conectar el equipo a un dominio
TRANSCRIPT
Conectar el equipo a un dominioSe aplica a las siguientes ediciones de Windows 7: Professional, Ultimate, EnterpriseUn dominio es una colección de equipos de una red con reglas y procedimientos comunes, y que se administran como una unidad. Cada dominio tiene un nombre único. Generalmente, los dominios se usan en redes de áreas de trabajo. Para conectar el equipo a un dominio, deberá conocer el nombre del dominio y disponer de una cuenta de usuario válida en dicho dominio.
1. Para abrir Sistema, haga clic en el botón Inicio , haga clic con el botón secundario en Equipo y, a continuación, haga clic en Propiedades.
2. En Configuración de nombre, dominio y grupo de trabajo del equipo, haga clic en Cambiar la configuración. Si se le solicita una contraseña de administrador o una confirmación, escriba la contraseña o proporcione la confirmación.
3. Haga clic en la ficha Nombre del equipo y, a continuación, en Cambiar. También puede hacer clic en Id. de red para usar el asistente para unirse a un dominio o grupo de trabajo con el fin de automatizar el proceso de conexión a un dominio y de creación de una cuenta de usuario de dominio en el equipo.
4. En Miembro del, haga clic en Dominio.Cuadro de diálogo Cambios en el
dominio o el nombre del equipo 5. Escriba el nombre del dominio al que desea unirse y, a continuación, haga clic en
Aceptar.Se le pedirá que escriba su nombre de usuario y contraseña para el dominio.Después de unirse satisfactoriamente al dominio, se le pedirá que reinicie el equipo. Debe reiniciar el equipo para que la nueva configuración surta efecto.
Nota Si el equipo era miembro de un grupo de trabajo antes de unirse al dominio, se
quitará del grupo de trabajo.
¿Diferencias entre un dominio, un grupo de trabajo y un grupo en el hogar?Se aplica Windows 7Los dominios, los grupos de trabajo y los grupos en el hogar representan diferentes formas de organizar equipos en las redes. La diferencia principal entre ellos es la forma de administrar los equipos y otros recursos de las redes.Los equipos que ejecutan Windows en una red deben ser parte de un grupo de trabajo o de un dominio. Los equipos que ejecutan Windows en redes domésticas también pueden ser parte de un grupo en el hogar, pero no es un requisito. Generalmente, los equipos de redes domésticas forman parte de un grupo de trabajo y, probablemente, de un grupo en el hogar, y los equipos de redes del lugar de trabajo forman parte de un dominio.Nota
Los grupos en el hogar no están disponibles en Windows Server 2008 R2.
Para comprobar si el equipo está en un grupo de trabajo o un dominio1. Para abrir Sistema, haga clic en el botón Inicio , haga clic con el botón secundario en
Equipo y, a continuación, haga clic en Propiedades. 2. En Configuración de nombre, dominio y grupo de trabajo del equipo, se podrá ver
Grupo de trabajo o Dominio, seguido del nombre.
La configuración de nombre, dominio y grupo de trabajo del equipo
Para comprobar si el equipo pertenece a un grupo en el hogar1. Para abrir Centro de redes y de recursos compartidos, haga clic en el botón Inicio
y, a continuación, en Panel de control. En el cuadro de búsqueda, escriba red y, a continuación, haga clic en Centro de redes y recursos compartidos.
2. Si se especifica Unido junto a Grupo Hogar, el equipo pertenece a un grupo en el hogar.
El área de estado Grupo Hogar del Centro de redes y recursos compartidos
En un grupo de trabajo: Todos los equipos se encuentran en el mismo nivel, ninguno tiene el control sobre otro. Cada equipo dispone de un conjunto de cuentas de usuario. Para iniciar sesión en
cualquier equipo del grupo de trabajo, debe disponer de una cuenta en equipo. Normalmente, no hay más de veinte equipos. Un grupo de trabajo no está protegido con contraseña. Todos los equipos deben encontrarse en la misma red local o subred.
En un grupo en el hogar: Los equipos de una red doméstica pueden pertenecer a un grupo de trabajo, pero
también pueden pertenecer a un grupo en el hogar. Un grupo en el hogar permite compartir fácilmente imágenes, música, vídeos, documentos e impresoras con otras personas de una red doméstica.
El grupo en el hogar está protegido con contraseña, pero solo es necesario escribir la contraseña una vez, al agregar el equipo al grupo en el hogar.
En un dominio: Uno o más equipos son servidores. Los administradores de red utilizan los servidores
para controlar la seguridad y los permisos de todos los equipos del dominio. Así resulta más sencillo efectuar cambios, ya que éstos se aplican automáticamente a todos los equipos. Los usuarios de dominio deben proporcionar una contraseña o algún otro tipo de credencial cada vez que accedan al dominio.
Si dispone de una cuenta de usuario en el dominio, puede iniciar sesión en cualquier equipo del dominio sin necesidad de disponer de una cuenta en dicho equipo.
Probablemente solo podrá hacer cambios limitados a la configuración de un equipo porque los administradores de red con frecuencia desean garantizan un nivel de homogeneidad entre los equipos.
Un dominio puede incluir miles de equipos. Los equipos pueden encontrarse en diferentes redes locales.
Configurar Usuario de Dominio como Administrador Local
Una de las dudas que nos han planteado con relativa frecuencia, es la de conseguir que un usuario del directorio activo (Active Directory) o lo que es lo mismo, un usuario de un del dominio basado en Windows Server, se convierta en Administrador Local de su equipo.
Pues bien, en este tutorial vamos a intentar explicar que configuraciones hay que hacer para lograrlo.
Todas las configuraciones que van a ser mostradas a continuación deben realizarse en la máquina cliente, es decir, en la máquina en la que el usuario se convertirá en administrador local.
Otro apunte más, es que este tutorial es válido para cualquier versión de Windows, ya sea Windows XP, Windows Vista, Windows 7, etc...
Lo primero será hacer clic en el botón de Inicio y pulsar con el botón derecho sobre Mi PC, en el caso de Windows XP, o sobre Equipo, en el caso de Windows Vista o Windows 7, y pulsar en Administrar.
Una vez se abra la pantalla de "Administración de Equipos", hay que dirigirse a Herramientas del Sistema -> Usuarios y Grupo Locales -> Grupos.
Dentro de Grupos, pinchar con el botón derecho sobre "Administradores" y hacer clic en Propiedades.
Se abrirá una ventana que muestra las propiedades del grupo "Administradores". Una vez allí, hay que hacer clic en "Agregar...". Y se abrirá una pantalla como la que se muestra en la siguiente imagen:
Una vez aparezca esta pantalla, hay que asegurarse, que en el campo "Desde esta ubicación", se muestre el nombre del dominio al que pertenece el usuario que vamos al que se le va a dar permisos de administrador local. Si no aparece el nombre del dominio, pulsar sobre ubicaciones y elegir el dominio. Lógicamente, para que aparezca, el equipo debe de haber sido integrado al dominio previamente.
Tras elegir el dominio ya se puede escribir el nombre del usuario en el campo "Escriba los nombres de objeto que desea seleccionar" o buscarlos a través de la pantalla que aparecerá si se hace clic sobre el botón "Opciones avanzadas...".
Cuando el usuario o usuarios están añadidos, se aceptan todas las pantallas, y ya estará todo listo para que tengan permisos de administrador sobre este equipo.
Crear un Controlador de Dominio en Windows 2003 Server
Alta de máquina Windows 7 como cliente de un dominio de Windows 2008Tal como comenté hace unos días en este mismo Blog, he tenido un problema por el que he perdido todos mis laboratorios. La ventaja de esto es que al volver a empezar de nuevo tenemos la opción de ir documentándolo todo. Hoy vamos a ver el proceso para convertir una máquina independiente instalada con Microsoft Windows 7 para que sea cliente de un dominio de Active Directory. En este artículo partimos de la premisa de que el usuario conoce las funciones de este tipo de servicios por lo que no entraremos en más detalle. En caso de no tener conocimientos a este respecto se recomienda la lectura de este enlace: http://technet.microsoft.com/en-us/library/cc770946(WS.10).aspxLa operativa es bastante sencilla aunque he de decir que los menús que deberemos usar están un poco más escondidos en Windows 7 de lo que lo estaban en Windows Xp. En realidad es el mismo procedimiento. Lo primero que debemos hacer es acceder a las propiedades del equipo para lo que iremos a “Inicio > Equipo” y sobre este icono haremos clic en el botón derecho y seleccionaremos “Propiedades”. A continuación seleccionaremos la opción “Configuración avanzada del sistema”.
En la ventana de “Propiedades del sistema” seleccionamos la pestaña “Nombre de equipo”.
Antes de acceder a cambiar el nombre del equipo, puede ser muy recomendable cambiar la “Descripción del equipo”. Se le puede dar el nombre que se desee, como por ejemplo, uno descriptivo de la tarea que desempeña (Ej. Ordenador de Director), pero yo personalmente prefiero ponerle el nombre del equipo (Ej. W7ultimate001).
Una vez situados en esta pestaña seleccionamos “Id. de red…” que nos llevará al asistente para unirse al dominio, tal como se puede leer en la propia explicación de la ventana de propiedades.
En esta ventana buscamos el campo “Nombre del equipo” (el primero) y escribimos el nombre que deseemos usar. En este ejemplo se le ha puesto un nombre que indica el tipo de sistema operativo usado, seguido de un número identificativo. Prefiero usar este tipo de nombres en vez de usar los típicos de IRIS, MARTE, etc. por motivos de practicidad ya que con una sola pasada se ve que tipo de sistema es o el uso que se le da.
Una vez cambiado el nombre, deberemos hacer clic en “Aceptar”.
Esta acción requiere el reinicio de la máquina cliente, por lo que se nos mostrará el siguiente mensaje. Hacemos clic en “Aceptar” para cerrar la ventana.
Cuando hagamos clic en “Cerrar” se mostrará un mensaje que nos dará la opción de reiniciar en este momento o más tarde. Decidimos que queremos hacer y continuamos.
En el comienzo de sesión, aún podemos ver que la máquina es independiente y usa usuarios locales y no del dominio.
Volvemos a acceder a las propiedades del equipo para lo que iremos a “Inicio > Equipo” y sobre este icono haremos clic en el botón derecho y seleccionaremos “Propiedades”. A continuación seleccionaremos la opción “Configuración avanzada del sistema”. En la ventana de “Propiedades del sistema” seleccionamos la pestaña “Nombre de equipo”.
En esta ventana nos situamos en “Miembro del” y como queremos hacerlo miembro del dominio seleccionamos esa opción y escribimos el nombre del dominio al que lo queremos unir. Una vez hecho esto hacemos clic en “Aceptar”.
En este momento se nos abre una ventana de validación del dominio pidiendo que introduzcamos los datos de un usuario privilegiado en el dominio. Los introducimos y hacemos clic en “Aceptar”.
Si todo va bien, pasado un momento veremos un mensaje que nos da la bienvenida al dominio.
A continuación se nos avisa de que necesitaremos reiniciar nuevamente el PC.
En este momento ya podemos ver que el dominio está reflejado en las propiedades del sistema. Cuando hagamos clic en “Cerrar” nos pedirá nuevamente el reinicio.
Si ahora accedemos a la consola de administración de “Active Directory Users and Computers” podremos ver que la máquina ya ha sido incluida en el dominio.
Cuando arranquemos nuevamente la máquina cliente veremos que ya se valida contra el dominio.
Hay una forma de hacer esto de una manera distinta en un dominio de Windows 2008 R2, es mediante lo que se llama “Alta offline”, podéis ver cómo hacerlo en este otro Post: http://yaveceshastafunciona.blogspot.com/2010/10/windows-2008-r2-alta-offline-en-el.htmlUn saludo
Cómo se encuentran los controladores de dominio en WindowsId. de artículo: 247811 - Ver los productos a los que se aplica este artículo
Nota acerca de su sistema operativoEste artículo se aplica a una versión de Windows distinta la que está utilizando. Puede que el contenido en este artículo no sea relevante para usted.Visite el Centro de soluciones de Windows 7Este artículo se publicó anteriormente con el número E247811Expandir todo | Contraer todo
En esta página
ResumenEn este artículo se describe el mecanismo utilizado por Windows para encontrar un controlador de dominio en un dominio basado en Windows. En este artículo se explica el proceso de encontrar un dominio por su nombre estilo DNS y por su nombre plano (NetBIOS). El nombre plano se utiliza por compatibilidad con versiones anteriores. En todos los demás casos deben utilizarse nombres estilo DNS. En este artículo también se explica cómo solucionar problemas en el proceso de encontrar controladores de dominio.
Volver al principio | Enviar comentarios
Más informaciónEsta secuencia describe cómo el Ubicador busca un controlador de dominio:
En el cliente (el equipo que está buscando el controlador de dominio), se inicia el Ubicador como una llamada a procedimiento remoto (RPC) en el servicio local de Inicio de sesión de red. El servicio de Inicio de sesión de red implementa la llamada DsGetDcName de la interfaz de programación de aplicaciones (API) del Ubicador.
El cliente recopila la información necesaria para seleccionar un controlador de dominio y pasa dicha información al servicio de Inicio de sesión de red mediante la llamada DsGetDcName.
El servicio de Inicio de sesión de red del cliente utiliza de dos formas posibles la información recopilada para buscar un controlador para el dominio especificado:o En el caso de un nombre DNS, Inicio de sesión de red consulta DNS utilizando el
Ubicador compatible con IP/DNS; es decir, DsGetDcName realiza la llamada a DnsQuery para leer los registros de Recursos de servicio (SRV) y los registros "A" de DNS después de anexar el nombre de dominio a la cadena apropiada que especifica los registros SRV.
o Una estación de trabajo que inicia sesión en un dominio basado en Windows consulta si hay registros SRV en DNS con el formato general:_servicio._protocolo.NombreDominioDnsLos servidores de Active Directory ofrecen el servicio Protocolo ligero de acceso a directorios (LDAP) a través del protocolo TCP. Por tanto, para buscar un servidor LDAP los clientes consultan si en DNS hay un registro con el formato:_ldap._tcp.NombreDominioDns
o En el caso de un nombre NetBIOS, Inicio de sesión de red realiza el descubrimiento de los controladores de dominio mediante el Ubicador compatible con Microsoft Windows NT 4.0 (es decir, mediante el mecanismo específico del transporte, por ejemplo WINS).
En Windows NT 4.0 y versiones anteriores, el "descubrimiento" es un proceso para encontrar un controlador de dominio con fines de autenticación, ya sea en el dominio principal o en un dominio de confianza.
El servicio de Inicio de sesión de red envía un datagrama a los equipos que registraron el nombre. En el caso de los nombres de dominio NetBIOS, el datagrama se implementa como un mensaje de correo. Para los nombres de dominio DNS, el datagrama se implementa como una búsqueda LDAP del Protocolo de datagramas de usuario (UDP). (UDP es el protocolo de transporte de datagramas sin conexión que forma parte del conjunto de protocolos TCP/IP. TCP es un protocolo de transporte orientado a conexiones.)
Cada controlador de dominio disponible responde al datagrama para indicar que está operativo en ese momento y devuelve la información a DsGetDcName.
Tenga en cuenta que UDP permite a un programa de un equipo enviar un datagrama a un programa de otro equipo. UDP incluye un número de puerto de protocolo, que permite al remitente distinguir entre varios destinos (programas) en el equipo remoto.
Cada controlador de dominio disponible responde al datagrama para indicar que está operativo en ese momento y devuelve la información a DsGetDcName.
El servicio de Inicio de sesión de red almacena en caché la información del controlador de dominio, de manera que las solicitudes subsiguientes no tengan que repetir el proceso de descubrimiento. El almacenamiento en caché de esta información fomenta el uso coherente del mismo controlador de dominio y una vista coherente de Active Directory.
Cuando un cliente inicia sesión o se une a la red, debe ser capaz de encontrar un controlador de dominio. El cliente envía una consulta DNS a DNS para buscar controladores de dominio, preferiblemente en la propia subred del cliente. Por tanto, para buscar un controlador de dominio los clientes consultan si en DNS hay un registro con el formato:_LDAP._TCP.dc._msdcs.nombreDominioUna vez que el cliente encuentra un controlador de dominio, establece la comunicación mediante el uso de LDAP para tener acceso a Active Directory. Como parte de dicha negociación, el controlador de dominio identifica en qué sitio de la subred IP está el cliente. Si el cliente se está comunicando con un controlador de dominio que no está en el sitio más cercano (más optimo), el controlador de dominio devolverá el nombre del sitio del cliente. Si el cliente ya ha intentado buscar controladores de dominio en ese sitio (por ejemplo, cuando el cliente envía a DNS una consulta DNS para buscar controladores de dominio en la subred del cliente), el cliente utiliza el controlador de dominio que no es óptimo. De lo contrario, el cliente realiza de nuevo una consulta DNS específica del sitio con el nuevo nombre del sitio óptimo. El controlador de dominio utiliza cierta información del servicio de directorio para identificar sitios y subredes.
Cuando el cliente encuentra un controlador de dominio, se almacena en memoria caché la entrada del controlador. Si el controlador de dominio no está en el sitio óptimo, el cliente vacía la memoria caché después de quince minutos y descarta la entrada de la caché. Después intenta buscar un controlador de dominio óptimo en el mismo sitio que el cliente.
Una vez que el cliente ha establecido una ruta de comunicaciones con el controlador de dominio, puede establecer las credenciales de inicio de sesión y de autenticación y, si es necesario para los equipos basados en Windows, puede configurar un canal seguro. El cliente ya está en condiciones de realizar consultas normales y buscar información en el directorio.
El cliente establece una conexión LDAP con un controlador de dominio para iniciar sesión. El proceso de inicio de sesión utiliza el Administrador de cuentas de seguridad. Como la ruta de comunicaciones utiliza la interfaz LDAP y el cliente está autenticado por un controlador de dominio, la cuenta de cliente se comprueba y se pasa a través del Administrador de cuentas de seguridad al agente del servicio de directorio, después a la capa de base de datos y, finalmente, a la base de datos en el motor de Almacenamiento extensible (ESE).
Solucionar problemas del proceso de ubicación de dominios
Para solucionar problemas del proceso de ubicación de dominios:1. Consulte el Visor de sucesos tanto en el cliente como en el servidor. Los registros de sucesos
pueden contener mensajes de error que indiquen que hay algún problema. Para ver el Visor de sucesos, haga clic en Inicio, seleccioneProgramas, seleccione Herramientas administrativas y, a continuación, haga clic en Visor de sucesos. Consulte el registro del sistema tanto en el cliente como en el servidor. Consulte también los registros del servicio de directorio en el servidor y los registros de DNS en el servidor DNS.
2. Compruebe la configuración de IP mediante el comando ipconfig /all en un símbolo del sistema.
3. Emplee la utilidad Ping para comprobar la conectividad de red y la resolución de nombres. Haga ping tanto a la dirección IP como al nombre del servidor. Puede que también desee hacer ping al nombre de dominio.
4. Utilice la herramienta Netdiag para determinar si los componentes de red están funcionando correctamente. Para enviar el resultado detallado a un archivo de texto, utilice el comando siguiente:netdiag /v >prueba.txtExamine el archivo de registro, busque si hay problemas e investigue cualquier componente implicado. Este archivo también contiene otros detalles de configuración de la red.
5. Para resolver problemas menores, utilice la herramienta Netdiag con la sintaxis siguiente: netdiag /fix .
6. Utilice el comando nltest /dsgetdc: nombreDeDominio para comprobar que se puede encontrar un controlador para un dominio específico.
