSVOL? 11 ¿Qué es un servidor RODC? 12 ¿Cómo se lleva a cabo la actualización en un RODC? 13 ¿Qué debe hacerse para autorizar la actualización en caché de la contraseña de una cuenta en un RODC? 14 ¿Cuántos servidores RODC es posible tener en un sitio AD? 15 ¿Qué es el rol FSMO, utilizado para el clonado de un controlador de dominio virtualizado? ¿Bajo qué sistema operativo debe operar el servidor que posea este rol? 16 ¿Es posible clonar un controlador de dominio con Hyper-V en Windows Server 2008? 17 ¿Cuál es el nombre del archivo XML que contiene la configuración del nuevo servidor? 18 Mi servidor tiene instalado el rol Servidor DHCP, ¿es posible proceder con la operación de clonado? 19 ¿Cuáles son los roles FSMO orientados al bosque? 20 ¿Cuáles son las particiones presentes en la base de datos AD? 21 ¿Cuál es la instrucción que permite desfragmentar la base de datos AD? 22 ¿Qué servicio es preciso detener para realizar operaciones sobre la base de datos de Active Directory? 23 ¿De qué clase de objeto son las cuentas de servicio? 24 ¿Cuáles son los requisitos previos que deben cumplirse para crear una cuenta de servicio?
2. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Por cada respuesta correcta, cuente un punto. Número de puntos:
/24
Para superar este capítulo, su puntuación mínima debería ser de 17 sobre 24.
3. Respuestas 1 ¿Cuál es el rol de un controlador de dominio? Un controlador de dominio se encarga de gestionar la base de datos de Active Directory. Además, se encarga de autenticar a los distintos usuarios y equipos de la red. 2 ¿De qué se compone un bosque de Active Directory? Un bosque de Active Directory se compone de dominios agrupados en una arborescencia. Estos dominios confían entre ellos mediante una relación de confianza bidireccional transitiva. 3 ¿Cuáles son los objetos y roles que contiene, únicamente, el dominio raíz? A diferencia de otros sistemas, los controladores de dominio raíz contienen los grupos Administradores de empresa y Administradores de esquema. Algunos roles FSMO orientados al bosque (Maestro de esquema, Maestro de nomenclatura de dominios) se contienen, generalmente, en los controladores de dominio. 4 Un usuario de un bosque A necesita conectarse a un dominio del bosque B y a la inversa. ¿Cómo se puede permitir esta conexión? ¿Cuáles son los requisitos previos? El usuario de bosque A no puede acceder a un recurso del bosque B, pues se trata de un extranjero al bosque. Es, por tanto, necesario configurar una relación de confianza entre bosques, de modo que todos los dominios del bosque A confíen en todos los dominios del bosque B y a la inversa. No obstante, hay ciertos requisitos previos que hay que respetar: es necesario disponer de un nivel funcional Windows Server 2003 en ambos bosques y, a continuación, configurar los redirectores condicionales hacia los servidores DNS de ambos bosques. 5 ¿Qué es la autenticación selectiva? Cuando se produce una relación de confianza entre bosques, todos los usuarios del bosque A pueden acceder al bosque B y a la inversa (si la relación es bidireccional, evidentemente). La autenticación selectiva puede implementarse para autorizar a los usuarios de un dominio con el que se tiene confianza y permitir que se autentiquen en uno de nuestros servidores. Esta funcionalidad limita los accesos a los recursos únicamente a aquellos usuarios que se desee. 6 ¿Qué contiene el esquema Active Directory? El esquema Active Directory contiene el conjunto de objetos que pueden crearse, así como sus atributos. 7 Mi controlador de dominio ejecuta Windows Server 2008 R2, si realizo una migración a un servidor Windows Server 2012, ¿es preciso actualizar el esquema de manera manual? El funcionamiento de la promoción de servidores a controladores de dominio se ha visto modificada con Windows Server 2012. Ya no es necesario ejecutar el comando Adprep, que permite actualizar el esquema. Este comando se ejecuta automáticamente en caso de que sea necesario. 8 ¿Cuál es el comando que permite activar la consola esquema AD? Debe ejecutarse el comando
regsvr32 schmmgmt.dllpara habilitar la consola Esquema AD.
9 ¿Cuál es la consecuencia de la ruptura de un canal seguro? Como con las cuentas de usuario, las cuentas de equipo utilizan una contraseña para poder autenticarse. Cada 30 días se realiza un cambio en esta contraseña. No obstante, si el canal seguro se rompe, le será imposible al controlador de dominio autenticar el puesto del usuario. No será posible iniciar sesión en el dominio, incluso aunque la autenticación del usuario sea correcta. 10 ¿Qué contiene la carpeta SYSVOL? Esta carpeta, muy importante, contiene parte de las directivas de grupo (GPT) y los distintos scripts. 11 ¿Qué es un servidor RODC?
Un servidor con el rol RODC (Read Only Domain Controller) es un controlador de dominio de solo lectura. Ofrece la posibilidad de instalar un servidor sobre el que no es posible realizar ninguna modificación. 12 ¿Cómo se lleva a cabo la actualización en un RODC? Es imposible realizar actualizaciones sobre un servidor con el rol RODC. Todas las acciones deben realizarse desde un servidor que posea permisos de lectura/escritura. Las modificaciones se transmiten al RODC por replicación. 13 ¿Qué debe hacerse para autorizar la actualización en caché de la contraseña de una cuenta en un RODC? Para autorizar la actualización en caché es preciso agregar la cuenta de usuario o de equipo al Grupo de replicación de contraseña RODC permitida. Tras la siguiente replicación, la contraseña se actualiza en caché. 14 ¿Cuántos servidores RODC es posible tener en un sitio AD? Solo es posible tener un único servidor con el rol RODC por sitio AD. 15 ¿Qué es el rol FSMO, utilizado para el clonado de un controlador de dominio virtualizado? ¿Bajo qué sistema operativo debe operar el servidor que posea este rol? Tras la operación de clonado, se utiliza el servidor con el rol FSMO Emulador PDC. Es preciso, para ello, que el servidor con este rol se ejecute bajo Windows Server 2012 R2. 16 ¿Es posible clonar un controlador de dominio con Hyper-V en Windows Server 2008? No, dicha funcionalidad requiere Hyper-V 3.0, que se incluye desde Windows Server 2012. La funcionalidad de generación del ID está presente, únicamente, en la versión 3 de Hyper-V. 17 ¿Cuál es el nombre del archivo XML que contiene la configuración del nuevo servidor? El archivo DCCloneConfig.xml contiene la configuración del nuevo DHCP. La creación del archivo es la última etapa antes del clonado. 18 Mi servidor tiene instalado el rol Servidor DHCP, ¿es posible proceder con la operación de clonado? No, es preciso migrar el rol a algún otro servidor. 19 ¿Cuáles son los roles FSMO orientados al bosque? Los roles FSMO orientados al bosque son el Maestro del esquema y el Maestro de nomenclatura de dominios. 20 ¿Cuáles son las particiones presentes en la base de datos AD? La base de datos está compuesta por varias particiones, entre las que figuran la partición esquema, la partición de configuración, la partición de dominio y la partición de aplicación (DNS…). 21 ¿Cuál es la instrucción que permite desfragmentar la base de datos AD? La instrucción ntdsutiles el comando que permite realizar operaciones sobre la base de datos, entre ellas la desfragmentación. 22 ¿Qué servicio es preciso detener para realizar operaciones sobre la base de datos de Active Directory? Desde Windows Server 2008 ya no es preciso detener el servidor en modo restauración de Active Directory. Basta, simplemente, con detener el servicio Servicios de dominio de Active Directory. 23 ¿De qué clase de objeto son las cuentas de servicio? Como ocurre con cualquier otro objeto, las cuentas de servicio son de una clase determinada. Para este tipo de objeto, la clase asociada es msDS-ManagedServiceAccount. 24 ¿Cuáles son los requisitos previos que deben cumplirse para crear una cuenta de servicio?
Para utilizar una cuenta de servicio es necesario trabajar, al menos, con un sistema operativo Windows Server 2008 R2 o Windows 7, así como un esquema en Windows Server 2008 R2.
Requisitos previos y objetivos 1. Requisitos previos Conocer los distintos tipos de objetos usuario. Tener nociones acerca de las directivas de grupo. Tener nociones acerca de la configuración de directivas de grupo que permite implementar una política de seguridad.
2. Objetivos Automatización de la gestión de cuentas. Implementación de una política de seguridad. Gestión de una directiva de grupo. Mantenimiento de las directivas de grupo.
Introducción La gestión de usuarios es una tarea cotidiana para un administrador de sistemas y de red. Las cuentas de usuario permiten autenticar personas físicas que desean acceder a algún recurso de dominio.
Automatización de la gestión de cuentas de usuario Además de las consolas de Active Directory, es posible gestionar los objetos mediante herramientas por línea de comandos. CSVDE (Comma-Separated Values Data Exchange) es una herramienta que permite exportar e importar objetos desde un directorio de Active Directory. Se utilizan, para realizar las distintas operaciones, archivos con formato CSV (Comma-Separated Value). Este tipo de archivos puede modificarse mediante un bloc de notas (notepad), presente en todos los sistemas operativos Windows, o mediante Microsoft Excel.
Sintaxis del comando csvde -f NombreArchivo.csv La opción -fse utiliza para indicar que debe utilizarse un archivo. El comando permite, por defecto, realizar una exportación. Existen varias opciones:
-d RootDN: permite definir el contenedor o el inicio de la exportación. Por defecto, el contenedor seleccionado es la raíz del dominio.
-p ÁmbitoBusqueda: determina el ámbito de la búsqueda (Base, OneLevel, Subtree). -r Filtro: permite implementar un filtro LDAP. -l ListaAtributos: provee la lista de atributos sobre los que es necesario realizar una búsqueda. Estos atributos están separados unos de otros mediante comas. Ejemplos de atributos: givenName, userPrincipalName,…
-i: informa al comando que es necesario realizar una importación. Recuerde que la exportación es la opción por defecto.
-k: la opción -kpermite ignorar los errores de importación. De este modo, la ejecución del comando se lleva a cabo incluso aunque se encuentre algún error del tipo no se está respetando alguna restricción o no se ha encontrado ningún objeto existente.
Es posible utilizar un segundo comando, ldifde. Esta instrucción DOS permite, como csvde, realizar operaciones de importación o exportación, y permite también realizar modificaciones sobre un objeto (a diferencia de csvde). Para realizar estas operaciones se utilizan archivos con la extensión LDIF (LDAP Data Interchange Format). Estos archivos contienen bloques de filas que constituyen, cada uno, una operación. Es evidente que un archivo puede contener varias acciones, en este caso el bloque se separa de los demás mediante una fila en blanco. Cada operación necesita indicar el atributo DN (Distinguished Name), así como la operación que se quiere realizar (Add, Modify, Delete).
Sintaxis del comando ldifde -f NombreArchivo.ldif La opción -fse utiliza para indicar el archivo que se quiere utilizar. El comando permite, por defecto, realizar una exportación. Como con el comando
csvde, es posible utilizar varias opciones:
-i: permite realizar una importación. Por defecto, se realiza una exportación. -k: la opción -kpermite ignorar los errores de importación. De este modo, la ejecución del comando prosigue aunque se encuentre algún error del tipo no se está respetando alguna restricción o no se ha encontrado ningún objeto existente.
-s NombreServidor: indica el servidor al que hay que conectarse. -t Puerto: indica el puerto que debe utilizarse (puerto por defecto: 389). -d NDRaíz: permite indicar la raíz de la búsqueda. -r Filtro: permite implementar un filtro LDAP.
1. Configuración de la política de seguridad La política de seguridad permite definir un conjunto de parámetros que se aplican a varios objetos. Encontramos en esta política, dos tipos de parámetros diferentes:
Parámetros de seguridad Parámetros de bloqueo Ambos pueden, evidentemente, configurarse para un equipo concreto (directiva de grupo local) o para el conjunto de objetos de un dominio AD (configurado, generalmente, en la Default Domain Policy).
Parámetros de seguridad Es posible configurar varios tipos de parámetros en la política. La vigencia mínima de la contraseña permite indicar el tiempo mínimo antes de que un usuario pueda cambiar de nuevo su contraseña. La vigencia máxima de la contraseña le indica el tiempo máximo, en días, en que será válida su contraseña. Una vez superado este tiempo el usuario tendrá que cambiar su contraseña para poder iniciar una sesión en el dominio. El histórico de contraseñas es, también, un parámetro que debe tenerse en cuenta, y que permite prohibir el uso de las x contraseñas anteriores. Preste atención a no implementar un valor demasiado grande en este parámetro, lo cual puede molestar a los usuarios. Tras la creación del dominio Active Directory se habilita la complejidad de las contraseñas, parámetro que indica la necesidad de respetar ciertos criterios a la hora de definir las contraseñas. En efecto, se considera que una contraseña tiene la complejidad suficiente cuando: Respeta tres de los cuatro siguientes criterios: Mayúsculas Minúsculas Caracteres alfanuméricos Caracteres especiales No contiene el nombre ni el apellido del usuario. Esto complica la búsqueda de la contraseña a un eventual pirata informático pero (a menudo, no obstante) difícilmente se acepta por parte de los usuarios. Es preferible rebajar el nivel de exigencia en términos de seguridad antes que encontrarse con contraseñas escritas en una nota sobre el teclado o el monitor. Otro parámetro importante, en una política de contraseñas, es la longitud mínima. En efecto, permite indicar el número de caracteres que debe contener la contraseña.
Parámetros de bloqueo Estos parámetros permiten configurar los bloqueos. La duración del bloqueo es el periodo durante el cual no podrá iniciarse una sesión con la cuenta de usuario. Para un desbloqueo manual realizado por el administrador es necesario configurar el parámetro a 0. El número de intentos erróneos limita la cantidad de pruebas antes de bloquear la cuenta. De este modo, la cuenta afectada se bloquea una vez se alcanza el número de intentos erróneos. El valor 0 implica intentos ilimitados, de modo que la cuenta jamás se bloqueará. Es preciso poner a cero el contador del número de intentos erróneos, sin lo cual la política de bloqueo no tendrá ningún sentido. De este modo, existe otro parámetro a tener en cuenta en la política de bloqueos, se trata de la actualización del contador (del número de intentos erróneos) tras un cierto número de minutos.
Por último, existe un tercer tipo de parámetros (política Kerberos) que pueden configurarse, y es posible tener acceso a parámetros propios del protocolo Kerberos v5. La configuración puede, tal y como hemos visto antes en este capítulo, parametrizarse desde una directiva local o una directiva de dominio (consola Editor de administración de directivas de grupo). Cabe prestar atención, no obstante, en caso de conflicto entre una directiva de grupo local y una directiva de dominio, siendo la del dominio la que predomina. Los parámetros de seguridad se configuran, generalmente, en la directiva de grupo Default Domain Policy.
2. Gestión de la directiva de contraseña muy específica Incluyendo los parámetros en la directiva de grupo Default Domain Policy la política de seguridad se aplica al conjunto de objetos del dominio. No obstante, es posible, en ciertos casos, necesitar una política de contraseña distinta. Tomemos un ejemplo que nos permita ilustrar esto: una empresa funciona día y noche 7/7 y cada equipo de la cadena de fabricación utiliza la misma cuenta de Active Directory. La directiva de grupo impone 8 caracteres con un cambio cada 42 días, y una complejidad alta. El bloqueo se produce tras el tercer intento erróneo al introducir la contraseña y se mantiene así hasta que un administrador la desbloquee manualmente. Existe una gran probabilidad de que uno de los equipos se confunda al escribir la contraseña, lo que, desgraciadamente, puede ocurrir durante la noche o durante el fin de semana. Si el controlador de dominio funciona con Windows Server 2003, el administrador tiene dos posibilidades: Crear una unidad organizativa Producción, desplazar las cuentas a este grupo, bloquear la herencia sobre la OU y configurar, por último, los parámetros de seguridad en una nueva GPO. Esta solución puede resultar pesada pues supone implementar una mayor complejidad en la
administración.
Implementar un sistema de autologon que evite, al usuario, tener que escribir la contraseña. Desde Windows Server 2008 existe otra solución adicional: la directiva de contraseña muy específica. Consiste en aplicar, a un usuario o grupo de usuarios, parámetros distintos a los que se definen por defecto en la Default Domain Policy. Existen dos objetos presentes en AD DS desde Windows Server 2008. Password Settings Container: este objeto permite almacenar los Password Settings Objects (PSO) que se crean. Password Settings Objects: objeto creado por un administrador de dominio, contiene los parámetros de seguridad que se aplican a los grupos o usuarios asociados. La directiva de contraseña muy específica se aplica únicamente a aquellos usuarios o grupos globales que contienen usuarios. De este modo, cuando se asigna una PSO a un usuario, se modifica su parámetro msDS-PSOApplied (el cual está, por defecto, vacío). Tras la creación de este objeto deben configurarse numerosos parámetros: política de contraseña, de bloqueo o la prioridad. Este último parámetro permite determinar la prioridad de un PSO respecto a otro. El valor, de tipo entero, debe ser el menor posible para ser el más prioritario. La creación de un PSO la realiza un miembro del grupo Administradores de dominio, aunque es posible delegar esta tarea en un usuario.
Configuración de un PSO La funcionalidad política de contraseña muy específica exige un nivel funcional Windows Server 2008. Desde Windows Server 2012, la gestión se realiza desde la consola Centro de administración de Active Directory. Es posible, a su vez, realizar esta operación mediante PowerShell. Cmdlets que permiten crear el objeto PSO y definir los parámetros: New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true Cmdlets que permiten habilitar el vínculo: Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects Marketing La consola Centro de administración de Active Directory proporciona, ella misma, numerosas opciones: Creación del objeto PSO, configuración de los parámetros, así como la implementación del vínculo.
Visualización de los parámetros de contraseña resultantes, lo que permite conocer los parámetros que se aplicarán al usuario.
Es, ahora, más rápido conocer los parámetros que se aplicarán al usuario si se han creado varias PSO.
3. Configuración de las cuentas de servicio Algunas aplicaciones (Microsoft Exchange, SQL Server, Backup Exec…) utilizan una cuenta de usuario
para ejecutar sus servicios y realizar la autenticación. De manera idéntica a las cuentas utilizadas por los usuarios de dominio, este tipo de cuenta complica la administración cotidiana. El cambio de la contraseña requiere tener que volver a configurar los servicios de la aplicación. Esta cuenta no puede someterse a la política de bloqueo y algunos de los parámetros (expiración de la contraseña, por ejemplo) no pueden aplicarse. Para simplificar su administración, es posible implementar cuentas de servicio administradas.
Presentación de las cuentas de servicio administradas Una cuenta de servicio administrada es un objeto AD DS. A diferencia de una cuenta de usuario normal, dado que puede resultar difícil cambiar la contraseña de una cuenta que se encarga de ejecutar y autenticar servicios, las cuentas de servicio gestionadas tienen una contraseña que se cambia automáticamente cada 30 días. La seguridad en el dominio se ve, así, mejorada, el administrador ya no tiene que gestionar las credenciales de las cuentas utilizadas en las aplicaciones. La clase de objeto cuenta de servicio administrada se presenta en el esquema Active Directory con el nombre msDS-Managed-ServiceAccount.
Esta clase se instancia durante la creación de un nuevo objeto. A continuación, se almacena en el contenedor Managed Service Accounts (CN=Managed Service Accounts,DC=,DC=). Es preciso habilitar las Características avanzadas en el menú Ver para mostrar el contenedor.
Requisitos previos necesarios para la funcionalidad El servidor debe funcionar con el sistema operativo Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2 para poder instalar la funcionalidad. Además, es preciso que el .NET Framework 3.5.x y el módulo Active Directory para PowerShell estén instalados en el servidor.
Por último, el nivel funcional del dominio debe ser Windows Server 2008 R2 o superior. Con Windows Server 2012 R2 es necesario crear una root key o, más bien, key distribution services root key antes de proceder a la creación de cuentas de servicio administradas. Esta operación se realiza mediante el siguiente comando PowerShell: Add-KDSRootKey -EffectiveTime ((Get-Date).AddHours(-10)) Para obtener más información acerca de las sitio:http://technet.microsoft.com/es-es/library/jj128430.aspx
root
key
puede
Se dedica un trabajo práctico a la creación de cuentas de servicio administradas.
visitar
el
Directivas de grupo Una directiva de grupo permite definir parámetros en un punto central. A continuación, este lote de parámetros se aplica a uno o varios objetos (usuarios o equipos). De este modo, la administración se ve mejorada, además de existir una interfaz gráfica que permite administrar esta configuración sin tener que escribir complejos scripts.