7. Utilice la herramienta NSLookup para comprobar que las entradas de DNS están registradas correctamente en DNS. Compruebe que se pueden resolver los registros de host del servidor y los registros GUID SRV.
Por ejemplo, para comprobar los registros, utilice los comandos siguientes:
nslookup nombre del servidor . secundario del dominio raíz . dominio raíz .com
nslookup guid._msdcs. dominio raíz .com8. Si ninguno de estos comandos funciona, utilice uno de los métodos siguientes para volver a
registrar los registros en DNS:o Para forzar el registro de host, escriba ipconfig /registerdns .o Para forzar el registro de los servicios del controlador de dominio, detenga e inicie el
servicio de Inicio de sesión de red.9. Para detectar problemas en el controlador de dominio, ejecute la utilidad DCdiag desde un
símbolo del sistema. La utilidad lleva a cabo una serie de pruebas para comprobar que un controlador de dominio está funcionando correctamente. Utilice este comando para enviar los resultados a un archivo de texto:dcdiag /v >dcdiag.txt
10. Utilice la herramienta Ldp.exe para conectarse y enlazarse al controlador de dominio con el fin de comprobar la conectividad LDAP apropiada.
11. Si sospecha que un determinado controlador de dominio tiene problemas, puede ser útil activar el registro de depuración de Inicio de sesión de red. Escriba este comando para emplear la utilidad NLTest: nltest /dbflag:0x2000ffff. La información se registra entonces en la carpeta Debug, en el archivo Netlogon.log.
12. Si todavía no ha aislado el problema, utilice Monitor de red para supervisar el tráfico de red entre el cliente y el controlador de dominio.
Para obtener información acerca de cómo instalar Monitor de red, consulte el artículo siguiente en Microsoft Knowledge Base:243270 How to Install Network Monitor in Windows 2000
Instalar un controlador de dominio adicional usando la interfaz de WindowsPersonas que lo han encontrado útil: 8 de 9 - Valorar este temaActualizado: julio de 2010Se aplica a: Windows Server 2008, Windows Server 2008 R2La interfaz de Windows proporciona dos asistentes que guían al usuario por el proceso de instalación de los Servicios de dominio de Active Directory (AD DS). El primer asistente es el Asistente para agregar roles, al que se puede acceder en Administrador del servidor. El segundo asistente es el Asistente para la instalación de los Servicios de dominio de Active Directory, al que se puede acceder de las siguientes maneras:
Al completar el Asistente para agregar roles, haga clic en el vínculo para abrir el Asistente para la instalación de los Servicios de dominio de Active Directory.
Haga clic en Inicio, luego en Ejecutar, escriba dcpromo.exe y, a continuación, haga clic en Aceptar.
Si usa las opciones avanzadas del Asistente para la instalación de los Servicios de dominio de Active Directory, puede controlar la manera en que se instala AD DS en el servidor, ya sea con el método de instalación desde un medio (IFM) o por replicación.
IFM: se puede indicar una ubicación para los medios de instalación que creó con Ntdsutil.exe o que restauró a partir de una copia de seguridad de un controlador de dominio similar en el mismo dominio. Si crea los medios de instalación con Ntdsutil, puede optar por crear medios de instalación seguros para el controlador de dominio de solo lectura (RODC). En este caso, Ntdsutil.exe quita secretos en caché, como contraseñas, de los medios de instalación. Para obtener más información, veaInstalar AD DS desde medios.
Replicación: se puede especificar un controlador de dominio en el dominio desde el cual desea replicar AD DS.
Credenciales administrativasPara realizar este procedimiento, debe ser miembro del grupo Admins. del dominio en el dominio en el que se instala el controlador de dominio.Para instalar un controlador de dominio en un dominio existente mediante la interfaz de Windows
1. Abra Administrador de servidores. Haga clic en Inicio, en Herramientas administrativas y, a continuación, haga clic en Administrador de servidores.
2. En Resumen de roles, haga clic en Agregar roles.3. Si es necesario, revise la información en la página Antes de comenzar y, a continuación,
haga clic en Siguiente.4. En la página Seleccionar roles de servidor, haga clic en la casilla Servicios de dominio
de Active Directory y, a continuación, haga clic en Siguiente.
Nota
En un servidor que ejecuta Windows Server 2008 R2, quizá deba hacer clic en Agregar características requeridasde .NET Framework 3.5.1 antes de poder hacer clic en Siguiente.
5. Si es necesario, revise la información en la página Servicios de dominio de Active Directory y, a continuación, haga clic en Siguiente.
6. En la página Confirmar selecciones de instalación, haga clic en Instalar.7. En la página Resultados de la instalación, haga clic en Cierre este asistente e inicie el
Asistente para la instalación de los Servicios de dominio de Active Directory (dcpromo.exe).
8. En la página Asistente para la instalación de los Servicios de dominio de Active Directory, haga clic en Siguiente.Si desea realizar una instalación desde un medio, identificar el controlador de dominio de origen para la replicación de AD DS o especificar la directiva de replicación de contraseñas (PRP) para un RODC como parte de la instalación del controlador de dominio adicional, seleccione Usar la instalación en modo avanzado.
9. En la página Compatibilidad de sistema operativo, revise la advertencia acerca de la configuración de seguridad predeterminada para Windows Server 2008 y los controladores de dominio de Windows Server 2008 R2 y, a continuación, haga clic en Siguiente.
10. En la página Elegir una configuración de implementación, haga clic en Bosque existente, haga clic en Agregar un controlador de dominio a un dominio existentey, a continuación, haga clic en Siguiente.
11. En la página Credenciales de red, escriba el nombre de un dominio existente en el bosque donde planea instalar el controlador de dominio adicional. En Especifique las credenciales de cuenta que se usarán para la instalación, haga clic en Mis credenciales de inicio de sesión actuales o haga clic en Credenciales alternativas y, a continuación, haga clic en Establecer. En el cuadro de diálogo Seguridad de Windows, escriba el nombre de usuario y la contraseña para una cuenta que pueda instalar el controlador de dominio adicional. Para instalar un controlador de dominio adicional, debe ser miembro del grupo Administradores de empresas o del grupo Administradores de dominio. Cuando termine de proporcionar las credenciales, haga clic en Siguiente.
12. En la página Seleccione un dominio, seleccione el dominio del nuevo controlador de dominio y, a continuación, haga clic en Siguiente.
13. En la página Seleccione un sitio, seleccione un sitio de la lista o la opción del sitio que corresponda a la dirección IP y, a continuación, haga clic en Siguiente.
14. En la página Opciones adicionales del controlador de dominio, realice las siguientes selecciones y, a continuación, haga clic en Siguiente:
o Servidor DNS: esta opción está activada de forma predeterminada para que el controlador de dominio pueda funcionar como un servidor de Sistema de nombres de dominio (DNS) Si no desea que el controlador de dominio sea un servidor DNS, desactive esta opción.
Nota
Si selecciona la opción para instalar el servidor DNS, es posible que reciba un mensaje que le indique que una delegación DNS para dicho servidor no se pudo crear y que debe crearla manualmente en el servidor DNS para asegurar una resolución de nombres confiable. Si instala un controlador de dominio adicional ya sea en el dominio raíz del bosque o en un dominio raíz del árbol, no es necesario que cree la delegación DNS. En este caso, haga clic en Sí y no tenga en cuenta este mensaje.
o Catálogo global: esta opción está activada de forma predeterminada. Agrega el catálogo global y las particiones del directorio de solo lectura al controlador de dominio, y activa la funcionalidad de búsqueda del catálogo global.
o Controlador de dominio de solo lectura: esta opción no está activada de forma predeterminada. Hace que el controlador de dominio adicional sea de solo lectura, es decir, convierte el controlador de dominio en un RODC.
Si no tiene direcciones estáticas IPv4 e IPv6 asignadas a los adaptadores de red, puede aparecer un mensaje de advertencia que le indicará que debe establecer direcciones estáticas para ambos protocolos antes de continuar. Si asignó una dirección estática IPv4 al adaptador de red, y su organización no usa IPv6, puede pasar por alto este mensaje y hacer clic en Sí, el equipo usará una dirección IP asignada en forma dinámica (no se recomienda).
Importante
Se recomienda no deshabilitar el protocolo IPv6.
15. Si activa Usar la instalación en modo avanzado en la Página principal, aparece la página Instalar desde el medio. Puede proporcionar la ubicación de los medios de instalación que se usarán para crear el controlador de dominio y configurar AD DS, o puede realizar la replicación a través de la red. Tenga en cuenta que algunos datos se replicaran a través de la red incluso si realiza la instalación desde un medio. Para obtener información acerca de cómo usar este método para instalar el controlador de dominio, vea el tema acerca de la Instalar AD DS desde medios.
16. Si seleccionó Usar la instalación en modo avanzado en la página de Bienvenida, aparece la página Controlador de dominio de origen. Haga clic en Dejar que el asistente elija el controlador de dominio adecuado o en Usar este controlador de dominio específico para especificar un controlador de dominio que desee proporcionar como origen para la replicación para crear el nuevo controlador de dominio y, a continuación, haga clic en Siguiente. Si no opta por realizar la instalación desde un medio, todos los datos se replicarán desde este controlador de dominio de origen.
17. En la página Ubicación de la base de datos, los archivos de registro y SYSVOL, escriba o busque las ubicaciones de la carpeta y el volumen para el archivo de base de datos, los archivos de registro del servicio de directorio y los archivos de volumen del sistema (SYSVOL) y, a continuación, haga clic en Siguiente.La función Copias de seguridad de Windows Server hace una copia de seguridad del servicio de directorio según el volumen. Para que las copias de seguridad y la recuperación sean eficaces, almacene estos archivos en volúmenes independientes que no tengan aplicaciones u otros archivos que no estén en el directorio.
18. En la página Contraseña de admin. del modo de restauración de servicios de directorio, escriba y confirme la contraseña del modo de restauración y, a continuación, haga clic en Siguiente. Esta contraseña se debe usar para iniciar AD DS en el modo de restauración del servicio de directorio (DSRM) para tareas que se deben realizar sin conexión.
19. En la página Resumen, revise las selecciones realizadas. Haga clic en Atrás para cambiar cualquier selección, si fuera necesario.Para guardar la configuración que seleccionó en un archivo de respuesta que pueda usar para automatizar operaciones de AD DS subsiguientes, haga clic en Exportar configuración. Escriba el nombre del archivo de respuesta y, a continuación, haga clic en Guardar.Cuando esté seguro de que las selecciones realizadas son precisas, haga clic en Siguiente para instalar AD DS.
20. En la página Finalización del Asistente para la instalación de los Servicios de dominio de Active Directory, haga clic en Finalizar.
21. Puede seleccionar la casilla Reiniciar al completar para reiniciar el servidor automáticamente o puede reiniciarlo para completar la instalación de AD DS cuando se le solicite.
Uso de herramientas de diagnóstico para un Controlador de Dominio
Uso de herramientas de diagnóstico para un Controlador de Dominio para Windows 2000, Windows 2003 o Windows 2008,
A continuación de describen recursos y herramientas de los que un administrador de sistemas dispone a mano para poder llevar a cabo ante determinadas circunstancias tareas tan necesarias como pueden ser la verificación de las réplicas entre Controladores de Dominio, repaso de la sincronización horaria, chequeo de puertos necesarios para el Directorio Activo, registros necesarios en un servidor DNS, etc...
El documento es orientativo y hay que destacar siempre que su uso puede depender de las diferentes circunstancias y situaciones que se puedan dar a la hora de tener que realizar diagnósticos, chequeos y diferentes operaciones de mantenimiento sobre nuestro Directorio Activo y Controladores de Dominio que lo mantienen.
Qué saber antes de empezar: breve introducción al Directorio Activo
Antes de poder montar una infraestructura de red basada en los servicios de directorio de Microsoft (Directorio Activo), es necesario tener claro los conceptos y funciones principales que hacen posible que dicha tecnología sirva para implementar una solución y no un problema. Es por eso que hay que conocer muy bien los conceptos básicos que se interrelacionan entre sí a la hora de hacer funcionar el Directorio Activo. A continuación se expone una breve lista y una pequeña descripción de lo que una persona debe conocer antes de implementar una solución con el Directorio Activo; sería muy recomendable que se repasaran dichos términos/tecnologías en la propia ayuda del sistema o en la web de Microsoft para poder comprender mejor el funcionamiento de lo que se va a explicar:
Directorio Activo, ¿qué es?El Directorio Activo es el servicio de directorio de Microsoft…pero, ¿qué es un servicio de directorio?Un servicio de directorio es como una base de datos para guardar gran cantidad de información y poder consultarla, agruparla, modificarla, etc.; haciendo un ejemplo, es como si fuera una agenda donde vamos a guardar y organizar la información que para nosotros es necesaria y útil.Por tanto, en el Directorio Activo guardaremos la información útil para la empresa, y después poder hacer diversos tipos de acciones sobre dicha información.
DNSEl servicio de DNS sirve para la resolución de nombres de máquina a una dirección IP y viceversa. Además, para el Directorio Activo, es su base, o mejor dicho, son sus cimientos; si el DNS no está bien configurado o tiene problemas, entonces nuestro diseño de Directorio Activo no funcionará adecuadamente y nos dará más problemas que soluciones, ya que el Directorio Activo usa el servicio de DNS para poder dejar información que después las estaciones de trabajo tendrán que poder consultar para interactuar correctamente con el servicio de directorio (validación, consultas, búsquedas, etc.).
Maestros de Operaciones (FSMO) y Global CatalogA pesar de que a partir de Windows 2000 Server se ha cambiado el modelo de réplicas basado en “maestro-esclavo” como había en NT4 (el servidor que hacía de PDC actualizaba los cambios y después replicaba a los BDC que pudiera haber) a “multimaestro” (cualquier DC puede actualizar los datos y después replicarlos con el resto de DC’s), hay que tener en cuenta que ciertas operaciones “críticas” e incluso cotidianas sólo pueden ser llevadas a cabo por determinados DC que lleven alguno de los roles especiales. Esos roles sirven para concretar unas funciones específicas a llevar a cabo por un DC, por lo tanto, es muy importante comprender la función de éstos y las consecuencias
que puede haber en caso de una caída (en el apartado A.3 Implicaciones de un DC, FSMO o Global Catalog caído se puede ver más detaalladamente una lista de posibles implicaciones). A continuación podemos ver una serie de enlaces donde se explican y detallan estos roles especiales:
Sitios (sites)Un site es simplemente una agrupación de subredes lógicas, mediante la cual, el servicio de directorio será capaz de generar internamente y de manera transparante la topología de replicación entre servidores de subredes con buena comunicación entre sí, dar la posibilidad de establecer horarios e intervalos de replicación entre DC’s de diferentes subredes que no tengan tan buena comunicación y aprovechar así mejor el ancho de banda, o para poder resolver mejor las peticiones de un cliente (así, por ejemplo, es posible que un cliente quiera consultar un servidor que sea Global Catalog; según la subred a la que pertenezca el cliente, y si está está definida en algún site, el servicio de directorio será capaz de proporcionar a ese cliente una respuesta informándole de los servidores de Global Catalog a los que más “fácil y rápidamente” puedan conectar para llevar a cabo su petición, y evitar así, por ejemplo, responderle con un GC que pudiera estar en una subred con un ancho de banda muy bajo).
Digamos que estos 4 puntos descritos son los pilares básicos que deben conocerse y entenderse para poder llevar a cabo una correcta implementación basada en una solución de Directorio Activo (por supuesto, por debajo hay mucho más que se puede ver mirando muchos de los enlaces o documentación aquí adjunta o en la web de Microsoft).
Si alguna función o parte de estos 4 puntos falla, por la causa que sea, supondrá un problema ya que podremos empezar a experimentar ciertos y diversos “comportamientos extraños” con nuestro Directorio Activo.
Problemas tan diversos como la imposibilidad de que un usuario inicie sesión, que un DC deje de replicar con otro, no poder abrir una consola de gestión, o que no podamos unir máquinas al dominio pueden darse si no implementamos correctamente nuestro Directorio Activo.
Es importante recalcar que la mayor parte de los problemas más comunes o cotidianos, se suelen deber en gran parte a una mala configuración DNS, tanto del servidor como en la parte cliente, de ahí que sea necesario recalcar que si no entendemos bien el funcionamiento de un DNS ni su implicación y relación estrechísima con el Directorio Activo, tendremos entonces muchos problemas en muchas partes que afecten a los clientes; por ejemplo, no se aplicarán correctamente las políticas de grupo; los clientes no podrían localizar servidores para hacer consultas y peticiones como puede ser un servidor para el inicio de sesión; la réplica entre DC’s falla debido a que no son capaces de conectar correctamente entre sí, etc.
La definición de sites también es importantísima, ya que con ella podemos evitar que un cliente de una sede, por ejemplo, se valide en un DC de otra sede de otro país teniendo un DC en su misma subred u otra más accesible. O evitar que un DC de una sede replique con otro de otra sede en horas de trabajo, restando y degradando así el ancho de banda, seguramente más necesario a esas horas para otro tipo de operaciones. Es común también pensar que si en una subred remota no hay ningún DC, no es necesario definirla porque no va a afectar a nuestro diseño ya que mucha gente piensa que los sites sólo son útiles de cara a los DC’s para replicar entre sí. Nada más lejos de la realidad. Como hemos explicado, los sites no sólo sirven para que los DC’s repliquen a horas e intervalos establecidos…si no para que clientes de esa subred puedan localizar servicios en subredes más próximas o con mejor ancho de banda que otras posibles que pueda haber sin tener que generar tráfico de red innecesario o siquiera obtener una respuesta adecuada. Un ejemplo claro como hemos dicho antes, puede ser una oficina pequeña de 5 puestos de trabajo, que no tengan ningún DC en esa oficina. Para iniciar sesión tendrán que localizar un DC, y por tanto, preguntarán al DNS por un servidor válido para ello; si no hay una definición de sites correcta, es posible que el DNS le responda cualquier servidor que pueda estar en una sede remota con un ancho de banda pésimo…con lo cual ya tenemos un problema grave; en cambio, si hay una definición de Sites adecuada, el DNS habrá registrado mediante el servicio de directorio qué DC’s pueden ser los más “óptimos” para esa pequeña red remota a la hora de proporcionarles el inicio de sesión. U otro ejemplo menos visto
puede darse en el acceso a un recurso de DFS que puede estar replicado en varios servidores. Con la definición de sites, un cliente podrá saber qué servidor es el más “próximo” o propicio para acceder a dicho DFS; sin la definición de sites y subredes, no.
Se pueden dar muchísimos más casos, y es por ello que a continuación se describen una serie de herramientas y procedimientos que podemos usar para intentar detectar y solventar los problemas que se nos puedan presentar.
Realizar un diagnóstico del DC
Ante algún posible fallo relacionado con el AD, lo primero que podemos mirar es el resultado que se produce al ejecutar las siguientes herramientas de diagnóstico para el servicio de directorio (para poder hacer uso de ellas es necesario instalar las support tools del CD de Windows 2003):
1. DCDIAGEsta herramienta sirve para hacer una serie de test a los DC’s del dominio o bosque con el fin de poder encontrar algún error entre ellos. Un ejemplo de un dcdiag de un DC que esté funcionando correctamente puede ser el siguiente:
Domain Controller Diagnosis
Performing initial setup:Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-Name\DCLAB1Starting test: Connectivity......................... DCLAB1 passed test Connectivity
Doing primary tests
Testing server: Default-First-Site-Name\DCLAB1Starting test: Replications......................... DCLAB1 passed test ReplicationsStarting test: NCSecDesc......................... DCLAB1 passed test NCSecDescStarting test: NetLogons......................... DCLAB1 passed test NetLogonsStarting test: Advertising......................... DCLAB1 passed test AdvertisingStarting test: KnowsOfRoleHolders......................... DCLAB1 passed test KnowsOfRoleHoldersStarting test: RidManager......................... DCLAB1 passed test RidManagerStarting test: MachineAccount......................... DCLAB1 passed test MachineAccountStarting test: ServicesIsmServ Service is stopped on [DCLAB1]......................... DCLAB1 failed test ServicesStarting test: ObjectsReplicated......................... DCLAB1 passed test ObjectsReplicatedStarting test: frssysvol......................... DCLAB1 passed test frssysvolStarting test: frsevent......................... DCLAB1 passed test frseventStarting test: kccevent......................... DCLAB1 passed test kcceventStarting test: systemlog......................... DCLAB1 passed test systemlogStarting test: VerifyReferences......................... DCLAB1 passed test VerifyReferences
Running partition tests on : ForestDnsZonesStarting test: CrossRefValidation......................... ForestDnsZones passed test CrossRefValidationStarting test: CheckSDRefDom......................... ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZonesStarting test: CrossRefValidation......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom......................... DomainDnsZones passed test CheckSDRefDom
Running partition tests on : SchemaStarting test: CrossRefValidation......................... Schema passed test CrossRefValidationStarting test: CheckSDRefDom......................... Schema passed test CheckSDRefDom
Running partition tests on : ConfigurationStarting test: CrossRefValidation......................... Configuration passed test CrossRefValidationStarting test: CheckSDRefDom......................... Configuration passed test CheckSDRefDom
Running partition tests on : laboratorioStarting test: CrossRefValidation......................... laboratorio passed test CrossRefValidationStarting test: CheckSDRefDom......................... laboratorio passed test CheckSDRefDom
Running enterprise tests on : laboratorio.testStarting test: Intersite......................... laboratorio.test passed test IntersiteStarting test: FsmoCheck......................... laboratorio.test passed test FsmoCheck
Una opción interesante para chequear con ésta herramienta es que el DC haya registrado correctamente en los DNS los registros necesarios para que sea reconocido y anunciado en el AD como un DC válido:
dcdiag /test:registerindns /dnsdomain:FQDN /vej:dcdiag /test:registerindns /dnsdomain:Laboratorio.test /v
La salida del comando si está correcto será:
En caso de que el resultado no sea correcto habría que repasar los DNS que tiene configurado a nivel de la conexión de red para verificar que son los adecuados.
2. NETDIAG Esta herramienta sirve para hacer una serie de test a nivel de red y conexiones en el DC que se
lanza. Un ejemplo de un netdiag puede ser el siguiente:>
Computer Name: DCLAB1 DNS Host Name: dclab1.laboratorio.test System info : Windows 2000 Server (Build 3790) Processor : x86 Family 15 Model 2 Stepping 9, GenuineIntel List of installed hotfixes : KB819696 KB823182 KB823353 KB823559 KB824105 KB824141 KB824151 KB825119 KB828035 KB828741 KB833987 KB834707 KB835732 KB837001 KB839643 KB839645 KB840315 KB840374 KB840987 KB841356 KB841533 KB867460 KB867801 KB873376 Q147222 Q828026
Netcard queries test . . . . . . . : Passed
Per interface results:
Adapter : LAN-Desarrollo
Netcard queries test . . . : Passed
Host Name. . . . . . . . . : dclab1 IP Address . . . . . . . . : 192.168.102.101 Subnet Mask. . . . . . . . : 255.255.255.0 Default Gateway. . . . . . : 192.168.102.1 Dns Servers. . . . . . . . : 213.163.5.137
AutoConfiguration results. . . . . . : Passed
Default gateway test . . . : Failed No gateway reachable for this adapter.
NetBT name test. . . . . . : Passed [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.
WINS service test. . . . . : Skipped There are no WINS servers configured for this interface.
Adapter : Virtual_Interna
Netcard queries test . . . : Passed
Host Name. . . . . . . . . : dclab1 IP Address . . . . . . . . : 10.1.1.1 Subnet Mask. . . . . . . . : 255.255.255.0 Default Gateway. . . . . . : Dns Servers. . . . . . . . : 10.1.1.1 10.1.1.2
AutoConfiguration results. . . . . . : Passed
Default gateway test . . . : Skipped [WARNING] No gateways defined for this adapter.
NetBT name test. . . . . . : Passed [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing. No remote names have been found.
WINS service test. . . . . : Skipped There are no WINS servers configured for this interface.
Global results:
Domain membership test . . . . . . : Passed
NetBT transports test. . . . . . . : Passed List of NetBt transports currently configured: NetBT_Tcpip_{91873FE9-2F61-4E21-947C-E99F39ABF65E} NetBT_Tcpip_{B8D698CD-89BC-4E98-B2A6-B5F1616783EE} 2 NetBt transports currently configured.
Autonet address test . . . . . . . : Passed
IP loopback ping test. . . . . . . : Passed
Default gateway test . . . . . . . : Failed
[FATAL] NO GATEWAYS ARE REACHABLE. You have no connectivity to other network segments. If you configured the IP protocol manually then you need to add at least one valid gateway.
NetBT name test. . . . . . . . . . : Passed [WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.
Winsock test . . . . . . . . . . . : Passed
DNS test . . . . . . . . . . . . . : Passed [WARNING] Cannot find a primary authoritative DNS server for the name 'dclab1.laboratorio.test.'. [ERROR_TIMEOUT] The name 'dclab1.laboratorio.test.' may not be registered in DNS. [WARNING] The DNS entries for this DC cannot be verified right now on DNS server 213.163.5.137, ERROR_TIMEOUT. PASS - All the DNS entries for DC are registered on DNS server '10.1.1.1' and other DCs also have some of the names registered. PASS - All the DNS entries for DC are registered on DNS server '10.1.1.2' and other DCs also have some of the names registered.
Redir and Browser test . . . . . . : Passed List of NetBt transports currently bound to the Redir NetBT_Tcpip_{91873FE9-2F61-4E21-947C-E99F39ABF65E} NetBT_Tcpip_{B8D698CD-89BC-4E98-B2A6-B5F1616783EE} The redir is bound to 2 NetBt transports.
List of NetBt transports currently bound to the browser NetBT_Tcpip_{91873FE9-2F61-4E21-947C-E99F39ABF65E} NetBT_Tcpip_{B8D698CD-89BC-4E98-B2A6-B5F1616783EE} The browser is bound to 2 NetBt transports.
DC discovery test. . . . . . . . . : Passed
DC list test . . . . . . . . . . . : Passed
Trust relationship test. . . . . . : Skipped
Kerberos test. . . . . . . . . . . : Passed
LDAP test. . . . . . . . . . . . . : Passed
Bindings test. . . . . . . . . . . : Passed
WAN configuration test . . . . . . : Skipped No active remote access connections.
Modem diagnostics test . . . . . . : Passed
IP Security test . . . . . . . . . : Skipped
Note: run "netsh ipsec dynamic show /?" for more detailed information
The command completed successfully
3. REPADMINEsta herramienta sirve para comprobar las réplicas entre los servidores. A continuación se muestra un ejemplo en el que se ven las réplicas establecidas y llevadas a cabo por el servidor “server1”:
repadmin /showrepl server1.microsoft.com Press Enter and the following output is displayed:
repadmin /showrepl server1.microsoft.comBuilding7a\server1DC Options : IS_GCSite OPtions: (none)DC object GUID : 405db077-le28-4825-b225-c5bb9af6f50bDC invocationID: 405db077-le28-4825-b225-c5bb9af6f50b
==== INBOUND NEIGHBORS ======================================
CN=Schema,CN=Configuration,DC=microsoft,Dc=com Building7b\server2 via RPC objectGuid: e55c6c75-75bb-485a-a0d3-020a44c3afe7 last attempt @ 2002-09-09 12:25.35 was successful.
CN=Configuration,DC=microsoft,Dc=com Building7b\server2 via RPC objectGuid: e55c6c75-75bb-485a-a0d3-020a44c3afe7 last attempt @ 2002-09-09 12:25.10 was successful.
DC=microsoft,Dc=com Building7b\server2 via RPC objectGuid: e55c6c75-75bb-485a-a0d3-020a44c3afe7 last attempt @ 2001-09-09 12:25.11 was successful
4. REPLMONEs la utilidad gráfica del repadmin, y tiene las mismas funcionalidades pero de un modo más intuitivo y fácil de hacer e interpretar; puede comprobar el estado de la réplica entre las diferentes particiones del AD entre los diferentes DC’s implicados; forzar la sincronización entre ellos, ver errores de réplica o hacer testeos de los FSMO. A continuación se detallan las opciones más comunes y el uso de dicha herramienta. Para arrancarla basta ir a “StartàRun: replmon”:
Para añadir un DC y empezar a hacer los diagnósticos, con el botón derecho sobre Monitored Servers elegimos la opción para añadir un DC:
Nos preguntará por cómo queremos añadir o buscar el DC, si por el nombre o a través del directorio; en nuestro ejemplo será a partir del directorio:
A continuación elegiremos el site del que forme parte el DC a chequear y al propio Dc como tal:
Tras ello veremos que aparece en pantalla el DC elegido y colgando de él todas las particiones del Directorio Activo que maneja y replica con el resto de DC’s implicados:
Si expandimos cada una de las zonas podremos ver el resultado de la última sincronización que se haya efectuado con el resto de DC’s; si la sincronización es correcta aparecerá una imagen de un servidor en gris; si no ha sido así, aparecerá marcado con un aspa roja; podemos ver un ejemplo de ello a continuación:
Si pinchamos sobre alguna de las particiones con error en la réplica podremos ver el log con el resultado de la operación:
Si queremos complementar más información sobre posibles errores entre los DC’s podemos mirar también el visor de sucesos para buscar más datos al respecto. A parte, puede ser interesante en circunstancias determinadas activar a nivel de registro que los datos a recolectar en el visor de eventos sean más detallados. Para ello:
How to configure Active Directory diagnostic event logging in Windows Server http://support.microsoft.com/default.aspx?scid=kb;en-us;314980&sd=tech
Si lo que queremos es forzar la réplica de alguna de las particiones del AD con algún DC, basta con elegir dicha partición y con el botón derecho sobre ella seleccionar la opción de sincronizar con el DC elegido:
Una vez forzada la réplica podremos ver como hemos indicado antes en el log el resultado de la misma.
Para ver los controladores de dominio presentes, seleccionamos nuestro DC y con el botón derecho sobre él elegimos la opción para mostrar los DC’s.
Para ver los DC’s que sean además Global Catalog, hacemos lo mismo que anteriormente pero seleccionando dicha opción:
Si tuviéramos varios sitios y quisiéramos saber los DC’s designados como cabezas de puente para la replicación entre ellos podemos hacerlo de éste modo:
Si no hay ninguno (como en éste ejemplo) el mensaje que se devuelve será:
Si queremos ver los roles (si es que tiene) el DC o hacer testeos de los FSMO en el directorio, editamos las propiedades del Server monitorizado:
Para testear los FSMO, nos situamos en su pestaña y damos al botón del test:
Pulsamos en Query...
Si queremos ver qué “roles” o funciones definidas lleva éste DC, nos situamos sobre la pestaña de Server Flags:
Si queremos ver las replicaciones Intra-Site de éste DC con otros, nos situamos sobre la pestaña de Inbound Replication Connection:
Si queremos chequear que el KCC (el cual se encarga de generar y mantener el estado de las réplicas tanto intra como inter-site) esté funcionando adecuadamente:
Si queremos ver si hay algún error de objetos sin replicar entre los DC’s, también podemos ir al menú de “ActionàDomainàSearch DC for Replication Errors”:
Nos aparecerá la siguiente ventana en la que deberemos pulsar sobre el botón Run Search para que comience el test:
Indicamos el nombre del dominio & "OK",
Si hubiera algún error de réplicas aparecería en la pantalla anterior:
5. PORTQRY Esta herramienta sirve para comprobar la conectividad entre los servidores mediante puertos TCP y UDP.
Por ejemplo, para verificar la conectividad al puerto 135 de un Server:
portqry /n 10.193.36.210 /p udp /e 135
Querying target system called:
10.193.36.210
Attempting to resolve IP address to a name...
IP address resolved to RKTLABDC2
UDP port 135 (epmap service): LISTENING or FILTEREDQuerying Endpoint Mapper Database...Server's response:
UUID: a00c021c-2be2-11d2-b678-0000f87a8f8e PERFMON SERVICEncacn_np:\\\\RKTLABDC2[\\pipe\\000003b8.000]
...
UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs APIncacn_np:\\\\RKTLABDC2[\\pipe\\000003b8.000]
Total endpoints found: 69
==== End of RPC Endpoint Mapper query response ====
UDP port 135 is LISTENING
A parte:
HOW TO: Use Portqry to Troubleshoot Active Directory Connectivity Issues: http://support.microsoft.com/default.aspx?scid=kb;EN-US;816103
6. NSLOOKUP Se usa para hacer test de resolución de nombres en un servidor de DNS. Es muy recomendable hacer la verificación de que los registros de tipo SRV necesarios para que el AD funcione adecuadamente estén correctamente registrados en el DNS. Para ello, en un CMD escribimos nslookup, y a continuación set q=SRV. Tras ello _ldap._tcp.dc._msdcs.ActiveDirectoryDomainName. Un ejemplo de ello:
C:\nslookup
Default Server: dc1.example.microsoft.comAddress: 10.0.0.14 set type=srv _ldap._tcp.dc._msdcs.example.microsoft.comServer: dc1.example.microsoft.comAddress: 10.0.0.14_ldap._tcp.dc._msdcs.example.microsoft.com SRV service location: priority = 0 weight = 0 port = 389 svr hostname = dc1.example.microsoft.com_ldap._tcp.dc._msdcs.example.microsoft.com SRV service location: priority = 0 weight = 0 port = 389 svr hostname = dc2.example.microsoft.comdc1.example.microsoft.com internet address = 10.0.0.14dc2.example.microsoft.com internet address = 10.0.0.15
7. DSASTATEsta herramienta sirve para comparar y detector diferencias entre las bases de datos de directorio de los DC’s que pueda haber. Sirve de complemento a las anteriores.
Por ejemplo, para ver las diferencias que pueda haber entre 2 DC’s (dclab1 y dclab2, del dominio laboratorio.test), ejecutaremos lo siguiente en un CMD:
Dsastat –s:dclab1;dclab2 –b:DC=laboratorio,DC=test
El resultado será:
Stat-Only mode.Unsorted mode.Opening connections... dclab1...success.Connecting to dclab1...reading... **> ntMixedDomain = 0reading... **> Options = Setting server as [dclab1] as server to read Config Info... dclab2...success.Connecting to dclab2...reading... **> ntMixedDomain = 0
reading... **> Options = ignored attrType = 0x3, bIsRepl 2.5.4.3 ignored attrType = 0xb, bIsRepl 2.5.4.11BEGIN: Getting all special metadata attr info ... --> Adding special meta attrs, (3, cn) --> Adding special meta attrs, (6, c) --> Adding special meta attrs, (1376281, dc) --> Adding special meta attrs, (7, l) --> Adding special meta attrs, (591522, msTAPI-uid) --> Adding special meta attrs, (10, o) --> Adding special meta attrs, (11, ou)END: Getting all special metadata attr info ...No. attributes in schema = 1070No. attributes in replicated = 1015No. attributes in PAS = 151Generation Domain List on server dclab1...> Searching server for GC attribute partial set on property attributeId.> Searching server for GC attribute partial set on property ldapDisplayName.Retrieving statistics...Paged result search...Paged result search... Svr[dclab1]. Entries = 64. Svr[dclab2]. Entries = 64. Svr[dclab1]. Entries = 64. Svr[dclab2]. Entries = 64. Svr[dclab1]. Entries = 64. Svr[dclab2]. Entries = 64. Svr[dclab1]. Entries = 64. 50 entries processed (7 msg queued, 0 obj stored, 0 obj deleted)... 100 entries processed (7 msg queued, 0 obj stored, 0 obj deleted)... 150 entries processed (7 msg queued, 0 obj stored, 0 obj deleted)... 200 entries processed (7 msg queued, 0 obj stored, 0 obj deleted)... 250 entries processed (7 msg queued, 0 obj stored, 0 obj deleted)... 300 entries processed (7 msg queued, 0 obj stored, 0 obj deleted)... 350 entries processed (7 msg queued, 0 obj stored, 0 obj deleted)... 400 entries processed (7 msg queued, 0 obj stored, 0 obj deleted)... Svr[dclab2]. Entries = 64. Svr[dclab1]. Entries = 6. Svr[dclab2]. Entries = 6. ...(Terminated query to dclab1. <No result present in message>)...(Terminated query to dclab2. <No result present in message>) 450 entries processed (3 msg queued, 0 obj stored, 0 obj deleted)... 500 entries processed (3 msg queued, 0 obj stored, 0 obj deleted)... --> Svr[dclab1] has returned 256 objects... --> Svr[dclab2] has returned 244 objects...
-=>>|*** DSA Diagnostics ***|<<=-
Objects per server:Obj/Svr dclab1 dclab2 Total
builtinDomain 1 1 2classStore 1 1 2computer 3 3 6container 87 87 174dfsConfiguration 1 1 2dnsNode 59 59 118dnsZone 6 6 12domainDNS 1 1 2domainPolicy 1 1 2fileLinkTracking 1 1 2foreignSecurityPrincipal 4 4 8group 32 32 64groupPolicyContainer 3 3 6infrastructureUpdate 1 1 2ipsecFilter 2 2 4ipsecISAKMPPolicy 3 3 6ipsecNFA 8 8 16ipsecNegotiationPolicy 6 6 12ipsecPolicy 3 3 6linkTrackObjectMoveTable 1 1 2linkTrackVolumeTable 1 1 2lostAndFound 1 1 2mSMQConfiguration 1 1 2msDS-QuotaContainer 1 1 2nTFRSMember 2 2 4nTFRSReplicaSet 1 1 2nTFRSSettings 1 1 2nTFRSSubscriber 2 2 4nTFRSSubscriptions 2 2 4organizationalUnit 2 2 4rIDManager 1 1 2rIDSet 2 2 4rpcContainer 1 1 2samServer 1 1 2secret 4 4 8user 15 15 30---Total: 262 262 524 . . . . . . . . . . . . . .
Bytes per object:Object BytesbuiltinDomain 334classStore 322computer 4384container 32694dfsConfiguration 362dnsNode 19328dnsZone 2022domainDNS 3350domainPolicy 370fileLinkTracking 332foreignSecurityPrincipal 1528group 25138groupPolicyContainer 1642infrastructureUpdate 366ipsecFilter 1368ipsecISAKMPPolicy 1614ipsecNFA 4518ipsecNegotiationPolicy 4208ipsecPolicy 2368linkTrackObjectMoveTable 424linkTrackVolumeTable 390lostAndFound 404mSMQConfiguration 2162msDS-QuotaContainer 412nTFRSMember 1224nTFRSReplicaSet 432nTFRSSettings 416nTFRSSubscriber 1456nTFRSSubscriptions 756organizationalUnit 974rIDManager 318rIDSet 564rpcContainer 340samServer 318secret 1624user 8870
. . . . . . . . . . . . . .