1. Gestión de la configuración A diferencia de un usuario particular, que posee un número de equipos limitado, en muchos casos uno solo, la red informática de una empresa está compuesta de varias decenas o centenares de puestos. En este caso, es inconcebible realizar la configuración de forma manual. La directiva de grupo tiene, en este caso, una importancia relevante en el ciclo de vida de un sistema de información. Además de los parámetros, una directiva de grupo posee, a su vez, un ámbito y una aplicación. El ámbito se corresponde con los equipos o usuarios que se verán afectados por la directiva. Existen, además, distintas formas de limitar el ámbito. Estos puntos se abordan en la sección Implementación y administración de las directivas de grupo. La aplicación es un mecanismo que permite implementar una directiva de grupo en un equipo. Dicha aplicación se realiza en intervalos definidos. Existen dos tipos de directiva de grupo: la directiva local, que está presente en todos los puestos y servidores (excepto los controladores de dominio), y las directivas de dominio, que se configuran desde un controlador de dominio y que se aplican al conjunto de puestos, servidores y al conjunto de usuarios.
2. Visión general de las directivas de grupo Como hemos visto antes, una directiva de grupo está compuesta por parámetros. Éstos se aplican únicamente a un usuario o bien a un equipo. Cuando se quiere implementar un parámetro, éste debe apoyarse en un estado. Existen tres estados destinados a este fin: No configurado (estado por defecto) Habilitado Deshabilitado El texto de ayuda que acompaña a la ventana permite conocer el comportamiento del componente configurado en función de los distintos estados.
Es importante, a su vez, asegurarse de la versión del sistema operativo con la que es compatible el parámetro. En caso de no respetarse, el parámetro se recibirá en el puesto pero no podrá aplicarse. Tomemos un ejemplo. Las preferencias de directivas de grupo han hecho su aparición con Windows Vista/Windows Server 2008. Los servidores Windows Server 2003 o los equipos con Windows XP no conocen, por tanto, este tipo de parámetros. Sin instalar un cliente de preferencias en los puestos que ejecutan una versión anterior a Windows Vista, el parámetro no se aplicará. Es posible aplicar distintos tipos de parámetros. Además de las preferencias de las directivas de grupo, es posible implementar parámetros de seguridad, la ejecución de un script, el despliegue de aplicaciones…
3. Extensiones del lado cliente Las extensiones del lado cliente o CSE (Client Side Extensions) están presentes en todos los
sistemas operativos de Microsoft y tienen como objetivo aplicar parámetros de directivas de grupo. El funcionamiento de la aplicación de la directiva de grupo arranca con la búsqueda de las directivas de grupo que se aplicarán al puesto o al usuario. Esta búsqueda se realiza mediante el servicio Cliente de directivas de grupo. A continuación, este servicio recupera los parámetros que no han sido todavía almacenados en caché. Las extensiones del lado cliente hacen su trabajo y modifican el equipo o la sesión del usuario. Existen tantas CSE como tipos de parámetros: Preferencias Script Base de datos de registro Seguridad Despliegue de aplicaciones A este funcionamiento se le suman ciertas reglas. De este modo, la parametrización se aplica al equipo únicamente en caso de cambio (cambio de estado…), aunque es posible modificar este comportamiento obligando una aplicación sistemática. Los parámetros de seguridad se aplican obligatoriamente. Algunas CSE (despliegue de aplicaciones, por ejemplo) no aplican su parámetro si se considera que existe una conexión lenta. Una conexión posee esta consideración siempre que su tasa de transferencia sea inferior a 512 Kbits/s. Los componentes del sistema operativo configurados mediante una directiva de grupo no pueden ser modificados por un usuario. Las preferencias ofrecen la posibilidad, a un usuario, de modificar temporalmente estos parámetros. Estas directivas se aplican tras el reinicio del puesto y el inicio de sesión o a intervalos de tiempo reculares de entre 90 a 120 minutos. No se produce ninguna modificación si no se ha realizado ninguna modificación sobre el parámetro. Los parámetros de seguridad se aplican cada 16 horas, incluso aunque no hayan sufrido modificaciones. Por último, existe un caso adicional, el de los controladores de dominio donde la directiva se aplica cada 5 minutos.
4. Directivas de grupo por defecto En un dominio Active Directory, se crean dos directivas de grupo por defecto. La Default Domain Policy, ubicada en la raíz del domino, que no posee ningún filtro WMI. Además, se posiciona el grupo de Usuarios autenticados. De este modo, todos los objetos de usuario o equipo reciben la configuración. Por defecto, se configuran los parámetros de seguridad (contraseña, bloqueo y Kerberos). Agregar un parámetro a esta directiva permite aplicarlo a todos los objetos del dominio. La directiva de grupo Default Domain Controller Policy se posiciona a nivel de la unidad organizativa Domain Controllers. Los parámetros se aplican únicamente sobre el controlador de dominio y permiten implementar un sistema de auditoría o atribuir permisos suplementarios a un usuario o grupo de usuarios.
5. Almacenamiento de la directivas de grupo La directiva de grupo se divide en dos partes. Por un lado, el contenedor de la directiva de grupo (GPC) se almacena en el directorio Active Directory. Cada objeto está compuesto por un GUID que permite disponer de una identidad única en AD DS. La plantilla de directiva de grupo (GPT) contiene, por su parte, los distintos parámetros contenidos en las directivas de grupo. La GPT se almacena en la carpeta SYSVOL, donde cada subcarpeta se corresponde con un objeto presente en el GPC. Las subcarpetas reciben el nombre del GUID presente en el GPC.
La replicación de ambos componentes de la directiva de grupo es, también, diferente. El contenedor de la directiva de grupo (GPC) almacenado en el Active Directory se replica con él. De este modo, los controladores de dominio contienen todos los distintos contenedores. La carpeta SYSVOL, que contiene la plantilla de la directiva de grupo (GPT) se replica con el sistema FRS (servicios de replicación de ficheros). Desde Windows Server 2008 es posible utilizar el sistema de replicación DFS, que ofrece una mayor fiabilidad y eficacia. Ambos sistemas pueden, en ciertos casos, estar desincronizados. Con el objetivo de verificar la correcta sincronización entre el GPC y la GPT, conviene utilizar la herramienta GPOTool. Esta herramienta, por línea de comandos, permite asegurar que no existen incoherencias entre ambos controladores. Resulta muy práctica para preparar la migración de un controlador de dominio. Es preciso descargar la herramienta antes de poder utilizar el comando DOS.
6. GPO de inicio Aparecidas con Windows Server 2008, las directivas de grupo de inicio permiten implementar plantillas para otras directivas de grupo. No obstante, estas plantillas solo pueden contener parámetros presentes en las plantillas administrativas. De este modo, todas las GPO del dominio contienen cierto número de parámetros idénticos (a condición, evidentemente, de que se utilice la misma plantilla). Es posible realizar operaciones de importación y de exportación de estas directivas. Estas operaciones se realizan mediante archivos con extensión .cab. Durante el primer uso, es preciso crear la carpeta, que contiene las plantillas predefinidas.
Aparece una nueva carpeta dentro de SYSVOL, con el nombre StarterGPOs, que contiene los parámetros de cada una de las directivas.
Es posible, evidentemente, crear nuestra propia plantilla.
7. Copia de seguridad y restauración de una directiva de grupo Las directivas de grupo permiten definir parcialmente o completamente el entorno de los usuarios. Una pérdida de estos parámetros puede implicar una pérdida de producción para el usuario. Es, por tanto, importante asegurar (como con cualquier elemento crítico) que se tienen mecanismos para realizar copias de seguridad y, sobre todo, para poder realizar una posterior restauración de este elemento (con frecuencia se olvida esta etapa, que tiene una importancia enorme puesto que valida el correcto funcionamiento de la copia de seguridad y sus procedimientos). La copia de seguridad puede aplicarse a una directiva en particular o al conjunto de GPO. El destino de la copia de seguridad es, sencillamente, una carpeta que contendrá la información necesaria en la etapa de restauración (ID, parámetro…). La restauración ofrece, por su parte, más posibilidades. Como con cualquier operación de restauración, es posible restaurar una copia de seguridad que previamente se ha guardado. Además, es posible importar una GPO salvaguardada dentro de una GPO existente. Esta acción no hace más que importar los parámetros. No obstante, algunas
directivas pueden contener rutas UNC, de modo que es necesario, en la etapa de importación, realizar una verificación de estos enlaces. Para ello se utiliza una tabla de migración, que permite validar y modificar, si fuera necesario, las distintas rutas UNC.
8. Delegación de la administración Desde hace muchos años existe la delegación en los sistemas operativos de servidor, y permite la distribución de tareas a otras personas. De este modo, es posible asignar a otras personas diferentes a los administradores las tareas de creación de directivas de grupo, de creación de vínculos WMI… Es posible implementar distintos niveles de delegación: Creación/modificación de objetos de directiva de grupos Gestión de los vínculos de las directivas de grupos Ejecución del modelado de directivas de grupos Lectura de datos resultantes de las directivas de grupos Creación de filtros WMI Los usuarios miembros del grupo CREATOR OWNER tienen acceso completo al sistema de directivas de grupo.
Como todo objeto de Active Directory, una directiva de grupo posee una ACL, compuesta por los grupos Administradores de dominio, Administradores de empresas, Creador propietario y Sistema local. El conjunto de estos grupos posee un control total a nivel de la gestión de directivas de grupo, un usuario miembro tendrá asignado el permiso Aplicar directiva de grupos y lectura. Para asignar el permiso de crear una GPO a un usuario se necesita agregar su cuenta de usuario al grupo CREADOR PROPIETARIO o implementar, de manera explícita, la autorización desde la consola GPMC. A diferencia de la delegación de la creación, que no limita la creación, la correspondiente al vínculo está limitada a un contenedor. Este tipo de directiva se configura desde la pestañaDelegación del contenedor en la consola GPMC o mediante el asistente Delegación de
control en la consola Usuarios y equipos de Active Directory. Ocurre de forma similar con las operaciones de creación de filtros WMI, de modelado y resultado de directivas de grupos.
9. PowerShell con GPO Como con la mayoría de componentes de Windows Server 2012 R2, es posible realizar la administración y la gestión de directivas de grupo mediante PowerShell. Existen varios cmdlets disponibles:
New-GPO: creación de una nueva directiva de grupo. New-GPLink: permite implementar un vínculo a una GPO. Backup-GPO/ Restore-GPO: realiza la copia de seguridad y restauración de una directiva. Copy-GPO/ Import-GPO: realiza la operación de copia o de importación.
Implementación y administración de las directivas de grupo La implementación de una directiva de grupo es un asunto importante que no debe descuidarse. En efecto, las directivas son acumulativas, lo que puede dar un resultado final completamente diferente al esperado.
1. Vínculos GPO Es posible crear una directiva de grupo de dos formas. Realizando la operación desde el contenedor Objetos de directiva de grupo, la directiva no queda vinculada con ningún contenedor. La segunda forma de crear una directiva es realizando su creación desde un contenedor. Esta segunda solución permite, no obstante, implementar el vínculo además de la creación. Es preferible realizar el vínculo una vez se ha creado y probado la GPO. En efecto, si existe el vínculo desde la creación, los parámetros comienzan a aplicarse cuando la directiva de grupo todavía no se ha comprobado, o ni siquiera terminado de programar. Por ello, es preferible crear en primer lugar la directiva de grupo y, a continuación, realizar el vínculo en un paso posterior. Éste debe implementarse sobre una unidad organizativa de pruebas, con el objetivo de validar el correcto funcionamiento de los distintos parámetros de la GPO. El vínculo de una directiva de grupo permite definir el ámbito. La aplicación de la GPO se realiza sobre el contenedor y sus hijos. Esto influye en los equipos cliente y servidores presentes en los contenedores. Es posible vincular una misma directiva con varios contendores.
2. Orden de aplicación Las directivas de grupo se aplican en el puesto en función de un orden preciso bien definido. La primera directiva que se aplica en el puesto es la directiva local (si existe alguna directiva presente). A continuación, se recuperan las GPO del dominio y se aplican, empezando por la GPO del sitio AD. A continuación, se recupera la Default Domain Policy y cualquier otra directiva que esté definida en la raíz del dominio. Por último, se aplican aquellas directivas definidas a nivel de OU o sub-OU.
Es posible realizar este vínculo sobre una entidad de seguridad (grupos o usuarios). Es necesario enlazarla a algún contenedor (OU, dominio…). La directiva que se aplica en último lugar es aquella definida a nivel de OU, en caso de conflicto con algún parámetro es la última GPO aplicada la que tiene autoridad sobre las demás. Para modificar este orden de prioridad es posible bloquear la herencia o aplicar la opción Aplicar a una directiva. Esta última acción no se realiza sin consecuencia, puesto que vuelve prioritaria cualquier GPO y permite saltarse cualquier bloqueo o herencia.
3. Herencia y opción de aplicación Como hemos visto antes, las directivas de grupo son acumulativas. Es posible, por tanto, tener una directiva resultante diferente a la que se esperaba. La herencia y la opción de aplicación pueden, en ciertos casos, resolver un conflicto entre dos parámetros y, por tanto, favorecer un resultado distinto al esperado. La consola GPMC permite determinar el orden de aplicación atribuyendo un número a cada directiva. La que posea el número más bajo será la prioritaria. Esta funcionalidad está accesible seleccionando el contenedor deseado y accediendo a la pestaña Herencia de directivas de grupo.
Es posible ver en la pantalla anterior que la directiva de grupo Default Domain Controllers Policy es prioritaria respecto a la Default Domain Policy. Esto se explica, simplemente, por el hecho de que la GPO Default Domain Controller Policy se posiciona sobre la unidad organizativa Domain Controllers, se aplica en último lugar. Esto permite ver que una directiva de grupo aplicada sobre un contenedor se hereda en los contenedores situados debajo de ella. Se habla así de GPO aplicada sobre el contenedor padre que se hereda en los contenedores hijos. Esta herencia puede, evidentemente, bloquearse. Cuando se habilita el bloqueo, se muestra un círculo azul que contiene un signo de exclamación blanco.
Comprobamos, de este modo, que la GPO Default Domain Policy heredada anteriormente ya no está presente. Es preferible no abusar de la opción Bloqueo de herencia, que puede, a gran escala, complicar la administración. El filtrado por grupo de seguridad puede resultar una mejor alternativa para limitar los objetos afectados por la directiva de grupo. La opción Exigido permite modificar la prioridad de una directiva. Cuando se habilita esta opción, la GPO afectada recupera el nivel de prioridad más elevado. Además, existe la posibilidad de superar el bloqueo por herencia. Esta opción puede habilitarse simplemente haciendo clic con el botón derecho sobre la directiva de grupo y, a continuación, seleccionando la opción Exigido.
Esta opción debe utilizarse con precaución, pues en caso contrario la directiva resultante puede convertirse en algo totalmente diferente a lo que se busca.
4. Implementación de filtros para gestionar el ámbito Es posible implementar filtros con el objetivo de limitar aquellos usuarios y equipos que tienen la posibilidad de recibir los parámetros de la directiva de grupo. Para ello, se utilizan grupos de usuarios. Tras la creación de una directiva de grupo se posiciona por defecto al grupo Usuarios autenticados en el filtrado de seguridad.
Para implementar un filtro es necesario eliminar el grupo por defecto y, a continuación, indicar el grupo deseado. Además de los grupos de seguridad es posible implementar filtros WMI. Se trata de una tecnología que permite controlar distintos objetos (sistema operativo). Es, por tanto, posible utilizar una consulta WMI para filtrar en base a la memoria asignada, la velocidad del procesador, el disco duro, la versión de sistema operativo… Este tipo de filtros resulta práctico cuando se desea desplegar aplicaciones mediante directivas de grupo.
5. Funcionamiento de una directiva de grupo con enlaces lentos Tras la recuperación de una directiva de grupo, algunos parámetros puede que no se apliquen en función de la velocidad del enlace entre el equipo y el controlador de dominio. Se considera que una conexión es lenta cuando la tasa de transferencia es inferior a 500 Kbits/s. La instalación de aplicaciones se ve afectada por la velocidad de los enlaces. Si el enlace se considera lento, el parámetro no se aplica. La aplicación o no del parámetro viene determinada por cada CSE (extensión del lado cliente). Las extensiones del lado cliente siguientes están inactivas con enlaces lentos: Mantenimiento de Internet Explorer Instalación de software Redirección de carpetas Ejecución de script Directiva IPsec Directiva inalámbrica Directiva de cuota en disco
Si una estación se encuentra desconectada de la red, utilizará los parámetros anteriores alojados en caché. Cuando se conecte a la red, las distintas extensiones del lado cliente detectarán si es necesario actualizar los parámetros.
6. Recuperación de directivas por los puestos clientes La actualización de una directiva de grupo se realiza tras el arranque del equipo o tras el inicio de sesión. Además, cada puesto pregunta a su vez a su controlador de dominio tras cada intervalo de entre 90 a 120 minutos. La actualización sobre un controlador de dominio se realiza cada 5 minutos. Si no se produce ninguna modificación sobre alguna directiva de grupo, ésta no se vuelve a aplicar. Para asegurar que la actualización de directivas de grupo se realiza una vez los servicios de red de la máquina están habilitados, se recomienda habilitar el parámetro Esperar siempre la detección de red al inicio e inicio de sesión del equipo para todos los clientes Windows. Este parámetro se encuentra en el nodo Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Inicio de sesión.
Algunos parámetros (Ejecución de script, Redirección de carpeta, Instalación de software…) necesitan un nuevo inicio de sesión o un reinicio del equipo. Además de la actualización automática, es posible "forzar" la aplicación de una directiva de grupo. Para ello, debe utilizarse el comando gpupdate. Presenta dos opciones:
/target:computero /target:user: limita la aplicación a los parámetros de equipo o de usuario.
/force: se reaplica el conjunto de parámetros de las directivas de grupo. /logoffo /boot: estos parámetros provocan un cierre de sesión o un reinicio del puesto.
Mantenimiento de una directiva de grupo La implementación de una directiva de grupo puede impactar sobre el entorno del usuario. Además, en un sistema complejo es posible que ciertos parámetros no se apliquen. En tal caso, es necesario utilizar las distintas herramientas disponibles en el sistema operativo para encontrar la causa. Desde Windows Server 2012 es posible forzar la aplicación de una directiva de grupo. Esta operación se aplica únicamente sobre objetos de tipo equipo. En caso de actualización en una unidad organizativa que contenga únicamente cuentas de usuario, aparece un mensaje.
Tras la aplicación sobre una o varias cuentas de equipo, aparece un informe que permite conocer el resultado de la actualización.
En AD3, al estar apagado durante la actualización, ha fallado la actualización de la directiva. También es posible obtener un informe acerca del estado de la replicación entre Active Directory y SYSVOL.
Una vez más, el controlador de dominio AD3 aparece como inaccesible. Es mucho más fácil conocer el estado de la replicación entre la GPC (Group Policy Console) replicada con Active Directory y la GPT (Group Policy Template) replicada con DFSR.
1. Directiva de grupo resultante Como con las actualizaciones NTFS, la combinación de todas las directivas de grupo produce la directiva resultante. En función de los filtros (grupos de seguridad, WMI) y de la opción Aplicada, los parámetros de la GPO resultante pueden ser diferentes a los deseados por el administrador. Para visualizar estos parámetros, es posible utilizar el comando RSOP. Este comando puede utilizarse sobre un equipo/servidor local o sobre un equipo remoto. Es posible crear un informe, aunque también es posible modelar los parámetros de las directivas de grupo. Existen varias herramientas, provistas con el sistema operativo, que permiten realizar análisis RSOP. El asistente Resultados de directivas de grupo. El asistente Modelado de directivas de grupo. El comando
gpresult.
2. Informe RSOP Los informes RSOP facilitan el mantenimiento aportando la información necesaria acerca de la directiva resultante. Es posible, para ello, utilizar el asistente Resultados de directivas de grupo, que utiliza el proveedor WMI para recuperar la información en un equipo local o en un puesto remoto: Directiva de grupo aplicada Directiva de grupo no aplicada, y el motivo
Listado de parámetros de directivas de grupo No obstante, recuperar correctamente esta información requiere en primer lugar que el equipo esté conectado. La cuenta que se utiliza para consultar debe poseer permisos de administración sobre el equipo consultado. Es preciso autorizar el tráfico entre ambos equipos si hubiera algún firewall activado (uso de los puertos 135 y 445). Por último, es necesario que el usuario haya iniciado sesión al menos una vez, con el objetivo de que las directivas de grupo se hayan aplicado al menos una vez sobre el equipo. Una vez terminada la recogida de información, el asistente genera un informe en formato DHTML con tres pestañas: Resumen: esta pestaña permite obtener, muy rápidamente, información importante acerca de las distintas directivas de grupo (GPO aplicada, GPO rechazada, pertenencia a grupos de seguridad…). Parámetros: permite visualizar los distintos parámetros de la directiva resultante. Evento de directiva: recupera la información de la directiva de grupo en los registros de evento. Es posible visualizar el informe desde la consola Administración de directivas de grupo, donde es posible volver a ejecutar de nuevo la consulta con el objetivo de actualizar el informe. El comando gpresult puede utilizarse, a su vez, para recoger la misma información. Preste atención, no obstante, a que es preciso disponer como mínimo de equipos ejecutando Windows XP y servidores con Windows Server 2003 para poder ejecutar este comando. Como con el asistente Resultados de directivas de grupo, es posible consultar un equipo remoto. Para llevar a cabo esta operación es preciso utilizar la opción /s. Las opciones /v y /z permiten obtener un resumen más o menos igual de detallado. Por último, para crear un informe debe utilizarse la opción /h.
3. Uso de registros de eventos Aparte de los distintos comandos estudiados en los puntos anteriores, es posible obtener la información desde los registros de eventos. El registro de eventos del sistema permite obtener eventos vinculados con los clientes tales como la imposibilidad de conectarse a un controlador de dominio o la imposibilidad de realizar la localización de objetos de directiva de grupo. El registro de aplicaciones permite, por su parte, visualizar los eventos vinculados con las extensiones del lado cliente. Por último, el registro GroupPolicy ofrece información detallada acerca del procesamiento de las directivas de grupo.
Gracias a las herramientas ofrecidas por Windows Server 2012 R2, el mantenimiento de las directivas de grupo se ve ampliamente facilitado.
4. Enlace lento y caché de directivas de grupo En una red empresarial, puede ocurrir que no exista un controlador de dominio en una o varias sedes (con pocos empleados, con poca seguridad…). La autenticación y la recuperación se realizan desde un controlador de dominio ubicado en otro sitio. De este modo, el enlace WAN se utiliza a menudo. Si este enlace ofrece una tasa de transferencia inferior a 500 Kbits/s, entonces el enlace se considera lento. Esto puede dar lugar a un incidente en la aplicación de alguna directiva de grupo. En efecto, cuando un equipo recupera los parámetros de una directiva de grupo, utiliza ciertos componentes del sistema operativo: las extensiones del lado cliente, cuyo rol es recuperar la configuración de una GPO y aplicarla en los equipos. Encontramos, de este modo, tantas extensiones del lado cliente como tipos de parámetros (preferencias, scripts…). De este modo, si se trata de un enlace lento, algunos parámetros puede que no se apliquen. Las siguientes extensiones se aplican incluso aunque se trabaje desde un enlace lento: Configuración de registro (plantillas administrativas). Directivas de seguridad. Directivas de recuperación EFS. Seguridad IP. Las siguientes extensiones no se aplicarán si se trabaja desde un enlace lento: Despliegue de aplicaciones.
Scripts. Redirección de carpetas. Cuotas de disco. Tras la aplicación de una directiva de grupo en un equipo se produce un almacenamiento en caché. Esta operación permite conservar la política definida por el administrador incluso aunque el equipo esté desconectado de la red. Para mejorar la experiencia en una red desde una conexión remota es posible utilizar el modo síncrono. Permite utilizar la versión más reciente de la caché en lugar de recuperar la configuración de la red. Esto permite realizar un arranque más rápido en caso de trabajar desde una conexión VPN (DirectAccess, por ejemplo).
5. Configuración de una política de seguridad Kerberos Desde hace varias generaciones de sistemas operativos de servidor es posible gestionar los parámetros de Kerberos. Utilizados en el funcionamiento de las autenticaciones, se recomienda, por otro lado, modificarlos con precaución. Desplegando los nodos Configuración del equipo - Directivas - Configuración de Windows Configuración de seguridad - Directivas de cuentas - Directiva Kerberos es posible acceder a estos parámetros.
Trabajos prácticos: Gestión del entorno del usuario Estos trabajos prácticos permiten realizar la implementación de directivas de grupo o la importación de cuentas de usuario.
1. Importar cuentas de usuario mediante cmdlets PowerShell Objetivo: importar cuentas de usuario mediante un archivo CSV. Para llevar a cabo esta operación se utiliza un cmdlet. Máquina virtual: AD1. En AD1, abra la consola Usuarios y equipos de Active Directory y, a continuación, despliegue el nodo Formacion.local. Haga clic con el botón derecho en la raíz del dominio y, a continuación, haga clic en Nuevo Unidad organizativa. En el campo Nombre, escriba ExportRH y, a continuación, haga clic en Aceptar.
Abra una consola PowerShell y, a continuación, escriba el comando unrestricted.
set-executionpolicy
Valide la posibilidad de ejecutar scripts no firmados presionando S y, a continuación, pulsando la tecla [Enter].
Ejecute el script Script_Importacion.ps1 (el archivo CSV y el script PowerShell están ubicados en la raíz C: en el ejemplo). El archivo CSV y el script pueden descargarse desde la página Información.
Las cuentas se han importado correctamente.
La importación resulta, de este modo, mucho más sencilla, basta con modificar el archivo CSV.
2. Creación de una PSO Objetivo: crear una directiva de contraseña muy específica para aplicarla a un grupo de seguridad. Máquina virtual: AD1. En AD1, verifique el nivel funcional del dominio para comprobar que es, como mínimo, Windows Server 2003. Abra la consola Usuarios y equipos de Active Directory presente en las Herramientas administrativas (menú de inicio). Haga clic en la raíz del dominio Formacion.local y, a continuación, mediante la barra de
herramientas, cree una nueva unidad organizativa. En el campo Nombre, escriba PSO y, a continuación, haga clic en Aceptar.
Haga clic en la unidad organizativa que acaba de crear y, a continuación, haga clic en el botón que permite crear un nuevo usuario. Escriba Prueba en el campo Nombre de pila y, a continuación, PSO en el campo Apellidos. El nombre de inicio de sesión de usuario es pso.
Haga clic en Siguiente. Escriba Pa$$w0rd en el campo Contraseña y, a continuación, confírmela. Marque la opción La contraseña nunca expira.
Haga clic en Siguiente y, a continuación, en Finalizar. Repita las mismas etapas para la creación del usuario Prueba PSO2. Desde las Herramientas administrativas, abra la consola Centro de administración de Active Directory. En el panel izquierdo, haga doble clic en la raíz del dominio Formacion (local).
En el panel de navegación, haga doble clic en el contenedor System y, a continuación, enPassword Settings Container.
Haga clic en Nuevo en el panel Tareas y, a continuación, en Configuración de contraseña. Escriba PSO Admin en el campo Nombre y 1 en Precedencia. Deje marcada la opción Exigir longitud mínima de contraseña y escriba, en el campo correspondiente, el valor 5. En el campo Exigir historial de contraseña, escriba 8. Marque la opción Exigir directiva de bloqueo de cuenta y, a continuación, escriba 3 en el campoNúmero de intentos de inicio de sesión incorrectos.
Haga clic en el botón Agregar y, a continuación, escriba pso en el campo Escriba los nombres de objeto que desea seleccionar en el cuadro de diálogo que se abre. Haga clic en el botón Comprobar nombres, el campo tendrá el mismo valor que en la siguiente pantalla.
Haga clic en Aceptar.
Haga clic en Aceptar para validar la creación. Haga clic en Nuevo en el panel Tareas y, a continuación, en Configuración de contraseña para crear una nueva política. Escriba PSO VIP en el campo Nombre y 1 en Precedencia. Deje marcada la opción Exigir longitud mínima de contraseña y escriba, en el campo correspondiente, el valor 2. En el campo Exigir historial de contraseña, escriba 1. Desmarque la opción Exigir longitud mínima de contraseña.
Marque la opción Exigir directiva de bloqueo de cuenta y, a continuación, escriba 2 en el campoNúmero de intentos de inicio de sesión incorrectos. Haga clic en el botón Agregar y, a continuación, escriba pso2 en el campo Escriba los nombres de objeto que desea seleccionar en el cuadro de diálogo que se abre. Haga clic en Aceptar.
Haga clic en Aceptar. En la consola se muestran, a continuación, ambas políticas de contraseña.
La consola permite, también, conocer los parámetros de contraseña resultantes para un usuario
determinado. Haga doble clic en la raíz del dominio Formacion.local y, a continuación, en la unidad organizativaPSO. Haga clic en Prueba PSO1 y, a continuación, en el panel Tareas, haga clic en Ver configuración de contraseña resultante.
Se muestra la directiva de contraseña muy específica que tiene asociada el usuario.
Repita la misma operación seleccionando esta vez Prueba PSO2.
La directiva que tiene asociada es PSO VIP.
3. Creación de una cuenta de servicio Objetivo: crear una cuenta de servicio mediante Cmdlets PowerShell. Máquina virtual: AD1. En AD1, acceda a las Herramientas administrativas y, a continuación, ejecute el Módulo Active Directory para Windows PowerShell. el comando Add-KdsRootKey -EffectiveTime ((getdate).addhours(10)), que permite crear la clave de raíz de los servicios de distribución. Escriba
Esto permite crear, a continuación, la cuenta.
La cuenta puede, ahora, crearse. Para ello, escriba el siguiente comando: New-ADServiceAccount -Name Webservice -DNSHostName AD1 -PrincipalsAllowedToRetrieveManagedPassword AD1$ Puede descargar el script desde la página Información.
Ahora es preciso asociar la cuenta de servicio Webservice a AD1. Para ello, escriba el comando: Add-ADComputerServiceAccount -identity AD1 -ServiceAccount Webservice Ahora la cuenta está presente en Active Directory.
A continuación, es posible utilizar la cuenta en un servicio.
4. Creación y configuración de una directiva de grupo Objetivo: crear una directiva de grupo y, a continuación, aplicarla solamente a los controladores de dominio. Máquinas virtuales: AD1, AD2 y AD3. En AD1, abra la consola de Administración de directivas de grupo y, a continuación, despliegue los nodos Dominios y Formacion.local. Haga clic con el botón derecho en GPO y, a continuación, seleccione Nuevo en el menú contextual. En Nombre, escriba GPO Configuración DC y, a continuación, haga clic en Aceptar.
Haga doble clic en la directiva de grupo recién creada y, a continuación, seleccione Editar en el menú contextual. Despliegue los nodos Configuración del equipo - Directivas - Configuración de Windows Configuración de seguridad - Firewall de Windows con seguridad avanzada.
Haga clic en el enlace Propiedades del Firewall de Windows. Configure el parámetro Estado del firewall al estado Inactivo.
Repita la misma operación en los otros dos perfiles y, a continuación, haga clic en Aceptar. Cierre la consola Editor de administración de directivas de grupo. En la consola Administración de directivas de grupo, haga doble clic en GPO Configuración DC. La directiva de grupo no está vinculada con ninguna unidad organizativa. Haga clic en Usuarios autenticados y, a continuación, en el botón Quitar en Filtrado de seguridad. Agregue, ahora, el grupo Controladores de dominio con ayuda del botón Agregar. Haga clic con el botón derecho en Formacion.local y, a continuación, seleccione la opciónVincular un GPO existente…. Seleccione GPO Configuración DC y, a continuación, haga clic en Aceptar. La directiva se encuentra, ahora, vinculada con el dominio y correctamente modificada.
Haga clic con el botón derecho en la unidad organizativa Domain Controllers y, a continuación, seleccione la opción Actualización de directiva de grupo. Esta operación permite forzar la actualización de las directivas de grupo en las cuentas de usuario presentes en la OU.
En la ventana que se abre, haga clic en Sí.
Aparece una ventana que muestra el resultado de la actualización.
Haga clic en Cerrar. Espere algunos minutos y, a continuación, verifique que el parámetro se ha aplicado correctamente al conjunto de controladores de dominio.
Aparece un mensaje advirtiendo de que ciertos parámetros se gestionan mediante una directiva de grupo.
5. Creación de un informe RSOP
5. Creación de un informe RSOP Objetivo: generar un informe RSOP sobre los controladores de dominio para visualizar la información relativa a la aplicación de las directivas de grupo. Máquinas virtuales: AD1 y AD3. En AD1, abra la consola Administración de directivas de grupo. Haga clic con el botón derecho en Resultados de directivas de grupo y, a continuación, en el menú contextual seleccione Asistente para Resultados de directivas de grupo. Se abre el asistente, haga clic en Siguiente. En la ventana Selección de equipos, haga clic en Otro equipo y, a continuación, utilice el botónExaminar. Escriba AD3 y, a continuación, haga clic en Comprobar nombres, valide haciendo clic en el botónAceptar.
Haga clic en Siguiente. En la ventana Selección de usuario, haga clic en Siguiente. Haga clic en Siguiente y, a continuación, en Finalizar para generar el informe. La pestaña Resumen permite visualizar rápidamente si se ha detectado algún problema.
La pestaña Detalles ofrece toda la información necesaria para realizar el diagnóstico de un posible problema. Eventos de directiva permite tener acceso, de manera muy sencilla, a los eventos presentes en el registro de eventos del equipo o del servidor afectado.
Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Qué tipo de archivo se utiliza con el comando
csvde?
2 ¿Cuál es la opción que debe utilizarse para realizar una importación con el comando 3 ¿Es posible realizar la modificación de una cuenta con el comando
csvde?
csvde?
4 ¿Cuáles son los parámetros contenidos en una política de seguridad? 5 ¿Cuáles son los criterios que deben respetarse para que una contraseña se considere compleja? 6 ¿A qué objetos se aplican las directivas de contraseña muy específica? 7 ¿Cuáles son los dos objetos presentes en AD DS y que utilizan las PSO? 8 ¿Cuándo se modifica el parámetro msDS-PSOApplied? 9 ¿Cuál es el rol de una extensión del lado cliente? 10 ¿Qué ocurre si se detecta una conexión lenta? 11 ¿Cuándo se actualiza una directiva de grupo? 12 ¿Qué permiso se le atribuye a un usuario si se le incluye dentro del grupo CREADOR PROPIETARIO? 13 ¿Qué cambio se opera cuando se utiliza la opción Aplicar sobre una GPO? 14 ¿Qué medios existen para crear un informe RSOP?
2. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Por cada respuesta correcta, cuente un punto. Número de puntos:
/14
Para superar este capítulo, su puntuación mínima debería ser de 10 sobre 14.
3. Respuestas 1 ¿Qué tipo de archivo se utiliza con el comando El comando
csvde?
csvdeutiliza archivos con formato CSV.
2 ¿Cuál es la opción que debe utilizarse para realizar una importación con el comando Por defecto, el comando usar la opción -i.
csvde?
csvderealiza una exportación. Para realizar una importación, es preciso
3 ¿Es posible realizar la modificación de una cuenta con el comando
csvde?
No, el comando csvdeno permite realizar modificaciones sobre una cuenta de usuario existente, es preciso utilizar, para ello, el comando idifde. 4 ¿Cuáles son los parámetros contenidos en una política de seguridad? Una política de seguridad puede contener, principalmente, parámetros de contraseña, de bloqueo
así como parámetros Kerberos. 5 ¿Cuáles son los criterios que deben respetarse para que una contraseña se considere compleja? Para que una contraseña se considere compleja es preciso que cumpla tres de los cuatro criterios siguientes: Contener letras mayúsculas Contener letras minúsculas Contener caracteres alfanuméricos Contener caracteres especiales 6 ¿A qué objetos se aplican las directivas de contraseña muy específica? Una directiva de contraseña muy específica puede aplicarse a un usuario o un grupo de seguridad de tipo global. 7 ¿Cuáles son los dos objetos presentes en AD DS y que utilizan las PSO? Existen dos objetos en AD DS desde Windows Server 2008: el Password Settings Container, que sirve como contenedor del Password Settings Object, que es el segundo tipo de objeto y contiene los parámetros de seguridad que se aplican a los grupos o al usuario. 8 ¿Cuándo se modifica el parámetro msDS-PSOApplied? El parámetro msDS-PSOApplied se modifica cuando se atribuye una directiva contraseña muy específica a un usuario o un grupo. 9 ¿Cuál es el rol de una extensión del lado cliente? La extensión del lado cliente, o CSE, tiene como objetivo recuperar los parámetros recibidos y, a continuación, aplicarlos. Existen tantas CSE como tipos de parámetros. 10 ¿Qué ocurre si se detecta una conexión lenta? En el caso de una conexión lenta, la mayoría de parámetros no se aplican. 11 ¿Cuándo se actualiza una directiva de grupo? La actualización de una GPO se realiza en diferentes momentos. Tras el inicio de sesión o el arranque del puesto, las directivas se recuperan y se aplican. A continuación, se produce una actualización cada 90 a 120 minutos. No obstante, esta operación se lleva a cabo únicamente si se ha producido alguna modificación. En un controlador de dominio, el intervalo de actualización es de 5 minutos. 12 ¿Qué permiso se le atribuye a un usuario si se le incluye dentro del grupo CREADOR PROPIETARIO? Tras realizar esta acción, se atribuye al usuario un control total a nivel de directivas de grupo. 13 ¿Qué cambio se opera cuando se utiliza la opción Aplicar sobre una GPO? Si se aplica la opción Aplicar a una directiva de grupo, ésta se vuelve prioritaria, pudiendo incluso saltar el mecanismo de bloqueo de herencia. 14 ¿Qué medios existen para crear un informe RSOP? Para crear un informe RSOP, es preciso ejecutar el comando gpresult /H NombreArchivoen el equipo correspondiente o utilizar el asistente de Resultados de directivas de grupo. Este asistente requiere, no obstante, que la GPO se haya aplicado al menos una vez y que el firewall permita consultas de manera remota.
Requisitos previos y objetivos 1. Requisitos previos Tener nociones acerca de las directivas de grupo.
2. Objetivos Administración del sistema de directivas de grupo. Implementar las preferencias de las directivas.
Introducción El sistema de directivas de grupo (GPO) permite implementar un conjunto de parámetros sobre uno o varios puestos. Hay varios miles de parámetros disponibles con Windows Server 2012 R2. Las preferencias, la redirección de carpetas o la ejecución de scripts son algunas de las directivas que pueden implementarse.
Plantillas administrativas Las plantillas administrativas se dividen en dos secciones, la configuración del equipo y la configuración de usuario. Ambas permiten gestionar el entorno del usuario. Cada parámetro está clasificado en una carpeta (componentes de Windows, red…). Tras su implementación, se modifica la base de datos del registro. Se modifican dos rutas: HKEY_LOCAL_MACHINE en lo relativo al equipo. HKEY_CURRENT_USER para la sección de usuario. A excepción de algunos parámetros, la mayoría de ellos están presentes únicamente en la sección de usuario o de equipo.
1. Los archivos ADMX y ADML Los archivos en formato ADM, predecesor de los archivos ADMX / ADML, se utilizaban en los sistemas operativos de Microsoft hasta el par Windows Server 2003 / Windows XP. Recuerde que estos archivos ADM utilizan su propio lenguaje de etiquetas (lo cual hace difícil la creación de un archivo personalizado). Estos últimos se almacenaban en la carpeta %systemroot%\INF. Con Windows Server 2008 y Windows Vista, las plantillas administrativas se almacenan en archivos diferentes. Estos archivos tienen la extensión admx o adml. Se utiliza el lenguaje XML en su definición, lo que permite crear, de manera mucho más sencilla, una nueva plantilla administrativa. Se ubican, por defecto, en la carpeta PolicyDefinitions, y presentan la ventaja de ser independientes del lenguaje del sistema operativo. El texto que se muestra está presente en el archivo ADLM. Éste se almacena en una subcarpeta dentro de PolicyDefinitions (ES-es para el español…). Existe una herramienta que permite migrar archivos ADM al formato ADMX / ADML, disponible para su descarga en el sitio web de Microsoft (http://go.microsoft.com/fwlink/?linkID=270013).
2. Creación del almacén central Un almacén central se encarga de alojar los archivos ADMX y ADML en un sitio centralizado con el objetivo de que los distintos controladores de dominio puedan acceder a él. Tras la activación de esta funcionalidad se ignora el almacén local presente en cada servidor, de modo que solo se tiene en cuenta el almacén central. No obstante, si el controlador no estuviera disponible, se utiliza en su lugar el almacén local. Su creación consiste en copiar en la carpeta SYSVOL los archivos ADMX y ADML. La replicación de archivos (FRS o DFS-R) asegura, a continuación, la replicación sobre los distintos controladores de dominio. Es, así, posible copiar las plantillas administrativas para Office.