Bytes per server:Server Bytesdclab1 63666dclab2 63666
. . . . . . . . . . . . . . Checking for missing replies... No missing replies!INFO: Server sizes are equal. *** Identical Directory Information Trees *** -=>> PASS <<=-closing connections... dclab1; dclab2;
Tareas periódicas a llevar a cabo en un DC
Si nuestro Directorio Activo sufre contínuos cambios en la base de datos del metadirectorio (por ejemplo, adición/eliminación constante de cuentas de usuario, máquinas, políticas, etc) sería muy aconsejable una vez al mes llevar a cabo una defragmentación offline.
Si no es así, no es necesario a cabo nada en este respecto ya que la defragmentación online será suficiente.
Si no hay muchos DC’s o sites configurados, debería bastar una vez al mes realizar un diagnóstico de los DC’s empleando las herramientas de dcdiag, netdiag y replmon como se ha explicado arriba para hacer un chequeo del estado de las réplicas, FSMO’s y Global Catalog.
Comprobar al menos una vez a la semana que el DC con el rol de PDCEmulator encargado de sincronizar la hora lo haga adecuadamente.
Comprobar al menos una vez al mes con la herramienta dsastat que los DC’s entre sí no
tengan diferencias en los objetos replicados.
Comprobar al menos una vez al mes que no hay errores con ID 5774, 5775 y 5781 por el servicio Netlogon en la parte de Sistema. Esos ID pueden suponer que el DC no ha registrado correctamente en el DNS los registros necesarios para anunciarse y actuar como DC. Para ello seguir el procedimiento siguiente.
Repasar al menos una vez al mes que los DC’s están al día en cuanto de parches de seguridad
se refiere.
Si nuestro DC tiene software de antivirus, repasar diariamente que se encuentra actualizado adecuadamente.
NOTA: la periodicidad puede variar en función de muchas circunstancias y situaciones, por lo que se ha especificado es sólo a modo orientativo
Problemas comunes relacionados y tareas que podemos revisar
A continuación se hace una relación de los problemas más comunes que se suelen dar y las posibles soluciones o tareas que podemos llevar a cabo para intentar resolverlos. Cabe recalcar que son los problemas más comunes y las soluciones más comunes, lo cual quiere decir que puede ser que se produzcan por otros motivos diferentes (en cuyo caso podemos hacer uso de las herramientas explicadas para intentar detectar el punto de fallo y obrar en consecuencia, o podemos siempre acudir a los foros de soporte gratuito de MS
http://www.microsoft.com/spanish/msdn/gruposnoticias.asp
http://www.microsoft.com/spain/technet/comunidad/grupos/default.asp ) :
Los clientes Windows 2000 en adelante tardan en validarse mucho tiempo para el inicio de sesión.
La causa más común se deriva de una mala implementación o configuración del DNS, ya sea en el propio servidor o en la estación de trabajo.Hay que repasar que los DC’s en su configuración de TCP/IP tienen los servidores DNS adecuados, y los adecuados son servidores de DNS internos en los cuales el Directorio Activo registra sus registros necesarios para el correcto funcionamiento de éste. Nunca deberá aparecer la IP de un DNS que no tenga este objetivo (por ejemplo, el de un ISP), ya que para eso deben configurarse los reenviadores
Las políticas de grupo no se aplican
La causa más común suele ser también la descrita en el punto anterior. Si no fuera el caso, aunque no sea la temática de este documento (las políticas de grupo o GPO necesitan su propio documento debido a que también dan mucho juego), se dejan a continuación algunos enlaces que pueden ser de ayuda u orientación:
Los DC’s de diferentes Sites, y del mismo dominio dejan de replicar
Lo primero que deberemos verificar es que entre dichos DC’s haya conectividad por el puerto 135 TCP. Para ello podemos usar la herramientaPortquery.Es importante tener en cuenta que los DC’s que lleven más de 60 días sin replicar ya no podrán hacerlo.Si hay conectividad por el puerto 135 TCP, deberemos entonces repasar que hay resolución de nombres por el DNS, la sincronización horaria está correcta y repasar el visor de eventos para más información al respecto y ver si alguna de las herramientas descritas puede ayudar a averiguar más.
Los usuarios no inician sesión
Un usuario necesita acceder a un DC que sea Global Catalog para poder iniciar sesión (a partir de Windows Server 2003 ya no es imperativo; se necesita un DC que tenga habilitada la posibilidad del cacheo de membresía a grupos universales y que el usuario haya hecho logon a través de dicho DC).
También es importante repasar que la sincronización horaria es la adecuada entre la estación cliente y un DC de su dominio.
Los clientes validan o acceden a recursos de servidores de otra subred en lugar de acceder a los de la suya
Deberemos repasar que su subred esté asociada al Site adecuado, y en caso de no ser así, definirlo cuanto antes
Un DC con un FSMO ha caído y no puede volverse a poner en red.
El procedimiento adecuado en estos casos pasa primero por forzar el traspaso del FSMO de dicho DC a otro.Tras ello, es importante eliminar la referencia de dicho DC en la metabase del Directorio Activo, ya que de lo contrario afectará al rendimiento y funcionamiento de nuestro servicio de directorio.Una vez que se haya replicado este cambio, podemos verificar con la herramienta de Replmon que los cambios se han llevado a cabo satisfactoriamente.
Eliminación de metadatos en el AD
Ante la caída de un DC en un dominio dado y si no hay posibilidad ninguna de restaurarlo debido por ejemplo a que el servidor ha sufrido una averigua irrecuperable, o simplemente el contenido de los discos se ha degradado, seguiremos el siguiente procedimiento:
Haga clic en Inicio, seleccione Programas, Accesorios y, a continuación, haga clic en Símbolo del sistema.
En el símbolo del sistema, escriba ntdsutil y, a continuación, presione ENTRAR. Escriba metadata cleanup y, a continuación, presione ENTRAR. Según las opciones dadas, el
administrador puede realizar la eliminación; pero para que ello sea posible se deben especificar parámetros de configuración adicionales.
Escriba connections y presione ENTRAR. Este menú se usa para conectar el servidor específico donde se produzcan los cambios. Si el usuario que ha iniciado sesión no tiene permisos administrativos, se pueden suministrar credenciales diferentes especificando las credenciales que hay que usar antes de realizar la conexión. Para ello, escriba set creds nombre de dominionombre de usuariocontraseña y, a continuación, presione ENTRAR. Para escribir una contraseña nula, escriba null en el parámetro correspondiente a la contraseña.
Escriba connect to server nombre de servidor y, a continuación, presione ENTRAR. Debe recibir la confirmación de que la conexión se ha establecido correctamente. Si se produce un error, compruebe que el controlador de dominio que se usa en la conexión está disponible y que las credenciales que ha suministrado tienen permisos administrativos en el servidor.
NotaSi intenta conectar el mismo servidor que desea eliminar, cuando intente eliminar el servidor al que se hace referencia en el paso 15, puede aparecer un mensaje de error similar al siguiente:
Error 2094. No se puede eliminar el objeto DSA
Escriba quit y, a continuación, presione Entrar. Aparece el menú Metadata Cleanup.
Escriba select operation target y presione ENTRAR. Escriba list domains y presione ENTRAR. Se muestra una lista de dominios en el bosque,
cada uno con un número asociado. Escriba select domain número y, a continuación, presione ENTRAR, donde número es el
número asociado con el dominio del que es miembro el servidor que está quitando. El dominio que seleccione se usa para determinar si el servidor que se está quitando es el último controlador de dominio de ese dominio.
Escriba list sites y presione ENTRAR. Se muestra una lista de sitios, cada uno con un número asociado.
Escriba select site número y, a continuación, presione ENTRAR, donde número es el número asociado con el sitio del que es miembro el servidor que está quitando. Debería recibir una confirmación que enumere el sitio y el dominio que elija.
Escriba list servers in site y presione ENTRAR. Se muestra una lista de los servidores del sitio, cada uno con un número asociado.
Escriba select server número, donde número es el número asociado con el servidor que desea quitar. Aparece una confirmación donde se indica el servidor seleccionado, su nombre de host de Servidor de nombres de dominio (DNS) y la ubicación de la cuenta de equipo del servidor que desea quitar.
Escriba quit y presione ENTRAR. Aparece el menú Metadata Cleanup. Escriba remove selected server y presione ENTRAR. Debe recibir la confirmación de que la
eliminación se ha completado correctamente. Si aparece el mensaje de error siguiente:
Error 8419 (0x20E3)No se encontró el objeto DSA. el objeto de configuración NTDS puede haberse quitado ya de Active Directory porque lo haya quitado otro administrador o como consecuencia de la replicación de la eliminación con éxito del objeto después de ejecutar la utilidad DCPROMO.
NotaTambién puede ver este error cuando intenta enlazar con el controlador de dominio que se va a quitar. Ntdsutil tiene que enlazar con otro controlador de dominio distinto al que se va a quitar con la limpieza de metadatos.
Escriba quit en cada menú para salir de la utilidad Ntdsutil. Debe aparecer la confirmación de que la desconexión se ha completado correctamente.
Quite el registro cname de la zona _msdcs.dominio raíz del bosque en DNS. Suponiendo que el controlador de dominio (DC) se va a reinstalar y se va a volver a promover, se crea un nuevo objeto de configuración NTDS con un nuevo GUID y un registro cname coincidente en DNS. Es mejor que los DC que existan no usen el registro cname antiguo.
Es aconsejable eliminar el nombre de host y otros registros DNS. Si se supera el tiempo de concesión que queda en la dirección de Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol) asignada al servidor sin conexión, otro cliente puede obtener la dirección IP del DC problemático.
Ahora que se ha eliminado el objeto de configuración NTDS, puede eliminar la cuenta de equipo, el objeto miembro FRS, el registro cname (o Alias) del contenedor _msdcs, el registro A (o Host) en DNS, el objeto trustDomain para un dominio secundario eliminado y el controlador de dominio.
Use ADSIEdit para eliminar la cuenta de equipo. Para ello, siga estos pasos:o Inicie ADSIEdit.o Expanda el contenedor Domain NC.o Expanda DC=su dominio, DC=COM, PRI, LOCAL, NET.o Expand OU=Domain Controllers.o Haga clic con el botón secundario del mouse (ratón) en CN=nombre de controlador
de dominio y, después, haga clic enEliminar.
Si aparece el error "No se puede eliminar el objeto DSA" cuando intenta eliminar el objeto, cambie el valor de UserAccountControl. Para cambiar el valor de UserAccountControl, haga clic con el botón secundario del mouse en el controlador de dominio en ADSIEdit y, después, haga clic enProperties. En Select a property to view, seleccione UserAccountControl. Haga clic en Clear, cambie el valor por 4096 y, después, haga clic en Set. Ya puede eliminar el objeto.
Nota
El objeto de suscriptor FRS se elimina cuando se elimina el objeto de equipo porque es un objeto secundario de la cuenta de equipo.
Use ADSIEdit para eliminar el objeto de miembro FRS. Para ello, siga estos pasos:o Inicie ADSIEdit.o Expanda el contenedor Domain NC.o Expanda DC=su dominio, DC=COM, PRI, LOCAL, NET.o Expanda CN=System.o Expanda CN=File Replication Service.o Expanda CN=Domain System Volume (SYSVOL share).o Haga clic con el botón secundario del mouse en el controlador de dominio que está
quitando y, a continuación, haga clic enEliminar. En la consola DNS, use MMC de DNS para eliminar el registro A en DNS. El registro A también
se conoce como registro Host. Para eliminar el registro A, haga clic con el botón secundario del mouse en él y, después, haga clic en Eliminar. Elimine igualmente el registro cname (también conocido como Alias) en el contenedor _msdcs. Para ello, expanda el contenedor _msdcs, haga clic con el botón secundario del mouse en el registro cname y, después, haga clic en Eliminar.
Importante Si éste era un servidor DNS, quite la referencia a este DC debajo de la ficha Servidores de nombres. Para ello, en la consola DNS haga clic en el nombre de dominio en Zonas de búsqueda inversa y, después, quite este servidor de la ficha Servidores de nombres.
Nota Si tiene zonas de búsqueda inversas, quite también el servidor de esas zonas.
Si el equipo eliminado era el último controlador de dominio de un dominio secundario y éste también se eliminó, use ADSIEdit para eliminar el objeto trustDomain del objeto secundario. Para ello, siga estos pasos:
o Inicie ADSIEdit.o Expanda el contenedor Domain NC.o Expanda DC=su dominio, DC=COM, PRI, LOCAL, NET.o Expanda CN=System.o Haga clic con el botón secundario del mouse en el objeto Dominio de confianza y, a
continuación, haga clic en Eliminar. Use Sitios y servicios de Active Directory para quitar el controlador de dominio. Para ello, siga
estos pasos:o Inicie Sitios y servicios de Active Directory.o Expanda Sitioso Expanda el sitio del servidor. El sitio predeterminado es Nombre-predeterminado-
primer-sitio.o Expanda Servidor.o Haga clic con el botón secundario del mouse en el controlador de dominio y, a
continuación, haga clic en Eliminar.
Además, deberemos tener en cuenta lo siguiente:
Si el DC eliminado era un GC, habría que evaluar si algún servidor de aplicaciones que apuntara al GC caído deba configurarse o “re-apuntar” a un GC que esté presente y funcionando.
Si el DC eliminado era un GC, habría que evaluar añadir/promocionar un nuevo GC en el Site, dominio, o bosque.
Si el DC eliminado era responsable de algún FSMO, transferir dicha función a otro DC.
Si el DC eliminado era un servidor de DNS, actualizar la configuración de los clientes DNS en todas las estaciones de trabajo, servidores miembro, u otros DC’s que pudieran hacer uso del servidor caído para la resolución de nombres. Si se requiere, modificar el ámbito de DHCP para reflejar el borrado del servidor DNS caído.
Si el DC eliminado era un servidor de DNS, actualizar la configuración de los Reenviadotes y de las Delegaciones en cualquier otro servidor DNS que pudiera estar apuntando al DC eliminado para la resolución de nombres.
Transferir los FSMO mediante ntdsutil
Ante la caída de un DC en un dominio dado y si no hay posibilidad ninguna de restaurarlo, y después de haber leído el punto anterior , seguiremos el siguiente procedimiento.
En cualquier controlador de dominio, haga clic en Inicio, haga clic en Ejecutar, escriba ntdsutil en el cuadro Abrir y, a continuación, haga clic en Aceptar.
NOTA: Microsoft recomienda que utilice el controlador de dominio que va a asumir las funciones FSMO.
Escriba roles y, a continuación, presione ENTRAR.
NOTA: para ver una lista de los comandos disponibles en cualquiera de los símbolos del sistema de la herramienta Ntdsutil, escriba ? y, a continuación, presione ENTRAR.
Escriba connections y, a continuación, presione ENTRAR. Escriba connect to server nombre del servidor , donde nombre del servidor es el nombre
del servidor que desea utilizar y presione ENTRAR. En el símbolo de server connections:, escriba q y, a continuación, presione ENTRAR de
nuevo. Escriba seize función , donde función es la función que desea asumir. Para ver una lista de
las funciones que puede asumir, escriba ? en el símbolo de Fsmo maintenance: y presione ENTRAR o consulte la lista de funciones que aparece al principio de este artículo. Por ejemplo, para asumir la función Maestro RID escribiría seize maestro rid . La única excepción es la función Emulador PDC, cuya sintaxis sería "seize pdc" y no "seize emulador pdc".
NOTA: las cinco funciones deben estar en el bosque. Si el primer controlador de dominio está fuera del bosque, asuma todas las funciones. Determine qué funciones van a estar en cada uno de los controladores de dominio restantes de forma que las cinco funciones no estén en un único servidor.
Microsoft recomienda que sólo asuma todas las funciones cuando el otro controlador de dominio no vuelve al dominio; de lo contrario, repare con las funciones el controlador de dominio que no funciona.
Si el controlador de dominio original que tiene las funciones FSMO sigue en conexión, transfiera las funciones. Escriba transfer función .
Después de asumir o transferir las funciones, haga clic en q y presione ENTRAR hasta que salga de la herramienta Ntdsutil.
NOTA: no ponga la función Maestro de infraestructuras en el mismo controlador de dominio que el catálogo global. En el caso de nuestro domino, gctiberica.local, esto nos es indiferente, pudiendo estar el GC en el mismo DC que el Maestro de Infraestructuras sin ningún problema.
Para comprobar si un controlador de dominio es un servidor de catálogos globales:
Haga clic en Inicio, seleccione Programas, seleccione Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory .
Haga doble clic en Sitios en el panel izquierdo y vaya hasta el sitio apropiado o haga clic en Nombre-predeterminado-primer-sitio si no hay ningún otro sitio disponible.
Abra la carpeta Servidores y haga clic en el controlador de dominio. En la carpeta del controlador de dominio, haga doble clic en Configuración de NTDS. En el menú Acción, haga clic en Propiedades. En la ficha General, busque la casilla de verificación Catálogo global para ver si está
activada.
www.bujarra.com - Héctor Herrero - [email protected] - v 1.0
Aulas en red, aplicaciones y servicios. WindowsVolver al índice
Perfiles de Usuarios Usuarios y Grupos Creación de Usuarios
Perfiles de Usuarios
Grupos de Usuarios
Actividades
Podemos definir el perfil de un usuario como el entorno cargado por el sistema cuando un usuario inicia una sesión en un equipo. Incluye todos los valores de configuración de usuario específicas del entorno Windows Server 2008, como elementos de programa, conexiones de red, conexiones de impresoras, escritorio, documentos, etc. Dichos perfiles de usuario se crean automáticamente la primera vez que un usuario inicia una sesión en el sistema.
Si en las propiedades del usuario en cuestión se le ha asociado una unidad de red del servidor como ruta de acceso a su perfil, estamos definiendo un perfil denominado perfil móvil, y que se caracteriza porque el perfil de usuario de servidor se descarga desde el servidor en el equipo local cuando un usuario inicia una sesión, y se actualiza tanto localmente como en el servidor cuando el usuario cierra la sesión. Los perfiles de usuarios móviles están disponibles en el servidor cuando se inicie una sesión como usuario del dominio.
Los perfiles móviles, a no ser que se indique lo contrario, almacenarán los cambios en la configuración del perfil indicados por el usuario (este tipo de perfil será el utilizado por los profesores de nuestro centro), tales como los archivos almacenados en Mis Documentos o los iconos existentes en el Escritorio, por ejemplo. Los alumnos de nuestro centro también dispondrán de un perfil móvil, pero que no se actualiza cuando el usuario cierra la sesión, denominado perfil obligatorio, y que se descarga cada vez que el usuario inicia sesión. Los perfiles obligatorios son creados por un administrador y asignados a uno o varios usuarios a fin de crear perfiles de usuario invariables.
Para poder definir perfiles móviles (obligatorios para los alumnos y dinámicos para los profesores), lo primero que hemos de hacer es crear una carpeta compartida donde almacenemos la totalidad de los perfiles de los usuarios del centro. Para ello crearemos en la unidad E: de nuestro servidor Windows Server 2008 una carpeta de nombre Perfiles, y posteriormente pulsaremos sobre ella con el botón derecho del ratón y seleccionaremos la opción Propiedades en el desplegable correspondiente, ubicándonos sobre la pestaña Compartir tal y como vemos en la imagen inferior, y una vez en dicha pestaña pulsaremos sobre el botón Uso compartido avanzado.