3. Uso de filtros sobre las plantillas administrativas Windows Server 2012 R2 contiene miles de parámetros, de modo que puede resultar difícil encontrar el parámetro adecuado. Para ello es posible utilizar filtros. De este modo, sólo se mostrarán aquellos resultados que respondan a los criterios definidos en la búsqueda. Para acceder a la ventana que se muestra a continuación, y por tanto a las opciones de filtro, es preciso hacer clic con el botón derecho en Plantillas administrativas y, a continuación, seleccionar la opción Opciones de filtro… en el menú contextual.
Es posible utilizar varios criterios. En primer lugar, es posible seleccionar los parámetros que están o que no están gestionados, configurados o comentados. A menudo resulta útil utilizar el filtro por palabras clave que permiten visualizar únicamente aquellos parámetros que contienen la palabra indicada (por ejemplo: Internet, ejecutar…). Por último, la selección de los parámetros deseados puede acotarse a un único sistema operativo (mostrar los parámetros para Internet Explorer 10...).
Configuración de la redirección de carpetas y de scripts La copia de seguridad de los datos de usuario es un punto importante, aunque por desgracia no es extraño ver muchos datos que se encuentran en las propias estaciones de trabajo. Con el objetivo de limitar la pérdida de datos, en caso de robo o de rotura de algún equipo, es posible implementar la redirección de carpetas.
1. Presentación de la redirección de carpetas Esta funcionalidad es muy interesante para la mayoría de administradores de sistema. En efecto, permite redirigir la o las carpetas deseadas (Mis documentos, Mi música…) a otro servidor. Esto no cambia, evidentemente, nada de cara al usuario, quien piensa que sigue escribiendo en su puesto local. Además, se produce una sincronización sobre el propio puesto para permitir el acceso si la red no se encuentra disponible (interrupción en la red, equipo desconectado…). Resulta, por tanto, mucho más sencillo realizar una copia de seguridad y la restauración de datos posterior de los datos del usuario. Preste atención, no obstante, al espacio en disco necesario para alojar estos datos, de modo que es preferible estudiar de forma regular el consumo de este espacio y tomar las precauciones necesarias (cuota, archivo…) para reducir su tamaño. Tenga en cuenta, a su vez, que de este modo el usuario puede acceder a sus datos sea cual sea el puesto de trabajo sobre el que se conecte. Preste atención a no deshabilitar la sincronización sin conexión mediante alguna directiva de grupo, sin la cual los datos no estarían accesibles cuando el equipo no se encuentre conectado.
2. Configuración de la redirección Tras la configuración de las directivas de grupo, existen varios parámetros disponibles. No configurada: valor por defecto, no se realiza ninguna redirección. Básica: las carpetas del usuario se redirigen a un lugar común. Cada uno de ellos dispone de una carpeta privada en esta ubicación. Avanzada: la redirección se realiza en función de los grupos de seguridad. De este modo, es posible definir la ubicación de la redirección en función de estos grupos.
Al final del capítulo se propone el trabajo práctico Configuración de la redirección de carpetas.
3. Uso de scripts en las directivas de grupo Desde hace muchos años, se utilizan scripts para realizar y automatizar ciertas acciones (eliminar archivos o carpetas, conectar un lector a la red, configurar un proxy IE…). Estos scripts pueden aplicarse a la configuración del equipo (ejecución durante el arranque o detención de los equipos) o a la configuración del usuario (inicio y cierre de sesión). Resulta, por tanto, necesario configurar los scripts en la configuración del equipo, lo que permite autorizar su ejecución con el contexto de seguridad del Sistema local. Los que se aplican a la configuración del usuario se ejecutan con permisos del usuario. Si se quiere utilizar varios scripts, es posible configurarlos de manera síncrona o asíncrona. Es posible ejecutar varios tipos de script (archivos BAT, VBS, PowerShell…). Preste atención, no obstante, a asegurar que el puesto o el usuario tienen acceso a la(s) carpeta(s) compartida(s) que contiene(n) el(los) script(s). Conviene utilizar la carpeta SYSVOL. Desde Windows Server 2008 es posible remplazar la mayoría de scripts utilizando las directivas de grupo.
Configuración de las preferencias de las directivas de grupo Las preferencias aparecieron con Windows Server 2008, y han permitido la implementación de parámetros (conexión de lector de red, configuración de Internet Explorer…) que antes se realizaba mediante script.
1. Visión general de las preferencias Windows Server 2012 R2 ofrece más de una veintena de preferencias de directiva de grupo. A diferencia a los parámetros de directivas de grupo que afectan a la interfaz de usuario, las preferencias permiten a los usuarios interactuar con la configuración y modificarla si es necesario (deshabilitar el proxy en IE…). Preste atención, no obstante, si el parque informático está compuesto por equipos que ejecutan Windows XP, será necesario instalar en estos equipos extensiones del lado cliente que gestionen las preferencias de modo que la configuración se procese y aplique, sin que se ignore la configuración. Una vez implementadas las preferencias, es posible realizar varias acciones: Crear: crea la configuración para implementar la parametrización deseada. Eliminar: elimina un parámetro configurado previamente. Remplazar: se elimina el parámetro y se recrea a continuación. Actualización: permite actualizar un parámetro existente. Estas acciones se configuran tras la creación del parámetro. Es posible aplicar propiedades generales a los distintos parámetros. Consiste en definir la acción y las distintas propiedades que se quieren definir (ruta UNC…). También es posible aplicar otras propiedades. Dejar de procesar los parámetros en esta extensión si se produce algún error: si se detecta algún error durante la ejecución, no se implementa ninguna preferencia. Eliminar el elemento cuando no va a aplicarse más: se elimina una vez se confirma que la directiva no se va a aplicar más al puesto. Con este parámetro, la eliminación se realiza de la misma forma que los parámetros de la directiva de grupo. Aplicar una vez y no volver a aplicar: esta propiedad permite solicitar al sistema que aplique únicamente una vez el parámetro. En caso contrario, se realiza una actualización al mismo tiempo que las directivas de grupo. Uso de la selección de destino: la directiva de grupo se aplica a un puesto o a un usuario de manera limitada mediante grupos de seguridad o filtros WMI. Puede ser, también, necesario limitar la aplicación de las preferencias, para ello es necesario utilizar la selección de destino. Consiste en implementar criterios que deben cumplirse para recibir el parámetro. A diferencia de las directivas de grupo, las preferencias ofrecen muchas más opciones a nivel de selección de destino. De este modo, encontramos: Nombre del equipo Rango de direcciones IP Sistema operativo Grupo de seguridad Idioma Rango horario
Espacio en disco…
2. Comparación entre las directivas y las preferencias Las directivas de grupo y las preferencias tienen puntos en común, ambas se aplican a parámetros de usuario o de equipo. No obstante, las preferencias poseen ciertas diferencias. Contrariamente a la directiva de grupo, que bloquea el parámetro, impidiendo su modificación posterior, las preferencias permiten al usuario realizar cambios sobre ellas o deshabilitarlas. Las preferencias pueden aplicarse una única vez o a intervalos regulares (como con las directivas de grupo). En caso de conflicto entre un parámetro configurado mediante una preferencia y el mismo parámetro aplicado por una directiva de grupo, es esta última la que predomina.
Gestión de aplicaciones con ayuda de GPO Desde hace varios años hasta ahora, es posible realizar el despliegue de una aplicación mediante una directiva de grupo. De este modo, la instalación, eliminación y gestión de las aplicaciones se realiza de forma centralizada desde un puesto de trabajo. En una red informática, una aplicación está compuesta de cuatro fases, tres de ellas que pueden gestionarse mediante una directiva de grupo. La primera fase, la preparación, consiste en copiar el archivo MSI en una carpeta compartida y asignar a esta última los permisos adecuados. A continuación, la fase de despliegue permite instalar la aplicación en aquellos equipos deseados. La directiva de grupo puede aplicarse a un usuario o un equipo, puede alojarse en un sitio, un dominio o una unidad organizativa. La tercera fase no es obligatoria, y consiste simplemente en una fase de mantenimiento. Si se pone a disposición alguna nueva versión de la aplicación, es posible desplegar esta "actualización" mediante la GPO. Como con la fase anterior, la de eliminación no se aplica obligatoriamente, y consiste, simplemente, en eliminar la aplicación instalada anteriormente. De este modo, es posible eliminarla sobre todas las estaciones o prohibir cualquier nueva instalación conservando las que se han hecho con anterioridad. La instalación y la gestión de la aplicación se realizan mediante el servicio Windows Installer. Permite una automatización a nivel de las operaciones de instalación y de eliminación. Es imposible desplegar archivos EXE, sólo se acepta el formato MSI.
Asignación y publicación de una aplicación La fase de despliegue puede efectuarse de dos maneras: asignación o publicación; la instalación puede realizarse de manera automática o manualmente por el usuario en función de la opción seleccionada. La opción Asignada, que consiste en realizar la instalación ante una eventual necesidad, puede aplicarse a un usuario o a un equipo, y la instalación se realiza, a continuación, mediante una directiva de grupo. La opción Publicar permite, por su parte, implementar una política diferente que consiste en poner a disposición de los usuarios la aplicación. Ésta se instala únicamente cuando un usuario la necesita. La opción Publicar no puede utilizarse mediante una directiva de grupo aplicada a un equipo. Las opciones avanzadas disponibles durante la selección del paquete permiten acceder a otras opciones tales como agregar un archivo de personalización de la instalación (Office…). Como acabamos de ver, la opción Asignada puede utilizarse para usuarios o equipos. En el caso de un usuario, la instalación arranca, únicamente, cuando se hace doble clic en el icono de la aplicación o sobre un archivo asociado a dicha aplicación (archivo XLS, por ejemplo). Además, la instalación afecta únicamente al usuario, no se comparte con los demás usuarios y, por tanto, no estará disponible para ellos a no ser que la instalen también. La asignación a un equipo se instala cuando éste reinicia, y todos los usuarios que se conectan a este equipo tienen acceso a la aplicación. La publicación consiste, por su parte, en agregar la opción de instalación en el applet Programas del Panel de control. Solo aquellos usuarios que tengan la autorización adecuada podrán realizar la instalación.
Trabajos prácticos: Gestión de los puestos de usuario Estos trabajos prácticos permiten configurar la interfaz de usuario basándose en directivas de grupo.
1. Implementación de las preferencias Objetivo: con ayuda de las preferencias, cree una carpeta y configure Internet Explorer en el equipo cliente. Máquinas virtuales: AD1 y CL8-01. En CL8-01, abra la consola Centro de redes y recursos compartidos presente en la barra de tareas junto al reloj. Haga clic en Editar configuración de la tarjeta y, a continuación, configúrela tal y como se describe a continuación: Dirección IP: 192.168.1.100 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.14.254 Servidor DNS preferido: 192.168.1.10
Haga clic dos veces en Aceptar y, a continuación, en Cerrar. Una la máquina al dominio Formacion.local y, a continuación, reinicie el equipo. Abra una sesión en AD1 y, a continuación, abra la consola Usuarios y equipos de Active Directory.
En la unidad organizativa Madrid, llamadas Equipos,Usuarios y Grupos.
cree
tres
nuevas
unidades
organizativas
Mueva la cuenta del equipo CL8-01 a la unidad organizativa Equipos creada anteriormente. En AD1, mediante el explorador de Windows, cree una carpeta llamada Contabilidad y, a continuación, compártala con el mismo nombre. Se atribuyen permisos de Control total a los Administradores de dominio y Modificar a los Usuarios autenticados. Las pestañas de compartición y de seguridad se configuran de la misma forma. Es posible configurar el recurso compartido sobre la segunda partición.
Abra la consola Administración de directivas de grupo y, a continuación, despliegue los nodosBosque:Formacion.local, Dominios y, a continuación, Formacion.local. Haga clic con el botón derecho en Objetos de directivas de grupo y, a continuación, seleccioneNuevo. En el campo Nombre, escriba Preferencias - Lector de red + IE y, a continuación, haga clic enAceptar.
Haga clic con el botón derecho en la directiva que acaba de crear y, a continuación, seleccioneEditar en el menú contextual. Despliegue Preferencias en Configuración de usuario - Configuración de WIndows y, a continuación Asignaciones de unidades. Haga clic con el botón derecho en Asignaciones de unidades y, a continuación, en el menú contextual, seleccione Nuevo y Unidad asignada. Haga clic en la lista desplegable Acción y, a continuación, haga clic en la opción Crear. En Ubicación, escriba \\AD1\Contabilidad, escriba Contabilidaden el campo Etiquetar como:.
marque
En la lista desplegable Letra de unidad, seleccione la letra V.
la
opción
Reconectar
y
Haga clic en Aplicar y, a continuación, en la pestaña Comunes. Marque la opción Destinatarios de nivel de elemento y haga clic en Destinatarios…. En la ventana que se abre, seleccione Nuevo elemento y, a continuación, Sistema operativo. Compruebe que aparece la opción Windows 8.1 en Producto y haga clic dos veces en Aceptar.
Despliegue el nodo Configuración del panel de control y, a continuación, haga clic con el botón derecho en Configuración de Internet. En el menú contextual, seleccione Nuevo - Internet Explorer 10. En Página de inicio, escriba, por ejemplo, www.miempresa.es y, a continuación, presione la tecla [F6]. El campo está, ahora, subrayado en verde, lo que significa que la modificación se ha tenido en cuenta. En caso contrario, el parámetro no se estaría teniendo en cuenta.
Haga clic en la pestaña Conexiones y, a continuación, en Configuración de red. Escriba la dirección 192.168.1.200 y, a continuación, el puerto 8080. Esta información es ficticia, no existe ningún servidor proxy en la maqueta.
Pulse [F6] para validar los cambios.
Haga clic dos veces en Aceptar y, a continuación, cierre la ventana Editor de administración de directivas de grupo. En la consola Administración de directivas de grupo, haga clic con el botón derecho sobre la unidad organizativa Madrid y, a continuación, seleccione la opción Vincular un GPO existente…. Seleccione Preferencias - Lector de red + IE y haga clic en Aceptar. Mueva la cuenta de usuario de Esteban DIAZ a la unidad organizativa Madrid \ Usuarios. Abra una sesión como ediaz en el equipo CL8-01. Puede comprobar que el lector de red V: apunta a la carpeta compartida Contabilidad, y las preferencias de Internet Explorer están presentes. Para forzar la actualización de las directivas de grupo, utilice el comando gpupdate /force.
2. Configuración de la redirección de carpetas Objetivo: configurar las directivas de grupo para implementar la redirección de carpetas. Máquinas virtuales: AD1 y CL8-01. Cree una carpeta compartida llamada RedirDocs (nombre del recurso compartido RedirDocs$) enAD1. Es posible alojar la carpeta en la segunda partición, las autorizaciones que hay que configurar en las pestañas Autorizaciones y Seguridad son las siguientes: Administrador: Control total Usuarios autenticados: Control total Haga clic con el botón derecho en Objetos de directivas de grupo y, a continuación, seleccioneNuevo. En el campo Nombre escriba Redirección carpeta Documentos y, a continuación, haga clic enAceptar. Haga clic con el botón derecho en la directiva de grupo y, a continuación, haga clic en Editar.
Despliegue los nodos Configuración del usuario - Directivas - Configuración de Windows y, a continuación, Redirección de carpetas. Haga clic con el opciónPropiedades.
botón
derecho
en
Documentos
y,
a
continuación,
seleccione
la
En la lista desplegable, seleccione la opción Básico: redirigir la carpeta de todos a la misma ubicación y, a continuación, en la ruta de acceso a la raíz, escriba \\AD1\RedirDocs.
Seleccione la pestaña Configuración y, a continuación, marque la opción Devolver la carpeta a la ubicación local de perfil de usuario cuando la directiva se haya quitado.
Haga clic en Aceptar y, a continuación, en Sí en el mensaje de advertencia que aparece. A continuación, cierre la ventana Editor de administración de directivas de grupo. En la consola Administración de directivas de grupo, haga clic con el botón derecho en la unidad organizativa Madrid y, a continuación, seleccione la opción Vincular un GPO existente…. Seleccione Redirección carpeta Documentos y haga clic en Aceptar. En CL8-01, abra una sesión con la cuenta ediaz. Abra una ventana de comandos DOS y, a continuación, ejecute el comando
gpupdate /force.
Aparece un mensaje invitando a cerrar la sesión, presione la tecla S y, a continuación, [Enter]. Inicie una sesión como ediaz. La carpeta Documentos está, ahora, redirigida al servidor.
Si la directiva de grupo no se aplica, la carpeta Documentos se almacena de forma local.
3. Ejecución de scripts mediante GPO Objetivo: ejecutar un script que permita conectar un lector de red tras el inicio de sesión. Máquinas virtuales: AD1 y CL8-01. En AD1, abra el bloc de notas y, a continuación, escriba los siguientes comandos: Net use * /delete /yes Net use z: \\AD1\Contabilidad /persistent:yes Es posible descargar el script desde la página Información.
Guarde el archivo en la carpeta C:\windows\sysvol\domain\scripts con el nombre map.bat.
Haga clic en Guardar y, a continuación, acceda a la ventana Administración de directivas de grupo. Haga clic con el botón derecho en Objetos de directivas de grupo y, a continuación, seleccioneNuevo. En el campo Nombre, escriba Script Conexión lector de red y, a continuación, haga clic enAceptar. Haga clic con el botón derecho en la directiva de grupo y, a continuación, en Editar. Despliegue los nodos Configuración del usuario - Directivas - Configuración de Windows Scripts y, a continuación, Iniciar sesión. Haga clic en Agregar y, a continuación, utilice el botón Examinar para seleccionar el scriptmap.bat ubicado en la carpeta \\ad1\sysvol\Formacion.local\Scripts.
Valide haciendo clic dos veces en Aceptar y, a continuación, cierre la consola Editor de
administración de directivas de grupo. Vincule la directiva que acaba de crear con la unidad organizativa Barcelona. En CL8-01, inicie una sesión como jramirez (contraseña: Pa$$w0rd).
El script se ejecuta tras el inicio de sesión de todos los usuarios presentes en la unidad organizativa.
4. Despliegue de aplicaciones mediante una directiva de grupo Objetivo: despliegue de aplicaciones mediante una directiva de grupo. Máquinas virtuales: AD1 y CL8-01. Para llevar a cabo este trabajo práctico, vamos a utilizar el archivo MSI de la aplicación Foxit Reader, aunque evidentemente puede utilizar cualquier otra aplicación si así lo desea. En AD1, abra la consola Usuarios y equipos de Active Directory. En la unidad organizativa Grupos presente en Madrid, cree el grupo G_Foxit. Incluya, en este grupo, la cuenta de equipo de CL8-01.
Cree una carpeta llamada Aplicaciones y, a continuación, compártala con el mismo nombre. El recurso compartido se configura de la siguiente manera: Pestaña Recurso compartido: Administrador con Control total, Usuarios autenticados con permisos para Modificar. Pestaña Seguridad: Administrador con Control total, G_Foxit con permisos para Modificar. Copie el archivo MSI de la aplicación en la carpeta Aplicaciones. Abra la consola Administración de directivas de grupo. Haga clic con el botón derecho en Objetos de directivas de grupo y, a continuación, seleccioneNuevo. En el campo Nombre, escriba Despliegue de aplicación y, a continuación, haga clic en Aceptar. Haga clic con el botón derecho en la directiva de grupo y, a continuación, haga clic en Editar. Despliegue los nodos Configuración del equipo - Directivas - Configuración de software Instalación de software. Haga clic con el botón derecho en Instalación de software y, a continuación, seleccione Nuevo Paquete. Seleccione el archivo MSI afectado por el despliegue. La selección debe realizarse mediante la ruta de red y no mediante el nombre de ruta local.
En la ventana Implementar software, seleccione Avanzada y, a continuación, haga clic
enAceptar.
Se abre una ventana, haga clic en la pestaña Implementación y, a continuación, marque la opción Desinstalar esta aplicación cuando esté fuera del ámbito de administración.
Haga clic en Aceptar y, a continuación, vincule la directiva de grupo con la unidad organizativa deMadrid. Inicie una sesión en CL8-01 como ediaz (contraseña: Pa$$w0rd). Abra una ventana de comandos DOS y, a continuación, ejecute el comando Acepte el reinicio del equipo.
gpupdate /force.
Se realiza la instalación…
Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Qué utilidad tienen las plantillas administrativas? 2 ¿Qué componente se modifica tras la implementación de un parámetro en la plantilla administrativa? 3 ¿Cuáles son las claves de registro modificadas en el equipo? 4 ¿Cuáles son los archivos que componen las plantillas administrativas? 5 ¿Qué permite realizar el almacén central? 6 ¿En qué consiste el filtro sobre la plantilla administrativa? 7 ¿En qué consiste la redirección de carpetas? 8 La redirección de escritorio se encuentra habilitada, y un usuario que posee un portátil desea conectarse desde la red de un cliente. ¿Los documentos están accesibles en modo sin conexión? 9 Tras la implementación de la redirección de carpetas, existen dos modos accesibles, el modo básico y el modo avanzado. ¿Cuál es la diferencia entre ambos modos? 10 ¿Cuáles son las acciones que pueden configurarse con los parámetros de directivas de grupo? 11 ¿Qué son los destinatarios a nivel de elemento en las preferencias?
2. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Por cada respuesta correcta, cuente un punto. Número de puntos:
/11
Para superar este capítulo, su puntuación mínima debería ser de 8 sobre 11.
3. Respuestas 1 ¿Qué utilidad tienen las plantillas administrativas? Las plantillas administrativas permiten gestionar el entorno del usuario. 2 ¿Qué componente se modifica tras la implementación de un parámetro en la plantilla administrativa? Tras la implementación de un parámetro de la plantilla administrativa se modifica la base de datos del registro del equipo que recibe el parámetro. 3 ¿Cuáles son las claves de registro modificadas en el equipo? Se modifican dos claves de registro en el equipo, HKEY_LOCAL_MACHINE para la configuración del equipo y HKEY_CURRENT_USER para la configuración del usuario. 4 ¿Cuáles son los archivos que componen las plantillas administrativas? La plantilla administrativa está compuesta por dos archivos. El archivo ADMX contiene los distintos parámetros que pueden configurarse así como la ruta donde debe crearse el valor DWORD. También se utiliza un archivo ADML, que contiene los textos que se muestran al usuario.
5 ¿Qué permite realizar el almacén central? El almacén central sirve para almacenar los archivos ADMX y ADML directamente en la plantilla administrativa. De este modo, dejan de utilizarse los archivos locales presentes en todos los servidores y puestos de trabajo, y solo se aplican los archivos presentes en la plantilla administrativa. 6 ¿En qué consiste el filtro sobre la plantilla administrativa? Los filtros presentes en las plantillas administrativas permiten encontrar, con facilidad, un parámetro. Existen varios miles de parámetros en las plantillas administrativas, de modo que puede resultar algo complicado encontrar el parámetro deseado. El filtro puede basarse en un parámetro configurado, administrado, comentado o, simplemente, que contiene alguna palabra clave. 7 ¿En qué consiste la redirección de carpetas? La redirección de carpetas consiste en desplazar la carpeta afectada (Escritorio, Mis documentos…) a un recurso compartido en la red. Esta operación es del todo invisible a los usuarios. 8 La redirección de escritorio se encuentra habilitada, y un usuario que posee un portátil desea conectarse desde la red de un cliente. ¿Los documentos están accesibles en modo sin conexión? Sí, la sincronización sin conexión está habilitada tras la implementación de la redirección con el objetivo de permitir al usuario un acceso a sus datos sin conexión. 9 Tras la implementación de la redirección de carpetas, existen dos modos accesibles, el modo básico y el modo avanzado. ¿Cuál es la diferencia entre ambos modos? El modo básico permite realizar una redirección para todos los usuarios en la misma carpeta compartida. El modo avanzado permite, por su parte, realizar una redirección en un destino que es diferente en función de la pertenencia del usuario a un grupo de seguridad. 10 ¿Cuáles son las acciones que pueden configurarse con los parámetros de directivas de grupo? Es posible configurar varias acciones mediante las directivas. Crear permite implementar un parámetro mientras que Elim inar se utiliza para su supresión. Rem plazar permite eliminar un parámetro y, a continuación, volver a crearlo. Por último, Actualizar permite realizar únicamente una actualización del parámetro existente. 11 ¿Qué son los destinatarios a nivel de elemento en las preferencias? Los destinatarios a nivel de elemento permiten limitar el número de usuarios o equipos que reciben la configuración.
Requisitos previos y objetivos 1. Requisitos previos Tener nociones acerca del direccionamiento IP. Conocer los distintos parámetros que componen una configuración IP. Conocer la diferencia entre un direccionamiento estático y dinámico.
2. Objetivos Definición del rol DHCP. Presentación de las funcionalidades ofrecidas por el servicio. Gestión de la base de datos. Implementar el mantenimiento del servidor DHCP. Instalar y configurar la funcionalidad IPAM.
Introducción El servidor DHCP (Dynamic Host Configuration Protocol) es un rol muy importante en una arquitectura de red. Su papel es la distribución de la configuración IP, permitiendo así a los equipos conectados a la red dialogar entre ellos.
Rol del servicio DHCP DHCP es un protocolo que permite asegurar la configuración automática de las interfaces de red. Esta configuración comprende un direccionamiento IP, una máscara de subred y, también, una puerta de enlace y servidores DNS. Existen otros parámetros suplementarios que también pueden distribuirse (servidores WINS…). El tamaño de las redes actuales obliga, cada vez más, a eliminar el direccionamiento estático coordinado por un administrador sobre cada máquina por un direccionamiento dinámico realizado mediante un servidor DHCP. Éste presenta la ventaja de que ofrece una configuración completa a cada máquina que realice la petición pero también es imposible encontrar dos configuraciones idénticas (dos direcciones IP idénticas distribuidas). El conflicto de IP se evita, de este modo, y la administración se ve ampliamente simplificada. El servidor es capaz de realizar una distribución de configuración IPv4 o IPv6.
1. Funcionamiento de la concesión de una dirección IP Si la interfaz de red está configurada para obtener un contrato DHCP, obtendrá un contrato mediante un servidor DHCP. Esta acción se realiza mediante el intercambio de varias tramas entre el cliente y el servidor. La máquina envía, por multidifusión (envío de un broadcast), una trama (DHCP Discover) sobre el puerto 67. Todos los servidores que reciben la trama envían una oferta DHCP al cliente (DHCP Offer), el cual puede, evidentemente, recibir varias ofertas. El puerto utilizado para recibir la oferta es el 68. El cliente retiene la primera oferta que recibe y difunde por la red una trama (DHCP Request). Ésta compone la dirección IP del servidor y la que se le acaba de proponer al cliente, con el objetivo de aceptar el contrato enviado por el servidor seleccionado y, también, para informar al resto de servidores DHCP de que sus contratos no han sido seleccionados. El servidor envía una trama de acuse de recibo (DHCP ACK, Acknowledgement) que asigna al cliente la dirección IP y su máscara de subred así como la duración del contrato y, eventualmente, otros parámetros. La lista de opciones que el servidor DHCP puede aceptar está definida en la RFC 2134. Un contrato DHCP (configuración asignada a un puesto) tiene una duración de validez, variable de tiempo que define el administrador. Alcanzado el 50% de la duración del contrato, el cliente solicita una renovación del contrato que se le ofreció. Esta solicitud se realiza únicamente al servidor que envió el contrato. Si éste no renueva el contrato, la próxima solicitud se realizará alcanzado el 87,5% de la duración del contrato. Una vez finalizado el mismo, si el cliente no consigue obtener una renovación o una nueva concesión, su dirección se deshabilita y pierde la capacidad de utilizar la red TCP/IP.
2. Uso de una retransmisión DHCP El hecho de utilizar tramas de tipo broadcast hace que las tramas no puedan circular por los routers. Esto implica tener un servidor por cada subred IP. Esta obligación de tener varios servidores puede suponer un coste excesivo para la empresa. Para solventar este problema conviene implementar un servidor de retransmisión DHCP, que permite transferir las solicitudes de contrato a un servidor presente en otra red. La retransmisión DHCP se instala sobre la red A y permite recuperar las solicitudes de DHCP realizadas sobre la subred IP. Transfiere, a continuación, las distintas solicitudes que recibe al servidor DHCP presente en la red B.
Conviene, no obstante, asegurar que la tasa de transferencia de la línea y el tiempo de respuesta son aceptables.
Instalación y configuración del rol DHCP Como con los demás servicios que pueden agregarse al servidor, DHCP es un rol. Su instalación se realiza mediante la consola Administrador del servidor marcando el rol en la ventana de selección de rol.
Una vez realizada la instalación, la consola se encuentra en las Herramientas administrativas.
El rol se ha instalado pero todavía no está configurado.
1. Agregar un nuevo ámbito
Un ámbito DHCP está formado por un pool de direcciones IP (por ejemplo, 192.168.1.100 a 192.168.1.200), cuando un cliente realiza una solicitud, el servidor DHCP le asigna una de las direcciones del pool. La franja de direcciones IP disponibles en el ámbito es, necesariamente, contigua. Para evitar la distribución de algunas direcciones IP es posible realizar exclusiones de una dirección o un tramo. Estas últimas pueden asignarse a un puesto de forma manual, sin riesgo de que se produzca un conflicto de IP, puesto que el servidor no distribuirá estas direcciones.
Uso de la regla 80/20 para los ámbitos Es posible tener dos servidores DHCP activos en la red, dividiendo el pool de direcciones en dos. La regla del 80/20 permite, en un primer momento, equilibrar el uso de los servidores DHCP, aunque, también, poder tener dos servidores sin riesgo de conflicto de IP. El servidor 1 distribuye el 80% del pool de direcciones mientras que el servidor 2 está configurado para distribuir las direcciones restantes (20%). Desarrollando AD1.Formacion.local y, a continuación, IPv4 podemos ver que no existe ningún ámbito. Debemos crear uno para que el servidor pueda distribuir rangos de direcciones.
De este modo, haciendo clic con el botón derecho sobre IPv4, es posible crear un nuevo ámbito. Éste tendrá un nombre que debemos indicar en el asistente de creación.
A continuación es preciso definir el rango de direcciones disponibles (de 192.168.1.100 a 192.168.1.150).
Es posible tener, en este rango, ciertas direcciones que es preciso excluir, pues están asignadas a impresoras… Es posible configurar la lista de exclusión, que contiene una dirección o un rango de direcciones que no pueden configurarse en el rango direccionable. Un contrato contiene, también, una duración cuyo valor por defecto es de 8 días. Evidentemente, es posible aumentar o disminuir este valor. A continuación, es posible indicar la dirección de la o las puertas de enlace que deben utilizarse. También puede indicarse el o los servidores DNS que se desean configurar. Estas opciones (DNS, puerta de enlace predeterminada…) se distribuyen, a continuación, al cliente que realiza la petición de contrato de modo que es preferible asegurarse de toda la información indicada.
En un dominio Active Directory es necesario proceder a autorizar el servidor DHCP. Los servidores DHCP Microsoft no autorizados verán cómo Active Directory detiene su servicio.
2. Configuración de las opciones DHCP Las opciones permiten distribuir opciones suplementarias en el contrato, tales como el nombre del dominio DNS y la dirección del servidor DNS. Existen tres tipos de opciones: Opciones de servidor: se aplican a todos los ámbitos del servidor así como a las reservas. Si la misma opción se configura en las opciones del ámbito, es ésta última la que se aplica, mientras que la opción del servidor se ignora.
Haciendo clic con el botón derecho en Opciones de servidor y seleccionando la opción Configurar opciones en el menú contextual se muestra una ventana que permite configurar la opción deseada.
De este modo, la opción 015 Nombre de dominio DNS permite configurar el nombre del dominio DNS; en nuestro caso Formacion.local.
Las opciones también aparecen en opciones de ámbito y en las opciones de reservas. Opciones de ámbito: se aplican únicamente al ámbito. Cada uno posee sus opciones, las cuales pueden ser diferentes de un ámbito a otro.
No obstante, si se configura una misma opción en las opciones de servidor y de ámbito, la opción de ámbito resulta prioritaria sobre la del servidor. Opciones de reservas: se aplican únicamente a las reservas, cada reserva puede tener opciones diferentes.
3. Reserva de contrato DHCP Las reservas DHCP permiten asegurar que un cliente configurado para recibir un contrato tendrá, sistemáticamente, la misma configuración. Esto resulta muy útil para las impresoras de red que se quieren mantener con un direccionamiento dinámico. Esto permite asegurar que tendrán siempre la misma dirección IP. En caso de que existan varios servidores DHCP en una misma red, la reserva debe crearse de forma duplicada en los demás servidores. La creación de una reserva requiere introducir los siguientes datos: El nombre de la reserva: este campo contiene, por lo general, el nombre del puesto o de la impresora afectada por esta reserva. La dirección IP: indica la dirección que se distribuye al cliente. La dirección MAC: debe indicarse la dirección MAC de la interfaz de red que hace la petición. En la consola DHCP, haga seleccioneReserva nueva.
clic
con
el
botón
derecho
en
Reservas y,
a
continuación,
De este modo, la reserva de la dirección IP para CL8-01 requiere la configuración de la ventanaReserva nueva tal y como se indica a continuación: Nombre de reserva: CL8-01 Dirección IP: 192.168.1.149 Dirección MAC: escriba la dirección MAC de comando ipconfig /allsobre el puesto cliente).
la
máquina
CL8-01
(ejecute
La descripción es un campo opcional. Permite agregar alguna información suplementaria.
el
En el puesto cliente, es preciso ejecutar el comando ipconfig /releaseen una ventana de comandos DOS para liberar el comando DHCP en curso. El comando ipconfig /renewpermite realizar una nueva petición de configuración al servidor. Comprobamos que la dirección IP asignada es la reservada.
La reserva aparece marcada como activa en la consola DHCP.
Una novedad aparecida con Windows Server 2012 es la implementación de filtros en el servicio DHCP.
4. Implementación de filtros Los filtros permiten crear listas verdes y listas de exclusión. La lista verde permite, a todas las interfaces de red cuyas direcciones MAC pertenecen a ella, obtener un contrato DHCP. Está representada por la carpeta Permitir en el nodo Filtros. La lista de exclusión, a diferencia de la lista verde, prohíbe el acceso al servicio a todas las direcciones MAC referenciadas. Está representada por la carpeta Denegar. Esta funcionalidad vuelve más pesada las tareas de administración, puesto que es necesario introducir a mano la dirección MAC de una nueva máquina para que pueda recibir un contrato. Se recomienda crear filtros antes de habilitar la funcionalidad, pues en caso contrario, ninguna máquina de su red podrá solicitar un contrato DHCP.
Por defecto, ambas listas estás deshabilitadas. Para habilitar una de las listas, haga clic con el botón derecho sobre la lista Permitir y, a continuación, seleccione Activar. Realice la misma operación para la lista Denegar.
De este modo, si el contrato se libera sobre el puesto (ipconfig /release) y, a continuación, se renueva (ipconfig /renew), aparece un mensaje de error sobre el puesto informándonos de que el servidor DHCP no ha respondido.
Es, por tanto, necesario crear un nuevo filtro; para ello es preciso hacer clic con el botón derecho enPermitir y, a continuación, seleccionar la opción Nuevo filtro. Escriba la dirección MAC de CL8-01 y una descripción del nuevo filtro.
Una vez agregado, el filtro aparece en el nodo Permitir.
La solicitud se acepta y el puesto recibe una configuración.
Es, evidentemente, posible pasar un filtro de una lista a otra. Si hace clic con el botón derecho sobre el filtro creado anteriormente, verá la opción Mover a denegados. En la carpeta Permitir, haga clic con el botón derecho en el filtro que acaba de crear y, a continuación, seleccione Mover a denegados. Es posible realizar la misma operación para desplazar un filtro desde la lista de exclusión a la lista verde.
La máquina no puede obtener un contrato nuevo. Como ocurría hace un momento, el servidor ya no responde a la máquina.
Base de datos DHCP La base de datos DHCP permite registrar información (dirección MAC…) tras la distribución de un contrato nuevo.
1. Presentación de la base de datos DHCP La base de datos almacena un número ilimitado de registros, el tamaño del archivo depende del número de equipos presentes en la red. Por defecto, se almacena en la carpeta Windows\System32\Dhcp. Esta carpeta contiene varios archivos: Dhcp.mdb: base de datos del servicio DHCP. Posee un motor de tipo Exchange Server JET. Dhcp.tmp: este archivo se utiliza como archivo de intercambio cuando se realiza el mantenimiento de los índices sobre la base de datos. J50.log: permite registrar las transacciones. J50.chk: archivo con los puntos de verificación. Con cada operación (nueva petición, renovación o liberación de contrato), la base de datos se actualiza y se crea una entrada en la base de datos de registro. La información en la base de datos del registro puede encontrarse accediendo clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters.
2. Copia de seguridad y restauración de la base de datos
a
la
Es posible realizar una copia de seguridad de la base de datos de forma manual (copia de seguridad asíncrona) o automática (copia de seguridad síncrona). La copia de seguridad síncrona se realiza por defecto en la carpeta Windows\system32\Dhcp\Backup. Se recomienda mover esta carpeta a otro volumen con el objetivo de que no se elimine cuando se realiza una reinstalación. La copia de seguridad asíncrona se realiza manualmente en el momento deseado. Esta operación requiere, al menos, permisos de administración o un usuario miembro del grupo Administradores de DHCP. Tras la operación de copia de seguridad (síncrona o asíncrona), todos los elementos vinculados con el servidor están incluidos en la copia de seguridad. Encontramos los siguientes elementos: Todos los ámbitos presentes en el servidor Las reservas creadas Los contratos distribuidos Las opciones configuradas Las claves de registro y la información de configuración Tras la ejecución de la operación de restauración (clic con el botón derecho sobre el servidor y, a continuación, Restaurar en el menú contextual), debe seleccionarse la carpeta que contiene la copia de seguridad.
A continuación, se detienen los servicios DHCP y se restablece la base de datos. Como con la copia de seguridad, la operación debe realizarse con permisos de administrador.
3. Reconciliación y desplazamiento de la base de datos La operación de reconciliación permite arreglar ciertos problemas principalmente tras la restauración de la base de datos. En efecto, los contratos DHCP se registran en dos lugares: En la base de datos de forma detallada. En la base de datos de registro de forma resumida. Cuando se realiza una operación de reconciliación, las entradas contenidas en la base de datos y en la base de datos de registro se comparan. Esto permite buscar eventuales incoherencias (entradas
en la base de datos que no están presentes en la base de datos de registro y viceversa). Ejemplo En la base de datos de registro se ha asignado la dirección IP 192.168.1.250, mientras que en la base de datos posee el estado libre. Realizando una reconciliación, se crea la entrada en la base de datos. Seleccionando la opción Reconciliar… en el menú contextual del ámbito (clic con el botón derecho sobre el ámbito deseado), se muestra una ventana. Basta con hacer clic en el botón Comprobarpara ejecutar la verificación. A continuación, se muestra una ventana con el resultado de la operación.
Es posible ejecutar esta operación sobre todos los ámbitos seleccionando la opción Reconciliar todos los ámbitos… en el menú contextual del nodo IPv4. Hemos visto antes que el desplazamiento de la base de datos a otro volumen permite realizar una reinstalación del servidor sin pérdida de datos. En caso de migración del servidor DHCP, es posible utilizar ambas soluciones. Primera solución: se crea cierto número de reservas y exclusiones de direcciones IP. No es apropiado implementar un nuevo ámbito sobre el servidor DHCP y a continuación crear las reservas y exclusiones. Esto puede resultar engorroso y generar errores más o menos inmanejables para el sistema de información. Es, por tanto, necesario realizar una copia de seguridad del antiguo servidor y, a continuación, realizar la restauración sobre el nuevo o desplazar la base de datos sobre otro volumen. Para desplazar esta base de datos es preciso acceder a las propiedades del servidor (clic con el botón derecho sobre el servidor y, a continuación, seleccionar Propiedades en el menú contextual).
El botón Examinar... permite seleccionar otra carpeta.
Tras el reinicio del servicio, se tienen en cuenta los cambios.
La base de datos se ha desplazado correctamente.
Si tras el reinicio del servicio no aparece el ámbito, copie todos los archivos alojados en la carpeta Windows\System32\Dhcp en la nueva carpeta. El servicio debería detenerse y reiniciarse a continuación una vez finalizada la copia.