En la nueva ventana mostrada activaremos en este instante la casilla Compartir esta carpeta, y en la caja de texto Nombre del recurso compartido indicamos el nombre Perfiles$; tras ello pulsaremos sobre el botónPermisos.
El Símbolo "$" tras el nombre de una carpeta compartida, configura dicha carpeta para que no sea mostrada a los usuarios cuando éstos intentan obtener la lista de carpetas compartidas del "SERVIDOR"Windows Server 2008.
En la nueva ventana mostrada como resultado de la acción anterior, asignaremos al grupo Todos los permisosControl Total, Cambiar y Leer, tal y como vemos en la imagen inferior, tras lo cual completaremos el proceso pulsando sobre el botón Aceptar.
El grupo Todos debe disponer de todos los permisos para que cada usuario pueda grabar su perfil en su carpeta; esto permitiría, potencialmente hablando, que cualquier usuario podría grabar lo que quisiera en la raíz de la carpeta Perfiles si sabe de su existencia, de ahí el hecho de incluir el símbolo "$" en el nombre asignado al recurso para que no sea visible por los usuarios; esta situación no genera un grave problema de seguridad, pues nunca ningún usuario podrá acceder a visualizar el contenido de otra carpeta de perfiles que no sea la suya propia.
De vuelta a la ventana anterior pulsaremos sobre el botón Aceptar, y luego sobre Cerrar para proceder a cerrar la ventana de Propiedades de la carpeta Perfiles.
Una vez creada la carpeta donde ubicaremos la carpeta de perfiles de los usuarios, vamos a proceder a crear un perfil obligatorio que será asociado a los alumnos de nuestro centro.
Para crear un perfil obligatorio, lo primero que hemos de tener en cuenta es que no debemos tener asignada ninguna ruta de acceso al perfil en los usuarios a los que
vamos a asociarles el perfil obligatorio (los usuarios alumnos de E.S.O.); si sobre pulsamos con el botón derecho del ratón sobre alguno de dichos usuarios, y seleccionamos la opción Propiedades, al situarnos sobre la pestaña Perfil comprobaremos que la caja de texto Ruta de acceso al perfil está vacía, tal y como se ve en la imagen inferior con el usuario "1ESOA01".
Una vez comprobado que no existe asociada ruta de acceso al perfil alguna para el usuario en cuestión, deberemos tener presente llegado este punto, si vamos a crear un perfil obligatorio que deba aplicarse enWindows XP Professional (o Windows 2000 Professional, pues el perfil sería común), o bien en Windows 7 (oWindows Vista, pues el perfil sería común) pues en función del operativo del que partamos para crear el perfil correspondiente, los pasos a llevar a cabo varían ligeramente.
Vamos en primer lugar a analizar como se llevaría a cabo la creación de un perfil obligatorio para Windows XP Professional (el cual insistimos también será válido para Windows 2000 Professional).
En primer lugar iniciaremos sesión en una estación de trabajo del dominio Windows XP Professional con la cuenta del dominio del usuario para el cual deseamos crear el perfil obligatorio (por ejemplo, iniciando sesión con el usuario 1ESOA01 en el dominio MICENTRO).
Tras validarnos correctamente en el sistema, procederemos a modificar en dicha sesión el entorno de trabajo, de modo que personalicemos el perfil que deseamos le sea mostrado a nuestros alumnos de E.S.O.; una vez que hayamos completado la totalidad de los cambios deseados, cerraremos la sesión de trabajo del usuario en cuestión (recordemos, 1ESOA01 en este caso), procediendo a autenticarnos en la misma máquina como un administrador del dominio (no el administrador de la máquina local), tal y como vemos en la imagen inferior.
Una vez autenticados con las credenciales del Administrador del dominio, iremos a Inicio → Panel de control→ Rendimiento y mantenimiento → Sistema, y una vez allí nos situaremos en la pestaña Opciones Avanzadas, para pulsar a continuación sobre el botón Configuración del apartado Perfiles de Usuario.
En la nueva ventana mostrada, seleccionamos el perfil MICENTRO\1ESOA01, tal y como vemos en la siguiente imagen.
El siguiente paso consistirá en pulsar sobre el botón Copiar a en la ventana de la imagen anterior, indicando como ruta de destino \\SERVIDOR\Perfiles$\alumno.man en la caja de texto correspondiente, tal y como vemos en la imagen inferior.
Hemos especificado alumno.man como nombre para el perfil móvil obligatorio en vez de1ESOA01.man, debido a que dicho perfil será utilizado por todos los alumnos de E.S.O., por lo cual hemos optado por darle un nombre descriptivo más general.
Además en dicha ventana pulsaremos sobre el botón Cambiar para especificar que el perfil puede ser utilizado por el usuario Todos, tecleando dicho usuario en la caja de texto destinada a tal defecto mostrada como resultado de dicha acción, tal y como vemos en la siguiente ventana. Finalmente pulsaremos en la ventana de la imagen inferior sobre el botón Aceptar.
De vuelta a la ventana anterior, ya aparecerán especificados los usuarios a los que les estará permitido usar dicho perfil, momento en el que pulsaremos sobre el botón Aceptar en dicha ventana para concluir con la copia del perfil al servidor.
Una vez completado el proceso anterior, ya podemos cerrar sesión en la estación de trabajo donde hemos realizado el proceso descrito.
En este instante en la carpeta E:\Perfiles del equipo "SERVIDOR" dispondremos de una carpeta de nombrealumno.man que contiene el perfil obligatorio que asociaremos a todos los usuarios alumnos de E.S.O. de nuestro centro.
El siguiente paso consiste en acceder al servidor Windows Server 2008, y una vez en él, situarnos sobre la carpeta E:\Perfiles\alumno.man, pulsando en ella con el botón derecho del ratón y seleccionando la opciónPropiedades en el desplegable correspondiente. Como resutado de dicha acción se nos mostrará la siguiente ventana, en la que nos ubicaremos sobre la pestaña Seguridad, y tras ello nos situaremos sobre el grupoTodos para pulsar posteriormente sobre el botón Editar a fin poder modificar los permisos asociados a dicho grupo.
En la nueva ventana mostrada, dejaremos asociados a dicho grupo únicamente los permisos de Lectura y ejecución, Mostrar el contenido de la carpeta y Lectura, tal y como vemos en la siguiente imagen, y tras ello pulsaremos sobre el botón Aceptar.
Al realizar la operación anterior evitamos que un usuario pueda realizar una conexión de red y eliminar el contenido del perfil obligatorio, con el consiguiente perjuicio para el resto de usuarios que hagan uso de ese perfil, pues los usuarios tan sólo podrán leer del mismo, pero no borrar ni grabar nada en él.
Una vez completada la acción anterior, debemos pulsar sobre el botón Opciones Avanzadas y ubicarnos sobre el grupo Todos, haciendo doble clic sobre el mismo, confirmando en la ventana mostrada que se encuentran activadas las siguientes casillas: Recorrer carpeta/Ejecutar archivo, Mostrar carpeta/Leer datos, Leer atributos, Leer atributos extendidos y Permisos de lectura, tal y como vemos en la imagen inferior.
Estos cambios se propagan automáticamente a las subcarpetas que cuelgan de alumno.man, de modo que los usuarios a los que se les asigne el perfil obligatorio, podrán acceder a leer de él, pero nunca podrán modificar nada, ni siquiera accediendo por medio de una conexión de red al perfil obligatorio.
Iremos cerrando todas las ventanas que tuviéramos abiertas pulsando sobre sus respectivos botones Aceptar.
Además, para forzar a que el perfil de los usuarios sea obligatorio, tenemos que acceder a la carpetaE:\Perfiles\alumno.man y renombrar el fichero oculto NTUSER.DAT a NTUSER.MAN.
Para llevar a cabo el proceso descrito en el párrafo anterior, en primer lugar debemos permitir la visualización de los ficheros ocultos, lo cual conseguiremos situándonos sobre la carpeta alumno.man, y a continuación seleccionando la opción Opciones de carpeta del menú Herramientas. Como resultado de dicha acción pasará a mostrarse la siguiente ventana en la que nos situaremos sobre la pestaña Ver, momento en el cual procedemos a activar el radio botón Mostrar todos los archivos y carpetas ocultos, tal y como vemos en la imagen inferior, para pulsar posteriormente en dicha ventana sobre el botón Aceptar.
A continuación abriremos la carpeta alumno.man, pasando a visualizarse el fichero ntuser.dat, que anteriormente no se mostraba en la carpeta alumno.man; según lo indicado anteriormente procedemos a cambiarle su extensión, de modo que su nuevo nombre sea ntuser.man, momento en el cual se nos muestra la siguiente ventana que nos informa de que el cambio en la extensión del fichero puede provocar que quede inutilizable, pese a lo cual pulsaremos sobre el botón Sí para confirmar el cambio realizado.
En este instante podemos comprobar como el fichero ntuser.dat ha sido renombrado a ntuser.man.
Hemos visto anteriormente como llevar a cabo la creación de un perfil obligatorio para Windows XP Professional(el cual también será válido para Windows 2000 Professional), pero dicho perfil no será válido cuando el usuario en cuestión se valide en el dominio en un equipo que tenga instalado Windows 7 (o Windows Vista).
El proceso de creación de una carpeta de perfil para un usuario obligatorio en Windows 7 (el cual insistimos también será válido para Windows Vista) es prácticamente similar al proceso realizado para un equipo con sistema operativo Windows XP Professional, salvo que el nombre de la carpeta donde almacenemos el perfil deberá completarse con la cadena de texto ".V2"; de este modo habría en la carpeta donde se almacenan los perfiles dos carpetas de perfiles obligatorios para nuestros alumnos, una de ellas, la que acabamos de crear con el nombre alumno.man, y otra que crearemos a continuación de nombre alumno.man.V2"; cuando el alumno se validara en el dominio desde un equipo cliente Windows XP Professional (o Windows 2000 Professional) se aplicaría el perfil existente en alumno.man; por contra si el alumno se valida en el dominio desde un equipo cliente Windows 7 (o Windows Vista) se aplicaría el perfil existente en alumno.man.V2.
Así pues a continuación vamos a proceder a crear un perfil obligatorio de Windows 7 (válido también paraWindows Vista) para nuestros alumnos.
Para ello, en primer lugar iniciaremos sesión en una estación de trabajo del dominio Windows 7 con la cuenta del dominio del usuario para el cual deseamos crear el perfil obligatorio (por ejemplo, iniciando sesión con el usuario 1ESOA01 en el dominio MICENTRO).
Tras validarnos correctamente en el sistema, procederemos a modificar en dicha sesión el entorno de trabajo, de modo que personalicemos el perfil que deseamos le sea mostrado a nuestros alumnos de E.S.O.; una vez que hayamos completado la totalidad de los cambios deseados, cerraremos la sesión de trabajo del usuario en cuestión (recordemos, 1ESOA01 en este caso), procediendo a autenticarnos en la misma máquina como un administrador del dominio (no el administrador de la máquina local), tal y como vemos en la imagen inferior.
Una vez autenticados con las credenciales del Administrador del dominio, iremos a Inicio → Panel de Control→ Sistema y Seguridad → Sistema; una vez allí pulsaremos sobre el enlace Configuración avanzada del sistema mostrado en la zona superior izquierda de la ventana correspondiente.
En la ventana mostrada como resultado de la acción anterior, nos situaremos en la pestaña Opciones avanzadas, para pulsar finalmente sobre el botón Configuración del apartado Perfiles de Usuario, pasando a ser mostrada la siguiente ventana de Perfiles de usuario, en la que seleccionaremos el perfilMICENTRO\1ESOA01, tal y como vemos en la siguiente imagen.
En este instante se nos presenta un problema, pues en Windows 7 (esto NO ocurre en Windows Vista) el botónCopiar a sólo se activa para el Perfil predeterminado, o lo que es lo mismo, no se encuentra activo para el perfil del usuario 1ESOA01, tal y como vemos en la imagen superior.
Podemos solucionar este problema utilizando la herramienta Enabler, que nos permitirá activar aquellos botones que hayan sido desactivados por el sistema (el botón Copiar a de Windows 7 en este caso).
En el momento de elaborar esta documentación podía ser descargada la herramienta Enabler desde la dirección https://www.evilfingers.com/tools/enabler.php.
Así pues descargaremos dicha herramienta de la dirección especificada, y tras ello descomprimiremos el ficheroenabler.zip, obteniendo el fichero enabler.exe, que copiaremos al Escritorio del equipo Windows 7 donde queremos activar el botón Copiar a.
Una vez copiado el fichero enabler.exe al Escritorio del equipo Windows 7, y con la ventana donde se muestra desactivado el botón Copiar a, ejecutaremos el fichero enabler.exe haciendo doble clic sobre el mismo, pasando ser mostrada la siguiente ventana, en la que pulsaremos sobre el botón Enable.
Como resultado de la acción anterior pasará a ser mostrada la siguiente ventana, en la que pulsaremos sobre el botón Aceptar, mostrándose ya activo el botón Copiar a en la ventana Perfiles de usuario.
Tras confirmar que el botón Copiar a se encuentra activo para el perfil del usuario 1ESOA01, eliminaremos el fichero enabler.exe del Escritorio del equipo Windows 7.
Ahora que ya tendremos disponible el botón Copiar a para el perfil del usuario 1ESOA01, situados sobre dicho perfil de usuario, procederemos a pulsar sobre el botón Copiar a, pasando a ser mostrada como resultado de dicha acción la siguiente ventana, en la que indicaremos como ruta de destino\\SERVIDOR\Perfiles$\alumno.man.V2, tal y como vemos en la imagen inferior.
Además en dicha ventana pulsaremos sobre el botón Cambiar para especificar en la ventana correspondiente que el perfil puede ser utilizado por el usuario Todos, tecleando dicho usuario en la caja de texto destinada a tal efecto, tal y como vemos en la imagen inferior, tras lo cual pulsaremos en dicha ventana sobre el botónAceptar.
De vuelta de la ventana anterior ya aparecerán especificados los usuarios a los que les estará permitido usar dicho perfil, tal y como vemos en la siguiente imagen, momento en el que pulsaremos sobre el botón Aceptar.
Una vez completado el proceso anterior, ya podemos cerrar sesión en la estación de trabajo donde hemos realizado el proceso descrito.
En este instante en la carpeta E:\Perfiles del equipo "SERVIDOR" dispondremos de dos carpetas, una de nombre alumno.man que contiene el perfil obligatorio para Windows XP Professional (y Windows 2000 Professional), y otra de nombre alumno.man.V2 que contiene el perfil obligatorio para Windows 7 (y Windows Vista).
El siguiente paso consiste en acceder al servidor Windows Server 2008, y una vez en él, situarnos sobre la carpeta E:\Perfiles\alumno.man.V2, pulsando en ella con el botón derecho del ratón y seleccionando la opciónPropiedades en el desplegable correspondiente. Como resultado de dicha acción se nos mostrará la siguiente ventana, en la que nos ubicaremos sobre la pestaña Seguridad, y tras ello nos situaremos sobre el grupoTodos para pulsar posteriormente sobre el botón Editar a fin poder modificar los permisos asociados a dicho grupo.
En la nueva ventana mostrada, dejaremos asociados a dicho grupo únicamente los permisos de Lectura y ejecución, Mostrar el contenido de la carpeta y Lectura, tal y como vemos en la siguiente imagen, y tras ello pulsaremos sobre el botón Aceptar.
Al realizar la operación anterior evitamos que un usuario pueda realizar una conexión de red y eliminar el contenido del perfil obligatorio, con el consiguiente perjuicio para el resto de usuarios que hagan uso de ese perfil, pues los usuarios tan sólo podrán leer del mismo, pero no borrar ni grabar nada en él.
Una vez completada la acción anterior, debemos pulsar sobre el botón Opciones Avanzadas y ubicarnos sobre el grupo Todos, haciendo doble clic sobre el mismo, confirmando en la ventana mostrada que se encuentran activadas las siguientes casillas: Recorrer carpeta/Ejecutar archivo, Mostrar carpeta/Leer datos, Leer atributos, Leer atributos extendidos y Permisos de lectura, tal y como vemos en la imagen inferior.
Estos cambios se propagan automáticamente a las subcarpetas que cuelgan de alumno.man, de modo que los usuarios a los que se les asigne el perfil obligatorio, podrán acceder a leer de él, pero nunca podrán modificar nada, ni siquiera accediendo por medio de una conexión de red al perfil obligatorio.
Iremos cerrando todas las ventanas que tuviéramos abiertas pulsando sobre sus respectivos botones Aceptar.
Además, para forzar a que el perfil de los usuarios sea obligatorio, tenemos que acceder a la carpetaE:\Perfiles\alumno.man.V2 y renombrar el fichero oculto NTUSER.DAT a NTUSER.MAN.
Para llevar a cabo el proceso descrito en el párrafo anterior, en primer lugar debemos permitir la visualización de los ficheros ocultos, lo cual conseguiremos situándonos sobre la carpeta alumno.man.V2, y a continuación seleccionando la opción Opciones de carpeta del menú Herramientas. Como resultado de dicha acción pasará a mostrarse la siguiente ventana en la que nos situaremos sobre la pestaña Ver, momento en el cual procedemos desmarcar la casilla Ocultar archivos protegidos del sistema operativo (recomendado).
Nada más desactivar la casilla indicada en el párrafo anterior, se nos presentará la siguiente ventana, que nos indica que no es una buena práctica mostrar los archivos protegidos del sistema operativo, pese a lo que pulsaremos en ella sobre el botón Sí para confirmar que deseamos realizar dicha operación.
De vuelta a la ventana Opciones de carpeta pulsaremos sobre el botón Aceptar, momento a partir del que podremos visualizar el fichero ntuser.dat ubicado dentro de la carpeta E:\Perfiles\alumno.man.V2.
Así pues abriremos la carpeta alumno.man, pasando a visualizarse el fichero ntuser.dat, que anteriormente no se mostraba en la carpeta alumno.man; según lo indicado anteriormente procedemos a cambiarle la extensión a dicho fichero, de modo que su nuevo nombre sea ntuser.man, momento en el cual se nos mostrará la siguiente ventana que nos informa de que el cambio en la extensión del fichero puede provocar que quede inutilizable, pese a lo cual pulsaremos en ella sobre el botón Sí para confirmar el cambio realizado.
Una vez el sistema nos pide confirmación para realizar el cambio de extensión, dada la importancia que tiene el cambio de extensión de un fichero .DAT, y de nuevo daremos el consentimiento al cambio de extensión pulsando en la ventana de la imagen inferior sobre el botón Sí.
Una vez efectuado el cambio de extensión del fichero correspondiente, podremos comprobar como el ficherontuser.dat ha sido renombrado a ntuser.man, tal y como vemos en la imagen inferior.
Llegados a este punto ya tenemos definida la carpeta raíz de la que colgarán los perfiles de los usuarios de nuestro dominio, y también hemos creado colgando de dicha carpeta, el perfil móvil obligatorio para nuestros alumnos; así pues el siguiente paso es asociar a los usuarios alumnos de E.S.O. creados anteriormente, la ruta correspondiente de acceso a su perfil.
Para ello en el equipo "SERVIDOR" Windows Server 2008 lanzaremos Usuarios y equipos de Active Directory, y nos ubicaremos en primer lugar sobre el usuario 1ESOA01 que se encuentra ubicado en la carpetaUsers, pulsando sobre el mismo con el botón derecho del ratón para seleccionar la opción Propiedades en el desplegable correspondiente. Como resultado de dicha acción pasará a ser mostrada la ventana siguiente en la cual nos situaremos sobre la pestaña Perfil, para una vez allí especificar como Ruta de acceso al perfil la ruta \\SERVIDOR\Perfiles$\alumno.man, tal y como vemos en la imagen inferior, tras lo cual pulsaremos en dicha ventana sobre el botón Aceptar.
Realizaremos un proceso similar al anterior para asociar la misma ruta de perfil de usuario (\\SERVIDOR\Perfiles$\alumno.man) al resto de alumnos de E.S.O., es decir, a los usuarios "1ESOA02", "3ESOD07" y "3ESOC14".
Hemos de indicar que pese a que la carpeta de perfil de usuario obligatorio para Windows XP sea alumno.many la de Windows 7 sea alumno.man.V2, cuando configuramos la ruta de acceso al perfil de un usuario obligatorio ("1ESOA01" en nuestro caso), la ruta de acceso a la carpeta del perfil sólo debe indicar la extensión .MAN, no la extensión .V2, porque con independencia de que el usuario se valide en el sistema desde un equipo con Windows XP Professional o con Windows 7, buscará el nombre de carpeta que le corresponda, esto es, si se valida desde un equipo con Windows XP Professional (o Windows 2000 Professional) buscará la carpeta en la ruta especificada (\\SERVIDOR\Perfiles$\alumno.man), y si se validara desde Windows 7 (o Windows Vista), añadirá automáticamente la cadena .V2 a la ruta especificada (\\SERVIDOR\Perfiles$\alumno.man.V2) y buscará el perfil en dicha ruta.
Así pues nunca debemos especificar como ruta de acceso al perfil \\SERVIDOR\Perfiles$\alumno.man.V2, aunque tengamos garantía de que el usuario siempre se va a validar desde un equipo con Windows 7, pues no encontraría su perfil y daría un error en el acceso al sistema.
Una vez que hemos creado el perfil obligatorio para nuestros alumnos, si deseamos modificar algún aspecto del mismo, como por ejemplo incluir un fichero en la ventana
inicio o un nuevo acceso directo en el Escritorio, no necesitamos realizar todo el laborioso proceso descrito anteriormente, sino que podemos hacerlo directamente sobre la carpeta del perfil alumno.man (o alumno.man.V2) del servidor, copiando dicho fichero o acceso directo en la carpeta deseada de dicho perfil.
Por ejemplo podríamos incluir un acceso directo a una aplicación incluyendo dicho acceso directo en la carpeta Escritorio del perfil del alumno.
Para el resto de usuarios del dominio, los profesores en nuestro caso, especificaremos como ruta de acceso al perfil la ruta \\SERVIDOR\Perfiles$\%username%, tal y como vemos en la imagen inferior para el usuario "Javier", y posteriormente pulsaremos sobre el botón Aceptar.
La variable %username% está asociada al nombre del usuario sobre el que estemos trabajando, de modo que al usuario correspondiente se le asociará automáticamente una carpeta de perfil con su nombre en la ruta E:\Perfiles en el "SERVIDOR".
Al igual que para los perfiles obligatorios, los perfiles móviles de nuestros profesores "Javier", "Joaquin" y "Miguel", se comportan de igual modo cuando se validan en un equipo cliente Windows XP Professional que cuando lo hacen en un equipo Windows 7, creando de modo automático las carpetas oportunas para los perfiles a asociar en cada sistema operativo.
Por ejemplo cuando el usuario "Javier" inicie por primera vez sesión desde cualquier equipo Windows XP Professional del dominio, se creará automáticamente una carpeta de nombre Javier colgando de la carpetaE:\Perfiles del "SERVIDOR" donde se almacenan los perfiles; a partir de ese momento cualquier otra autenticación de dicho usuario en cualquier equipo Windows XP Professional del dominio, provocará el acceso a dicha carpeta del equipo "SERVIDOR" para servir al usuario "Javier" su perfil personalizado (brindándole total movilidad a dicho usuario, pues su perfil siempre será el esperado). Si el usuario "Javier" posteriormente iniciara sesión en un equipo Windows 7 del dominio, se crearía para él una nueva carpeta de nombre Javier.V2colgando de la carpeta E:\Perfiles del "SERVIDOR", que será la carpeta que se utilizará para almacenar el perfil de dicho usuario cada vez que éste inicie una sesión de trabajo desde Windows 7.
Finalmente indicar, que aunque un profesor pudiera llegar a establecer una conexión a su perfil y eliminarlo (al suyo, y sólo al suyo, al resto no podría), en la siguiente autenticación en el equipo cliente correspondiente se recrearía de nuevo la carpeta con su perfil en el servidor, perdiendo obviamente por dicho borrado todas los documentos, personalizaciones, etc. que hubiera almacenado en dicho perfil
El almacenamiento del perfil de los usuarios en el "SERVIDOR" genera dos problemas.
El primero de ellos sólo afecta a los profesores, cuyo perfil (recordemos, móvil, pero no obligatorio) puede llegar a crecer hasta límites que hacen que su descarga por red se haga lentísima; pensemos por ejemplo en un vídeo de 1 Gb. de tamaño que un usuario coloca en su carpeta Mis Documentos, cuando el usuario cierra sesión se almacena su perfil en el equipo "SERVIDOR", incluyendo dicho fichero de 1 Gb., con el consiguiente retardo en el almacenamiento del mismo en dicho equipo; de igual modo, cuando dicho usuario se conecta con posterioridad de nuevo al dominio, el fichero en cuestión deberá ser descargado por red como parte de su perfil, con el consiguiente retardo que hace el usuario perciba una sensación de lentitud en el tráfico de la red, motivada realmente por el elevado tamaño de su perfil. Este problema no afecta a los alumnos, pues su perfil, con independencia de que haya sido modificado por el usuario en su sesión de trabajo, no almacena los cambios realizados en el equipo "SERVIDOR", pues recordemos que su perfil es un perfil obligatorio, pero el hecho de ser obligatorio provoca otro problema consistente en que los documentos que un alumno genere en su sesión de trabajo, si los guarda en su carpeta Mis Documentos, no se almacenarán en el servidor central, con lo cual la próxima vez que el usuario alumno inicie sesión NO podrá disponer de los mismos.
El segundo problema al que aludimos anteriormente es el hecho de que nuestros usuarios (alumnos o profesores) pueden iniciar sesión desde equipos con diferentes sistemas operativos, concretamente Windows 2000 Professional, Windows XP Professional, Windows Vista y Windows 7, de modo que el perfil que el sistema utiliza para los dos primeros es común, pero diferente para los dos últimos (recordemos que enWindows Vista y Windows 7 se utiliza un perfil con un nombre que finaliza en ".V2"); por dicho motivo los documentos que un usuario haya almacenado en Mis Documentos cuando haya iniciado sesión en un equipoWindows 2000 Professional o Windows XP Professional, no estarán accesibles en el perfil del usuario cuando este inicie sesión desde una estación de trabajo que tenga instalado Windows Vista o Windows 7 (y viceversa).
Por los motivos aludidos anteriormente vamos a utilizar la redirección de carpetas para poder solventar los dos problemas aludidos anteriormente.
La redirección de carpetas sitúa las carpetas deseadas del perfil del usuario en una ubicación de red concreta, en vez de incluirlas en el propio perfil del usuario; en nuestro caso redireccionaremos la carpeta Documentos (oMis Documentos en Windows XP Professional y Windows 2000 Professional) a una unidad de red concreta, de modo que los documentos allí contenidos no se descarguen y almacenen con la bajada y subida del perfil al servidor (solventando así el primer problema de tamaño del perfil de los profesores y el del bloqueo de la carpetaMis Documentos del perfil obligatorio del alumno), y además estén accesibles desde los dos perfiles de red que pueden tener los usuarios (pues la ubicación de la carpeta de documentos en ambos perfiles será la misma), solucionando el segundo de los problemas planteados.
Para poder abordar el proceso antes descrito relativo a la redirección de carpetas, en primer lugar crearemos colgando de la raíz de la unidad E: de nuestro equipo "SERVIDOR" una carpeta de nombre Red donde almacenaremos las carpetas de documentos de nuestros usuarios.
Tras ello pulsaremos sobre la carpeta Red con el botón derecho del ratón y seleccionaremos la opciónPropiedades en el desplegable correspondiente, pasando a ser mostrada la siguiente ventana, en la que nos ubicaremos sobre la
pestaña Compartir, para a continuación pulsar en ella sobre el botón Uso compartido avanzado.
En la nueva ventana mostrada activaremos en este instante la casilla Compartir esta carpeta, y en la caja de texto "Nombre del recurso compartido" indicamos el nombre Red$, tal y como vemos en la ventana de la imagen inferior, tras lo cual pulsaremos en ella sobre el botón Permisos.
El Símbolo "$" tras el nombre de una carpeta compartida, hace que dicha carpeta se oculte a los usuarios cuando éstos intentan obtener la lista de carpetas compartidas del servidor Windows Server 2008.
En la nueva ventana mostrada como resultado de la acción anterior, asignaremos al grupo Todos los permisosControl Total, Cambiar y Leer, tal y como vemos en la imagen inferior, tras lo cual completaremos el proceso pulsando en dicha ventana sobre el botón Aceptar.
El grupo Todos debe disponer de todos los permisos para que cada usuario pueda grabar sus documentos en su carpeta; esto permitiría, potencialmente hablando, que cualquier usuario podría grabar lo que quisiera en la raíz de la carpeta Red si sabe de su existencia, de ahí el hecho de incluir el "$" en el nombre asignado al recurso para que no sea visible por los usuarios; esta situación no genera un grave problema de seguridad, pues nunca ningún usuario podrá acceder a visualizar el contenido de otra carpeta de documentos que no sea la suya propia.
De vuelta a la ventana anterior pulsaremos sobre el botón Aceptar, y posteriormente sobre Cerrar en la ventana mostrada en la imagen inferior, para proceder a cerrar la ventana de Propiedades de la carpeta Red.
Una vez que hemos creado mediante la carpeta compartida Red la infraestructura necesaria para ubicar los documentos de nuestros usuarios del dominio, el siguiente paso para lograr dicho objetivo consiste en definir una directiva de grupo que cree de modo automático bajo la carpeta Red una carpeta donde almacenar los documentos de cada usuario, con independencia del sistema operativo que utilice. Para ello lanzamos laAdministración de directivas de grupo de las Herramientas administrativas, pasando a mostrarse la ventana de la imagen inferior, en la cual nos situamos sobre la directiva Default Domain Policy del dominio "micentro.edu", dentro del bosque del mismo nombre, y una vez ubicados sobre ella, haremos clic con el botón derecho del ratón para elegir la opción Editar en el desplegable correspondiente.
Las directivas de grupo son configuraciones de usuario o de equipo realizadas en el servidor Windows Server 2008 que serán aplicadas y asumidas de modo automático por usuarios o equipos clientes del dominio, permitiendo por tanto realizar desde el servidor configuraciones globales que serán aplicadas en múltiples equipos o usuarios del domino. Hacemos referencia a ellas en este apartado por afrontar en el mismo la redirección de carpetas, pero esto no es más que un breve anticipo de un próximo capítulo en el cual profundizaremos ampliamente en el estudio y conocimiento de la directivas de grupo.
Como resultado de la acción anterior pasa a ser mostrado el editor de administración de directivas de grupo; en nuestro caso nos situaremos sobre la directiva Configuración de usuario → Directivas → Configuración de Windows → Redirección de carpetas → Documentos, tal y como vemos en la imagen inferior, pulsando posteriormente sobre la misma con el botón derecho del ratón para elegir en el desplegable mostrado la opciónPropiedades.
Podemos observar la existencia de múltiples carpetas que se pueden redireccionar, si bien en nuestro caso tan sólo vamos a redireccionar la carpeta Documentos.
Tras completar la operación anterior, pasará a ser mostrada la siguiente ventana donde deberemos indicar las opciones de redirección deseadas. En nuestro caso en el desplegable Configuración seleccionaremos la opción Básico: redirigir la carpeta de todos a la misma dirección, en el desplegable "Ubicación de la carpeta de destino" seleccionaremos la opción Crear una carpeta para cada usuario en la ruta raíz, y finalmente en la caja de texto "Ruta de acceso raíz" teclearemos la cadena de texto \\SERVIDOR\Red$, tal y como vemos en la imagen inferior.
Podemos observar al final de dicha ventana anterior, como la ruta final de acceso a la carpeta redirigida será \\SERVIDOR\Red$\Usuario\Mis Documentos, de modo que dicha carpeta de documentos sólo será accesible exclusivamente por el usuario propietario de la misma. Por ejemplo para el usuario "Javier" se creará una carpeta Javier colgando de \\SERVIDOR\Red$, y además se creará otra carpeta de nombre Mis Documentos colgando de la carpeta Javier que será donde finalmente se almacenen los documentos de dicho usuario.
A continuación y sobre la misma ventana nos situaremos sobre la pestaña Configuración, en la cual hemos de activar la casilla Aplicar también la directiva de redirección en los sistemas operativos Windows 2000, Windows 2000 Server, Windows XP y Windows 2003, además de dejar activas las dos casillas anteriores, tal y como se muestra en la imagen inferior; completaremos esta operación pulsando en dicha ventana sobre el botón Aceptar.
Activaremos la casilla indicada anteriormente por razones obvias, pues además de equipos clientes que dispondrán de Windows 7 o Windows Vista instalado, también habrá clientes con Windows XP Professionaly Windows 2000 Professional.
Como resultado de la acción anterior se nos informará de que la redirección de carpetas en los operativos indicados también se deberá aplicar a las carpetas de imágenes, vídeo y música; aceptaremos dicha advertencia pulsando en la ventana de la imagen inferior sobre el botón Sí.
Tras ello podremos cerrar la ventana del Editor de administración de directivas de grupo, y el resto de ventanas que tuviéramos abiertas.
Una vez llegados a este punto ya hemos conseguido configurar la redirección de la carpetas Mis documentosde todos los usuarios del dominio, incluidos los alumnos.
Así por ejemplo si el usuario "Javier" se validara en este instante en el sistema desde un equipo cliente del dominio (da igual que sea un equipo Windows 2000 Professional, Windows XP Professional, Windows Vista oWindows 7), se crearía en la carpeta E:\Red del equipo "SERVIDOR" Windows Server 2008 una carpeta de nombre Javier y colgando de ella otra de nombre Mis Documentos, tal y como vemos en la imagen inferior.
Si en el equipo cliente en el cual se ha validado "Javier" situamos un documento en la carpeta Mis Documentos, realmente dicho documento se ubicará en la unidad de red creada anteriormente para dicho usuario, de modo que si posteriormente nos conectamos con dicho usuario desde otro equipo cliente del dominio, incluso con distinto sistema operativo, y accedemos desde dicho equipo a la carpeta Mis Documentos de dicho usuario, comprobaremos que el documento almacenado anteriormente está plenamente accesible, al encontrarse situado en una ubicación de red.
Si deseamos comprobar que la carpeta Mis documentos del usuario que ha iniciado sesión en el dominio está redirigida a la carpeta Red del servidor, si nos situamos sobre
la misma y visualizamos sus Propiedades, en la pestaña Destino comprobaremos que la ruta donde está situada dicha carpeta es \\SERVIDOR\Red$\<Usuario>\Mis documentos, es decir, para el usuario "Javier" dicha ruta será \\SERVIDOR\Red$\Javier\Mis documentos, tal y como vemos en la imagen inferior.
Además de la carpeta Mis Documentos, puede ser interesante redireccionar otras carpetas, tales como Favoritos o Escritorio, por ejemplo, si bien la carpeta más crítica en relación con la redirección de carpetas, es la correspondiente a la carpeta de documentos, tratada anteriormente.
Finalmente, y para completar este apartado relacionado con los perfiles de usuario, analizaremos el proceso que deberemos seguir si deseamos configurar un control en la autenticación de los usuarios del dominio en determinados equipos, limitando el acceso a determinados equipos a ciertos usuarios.
Supongamos por ejemplo que no queremos que los usuarios alumnos de E.S.O. puedan iniciar sesión en los equipos de la Sala de Profesores o bien que sólo puedan iniciar sesión a determinadas horas, para evitar que alumnos del grupo vespertino accedan al equipamiento informático en horario diurno y viceversa; podemos pues limitar las máquinas concretas donde un usuario puede autenticarse en el dominio, y limitar también el acceso a las máquinas en los días y franjas horarias deseadas.
Para imposibilitar la validación de los alumnos del centro a determinadas máquinas del dominio, especificaremos explícitamente los ordenadores donde pueden iniciar sesión dichos alumnos lanzandoUsuarios y equipos de Active Directory y ubicándonos sobre el usuario al cual deseamos aplicar la restricción (1ESOA02 en este caso); una vez ubicados sobre el mismo, pulsaremos sobre él con el botón derecho del ratón, seleccionando la opción Propiedades en el desplegable correspondiente, ubicándonos en la nueva ventana mostrada sobre la pestaña Cuenta, tal y como vemos en la imagen inferior, y una vez allí una vez allí pulsaremos sobre el botón Iniciar sesión en.
En la nueva ventana mostrada como resultado de la acción anterior, indicaremos aquellas máquinas del dominio donde deseamos que únicamente pueda iniciar sesión el usuario al cual estamos aplicando la limitación, activando el radio botón Los siguientes equipos, y tras ello especificando el nombre de equipo deseado en el apartado Nombre de equipo y pulsando tras ello en el botón Agregar (en este caso el usuario 1ESOA02 sólo podría iniciar sesión en la máquina Equipo02 del dominio).
Podríamos agregar todas las máquinas del dominio donde deseamos que pueda iniciar sesión el usuario que estamos tratando.
Si por ejemplo el usuario "1ESOA02" intentara iniciar sesión en un equipo en el cual no tiene permitido el acceso, se le mostrará en dicho equipo la siguiente ventana, que le informa de que no es posible la autenticación de dicho usuario en ese equipo.
Si lo que queremos es limitar el acceso a las máquinas de nuestros alumnos en determinados días y ciertas franjas horarias, en la misma ventana donde limitamos las máquinas donde se puede iniciar sesión, pulsaremos sobre el botón Horas de inicio de sesión, pudiendo indicar las horas a las que habilitaremos a nuestros usuarios para el acceso a las máquinas, tal y como vemos en la siguiente ventana; esta opción no es incompatible con la anterior (que limitaba el acceso a determinadas máquinas), y en ciertos entornos puede ser un importante complemento a la misma.
En nuestro caso NO es preciso que limitemos las máquinas ni las horas de inicio de sesión de ningún usuario del sistema.
Llegados a este punto ya podremos dar por concluido este tema relativo a los perfiles de los usuarios.
« Anterior | Siguiente »Este contenido está licenciado bajo Creative Commons Reconocimiento-CompartirIgual 3.0 España (CC
BY-SA 3.0)Ministerio de Educación, Cultura y Deporte | Instituto de Tecnologías Educativas y de Formación del
Profesorado
Como usar el comando NSLOOKUP en Windows, ejemplos prácticos
Utilizar la aplicación nslookup para consultar, probar, administrar, configurar y obtener información de los servidores DNS que utiliza una conexión de internet. Solucionar problemas frecuentes de los DNS en las redes informáticas. Ejemplos prácticos de cómo usar NSLOOKUP mediante la línea de comandos
¿Qué es NSLOOKUP?
Nslookup.exe es una aplicación incluida en todos los sistemas Windows, para consultar, obtener información, probar y solucionar problemas de los servidores DNS que usa una conexión.Funciona solo mediante la línea de comandos, pero es algo sencillo su uso.En esta página se incluyen algunos ejemplos prácticos de cómo usarlo, sin que sea necesario tener conocimientos avanzados.
¿Cómo usar NSLOOKUP para consultar, probar y administrar los servidores DNS?
Como otros comandos, para usar NSLOOKUP es necesario abrir la consola de CMD en Windows.Para eso en el cuadro de Inicio o en el comando Ejecutar escribe CMD y presiona la tecla Enter.Al escribir NSLOOKUP en la consola sin especificar ningún parámetro, devolverá el nombre del servidor DNS predeterminado y su dirección IP. Por ejemplo:
C:\> nslookup
resolver1.dyndnsinternetguide.com
Address: 216.146.35.35
¿Cómo usar el comando NSLOOKUP en Windows?
El comando nslookup permite dos formas de uso:
1- El modo normal o no interactivo, al igual que en los otros comandos en la consola, se introduce el comando, a continuación las opciones y se oprime Enter, la sintaxis es:nslookup [-opcion] [host] [servidor]Donde host es la dirección IP o nombre de dominio a consultar, servidor es la IP del servidor en el cual se hará la consulta.
2- Modo interactivo, se hace la consulta en tiempo real y de manera consecutiva en líneas diferentes, mostrará un carácter > antes de cada comando introducido. Para iniciar el modo interactivo solo escribe: nslookup, verás algo como lo siguiente:C:\> nslookup
Servidor predeterminado: ns1.sertest.net
Address: 200.34.128.1
Las dos líneas anteriores indican el servidor predeterminado de la conexión con su dirección IP, estos serán en este caso los utilizados para realizar las consultas que se indiquen. Para utilizar otro servidor especifícalo con el comando "server", por ejemplo:> server 8.8.8.8
Servidor predeterminado: google-public-dns-a.google.com
Address: 8.8.8.8
De esta forma se hará la consulta usando el servidor de dirección IP 8.8.8.8 que es un servidor de Google.El comando "set" establece las opciones a emplear.
Lista de las opciones que permite el comando NSLOOKUP
Opción Uso
NOMBREMuestra la información de NOMBRE con el servidor predeterminado, siendo "NOMBRE" un host o un dominio de internet.
NOMBRE SERVIDOR
Igual que el anterior, pero en este caso se utiliza el servidor especificado en "SERVIDOR" para solicitar la información.
server SERVIDOREstablece como SERVIDOR el servidor DNS predeterminado al que solicitarle las consultas, sustituye "SERVIDOR" por el nombre o dirección IP del servidor.
lserver SERVIDOREstablece como "SERVIDOR" el servidor DNS predeterminado inicial, útil si el que se especificó anteriormente no puede resolver las consultas.
root Ir a la raiz del servidor especificado como tal en el parámetro set root=
ls DOMINIOMuestra información o la escribe a un archivo, sustituye "DOMINIO" por el nombre de dominio o host solicitado. Opciones para su uso.
set all Muestra todas las opciones disponibles.
set [no]debug Muestra o no información más avanzada.
set [no]d2 Muestra o no información aún más avanzada.
set defname Añade nombre de dominio en cada consulta.
set [no]recurse Solicitar o no respuesta de forma recursiva
set [no]vc Emplea o no TCP para consultas en vez de UDP
set puerto= Puerto (predeterminado 53)
set type=Especifica el tipo de consulta, por ejemplo: A, ANY, CNAME, MX, NS, PTR, SOA, SRV (valor predeterminado A+AAAA)
set querytype= set q=
Lo mismo que el anterior
set class= Especifica la clase de la consulta, por ejemplo, IN (Internet), ANY(cualquiera),
(valor predeterminado IN)
set timeout= Especifica tiempo de espera en segundos (valor predeterminado 2)
set retry= Especifica número de reintentos (valor predeterminado 1)
set root=SERVIDOREspecificar servidor raíz, sustituye "SERVIDOR" por el nombre o dirección IP del servidor DNS.
set domain=Especifica el dominio o host predeterminado del que se realizarán todas las consultas.
set [no]msxfr Usar o no transferencia de zona rápida MS.
set [no]search Usar o no una lista de dominios para efectuar búsquedas.
set srchlist= N1[/N2/.../N6]
Especifica orden de los dominios usados para buscar.
Lo que aparece encerrado entre los caracteres [], su uso es opcional.
Tipos de consultas en los servidores DNSA (Address): Se utiliza para traducir nombres de hosts del dominio a direcciones IP, es el valor predeterminado.ANY (Cualquiera): Toda la información que exista.CNAME (Canonical Name): Devuelve una lista de alias, si existen para el nombre verdadero (canonical).NS (Name Server): Especifica el nombre para un dominio.MX (Mail Exchange): Especifica el servidor encargado de recibir el correo electrónico para el dominio.PTR (Pointer): Lo inverso del registro A, realiza la traducción de direcciones IP a nombres de host.TXT (Text): Permite extraer información adicional a un dominio.
Ejemplos prácticos del uso del comando NSLOOKUP
1- Al escribir en la consola de CMD NSLOOKUP y presionar la tecla Enter, esta devuelve el nombre del servidor DNS que usa la conexión y la dirección IP que le corresponde.En este ejemplo hecho en mi PC yo uso los servidores del servicio de Google.
Si usas otros servidores en tu conexión puedes realizar las consultas a este servicio usando el comando server, como se verá más adelante.
2- Si a continuación se escribe un nombre de dominio (una dirección URL sin el protocolo http://), la consola devolverá la dirección IP de los servidores DNS.En este ejemplo se usa el dominio norfipc.com de este sitio web.El mensaje: "Respuesta no autoritativa" significa que se consulta a un servidor que no posee autoridad directa para el nombre consultado.
3- Tenemos la opción de usar otro tipo de consulta, para eso en este ejemplo con el comando set type=NS, especificamos que se nos devuelva los nombres de dominio de los servidores DNS.
4- Para que NSLOOKUP nos devuelva toda la información que puede extraer sobre dicho dominio, podemos usar los comandos set debug o set d2.En la imagen se muestran (información parcial) algunos datos de configuración del servidor.
5- También podemos hacerle la consulta directamente el servidor DNS que corresponde al dominio y de esa forma extraer más información.Para eso cambiamos al tipo de consulta predeterminado con set type=A y usamos el comando server, pero en este ejemplo no se obtienen respuestas.
Otros ejemplos de usos prácticos de NSLOOKUP
Como conocer los servidores utilizados en una dirección de correo electrónico
Para conocer los servidores utilizados en una dirección de correo electrónico, es necesario consultar el registro MX, permitirá comprobar también si una dirección de email existe realmente.Para comprobarlo sigue los siguientes pasos:1- Escribe en la consola de CMD: nslookup, presiona Enter.2- Escribe: server 8.8.8.8 y presiona Enter, la petición se efectuará a los servidores DNS de Google.3- Escribe: set q=mx y presiona Enter, de esa forma se inquiere información del servidor encargado de recibir el correo electrónico para el dominio. 4- Escribe el dominio de la dirección (dominio en una dirección electrónica son los caracteres situados a la derecha de la arroba) y presiona Enter.
Como conocer con el comando NSLOOKUP todos los host de un dominio
Para conocer con el comando nslookup todos los hosts que hay dentro de un dominio remoto, es necesario utilizar la opción ls. La sintaxis es la siguiente: ls [- a | d | t type] dominio [> archivo]
Si se utiliza ls sin argumentos se devolverá una lista de todas las direcciones y datos del servidor de nombres.Utiliza los siguientes modificadores:ls DOMINIO > archivo.extensionPor ejemplo:
ls empresa.com > %userprofile%\Desktop\lista.txtEscribe la lista de direcciones IP que existen en el dominio especificado en un archivo.
ls -a DOMINIOLista todos los nombres canónicos y alias del dominio.
ls -h DOMINIOLista HINFO (CPU y sistema operativo) para el dominio.
ls -s DOMINIOLista servicios disponibles en el dominio.
ls -d DOMINIOLista toda la información disponible en el dominio.
ls -t TYPE DOMINIOLista todos los tipos de consulta DNS en el dominio, sustituye "TYPE" por el tipo de consulta.Las transferencias de zona se pueden bloquear en el servidor DNS de modo que sólo las direcciones o las redes autorizadas puedan utilizar esta función. En ese caso se devolverá el siguiente mensaje:"No se puede hacer una lista del dominio ejemplo.com. Consulta rechazada."
Probando con las diferentes opciones de uso que admite NSLOOKUP, se puede obtener bastante información útil sobre nuestro servidor DNS o sobre un sitio web.Es una herramienta poderosa que podemos explotar.También nos puede dar una idea del rendimiento de los servidores DNS que usamos en nuestra conexión.
Pruebas al cambiar los servidores DNS de nuestra conexión
Para optimizar la velocidad de nuestra navegación en la red y hacerla también más segura, podemos elegir otros servidores DNS y sustituirlos por los que usan nuestra conexión.En otra página de nuestro sitio puedes encontrar las direcciones de los servidores públicos más rápidos y eficientes.No obstante la fama y popularidad que tengan, es determinante nuestra ubicación geográfica.En caso de conflictos se puede usar el comando NSLOOKUP para hacer algunas pruebas sencillas.
Probar que un servidor DNS esta accesible para nuestra conexión. En este ejemplo se usa la dirección IP de GoogleDNS, sustitúyela por la que necesitas probar.tracert -d 8.8.8.8
Verifica que en la última línea aparece la dirección del servidor.
Verificar que se puede resolver una dirección o nombre de dominio.Sustituye norfipc.com por el dominio a resolver. En este ejemplo se usa GoogleDNS.nslookup -debug norfipc.com 8.8.8.8
La misma consulta usando OpenDNSnslookup -debug norfipc.com 208.67.222.222
Optimizar la configuración de Windows con las entradas DNSPodemos cambiar los parámetros de Windows para mantener más tiempo en cache la resolución de nombres, es decir las consultas hechas a los servidores DNS.De esa forma podemos incrementar notablemente la velocidad de la navegación.Lee como hacerlo en otra página: Como mejorar y optimizar la resolución de nombres DNS en Windows
Tema 07 – Práctica 01 – Active Directory [COMPLETA]Publicado el 4 mayo, 2013 por Francisco
Nota: Las soluciones de los ejercicios pueden ser distintas con las de otros
compañeros. Si veis que algún ejercicio está resuelto de forma errónea
comunicádmelo para que lo cambie y así no crear confusiones y malentendidos,
sobre todo de cara al examen.
1. Configura una VM con W2008 Server y prepárala como controlador de
dominio (CD). El nombre del dominio será: [tunombre].local. Puedes
hacerlo desde la interfaz gráfica (añadir rol al servidor) o desde la línea
de comandos con dcpromo.
Nombre de Dominio: francisco.local.
Desde la interfaz gráfica con rol (administrador del servidor)
Linea de comandos dcpromo.exe => Crear bosque nuevo => Nombre de
dominio completo (francisco.local.) => Netbios del dominio (FRANCISCO) =>
Nivel funcional del bosque (Server 2008) => Servidor DNS (Seleccionado el
DHCP)=> Ubicación carpetas => Contraseña distinta a la de administrador
(Iso2008) => exportar configuración => Finalización instalación DNS =>
Reiniciar
Nota: Una ver reiniciado pide iniciar la sesión como:
FRANCISCO\Administrador, pidiéndo cambiar la contraseña actual
En esta captura te pide si deseas cambiar a IP estáticas. En mi caso conteste que el
equipo usará una dirección IP asignada automáticamente por un servidor
Captura de
cuadro informativo
Netbios: permite a las aplicaciones ‘comunicarse’ con la red. Su intención es
conseguir aislar los programas de aplicación de cualquier tipo de dependencia del
hardware. También evita que los desarrolladores de software tengan que
desarrollar rutinas de recuperación ante errores o de enrutamiento o
direccionamiento de mensajes a bajo nivel.
2. Tu servidor será también servidor de DNS para tu dominio y como
reenviador pon el del ciclo (192.168.2.2). Intenta hacer ping utilizando el
nombre del equipo desde un equipo del aula que no pertenezca atu dominio
¿qué ocurre?
Realizo un ping desde mi server 2008 R2 a 192.168.2.209 y si recibe los paquetes.
Esto se debe a que por ip si pueden hablar estando en la misma red aunque no
estén en el mismo dominio, pero por el nombre no.
3. Crea un grupo de usuarios Ventas
En roles/servicio de dominios/usuarios y equipos/francisco.local/builtin/ventas
4. Crea un usuario de nombre responsableVentas que pertenezca al grupo
Ventas
En roles/servicio de dominios/usuarios y
equipos/francisco.local/Users/responsableVentas con contraseña (Iso2008)
5. Crea una VM con Windows 7 y añádela a tu dominio.
Para añadir la máquina con windows 7 al dominio debemos ir a la configuración
de red=> protocolo IPv4 y poner en servidor DNS la dirección IP del Windows
Server 2008. Una vez realizado esto nos vamos a propiedades del sistema y en
dominio ponemosfrancisco.local. Y posteriormente reiniciamos para que los
cambios se realicen correctamente.
Ya en el server podemos ver como se ha incluido el equipo Windows 7 en Dominios
y confianzas de Active Directory => Administrar => Usuarios y equipos =>
francisco. Local => Computers => FRANCISCO-PC
6. Inicia sesión en la VM con una cuenta del dominio.
Para iniciar sesión en el equipo que hemos metido en la cuenta de dominio
debemos dar de alta previamente en el windows server al usuario con el que
queremos iniciar sesión. Un campo importante es el de nombre de inicio de sesión
de usuario.
7. Rellena la siguiente tabla con los datos de tu servidor
Nombre DFQN PRACTICA-DOMINIOS.francisco.local
Dirección IP 192.168.1.131
Máscara de red 255.255.255.0
Gateway 192.168.1.1
DNS 127.0.0.1
MAC 08-00-27-CA-CC-F7
Dominio Francisco.local
Nivel de funcionalidad Windows Server 2008 R2
Password Administrador root
8. Realizar solo en papel: ¿Cómo podríamos conseguir que un equipo (la
VM) puedan iniciar en tu dominio a la vez que en el de otro grupo?
Ejercicio realizado en papel
9. Instala en tu VM W7 las herramientas administrativas y haz pruebas de
administración del dominio, tanto desde MMC como desde los accesos
directos.
Previamente debemos descargar e instalar un archivo para poder activar las
herramientas administrativas. Buscar en google: Descargar herramientas
administrativas en windows 7 (Y accedemos a la primera búsqueda que
corresponde a la página oficial de Windows) => Descargamos la versión correcta
(Arquitectura 32 bits en mi caso).
Vamos a panel de control => Programas => Activar o desactivar características de
windows => Abrimos el desplegable que vemos en la captura siguiente:
Una vez instalado iniciamos en MMC y agregamos la función de Active directory
para poder hacer pruebas de administración.
10. Crea un usuario cuyo nombre esté formado por cada una de las iniciales
de tu nombre y tu primer apellido completo(igual que el que utilizas en el
dominio CICLOS). Pertenecerá a los grupos ASIR1 y “Usuarios del
Dominio”. Prueba a iniciar sesión con este usuario.
Crear un usuario (fgilm01) y añadirlo al grupo ASIR1 (hay que crearlo antes) y
Usuarios del dominio
11. [Blog – Alumno/a:__________________ ] Control remoto add-on para MMC –
http://www.microsoft.com/en-us/download/details.aspx?id=12244Pruébalo y
coméntalo en el blog.
Este ejercicio irá en una entrada a parte en el Blog
12. [Opcional – Blog – Alumno/a: _________________]Remote Desktop
Connection Manager –
http://www.microsoft.com/en-us/download/details.aspx?id=21101Pruébalo y
coméntalo en el blog.
Este ejercicio irá en una entrada a parte en el Blog
13.Comprueba el contenido de tu fichero hosts y verifica que no creará
conflicto en la resolución DNS
C:\Windows\System32\drivers\etc\hosts. Realmente si hago modificaciones en el
archivo del server no ocurre nada, en cambio si las realizo en el hosts anfitrión si se
producen las modificaciones que realice.
14. Crea una unidad organizativa con tu nombre y primerapellido
precedido de ou_. P.e.: ou_antonioberrocal
Las unidades organizativas son contenedores dentro de Active Directory para
agrupar objetos
Desde la administración de Active Directory creamos una nueva unidad
organizativa. Botón derecho => Nuevo => Unidad Organizativa
15. Delega el control total de la ou a tu usuario creado en uno de los
ejercicios anteriores.
Sobre la ou creada botón derecho DELEGRAR CONTROL. Aparece un asistente
para agregar usuarios y grupos (He agregado a fgilm01). Posteriormente marcar
todas las opciones en el apartado de las tareas para que el usuario creado tenga
control total.
16. ¿Qué podemos hacer con una cuenta de usuarios perteneciente a
administradores de dominio desde mmc? ¿y desde una cuenta que
pertenece únicamente al grupo usuarios del dominio?
Pues realmente es igual como cuando no estamos en un dominio, el administrador
puede crear usuarios, grupos, etc, por lo tanto todo, mientras que un usuario del
dominio normal no.
17. ¿Es administrador de la VM W7 los miembros del grupo
Administradores del dominio?
Realmente solo es administrador de la máquina el usuario ADMINISTRADOR del
windows Server 2008. Los demás usuarios que están en el grupo administradores
no pueden instalar programas en el windows 7.
18. ¿Puedes crear un usuario y añadirlo al grupo Administradores del
dominio?
Realizado con un usuario de dominio (fgilm01)
No puedo crear usuarios ni agregar ningún usuario al grupo de administradores.
19. Prueba que tienes acceso a tu ou pero no a otras, p.e. crea un usuario.
En la unidad organizativa que esta delegado el control a fgilm01 si se puede crear
usuarios pero en las otras no.
20. Configura tu usuario de tu dominio para que solo pueda iniciar sesión
en horario de clase.
Lo modificamos en propiedades del usuario, en la pestaña Cuenta (Cuadro Horas
de inicio de sesión) pero tiene que ser con usuario administrador.
21. Cambia la hora de tu equipo local de forma que no esté en el rango en
el que puede iniciar sesión. Cierra la sesión e intenta conectar de nuevo,
¿qué ocurre? ¿por qué?
No deja iniciar la sesión mostrando también un mensaje diciendo que tengo
restricciones de tiempo que impiden iniciar la sesión.
22. ¿Puede tu usuario iniciar sesión desde cualquier equipo que pertenezca
al dominio? Si has contestado que sí, restríngelo paraque solo pueda iniciar
sesión desde tu equipo.
El usuario fgilm01 que pertenece al dominio si puede iniciar sesión en todos los
equipos que pertenezcan al dominio. Para que solo pueda iniciar sesión en un
equipo nos dirigimos a las propiedades del usuario, en la pestaña cuenta, cuadro
Iniciar sesión en….Y ponemos los nombres de los equipos a los que solo se podrá
conectar. El nombre del equipo lo miramos en Equipo => Propiedades del sistema.
NOTA: La cuenta y contraseña del windows 7 es: Francisco/root
23. Crea un usuario local que tenga el mismo nombre queel del dominio.
Inicia sesión con él. ¿Cuál es su directorio personal? ¿y el del usuario de
dominio?
Todos los directorios personales tanto de los usuarios locales como los de dominio
están en C:\Users. He creado un usuario local con el mismo nombre que el usuario
de dominio y se diferencian en el directorio personal en que el usuario que es
creado después que el otro con igual nombre se le añade al final el dominio o el
equipo al que pertenece (Ejemplo: fgilm1.FRANCISCO-PC sería para el local y
fgilm01.FRANCISCO para el de dominio).
24. ¿Qué diferencia existe entre Grupos de seguridad y de distribución?
¿Podemos crear un grupo local de distribución o seguridad?
A los grupos de seguridad se utilizan para asignar derechos o permisos a un grupo
de usuarios y equipos. Los son las acciones que pueden realizar en el dominio
mientras que los permisos son a los recursos que tienen accesos.
Los grupos de distribución utilizan aplicaciones para enviar correos electrónicos a
grupos de usuarios. La principal finalidad es recopilar objetos relacionados.
Los grupos de seguridad tienen todas las funciones de los grupos de distribución
aunque solo algunas aplicaciones se pueden utilizar por los grupos de distribución.
25. Crea grupos y usuarios (utiliza plantillas) en el dominio de forma que
puedas rellenar la siguiente tabla con información sobre qué tipos de
usuarios y grupos pueden ser miembros del grupo y de cuáles él puede ser
miembro.
Creamos cuatro grupos: Grupo1 y Grupo4 de dominio local y Grupo2 y Grupo3
Global
Ámbito grupo Miembros Miembro de
Dominio
Local (Grupo1)
Grupo2 (Grupo global)
Grupo4 (Grupo Dominio local)
Puede tener miembros tanto de Dominio Local como Globales
Grupo 4Solo podría ser miembro de Grupo4 por ser un grupo de Dominio Local
Global (Grupo2)
Grupo3 (Grupo global)
No se pueden incluir grupos de dominio Local
Grupo 1
Grupo 3
Puede tener miembros tanto de Dominio Local como Globales
26. ¿Tu usuario del dominio puede cambiar la dirección IP del equipo local?
¿por qué?
No porque no tiene los permisos necesarios para realizar estos cambios ya que es
un usuario normal y no está en el grupo de administradores.
27. Desconecta el cable de red e intenta iniciar sesión con un usuario de
dominio, ¿qué ocurre? ¿por qué?
Si puedes iniciar sesión pero sólo si has iniciado sesión anteriormente en el
dominio porque te guarda la configuración en cache. En el dominio no podrías
hacer nada porque está el cable de rede desconectado y por lo tanto no hay red.
28. Explica la técnica AGDLP
AGDLP => Account Global Domain Local Permission
Esta técnica se utiliza para dar unos determinados permisos o privilegios a un
grupo de usuarios pero que luego tiene sus propios permisos globales.
Información EXTRA de WIKIPEDIA
Permisos de archivosEn todas las versiones de Windows con NT 3 se han basado en un sistema de
permisos de sistema de archivos denominado AGDLP (cuentas, Global, Local,
permisos) AGLP que en esencia donde se aplican los permisos de archivo a la
carpeta en forma de un grupo local que luego tiene otros ‘grupos globales’ como
miembros. Estos grupos globales mantienen otros grupos o a usuarios según las
diferentes versiones de Windows que utiliza. Este sistema varía de otros productos
de proveedores tales como Linux y NetWare debido a la ‘estática’ asignación de
permiso se aplica directorio para el archivo o carpeta. Sin embargo con este
proceso de AGLP/AGDLP/AGUDLP permite a un pequeño número de permisos
estáticos para aplicarse y permite cambios fáciles a los grupos de cuentas sin volver
a aplicar los permisos de archivo de los archivos y carpetas
29. El departamento de Ventas esta realizando un proyecto en colaboración
con la Universidad de Extremadura. El responsable de dichodepartamento
necesita permitir acceso al dominio a personal de la universidad. Crea un
grupo de usuarios temporal de nombre PROYECTOCOLABORACION en el
que el responsable de ventas tenga la capacidad de añadir,modificar y
eliminar usuarios.
Con la cuenta fgilm01 que delega el control a la ou_granciscogil creo un grupo
llamado PROYECTODECOLABORACION, con el ámbito de grupo seleccionado en
modo global. Una vez creado el grupo vamos a las propiedades del mismo y
agregamos en la pestaña miembros al usuario responsableVentas. Después en la
pestaña Administrado por agregamos a este mismo usuario para que pueda
administrar este grupo.
Grupos locales de dominio. Pueden contener cuentas de usuario de cualquier
dominio del bosque, así como cuentas de grupos globales o universales de cualquier
dominio del bosque, y otros grupos locales de dominio del mismo dominio
(anidamiento). Sólo son visibles en el dominio en que se crean, y suelen utilizarse
para administrar recursos (mediante la concesión de permisos y derechos)
situados en cualquiera de los ordenadores del dominio.
Grupos globales. Pueden contener usuarios del mismo dominio, así como otros
grupos globales de dicho dominio (anidamiento). Son visibles en todos los dominios
del bosque, y suelen utilizarse para agrupar a los usuarios de manera
amplia, en función de las labores que realizan o los roles que juegan en el dominio.
Grupos universales. Pueden contener cuentas de usuario y grupos globales, así
como otros grupos universales (anidamiento), de cualquier dominio del bosque.
Son visibles en todo el bosque, y suelen utilizarse para administrar recursos
(mediante la concesión de permisos y derechos) situados en ordenadores de varios
dominios del bosque.
Información obtenida del libro del curso que estamos siguiendo: Administración
Avanzada de Windows Server 2008 R2 => Capítulo 4: Administración de Dominios
Windows Server 2008.
30. Indica un grupo predeterminado y un grupo del sistema.
Un grupo predeterminado son los definidos automáticamente por defecto tanto en
el dominio como localmente. Un ejemplo de estos son “Administradores”,
“Invitados”, “Copias de Seguridad”
Los grupos del sistema no se ven en active directory pero existen. Un ejemplo de
estos son “Todos” y “Usuarios”
31. Averigua el SID de las siguientes cuentas:
a. Tu cuenta de usuario y de uno de los grupos que hascreado.
b. De la cuenta de tu equipo
c. De todos los equipos de tu dominio
d. Del grupo “Creator Owner” y del grupo “Todos”, comprueba que
corresponde con el indicado en la ayuda de Windwos
Primero descargamos las PSTOOL para poder utilizar el comando PSGETSID. Una
vez echo esto lo agregamos para poder ser utilizado
A psgetsid fgilm01
SID for FRANCISCO\fgilm01: _ _ _ _ _ _ _ _ _ _ _ _ _
psgetsid ASIR1
SID for FRANCISCO\ASIR1: _ _ _ _ _ _ _ _ _ _ _ _ _
B.psgetsid \\Francisco-PC
C.psgetsid \\*
Da el siguiente error:
enumerating domain… a system error has occurred 6118
D.
psgetsid “creator owner”
SID for \creator owner: _ _ _ _ _ _ _ _ _ _ _ _ _
psgetsid todos
SID for \todos: _ _ _ _ _ _ _ _ _ _ _ _ _
No necesitamos cuenta de administrador para realizar el ejercicio
32. Averigua el nombre de los siguientes SID:
psgetsid S-1-5-4
Account for FRANCISCO-PC\S-1-5-4
Well know Group: NT AUTHORITY\INTERACTIVE
psgetsid S-1-3-1
Account for FRANCISCO-PC\S-1-3-1
Well know Group: CREATOR GROUP
psgetsid S-1-5-2
Account for FRANCISCO-PC\S-1-5-2
Well know Group: NT AUTHORITY\NETWORK
33. Crea una cuenta de usuario en el dominio de
nombre “ nombreAlumno_numeroaleatorio” y averigua el SID que le ha
correspondido. Otórgale permisos sobre una carpeta y después borra la
cuenta creada y vuelve a crear otra con idéntico nombre, ¿le ha
correspondido el mismo SID? ¿puede acceder a la carpeta? ¿qué aparece en
la ficha seguridad de la carpeta?
Creamos el usuario francisco_12
Averiguados el sid con psgetsid francisco_12
Creamos una carpeta compartida otorgando control total al usuario anterior
Borramos la cuenta anterior y creamos otra con el mismo nombre. Comprobamos el
sid:
Y comprobamos que no es el mismo. Después intentamos acceder a la carpeta en la
que tenía los permisos el anterior usuario y no nos deja acceder. En cambio si
vamos a la pestaña seguridad con el usuario administrador podemos ver como sigue
el usuario que borramos, pero no aparece el nombre, si no su sid.
34. Configura tu VM W7 para que el usuario que te has creado sea
administrador local de tu equipo.
Agregamos a fgilm01 que es usuario normal al grupo de administradores locales
mediante mmc. Lo podemos hacer desde la misma máquina W7 o desde el server
2008. Si lo hacemos de esta segunda forma hay que tener en cuenta la
configuración del firewall porque nos podría dar problemas a la hora de realizar
estas gestiones remontas mediante MMC.
Si lo agregáramos a los administradores de dominio sería administrador tanto del
dominio como localmente.
Servidor Telnet en WindowsA pesar de que servicios de administración remota como servidores telnet dejaron de utilizarse hace mucho tiempo, Windows aun sigue proporcionando la posibilidad de implementar este servicio en sus sistemas para redes domesticas.
Mediante este sistema es posible iniciar sesión en el equipo servidor mediante una línea de comandos, muy útil para su administración.
Para realizar la instalación del servicio hay que acceder a ‘Agregar o quitar programas’, y allí hacer clic en ‘Activar características de Windows’, activando el servidor de telnet.
Una vez instalado se habrá configurado como un servicio que se podrá iniciar y parar con los comandos ‘net start telnet’ y ‘net stop telnet’ o desde un entorno de ventanas con ‘services.msc’.
La configuración del servidor de telnet se realiza desde una cuenta con privilegios ejecutando el comando de consola ‘tlntadmn’.
En mi caso lo configuraré para que los usuarios puedan realizar login contra el dominio en el cual se encuentra el equipo, con un único intento de conexión y que permita el login mediante el envío del hash NTLM y el password.
Para ello primero introduciré mi equipo dentro del dominio ‘informatic64
’ .
Una vez tengamos la confirmación de haber entrado en el dominio podemos ejecutar el siguiente comando y reiniciar el servicio para configurar el servidor telnet:
C:\>tlntadmn config dom = informatica64 sec = +ntlm +passwd maxfail = 1
The settings were successfully updated.
C:\>tlntadmn stop
The service was stopped successfully.
C:\>tlntadmn start
The service was started successfully.
C:\>
Ahora debemos indicar cuáles serán los usuarios que tienen permisos para realizar conexiones a este servicio. Para ello debemos introducir a los usuarios deseados en el grupo ‘TelnetClients’ mediante la aplicación ‘compmgmt.msc’
Ya está configurado y listo para conectarse. Una vez se realiza la conexión nos preguntará si queremos enviar nuestro hash ntlm. Si introducimos ‘y’ intentará realizar la autenticación con las credenciales con las que está ejecutando el cliente, en mi caso, haciendo autenticación contra el dominio informatica64 sin necesidad de introducir mis credenciales.
Si se introduce ‘n’ pedirá la autenticación clásica de usuario y password, donde se podrán introducir credenciales de la máquina local (Servidor telnet) o usuarios del dominio.
También es posible la personalización del mensaje de bienvenida al ingresar las credenciales correctas, esto se consigue modificando el fichero c:\windows\system32\login.cmd, el cual se ejecutará como un script batch.
Ya tenemos montado y configurado nuestro servidor de telne
Xataka On Buscar »
Portada
TIC
Equipos de red
Internet Móvil
P2P y descargas
Tecnología de Redes
Más »
NO TE PIERDAS »
Fibra Óptica
Tarifas
P2P
ADSL a fondo
Descargas
Cómo crear nuestra propia red VPN en Windows 7
07 de mayo de 2012 | 07:00 CET
JosheluGoogle+
@joseluisalcoba
Editor en Xataka On
PUBLICIDAD
Comentarios 17Me gusta 2
Tras el éxito que han tenido nuestros tutoriales sobre cómo configurar una VPN en nuestro ordenador le
toca el turno, tras petición popular, a nuestro tutorial para aprender a crear nuestra propia red VPN en
Windows 7. Para que sea útil al mayor número de usuarios posible y sin importar el nivel previo, hemos
buscado la manera más sencilla de hacerlo.
Para este tutorial hemos utilizado un ordenador con Windows 7 Ultimate 64bits, aunque debería poderse
hacer en cualquier versión, de hecho los pasos deberían ser muy similares en Windows Vista. Además, tiene
que estar configurado con IP estática, de este modo no tendremos que modificar la NAT del router con cada
cambio de IP.
VPN en Windows 7: Configuración del adaptador
Vamos al Centro de redes y recursos compartidos. Para ello presionamos sobre el icono del adaptador de
red, en este caso de cable, y a continuación sobre el enlace “Abrir Centro de redes y recursos compartidos”.
Una vez allí vamos a “Cambiar configuración del adaptador”, situado en la parte superior izquierda de la
ventana.
Crear una nueva conexión entrante
En esta ventana el menú permanece oculto, para mostrarlo tendremos que presionar la tecla “Alt”de
nuestro teclado. Una vez visible vamos a: Archivo -> Nueva conexión entrante.
Lo primero que el asistente nos pide son los usuarios que tendrán acceso a nuestra VPN. Para esto podemos
usar los propios usuarios del sistema o crear usuarios nuevos. Para este tutorial crearemos un usuario
nuevo, para hacerlo pulsamos sobre el botón “Agregar a alguien…“.
En este punto ingresamos los datos del nuevo usuario, en nuestro ejemplo hemos usado:
Nombre de usuario: Usuario utilizado para iniciar sesión en la VPN.
Nombre completo: Nombre del usuario. Utilizado para saber a quién pertenece el usuario anterior.
Contraseña: Es de vital importancia utilizar contraseñas seguras.
Como vemos en la siguiente foto, ahora aparece en la lista el usuario que acabamos de crear. En caso de que
éste no aparezca marcado tendremos que marcarlo manualmente. Si queremos añadir más usuarios tan
sólo tendremos que volver a pulsar el botón “Agregar a alguien…“ y repetir el proceso. Una vez seleccionados
todos los usuarios que queramos presionamos el botón “Siguiente”.
En esta ocasión tenemos especificar desde dónde se realizarán las conexiones al sistema, como queremos
acceder desde Internet marcamos la opción oportuna, en nuestro caso es la única.
Configurar direcciones IP
Seleccionamos la opción “Protocolo de Internet versión 4 (TCP/IPv4)“ y a continuación el botón
“Propiedades“, para ajustar los parámetros.
En este apartado configuraremos dos cosas:
Acceso a la red: Marcamos esta opción si queremos que los usuarios de la VPN tengan acceso a la
red local.
Rango de direcciones IP: Aquí especificamos el rango de direcciones que asignará el DHCP a los
clientes.
Volvemos a la pantalla anterior, para continuar adelante presionamos el botón “Permitir acceso“. Ahora nos
informa del nombre del equipo del equipo, al tratarse de una red doméstica no lo necesitamos para nada ya
que no tenemos un dominio.
Acabamos la configuración, ahora vemos como tenemos un nuevo icono que corresponde a la VPN,
además, cada vez que un usuario se conecte aparecerá otro más con el nombre del usuario en cuestión.
Ya tenemos todo configurado en el equipo, lo único que queda es abrir el puerto correspondiente
(1723 TCP) en el router para poder conectarnos a la red desde Internet. Si no sabéis cómo hacer este
procedimiento podéis probar con Simple Port Forwarding. Para conectarnos tendremos que poner en el
campo dirección del cliente la dirección IP o la DNS de nuestro router.
Portable-VirtualBox es una herramienta de software libre y de código abierto que te permite ejecutar cualquier sistema operativo desde una memoria USB sin necesidad de instalación independiente
Instrucciones de instalación1. Descargue y ejecute Portable-VirtualBox_v4.2.4-Starter_v6.4.9-Win_all.exe .
2. Elija una carpeta para extraer a.
3. Vaya a la carpeta y ejecutar Portable-VirtualBox.exe. Verá una ventana como la siguiente:
4. Si ya ha descargado el instalador de VirtualBox desde www.virtualbox.org clic en Buscar y vaya al
archivo.Si no es así, haga clic en "Descargar los archivos de instalación de VirtualBox." Portable-VirtualBox
le mostrará el progreso de la descarga.
5. Una vez que el instalador es descargar, seleccione las casillas que sean apropiados y haga clic en
Aceptar.Portable-VirtualBox extraerá los archivos necesarios desde el instalador de VirtualBox, y reiniciarse
posteriormente si selecciona la última casilla.
Configuración opcionalPortable-VirtualBox hace ajustes por defecto de forma automática. Usted puede modificarlos pulsando CTRL-5 o
abriendo el menú bandeja mientras Portable-VirtualBox se ejecuta. En ambos casos se abrirá la interfaz gráfica
de usuario de configuración a continuación. La ficha Hokey-Configuración se muestra abierta en la imagen a
continuación:
Características Pantalla de bienvenida al iniciar y finalizar
Directorio Inicio Configurable
Inicie el VirtualBox GUI o lanzar directamente una máquina virtual
Configure las teclas de acceso rápido para el manejo de su máquina virtual
Configurar USB y soporte de red
Elige idioma GUI
Guarda la configuración en editable *. Ini-archivos
Se puede comprobar automáticamente si hay actualizaciones de VirtualBox
Todas las rutas absolutas en el VirtualBox.xml se sustituyen automáticamente por rutas relativas
Existen controles para que los archivos de VirtualBox seguro
NotaVirtualBox tiene varios controladores del núcleo instalado y debe empezar varios servicios: si los
controladores y servicios no están instalados tendrá derechos de administrador para ejecutar
Portable-VirtualBox.
Cuando Portable-VirtualBox se inicia, comprueba si están instalados los controladores. Si no es así se instalarán
antes de ejecutar VirtualBox y eliminarlos después. Del mismo modo, Portable-VirtualBox comprueba si los
servicios se están ejecutando. Si no es así, se iniciará y luego detenerlos cuando sale.
Si quieres ahorrar espacio puede eliminar los archivos de idioma de otros idiomas aparte del suyo propio. Eso le
puede ahorrar cerca de 10 MB. Se encuentran en el directorio nls.
También puede eliminar la documentación de ahorro de cerca de 5 MB. Lo encontrará en el directorio doc.
Cuando la máquina virtual está en ejecución, debe pulsar el botón "Host-Key" (inicialmente configurado como el
derecho CTRL-Key) para poder usar las otras teclas de acceso rápido porque de lo contrario la máquina virtual
tendrá el foco.
Red de apoyo1. Para la descarga de VirtualBox Portable-
2. Desembalaje de VirtualBox Portable-
3. Empezar desde VirtualBox Portable-
4. Actitudes abiertas (bandeja -> actitudes, CTRL +5) -> Network rider (Tab) -> VirtualBox con arranque
soporte de red -> memoria (guardar)
5. Terminar de VirtualBox Portable-
6. Empezar desde VirtualBox Portable-
7. La instalación del controlador de acuerdo
8. Esperar
9. La selección de una máquina virtual y el mapa de la red para recibir las interfaces dejen de
10. Las actitudes hacen
11. TERMINADO
Idiomas del LauncherInglés, alemán, portugués, español, francés, italiano.
ImportanteNinguno de los archivos que vienen de VirtualBox (http://www.virtualbox.org) se modifican o se cambia de otra
manera.
Portable-VirtualBox descarga el instalador de VirtualBox, que contiene todos los archivos de VirtualBox y
conductores. Portable-VirtualBox descomprime los archivos y los almacena en subdirectorios. Portable-
Virtualbox también puede comprimir para ahorrar espacio.