Segunda solución: no se realiza ninguna reserva en el servidor, o se crea un número muy reducido. La creación de un nuevo ámbito puede resultar abordable. No obstante, esta solución, si se implementa incorrectamente, puede causar grandes inconvenientes en el funcionamiento del sistema de información. En efecto, el nuevo servidor no tiene ninguna información acerca de los rangos DHCP que han sido distribuidos antes de la creación, y existe el riesgo de distribuir direcciones ya atribuidas a un puesto cliente. En este caso es necesario solicitar al servidor DHCP que realice una comprobación antes de atribuir una dirección. En las propiedades del nodo IPv4 (clic con el botón derecho sobre IPv4 y, a continuación,Propiedades), existe una pestaña llamada Opciones avanzadas. Basta con configurar el número de intentos de detección de conflicto que debe realizar el servidor para evitar los inconvenientes ligados a los conflictos de IP.
Se distribuyen nuevos rangos sin riesgo de conflicto IP.
Alta disponibilidad del servicio DHCP El servicio DHCP es un servicio importante en una red informática. En caso de que se detenga, no se asignan más contratos DHCP y las máquinas van perdiendo, progresivamente, acceso a la red. Para evitar esta situación es posible instalar un segundo servidor DHCP y compartir el rango de direcciones IP distribuidas (generalmente el 80% en el primer servidor y el 20% en el segundo). La segunda solución consiste en instalar un clúster DHCP, solución eficaz pero que exige ciertas competencias. Desde la aparición de Windows Server 2012 es posible trabajar con dos servidores DHCP sin tener que montar un clúster. De este modo, existe un servicio DHCP disponible ininterrumpidamente sobre la red. Si alguno de los servidores no se encuentra en línea, las máquinas cliente pueden contactar con el otro servidor. Ambos servidores replican la información de los contratos IP entre ellos, con el objetivo de permitir al otro servidor retomar la responsabilidad de la gestión de las solicitudes de los clientes. En caso de que se configure en modo equilibrio de carga, las solicitudes de los clientes se dirigen a ambos servidores. La conmutación por error DHCP puede contener dos servidores como máximo y ofrece el servicio solo para extensiones IPv4. La implementación de la alta disponibilidad se aborda en la parte práctica de este capítulo.
IPAM IPAM (IP Address Management) es una funcionalidad integrada en los sistemas operativos Windows Server 2012. Ofrece la posibilidad de descubrir, supervisar, auditar y administrar uno o varios direccionamientos IP. IPAM permite, también, realizar la administración y la supervisión de servidores DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name Service). Los siguientes componentes están incluidos en esta funcionalidad: Descubrir automáticamente la infraestructura de direcciones IP: descubre controladores de dominio, servidores DHCP y servidores DNS en el dominio afectado. Visualización, creación de informes y administración personalizada del espacio de direccionamiento IP: ofrece los detalles de seguimiento y de uso detallado de las direcciones IP. Los espacios de direccionamiento IPv4 e IPv6 están organizados por bloques de direcciones IP, por rangos de direcciones IP y por direcciones IP individuales. Auditoría de las modificaciones de configuración del servidor y seguimiento del uso de las direcciones IP: muestra los eventos operacionales del servidor IPAM y DHCP administrado. También se realiza un seguimiento de las direcciones IP, ID de cliente, nombre de host o nombre de usuario. Los eventos del contrato DHCO y los eventos de inicio de sesión de usuario se recogen en los servidores NPS (Network Policy Server), sobre los controladores de dominio y sobre los servidores DHCP. Antes de desplegar la funcionalidad IPAM es necesario pensar qué estrategia de despliegue se quiere escoger. Tenemos a nuestra disposición dos maneras de desplegar, el método distribuido mediante un servidor IPAM en cada sitio de la empresa, o el método centralizado con un servidor para el conjunto de la empresa. IPAM realiza tentativas periódicas de localización de los controladores de dominio, de los servidores DNS y DHCP. Esta operación de localización afecta, evidentemente, a los servidores que se encuentran en el ámbito de las directivas de grupo. Para poder ser gestionadas por IPAM y autorizar el acceso a este último debe realizarse la configuración de los parámetros de seguridad y de los puertos del servidor. La comunicación entre el servidor IPAM y los servidores administrados se realiza mediante WMI o RPC.
1. Especificaciones de IPAM El alcance de los servidores IPAM está limitado únicamente a un único bosque Active Directory. Los servidores que se tienen en cuenta (NPS, DNS y DHCP) deben ejecutar Windows Server 2008 (o superior) y pertenecer al dominio. Algunos elementos de red (WINS - Windows Internet Naming Service, proxy…) no se tienen en cuenta en el servidor IPAM. Desde Windows Server 2012 R2 es posible utilizar una base de datos SQL. Un servidor IPAM puede tener en cuenta 150 servidores DHCP y 500 servidores DNS (6.000 ámbitos y 150 zonas DNS). Con la instalación de IPAM, se instalan también las siguientes funcionalidades: Herramientas de administración del servidor remoto: instalación de las herramientas DHCP, DNS y del cliente IPAM que permiten realizar la administración remota de los servidores DHCP, DNS e IPAM. Base de datos interna Windows: base de datos interna que puede instalarse mediante los roles y características internas. Servicio de activación de procesos Windows: elimina la dependencia con el protocolo http generalizando el modelo del proceso IIS. Administración de las directivas de grupo: instala la consola MMC que permite administrar las directivas de grupo.
.NET Framework: instalación de la funcionalidad .NET Framework 4.5.
2. Características de IPAM Una vez instalada la funcionalidad, se crean los siguientes grupos locales: Usuarios IPAM: los miembros tienen la posibilidad de mostrar toda la información del descubrimiento del servidor, así como aquella información asociada al espacio de direccionamiento IP y la administración del servidor. El acceso a la información de seguimiento de las direcciones IP le está prohibido. Administrador IPAM MSM (Multi-Server Management): además de los permisos de usuario IPAM puede realizar tareas de administración del servidor y tareas de administración propias de IPAM. Administradores IPAM ASM (Address Space Management): además de los permisos de usuario IPAM puede realizar tareas de direccionamiento IP y tareas de administración propias de IPAM. Administrador de Auditoría IPAM IP: los miembros de este grupo pueden realizar tareas de administración propias de IPAM así como mostrar la información de seguimiento de la dirección IP. Administradores IPAM: los administradores IPAM tienen acceso a todos los datos IPAM y pueden, a su vez, realizar todas las tareas IPAM. Las tareas IPAM se ejecutan, de forma habitual, en función de una periodicidad. Están presentes en el planificador de tareas (Microsoft / Windows / IPAM). DiscoveryTask: permite descubrir de forma automática servidores DC, DHCP y DNS. AddressUtilizationCollectionTask: recoge los datos de uso del espacio de direccionamiento IP para los servidores DHCP. AuditTask: recoge información de auditoría de servidores DHCP, IPAM, NPS y DC así como de los ámbitos DHCP. ConfigurationTask: recoge información de configuración de los servidores DHCP, DNS para ASM y MSM. ServerAvailabilityTask: recupera el estado de los servidores DHCP y DNS. La instalación y configuración de la funcionalidad IPAM se realiza en los trabajos prácticos.
Trabajos prácticos: Instalación y configuración del rol DHCP Los trabajos prácticos consisten en la instalación del servidor DHCP y la funcionalidad IPAM así como su configuración.
1. Agregar y configurar el rol DHCP Objetivo: realizar la instalación del rol DHCP y proceder a su configuración. Máquinas virtuales: AD1 y CL8-01. En AD1, abra la consola Administrador del servidor y, a continuación, haga clic en Agregar roles y características. En la ventana Antes de comenzar, haga clic en Siguiente. Deje marcada la opción Instalación basada características o en roles y, a continuación, haga clic en Siguiente. En Seleccionar servidor de destino, deje AD1 marcado y, a continuación, haga clic en Siguiente. Marque la opción Servidor DHCP y, a característicasen la ventana emergente.
continuación, haga
clic en
el botón
Agregar
Haga clic en Siguiente en la ventana Seleccionar características. Haga clic en Siguiente y, a continuación, en Instalar. Espere a que finalice la instalación y haga clic en Cerrar. En la consola Administrador del servidor, haga clic en el icono que representa una bandera. Haga clic en el enlace Completar configuración de DHCP.
Se abre el asistente de configuración, haga clic en Siguiente. En la ventana Autorización, verifique que se utiliza la cuenta FORMACION\Administrador y, a continuación, haga clic en Confirmar.
Haga clic en Cerrar para cerrar el asistente. Abra la consola DHCP presente en las Herramientas administrativas.
Despliegue ad1.formacion.local en el panel de navegación y, a continuación, realice la misma operación con IPv4. Haga clic con el botón derecho en IPv4 y, a continuación, en el menú contextual, haga clic enNuevo ámbito…. Haga clic en Siguiente en la ventana de Bienvenida. En el campo Nombre, escriba Ámbito Formación y, a continuación, haga clic en Siguiente. Escriba 192.168.1.100 en Dirección IP inicial y, a continuación, 192.168.1.200 en Dirección IP final.
En las ventanas Agregar exclusiones y retraso y Duración de la concesión, haga clic enSiguiente. Marque la opción Configura restas opciones ahora y haga clic en Siguiente. Escriba 192.168.1.254 en el campo Dirección IP. Valide en Agregary Siguiente.
la
información
haciendo
clic
En la ventana Nombre de dominio y servidores DNS, verifique que la dirección IP configurada es192.168.1.10 y, a continuación, haga clic dos veces en Siguiente. En la ventana Activar ámbito, haga clic en Siguiente. Haga clic en Finalizar para cerrar el asistente. Verifique en el equipo CL8-01 el direccionamiento de la tarjeta de red para que esté configurado para Obtener una dirección IP automáticamente.
Marque esta opción si no estuviera marcada.
Utilice el comando
ipconfigpara comprobar la configuración en curso.
Si la dirección configurada es una dirección APIPA (196.254.x.x), realice una nueva petición de contrato mediante el comando ipconfig /renew.
Los contratos distribuidos aparecen en el nodo Concesiones de direcciones de la consola DHCP.
Despliegue Filtros y, a continuación, haga clic con el botón derecho en el nodo Permitir. En el menú contextual, seleccione Habilitar. Repita la misma operación con Denegar. Haga clic en Conjunto de direcciones y, a continuación, haga clic con el botón derecho en el correspondiente a CL8-01. En el menú contextual, seleccione Agregar un filtro y, a continuación,Denegar. Elimine el contrato asignado a CL8-01 y, a continuación, verifique la presencia del equipo en la lista de exclusión.
En CL8-01, abra una ventana de comandos DOS y, a continuación, escriba /release. Escriba
ipconfig /renewpara solicitar un nuevo contrato.
ipconfig
No se devuelve ninguna respuesta al cliente puesto que está incluido en la lista de exclusión.
Deshabilite las listas Permitir y Denegar comando ipconfig /renewen CL8-01.
y,
a
continuación,
vuelva
a
ejecutar
el
2. Implementación de IPAM Objetivo: implementar y configurar la funcionalidad IPAM. Máquinas virtuales: AD1, SV1 y CL8-01. Si no lo estuviera, incluya SV1 en el dominio Formacion.local. En SV1, abra la consola Administrador del servidor y, a continuación, haga clic en Agregar roles y características. IPAM no debe instalarse en un controlador de dominio, SV1 se utiliza para alojar la funcionalidad.
En la ventana Antes de comenzar, haga clic en Siguiente. Deje la opción por defecto en la ventana Seleccionar tipo de instalación y, a continuación, haga clic en Siguiente. Verifique la selección de SV1.Formacion.local y, a continuación, haga clic en Siguiente. En la ventana de selección de características, administración de direcciones IP (IPAM).
marque
la
característica
Servidor
de
Haga clic en el botón Agregar características y, a continuación, en el botón Siguiente. Lance la instalación mediante el botón Instalar. Una vez instalada la funcionalidad, acceda al Administrador del servidor y, a continuación, haga clic en IPAM para mostrar la página de presentación.
Haga clic en el vínculo Aprovisionar el servidor IPAM.
Haga clic en Siguiente en la ventana Antes de comenzar. La elección de la base de datos se va a realizar sobre una base de datos interna. No obstante, en un entorno de producción (y en función el número de equipos), es preferible almacenar la información en una base de datos SQL.
Seleccione un método de aprovisionamiento Basado en la directiva de grupo. En el campo Prefijo del nombre del GPO, escriba SRVIPAM y, a continuación, valide haciendo clic en Siguiente.
Confirme la configuración haciendo clic en Aplicar. El aprovisionamiento está en curso… Verifique, al finalizar, la presencia de un mensaje que indica que El aprovisionamiento IPAM se completó correctamente y, a continuación, haga clic en Cerrar. Haga clic en Configurar detección de servidores.
Haga clic en Agregar para agregar el dominio Formacion.local al ámbito. Configure los roles que quiere descubrir desmarcando aquellos que no desee.
Haga clic en Aceptar. En la ventana INFORMACIÓN GENERAL, haga clic en Iniciar detección de servidores. Haga clic en Más en la banda amarilla con el objetivo de obtener más detalles.
Espere a que finalice la ejecución. Cuando el campo Fase tenga el valor Completado, cierre la ventana Detalles de tarea.
Haga clic en Seleccionar o agregar servidores para administrar y comprobar el acceso de IPAM. El o los servidores tienen el estado especificar enEstado de manejabilidad.
Bloqueado
en
Estado
de
acceso
IPAM
y
Sin
Si no se muestra ningún servidor, haga clic en Actualizar IPv4 (junto al identificador de notificación).
Es, ahora, necesario otorgar a SV1 los permisos para poder administrar los distintos servidores. Los objetos de directiva de grupo se utilizan para autorizar el acceso a los servidores DHCP y DNS. Abra una consola PowerShell como administrador en SV1. Escriba el siguiente comando y, a continuación, presione [Enter]: Invoke-IpamGpoProvisioning -Domain Formacion.local -GpoPrefixName SRVIPAM -IpamServerFqdn sv1.formacion.local Es posible descargar el script desde la página Información.
Pulse la tecla S y, a continuación, valide presionando la tecla [Enter].
Aparecen nuevas directivas en la consola Administración de directivas de grupo.
La directiva SRVIPAM_DHCP contiene los siguientes parámetros:
Las directivas están vinculadas, por defecto, a la raíz del dominio. Es posible moverlas si fuera necesario.
En la consola de configuración de IPAM, haga clic con el botón derecho en la fila AD1 y, a continuación, seleccione Editar servidor.
Asegúrese de que la opción DHCP está marcada y, a continuación, en la lista desplegable Estado de capacidad de administración, seleccione Administrado.
Haga clic en Aceptar.
Es inútil realizar esta acción en AD2 y AD3 puesto que el rol DHCP está instalado en AD1 y la sección de AD es idéntica para los tres.
En el servidor AD1, abra una ventana de comandos DOS y, a continuación, escriba el comando gpupdate /force. Esto permite aplicar las directivas de grupo creadas anteriormente utilizando el comando PowerShell. Actualice la consola IPAM, el campo Estado de acceso IPAM está, ahora, Desbloqueado. Si no fuera el caso, haga clic con el botón derecho en AD1 y seleccione Actualizar. Pueden necesitarse varios minutos para aplicar la directiva.
En el panel INFORMACIÓN GENERAL, haga administrados.
clic en
Recuperar
Espere a que finalice la recuperación (trabajo en curso…). En el panel de navegación IPAM, haga clic en Bloques de direcciones IP.
datos
de
servidores
Muestre el contenido de la pestaña Detalles de configuración, examine la información mostrada.
La información proveniente del DHCP se recupera correctamente.
Haga clic con el botón derecho sobre el rango de direcciones IP y, a continuación, en el menú contextual, haga clic en Buscar y asignar dirección IP disponible…. Pasados algunos segundos, se propone una dirección IP y, a continuación, se realizan las comprobaciones.
Haga clic en la sección Configuraciones básicas y, a continuación, en el campo Dirección MACescriba la dirección MAC de CL8-01. Seleccione Reservada en el campo Estado de dirección y, a continuación, CL8-01 en el campoPropietario.
Seleccione el menú Reserva de DHCP. En la lista desplegable Nombre del servidor de reserva, seleccione AD1.Formacion.local. Escriba CL8-01 en el campo Nombre de reserva y, a continuación, Ambos en la lista desplegableTipo de reserva. En el campo Id. de cliente, marque la opción Asociar MAC a identificador de cliente.
Haga clic en los botones Aplicar y Agregar. En la lista desplegable Vista actual, seleccione Direcciones IP.
Haga clic con el botón derecho en la entrada creada anteriormente y, a continuación, seleccione la opción Crear reserva DHCP. La reserva se ha creado correctamente en la consola DHCP.
En el puesto CL8-01, renueve el contrato DHCP ejecutando los comandos /releasey, a continuación, ipconfig /renew.
ipconfig
La reserva se ha tomado en cuenta.
3. Alta disponibilidad del servicio DHCP Objetivo: implementar alta disponibilidad para asegurar la continuidad del servicio aun en el caso de que uno de los servidores falle. Máquinas virtuales: AD1 y AD3.
En AD3, abra el Administrador del servidor y, a continuación, haga clic en Agregar roles y características. En la ventana Antes de comenzar, haga clic en Siguiente. Deje la opción por defecto en la ventana Seleccionar tipo de instalación y, a continuación, haga clic en Siguiente. El servidor de destino es AD3.formacion.local, haga clic en Siguiente. Marque la opción Servidor DHCP y, a continuación, haga clic en Agregar características. Haga clic tres veces en Siguiente y, a continuación, en Instalar. La instalación está en curso… Al finalizar la instalación, haga clic en Cerrar. En el Administrador del servidor, haga clic en la bandera y, a continuación, en Completar configuración de DHCP. Haga clic en Siguiente en la ventana Descripción y, a continuación, Confirmar en Autorización. En la interfaz Windows, haga clic en DHCP. Haga doble clic en AD3.formacion.local y, a continuación, en IPv4.
No existe ningún ámbito. En AD1, haga clic en DHCP en las Herramientas administrativas. Haga doble clic en AD1.formacion.local y, a continuación, en IPv4. Haga clic con el botón derecho conmutaciónpor error.
en IPv4 y, a
continuación, haga
clic en
Configurar
Aparece un único ámbito en el DHCP, haga clic en Siguiente en la ventana Introducción a la conmutación por error DHCP.
En la ventana Servidor asociado, haga clic en Agregar servidor. Si AD3.formacion.local no aparece, seleccione el servidor con ayuda del botón Examinar y, a continuación, haga clic en Aceptar. Haga clic en Siguiente para validar el servidor asociado. Escriba P@rtDHCP en el campo Secreto compartido. Modifique el valor del campo Plazo máximo para clientes a 1 minuto. En producción, este retardo sería algo mayor.
Haga clic en Siguiente y, a continuación, en Finalizar. Verifique que las etapas muestran el estado Correcto y, a continuación, haga clic en Cerrar. En AD3, acceda a la consola DHCP, ahora aparece el ámbito.
Haga clic con el botón derecho en IPv4 y, a continuación, seleccione Propiedades. Seleccione la pestaña Conmutación por error.
Haga clic en Editar para visualizar las propiedades que se pueden modificar. Modifique el campo Servidor local para que el porcentaje sea igual a 0. Ejecute un
ipconfig /allen CL8-01.
El servidor DHCP que distribuye el contrato es AD3. Escriba ipconfig /release y presione la tecla [Enter] del teclado. Escriba, a continuación,ipconfig /renewen una ventana de comandos DOS y presione la tecla [Enter]. Utilice el comando
ipconfig /allpara visualizar el nuevo valor de dirección IP.
El servidor DHCP que ha distribuido la dirección IP es, efectivamente, AD3. La conmutación por error puede utilizarse, también, en el modo de Espera activa. En AD1, haga clic con el botón derecho en IPv4 y, a continuación, seleccione Propiedades. Seleccione Conmutación por error y, a continuación, haga clic en Editar. Marque la opción Modo de espera activa y, a continuación, haga clic en Aceptar.
Haga clic en Aceptar. Este servidor tiene el rol Activo. El segundo servidor tiene el rol Espera.
Escriba
ipconfig /allen una ventana de comandos del equipo CL8-01.
El servidor DHCP es siempre AD3.formacion.local. Escriba ipconfig /release y presione la tecla [Enter] del teclado. Escriba, a continuación,ipconfig /renewen la ventana de comandos DOS y presione la tecla [Enter]. Esta operación permite establecer un contrato DHCP utilizando AD1.
En AD1, abra la consola DHCP. Haga clic en AD1.formacion.local, seleccione Todas las tareas y, a continuación, haga clic enDetener. En CL8-01, escriba ipconfig /releasey presione la tecla [Enter] del teclado. Escriba, a continuación, ipconfig /renewen la ventana de comandos DOS y presione la tecla [Enter].
El servidor auxiliar ha remplazado al servidor Activo, actualmente fuera de servicio.
Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Cuál es el objetivo del protocolo DHCP? 2 ¿Qué tipo de trama envía el cliente para descubrir el servidor DHCP? 3 ¿Cuáles son los puertos utilizados por el servidor y el cliente DHCP? 4 ¿En qué momento intenta renovar su contrato el equipo cliente? 5 ¿Por qué utilizar una retransmisión DHCP? 6 ¿Qué contiene un ámbito DHCP? 7 ¿Es posible crear varios ámbitos? 8 ¿Cuál es la utilidad de realizar exclusiones? 9 ¿Cuáles son los tres tipos de opciones que pueden configurarse mediante la consola DHCP? 10 ¿Cuáles son los parámetros utilizados durante la implementación de una reserva? 11 ¿Cuál es la función de los filtros? 12 ¿Dónde se encuentra el archivo Dhcp.mdb? 13 Tras la distribución de un contrato DHCP, ¿dónde se escribe la información? 14 ¿Qué es la función de conmutación por error en el servidor DHCP? 15 Describa brevemente la funcionalidad IPAM.
2. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Por cada respuesta correcta, cuente un punto. Número de puntos:
/15
Para superar este capítulo, su puntuación mínima debería ser de 11 sobre 15.
3. Respuestas 1 ¿Cuál es el objetivo del protocolo DHCP? El objetivo del protocolo DHCP es la distribución de configuraciones IP. Permite, de este modo, evitar conflictos de direccionamiento IP. 2 ¿Qué tipo de trama envía el cliente para descubrir el servidor DHCP? El cliente envía una trama DHCP Discover con el objetivo de encontrar un servidor DHCP. Esta trama es de tipo broadcast. 3 ¿Cuáles son los puertos utilizados por el servidor y el cliente DHCP? Se utilizan los puertos UDP 67 y UDP 68. 4 ¿En qué momento intenta renovar su contrato el equipo cliente? El contrato DHCP se asigna al equipo por una duración de x días. Se realizan varios intentos de renovación del contrato. El primero tiene lugar cuando se alcanza el 50% de la duración del contrato. El siguiente, alcanzado el 87,5%, y el último alcanzado el 100%. Una vez expira el
contrato, el puesto no puede acceder a la red puesto que no posee configuración IP. 5 ¿Por qué utilizar una retransmisión DHCP? Un equipo que se encuentre fuera de la red local no puede recibir el contrato DHCP. El DHCP Discover se basa en una trama de tipo broadcast, lo que impide que se intercambie esta información a través de un router. Es, por tanto, necesario instalar un servidor DHCP en cada red local. No obstante, también es posible implementar una retransmisión DHCP que sirve como enlace entre las dos redes locales separadas por un router. 6 ¿Qué contiene un ámbito DHCP? Un ámbito DHCP contiene un pool de direcciones distribuibles pero, también, las reservas y exclusiones configuradas. 7 ¿Es posible crear varios ámbitos? Sí, es posible crear varios ámbitos en el servidor DHCP. 8 ¿Cuál es la utilidad de realizar exclusiones? Tras la configuración del DHCP, se crea un rango de direcciones IP distribuibles. Es posible excluir aquellas direcciones correspondientes a impresoras… De este modo, estas direcciones no se distribuirán. 9 ¿Cuáles son los tres tipos de opciones que pueden configurarse mediante la consola DHCP? Existen tres tipos de opciones presentes en el DHCP, las opciones de servidor, de ámbito o de reserva. De ello se deduce que un ámbito puede poseer opciones diferentes a las del servidor. 10 ¿Cuáles son los parámetros utilizados durante la implementación de una reserva? Tras la implementación de una reserva existen tres parámetros importantes, principalmente la dirección IP y la dirección MAC; el nombre de la reserva, si bien es menos importante que los dos parámetros anteriores, permite conocer muy fácilmente (si la nomenclatura se ha escogido cuidadosamente) el destinatario de la reserva. 11 ¿Cuál es la función de los filtros? Un filtro permite autorizar o no la distribución de configuración IP. Esta seguridad no es óptima, puesto que es posible suplantar la dirección MAC de forma bastante sencilla. 12 ¿Dónde se encuentra el archivo Dhcp.mdb? Este archivo se encuentra en la carpeta C:\Windows\System32\Dhcp. 13 Tras la distribución de un contrato DHCP, ¿dónde se escribe la información? La información se escribe en la base de datos del servidor DHCP y también en la base de datos de registro. En caso de restauración de la base de datos, conviene realizar una reconciliación. 14 ¿Qué es la función de conmutación por error en el servidor DHCP? La conmutación por error permite asegurar una alta disponibilidad en caso de que falle algún servidor. Existen dos modos de trabajo: El modo de equilibrio de carga, que permite repartir la carga de trabajo sobre los dos servidores. El modo de espera activa, que permite tener un servidor activo y otro en espera. Éste se activa en caso de que falle su servidor asociado. 15 Describa brevemente la funcionalidad IPAM. IPAM permite distribuir y auditar los servidores proporcionando la distribución de configuración de red (DHCP, NPS). Permite, a su vez, implementar una reserva IP, la búsqueda de una dirección disponible o la creación de un registro.
Requisitos previos y objetivos 1. Requisitos previos Poseer nociones acerca del funcionamiento del protocolo DNS.
2. Objetivos Configuración del rol DNS. Presentación de los distintos tipos de registros. Administración y mantenimiento del servidor DNS.
Introducción El rol DNS es, junto a Active Directory, un elemento esencial. En efecto, permite la resolución de nombres en direcciones IP. La parada del servicio DNS impediría cualquier resolución y, por tanto, supondría un riesgo de mal funcionamiento a nivel de las aplicaciones que deseen acceder a recursos compartidos (aplicaciones que acceden a una base de datos, por ejemplo).
Instalación de DNS Como con Active Directory o DHCP, DNS es un rol en Windows Server 2012 R2. Existen dos formas de instalarlo: agregar el rol desde la consola Administrador del servidor o realizando una promoción de un servidor como controlador de dominio. DNS (Domain Name System) es un sistema basado en una base de datos distribuida y jerárquica. Esta última está separada de manera lógica. De este modo, los nombres públicos (jlopez.es) son accesibles por cualquiera, sea cual sea su localización geográfica. Es, naturalmente, más fácil recordar un nombre de dominio o un nombre de equipo que una dirección IP, además IPv6 favorece todavía más el uso de un nombre en lugar de una dirección IP.
1. Visión general del espacio de nombres DNS DNS está basado en un sistema jerárquico. El servidor raíz permite redirigir las consultas hacia otros DNS justo por encima. Se representa mediante un punto. Debajo de él se encuentran los distintos dominios de primer nivel (es, net, com…). Cada uno de estos dominios está administrado por un organismo (ESNIC para los dominios .es), mientras que IANA (Internet Assigned Numbers Authority) gestiona, por su lado, los servidores raíz. En un segundo nivel se encuentran los nombres de dominio que están reservados para empresas o particulares (jlopez, ediciones-eni). Estos nombres de se reservan en un proveedor de acceso que puede, a su vez, albergar su servidor web o, simplemente, proveerle un nombre de dominio. En cada nivel se encuentran servidores DNS distintos, cada uno con autoridad en su zona. Los servidores raíz contienen, únicamente, la dirección y el nombre de los servidores de primer nivel. Ocurre igual con todos los servidores de cada nivel. Es posible, para una empresa o un particular, agregar, al nombre de dominio que ha reservado, registros o subdominios (por ejemplo mail.jlopez.es, que permite transferir todo el tráfico de correo electrónico a un router, en particular el correspondiente a la IP pública).
Cada servidor DNS puede resolver únicamente aquellos registros de su zona. El servidor de la zona ES puede resolver el registro jlopez, pero no sabe resolver el nombre de dominio shop.jlopez.es.
2. Separación entre DNS privado/público Un sistema DNS está compuesto de dos partes, el DNS privado, que tiene como objetivo resolver nombres DNS en una red local, y el servidor DNS sobre las redes públicas que resuelve los nombres DNS accesibles sobre Internet (servidores web…).
Es, por tanto, necesario escoger la política deseada para ambos servidores. El espacio de nombres interno (privado) puede, de este modo, ser idéntico al espacio de nombres externo (público). Cada servidor posee sus propios registros. Esta solución es válida para redes de tamaño restringido. Es habitual encontrar un espacio de nombres interno diferente al externo. El espacio de nombres se encuentra, de este modo, completamente separado en dos partes bien distintas. Por último, una solución híbrida consiste en definir a nivel de los DNS privados subdominios del espacio público.
3. Despliegue de DNS Tras la implementación de una solución DNS es importante tener en cuenta ciertos parámetros. Es necesario, en primer lugar, conocer el número de zonas DNS configuradas en un servidor así como el número aproximado de registros (con el objetivo de fraccionar, si fuera necesario, los registros en varias zonas). A continuación es, también, necesario conocer el número de servidores que se quiere instalar y configurar, en función, evidentemente, del número de clientes que se comunicarán con los servidores. Puede resultar útil instalar un servidor suplementario en el caso de que el número de puestos cliente sea importante, con el objetivo de poder evitar la sobrecarga de los servidores. Además, agregar un servidor extra permite, también, asegurar la continuidad del servicio si el primer servidor sufriera cualquier fallo en su funcionamiento. Es necesario conocer la ubicación de los servidores, es frecuente encontrar, como mínimo, un servidor DNS por localización (si la red de la empresa se extendiera en cuatro agencias, es decir cuatro redes locales vinculadas mediante enlaces WAN, sería prudente tener, al menos, cuatro servidores DNS). Esto está, evidentemente, sujeto al tamaño del sitio. Por último, pueden presentarse otras incógnitas, tales como la integración o no con Active Directory. Tras la creación de una zona, el almacenamiento de ésta puede realizarse de dos maneras: Uso de un archivo de texto: el conjunto de registros se almacena en un archivo. Dicho archivo puede, evidentemente, modificarse mediante un editor de texto. Active Directory: los registros DNS están contenidos en la base de datos de Active Directory. Para realizar una modificación es necesario acceder a la consola DNS. No obstante la integración de la zona en Active Directory requiere que el rol DNS esté instalado sobre el controlador de dominio, sin lo cual es imposible realizar la operación. Esta última opción ofrece un importante beneficio a los administradores. En efecto, además de asegurar las actualizaciones dinámicas, la replicación se realiza al mismo tiempo que la de Active Directory. Los administradores no tienen, por tanto, que administrar nada más.
Configuración del rol Una vez instalado, es necesario realizar a la configuración del rol. En el caso de una instalación a partir de la promoción del servidor como controlador de dominio, la creación de la zona se realiza automáticamente.
1. Componentes del servidor Una solución DNS está formada por varios componentes. Los servidores DNS, para comenzar, tienen como función responder a las consultas de sus clientes, pero también alojar y administrar una o varias zonas. Éstas contienen varios registros de recursos. Los servidores DNS públicos gestionan, a su vez, zonas y registros de recursos. No obstante, estos últimos se refieren únicamente a recursos que deben estar accesibles desde Internet. Por último, los clientes DNS tienen la función de enviar al servidor DNS las distintas peticiones de resolución.
2. Consultas realizadas por el DNS Una consulta permite solicitar una resolución de nombres a un servidor DNS. De este modo, éste es capaz de ofrecer dos tipos de respuestas, aquellas con autoridad y aquellas sin autoridad. Un servidor provee una respuesta con autoridad si la consulta se refiere a un recurso presente en una zona sobre la que tiene autoridad. En caso contrario, no puede responder al cliente. Utiliza, en tal caso, un reenviador o indicaciones de raíces que permiten obtener dicha respuesta. Pueden utilizarse dos tipos de peticiones, iterativas o recursivas. Con las consultas iterativas, el puesto cliente envía a su servidor DNS una consulta para resolver el nombre www.jlopez.es, por ejemplo. El servidor consulta al servidor raíz. Éste la redirige al servidor con autoridad en la zona ES. Puede, a su vez, conocer la dirección IP del servidor DNS con autoridad en la zona jlopez. La consulta de esta última permite resolver el nombre www.jlopez.es. El servidor DNS interno responde a la consulta que ha recibido anteriormente de su cliente. Con las consultas recursivas, el equipo cliente desea resolver el nombre www.jlopez.es, y envía la petición a su servidor DNS. Al no tener autoridad en la zona jlopez.es, el servidor necesita un servidor externo para realizar la resolución. La solicitud se reenvía, entonces, al reenviador configurado por el administrador (el servidor DNS de FAI que posee una caché más amplia, por ejemplo). Si no tiene la respuesta en caché, el servidor DNS de FAI realiza una consulta iterativa y, a continuación, transmite la respuesta al servidor que le ha realizado la petición. Este último puede, ahora, responder a su cliente. La siguiente captura de pantalla muestra la configuración de un reenviador.
Para toda aquella consulta sobre la que el servidor no tenga autoridad, se utiliza el reenviador. En ciertos casos (aprobación de bosque AD, etc.) es necesario que la petición de resolución que se envía a otro servidor DNS se redirija en función del nombre de dominio (para el dominio eni.es podría enviarse al servidor SRVDNS1, por ejemplo). El reenviador condicional permite realizar esta modificación y, de este modo, dirigir las consultas hacia el servidor adecuado si la condición (nombre de dominio) se valida.
3. Registrar recursos en el servidor DNS Es posible crear varios tipos de registros en el servidor DNS, los cuales permiten resolver un nombre de equipo, una dirección IP o, simplemente, encontrar un controlador de dominio, un servidor de nombres o un servidor de mensajería. La siguiente lista muestra los registros más habituales: Registros A y AAAA (Address Record): permiten establecer la correspondencia entre el nombre de un puesto y su dirección IPv4. El registro AAAA permite resolver el nombre de un puesto en su dirección IPv6. CNAME (Canonical Nam e): se crea un alias hacia el nombre de otro puesto. El puesto afectado está accesible mediante su nombre o mediante su alias. MX (Mail Exchange): define los servidores de correo para el dominio. NS (Nam e Serv er): define los servidores de nombres del dominio. SRV: permite definir un servidor específico para una aplicación, en particular para el reparto de carga.
PTR (Pointer Record): asociando una dirección IP a un registro de nombre de dominio se realiza la operación opuesta a un registro de tipo A. Se crea este registro en la zona de búsqueda inversa.
SOA (Start Of Authority): el registro ofrece información general sobre la zona (servidor principal, e-mail de contacto, período de expiración…).
4. Funcionamiento del servidor de caché El almacenamiento en caché supone un ahorro importante en el tiempo de respuesta, y las búsquedas DNS se ven mejoradas. Este almacenamiento en caché proviene de la resolución de un nombre, en efecto, cuando el servidor responde a su cliente, la información se envía y aloja en caché. Un servidor de caché no contiene ningún dato, este tipo de servidor puede servir de reenviador. Un cliente alberga, a su vez, datos en caché. Para administrar esta información pueden utilizarse dos comandos: ipconfig /displaydnspermite visualizar la caché, ipconfig /flushdnselimina
la información contenida en la caché.
Configuración de las zonas DNS Las zonas DNS son puntos esenciales en una arquitectura DNS. Estas últimas contienen todos los registros necesarios para el correcto funcionamiento del dominio AD.
1. Visión general de las zonas DNS Es posible crear, en un servidor DNS, tres tipos de zona: una zona primaria, una zona secundaria o una zona de stub. La zona primaria posee permisos de lectura y de escritura sobre el conjunto de los registros que contiene. Este tipo de zona puede integrarse en Active Directory o, simplemente, estar contenida en un archivo de texto. En el caso de que la zona no esté integrada con Active Directory es necesario configurar la transferencia de zona. La zona secundaria es una simple copia de una zona primaria. Es imposible escribir sobre este tipo de zona, al ser de solo lectura. Es imposible integrarla en Active Directory es obligatorio realizar una transferencia de zona. Una zona de stub es una copia de una zona, no obstante esta última contiene únicamente registros necesarios para la identificación del servidor DNS que tiene autoridad sobre la zona que acaba de agregarse. Veamos un ejemplo: el servidor AD1 tiene autoridad sobre la zona Formacion.local. El servidor SV1 tiene autoridad sobre la zona Formacion.local y Jlopez.local.
Se crea una zona de stub para poder conocer el o los servidores que contienen los registros del dominio Jlopez.local. Una vez el servidor AD1 recibe una petición de resolución para el dominio Jlopez.local, la solicitud se redirige hacia el o los servidores DNS configurados en la zona de stub. De este modo puede llevarse a cabo la resolución. La integración de la zona en Active Directory requiere la instalación del rol DNS sobre un controlador de dominio. Este tipo de zona aporta ciertos beneficios en la gestión del rol DNS. Actualización con varios maestros: a diferencia de los servidores que alojan zonas primarias y secundarias, las zonas integradas en Active Directory pueden ser modificadas por el conjunto de servidores. En el caso de un sitio remoto, los registros pueden actualizarse sin tener que conectarse con el servidor remoto.
Replicación de zona DNS: la replicación de zona integrada en Active Directory afecta, únicamente, al atributo modificado. También existe una diferencia en el proceso de replicación. Se realiza una transferencia de zona entre las zonas estándar, mientras que las zonas integradas en Active Directory se replican mediante el controlador de dominio. Actualización dinámica: la integración en Active Directory asegura una mejor seguridad impidiendo cualquier modificación fraudulenta de los registros.
2. Zonas de búsqueda directa y zonas de búsqueda inversa Las zonas de búsqueda directa permiten resolver un nombre en una dirección IP. Es posible encontrar registros de tipo A, CNAME, SRV… La zona de búsqueda inversa permite resolver una dirección IP en un nombre Es posible encontrar registros de tipo SOA, NS y, principalmente, PTR. Las zonas de búsqueda inversa no se crean por defecto, aunque se recomienda crearlas. Algunas pasarelas de seguridad utilizan la zona de búsqueda inversa para confirmar que la dirección IP que envía los mensajes está asociada correctamente con un dominio.
3. Delegación de zona DNS La delegación permite realizar el enlace entre las distintas capas DNS, esta operación consiste en identificar el servidor DNS responsable del dominio de nivel inferior. La delegación de una zona ofrece, a su vez, la posibilidad a otra persona de administrar la zona en cuestión. La carga de red puede verse, así, reducida, y los clientes podrán dirigir sus solicitudes al otro servidor.
Configuración de la transferencia de zona Una transferencia de zona consiste en replicar una zona de un servidor a otro. Esto se realiza con el objetivo de poder realizar resoluciones en mejores condiciones.
1. Presentación de la transferencia de zona Se utiliza una transferencia de zona cuando las zonas no se encuentras en Active Directory. Se realiza, generalmente, entre una zona primaria y una zona secundaria. Existen varios tipos de transferencia de zona: la transferencia de zona integral, que consiste en copiar una zona entera de un servidor a otro o la transferencia de zona incremental, que permite replicar únicamente aquellos registros modificados. El servidor maestro avisa a los servidores secundarios mediante un mensaje DNS Notify, a continuación los servidores secundarios consultan al servidor principal para obtener la actualización.
Cuando la zona está integrada en Active Directory, ésta se replica al mismo tiempo que el directorio Active Directory. Se habla, en este caso, de replicación con varios maestros, todos los servidores DNS pueden realizar modificaciones.
2. Protección de la transferencia de zona Es importante proteger nuestro servidor DNS, el cual contiene información acerca de los distintos controladores de dominio… Para asegurar una transferencia de zona hacía un servidor autorizado es
importante escribir en las propiedades la lista de servidores hacia las que se autoriza la replicación. Por defecto, no deshabilitadas.
es
posible
realizar la
transferencia
de
zona, estando, por defecto,
Para asegurar una protección tras una transferencia de zona a través de la red es posible utilizar protocolos de tipo IPsec (Internet Protocol Security). La protección de datos a través de la red requiere intercambiar datos confidenciales a través del DNS; en caso contrario, bastaría con proteger únicamente la transferencia de zona.
Administración y resolución de errores del servidor DNS El servicio DNS debe supervisarse para asegurar el correcto funcionamiento de dicho rol. Cualquier error en el mismo podría provocar una incidencia en el funcionamiento de las aplicaciones y demás roles.
Presentación de las características de caducidad y borrado Si no se realiza ninguna limpieza en un servidor DNS, éste terminará, rápidamente, lleno de registros obsoletos, lo cual puede provocar resoluciones incorrectas y, por tanto, algún problema derivado. Para evitarlo es posible utilizar varios componentes. El tiempo de vida (TTL, Time To Live), el borrado y la caducidad forman parte de estos componentes. El TTL indica un valor durante el que el registro DNS será válido, siendo imposible borrarlo. La caducidad es el mecanismo que permite mantener la coherencia de datos en el servidor DNS. Los datos que hayan alcanzado su fecha de caducidad se eliminarán. Por último, el borrado es la operación que consiste en eliminar estos registros que han alcanzado su fecha de caducidad. Tras agregar un registro en una zona principal, se le agrega un timestamp para el proceso de bloqueo. Cuando un administrador agrega un registro, este timestamp es igual a 0. De este modo, es imposible aplicar una caducidad a un registro estático. La caducidad y el borrado deben habilitarse previamente.
Trabajos prácticos: Instalación y configuración del rol DNS Los trabajos prácticos permiten instalar, crear y configurar el rol DNS.
1. Configuración del registro de los recursos Objetivo: realizar la creación del registro y, a continuación, la creación de una zona de búsqueda inversa. Máquina virtual: AD1. Abra una sesión en AD1 como administrador y, a continuación, abra la consola Administrador de DNS. Despliegue AD1, Zonas de búsqueda directa y, a continuación, Formacion.local. Haga clic con el botón derecho en Formacion.local y, a continuación, en Nuevo host (A o AAAA). Escriba SRVMAIL en el campo Nombre y, a continuación, 192.168.1.17 en el campo Dirección IP.
Haga clic en Agregar host y, a continuación, en Aceptar en la ventana que aparece. Haga clic con el botón derecho en Formacion.local y, a continuación, haga clic en Nuevo intercambio de correo (MX). Escriba SRVMAIL en el campo Host o dominio secundario y, a continuación,SRVMAIL.formacion.local en el campo Nombre de dominio completo (FQDN) del servidor de correo electrónico.
Haga clic con el botón seleccioneNueva zona.
derecho
en
Zonas
de
búsqueda
inversa y,
a
continuación,
Haga clic en Siguiente en la ventana de bienvenida y, a continuación, seleccione Zona principal. Valide las opciones haciendo clic en Siguiente. En las ventanas Ámbito de replicación de la zona de Active Directory y Zona de búsqueda inversa IPv4 deje las opciones por defecto y, a continuación, haga clic en Siguiente. Escriba 192.168.1 en el campo Id. de red y, por último, haca clic en Siguiente. Solo están autorizadas las actualizaciones dinámicas seguras, deje la opción por defecto y, a continuación, haga clic en Siguiente. Haga clic en Finalizar para realizar la creación de la zona.
2. Caducidad y borrado de los registros Objetivo: configurar las funcionalidades de tiempo de vida, borrado y caducidad con el fin de asegurar la eliminación de registros obsoletos. Máquina virtual: AD1. En AD1, abra la consola Administrador de DNS. Haga clic con el botón derecho en AD1 y, a continuación, en seleccioneEstablecer caducidad/borrado para todas las zonas.
el menú
contextual,
Marque la opción Borrar registros de los recursos obsoletos y, a continuación, haga clic enAceptar.
Se abre una ventana, marque Aplicar esta configuración a las zonas integradas en Active Directory existentes. El valor 7 días es un valor por defecto que puede modificarse.
Haga clic con el botón derecho en AD1 y, a continuación, seleccione Propiedades en el menú contextual. Haga clic en la pestaña Opciones avanzadas y, a continuación, marque la opción Habilitar la limpieza automática de los registros obsoletos.
El valor del borrado debe coincidir con el configurado para la caducidad.
Haga clic en Aceptar. Ahora están configuradas las características de caducidad y borrado.
3. Configuración de un reenviador condicional Objetivo: creación de un reenviador con el objetivo de redirigir aquellas consultas relativas al dominio Formatica.msft hacia el dominio SV1. Máquinas virtuales: AD1, SV1. En SV1, abra una sesión como administrador de dominio. Abra la consola Centro de redes y recursos compartidos. Haga clic en Cambiar configuración del adaptador. Haga clic con el botón derecho sobre la tarjeta de red y, a continuación, seleccione la opciónPropiedades en el menú contextual. Haga doble clic en Protocolo de Internet versión 4 (TCP/IPv4). Modifique la configuración IP de la máquina para que posea su dirección IP en el campo Servidor DNS preferido. La dirección del servidor AD1 debe configurarse en el campo Servidor DNS alternativo.
Haga clic en Aceptar. Abra la consola Administrador del servidor y, a continuación, haga clic en el enlace Agregar roles y características. Se abre el asistente, haga clic en Siguiente. En las ventanas Seleccionar tipo de instalación y Seleccionar servidor de destino, haga clic enSiguiente dejando el valor por defecto.
Marque el rol Servidor DNS y, a continuación, haga clic en Agregar características. Haga clic tres veces en Siguiente y, a continuación, en Instalar. Cierre la ventana una vez termine la operación. Abra la consola DNS desde las Herramientas administrativas y, a continuación, despliegue SV1. Haga clic con el botón derecho en las Zonas de búsqueda directa y, a continuación, seleccioneNueva zona. En la ventana de bienvenida, haga clic en Siguiente. Compruebe que está marcada la Zona principal y, a continuación, haga clic en Siguiente. En el campo Nombre de zona, escriba Formatica.msft y, a continuación, haga clic en Siguiente. La zona no puede integrarse en Active Directory, pues el servidor no es un controlador de dominio. Se crea, entonces, un archivo, el cual contiene todos los registros de la zona. Haga clic en Siguiente en la ventana Archivo de zona.
Deje marcada la opción No permitir las actualizaciones dinámicas y, a continuación, haga clic enSiguiente. Haga clic en Finalizar para realizar la creación de la zona. Despliegue la zona Formatica.msft y, a continuación, haga clic con el botón derecho sobre la zona. En el menú contextual, seleccione Nuevo host (A o AAAA). Escriba www en el campo Nombre y, a continuación, 192.168.1.97 en el campo Dirección IP.
Haga clic en Agregar host y, a continuación, en Finalizar. En AD1, abra la consola Administrador de DNS y, a continuación, haga clic con el botón derecho en Reenviadores condicionales. En el menú contextual, seleccione Nuevo reenviador condicional. En el campo Dominio DNS escriba Formatica.msft y, a continuación, 192.168.1.12 enDirecciones IP de los servidores maestros. Marque la opción Almacenar este reenviador condicional en Active Directory y replicarlo como sigue. Deje el valor por defecto en la lista desplegable y, a continuación, haga clic en Aceptar.
Abra una ventana de comandos DOS y, a continuación, escriba
ping www.formatica.msft.
La resolución se realiza correctamente, no se obtiene ninguna respuesta dado que la dirección indicada no existe en la maqueta.
Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Cuál es el rol del protocolo DNS? 2 ¿Por qué se dice que el sistema DNS es jerárquico? 3 ¿Se encuentra la misma información en un DNS privado que en un DNS público? 4 ¿Es posible almacenar zonas DNS? 5 ¿Cuáles son los requisitos previos para unir una zona a AD? 6 ¿Cuáles son las ventajas de integrar la zona en Active Directory? 7 ¿Qué dos componentes utiliza el servidor DNS cuando no puede resolver un nombre? 8 ¿Qué tipos de registros pueden crearse en un servidor DNS? 9 Enumere los distintos tipos de zona que es posible crear. 10 ¿Sobre qué propiedad de un registro se basa el borrado?
2. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Por cada respuesta correcta, cuente un punto. Número de puntos:
/10
Para superar este capítulo, su puntuación mínima debería ser de 8 sobre 10.
3. Respuestas 1 ¿Cuál es el rol del protocolo DNS? El protocolo DNS tiene como rol la resolución de nombres en direcciones IP y viceversa. 2 ¿Por qué se dice que el sistema DNS es jerárquico? DNS se compone de varios niveles, y cada uno de ellos se encarga de realizar la resolución. Es posible encontrar, por ejemplo, la raíz que posee en su base de datos la dirección IP de los servidores de primer nivel (es, com…). Cada nivel posee, por tanto, una parte del nombre DNS. 3 ¿Se encuentra la misma información en un DNS privado que en un DNS público? No, un servidor DNS privado contiene los registros que permiten resolver nombres de recursos locales al dominio mientras que el DNS público contiene, por su lado, registros de recursos que están accesibles desde el exterior. 4 ¿Es posible almacenar zonas DNS? Es posible almacenar zonas DNS en dos lugares: en un archivo de texto (C:\Windows\System32\dns) o en el directorio Active Directory. 5 ¿Cuáles son los requisitos previos para unir una zona a AD? El registro de una zona en Active Directory requiere que la zona sea de tipo primario. Es necesario, a su vez, que el servidor esté instalado sobre un controlador de dominio. 6 ¿Cuáles son las ventajas de integrar la zona en Active Directory?
La integración en Active Directory permite una replicación al mismo tiempo que Active Directory (además de transferir la zona) y, a su vez, proteger las actualizaciones dinámicas. 7 ¿Qué dos componentes utiliza el servidor DNS cuando no puede resolver un nombre? Cuando un servidor no puede resolver un nombre puede, en función de la configuración realizada por el administrador, utilizar el o los reenviador(es) o las indicaciones de las raíces. 8 ¿Qué tipos de registros pueden crearse en un servidor DNS? Es posible crear varios registros. Los hosts (A o AAAA) permiten resolver un nombre en una dirección IP. Los punteros (PTR) permiten resolver una dirección IP en un nombre. Los registros de tipo CNAME ofrecen la posibilidad de implementar alias hacia un equipo o servidor. Por último, los registros de tipo NS permiten definir los distintos servidores DNS. 9 Enumere los distintos tipos de zona que es posible crear. Las zonas principales permiten al servidor tener permisos de lectura y de escritura en la zona. Este tipo de zona puede integrarse en Active Directory. Una zona secundaria no puede modificarse, los registros son de solo lectura y es necesario realizar una transferencia de zona para proceder a la actualización de los registros. Este tipo de zona no puede integrarse en Active Directory. La zona de stub no contiene más que ciertos registros (A, NS y SOA) de una zona, lo que evita un acoplamiento completo de la zona. 10 ¿Sobre qué propiedad de un registro se basa el borrado? Para realizar el borrado, un servidor DNS utiliza el timestamp con el objetivo de saber si el registro está obsoleto.
Requisitos previos y objetivos 1. Requisitos previos Tener ciertas nociones acerca del despliegue de sistemas operativos. Conocer el funcionamiento de un boot en PXE.
2. Objetivos Presentación de las funciones de los servicios de implementación de Windows. Definir los componentes y los beneficios de este rol. Conocer las herramientas que permiten mantener y administrar WDS.
Introducción WDS (Windows Deployment Services, Servicios de implementación de Windows) permite realizar el despliegue de sistemas operativos a través de la red. Este rol permite instalar un puesto sin utilizar medios físicos (DVD, disco duro USB…).
Los servicios de implementación de Windows Los servicios de implementación de Windows están presentes en los sistemas operativos de servidor desde Windows Server 2003 SP2. Permiten realizar la instalación de sistemas operativos desde la red. Las personas responsables del despliegue ven, de este modo, simplificadas sus tareas, de modo que la instalación de los equipos (servidor o puesto de trabajo) no requieren recursos físicos. Además, esta solución puede automatizarse parcial o totalmente con el objetivo de asegurar una correcta configuración de los equipos. Se utilizan, para ello, varias tecnologías: WinPE (Windows Preinstallation Environment): se carga un archivo WIM tras el inicio de la estación en modo PXE, lo que permite a los equipos acceder a un recurso (imagen de instalación de Windows 8.1, recurso de implementación MDT…). Archivo WIM: con Windows Vista ha hecho aparición un nuevo formato llamado archivo WIM. Ofrece una multitud de ventajas, entre ellas la independencia respecto al hardware (una imagen puede, por tanto, aplicarse a varias configuraciones). Un archivo WIM puede contener, a su vez, varios archivos WIM, cada uno de ellos con un ID único (el primer archivo posee el ID 1, el segundo el ID 2…). Con el objetivo de reducir el tamaño de estos archivos de imagen es posible aplicar una compresión más o menos potente. Además, es posible operar una modificación sin conexión (agregar un dispositivo, un paquete…). Por último, algo muy importante, la aplicación de una imagen (despliegue del archivo WIM) no destruye eventuales datos que pudiera haber presentes en la partición. PXE: hace ya varios años que se utiliza la tecnología PXE, la cual consiste en arrancar un equipo en la red. Esta solución se utiliza tras el despliegue de estaciones de trabajo o en el caso de clientes ligeros. Es posible implementar varios sistemas operativos de Microsoft mediante este rol: Windows Server 2003, 2008, 2008 R2, 2012, 2012 R2. Windows XP, Vista SP1, 7, 8, 8.1.
1. Los componentes de WDS Los servicios de implementación de Windows poseen varios componentes.
Pre-Boot Execution Server Este componente provee las funcionalidades necesarias para el arranque PXE de las estaciones de trabajo. Recibe las consultas PXE entrantes y responde a las distintas máquinas.
Cliente de Servicios de implementación de Windows El cliente de Servicios de implementación de Windows permite establecer la conexión y escoger la imagen que se desea cargar. Se utiliza una interfaz gráfica en la mayoría de acciones.
Componentes de servidor El servidor comprende, a su vez, un servidor TFTP (Trivial File Transfer Protocol). Éste permite a los distintos clientes realizar la carga en memoria de la imagen tras el arranque del equipo. Es posible encontrar, en estos componentes, la carpeta compartida utilizada por WDS. Esta carpeta contiene las distintas imágenes de arranque e instalación, controladores, archivos de configuración…
Motor de multidifusión El servicio de implementación de Windows realiza el despliegue de las distintas imágenes a través de la red. Ésta se vuelve, entonces, un recurso muy solicitado, pues las imágenes tienen, por lo general, un tamaño considerable de varios gigabytes. Con el objetivo de reducir el tráfico de red es
posible utilizar la transmisión por multidifusión. Con este tipo de transmisión, ciertos switches pueden verse afectados por la transmisión a varios destinatarios. En este caso conviene anular la transmisión multicast, lo que va a generar la comunicación de x tramas idénticas a x destinatarios diferentes (consumo mayor de ancho de banda). Es posible realizar la transmisión por multidifusión o multicast de dos formas diferentes: Autocast: la transmisión arranca una vez el primer cliente realiza la petición. El servidor reenvía la misma imagen cuando se conecta un cliente, de modo que si se suma un segundo equipo a la transmisión en curso, la parte faltante se recupera tras el reinicio de la transmisión (al final de la primera transmisión). Scheduled-cast: con este tipo de despliegue es posible utilizar dos tipos de criterios. El primero, en base al número de clientes conectados, consiste en iniciar la transmisión una vez el número de clientes conectados alcanza cierto umbral definido por el administrador (por ejemplo: inicio de la transmisión una vez se conectan 10 puestos cliente). El segundo consiste en configurar en el servidor una hora de inicio para la transmisión de la imagen en modo multicast. A continuación, es necesario conectar los equipos cliente al grupo de transmisión y esperar la hora de inicio de la distribución. La transmisión arranca automáticamente en la fecha y hora deseadas. La transmisión por multidifusión ofrece más información (tasa de transferencia, uso del procesador…) al administrador que una transmisión en modo unicast.
2. ¿Por qué utilizar WDS? Los servicios de implementación de Windows pueden ayudar a una empresa a reducir el tiempo de instalación de estos equipos. Los fuentes (DVD…) ya no son necesarios. Es posible desplegar un mayor número de equipos en el mismo espacio de tiempo. La automatización del despliegue permite, a su vez, reducir el coste total de la operación de despliegue. Además, automatizando las distintas tareas el administrador se asegura la homogeneidad de la configuración de los equipos.
Implementación del rol WDS La implementación y configuración del rol WDS no suponen una gran complejidad. Es, no obstante, necesario plantearse las preguntas adecuadas: ¿En qué servidor se desea instalar el rol WDS? ¿Se respetan los requisitos previos? ¿Dónde se almacena el recurso compartido de distribución necesario para el funcionamiento del rol? ¿A qué equipos debe responder (clientes conocidos, clientes desconocidos)? ¿Los roles WDS y DHCP se encuentran en el mismo servidor? ¿Es posible automatizar ciertas etapas? Si sí, ¿cuáles? El rol WDS exige varios requisitos previos, entre ellos un dominio de Active Directory y un servidor DNS. Tras el inicio de los equipos en modo PXE, se les atribuye una dirección IP. Para ello debe instalarse y configurarse un servidor DHCP. Preste atención, no obstante, a que los roles WDS y DHCP utilizan ambos el puerto UDP 67. En el caso de que se instalen ambos roles en el mismo servidor es necesario realizar cierta configuración en el servidor de implementación. Esta configuración se realiza en el trabajo práctico.
La partición debe instalarse con el sistema de archivos NTFS. Una vez aclaradas estas cuestiones y validados los requisitos previos, es posible realizar la instalación de WDS.
1. Instalación y configuración del servidor La instalación del rol se realiza desde la consola Administrador del servidor. Durante la instalación, es posible instalar dos servicios de rol: El servidor de despliegue El servidor de transporte
Una vez terminada la instalación, es posible realizar la configuración, la cual se opera directamente desde la consola Servicios de implementación de Windows. Se abre un asistente de guía al administrador que inicia la etapa de configuración. De este modo, es necesario seleccionar la ubicación de la carpeta compartida. Si los servicios DHCP y WDS están presentes en el mismo servidor, es necesario marcar las opciones que permiten modificar el puerto de escucha (UDP 67) y agregar la opción 60.
A continuación, es posible configurar el tipo de respuesta. Existen tres opciones posibles: No responder a ningún equipo cliente. Responder solo a los equipos cliente conocidos. El servidor responde únicamente a los clientes conocidos, lo cual requiere una acción manual por parte del administrador (este punto se aborda más adelante en este capítulo). Responder a todos los equipos cliente (conocidos y desconocidos). El servidor responde a todos los equipos, no obstante es posible implementar una aprobación del administrador antes de enviar cualquier respuesta.
A continuación es posible configurar el modo de respuesta.
2. Gestión de los despliegues Con el objetivo de desplegar un puesto mediante los servicios de implementación de Windows, es necesario agregar una imagen de arranque. Consiste en una imagen WinPE, que se utiliza para instalar la imagen de instalación, capturar las particiones de sistema de un equipo… El archivo boot.wim es una imagen WinPE presente en el DVD que provee Microsoft (en la carpeta fuentes). Es necesario importarla en el nodo Imágenes de arranque de la consola Servicios de implementación de Windows. A continuación, es preciso realizar la importación de imágenes de instalación (imagen que contiene carpetas y archivos). Es posible automatizar una o varias etapas durante el despliegue. Puede pulsarse la tecla [F12] para validar el arranque PXE sobre el puesto. También es posible modificar este comportamiento y evitar tener que pulsar esta tecla… Para los puestos que no tienen en cuenta el boot PXE, es posible crear desde la consola una imagen de descubrimiento. Además, WDS ofrece la posibilidad de capturar una partición. A diferencia de la herramienta ImageX, que permite capturar datos de cualquier partición, la imagen de captura permite realizar únicamente la captura de la partición de sistema donde se ha ejecutado un sysprep. La gestión del despliegue engloba, a su vez, otros dos puntos. La transmisión de datos y de controladores. Por defecto, la transmisión de datos se realiza en modo unicast, es preferible, en el caso del despliegue de muchos puestos, implementar la transmisión por multidifusión (multicast). La administración de controladores consiste en importar paquetes de controladores que pueden ponerse a disposición de los equipos durante el despliegue. La importación puede realizarse si y solamente si los controladores tienen el formato inf. Es posible utilizar filtros para limitar la cantidad de controladores ofrecidos a una categoría de puesto.
Un ejemplo de filtro: Modelo, Versión del sistema operativo…
Administración del servicio WDS Como acabamos de ver, la consola Servicios de implementación de Windows permite realizar la mayor parte de acciones, no obstante es posible interactuar con el servidor por línea de comandos. Para ello, se utiliza la instrucción WDSUTIL. Es posible agregar una imagen de arranque por línea de comandos: WDSUTIL /Verbose /Progress /Add-Image /ImageFile: /ImageType:Boot La imagen de captura puede crearse mediante el siguiente comando: WDSUTIL /New-CaptureImage /Image: