curso 6822a

Indice - 6822A: Configuración y solución de problemas de unaInfraestructura de red de Windows Server 2008

Módulo 1: Instalación y configuración de servidores

Este módulo explica cómo identificar el escenario de uso y el tipo de instalación adecuados para unservidor y luego, describe cómo instalar y configurar las funciones y características correspondientes delservidor.

Módulo 2: Configuración y solución de problemas de DNS

Este módulo explica cómo configurar, administrar y solucionar problemas del servidor DNS y de laspropiedades de zona que se usarán en un entorno seguro.

Módulo 3: Configuración y administración de WINS

Este módulo explica cómo configurar, administrar y solucionar problemas con servidores WINS.

Módulo 4: Configuración y solución de problemas de DHCP

Este módulo explica cómo configurar, administrar y solucionar problemas en un entorno DHCP que desoporte a una infraestructura IPV4.

Módulo 5: Configuración y solución de problemas de TCP/IP de IPv6

Este módulo explica cómo configurar y a solucionar problemas de direcciones IPv6 estáticas ydinámicas, que incluyen longitudes de prefijos de subredes, puertas de enlace y servidores DNS.

Módulo 6: Configuración y solución de problemas de Enrutamiento y acceso remoto

Este módulo explica cómo configurar y solucionar los problemas de servicios de Enrutamiento y accesoremoto.

Módulo 7: Instalación, configuración y solución de problemas del servicio de función Servidor de directivasde redes

Este módulo explica cómo instalar, configurar y solucionar los problemas del Servicio de función delServidor de directivas de redes.

Módulo 8: Configuración de Protección de acceso a redes

Este módulo explica cómo configurar y administrar NAP para DHCP, VPN y 802.1X.

Módulo 9: Configuración de IPsec

Este módulo explica cómo configurar y probar IPsec.

Módulo 10: Supervisión y solución de problemas de IPsec

Este módulo explica cómo supervisar y solucionar problemas de IPsec.

Módulo 11: Configuración y administración de Sistema de archivos distribuido (DFS)

Este módulo explica cómo configurar y administrar el Sistema de archivos distribuido.

Módulo 12: Configuración y administración de Tecnologías de almacenamiento

Este módulo explica cómo configurar y solucionar problemas de las tecnologías de almacenamiento delsistema de archivos incluido con Windows Server 2008.

Módulo 13: Configuración de la disponibilidad de recursos y contenido de red

Este módulo explica cómo describir y configurar los métodos de copia de seguridad y recuperación.

Módulo 14: Configuración del cumplimiento de seguridad del servidor

Este módulo explica cómo configurar y analizar la seguridad de los servidores y el cumplimiento conactualizaciones de seguridad.

Módulo 1: Instalación y configuración de servidores

Módulo 1

Instalación y configuración de servidores

Este módulo explica cómo identificar el escenario de uso y el tipo de instalación adecuados para un servidor y cómoinstalar y configurar las funciones y características apropiadas del servidor.

Lección 1: Instalación de Windows Server 2008Lección 2: Administración de funciones y características del servidorLección 3: Descripción general de la opción de Instalación Server CoreLaboratorio: Instalación y configuración de servidores y funciones del servidor

Lección 1: Instalación de Windows Server 2008

Lección 1:

Instalación de Windows Server 2008

La instalación de Windows Server® 2008 ha cambiado en cierto modo en comparación con las versiones anteriores deWindows Server. Las opciones disponibles varían de una instalación simple basada en DVD al uso de archivos derespuesta creados con Administrador de imágenes del sistema de Windows (SIM) y la implementación automáticausando el Kit de instalación automatizada de Windows (WAIK). El proceso de instalación ya no incluye la parte demodo de texto del programa de instalación y está completamente basado en GUI. Otra diferencia es que un único DVDde 32 bits ó 64 bits incluye las ediciones Standard, Enterprise y DataCenter. Sin embargo, la versión instaladadepende de la clave de instalación que se use durante el proceso de instalación.

Ediciones de Windows Server 2008

Ediciones de Windows Server 2008

Puntos clave

Existen cinco ediciones disponibles de Windows Server 2008. La edición que elija dependerá de los requisitos quedesee cumplir en su empresa.

Windows Server 2008 ayuda a los profesionales de tecnología de la información (TI) a aumentar la flexibilidad de lainfraestructura del servidor ofreciendo a los programadores una web más sólida y una plataforma de aplicaciones paracrear aplicaciones y servicios conectados. Las nuevas y más eficaces herramientas de administración y las mejoras enla seguridad ofrecen más control del servidor y de la red y brindan protección avanzada para aplicaciones y datos.

Requisitos de instalación de Windows Server 2008

Requisitos de instalación de Windows Server 2008

Puntos clave

Los requisitos de instalación para Windows Server 2008 varían en los distintos tipos de instalación, principalmenteentre la instalación completa y la instalación Server Core. Server Core requiere menos espacio en disco para lainstalación del sistema operativo, ya que sólo se instalan los módulos que requieren las funciones asignadas demanera predeterminada. Además, la GUI no se instala, por lo tanto el uso de espacio en disco es menor con lainstalación Server Core.

Nota: Si instala una versión de 64 bits, deberá asegurarse que todos los controladores modo kernel esténfirmados digitalmente antes de la instalación. La instalación no se completará si se usan controladores nofirmados.

Recursos adicionales:

Biblioteca técnica de Windows Server 2008

Observaciones de instalación x64

Observaciones de instalación x64

Puntos clave

Quizá deba incluir versiones de 64 bits de Windows Server 2008 en su infraestructura, según las necesidades de lacompañía. Por ejemplo, algunos servicios de red, tales como Exchange Server 2007, son compatibles sólo en unentorno de producción de 64 bits y, por lo tanto, sólo será compatible con versiones de 64 bits de Windows Server2008 que se ejecutan en una arquitectura de 64 bits.

Instalar una versión de 64 bits puede ofrecer la capacidad de escalar (aumentar CPU y RAM) más que un sistema de32 bits, pero deberá asegurarse de que los controladores modo kernel que se usarán estén firmados digitalmente.



Digital Signatures for Kernel Modules on Systems Running Windows Vista (Firmas digitales para módulos deKernel en sistemas con Windows Vista)

Escenarios frecuentes de instalación

Escenarios frecuentes de instalación

Puntos clave

Ya sea que elija actualizar un servidor existente o realizar una instalación limpia, deberá decidir cómo se realizarán lasinstalaciones del servidor en su entorno. Existen rutas de actualización determinadas que deben seguirse y se puedenllevar a cabo instalaciones desatendidas usando archivos de respuesta, SIM de Windows y AIK de Windows.

Haga una copia de seguridad de los servidores antes de realizar una actualización. La copia de seguridad debe incluirtodos los datos y la información de configuración necesarios para que el equipo funcione. Es importante hacer unacopia de seguridad de la información de configuración para los servidores, en especial aquellos que brindaninfraestructura de red, tales como los servidores de Protocolo de configuración dinámica de host (DHCP). Al hacer unacopia de seguridad, asegúrese de incluir las particiones de arranque y de sistema y los datos de estado del sistema.Otra manera de hacer una copia de seguridad de la información de configuración es crear un conjunto de copia deseguridad para la Recuperación automática del sistema.


Manual del usuario del Kit de instalación automatizada de Windows (WAIK) para Windows Vista

Guía paso a paso para la implementación de Windows Vista


Preparación para la instalación de Windows Server 2008

Preparación para la instalación de Windows Server 2008

Puntos clave

Antes de instalar Windows Server 2008, debe seguir algunas instrucciones generales para asegurarse de que lainstalación sea lo más fácil posible y sin errores. La mayoría de estas instrucciones son procedimientosrecomendados para la instalación de cualquier sistema operativo de Microsoft y, por lo tanto, deben incluirse encualquier guía de generación que se cree para la mayoría de los entornos.

Antes de instalar Windows Server 2008, use las siguientes instrucciones para preparar la instalación:

Comprobar la compatibilidad de aplicaciones.

Desconectar dispositivos SAI (UPS).

Hacer una copia de seguridad de los servidores.

Deshabilitar el software de protección antivirus.

Ejecutar la Herramienta de diagnóstico de memoria de Windows.

Brindar controladores de almacenamiento.

Tener en cuenta que el Firewall de Windows está activado de manera predeterminada.

Preparar el entorno de Active Directory con actualizaciones de Windows Server 2008.


Ayuda y Soporte en la página Instalar ahora del Asistente para Instalación de Windows Server 2008

Proceso para la instalación de Windows Server 2008

Proceso para la instalación de Windows Server 2008

Puntos clave

El proceso de instalación de Windows Server 2008 es similar al de las versiones anteriores. Sin embargo, existendiferencias que hacen al proceso más personalizable y más fácil de completar. Un cambio importante es el modelo delprograma de licencias por volumen que usa Microsoft con el producto del servidor. El modelo de licencia para licenciaspor volumen es el mismo que el que usan los sistemas operativos Windows Vista.


Windows Server 2008 Server Manager Technical Overview (Descripción técnica de Administrador deservidores de Windows Server 2008)

Windows Server 2008: Administración de servidores

Lección 2: Administración de funciones y características del servidor

Lección 2:

Administración de funciones y características del servidor

Microsoft ha cambiado la manera en que los administradores controlan el entorno del servidor. El sistema operativo seinstala de manera segura y los administradores pueden elegir entre cuatro métodos para configurar el servidor deacuerdo con la funcionalidad deseada.

Al completar la instalación y luego de que el administrador inicie sesión en el servidor, se abrirá la ventana Tareasiniciales de configuración y se permitirá que el administrador instale el nombre del servidor, la configuración de red, lasactualizaciones automáticas y la configuración de Firewall de Windows. Una vez usada esta herramienta, eladministrador podrá elegir si usar las Consolas de administración de Microsoft (MMC) para administrar el servidor, usarAdministrador de servidores para instalar y quitar funciones y características o usar Windows PowerShell para tareasde configuración, si lo desea.

Herramientas usadas para Tareas administrativas

Herramientas usadas para Tareas administrativas

Puntos clave

Al completar la instalación del sistema operativo, se podrán administrar los sistemas con cuatro herramientas distintas.

Al iniciar sesión por primera vez, el administrador deberá especificar una contraseña para la cuenta administrativa yluego visualizará la ventana Tareas iniciales de configuración. Se pueden realizar tareas de administración posterioresusando Administrador de servidores, las ventanas típicas de la consola MMC y Windows PowerShell. La elección de laherramienta depende de la tarea que deseen llevar a cabo los usuarios y de la experiencia que tengan de trabajar concada herramienta en particular.


Windows PowerShell 1.0 Documentation Pack

Microsoft Management Console 3.0 para Windows XP (KB907265)

¿Qué son las funciones de servidor?

¿Qué son las funciones de servidor?

Puntos clave

Las funciones del servidor en Windows Server 2008 describen la función principal de un servidor. Por ejemplo, lafunción de un servidor puede ser como un servidor de Servicios de dominio de Active Directory (AD DS) o un servidorweb. Se puede elegir entre la instalación de una o varias funciones en la instalación de Windows Server 2008. Laherramienta administrativa Administrador de servidores se usa para la instalación y desinstalación de funciones delservidor en un entorno de Windows Server 2008.



¿Qué son las características de servidor?

¿Qué son las características de servidor?

Puntos clave

Una característica, por lo general, no describe la función principal del servidor. Por el contrario, describe la funciónauxiliar o de soporte del servidor. Por lo tanto, un administrador por lo general instalará una característica no como lafunción principal del servidor, sino para aumentar la funcionalidad de una función instalada. Por ejemplo, Clúster deconmutación por error es una característica que los administradores pueden elegir instalar luego de instalar funcionesdeterminadas, tales como Servicios de archivo, para que esta función sea más redundante.


Windows Server 2008 Server Manager Technical Overview (Descripción técnica de Administrador deservidores de Windows Server 2008)


Demostración: Instalación de funciones y características del servidorusando Administrador de servidores

Demostración: Instalación de funciones y características del servidor usando Administrador deservidores

Lección 3: Descripción general de la opción de Instalación Server Core

Lección 3:

Descripción general de la opción de Instalación Server Core

Una opción nueva en Windows Server 2008 es la opción Server Core, que instala sólo lo necesario para tener unservidor administrable para AD DS, AD LDS, DHCP, DNS, Servicios de archivo, impresión y/o multimedia detransmisión por secuencias. No se encuentra disponible una interfaz gráfica con esta opción. Por el contrario, se usanherramientas de línea de comandos y de administración remota para configurar y administrar el entorno del servidor.

Si decide instalar esta opción, la instalación no será compatible con las actualizaciones de versiones anteriores. Por lotanto, debe realizarse una instalación limpia. Esta opción es conveniente para varios entornos debido a la pocaadministración requerida, la superficie de ataque reducida, el poco mantenimiento necesario y lo requisitos de menosespacio en disco. La diferencia de espacio obtenida al instalar Server Core es que sólo ocupa alrededor del 25% delespacio en disco que lo que usa una instalación Standard común.

Beneficios de la instalación Server Core

Beneficios de la instalación Server Core

Puntos clave

En Windows Server 2008, los administradores ahora pueden elegir instalar un entorno mínimo que evita la sobrecargaadicional. Si bien esta opción limita las funciones que puede llevar a cabo el servidor, puede mejorar la seguridad yreducir la administración. Este tipo de instalación se denomina instalación Server Core.

Las instalaciones Server Core brindan los siguientes beneficios:

Mantenimiento reducido

Superficie de ataque reducida

Administración reducida

Menos espacio en disco requerido


Server Core Installation Option (Opción de instalación Server Core)

Funciones del servidor compatibles con la instalación Server Core

Funciones del servidor compatibles con la instalación Server Core

Puntos clave

Una instalación Server Core es una opción de instalación del servidor mínima para Windows Server 2008. Lasinstalaciones Server Core ofrecen un entorno para ejecutar las siguientes funciones del servidor:

AD DS

AD LDS

Servidor DHCP

Servidor DNS

Servicios de archivo

Servidor de impresión

Servicios multimedia de transmisión por secuencias

Virtualización de Windows Server (Hyper-V)

La opción de instalación Server Core sólo instala el subconjunto de los archivos binarios que requieren las funcionesdel servidor compatibles. Por ejemplo, la interfaz de usuario (o “shell”) del Explorador de Windows no se instala comoparte de una instalación Server Core. En cambio, el símbolo del sistema es la interfaz de usuario predeterminada paraun servidor que ejecuta una instalación Server Core.



Características compatibles con la instalación Server Core

Características compatibles con la instalación Server Core

Puntos clave

Luego de completar la instalación Server Core y de configurar el servidor, se podrán instalar una o variascaracterísticas opcionales. La instalación Server Core de Windows Server 2008 es compatible con las siguientescaracterísticas opcionales:

Copia de seguridad

Cifrado de unidad Bitlocker

Clúster de conmutación por error

Entrada/salida (E/S) de múltiples rutas

NLB

Almacenamiento extraíble

SNMP

Subsystem for UNIX-based applications

Cliente Telnet

WINS

Nota: Clúster de conmutación por error no se encuentra disponible en Windows Server 2008 Standard Edition.


Server Core Installation Option of Windows Server 2008 Step-By-Step Guide (Guía paso a paso de la opciónde instalación Server Core de Windows Server 2008)

Administración de la instalación Server Core

Administración de la instalación Server Core

Puntos clave

La opción de instalación Server Core está diseñada para su uso en entornos donde los requisitos de alta seguridadprecisan una superficie mínima de ataque en un servidor o en organizaciones que tienen muchos servidores y sóloalgunos necesitan llevar a cabo tareas dedicadas.

Debido a que no se encuentra disponible una interfaz gráfica de usuario para muchas operaciones de Windows, usar laopción de instalación Server Core requiere que el administrador tenga experiencia en el uso de un símbolo del sistemao de las técnicas de scripting para la administración local del servidor. Como alternativa, se puede administrar lainstalación Server Core con complementos MMC desde otro equipo con Windows Server 2008. Para hacerlo,seleccione el equipo que ejecuta la instalación Server Core como un equipo remoto para administrar.



Installation and Configuration for Windows Remote Management (Instalación y configuración paraAdministración remota de Windows)

Laboratorio: Instalación y configuración de servidores y funciones delservidor

Laboratorio: Instalación y configuración de servidores y funciones delservidor

Objetivos

Al finalizar este laboratorio, podrá:

Describir el tipo de servidor adecuado necesario para un escenario de uso

Instalar y configurar funciones y características del servidor

Configurar Server Core y realizar tareas básicas de administración

Escenario

Deberán instalarse dos nuevos servidores para la infraestructura corporativa en el dominio WoodgroveBank.com. Losnuevos servidores son necesarios para aumentar los servicios de resolución de nombres DNS para una compañíaadquirida recientemente, Contoso.com, y para brindar Servicios de Terminal Server para algunas aplicaciones de líneade negocio que estarán disponibles para los empleados desde sus equipos de escritorio y desde sus hogaresdespués de su horario de trabajo. También será necesario instalar la capacidad de copia de seguridad para el servidorde Terminal Services en caso de que sea necesario para la recuperación de desastres.

Por razones de seguridad, el servicio DNS debe estar disponible sólo en uno de los nuevos servidores y serácomplemente administrado a través de las herramientas de administración remota luego de la configuración inicial.Será necesario asegurarse de que la configuración de firewall en el servidor DNS sea correcta para los puertos quedeben responder a las solicitudes de resolución de nombres DNS y para la administración remota.

Ejercicio 1: Identificación de tipos de servidor

Ejercicio 1: Identificación de tipos de servidor

Descripción general del ejercicio

En este ejercicio, analizará el escenario y responderá las siguientes preguntas relacionadas con un tipo posible deservidor y la implementación de una función.

Pregunta: Después de leer el escenario, ¿qué tipo de instalación, Core o Standard, sería adecuada para Servicios deTerminal Server? ¿Por qué?

Pregunta: ¿La instalación Core sería adecuada para el servidor DNS? De ser así, ¿existe algún inconveniente alconfigurar el servidor para que hospede esta función?

Pregunta: ¿Qué beneficios se obtendrían usando la opción de instalación Core para la función del servidor DNS?

Pregunta: ¿Qué funciones y características se necesitan en los servidores para cumplir con los requisitos delescenario provisto?

Ejercicio 2: Instalación y configuración de funciones y características delservidor

Ejercicio 2: Instalación y configuración de funciones y características del servidor

En este ejercicio, se instalará la función Terminal Services y la característica Copias de seguridad usando laherramienta administrativa Administrador de servidores.

Las principales tareas se realizarán como se detalla a continuación:

Iniciar las máquinas virtuales e iniciar sesión.1.

Asegurarse de haber completado los pasos en la Instalación del laboratorio.2.

Iniciar la consola Administrador de servidores.3.

Desde Administrador de servidores, instalar la función Terminal Services.4.

Visualizar los resultados de la instalación.5.

Instalar la característica Copias de seguridad desde la consola Administrador de servidores.6.

Comprobar que las herramientas Terminal Services y Copias de seguridad de Windows Server esténinstaladas.

7.

Tarea 1: Iniciar las máquinas virtuales e iniciar sesión

En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmentehaga clic en 6822A. Se inicia el Iniciador de laboratorio.

1.

En el Iniciador de laboratorio, junto a 6822A-NYC-DC1, haga clic en Iniciar.2.

En el Iniciador de laboratorio, junto a 6822A-NYC-SVR1, haga clic en Iniciar.3.

Inicie sesión en ambas máquinas virtuales como Woodgrovebank\Administrador usando la contraseñaPa$$w0rd.

4.

Minimice la ventana Iniciador de laboratorio.5.

Tarea 2: Iniciar la consola Administrador de servidores

En NYC-SVR1, abra la consola Administrador del servidor.

Tarea 3: Desde Administrador de servidores, instalar la función Terminal Services

Instale la función Terminal Services usando las siguientes opciones:1.

Funciones del servidor: Terminal Services

Servicios de funciones: Terminal Server

Método de autenticación: No necesita autenticación de nivel de red

Modo de licencia: Configurar más tarde

Grupos de usuarios: Administradores

Reinicie según sea necesario.2.

Tarea 4: Visualizar los resultados de la instalación

Inicie sesión en NYC-SVR1 con el nombre de usuario Woodgrovebank\administrador y la contraseñaPa$$w0rd.

1.

Una vez que haya iniciado sesión correctamente, se abrirá Administrador del servidor y se reanudará la configuraciónde Servicios de Terminal Server.

Cuando haya finalizado, aparecerá Instalación exitosa en el panel de detalles. Haga clic en Cerrar para salirde la página Resultados de la instalación. No cierre Administrador del servidor.

2.

Tarea 5: Instalar la característica Copias de seguridad desde la consola Administrador de servidores

En el panel de la lista Administrador del servidor, haga clic con el botón secundario en Características yluego haga clic en Agregar características. Aparecerá Asistente de Agregar características.

1.

Instale la opción Características de copia de seguridad de Windows Server.2.

En la página Resultados de instalación, compruebe que aparezca Instalación correcta en el panel dedetalles y luego haga clic en Cerrar. No cierre Administrador del servidor.

3.

La característica Copia de seguridad de Windows Server está instalada.

Tarea 6: Comprobar que las herramientas Terminal Services y Copias de seguridad de Windows Server estén instaladas

En el panel de la lista de Administrador del servidor, compruebe que Administrador del servidor(NYC-SVR1) esté seleccionado.

1.

Usando la barra de desplazamiento en el panel de detalles, desplácese hacia abajo hasta visualizar Resumende funciones y compruebe que Terminal Services aparezca en la lista.

2.

Desplácese hacia abajo hasta Resumen de características y compruebe que aparezca Copia de seguridadde Windows Server.

3.

Cierre Administrador del servidor.4.

Ejercicio 3: Configuración de Server Core y realización de Tareas básicasde administración

Ejercicio 3: Configuración de Server Core y realización de Tareas básicas de administración

En este ejercicio, configurará una instalación Core de Windows Server 2008 e instalará la función del servidor DNSusando herramientas de línea de comandos. Luego se conectará al servidor Core desde un equipo remoto deWindows Server 2008 usando una MMC personalizada para configurar la función del servidor DNS.

Las máquinas virtuales 6822A-NYC-DC1 y 6822A-NYC-SVR1 deben estar ejecutándose para completar este ejercicio.Asegúrese de iniciar las máquinas virtuales antes de comenzar con este ejercicio.


Iniciar la máquina virtual 6822A-NYC-SVR2.1.

Iniciar sesión en la instalación Server Core.2.

Usar herramientas de línea de comandos para establecer parámetros en la máquina virtual Server Core.3.

Conectar el servidor al dominio Woodgrovebank.com.4.

Iniciar sesión en la instalación Server Core.5.

Comprobar la configuración de firewall.6.

Usar el comando netsh para abrir puertos.7.

Visualizar el estado actual de las funciones e instalar la función del servidor DNS.8.

Administrar el servidor usando Administrador DNS desde un equipo remoto.9.

Cerrar todas las máquinas virtuales y eliminar los cambios.10.

Tarea 1: Iniciar la máquina virtual 6822A-NYC-SVR2

Restaure la ventana Iniciador de laboratorio.1.

En el Iniciador de laboratorio, junto a 6822A-NYC-SVR2, haga clic en Iniciar.2.


Tarea 2: Iniciar sesión en la instalación Server Core

Inicie sesión en NYC-SVR2 como Administrador usando la contraseña Pa$$w0rd.

Tarea 3: Usar herramientas de línea de comandos para establecer parámetros en la máquina virtual Server Core

Nombre del equipo=NYC-DNSSVR2

Dirección IP=10.10.0.12

Máscara=255.255.0

Puerta de enlace=10.10.0.1

DNS=10.10.0.10

Para determinar el nombre de equipo predeterminado asignado actualmente, escriba set en la ventana decomandos.

1.

Busque el atributo del nombre de equipo y escríbalo.2.

Para cambiar el nombre de equipo, escriba el siguiente comando y luego presione ENTRAR:3.

Netdom renamecomputer NYC-SVR2 /NewName:NYC-DNSSVR2

Escriba y para sí cuando se le solicite y luego presione ENTRAR.4.

En la ventana del comando, escriba el siguiente comando para establecer la dirección IP estática: Netshinterface ipv4 set address name=“conexión de área local” static 10.10.0.12 255.255.0.0 10.10.0.1 yluego presione ENTRAR.

5.

En la ventana del comando, escriba el siguiente comando para establecer el servidor DNS principal y luegopresione ENTRAR:

6.

Netsh interface ip set dnsserver “conexión de área local” static 10.10.0.10 primary

En el símbolo del sistema, escriba ipconfig /all y luego presione ENTRAR para comprobar la asignación dedirecciones IP.

7.

En el teclado, presione Alt derecho + Suprimir.8.

Elija reiniciar el equipo haciendo clic en Opciones de cierre en el panel derecho inferior de la ventana y luegohaga clic en Reiniciar.

9.

En la ventana Apagar seguidor de eventos, haga clic en Sistema operativo: Reconfiguración (Planeada)y luego haga clic en Aceptar. El servidor se reiniciará.

10.

Inicie sesión en el servidor con el nombre de usuario Administrador, usando la contraseña Pa$$w0rd.11.

Tarea 4: Conectar el servidor al dominio Woodgrovebank.com

En la ventana del comando, escriba el siguiente comando y luego presione ENTRAR.1.

netdom join NYC-DNSSVR2 /domain:WoodgroveBank.com /Userd:Administrador /passwordD:*

En el símbolo del sistema, escriba el siguiente comando y luego presione ENTRAR:2.

Pa$$w0rd

Nota: La pulsación de teclas no se reflejará en la pantalla. Recibirá un mensaje indicando que el comando se hacompletado correctamente y que debe reiniciar el equipo.

En el símbolo del sistema, presione Alt derecho + Suprimir, haga clic en el icono Apagar opciones y luego enReiniciar. Aparecerá el cuadro de diálogo Apagar Windows.

3.

En el cuadro Opción del cuadro de diálogo Apagar Windows, haga clic en Sistema operativo:Reconfiguración (Planeada) y luego haga clic en Aceptar.

4.

Tarea 5: Iniciar sesión en la instalación Server Core

Inicie sesión en el servidor con el nombre de usuario Administrador, usando la contraseña Pa$$w0rd.

Tarea 6: Comprobar la configuración de firewall

Use el comando netsh para visualizar la configuración actual de firewall. En la ventana del comando, escriba elsiguiente comando y luego presione ENTRAR:

Netsh firewall show state.

Nota: Observe que el Estado de firewall muestra que el Modo funcional está establecido en Habilitar. Esto significaque el Firewall de Windows está habilitado pero que no se han abierto puertos específicos.

Tarea 7: Usar el comando Netsh para abrir puertos


netsh firewall add portopening ALL 53 DNS-server


netsh firewall add portopening TCP 135 remote-admin


netsh firewall add portopening UDP 137 netbios-ns


netsh firewall add portopening UDP 138 netbios-dgm


netsh firewall add portopening TCP 139 netbios-ssn


netsh firewall add portopening TCP 445 netbios-ns


netsh firewall show config.

Nota: Observe que en Servicio de configuración para perfil de dominio, los servicios Archivo y Compartir impresora yEscritorio remoto se establecen en habilitar y se abren los puertos 53 de TCP y UDP para el servidor DNS.

Tarea 8: Visualizar el estado actual de las funciones e instalar la función del servidor DNS

En la ventana del símbolo del sistema, en el símbolo del sistema, escriba el siguiente comando y luegopresione ENTRAR:

1.

oclist

Nota: Compruebe que no haya funciones del servidor instaladas.

Use los comandos Ocsetup.exe y oclist para instalar el servidor DNS. Para hacerlo, en el símbolo del sistemaescriba el siguiente comando y luego presione ENTRAR:

2.

start /w ocsetup DNS-Server-Core-Role

Nota: El nombre de la función del servidor distingue mayúsculas de minúsculas.


oclist

Nota: Compruebe que Servidor-DNS-Core-Función esté instalado.

Tarea 9: Administrar el servidor usando Administrador DNS desde un equipo remoto

En NYC-DC1, abra la consola Administrador DNS.1.

Desde la consola DNS, conéctese a NYC-DNSSVR2.2.

Use la consola DNS para crear una zona de búsqueda directa para Contoso.com:3.

En el panel del árbol Consola raíz de Administrador DNS, expanda NYC-DNSSVR2 y luego haga clic enReenviar zonas de búsqueda.

1.

Haga clic con el botón secundario en Reenviar zonas de búsqueda luego haga clic en Nueva zona.2.

Haga clic en Siguiente en la página de Bienvenida al asistente de nueva zona.3.

Haga clic en Siguiente en el cuadro de diálogo Tipo de zona usando la configuración predeterminada paracrear una Zona principal.

4.

En la ventana Nombre de zona, escriba Contoso.com y luego haga clic en Siguiente.5.

Haga clic en Siguiente para aceptar el nombre predeterminado para el archivo de zona DNS.6.

En la ventana Actualización dinámica, haga clic en Siguiente para aceptar la configuración predeterminada.7.

En el cuadro de diálogo Completar asistente de nueva zona, haga clic en Finalizar para crear la nueva zona.8.

Cierre la consola Administrador DNS.9.

Tarea 10: Cerrar todas las máquinas virtuales y descartar los discos para deshacer

Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto de máquina virtual.1.

En el cuadro Cerrar, seleccione Apagar equipo y descartar cambios y luego haga clic en Aceptar.2.

Cierre 6822A Iniciador de laboratorio.3.

Revisión y conclusiones del módulo


Preguntas de revisión

Si su organización planea un proyecto de virtualización a gran escala para consolidar múltiples servidores enunos pocos servidores a gran escala, ¿qué versión de Windows sería la más adecuada para este proyecto ypor qué?

1.

¿Cuáles son los beneficios principales de usar la instalación Core para una versión Windows Server 2008?2.

Es responsable de varias aulas en una institución educativa. Las actualizaciones de imagen del sistemaoperativo de escritorio se realizan semanalmente y abarcan alrededor de 300 equipos. ¿Qué tipo de esquemade licencia por volumen funcionaría mejor (Servidor KMS o MAK) y por qué?

3.

¿Cuál es la diferencia entre una función y una característica? ¿Cómo se instala cada una?4.

Observaciones para la instalación de Windows Server 2008

Tenga en cuenta lo siguiente antes de instalar Windows Server 2008:

Puede instalar Windows Server 2008 sólo en equipos que usan Interfaz avanzada de configuración y energía(ACPI).

No se puede especificar un archivo personalizado de nivel de aplicación de hardware (HAL) con WindowsServer 2008.

El Firewall de Windows está habilitado de manera predeterminada. Las aplicaciones del servidor que debenrecibir conexiones entrantes no solicitadas no funcionarán correctamente hasta que se creen las reglas defirewall de entrada que las permitan.

La directiva obligatoria de firma de código de modo kernel se aplica a todos los software de modo kernel en lossistemas basados en x64 con Windows Server 2008.

No se puede actualizar una versión anterior de Windows Server a una instalación Core. Debe realizarse unainstalación limpia.

Procedimientos recomendados para la instalación de Windows Server 2008

Usar siempre controladores modo kernel firmados cuando estén disponibles. Esto es obligatorio para las instalacionesx64.

Instalar únicamente las funciones y características requeridas según el propósito deseado del servidor.

Permitir únicamente las conexiones entrantes que requieren las funciones y características instaladas en unservidor determinado.

Habilitar Escritorio remoto para los administradores en instalaciones Core. El shell será el símbolo del sistemapara las conexiones de terminales realizadas.

Herramientas

Herramienta Usar para Dónde encontrarla

MicrosoftManagementConsole

Administración local y remota para todas lasfunciones y características instaladas enWindows Server 2008.

Haga clic en Inicio y luego elija Herramientasadministrativas. Seleccione una herramientapreconfigurada o escriba MMC en el cuadroEjecutar para crear una consola MMC personalizadabasada en los complementos especificados.

Tareas inicialesde configuración

Configuración inicial del servidor. Las tareasincluyen nombre de equipo, actualizacionesautomáticas, funciones, características,configuración de firewall y configuración deescritorio remoto.

ICT se inicia cuando el administrador inicia sesión enla instalación de Windows Server 2008.

Administrador deservidores

Administración y mantenimiento de lainstalación y desinstalación de funciones ycaracterísticas.

Haga clic en Inicio y luego elija Herramientasadministrativas. Seleccione Administrador deservidores de las herramientas administrativasdisponibles.

Módulo 2: Configuración y solución de problemas de DNS

Módulo 2

Configuración y solución de problemas de DNS

Este módulo explica cómo configurar, administrar y solucionar problemas del servidor de Sistema de nombres dedominio (DNS) y las propiedades de zona para su uso en un entorno seguro.

Lección 1: Instalación de la función del servidor DNSLección 2: Configuración de la función del servidor DNSLección 3: Configuración de zonas DNSLección 4: Configuración de transferencias de zona DNSLección 5: Administración y solución de problemas de DNSLaboratorio: Configuración y comprobación de una solución DNS

Lección 1: Instalación de la función del servidor DNS

Lección 1:

Instalación de la función del servidor DNS

La función del servidor DNS es un componente esencial de una infraestructura de dominio de Windows Server® 2008.Esta lección brinda información acerca de la función DNS y el funcionamiento del espacio de nombres DNS. Además,esta lección brinda detalles acerca de los cambios en la función DNS para Windows Server 2008® e identifica lasobservaciones para implementar dicha función.

Descripción general de la función Sistema de nombres de dominio

Descripción general de la función Sistema de nombres de dominio

Puntos clave

DNS es un servicio de resolución de nombres que resuelve nombres en números. El servicio DNS es una base dedatos distribuida jerárquica. Esto significa que la base de datos se encuentra lógicamente dividida, lo que permite quemuchos servidores diferentes hospeden la base de datos mundial de nombres DNS.

Material de lectura adicional

Introducción a DNS

Understanding zones and zone transfer (Comprensión de zonas y transferencias de zona)

Descripción general del espacio de nombres DNS

Descripción general del espacio de nombres DNS

Puntos clave

El espacio de nombres DNS simplifica la forma en que un cliente DNS busca un equipo. Está organizadojerárquicamente o en niveles para distribuir la información en muchos servidores.


Planear el espacio de nombres de DNS

Designing a DNS Namespace (Diseño de un espacio de nombres DNS)

Mejoras en DNS para Windows Server 2008

Mejoras en DNS para Windows Server 2008

Puntos clave

Notará algunas de las ventajas de usar Windows Server 2008 con las nuevas características que incluye para la funcióndel servidor DNS. Estas características incluyen la carga de zonas en segundo plano, compatibilidad con IPv6,compatibilidad con controladores de dominio de sólo lectura y nombres únicos globales.


Novedades de DNS en Windows Server 2008

AD DS: Controladores de dominio de sólo lectura

Función del servidor DNS

Demostración: Instalación de la función del servidor DNS

Demostración: Instalación de la función del servidor DNS

Observaciones para la implementación de la función del servidor DNS

Observaciones para la implementación de la función del servidor DNS

Puntos clave

La función del servidor DNS es crítica en la configuración de Active Directory y de la infraestructura de red deWindows. Si se planea implementar DNS, deben considerarse varias observaciones:

Planeación de la capacidad del servidor

Dónde ubicar los servidores DNS

Disponibilidad del servicio


Tema de Ayuda: Planeación de servidores DNS

Lección 2: Configuración de la función del servidor DNS

Lección 2:

Configuración de la función del servidor DNS

La infraestructura DNS es la base para la resolución de nombres en Internet y en los dominios de Active Directory deWindows Server 2008. Esta lección brinda orientación e información acerca de los requisitos para configurar la funcióndel servidor DNS y explica las funciones básicas de un servidor DNS.

¿Cuáles son los componentes de una solución DNS?

¿Cuáles son los componentes de una solución DNS?

Puntos clave

Los componentes de una solución DNS incluyen servidores DNS, servidores DNS en Internet y clientes DNS.


Definición de DNS

Características de servidor

Características de cliente

Función del servidor DNS

Registros de recursos DNS

Registros de recursos DNS

Puntos clave

El archivo de zona DNS almacena registros de recursos. La lección siguiente analiza los archivos de zona másdetalladamente. Los registros de recursos especifican un tipo de recurso y la dirección IP para buscar el recurso. Elregistro de recursos más común es el registro de recursos A. Se trata de un registro simple que hace coincidir unnombre de host con una dirección IP. El host puede ser una estación de trabajo, un servidor u otro dispositivo de redcomo un enrutador.


Referencia de los registros de recursos

¿Qué son las sugerencias de raíz?

¿Qué son las sugerencias de raíz?

Puntos clave

Las sugerencias de raíz conforman la lista de los 13 servidores en Internet que la Autoridad de números asignados deInternet (IANA, Internet Assigned Numbers Authority) conserva y que el servidor DNS usa si no puede resolver unaconsulta DNS usando un reenviador DNS o su propia memoria caché. Las sugerencias de raíz son los servidores quese encuentran más alto en la jerarquía DNS y pueden brindar la información necesaria para que un servidor DNSrealice una consulta iterativa al nivel inmediatamente inferior del espacio de nombres DNS.


Actualizar las sugerencias de raíz en el servidor DNS

Deshabilitar la recursividad en el servidor DNS

¿Qué es una consulta DNS?

¿Qué es una consulta DNS?

Puntos clave

Una consulta DNS es el método que se usa para solicitar la resolución de nombres enviando una consulta a un servidorDNS. Existen dos tipos de consultas DNS: autoritativas y no autoritativas.

Es importante observar que los servidores DNS también pueden actuar como clientes DNS y enviar consultas DNS aotros servidores DNS.

¿Qué son las consultas recursivas?

¿Qué son las consultas recursivas?

Puntos clave

Una consulta recursiva puede tener dos resultados posibles:

Devuelve la dirección IP del host solicitada.

El servidor DNS no puede resolver una dirección IP.

Por razones de seguridad, algunas veces resulta necesario deshabilitar las consultas recursivas en un servidor DNS. Alhacerlo, el servidor DNS en cuestión no intentará reenviar sus consultas DNS a otro servidor. Esto puede resultar útilcuando se desea impedir que un servidor DNS determinado se comunique fuera de su red local.

¿Qué son las consultas iterativas?

¿Qué son las consultas iterativas?

Puntos clave

Las consultas iterativas brindan un mecanismo para obtener acceso a la información de nombres de dominio quereside en el sistema DNS y permiten a los servidores resolver nombres de manera rápida y eficaz en muchosservidores.


Cómo funciona la consulta DNS

¿Qué es un reenviador?

¿Qué es un reenviador?

Puntos clave

Un reenviador es un servidor DNS de una red que reenvía consultas DNS para nombres DNS externos a los servidoresDNS fuera de dicha red. También se pueden usar reenviadores condicionales para reenviar consultas de acuerdo connombres de dominio específicos.


Microsoft TechNet: Understanding forwarders (Comprensión de reenviadores)

Tema de Ayuda: Comprensión de reenviadores

Tema de Ayuda: Uso de reenviadores

¿Qué es el reenvío condicional?

¿Qué es el reenvío condicional?

Puntos clave

Un reenviador condicional es un servidor DNS en una red que reenvía consultas DNS de acuerdo con el nombre dedominio DNS que aparece en la consulta.

Cómo funciona el almacenamiento en caché del servidor DNS

Cómo funciona el almacenamiento en caché del servidor DNS

Puntos clave

El almacenamiento en caché de DNS aumenta el rendimiento del sistema DNS de la organización ya que reduce eltiempo que demoran las búsquedas DNS.

Cuando un servidor DNS resuelve correctamente un nombre DNS, almacenará dicho nombre en su memoria caché.Con el tiempo, esto genera una memoria caché de nombres de dominio y las direcciones IP asociadas de losdominios que la organización usa o a los que obtiene acceso con mayor frecuencia.


Tema de Ayuda: Instalar un servidor DNS de sólo caché

Demostración: Configuración de la función del servidor DNS

Demostración: Configuración de la función del servidor DNS

Lección 3: Configuración de zonas DNS

Lección 3:

Configuración de zonas DNS

Las zonas DNS son un concepto importante en la infraestructura DNS ya que permiten que los dominios DNS sedividan y se administren lógicamente. Esta lección brinda las bases para comprender cómo las zonas se relacionancon los dominios DNS y brinda información acerca de los distintos tipos de zonas DNS que están disponibles en lafunción DNS de Windows Server 2008.

¿Qué es una zona DNS?

¿Qué es una zona DNS?

Puntos clave

Una zona DNS hospeda todo o parte de un dominio y sus subdominios. La diapositiva muestra cómo los subdominiospueden pertenecer a la misma zona que sus dominios primarios o delegarse a otra zona. El dominio Microsoft.com sedivide en dos zonas. La primera zona hospeda www.microsoft.com y ftp.microsoft.com. Example.microsoft.com sedelega a una nueva zona, que hospeda example.microsoft.com y sus subdominios ftp.example.microsoft.com ywww.example.microsoft.com.



¿Cuáles son los tipos de zona DNS?

¿Cuáles son los tipos de zona DNS?

Puntos clave

Existen cuatro tipos de zona DNS:

Principal

Secundaria

De rutas internas

Integradas en Active Directory


Tema de Ayuda: Comprensión de tipos de zona

¿Qué son las zonas de búsqueda directa e inversa?

¿Qué son las zonas de búsqueda directa e inversa?

Puntos clave

La zona de búsqueda directa resuelve nombres de host en direcciones IP y hospeda los registros de recursoscomunes: A, CNAMES, SRV, MX, SOA y NS.

La zona de búsqueda inversa resuelve una dirección IP en un nombre de dominio y hospeda los registros SOA, NS yPTR.



¿Qué son las zonas de rutas internas?

¿Qué son las zonas de rutas internas?

Puntos clave

Una zona de rutas internas es la copia de una zona que contiene sólo aquellos registros de recursos que sonnecesarios para identificar los servidores DNS autoritativos de dicha zona. Una zona de rutas internas resuelvenombres entre espacios de nombres DNS independientes, que pueden ser necesarios cuando una fusión corporativarequiere que los servidores DNS de dos espacios de nombres DNS independientes resuelvan nombres para clientesen ambos espacios de nombres.



Demostración: Creación de zonas de búsqueda directa e inversa

Demostración: Creación de zonas de búsqueda directa e inversa

Delegación de zonas DNS

Delegación de zonas DNS

Puntos clave

DNS es un sistema jerárquico y la delegación de zonas conecta entre sí los niveles de DNS. Una delegación de zonasse dirige al nivel inmediatamente inferior en jerarquía e identifica los servidores de nombres responsables del dominiode nivel inferior.


Delegar zonas

Lección 4: Configuración de transferencias de zona DNS

Lección 4:

Configuración de transferencias de zona DNS

Las transferencias de zona DNS son el método mediante el que la infraestructura DNS mueve la información de zonaDNS de un servidor a otro. Esta lección describe los diferentes métodos que usa la función del servidor DNS altransferir zonas.

¿Qué es una transferencia de zona DNS?

¿Qué es una transferencia de zona DNS?

Puntos clave

Una transferencia de zona se produce cuando la zona DNS de un servidor se transfiere a otro servidor DNS.

Las transferencias de zona mantienen sincronizadas las zonas principales y secundarias de los servidores DNS. Deeste modo DNS construye su resistencia en Internet. Es importante que las zonas DNS permanezcan actualizadas enlos servidores principales y secundarios. Las diferencias entre las zonas principales y secundarias pueden causarinterrupciones del servicio y la resolución incorrecta de nombres de host.



Iniciar una transferencia de zona en un servidor secundario

Recargar o transferir una zona de rutas internas

Ajustar el intervalo de actualización de una zona

Ajustar el intervalo de reintento de una zona

Cómo funciona DNS Notify (Notificación DNS)

Cómo funciona DNS Notify (Notificación DNS)

Puntos clave

Una notificación DNS es una actualización a la especificación del protocolo DNS original que permite notificar a losservidores secundarios cuando ocurren cambios de zona.

Esto resulta útil en un entorno temporal en el que la precisión de los datos es importante.

Seguridad de transferencias de zona

Seguridad de transferencias de zona

Puntos clave

La información de zona brinda datos de la organización. Por lo tanto, se deben tomar precauciones para garantizar quese encuentre protegida contra acceso malintencionado y contra la sobreescritura con datos incorrectos (conocidocomo “envenenamiento” de DNS). Un modo de proteger la infraestructura DNS es asegurar las transferencias de zonay usar actualizaciones dinámicas seguras.


Tema de Ayuda: Lista de comprobación: asegurar el servidor DNS

Demostración: Configuración de transferencias de zona DNS

Demostración: Configuración de transferencias de zona DNS

Lección 5: Administración y solución de problemas de DNS

Lección 5:

Administración y solución de problemas de DNS

DNS es un servicio crucial en la infraestructura de Active Directory. Cuando el servicio DNS experimenta problemas, esimportante saber cómo solucionarlos e identificar los problemas frecuentes que pueden producirse en unainfraestructura DNS. Esta lección describe los problemas frecuentes de DNS, las áreas comunes para reunirinformación DNS y las herramientas que pueden usarse para la solución de problemas.

¿Qué son tiempo de vida, caducidad y borrado?

¿Qué son tiempo de vida, caducidad y borrado?

Puntos clave

El tiempo de vida (TTL), la caducidad y el borrado ayudan a administrar los registros de recursos DNS en los archivosde zona. Los archivos de zona pueden cambiar a través del tiempo, por lo tanto debe existir una manera de administrarlos registros DNS que se actualizan o que no son válidos porque los hosts a los que representan ya no forman parte dela red.


Habilitar el borrado automático de registros de recursos obsoletos

Iniciar el borrado inmediato de registros de los recursos obsoletos

Usar la caducidad y el borrado

Tema de Ayuda: Usar la caducidad y el borrado

Demostración: Administración de registros DNS

Demostración: Administración de registros DNS

Prueba de configuración del servidor DNS

Prueba de configuración del servidor DNS

Puntos clave

En la ficha Supervisión del servidor DNS, se puede configurar una prueba que permita al servidor DNS determinar sipuede resolver consultas simples locales y realizar una consulta recursiva para garantizar que el servidor puedacomunicarse con los servidores que preceden en la cadena.

Herramientas que identifican los problemas de DNS

Herramientas que identifican los problemas de DNS

Puntos clave

Pueden ocurrir problemas cuando no se configura adecuadamente el servidor DNS, sus zonas y sus registros derecursos. Cuando los registros de recursos causan problemas, algunas veces puede resultar más difícil identificarlosya que los problemas de configuración no siempre son evidentes.


Descripción de la utilidad DNSLint

Tema de Ayuda: Solución de problemas de servidores DNS

Solución de problemas de DNS

Demostración: Prueba de configuración del servidor DNS

Demostración: Prueba de configuración del servidor DNS

Supervisión de DNS usando el registro de eventos y el registro dedepuración de DNS

Supervisión de DNS usando el registro de eventos y el registro de depuración de DNS

Puntos clave

El servidor DNS cuenta con su propia categoría en el registro de eventos. Como en el caso de cualquier registro deeventos en Visor de eventos de Windows, se debe revisar el registro de eventos periódicamente.

Algunas veces quizá sea necesario obtener más detalles acerca de un problema de DNS que los que brinda Visor deeventos. En esta instancia, se puede usar el registro de depuración para brindar información adicional.

Laboratorio: Configuración y comprobación de una solución DNS

Laboratorio: Configuración y comprobación de una solución DNS

Objetivos

Configurar una infraestructura DNS para incluir una zona secundaria, una zona de rutas internas y asegurar lastransferencias de zona

Supervisar DNS

Ejercicio 1: Configuración de una infraestructura DNS

Ejercicio 1: Configuración de una infraestructura DNS

Escenario

Es el administrador principal de DNS en Woodgrove Bank. Ha recibido una solicitud para crear dos zonas DNS nuevas.La zona Nwtraders.msft es para una división del banco que requiere su propio dominio DNS. Esta división tambiéntendrá un grupo de administradores que controlen los registros de recursos de la zona. Contoso es una compañía queWoodgrove Bank ha adquirido recientemente. Para comenzar con las pruebas de integración, debe definir un dominioDNS denominado contoso.msft y probar diferentes configuraciones de zona. También debe probar la zona paraasegurarse de que sea resistente a errores.

Descripción general del ejercicio:

En este ejercicio, configurará la función del servidor DNS en un servidor miembro y configurará las zonas contoso.msfty nwtraders.msft. Luego, creará zonas secundarias para cada dominio y una zona de rutas internas paraNwtraders.msft.



Configurar la función del servidor DNS en NYC-SVR1.2.

Configurar la zona Contoso.msft en NYC-SVR1.3.

Configurar la zona Nwtraders.msft en NYC-DC1.4.

Configurar la seguridad de la transferencia de zona.5.

Configurar zonas secundarias para cada dominio en NYC-SVR1 y NYC-DC1.6.

Configurar una zona de rutas internas para Nwtraders.msft en NYC-SVR2.7.

Configurar opciones administrativas para el dominio Nwtraders.msft.8.


En la máquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luegohaga clic en 6822A. Se inicia Iniciador de laboratorio.

1.

En Iniciador de laboratorio, junto a 6822A-NYC-DC1, haga clic en Iniciar.2.

En Iniciador de laboratorio, junto a 6822A-NYC-SVR1, haga clic en Iniciar.3.


4.


Tarea 2: Configurar la función del servidor DNS en NYC-SVR1

En NYC-SVR1, en la consola Server Manager, agregue la función DNS Server.

Tarea 3: Configurar la zona Contoso.msft en NYC-SVR1

En NYC-SVR1, abra la consola DNS (en Herramientas administrativas).1.

Cree una zona principal de búsqueda directa denominada Contoso.msft.2.

Use las opciones predeterminadas en Asistente de nueva zona.3.

Tarea 4: Configurar la zona nwtraders.msft en NYC-DC1

En NYC-DC1, abra la consola DNS (en Herramientas administrativas).1.

Cree una zona principal de búsqueda directa integrada en Active Directory denominada nwtraders.msft.2.

Use las opciones predeterminadas en Asistente de nueva zona.3.

Tarea 5: Configurar transferencias de zona

En NYC-DC1, configure nwtraders.msft para permitir transferencias de zona a NYC-SVR1:1.

La dirección IP de NYC-SVR1 es 10.10.0.24.

En NYC-SVR1, configure contoso.msft para permitir transferencias de zona a NYC-DC1.2.

La dirección IP de NYC-DC1 es 10.10.0.10.

Responda la siguiente pregunta:3.

Pregunta: ¿Por qué es necesario configurar las transferencias de zona?

Tarea 6: Configurar las zonas secundarias para cada dominio

En NYC-DC1, use la consola DNS para configurar una zona secundaria directa para Contoso.msft:1.

La dirección del servidor de zona principal para Contoso.msft es 10.10.0.24.

En NYC-SVR1, use la consola DNS para configurar una zona secundaria directa para nwtraders.msft:2.

La dirección del servidor de zona principal para nwtraders.com es 10.10.0.10.

Tarea 7: Configurar una zona de rutas internas para WoodgroveBank.com

En NYC-SVR1, use la consola DNS para configurar una zona de rutas internas para WoodgroveBank.com:1.

La dirección del servidor de zona principal para WoodgroveBank.com es 10.10.0.10.

Haga clic en WoodgroveBank.com y anote los registros enumerados.2.

En NYC-DC1, en la consola DNS, haga clic en WoodgroveBank.com y compruebe que existen registrosadicionales que no están incluidos en una zona de rutas internas.

3.

Responda la siguiente pregunta:4.

Pregunta: ¿Por qué usar una zona de rutas internas en lugar de reenviadores condicionales?

Tarea 8: Configurar opciones administrativas para el dominio nwtraders.msft

En NYC-DC1, use la consola DNS para agregar el grupo DL Nwtraders Admins DNS a la lista de control deacceso de nwtraders.msft.

1.

Conceda los permisos Lectura, Escritura, Crear todos los objetos secundarios y Borrar todos losobjetos secundarios al grupo DL Nwtraders Admins DNS.

2.

Ejercicio 2: Supervisión y solución de problemas de DNS

Ejercicio 2: Supervisión y solución de problemas de DNS

Escenario

Algunos usuarios informan que tienen problemas para resolver nombres de dominio.

Debe analizar la infraestructura DNS para asegurar que no haya problemas.


En este ejercicio, realizará varias pruebas para asegurar que la infraestructura DNS esté funcionando correctamente.Usará varias herramientas de solución de problemas de DNS para validar la configuración y respuestas de DNS.


Probar consultas simples y recursivas.1.

Comprobar los registros SOA usando Nslookup.2.

Usar el comando Dnslint para comprobar los registros de servidores de nombres.3.

Visualizar las estadísticas de rendimiento usando la consola Rendimiento.4.

Comprobar la replicación DNS.5.

Cerrar todas las máquinas virtuales y descartar los discos para deshacer.6.

Tarea 1: Probar consultas simples y recursivas

En NYC-DC1, en la consola DNS, use la función Supervisión de servidor DNS para realizar Una consultarecursiva contra este servidor DNS.

Tarea 2: Comprobar los registros SOA usando Nslookup

En NYC-DC1, abra un símbolo del sistema y escriba nslookup.exe.1.

Configure un tipo de consulta SOA (Inicio de autoridad).2.

Busque los registros de recursos SOA para nwtraders.msft y contoso.msft.3.

Tarea 3: Usar el comando Dnslint para comprobar los registros de servidores de nombres

En NYC-DC1, abra un símbolo del sistema y ejecute el comando dnslint.exe para el dominio nwtraders.msften la dirección IP 10.10.0.10:

1.

El archivo dnslint.exe se encuentra en d:\ArchivosdeLaboratorio\dnslint.

Genere un informe Dnslint en un archivo html:2.

El parámetro /s especifica que Dnslint no se referirá a Internet para el dominio especificado.

El parámetro /d especifica el dominio que se debe buscar.

Nota: Consulte la documentación de Ayuda si necesita orientación.

Tarea 4: Visualizar las estadísticas de rendimiento usando la consola Performance

En NYC-DC1, use la consola Administrador de equipo para abrir Monitor de rendimiento.1.

Agregue los contadores DNS Una consulta simple contra este servidor DNS y Una consulta recursivacontra este servidor DNS.

2.

Use la característica Supervisión de las propiedades de Servidor DNS para generar solicitudes al servidor3.

DNS.

Revise los datos que generan las solicitudes en Monitor de rendimiento. Alterne entre las vistas de gráficos y deinformes.

4.

Tarea 5: Comprobar la replicación DNS

En NYC-DC1, use la consola DNS para agregar un registro de recursos A denominado Prueba a la zonanwtraders.msft. Use la dirección IP 10.10.0.15.

1.

Compruebe que el registro de recursos A creado en NYC-DC1 se haya replicado en NYC-SVR1.2.

Si el registro de recursos A no aparece, fuerce la replicación para que ocurra manualmente.3.


Nota: No apague las máquinas virtuales hasta que haya completado las Preguntas de revisión del laboratorio.

Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto de máquina virtual (VMRC).1.





Lab Review


Debe presentar a un cliente potencial las ventajas de usar Windows Server 2008. ¿Qué características nuevasdestacaría al debatir el uso de la función del servidor DNS en Windows Server 2008?

1.

Está implementando servidores DNS en un dominio de Active Directory y su cliente requiere que lainfraestructura sea resistente a puntos únicos de posibles errores. ¿Qué se debe considerar al planear laconfiguración DNS?

2.

¿Cuál es la diferencia entre las consultas recursivas y las consultas iterativas?3.

¿Qué se debe configurar antes de que una zona DNS pueda transferirse a un servidor DNS secundario?4.

Es el administrador de un entorno de DNS de Windows Server 2008. Su compañía adquirió otra compañíarecientemente. Desea replicar su zona DNS principal. La compañía adquirida usa Bind 4.9.4 para hospedar suszonas DNS principales. Advierte una gran cantidad de tráfico entre el servidor DNS de Windows Server 2008 yel servidor Bind. ¿Cuál es una posible razón de esto?

5.

Debe automatizar un proceso de configuración del servidor DNS para que pueda automatizar la implementaciónde Windows Server 2008. ¿Qué herramientas puede usar para hacerlo?

6.

Sugerencias acerca de problemas frecuentes y su resolución

Para resolver problemas de resolución de registros de recursos DNS:

Si el cambio en el registro de recursos es reciente, es posible que no se replique a todos los servidores DNS.

En organizaciones más grandes en las que DNS está integrado a Active Directory, la convergencia puededemorar más tiempo.

En ocasiones, el cliente puede almacenar en la memoria caché registros DNS inválidos. Por lo tanto, se debelimpiar la memoria caché de DNS local.

Los servidores de Internet pueden requerir tiempo adicional para actualizar la información de su propia memoriacaché y de su organización antes de que los cambios que se han realizado comiencen a funcionarcorrectamente.

Para resolver problemas de transferencias de zona DNS:

Asegúrese de que el servidor que intenta realizar la transferencia de zona tenga permitido el acceso a laconfiguración de la zona principal.

Asegúrese de que el servidor al que se transfiere la zona sea compatible con las características detransferencia de zona de Windows Server 2008. Quizá sea necesario desactivar algunas características.

Asegúrese de que un firewall u otros dispositivos de administración de puertos que se encuentren entre los dosservidores DNS no estén bloqueando el puerto 53 de UDP.

Para resolver problemas cuando el servidor DNS responde a las solicitudes lentamente:

Compruebe que otros programas no estén afectando al servidor con la función del servidor DNS.

Use Monitor de rendimiento para identificar la carga en el servidor que generan las solicitudes DNS. Quizáresulte necesario dividir la carga o crear subzonas adicionales.

Asegúrese de que no haya una gran cantidad de registros de recursos obsoletos.

Problemas y escenarios reales

Zonas DNS inversas

Por lo general, los administradores no crean zonas DNS inversas en su infraestructura DNS. En principio, esto no

generará problemas notorios. Sin embargo, muchas aplicaciones usan DNS inverso para resolver información denombres acerca de los hosts en los que se ejecutan.

Algunas aplicaciones requieren que se definan registros de recursos de zona inversa y de puntero. Muchosdispositivos de seguridad de correo electrónico y software comprueban periódicamente la existencia de un registroDNS inverso para la dirección IP que se comunica con éste.

Confianzas de DNS y de Active Directory

Cuando se crean confianzas entre dos dominios de Active Directory, la capacidad del dominio A de buscar registrosen el dominio B (y viceversa) está sujeta a la configuración de la infraestructura DNS. Rara vez puede obtenerseacceso a los dominios de Active Directory en Internet. Por lo tanto, se requiere que los reenviadores condicionales, laszonas de rutas internas y las zonas secundarias repliquen la infraestructura DNS a través de dominios y bosques.

Asegure las zonas contra el volcado de zona

De manera predeterminada, las transferencias de zona se encuentran deshabilitadas en Windows Server 2008.Cuando se configuran las transferencias de zona, uno de los procedimientos recomendados consiste en especificar ladirección IP de los servidores a los que se desea transferir los datos de zona. Se recomienda enfáticamente que laopción Permitir transferencia de zona a cualquier servidor no esté seleccionada, especialmente si el servidor está enInternet. Si esta opción está habilitada, es posible volcar la zona completa. Esto puede transmitir una importantecantidad de información sobre la red a posibles atacantes.

Procedimientos recomendados

Escriba la dirección de correo electrónico correcta de la persona responsable de cada zona a la que agregueun servidor DNS o lo administre. Las aplicaciones usan este campo para notificar a los administradores de DNSpor varias razones. Por ejemplo, los errores de consulta, los datos incorrectos devueltos en una consulta y losproblemas de seguridad son algunas de las maneras en que puede usarse este campo. Mientras que lamayoría de las direcciones de correo electrónico de Internet contienen el símbolo “@” para representar lapalabra “arroba” en el correo electrónico, este símbolo debe ser reemplazado por un punto (.) cuando seescribe una dirección de correo electrónico para este campo. Por ejemplo, en lugar de“[email protected]”, se debería usar “administrador.microsoft.com”.

Para obtener más información acerca de cómo configurar la persona responsable de una zona, consulte Modificar elregistro de inicio de autoridad (SOA) de una zona en http://technet2.microsoft.com/WindowsServer/en/library/e1f77652-7e1f-4902-9107-6b863ccb43501033.mspx.

Sea conservador al agregar registros de alias a las zonas.

Evite usar registros de recursos (RR) CNAME para que otorguen un alias a un nombre de host que usa un registro derecursos de host (A) si son innecesarios. Además, asegúrese de que otros RR no estén usando un nombre de aliasque ya usa.

DNS permite que un nombre de propietario de un registro de recursos CNAME se use como el nombre de propietariode otros tipos de registros de recursos, tales como los registros de recursos NS, MX y TXT.

Para obtener más información, consulte el Tema de Ayuda: Administración de registros de recursos.

Si está usando Active Directory, use el almacenamiento integrado de directorio para sus zonas DNS. Estoofrece mayor seguridad y tolerancia a errores y, además, simplifica la implementación y la administración.

Al integrar zonas puede simplificar la planeación de red. Por ejemplo, los controladores de dominio para cada uno desus dominios de Active Directory corresponden, en una asignación de uno a uno directa, a servidores DNS. Estopuede simplificar la planeación y la resolución de problemas de DNS y problemas de replicación de Active Directoryporque ambas topologías usan los mismos equipos servidor.

Si usa el almacenamiento integrado de directorio para sus zonas, puede elegir entre los diferentes ámbitos dereplicación que replican los datos de su zona DNS en todo el directorio. Si su infraestructura DNS debe ser compatiblecon servidores DNS de Windows 2000, usará el método de almacenamiento integrado de directorio que replica losdatos de zona DNS a todos los controladores del dominio. Si su infraestructura DNS está compuesta por servidoresDNS que se ejecutan sólo con Windows Server 2003, también podrá elegir entre los ámbitos de replicación quereplican los datos de zona DNS a todos los servidores DNS del bosque de Active Directory, todos los servidores DNSen un dominio de Active Directory especificado o todos los controladores de dominio especificados en un ámbito dereplicación personalizado.

Todo servidor DNS que hospede una zona integrada de directorio es un servidor DNS principal para dicha zona. Estohabilita un modelo con varios maestros en el que múltiples servidores DNS pueden actualizar los mismos datos dezona. Un modelo con varios maestros elimina un punto único de posibles errores asociado con una topología de DNS

convencional y de maestro único, donde las actualizaciones pueden realizarse sólo en un único servidor DNS para unazona determinada.

Una de las ventajas importantes de la integración de directorio es la compatibilidad con actualizaciones dinámicasseguras de los nombres dentro de una zona. Para obtener más información, consulte Actualización dinámica enhttp://technet2.microsoft.com/WindowsServer/en/library/e760737e-9e55-458d-b5ed-a1ae9e04819e1033.mspx.

Considere usar zonas secundarias para asistir a la descarga de tráfico de consultas DNS cuando seaapropiado.

Esto le permite usar servidores secundarios como medio para equilibrar la carga de tráfico de consultas DNS en sured y reservar sus servidores DNS principales habilitados para que sean usados sólo por aquellos clientes que losnecesitan para realizar registros y actualizaciones dinámicas de sus registros de recursos A y PTR.

Deshabilitar la recursión para los servidores que no responden a las consultas de los clientes o que se comunicanusando reenviadores. El hecho de que los servidores DNS se comuniquen entre sí usando consultas iterativas aseguraque el servidor sólo responda a las consultas que están dirigidas a él.

La consola DNS

La herramienta principal que se usa para administrar servidores DNS es la consola DNS, que se encuentra en lacarpeta Herramientas administrativas en el menú Inicio. Se puede usar la consola DNS sola o como una MMC,integrando aún más la administración de DNS en la administración total de la red. También se encuentra disponible enAdministrador de servidores en los equipos que tienen instalada la función del servidor DNS.

Herramientas de línea de comandos

La siguiente tabla describe las herramientas de línea de comandos que se usan comúnmente para configurar ysolucionar problemas de DNS:

Comando Descripción

Nslookup Se usa para realizar pruebas de consultas del espacio de nombres dedominio DNS.

Dnscmd Esta interfaz de la línea de comandos se usa para administrarservidores DNS. Esta utilidad resulta útil en el scripting de archivos porlotes, ya que contribuye a la automatización de las tareas deadministración de DNS de rutina o a establecer la instalación yconfiguración simple y desatendida de nuevos servidores DNS en sured.

Ipconfig EEste comando se usa para visualizar y modificar los detalles deconfiguración IP que usa el equipo. Esta utilidad incluye opcionesadicionales de línea de comandos para brindar ayuda en la solución deproblemas y soporte a clientes DNS.

DNSlint Ofrece varias pruebas automatizadas para comprobar que losservidores y los registros de recursos DNS estén configuradoscorrectamente y se dirijan a servicios válidos.

Este comando puede descargarse desde Microsoft enhttp://support.microsoft.com/kb/321045.

Herramientas de supervisión

La familia de Windows Server® 2008 incluye las siguientes opciones para supervisar servidores DNS:

Registro predeterminado de los mensajes de eventos del servidor DNS en el registro del servidor DNS. Losmensajes de eventos del servidor DNS son independientes y permanecen en su propio registro de eventos delsistema (el registro del servidor DNS) que se puede ver usando la consola DNS o Visor de eventos.

Opciones de depuración opcionales para realizar un registro de seguimiento a un archivo de texto en el equiposervidor DNS. También se puede usar la consola DNS para habilitar opciones de depuración adicionales pararealizar un registro de seguimiento temporal de la actividad del servidor DNS en un archivo de texto. El archivoque se crea y se usa para esta característica, Dns.log, se almacena en la carpeta raíz del sistema(systemroot)\System32\Dns.

Monitor de rendimiento de Windows. Se pueden supervisar contadores de rendimiento DNS específicos, entiempo real, para diagnosticar problemas de DNS y conflictos de recursos.


Nslookup Se usa para realizar pruebas de consultas del espacio de nombres dedominio DNS.

Dnscmd Esta interfaz de la línea de comandos se usa para administrarservidores DNS. Esta utilidad resulta útil en el scripting de archivos porlotes, ya que contribuye a la automatización de las tareas deadministración de DNS de rutina o a establecer la instalación yconfiguración simple y desatendida de nuevos servidores DNS en sured.

Ipconfig Este comando se usa para visualizar y modificar los detalles deconfiguración IP que usa el equipo. Esta utilidad incluye opcionesadicionales de línea de comandos para brindar ayuda en la solución deproblemas y soporte a clientes DNS.

DNSlint Ofrece varias pruebas automatizadas para comprobar que losservidores y los registros de recursos DNS estén configuradoscorrectamente y se dirijan a servicios válidos.

Este comando puede descargarse desde Microsoft enhttp://support.microsoft.com/kb/321045.

Módulo 3: Configuración y administración de WINS

Módulo 3

Configuración y administración de WINS

Este módulo explica cómo configurar, administrar y solucionar problemas de servidores de Servicio de nombresInternet de Microsoft® Windows® (WINS). WINS es un Servidor de nombre NetBIOS (NBNS) que puede usarse pararesolver nombres NetBIOS para direcciones IP.

Lección 1: Descripción general de Servicio de nombres Internet de WindowsLección 2: Administración del servidor WINSLección 3: Configuración de la replicación de WINSLección 4: Migración de WINS a DNSLaboratorio: Configuración de una infraestructura de WINS

Lección 1: Descripción general de Servicio de nombres Internet deWindows

Lección 1:

Descripción general de Servicio de nombres Internet de Windows

El propósito de WINS en una infraestructura de red es resolver nombres NetBIOS a direcciones IP para unacomunicación eficaz entre sistemas y aplicaciones que todavía usan nombres únicos. Las versiones anteriores de lossistemas operativos de Microsoft y algunas aplicaciones anteriores todavía usan este tipo de resolución, como lo haceel personal de algunas organizaciones para asociarse a los recursos, como por ejemplo los servidores web internos.Por ende, WINS aún se encuentra disponible y puede usarse, pero se quitará en versiones posteriores de WindowsServer®. Una vez que esto suceda, se encontrará disponible un nuevo tipo de zona Sistema de nombres de dominio(DNS) que puede replicarse entre los servidores DNS de Windows Server 2008 para resolver los nombres de espaciode nombres únicos.

¿Cuándo se necesita WINS?

¿Cuándo se necesita WINS?

Puntos clave

WINS resuelve nombres NetBIOS a direcciones IP, que pueden reducir el tráfico de difusión de NetBIOS y permitir alos clientes resolver los nombres NetBIOS de equipos que se encuentran en segmentos de red diferentes (subredes).

WINS es necesario si:

Las versiones anteriores de los sistemas operativos de Microsoft usan WINS para la resolución de nombres.

Algunas aplicaciones, en particular las versiones anteriores de aplicaciones, usan nombres NetBIOS.

Quizá se necesite un registro dinámico de nombres de una sola etiqueta.

Es posible que los usuarios usen las características Entorno de red o Mis sitios de red del explorador de red.

Quizá no esté usando Windows Server 2008 como infraestructura DNS.


Descripción general de Servicios de nombres Internet de Windows (WINS) de Windows 2000 Server

Por qué se continúa ejecutando Servicio de nombres Internet de Windows (WINS)

Descripción general de los componentes de WINS

Descripción general de los componentes de WINS

Puntos clave

Para instalar y configurar un servidor WINS correctamente, los administradores de sistemas deben comprender endetalle los componentes WINS y el modo en que funcionan en un entorno de red.

El sistema completo WINS de Windows Server 2008 incluye los siguientes componentes:

Servidor WINS

Base de datos de WINS

Clientes WINS

Agente Proxy de WINS

Nota: Windows Server 2008 le permite migrar de WINS a una solución DNS completa cuando su infraestructura escompatible con los requisitos previos presentados más adelante en este módulo. Lo anterior se logra usando una zonade nombres de una sola etiqueta, denominada NombresGlobales, en DNS de Windows Server 2008.


Componentes de WINS

Registro de clientes y proceso de lanzamiento de WINS

Registro de clientes y proceso de lanzamiento de WINS

Puntos clave

Registro de nombres es el proceso que realiza un cliente WINS que solicita y recibe el uso de un nombre NetBIOSpara los servicios que el cliente habilita en la red. La solicitud puede ser para un nombre único (exclusivo) o para unnombre de grupo (compartido).

Liberación de nombre es el proceso que realiza un cliente WINS que solicita la eliminación del registro de un nombreNetBIOS de la base de datos de WINS.


Comprobar el registro en WINS de los nombres NetBIOS de cliente

¿Qué es el control de ráfagas?

¿Qué es el control de ráfagas?

Puntos clave

El control de ráfagas permite a un servidor WINS administrar gran cantidad de solicitudes simultáneas de registro denombres.

El control de ráfagas permite que el servidor WINS responda de manera positiva e inmediata a los clientes WINS sinaceptar la solicitud de registro de nombres.


Control de ráfagas

Proceso de resolución de nombres del servidor WINS

Proceso de resolución de nombres del servidor WINS

Puntos clave

Antes de que los clientes puedan usar un servidor WINS para la resolución de nombres, primero se debe configurar alos clientes con la dirección IP del servidor WINS. Puede hacerlo manualmente usando el valor Protocolo de controlde transmisión/Protocolo de Internet (TCP/IP) local del cliente o de manera dinámica con el Protocolo de configuracióndinámica de host (DHCP).

Puede configurar a los clientes WINS con una lista de servidores WINS múltiples. Los clientes WINS intentan usarsolamente el primer servidor WINS que se encuentra en las configuraciones TCP/IP. Si el primer servidor WINS noresponde, los clientes WINS contactan a otros servidores WINS hasta que reciban una respuesta o agoten la lista deservidores WINS que se pueden usar.


Resolución de nombres de NetBIOS sobre TCP/IP y WINS

Microsoft TCP/IP Host Name Resolution Order (Orden de resolución de nombres de host TCP/IP de Microsoft)

¿Qué son los tipos de nodo NetBIOS?

¿Qué son los tipos de nodo NetBIOS?

Puntos clave

Un tipo de nodo NetBIOS es un valor configurable que determina el método que usará un equipo para resolver unnombre NetBIOS a una dirección IP. El tipo de nodo NetBIOS le permite a un administrador controlar qué métodos deresolución de nombres NetBIOS implementarán los clientes y el orden en que los usarán.

Comprender cómo funcionan los diversos tipos de nodos le ayudará a configurar la solución WINS de maneraadecuada. Windows Server 2008 es compatible con los siguientes tipos de nodo:

Nodo B (difusión)

Nodo P (punto a punto)

Nodo M (mixto)

Nodo H (híbrido)


Resolución de nombres de NetBIOS sobre TCP/IP y WINS

Demostración: Instalación y configuración de un servidor WINS

Demostración: Instalación y configuración de un servidor WINS

Lección 2: Administración del servidor WINS

Lección 2:

Administración del servidor WINS

Para que WINS funcione de manera eficaz en un entorno de Microsoft, los clientes y los servidores deben tener susnombres registrados con el servicio WINS. Es posible que, en ciertas circunstancias, las entradas incorrectas en labase de datos del servidor WINS generen problemas con la resolución de nombres NetBIOS.

Descripción general de los registros de cliente

Descripción general de los registros de cliente

Puntos clave

La base de datos de WINS está formada por los registros de cliente. Un registro de cliente cuenta con informacióndetallada para cada servicio dependiente de NetBIOS que se ejecuta en un cliente WINS.

WINS muestra todos los registros en la base de datos y organiza la información del registro WINS en las siguientescolumnas:

Nombre de registro

Tipo

Dirección IP

Estado

Estático

Propietario

Versión

Expiración


Ver registros de WINS

Demostración: Filtrado y visualización de registros en WINS

Demostración: Filtrado y visualización de registros en WINS

Cómo funciona el borrado

Cómo funciona el borrado

Puntos clave

El borrado es el proceso de eliminación y remoción de entradas expiradas de la base de datos de WINS. El borradotambién elimina entradas que se replicaron desde un servidor WINS remoto y que no fueron eliminadas de la base dedatos de WINS local. El borrado mantiene el estado de información correcta en la base de datos al examinar cadaregistro que le pertenece al servidor WINS, comparar la marca de hora del registro con la hora actual y luego cambiarel estado de los registros que han expirado. Por ejemplo, el borrado modifica el estado de un registro de activo aliberado.


Mantener la base de datos WINS

Eliminación de registros de WINS

Eliminación de registros de WINS

Puntos clave

Se puede recuperar el espacio no utilizado al eliminar los registros obsoletos en la base de datos de WINS. Laconsola de administración de WINS brinda una mejora en la administración de la base de datos al ser compatible conlas siguientes operaciones de eliminación:

La eliminación básica de los registros de la base de datos de WINS que se encuentran almacenados en unabase de datos de un servidor único.

La eliminación de desechos es la eliminación de registros que se encuentran marcados para ser eliminados(desechados) de la base de datos de WINS únicamente después de haber sido replicados a las bases dedatos en otros servidores WINS.

La capacidad para seleccionar varios grupos de los registros de base de datos mostrados cuando se lleva acabo una eliminación básica o de desechos.


Eliminar y desechar registros

Copia de seguridad y restauración de la base de datos de WINS

Copia de seguridad y restauración de la base de datos de WINS

Puntos clave

En caso de no poder reparar los daños en la base de datos producidos por un error en el sistema, un ataque de virus,un error de alimentación u otro desastre, es posible restaurar la base de datos desde una copia de seguridad.

La consola de administración de WINS brinda herramientas de copia de seguridad para la base de datos de WINS.


Mantener la base de datos WINS

Compactación de la base de datos de WINS

Compactación de la base de datos de WINS

Puntos clave

Recuperar el espacio no utilizado en una base de datos de WINS ayuda a mantener el rendimiento. Al compactar labase de datos de WINS, se puede recuperar el espacio no utilizado.

La compactación dinámica tiene lugar como un proceso en segundo plano durante tiempos de inactividad mientras seactualiza la base de datos. Esto reduce la necesidad de realizar la compactación sin conexión.

Nota: WINS usa el formato de base de datos de Jet para almacenar sus datos. Jet genera un archivo J<n>.log y otrosarchivos en la carpeta %raíz del sistema (systemroot)%\System32\Wins.



How to Use Jetpack.exe to Compact a WINS or DHCP Database (Cómo usar Jetpack.exe para compactar unabase de datos de WINS o DHCP)


Demostración: Administración de la base de datos del servidor WINS

Demostración: Administración de la base de datos del servidor WINS

Lección 3: Configuración de la replicación de WINS

Lección 3:

Configuración de la replicación de WINS

De manera predeterminada, un servidor WINS contiene información solamente acerca de sus propios clientes. A fin deasegurar una resolución de nombres NetBIOS eficaz en un entorno con varios servidores WINS, cada uno de losservidores WINS necesitará conocer todos los clientes, sin tener en cuenta el servidor WINS que registró al cliente.

En la replicación WINS participan dos servidores WINS que mantienen datos consistentes en los múltiples servidoresWINS.

La configuración predeterminada para los asociados de replicación de WINS es el tipo de replicación porinserción/extracción.

Nota: En lugar de replicar la base de datos en su totalidad, los servidores WINS replican solamente los cambiosrealizados en sus bases de datos.

¿Qué es la replicación por inserción?

¿Qué es la replicación por inserción?

Puntos clave

La replicación por inserción es el proceso de copiar datos WINS actualizados desde un servidor WINS a otrosservidores WINS cada vez que llega a un umbral de cambios especificado.

Se debe configurar un asociado de replicación como un asociado de inserción si los vínculos de comunicación rápidaconectan los servidores.


Servidores asociados de inserción

¿Qué es la replicación por extracción?

¿Qué es la replicación por extracción?

Puntos clave

La replicación por extracción es el proceso de copiar datos WINS actualizados desde un servidor WINS a otroservidor WINS a intervalos específicos y configurables.

Se debe configurar un asociado de replicación como un asociado de extracción si los vínculos de comunicación lentaconectan los servidores WINS.


Servidores asociados de extracción

¿Qué es la replicación por inserción/extracción?

¿Qué es la replicación por inserción/extracción?

Puntos clave

En el proceso de replicación por inserción/extracción, un servidor WINS actualiza sus registros con nuevas entradasde base de datos desde sus asociados de replicación, basándose en un umbral e intervalo de replicación.

Se debe configurar un asociado de replicación como un asociado de inserción/extracción si se desea especificar tantoun umbral como un intervalo de replicación para el asociado.

Los asociados de replicación de WINS se encuentran configurados de manera predeterminada como asociados deinserción/extracción.


Introducción a la replicación WINS

Demostración: Configuración de las propiedades del asociado dereplicación de WINS

Demostración: Configuración de las propiedades del asociado de replicación de WINS

Comprobación de la coherencia de la base de datos de WINS

Comprobación de la coherencia de la base de datos de WINS

Puntos clave

Comprobar la coherencia en la base de datos de WINS ayuda a mantener la integridad de la base de datos entre losservidores WINS en una red extensa.

Cuando se inicia la comprobación de coherencia en la consola de administración de WINS, los registros secomprueban en base a todos los propietarios enumerados en la base de datos del servidor actual, incluyendo otrosservidores WINS que son asociados de replicación indirectos (no configurados directamente).


Comprobar manualmente la coherencia de la base de datos

Lección 4: Migración de WINS a DNS

Lección 4:

Migración de WINS a DNS

En la actualidad, numerosos clientes de Microsoft implementan tecnología y servidores WINS en su entorno.

Para ayudar a los clientes a migrar a DNS para toda la resolución de nombres, la función del servidor DNS en WindowsServer 2008 es compatible con la característica especial GlobalNames Zone – Zona de NombresGlobales (GNZ).GNZ está diseñada para habilitar la resolución de estos nombres globales, estáticos y de una sola etiqueta paraservidores usando DNS.

Se espera que GNZ sirva de ayuda para la retirada de WINS. No obstante, no es un reemplazo de WINS.

Resolución de nombres para un nombre de una sola etiqueta

Resolución de nombres para un nombre de una sola etiqueta

Puntos clave

De manera predeterminada, los clientes DNS anexan sufijos que obtienen de varios orígenes para resolver un nombrede una sola etiqueta.


Documento para la implementación de la zona GlobalNames del servidor DNS

¿Qué es la zona NombresGlobales (GlobalNames)?

¿Qué es la zona NombresGlobales (GlobalNames)?

Puntos clave

La zona NombresGlobales no es un nuevo tipo de zona, pero su nombre reservado la distingue. El nombreNombresGlobales le indica al servicio del Servidor DNS con Windows Server 2008 que se usará la zona para laresolución de un sólo nombre.

La implementación GNZ recomendada se realiza usando una zona integrada de Servicios de dominio de ActiveDirectory (AD DS) (denominada NombresGlobales) que se distribuye globalmente.


Documento para la implementación de la zona NombresGlobales del servidor DNS

Cómo funciona la resolución de nombres de la zona NombresGlobales

Cómo funciona la resolución de nombres de la zona NombresGlobales

Puntos clave

El proceso de resolución de nombres de la zona NombresGlobales:

Un usuario escribe http://mycontoso en la barra de direcciones del explorador en un equipo que se encuentraunido al dominio engineering.corp.contoso.com.

1.

El explorador pide a la función GetAddrInfo() que resuelva el nombre mycontoso.2.

GetAddrInfo() invoca el cliente DNS para resolver el nombre.3.

El cliente DNS envía las siguientes consultas calificadas (basadas en la lista de búsqueda de sufijos):4.

mycontoso.engineering.corp.contoso.com àError de nombre

mycontoso.accounting.corp.contoso.com à Error de nombre

mycontoso.itgroup.corp.contoso.com àError de nombre

Si se produce un error en las consultas calificadas, el servidor DNS busca la zona NombresGlobales (si estáconfigurada) e intenta resolver el nombre de una sola etiqueta de la zona.

5.



Requisitos de instalación para implementar la zona NombresGlobales

Requisitos de instalación para implementar la zona NombresGlobales

Puntos clave

Existen diferentes métodos para implementar la zona NombresGlobales:

Implementar varios bosques

Implementar todos los dominios y equipos de cliente en todos los bosques

Usar un conjunto selecto de servidores DNS para hospedar GNZ



Demostración: Migración de WINS a DNS usando la zona NombresGlobales

Demostración: Migración de WINS a DNS usando la zona NombresGlobales

Laboratorio: Configuración de una infraestructura de WINS

Laboratorio: Configuración de una infraestructura de WINS

Objetivos

Instalar WINS

Configurar el control de ráfagas de WINS

Configurar la replicación de WINS

Migrar de WINS a DNS

Escenario

Se le asigna la tarea de instalar un segundo servidor WINS para el dominio Woodgrovebank para la tolerancia a erroresy usar una resolución de servidor WINS secundario para los clientes de dominio. La coherencia de la base de datos yla velocidad de convergencia son de suma importancia. Se debe establecer la replicación para asegurarse de que losregistros se repliquen en el vector de cambio o vector temporal, lo que ocurra primero.

Después de implementar correctamente el servidor WINS secundario, la administración desea que se pruebe la nuevazona NombresGlobales en el DNS de Windows Server 2008 para ayudar a retirar los servidores WINS que usa eldominio Woodgrovebank. Al personal de TI no le resulta fácil la tarea de mantener la lista de búsqueda de sufijos denombres de dominio y los dominios Woodgrovebank todavía usan nombres de una sola etiqueta para los nombres deservidores web internos. Se debe instalar y comprobar que esta nueva opción en DNS ayudará a la hora de retirar losservidores WINS existentes.

Ejercicio 1: Instalación de WINS

Ejercicio 1: Instalación de WINS


En este ejercicio, se instalará la característica WINS en 6822A-NYC-SVR1.



Abrir la consola Administrador de servidores.2.

Instalar la característica WINS.3.



1.




4.


Tarea 2: En 6822A-NYC-SVR1, iniciar la consola Administrador del servidor

Abra Herramientas administrativas.1.

Inicie Administrador del servidor.2.

Resultado: Se abre la consola Administrador de servidores.

Tarea 3: Desde la consola Administrador de servidores, instalar la característica WINS

En Administrador del servidor, use el Asistente de Agregar características para instalar la característicaWINS en 6822A-NYC-SVR1.

1.

En la página Resultados de la instalación, compruebe que la instalación se haya realizado correctamenteantes de cerrar el asistente.

2.

Resultado: Se instala la característica WINS en 6822A-NYC-SVR1.

Importante: No cerrar sesión ni apagar las máquinas virtuales en este momento.

Ejercicio 2: Configuración del control de ráfagas de WINS

Ejercicio 2: Configuración del control de ráfagas de WINS


En este ejercicio, se configurará el control de ráfagas, se creará un registro estático, se configurarán intervalos deborrado y clientes para que usen los servidores WINS para la resolución de NetBIOS.


Configurar el servidor WINS para el control de ráfagas.1.

Crear una entrada estática en la base de datos de WINS.2.

Configurar el borrado en el servidor WINS.3.

Configurar NYC-DC1 para usar el servidor WINS para la resolución de NetBIOS.4.

Probar la resolución de nombres NetBIOS.5.

Tarea 1: Configurar el servidor WINS para el control de ráfagas

En NYC-SVR1, inicie la consola WINS.1.

Configure Control de ráfagas con la opción Baja.2.

Tarea 2: Crear una entrada estática en la base de datos de WINS

En la consola WINS, cree una Nueva asignación estática con las siguientes propiedades:1.

Nombre de equipo HRWEB

Dirección IP 10.10.0.10

Use Registraciones activas para comprobar que exista la nueva entrada estática.2.

Nota: No cierre la consola WINS.

Tarea 3: Configurar el borrado en el servidor WINS para que se realice cada siete días

En el cuadro de diálogo WINS Propiedades para NYC-SVR1, use la ficha Intervalos para establecer el valorExtinción del tiempo de espera a 7 Días.

Tarea 4: Configurar 6822A-NYC-DC1 para usar el servidor WINS para la resolución de NetBIOS

En NYC-DC1, abra Conexiones de red y luego propiedades de Conexión de área local.1.

En el cuadro de diálogo Propiedades de conexión de área local, en Esta conexión usa los siguienteselementos, abra las propiedades de TCP/IPv4.

2.

Haga clic en Opciones avanzadas y configure el equipo para que use el servidor WINS (dirección IP de10.10.0.24).

3.

Tarea 5: Probar las capacidades de resolución de nombres NetBIOS

En NYC-DC1, en una ventana de comandos, escriba ping hrweb.

La resolución de nombres debería realizarse correctamente y resolver 10.10.0.10.

Ejercicio 3: Configuración de la replicación de WINS

Ejercicio 3: Configuración de la replicación de WINS


En este ejercicio, se configurará la característica WINS en 6822A-NYC-SVR1 y 6822A-NYC-DC1 para que losasociados de replicación por inserción/extracción mantengan la coherencia de los registros WINS.


Configurar la replicación por inserción y extracción en NYC-DC1.1.

Configurar la replicación por inserción y extracción en NYC-SVR1.2.

Comprobar la replicación.3.

Tarea 1: Configurar la replicación por inserción y extracción en NYC-DC1

Abra WINS desde el menú Herramientas administrativas.1.

En la ventana Herramienta administrativa de WINS, use Asociados de replicación para seleccionar unnuevo asociado de replicación con la dirección IP 10.10.0.24.

2.

En el panel de detalles Asociados de replicación se muestra NYC-SVR1 como asociado Insertar/Extraer.

Tarea 2: Configurar la replicación por inserción y extracción en NYC-SVR1

Abra WINS desde el menú Herramientas administrativas.1.

En la ventana Herramienta administrativa de WINS, use Asociados de replicación para seleccionar unnuevo asociado de replicación con la dirección IP 10.10.0.10.

2.

En el panel de detalles Asociados de replicación se muestra NYC-DC1 como asociado Insertar/Extraer.

Tarea 3: Comprobar la replicación

En NYC-SVR1, fuerce la replicación y luego compruebe que los registros se muestren de 10.10.0.10 y10.10.0.24 como propietarios.

1.

En NYC-DC1, fuerce la replicación y luego compruebe que los registros se muestren de 10.10.0.10 y10.10.0.24 como propietarios.

2.

Ejercicio 4: Migración de WINS a DNS

Ejercicio 4: Migración de WINS a DNS


En este ejercicio, se migrará una resolución de nombres de una sola etiqueta desde WINS a la zona NombresGlobalesen DNS.


Crear una zona NombresGlobales y habilitar la funcionalidad GNZ.1.

Crear un registro de alias para un recurso de nombres de una sola etiqueta.2.

Retirar WINS.3.

Comprobar la resolución de nombres de una sola etiqueta NombresGlobales.4.


Tarea 1: Crear una zona NombresGlobales y habilitar la funcionalidad GNZ

En NYC-DC1, abra la consola DNS desde el menú Herramientas administrativas.1.

Crear una nueva zona de búsqueda directa con el nombre NombresGlobales, un ámbito de replicación quesea amplitud de bosque y no permitir actualizaciones dinámicas.

2.

Abra un símbolo del sistema administrativo.3.

Escriba Dnscmd NYC-DC1 /config /HabilitarSoporte1deNombresGlobales y luego presione Entrar.4.

Tarea 2: Crear el registro de alias para un recurso de nombres de una sola etiqueta

En la consola Administrador DNS, cree un registro Nuevo Alias (CNAME) en la zona de búsqueda directaNombresGlobales con el nombre de alias HRWEB y un FQDN NYC-DC1.Woodgrovebank.com.

1.

Cierre la consola Administrador DNS.2.

Tarea 3: Retiro de WINS en NYC-DC1 y NYC-SVR1

En NYC-DC1 y NYC-SVR1, inicie la consola Administrador del servidor desde el menú Herramientasadministrativas.

1.

Quite la característica WINS de NYC-DC1 y NYC-SVR1. Reinicie según sea necesario.2.

Tarea 4: Comprobar la resolución de nombres de una sola etiqueta NombresGlobales

Inicie sesión en NYC-DC1 como Administrador usando la contraseña Pa$$w0rd.1.

Inicie sesión en NYC-SVR1 como Administrador usando la contraseña Pa$$w0rd.2.

Complete la eliminación de WINS en ambos servidores, según se requiera.3.

En NYC-DC1, abra un símbolo del sistema y luego escriba ping hrweb.4.

El comando ping se realiza correctamente y resuelve nyc-dc1.woodgrovebank.com.


Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).1.






En el caso de una base de datos dañada en WINS, en la que se había especificado una ubicación para la copiade seguridad durante la configuración, ¿qué pasos deben seguirse para reparar el servidor WINS a fin de quese encuentre en estado operativo?

1.

¿Cuáles son algunos de los beneficios que se pueden obtener usando la GNZ en DNS para resolución denombres de una sola etiqueta?

2.

Su organización está pensando en retirar sus servidores WINS y usar DNS para toda la resolución de nombres.¿Qué pasos deberían seguirse para garantizar que se realice correctamente, en caso de que sea posiblehacerlo?

3.

¿Es posible usar WINS en un entorno IPv6? ¿Qué se debe configurar en los clientes de Windows para quepuedan usar el servidor WINS para la resolución de NetBIOS?

4.

Observaciones para los Servicios WINS

Asegúrese de tener en cuenta las siguientes observaciones antes de instalar servicios WINS:

WINS es tecnología heredada. Debe retirar WINS en su entorno, de ser posible.

De necesitar registro dinámico de nombres NetBIOS en su entorno, la opción GNZ en DNS no es una buenaopción. Se necesita WINS.

Si está usando WINS en su entorno, asegúrese de que todos los servidores también posean las direcciones IPde los servidores WINS que desea usar en sus configuraciones de IP.


Use los valores predeterminados para configurar los servidores WINS.

Evite usar entradas WINS estáticas que no sean para servidores críticos.

Seleccione por inserción/extracción al configurar los asociados de replicación.

Para obtener resultados óptimos en la replicación de WINS y el tiempo de convergencia, use un modelo dediseño Concentrador y periferia.

Use sólo la cantidad necesaria de servidores WINS.

Para mejorar el rendimiento del servidor, adquiera hardware con características de rendimiento de discoóptimas para administrar WINS.

Supervise y realice la compactación sin conexión regular.

Haga copias de seguridad regulares de la base de datos de WINS.

Configure clientes con más de una dirección IP de servidor WINS.

Configure cada uno de los equipos servidores de WINS para que se señalen a sí mismos.

Use NBTSTAT -RR para registrar y solucionar problemas relacionados con la conectividad del cliente.

Herramientas


Consola deadministraciónde Microsoft

Administración local yremota de todas lasfunciones y característicasinstaladas en WindowsServer 2008.

Haga clic en Inicio y luego elijaHerramientas administrativas.Seleccione una herramientapreconfigurada o escriba mmc en lacasilla Ejecutar para crear una consolaMMC personalizada basada en loscomplementos especificados.

Herramientaadministrativade WINS

Configuración del servicioWINS en servidoresremotos y en el servidorlocal.

Haga clic en Inicio y luego elijaHerramientas administrativas.Seleccione WINS de las herramientasadministrativas disponibles.

Administradorde servidores

Administración ymantenimiento de lainstalación ydesinstalación defunciones ycaracterísticas.

Haga clic en Inicio y luego elijaHerramientas administrativas.Seleccione Administrador deservidores de las herramientasadministrativas disponibles.

Herramientaadministrativade DNS

Configuración del servicioDNS en servidoresremotos o en el servidorlocal.

Haga clic en Inicio y luego elijaHerramientas administrativas.Seleccione DNS de las herramientasadministrativas disponibles.

Módulo 4: Configuración y solución de problemas de DHCP

Módulo 4

Configuración y solución de problemas de DHCP

Este módulo explica cómo configurar, administrar y solucionar problemas de Servidores de Protocolo de configuracióndinámica de host (DHCP) y ámbitos DHCP.

Lección 1: Descripción general de la función del servidor DHCPLección 2: Configuración de ámbitos y opciones DHCPLección 3: Administración de una base de datos DHCPLección 4: Supervisión y solución de problemas de DHCPLección 5: Seguridad de DHCPLaboratorio: Configuración y solución de problemas de la función del servidor DHCP

Lección 1: Descripción general de la función del servidor DHCP

Lección 1:

Descripción general de la función del servidor DHCP

DHCP cumple una función importante en la infraestructura de Windows Server® 2008. Es el medio principal paradistribuir información de red relevante a clientes de red e incluye aspectos importantes de muchas otras herramientashabilitadas para la red, incluyendo Servicios de implementación de Windows (WDS) y Protección de acceso a redes(NAP). Al finalizar esta lección, podrá identificar los beneficios de DHCP y describir cómo funciona el protocolo DHCPy cómo se controla DHCP en una red del servicio de directorio de Active Directory® de Windows Server 2008.

Beneficios de usar DHCP

Beneficios de usar DHCP

Puntos clave

El protocolo DHCP simplifica la configuración de clientes IP en un entorno de red.

Con la función del Servidor DHCP, se puede asegurar que todos los clientes tengan la misma información deconfiguración, lo cual elimina el error humano durante la configuración.

Nuevas características de DHCP en Windows Server 2008

Nuevas características de DHCP en Windows Server 2008

Puntos clave

La función DHCP en Microsoft Windows Server 2008 es compatible con varias características nuevas.

Es compatible con la configuración con estado y sin estado de DHCPv6 para configurar clientes en un entornoIPv6.

La Protección de acceso a redes con DHCP ayuda a aislar equipos potencialmente infectados con malware dela red corporativa.

DHCP puede instalarse como una función en una instalación Server Core de Windows Server 2008.


Servidor DHCP

El Protocolo DHCPv6

Cómo DHCP asigna direcciones IP

Cómo DHCP asigna direcciones IP

Puntos clave

DHCP asigna direcciones IP basado en una dinámica denominada concesión. Se puede establecer el valor deconcesión a ilimitado. Sin embargo, por lo general el valor representa sólo unas pocas horas o días. El tiempopredeterminado de concesión es de ocho horas.


How DHCP Works (Cómo funciona DHCP)

Cómo funciona la Generación de concesiones DHCP

Cómo funciona la Generación de concesiones DHCP

Puntos clave

El proceso de generación de concesiones del protocolo DHCP incluye cuatro pasos que habilitan al cliente paraobtener una dirección IP. Comprender cómo funciona cada paso ayudará a solucionar problemas cuando los clientesno pueden obtener una dirección IP:

El cliente DHCP difunde un paquete DHCPDISCOVER.1.

Cualquier Servidor DHCP en la subred responderá difundiendo un paquete DHCPOFFER.2.

El cliente recibirá el paquete DHCPOFFER.3.

Los Servidores DHCP recibirán DHCPREQUEST.4.


Solicitudes de comentarios: 1531 Protocolo de configuración dinámica de host

TCP/IP Fundamentals for Microsoft Windows (Fundamentos de TCP/IP para Microsoft Windows): Chapter 6 -Dynamic Host Configuration Protocol (Capítulo 6: Protocolo de configuración dinámica de host)

Cómo funciona la Renovación de concesiones DHCP

Cómo funciona la Renovación de concesiones DHCP

Puntos clave

Cuando la concesión DHCP haya alcanzado el 50 por ciento del tiempo de la concesión, el cliente intentará renovarla.Este es un proceso automático que se lleva a cabo en segundo plano. Los equipos pueden tener la misma direcciónIP durante un largo período si funcionan de manera continua en una red sin apagarse.


Solicitudes de comentarios: 1531 Protocolo de configuración dinámica de host

Autorización del servidor DHCP

Autorización del servidor DHCP

Puntos clave

DHCP permite que un equipo cliente obtenga información de configuración acerca de la red en la que se ha iniciado.La comunicación DHCP se lleva a cabo antes de cualquier autenticación del usuario o del equipo y, debido a que elprotocolo DHCP se basa en difusiones IP, un Servidor DHCP configurado de manera incorrecta puede brindarinformación no válida a los clientes. Para evitarlo, el servidor debe estar autorizado.


Recursos DHCP

Networking Collection (Colección de redes)

Demostración: Agregar la función del servidor DHCP

Demostración: Agregar la función del servidor DHCP

Lección 2: Configuración de ámbitos y opciones DHCP

Lección 2:

Configuración de ámbitos y opciones DHCP

Los administradores deben configurar los ámbitos DHCP al finalizar la instalación de la función DHCP en el servidor.Un ámbito DHCP es el método principal a través del que se pueden configurar opciones para un grupo de direccionesIP. Se basa en una subred IP y puede tener una configuración específica de hardware o grupos personalizados declientes. En esta lección, se describen los superámbitos, las opciones de ámbito y la administración de ámbitos.

¿Qué son los ámbitos DHCP?

¿Qué son los ámbitos DHCP?

Puntos clave

Un ámbito DHCP es un intervalo de direcciones IP disponibles para la concesión. Por lo general, un ámbito se limita alas direcciones IP en una subred determinada.

¿Qué son los superámbitos y los ámbitos de multidifusión?

¿Qué son los superámbitos y los ámbitos de multidifusión?

Puntos clave

Un superámbito es una colección de ámbitos agrupados en un conjunto administrativo. Esto permite a los clientesrecibir una dirección IP de múltiples subredes lógicas, incluso cuando se encuentran en la misma subred física.

Un ámbito de multidifusión es una colección de direcciones de multidifusión del intervalo de direcciones IP clase D de224.0.0.0 a 239.255.255.255. Estas direcciones se usan cuando las aplicaciones necesitan comunicarse de maneraeficaz con varios clientes al mismo tiempo.

Demostración: Configuración de ámbitos DHCP

Demostración: Configuración de ámbitos DHCP

¿Qué son las opciones DHCP?

¿Qué son las opciones DHCP?

Puntos clave

Los Servidores DHCP pueden configurar más que sólo una dirección IP. Además, brindan información acerca de losrecursos de red, tales como los Servidores DNS y la puerta de enlace predeterminada. Se pueden aplicar las opcionesDHCP a nivel del servidor, del ámbito, del usuario y del proveedor.

Un código de opción identifica las opciones DHCP y la mayoría de estos códigos proviene de la documentaciónSolicitudes de comentarios (RFC) que se encuentra en el sitio web del Grupo de trabajo de ingeniería de Internet(IETF).


DHCP Tools and Settings (Herramientas y configuración de DHCP)

Solicitudes de comentarios: 2132: Opciones DHCP y Extensiones de proveedor BOOTP

¿Qué son las opciones a nivel de clase DHCP?

¿Qué son las opciones a nivel de clase DHCP?

Puntos clave

Las opciones DHCP pueden aplicarse a distintos niveles, tales como a nivel de servidor y de ámbito. Quizá seanecesario aplicar opciones de ámbito a tipos personalizados de equipos o grupos de usuarios específicos.

Se especifican las opciones a nivel de clase cuando se debe configurar un dispositivo que pertenece a una clasedeterminada de una manera específica. Una clase es un grupo definido lógicamente en base a los atributos deldispositivo basado en IP. Esto puede basarse en datos específicos del proveedor o puede estar definido por elusuario.

Las opciones a nivel de clase incluyen:

Clase de proveedor

Clase de usuario


Recursos DHCP

Utilizar clases de opciones

¿Qué es una Reserva DHCP?

¿Qué es una Reserva DHCP?

Puntos clave

Se realiza una reserva DHCP cuando se aparta una dirección IP dentro de un ámbito para usarla con un cliente DHCPdeterminado.

La configuración de reservas le permite centralizar la administración de direcciones IP fijas.

Se pueden configurar opciones DHCP personalizadas para las reservas. Esta configuración invalidará todas las otrasopciones DHCP que se configuren a niveles superiores.

Tamaño y disponibilidad de DHCP

Tamaño y disponibilidad de DHCP

Puntos clave

Al configurar ámbitos DHCP y opciones de ámbitos, debe considerarse cuántas direcciones IP asignar y cómo seimplementará la tolerancia a errores. El procedimiento recomendado es tener más de un Servidor DHCP en la red. Encaso de producirse un error en un servidor, habrá un servidor de reserva listo para conceder direcciones IP.


Configurar ámbitos

Prácticas recomendadas de DHCP

Cómo se aplican las opciones DHCP

Cómo se aplican las opciones DHCP

Puntos clave

Si ha configurado opciones DHCP a múltiples niveles (servidor, ámbito, clase y reserva), DHCP aplicará las opciones alos equipos cliente en el siguiente orden:

Nivel de servidor1.

Nivel de ámbito2.

Nivel de clase3.

Nivel de cliente reservado4.

Es importante comprender estas opciones al solucionar problemas de DHCP.


Recursos DHCP

Demostración: Configuración de opciones DHCP

Demostración: Configuración de opciones DHCP

Lección 3: Administración de una base de datos DHCP

Lección 3:

Administración de una base de datos DHCP

La base de datos DHCP almacena información acerca de las concesiones de direcciones IP. Es importantecomprender cómo hacer una copia de seguridad de la base de datos y solucionar los problemas de la base de datos,en caso de que ocurran. En esta lección se describe cómo administrar la base de datos y sus datos.

Descripción general de Escenarios de administración de DHCP

Descripción general de Escenarios de administración de DHCP

Puntos clave

La base de datos del Servidor DHCP contiene datos de configuración acerca del servidor DHCP e información acercade las concesiones de IP de cliente. Si esta información se daña o es inconsistente, puede causar errores deconfiguración de red en los equipos de los clientes. También podría provocar que se ofrezca la misma dirección IP amúltiples clientes.

Los escenarios de administración pueden incluir:

Administración del crecimiento de la base de datos DHCP.

Copias de seguridad y restauración.

Coherencia de la base de datos DHCP.

Movimiento de la base de datos DHCP.

Agregar clientes.

Agregar nuevos servidores de servicio de red.

Agregar nuevas subredes.

¿Qué es una base de datos DHCP?

¿Qué es una base de datos DHCP?

Puntos clave

La base de datos DHCP es el archivo de datos que almacena la información de configuración de DHCP y los datos deconcesión para clientes que han concedido una dirección IP desde el Servidor DHCP.

La base de datos del Servidor DHCP es dinámica y se actualiza a medida que se asignan los clientes DHCP o quelanzan sus parámetros de configuración TCP/IP.

Cómo se hace una copia de seguridad y se restaura una base de datosDHCP

Cómo se hace una copia de seguridad y se restaura una base de datos DHCP

Puntos clave

Se puede hacer una copia de seguridad de la base de datos DHCP de manera manual o configurarla para que serealice automáticamente. La copia de seguridad automática se denomina sincrónica. La copia de seguridad manual sedenomina asincrónica.

Copia de seguridad automática (sincrónica). Se hace una copia de seguridad de la base de datos DHCP demanera automática cada 60 minutos.

Copia de seguridad manual (asincrónica). Si existe la necesidad inmediata de crear una copia de seguridad, sepuede ejecutar la opción de copia de seguridad en la consola DHCP.


Backing up the DHCP database (Copia de seguridad de la base de datos DHCP)

Restaurar datos del servidor

Cómo conciliar una base de datos DHCP

Cómo conciliar una base de datos DHCP

Puntos clave

Conciliar ámbitos puede solucionar inconsistencias, tales como información incorrecta o faltante para las direccionesIP de cliente que se almacenan en la información de una concesión de ámbito.

El servicio Servidor DHCP almacena información de concesión de direcciones IP de un ámbito de dos maneras:

Información detallada acerca de la concesión de direcciones IP, almacenada en la base de datos DHCP

Información resumida acerca de la concesión de direcciones IP, que almacena el Registro del servidor

Movimiento de una base de datos DHCP

Movimiento de una base de datos DHCP

Puntos clave

En caso de que deba moverse la función del Servidor DHCP a otro servidor, se recomienda mover también la base dedatos al nuevo servidor. Esto asegura que se conserven las concesiones de cliente y reduce la posibilidad de quesurjan problemas de configuración de cliente.

Inicialmente se mueve la base de datos haciendo una copia de seguridad de la misma en el Servidor DHCP anterior.Luego, debe apagarse el servicio DHCP en el Servidor DHCP anterior. La base de datos DHCP se copia al nuevoservidor, donde se la puede restaurar usando el procedimiento normal de restauración de la base de datos.

Opciones de configuración del servidor DHCP

Opciones de configuración del servidor DHCP

Puntos clave

Las opciones de configuración del Servidor DHCP definen los comportamientos de todo el servidor. Algunasconfiguraciones también afectan los ámbitos que hospeda el servidor.

Opciones generales. Estas opciones habilitan al administrador para establecer las estadísticas de DHCP parala depuración y la solución de problemas.

Opciones DNS. Es importante configurar las opciones DNS si existen dispositivos o sistemas operativos queno actualizan su información DNS automáticamente.

Opciones de Protección de acceso a redes. Esto le permite configurar la aplicación de Protección de acceso aredes (NAP) en uno o varios ámbitos.

Opciones avanzadas. Estas opciones le permiten al administrador forzar el Servidor DHCP para quecompruebe si existen conflictos de IP cuando un cliente DHCP solicita una dirección IP determinada.

Demostración: Administración de una base de datos DHCP

Demostración: Administración de una base de datos DHCP

Lección 4: Supervisión y solución de problemas de DHCP

Lección 4:

Supervisión y solución de problemas de DHCP

DHCP es el servicio principal en entornos de red modernos. Si el servicio DHCP no funciona correctamente o si existeuna situación que causa problemas con el Servidor DHCP, es importante saber que ocurre un problema y cómoubicarlo. En esta lección se examinarán problemas frecuentes de DHCP y se aprenderá a diagnosticarlos ysolucionarlos.

Descripción general de la supervisión de DHCP

Descripción general de la supervisión de DHCP

Puntos clave

DHCP es un protocolo dinámico. Con frecuencia, los cambios en el entorno de red causan cambios en el ServidorDHCP para adaptarse al nuevo entorno.

DHCP cuenta con tres fuentes de información que pueden usarse para la supervisión:

Estadísticas de DHCP

Eventos DHCP en Visor de eventos

Datos de rendimiento de DHCP

Problemas frecuentes de DHCP

Problemas frecuentes de DHCP

Puntos clave

La siguiente tabla describe y brinda ejemplos de problemas frecuentes de DHCP:

Problema Descripción Ejemplo

Conflictos dedirección

Se ofrece la misma dirección IP ados clientes distintos.

Un administrador elimina una concesión. Sin embargo, elcliente que tiene la concesión aún cree que la concesiónes válida. Si el Servidor DHCP no comprueba la direcciónIP, puede lanzar la dirección IP a otra máquina causandoun conflicto de direcciones. Esto también puede ocurrir sidos servidores DHCP tienen ámbitos superpuestos.

Error al obtener unadirección DHCP

El cliente no recibe unadirección DHCP y, en cambio,recibe una direcciónautoasignada de Dirección IPprivada automática (APIPA).

Si el controlador de la tarjeta de red de un cliente estáconfigurado de manera incorrecta, puede causar unerror al intentar obtener una dirección DHCP.

Dirección obtenidade un ámbitoincorrecto

El cliente obtiene una direcciónIP de un ámbito incorrecto, locual causa problemas en lascomunicaciones.

Por lo general, esto ocurre porque el cliente estáconectado a la red incorrecta.

La base de datosDHCP sufre daño opérdida de datos

La base de datos DHCP no sepuede leer o se pierde debido aun error de hardware.

Un error de hardware puede dañar la base de datos.

El servidor DHCPagota su grupo dedirecciones IP

Los ámbitos IP del servidorDHCP se han agotado. Todonuevo cliente que solicite unadirección IP será rechazado.

Se conceden todas las direcciones IP asignadas a unámbito.

¿Qué son las estadísticas de DHCP?

¿Qué son las estadísticas de DHCP?

Puntos clave

Las estadísticas DHCP brindan información acerca de la actividad y el uso de DHCP. Se puede usar esta consola paradeterminar rápidamente si existe un problema con el servicio DHCP o con los clientes DHCP de la red.

¿Qué es un archivo de registro de auditoría de DHCP?

¿Qué es un archivo de registro de auditoría de DHCP?

Puntos clave

El registro de auditoría brinda un registro rastreable de la actividad del Servidor DHCP. Se puede usar este registropara realizar un seguimiento de las solicitudes de concesiones, de las concesiones y denegaciones y, además, estainformación permite solucionar problemas de rendimiento del Servidor DHCP.


Audit logging (Registro de auditoría)

Supervisión del rendimiento del servidor DHCP

Supervisión del rendimiento del servidor DHCP

Puntos clave

Los contadores de rendimiento de DHCP estarán disponibles luego de instalar la función del Servidor DHCP. Luego,se podrá usar Monitor de rendimiento para cargar los contadores de rendimiento.

Un Servidor DHCP no debería, por lo general, tener una carga de red pesada. Sin embargo, si nota que las longitudesde cola están registrando valores altos de manera constante, deberá comprobar el servidor en busca de cuellos debotella que puedan estar reduciendo el rendimiento de DHCP.


Referencia de la supervisión de rendimiento de DHCP

Demostración: Supervisión de DHCP

Demostración: Supervisión de DHCP

Lección 5: Seguridad de DHCP

Lección 5:

Seguridad de DHCP

El protocolo DHCP no tiene ningún método integrado para autenticar usuarios. Esto significa que si no se tomanprecauciones, podrían otorgarse concesiones IP a dispositivos y usuarios malintencionados. En esta lección, sedescribe cómo impedir que los usuarios no autorizados obtengan una concesión, cómo administrar Servidores DHCPRogue y cómo configurar Servidores DHCP para que puedan ser administrados por un grupo específico.

Seguridad de DHCP

Seguridad de DHCP

Puntos clave

Las razones para asegurar DHCP incluyen:

Impedir que un usuario no autorizado obtenga una concesión.

Impedir que los Servidores DHCP no autorizados y que no sean de Microsoft concedan direcciones IP.

Restringir la administración de DHCP.

Impedir que un usuario no autorizado obtenga una concesión

Impedir que un usuario no autorizado obtenga una concesión

Puntos clave

DHCP por sí solo puede ser difícil de asegurar. Esto se debe a que el protocolo está diseñado para funcionar antesde que la información necesaria esté lista para que un equipo cliente realice una autenticación con un controlador dedominio.

Las precauciones básicas que deben tomarse para limitar el acceso no autorizado incluyen:

Asegurarse de reducir el acceso físico.

Habilitar el registro de auditoría en todos los Servidores DHCP.

Autenticar usuarios.

Implementar NAP.


Network Access Protection (Protección de acceso a redes)

Step-by-Step Guide: Demonstrate DHCP NAP Enforcement in a Test Lab (Guía paso a paso: demostrar elcumplimiento NAP para DHCP en un Laboratorio de prueba)

Impedir que los servidores DHCP no autorizados y que no sean deMicrosoft concedan direcciones IP

Impedir que los servidores DHCP no autorizados y que no sean de Microsoft concedandirecciones IP

Puntos clave

Muchos dispositivos y sistemas operativos de red tienen implementaciones del Servidor DHCP. Las redes casi nuncason homogéneas en su naturaleza y, por lo tanto, es posible que en algún momento un Servidor DHCP que nocomprueba si existen servidores autenticados de Active Directory sea habilitado en la red. En este caso, los clientespueden obtener datos de configuración incorrectos.

Para eliminar un Servidor DHCP no autorizado, debe buscarlo e impedir que se comunique en la red, ya seafísicamente o deshabilitando el servicio DHCP.


Administrar el acceso al servidor

Restringir la administración de DHCP


Puntos clave

El grupo Administradores DHCP está ubicado en los grupos integrados en los controladores de dominio o en losservidores locales, ya que el grupo local Administradores DHCP se usa para restringir y otorgar acceso paraadministrar Servidores DHCP.

La autorización de un servicio DHCP sólo está disponible para Administradores de Empresa. Si se necesita que unadministrador de nivel inferior autorice el dominio, es posible hacerlo usando la delegación de Active Directory.

Cualquier usuario del grupo Administradores DHCP puede administrar el servicio DHCP del servidor.

Cualquier usuario en el grupo Usuarios DHCP puede tener acceso de sólo lectura a la consola.



Laboratorio: Configuración y solución de problemas de la función delservidor DHCP


Puntos clave

El grupo Administradores DHCP está ubicado en los grupos integrados en los controladores de dominio o en losservidores locales, ya que el grupo local Administradores DHCP se usa para restringir y otorgar acceso paraadministrar Servidores DHCP.

La autorización de un servicio DHCP sólo está disponible para Administradores de Empresa. Si se necesita que unadministrador de nivel inferior autorice el dominio, es posible hacerlo usando la delegación de Active Directory.

Cualquier usuario del grupo Administradores DHCP puede administrar el servicio DHCP del servidor.

Cualquier usuario en el grupo Usuarios DHCP puede tener acceso de sólo lectura a la consola.



Ejercicio 1: Instalación y autorización de la función del servidor DHCP

Ejercicio 1: Instalación y autorización de la función del servidor DHCP

Escenario

Ha sido designado como el Administrador de red en Woodgrove Bank, que ha abierto recientemente una nuevadivisión que necesita un servicio DHCP configurado para alrededor de 200 clientes. Debe configurar un ServidorDHCP para la nueva división.


En este ejercicio, instalará la función DHCP y luego autorizará el servidor en el dominio woodgrovebank.com.


Iniciar las máquinas virtuales 6822A-NYC-DC1 y 6822A-NYC-CL1 e iniciar sesión como Administrador.1.

Configurar la función del Servidor de DHCP en NYC-DC1.2.

Autorizar la función del Servidor de DHCP en NYC-DC1.3.

Tarea 1: Iniciar las máquinas virtuales 6822A-NYC-DC1 y 6822A-NYC-CL1 e iniciar sesión como Administrador

En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmentehaga clic en 6822A. Se inicia Iniciador de laboratorio.

1.


En Iniciador de laboratorio, junto a 6822A-NYC-CL1, haga clic en Iniciar.3.


4.


Tarea 2: Configurar la función del Servidor DHCP en NYC-DC1

En NYC-DC1, use Administrador del servidor para agregar la función Servidor DHCP:

Enlace el servicio DHCP a la dirección IP: 10.10.0.10.

Use los valores predeterminados para todos los pasos excepto Deshabilitar DHCPv6 para aplicaciones enesta red.

Asegúrese de que Omitir autorización de este Servidor DHCP en AD DS

Tarea 3: Autorizar la función del Servidor DHCP en NYC-DC1

En NYC-DC1, use la consola DHCP para autorizar el Servidor DHCP de NYC-DC1.woodgrovebank.com.

Ejercicio 2: Configuración de un ámbito DHCP

Ejercicio 2: Configuración de un ámbito DHCP

Escenario

Debe configurar un ámbito DHCP para alrededor de 200 clientes. El ámbito debe brindar información acerca delservidor DNS y la puerta de enlace predeterminada como parte de la información que reciben los clientes al solicitaruna dirección DHCP.


En este ejercicio, configurará un nuevo ámbito DHCP, activará el ámbito y configurará opciones de ámbito de maneratal que los clientes reciban la información correcta al conceder una dirección IP.


Configurar un ámbito DHCP.1.

Configurar opciones de ámbito DHCP.2.

Probar el ámbito usando una estación de trabajo de cliente.3.

Tarea 1: Configurar un ámbito DHCP

En NYC-DC1, use la consola Administrador del servidor para crear un nuevo ámbito DHCP IPv4:1.

Nombre del ámbito: Ámbito de red de casa matriz

El intervalo de direcciones IP para el ámbito: De 10.10.0.1 a 10.10.0.254 usando una máscara de subred255.255.0.0

Debe agregarse un intervalo de exclusiones de 10.10.0.1 a 10.10.0.30 para servidores y otros dispositivos queusan una dirección IP estática

Una hora de duración de la concesión

No configure ninguna opción de ámbito adicional

En NYC-CL1, establezca las propiedades Conexión de área local para la configuración DHCP en laspropiedades IPv4 para la configuración de la dirección IP y de la resolución de DNS. Reinicie NYC-CL1 y luegoinicie sesión como Administrador usando la contraseña Pa$$w0rd.

2.

Asegúrese de que el equipo cliente pueda obtener una dirección IP. Compruebe que el cliente estéconfigurado con una puerta de enlace predeterminada.

3.

Pregunta: ¿Por qué la Conexión de área local configurada para DHCP no tiene una puerta de enlace predeterminada?

Tarea 2: Configurar opciones de ámbito DHCP

En NYC-DC1, use la consola DHCP para configurar la opción de ámbito DHCP Enrutador 003 para que sedirija a 10.10.0.1.

Nota: Asegúrese de configurar las opciones de ámbito y no las opciones del servidor.

Tarea 3: Probar el ámbito usando una estación de trabajo de cliente

En NYC-CL1, use el símbolo del sistema y la utilidad ipconfig para probar si el cliente puede obtener unadirección IP y una puerta de enlace predeterminada, tal como lo especifica la tarea anterior.

Ejercicio 3: Solución de problemas frecuentes de DHCP

Ejercicio 3: Solución de problemas frecuentes de DHCP

Escenario

El Servidor DHCP ahora está configurado. Para asegurar un tiempo de inactividad mínimo, su departamento hasolicitado que el equipo de administración de DHCP solucione varios escenarios potenciales de problemas deconfiguración.


Ejecutará un script que configurará el Servidor DHCP de manera tal que no funcione correctamente. Solucionará losproblemas de configuración causados por el script usando la información disponible.


Comprobar la información de concesión DHCP.1.

Modificar la configuración del Servidor DHCP usando scripts para simular problemas de configuración.2.

Comprobar la capacidad de un cliente para conceder una dirección IP.3.

Determinar por qué el Servidor DHCP no está asignando direcciones IP.4.

Identificar la información que se ha modificado.5.

Configurar el Servidor DHCP con la información correcta del enrutador.6.

Configurar el Servidor DHCP con la información correcta del Servidor DNS.7.

Configurar DHCP con el período adecuado de concesión.8.

Comprobar la información concedida al cliente.9.


Tarea 1: Comprobar la información de concesión DHCP

En NYC-CL1, compruebe la información de concesión y observe la siguiente configuración:

Dirección IPv4

Máscara de subred

Puerta de enlace predeterminada

Duración de la concesión

Tarea 2: Modificar la configuración del Servidor DHCP usando scripts para simular problemas de configuración

En un símbolo del sistema, ejecute el script D:\ArchivosdeLaboratorio\Módulo4\DHCP.vbs.

Tarea 3: Comprobar la capacidad de un cliente para conceder una dirección IP

En NYC-CL1, use ipconfig para determinar el problema más grave que afecta al Servidor DHCP.

Tarea 4: Determinar por qué el Servidor DHCP no está asignando direcciones IP

En NYC-DC1, determine si el ámbito DHCP está activado.

Tarea 5: Identificar la información que se ha modificado

En NYC-CL1, identifique la información que ha cambiado. Compare la configuración con la observada antes deejecutar el script DHCP.VBS.

Tarea 6: Configurar el Servidor DHCP con la información correcta del enrutador

En NYC-DC1, compruebe la información del enrutador configurada en las opciones de ámbito.

Tarea 7: Configurar el Servidor DHCP con la información correcta del Servidor DNS

En NYC-DC1, compruebe la información del servidor DNS configurada en las opciones de ámbito.

Tarea 8: Configurar DHCP con el período adecuado de concesión

En NYC-DC1, compruebe que el período de concesión configurado en las propiedades del ámbito seacorrecto.

Tarea 9: Comprobar la información concedida al cliente

En NYC-CL1, use ipconfig para asegurarse de que el cliente esté configurado como lo estaba antes deejecutar el script DHCP.VBS.







Lab Review


¿Cuál es el beneficio principal de usar DHCP?1.

¿Con qué nueva característica de seguridad se integra DHCP para forzar a los equipos cliente a cumplir con lasdirectivas de seguridad de la compañía?

2.

¿Cuáles son los cuatro mensajes de difusión DHCP que se usan cuando se realiza una concesión correcta dedirecciones?

3.

¿En qué momento de una concesión DHCP por lo general el cliente renueva la concesión automáticamente?4.

¿Por qué usaría un superámbito?5.

¿Cuáles son los tres orígenes de datos para supervisar DHCP?6.

Sugerencias acerca de problemas frecuentes y su resolución

Autorización DHCP:

Los Servidores DHCP basados en Windows no concederán direcciones IP a menos que estén autorizados.Asegúrese de activar el ámbito al autorizar el servicio DHCP. También es importante recordar que los ServidoresDHCP independientes se colocarán en modo sin conexión si detectan otro Servidor DHCP autorizado en la red.

DHCP y subredes múltiples:

Al usar DHCP para suministrar direcciones a varias subredes, asegúrese de que el Servidor tenga una interfaz en lared en la cual esté definido el ámbito. Por ejemplo, si el ámbito se define dentro del intervalo de 10.10.0.50 a10.10.0.100, el Servidor DHCP deberá tener una dirección IP en la subred donde esté definido el ámbito. Unaalternativa a tener un Servidor DHCP con múltiples interfaces de red es configurar un agente de retransmisión DHCP.

Direcciones APIPA:

La dirección IP privada automática (APIPA) es una dirección que se asigna un equipo cuando está configurado parausar DHCP pero no puede obtener una concesión de direcciones. Una dirección APIPA se iniciará con 169.254. en losprimeros dos octetos de la dirección IP. (Este es un espacio IP reservado especificado en RFC). Por ejemplo, puedeasignarse una dirección APIPA si los medios que conectan al cliente no funcionan o si no puede contactarse alServidor DHCP. Si un único cliente experimenta problemas, por lo general el problema estará relacionado con elcliente. Sin embargo, si múltiples clientes se asignan direcciones APIPA, es más probable que el problema estérelacionado con el Servidor DHCP o con la configuración de red que usa el Servidor DHCP.


Use la regla de diseño 80/20 para equilibrar la distribución del ámbito de direcciones donde se implementanmúltiples Servidores DHCP para prestar servicio al mismo ámbito.

Usar más de un Servidor DHCP en la misma subred brinda una mayor tolerancia a errores para prestar servicio a losclientes DHCP ubicados en ella. Al usar dos Servidores DHCP, si un servidor no está disponible, el otro podrá tomarsu lugar y continuará la concesión de nuevas direcciones o la renovación de clientes existentes.

Un procedimiento frecuente al equilibrar una única red y un único intervalo de direcciones de ámbito entre dosServidores DHCP es que un Servidor DHCP distribuya el 80 por ciento de las direcciones y que el segundo ServidorDHCP suministre el 20 por ciento restante.

Use superámbitos para múltiples Servidores DHCP en cada subred en un entorno de LAN.

Al iniciarse, cada cliente DHCP difunde un mensaje de descubrimiento de DHCP (DHCPDISCOVER) a su subred localpara intentar encontrar un Servidor DHCP. Puesto que los clientes DHCP usan difusiones durante su configuracióninicial, no es posible predecir qué servidor responderá a la solicitud de descubrimiento de DHCP de un cliente si haymás de un Servidor DHCP activo en la misma subred.

Use un nuevo superámbito configurado de manera similar en todos los servidores. El superámbito debe incluir todoslos ámbitos válidos de la subred como ámbitos miembro. Para configurar ámbitos miembro en cada servidor, lasdirecciones sólo deben estar disponibles en uno de los Servidores DHCP de la subred. Para los demás servidores dela subred, use intervalos de exclusión para los mismos intervalos de direcciones de ámbito al configurar los ámbitoscorrespondientes.

Desactive ámbitos únicamente al quitar un ámbito del servicio de manera permanente. Si sólo se pretendedesactivar temporalmente las direcciones del ámbito, puede conseguirse el resultado deseado mediante laedición o modificación de los intervalos de exclusión de un ámbito activo.

Use la detección de conflictos del servidor en los Servidores DHCP sólo si resulta necesario.

Tanto los servidores como los clientes DHCP pueden usar la detección de conflictos para determinar si una direcciónIP ya está en uso en la red, antes de concederla o usarla.

Windows 2000, Windows XP y Windows Vista™ detectan conflictos de IP usando una solicitud APR. De manerapredeterminada, el servicio DHCP no realiza la detección de conflictos. Para habilitar la detección de conflictos,aumente el número de intentos de ping que realiza el servicio DHCP para cada dirección antes de conceder dichadirección a un cliente.

Tenga en cuenta que por cada intento de detección de conflictos adicional que realiza el servicio DHCP, se agregansegundos al tiempo necesario para negociar las concesiones para los clientes DHCP.

Por lo general, si se usa la detección de conflictos del Servidor DHCP deberá establecer el número de intentos dedetección de conflictos que realiza el servidor para usar uno o dos ping como máximo. De este modo, se disfrutan losbeneficios de esta característica sin reducir el rendimiento del Servidor DHCP.

Se deben crear reservas en todos los Servidores DHCP que puedan, potencialmente, brindar servicio al clientereservado.

Se puede usar una reserva de cliente para garantizar que un equipo cliente DHCP siempre reciba la concesión de lamisma dirección IP al iniciarse. Si un cliente reservado puede tener acceso a más de un Servidor DHCP, agregue lareserva a cada uno de los demás Servidores DHCP.

Esto permite que los demás Servidores DHCP reconozcan la reserva de dirección IP de cliente realizada para elcliente reservado. Aunque la reserva de cliente sólo tiene efecto para el Servidor DHCP donde la dirección reservadaforma parte del grupo de direcciones disponibles, se puede crear la misma reserva en otros Servidores DHCP queexcluyan esta dirección.

En cuanto al rendimiento del servidor, tenga en cuenta que DHCP usa el disco de modo intensivo, por lo quedeberá adquirir hardware con características óptimas de rendimiento de disco.

DHCP genera una actividad frecuente e intensa en los discos duros del servidor. Para brindar el mejor rendimiento,tenga en cuenta las soluciones de la matriz redundante de discos independientes (RAID) al adquirir hardware para suequipo servidor que mejora el tiempo de acceso al disco.

Al evaluar el rendimiento de los Servidores DHCP, se debe evaluar DHCP como parte de la evaluación completa derendimiento de todo el servidor. La supervisión del rendimiento del hardware del sistema en las áreas de uso conmayor demanda (es decir, CPU, memoria y entrada y salida de disco), permite obtener la mejor evaluación paradeterminar si el Servidor DHCP está sobrecargado y si debe actualizarse.

Tenga en cuenta que el servicio DHCP incluye varios contadores del Monitor de sistema que se pueden usar parasupervisar el servicio.

Mantenga habilitado el registro de auditoría para usarlo para solucionar problemas.

De manera predeterminada, el servicio DHCP habilita el registro de auditoría de los eventos relacionados con elservicio. El registro de auditoría brinda una herramienta de supervisión del servicio a largo plazo que hace que el usode los recursos de disco del servidor sea limitado y seguro.

Reduzca el tiempo de la concesión para los clientes DHCP que usan el servicio Enrutamiento y acceso remotopara obtener acceso remoto.

Aumente la duración de las concesiones de ámbito en redes estables y fijas de gran tamaño si hay suficienteespacio de direcciones disponible.

Use la cantidad adecuada de Servidores DHCP para la cantidad de clientes habilitados para DHCP en la red.

En una LAN pequeña (por ejemplo, una subred física que no usa enrutadores), un único Servidor DHCP puede prestar

servicio a todos los clientes habilitados para DHCP. En redes enrutadas, la cantidad de servidores necesarios aumentaen función de varios factores, entre los que se incluyen la cantidad de clientes habilitados para DHCP, la velocidad detransmisión entre segmentos de red, la velocidad de los vínculos de red, si se usa el servicio DHCP en toda la red dela empresa o sólo en redes físicas seleccionadas y la clase de direcciones IP de la red.

Herramientas

Consola DHCP

El método principal para administrar DHCP es usar la consola DHCP. La consola está ubicada en Herramientasadministrativas. También se puede usar la consola para administrar instancias de Server Core de la función delServidor DHCP de manera remota.


La siguiente tabla describe las herramientas de línea de comandos que pueden usarse para configurar y administrarDHCP:


Netsh Use el comando Netsh para configurar DHCP usando la línea decomandos.

Ipconfig Use este comando para solicitar e interactuar con el servidorDHCP desde el lado cliente.

DHCPLoc.exe Esta herramienta es parte del Kit de recursos de Microsoft ypuede usarse para buscar servidores DHCP activos en la subred.

Módulo 5: Configuración y solución de problemas de TCP/IP de IPv6

Módulo 5

Configuración y solución de problemas de TCP/IP de IPv6

La compatibilidad con el Protocolo de Internet versión 6 (IPv6), un nuevo conjunto de protocolos estándar para el nivelde red de Internet, está integrada en Windows Server® 2008.

IPv6 es una tecnología esencial que permitirá asegurar que Internet pueda administrar una base de usuarios crecientey un número cada vez mayor de dispositivos habilitados para IP. El Protocolo de Internet versión 4 (IPv4) actual haactuado como el protocolo de Internet subyacente durante casi 30 años. En la actualidad, su solidez, escalabilidad y elconjunto limitado de características debe hacer frente al desafío que plantea la creciente necesidad de nuevasdirecciones IP debido en gran medida al rápido crecimiento de los nuevos dispositivos con capacidad de red.

Lección 1: Descripción general de IPv6Lección 2: Coexistencia con IPv6Lección 3: Tecnologías de tunelización IPv6Laboratorio A: Configuración de un enrutador ISATAPLección 4: Transición de IPv4 a IPv6Lección 5: Solución de problemas de IPv6Laboratorio B: Conversión de red

Lección 1: Descripción general de IPv6

Lección 1:

Descripción general de IPv6

Poco a poco, el uso de IPv6 se está volviendo más frecuente. Aunque su adopción puede ser lenta, es importantecomprender cómo afectará esta tecnología a las redes actuales y cómo se debe integrar IPv6 en dichas redes. En lasiguiente lección se describirán los beneficios de IPv6, se la comparará con IPv4 y se detallarán los tipos básicos dedirecciones IPv6. Una vez finalizada esta lección, habrá comprendido las direcciones globales, locales del vínculo,locales del sitio y locales únicas.

Beneficios de IPv6

Beneficios de IPv6

Puntos clave

El protocolo IPv6 brinda los siguientes beneficios:

Espacio de direcciones grande

Infraestructura de direccionamiento y enrutamiento jerárquico

Configuración de direcciones sin estado y con estado

Seguridad integrada

Entrega con prioridad

Detección de vecinos

Extensibilidad


IPv6

Diferencias entre IPv4 e IPv6

Diferencias entre IPv4 e IPv6

Puntos clave

La siguiente tabla resalta las diferencias entre IPv4 e IPv6:

IPv4 IPv6

Las direcciones de origen y de destino tienen 32 bits(4 bytes) de longitud.

Las direcciones de origen y de destino tienen 128 bits (16bytes) de longitud.

La compatibilidad con IPsec es opcional. Se requiere compatibilidad con IPsec.

Los enrutadores no realizan la identificación de flujode paquetes para el manejo de Calidad de servicio(QoS) dentro del encabezado IPv4

La identificación de flujo de paquetes para el manejo QoSpor parte de los enrutadores está incluida en el encabezadoIPv6 usando el campo Etiqueta de flujo.

Ambos enrutadores y el host remitente realizan lafragmentación.

Los enrutadores no realizan la fragmentación, sólo lo hace elhost remitente.

El encabezado incluye una suma de comprobación. El encabezado no incluye una suma de comprobación.

El encabezado incluye opciones. Se transfieren todos los datos opcionales a los encabezadosde extensión IPv6

El Protocolo de resolución de direcciones (ARP) usamarcos de solicitud ARP de difusión para resolver unadirección IPv4 a una dirección de nivel de vínculos.

Los marcos de solicitud ARP son reemplazados pormensajes de solicitud de vecinos de multidifusión.

Se usa el Protocolo de administración de grupos deInternet (IGMP) para administrar la pertenencia agrupos de subredes locales.

IGMP se reemplaza por los mensajes de Descubrimiento deescucha de multidifusión (MLD).

La Detección de enrutadores del Protocolo demensajes de control de Internet (ICMP), de carácteropcional, se usa para determinar la dirección IPv4 dela mejor puerta de enlace predeterminada.

La Detección de enrutador ICMP, de carácter obligatorio, sereemplaza por los mensajes de solicitud de enrutador ymensajes de anuncio de enrutador de ICMPv6.

Se usan las direcciones de difusión para enviar tráficoa todos los nodos en una subred.

No hay direcciones de difusión IPv6. En cambio, se usa unadirección de multidifusión para todos los nodos en el ámbitolocal del vínculo.

Debe configurarse de manera manual o medianteDHCP.

No requiere configuración manual o DHCP.

Usa registros de recursos de dirección de host (A) enel Sistema de nombres de dominio (DNS) paraasignar nombres de host a las direcciones IPv4.

Usa registros de recursos de dirección de host (AAAA) enDNS para asignar nombres de host a las direcciones IPv6.

Usa registros de recursos de puntero (PTR) en eldominio DNS IN-ADDR.ARPA para asignardirecciones IPv4 a los nombres de host.

Usa registros de recursos PTR en el dominio DNSIP6.ARPA para asignar direcciones IPv6 a los nombres dehost.

Debe ser compatible con un tamaño de paquete de576 bytes (posiblemente fragmentado).

Debe ser compatible con un tamaño de paquete de 1280bytes (sin fragmentación).

Implementaciones de IPv6 usando tecnologías de Microsoft

Implementaciones de IPv6 usando tecnologías de Microsoft

Puntos clave

Para todas las implementaciones de IPv6 de Microsoft, se puede usar IPv6 sin afectar las comunicaciones IPv4.Observe que IPv6 es una implementación de pilas duales en Windows XP SP2 y Windows Server 2003 y unaimplementación de doble nivel para Windows Vista y Windows Server 2008.

Espacio de direcciones IPv6

Espacio de direcciones IPv6

Puntos clave

La característica más destacada de IPv6 es que se usa para direcciones considerablemente más extensas.

Las direcciones IP de IPv4 se expresan en cuatro grupos de números decimales, como por ejemplo 192.168.1.1.

Cada agrupación de números representa un octeto binario. En formato binario, el número anterior es:

11000000.10101000.00000001.00000001 (4 octetos = 32 Bits)

El tamaño de una dirección en IPv6 es de 128 bits, es decir, su tamaño es cuatro veces mayor que una dirección IPv4.Además, las direcciones IPv6 se representan como direcciones hexadecimales en su formato “legible”. Por ejemplo,2001:DB8:0:2F3B:2AA:FF:FE28:9C5A.

Es posible que esto resulte ilógico para los usuarios finales. Sin embargo, se supone que los usuarios promedio sebasarán en los nombres DNS para resolver los hosts y que con poca frecuencia escribirán las direcciones IPv6manualmente. La dirección IPv6 en formato hexadecimal es más fácil de convertir a formato binario y viceversa. Estosimplifica el trabajo con las subredes y el cálculo de los hosts y las redes.


Introducción a IP versión 6

Prefijos IPv6

Prefijos IPv6

Puntos clave

Al igual que el espacio de direcciones IPv4, el espacio de direcciones IPv6 se divide al asignar partes del espacio dedirecciones disponible para las diversas funciones de IP. Los bits de valor superior (bits que se encuentran alcomienzo de la dirección IPv6 de 128 bits) definen las áreas de manera estática en el espacio IP. Los bits de valorsuperior y sus valores fijos se denominan prefijo de formato.

Tipos de direcciones IPv6 de unidifusión

Tipos de direcciones IPv6 de unidifusión

Puntos clave

Una dirección de unidifusión identifica una única interfaz dentro del ámbito del tipo de dirección de unidifusión. Con latopología de enrutamiento de unidifusión apropiada, los paquetes dirigidos a una dirección de unidifusión se envían auna única interfaz.

Entre los tipos de dirección IPv6 de unidifusión se encuentran:

Direcciones de unidifusión globales

Direcciones de unidifusión de uso local

Direcciones de unidifusión IPv6 locales únicas

Direcciones IPv6 asignadas a hosts y enrutadores

Direcciones IPv6 asignadas a hosts y enrutadores

Puntos clave

Un host IPv6, incluyendo aquellos con sólo una interfaz, con frecuencia posee direcciones IPv6 múltiples. De manerapredeterminada, las direcciones locales del vínculo se configuran automáticamente para cada interfaz en cada host oenrutador IPv6. Para comunicarse con nodos no vecinos, un host también debe estar configurado con direccionesglobales o locales del sitio de unidifusión. Un host obtiene estas direcciones adicionales ya sea desde los anuncios deenrutador o mediante asignación manual. Use los comandos en el contexto netsh interfase ipv6 para configurar lasdirecciones IPv6 manualmente.

En IPv6, con frecuencia se asignan las siguientes direcciones a los hosts y enrutadores:

Direcciones de unidifusión

Direcciones de multidifusión (para escuchar el tráfico de multidifusión)

Además, los enrutadores IPv6 poseen las siguientes direcciones:

Direcciones de multidifusión

Direcciones de cualquier difusión

Id. de zona

Id. de zona

Puntos clave

A diferencia de las direcciones globales, es posible reutilizar las direcciones de uso local. Las direcciones locales delvínculo se reutilizan en cada vínculo. Es posible reutilizar las direcciones locales del sitio en cada sitio de unaorganización. Las direcciones locales del vínculo y del sitio son ambiguas debido a esta capacidad de reutilización dedirecciones.

Es necesario usar un identificador adicional para especificar a qué vínculo se asigna una dirección, en qué vínculo seubica una dirección o en qué sitio se asigna o ubica una dirección. Este identificador adicional es un identificador dezona (ID), también denominado identificador de ámbito, que identifica una parte conectada de una red que tiene unámbito determinado. La sintaxis especificada en RFC 4007 para identificar la zona asociada con una dirección de usolocal es como se muestra a continuación:

Dirección%zona_ID

Autoconfiguración de direcciones para IPv6

Autoconfiguración de direcciones para IPv6

Puntos clave

El host puede pasar a través de varios estados a medida que realiza el proceso de autoconfiguración y existen muchasmaneras de asignar una dirección IP e información. En base al modo en que se configura el enrutador, es posible queun cliente use una configuración sin estado (no servicio DHCP) o con estado con un servidor DHCP involucrado, con elfin de asignar una dirección IP y otra información de red o simplemente asignar otra información de red. La otrainformación hace referencia a los servidores DNS y las puertas de enlace.

Las direcciones autoconfiguradas se encuentran en uno o varios de los siguientes estados:

Tentativo. Se realiza la comprobación para determinar si la dirección es única.

Válido. Se comprobó que la dirección es única y que puede enviar y recibir tráfico de unidifusión.

Preferido. La dirección habilita un nodo para enviar y recibir tráfico de unidifusión hacia y desde éste.

Obsoleto. La dirección es válida pero no se recomienda su uso para nuevas comunicaciones.

Inválido. La dirección ya no permite que un nodo envíe o reciba tráfico de unidifusión.

Los tipos de autoconfiguración incluyen:

Sin estado. La configuración de direcciones se basa en la recepción de mensajes de anuncio de enrutador conlos marcadores Configuración de dirección administrada y Otra configuración activa establecidos en 0 y una ovarias opciones de Información de prefijos.

Con estado. La configuración se basa en el uso de un protocolo de configuración de direcciones con estado,como por ejemplo DHCPv6, para obtener direcciones y otras opciones de configuración.

Ambos. La configuración se basa en la recepción de mensajes de anuncio de enrutador con opciones deInformación de prefijos y los marcadores Configuración de dirección administrada u Otra configuración activaestablecidos en 1.


Introducción a IP versión 6

Demostración: Configuración de cliente IPv6

Demostración: Configuración de cliente IPv6

Lección 2: Coexistencia con IPv6

Lección 2:

Coexistencia con IPv6

Desde sus inicios, IPv6 fue diseñado en base al concepto de que debe ser capaz de coexistir, por mucho tiempo, conIPv4. Esta lección brinda una descripción general de las tecnologías que son compatibles con la coexistencia de losdos protocolos IP. Una vez finalizada esta lección, habrá aprendido y podrá describir los diferentes tipos de nodos ylas implementaciones de pilas IP de IPv6 y, además, el modo en que DNS define las direcciones IPv6 y los diversostipos de tecnologías de tunelización IPv6.

¿Qué son los tipos de nodo?

¿Qué son los tipos de nodo?

Puntos clave

Cuando se planea una red IPv6, es importante conocer qué tipos de nodos o hosts están en la red. Al describir losnodos de las siguientes maneras, se pueden definir sus capacidades en la red. Esto es importante para la tunelizaciónya que existen determinadas clases de túneles que requieren tipos de nodos específicos, incluyendo:

Nodo sólo IPv4. Un nodo que implementa sólo IPv4 (y cuenta solamente con direcciones IPv4) y no escompatible con IPv6.

Nodo sólo IPv6. Un nodo que implementa sólo IPv6 (y cuenta solamente con direcciones IPv6) y no escompatible con IPv4.

Nodo IPv6/IPv4. Un nodo que implementa tanto IPv4 como IPv6.

Nodo IPv4. Un nodo que implementa IPv4. Puede ser un nodo sólo IPv4 o un nodo IPv6/IPv4.

Nodo IPv6. Un nodo que implementa IPv6. Puede ser un nodo sólo IPv6 o un nodo IPv6/IPv4.

Coexistencia de IPv4 e IPv6

Coexistencia de IPv4 e IPv6

Puntos clave

Para coexistir con una infraestructura IPv4 y brindar una transición final a una infraestructura sólo IPv6, puede usar lossiguientes mecanismos:

Arquitectura de doble nivel IP (Windows Vista y Windows Server 2008).

Arquitectura de pila dual (Windows Server 2003 y Windows XP).

Requisitos de infraestructura DNS.

Tunelización IPv6 sobre IPv4.


IPv6 Transition Technologies (Tecnologías de transición IPv6)

¿Qué es una arquitectura de doble nivel?

¿Qué es una arquitectura de doble nivel?

Puntos clave

Una arquitectura de doble nivel IP contiene niveles de Internet tanto IPv4 como IPv6 con una única implementación deprotocolos de niveles de transporte, tales como TCP y UDP. La pila dual permite hacer una migración más simple aIPv6. Existe una menor cantidad de archivos que conservar para brindar conectividad IPv6. IPv6 también estádisponible sin agregar nuevos protocolos en la configuración de la tarjeta de red.

Los tipos de paquetes incluyen:

Paquetes IPv4

Paquetes IPv6

Paquetes IPv6 sobre IPv4 (paquetes IPv6 encapsulados con un encabezado IPv4)

¿Qué es una arquitectura de pila dual?

¿Qué es una arquitectura de pila dual?

Puntos clave

Una arquitectura de pila dual contiene niveles de Internet tanto IPv4 como IPv6 con pilas de protocolo independientesque contienen implementaciones individuales de protocolos de niveles de transporte, tales como TCP y UDP.

El protocolo IPv6 para Windows Server 2003 y Windows XP usa la arquitectura de pila dual. El controlador deprotocolo IPv6 en Windows Server 2003 y Windows XP, Tcpip6.sys, contiene una implementación independiente deTCP y UDP.

Los tipos de paquetes incluyen:

Paquetes IPv4

Paquetes IPv6

Paquetes IPv6 sobre IPv4

¿Cómo DNS es compatible con IPv6?

¿Cómo DNS es compatible con IPv6?

Puntos clave

Se necesita una infraestructura DNS para una coexistencia satisfactoria debido al uso frecuente de nombres en lugarde direcciones para referirse a recursos de red. La actualización de la infraestructura DNS consiste en rellenar losservidores DNS con registros para que sean compatibles con las resoluciones de nombre a dirección y de dirección anombre de IPv6. Una vez que se obtuvieron las direcciones usando la consulta de nombres DNS, el nodo remitentedebe seleccionar qué direcciones desea usar para la comunicación.

Demostración: Configuración de DNS para que sea compatible con IPv6

Demostración: Configuración de DNS para que sea compatible con IPv6

¿Qué es la tunelización IPv6 sobre IPv4?

¿Qué es la tunelización IPv6 sobre IPv4?

Puntos clave

La tunelización IPv6 sobre IPv4 es la encapsulación de los paquetes IPv6 con un encabezado IPv4 a fin de que lospaquetes IPv6 puedan enviarse sobre una infraestructura IPv4. Dentro del encabezado IPv4:

El campo Protocolo IPv4 está establecido en 41 para indicar un paquete IPv6 encapsulado.

Los campos Origen y Destino están establecidos como direcciones IPv4 de extremos de túnel. Los extremosde túnel pueden configurarse manualmente como parte de la interfaz de túnel o se derivan automáticamente dela dirección de próximo salto de la ruta coincidente para el destino y la interfaz de tunelización.

Nota: A diferencia de la tunelización para el Protocolo de túnel punto a punto (PPTP) y el protocolo de túnel de capados (L2TP), no existe intercambio de mensajes para la instalación, mantenimiento o finalización del túnel. Además, latunelización IPv6 sobre IPv4 no brinda seguridad a los paquetes IPv6 de túnel. Es decir que cuando se usa latunelización IPv6 no es necesario establecer primero una conexión. Además, la tunelización infiere que ésta sólo sellevará a cabo mediante redes IPv4 y el túnel no se cifrará.

Lección 3: Tecnologías de tunelización IPv6

Lección 3:

Tecnologías de tunelización IPv6

Una transición final satisfactoria a IPv6 requiere de la coexistencia provisoria de los nodos IPv6 en el entornopredominantemente IPv4 actual. Para adecuarse a lo anterior, los paquetes IPv6 se envían por túnel de modoautomático sobre infraestructuras de enrutamiento IPv4, habilitando a los clientes IPv6 a comunicarse entre sí usandodirecciones 6to4 o direcciones del Protocolo de direccionamiento automático de túnel dentro de un sitio (ISATAP) yenviando paquetes IPv6 por túnel a través de las redes IPv4. Esta lección brinda información acerca de las diversastecnologías de tunelización disponibles en IPv6.

Configuraciones de tunelización

Configuraciones de tunelización

Puntos clave

RFC 2893 define las siguientes configuraciones de tunelización con las que se debe enviar por túnel el tráfico IPv6entre los nodos IPv6/IPv4 sobre una infraestructura IPV4:

Enrutador a enrutador

Host a enrutador o Enrutador a host

Host a host

Tipos de túneles

Tipos de túneles

Puntos clave

RFC 2893, “Mecanismos de transición para hosts y enrutadores IPv6" define los siguientes tipos de túneles:

Configurado

Automático


RFC 2893: Mecanismos de transición para hosts y enrutadores IPv6

Uso de tecnologías de tunelización

Uso de tecnologías de tunelización

Puntos clave

Las tecnologías de tunelización usadas para la tunelización de IPv6 sobre IPv4 incluyen:

ISATAP

6to4

Teredo

PortProxy

Para facilitar la comunicación entre los nodos y las aplicaciones que no pueden conectarse usando un protocolo denivel de Internet común (IPv4 o IPv6), el protocolo IPv6 para Windows Server 2008 brinda PortProxy, un componenteque permite el envío a través de proxy del siguiente tráfico:

IPv4 a IPv4

IPv4 a IPv6

IPv6 a IPv6

IPv6 a IPv4


IPv6 Transition Technologies (Tecnologías de transición IPv6)

¿Qué es la tunelización ISATAP?

¿Qué es la tunelización ISATAP?

Puntos clave

ISATAP es una tecnología de tunelización automática de host a host, host a enrutador y enrutador a host y asignaciónde direcciones que se puede usar para brindar conectividad IPv6 de unidifusión entre hosts IPv6/IPv4 a través de unaintranet IPv4. Los hosts ISATAP no requieren configuración manual y pueden crear direcciones ISATAP usandomecanismos estándar de autoconfiguración de direcciones.

¿Qué es un enrutador ISATAP?

ISATAP permite que los clientes IPv6 en una subred IPv4 se comuniquen sin realizar una configuración manualadicional. Un enrutador ISATAP permite que los clientes se comuniquen con otros clientes IPv6 en subredes IPv6puras o mixtas.

Cómo funciona la tunelización ISATAP

La tunelización ISATAP puede iniciarse de varias maneras. Es posible determinar el enrutador ISATAP colocando elnombre “ISATAP” en una dirección IPv4 o usando el comando Netsh Interface IPv6 ISATAP set Router.


RFC 4214: Intra-Site Automatic Tunnel Addressing Protocol (ISATAP, Protocolo de direccionamientoautomático de túnel dentro de un sitio)

Laboratorio A: Configuración de un enrutador ISATAP

Laboratorio A: Configuración de un enrutador ISATAP

Objetivos

Configurar una nueva red y cliente IPv6

Configurar un enrutador ISATAP para habilitar las comunicaciones entre la red IPv4 y la red IPv6

Antes de empezar:

Para poder simular redes múltiples, debe configurar lo siguiente antes de iniciar las máquinas virtuales:

En la máquina host, abra el Sitio web de Administración de Virtual Server.1.

En el panel izquierdo, en Redes virtuales, haga clic en Agregar. En el panel de detalles, junto a Archivo deconfiguración (.vnc) existente, escriba lo siguiente: C:\ArchivosdePrograma\MicrosoftLearning\6822A\Unidades\6822A-NYC-VN2_IPv6 y luego haga clic en Agregar nuevamente.

2.

En el panel izquierdo, en Máquinas virtuales, elija Configurar y luego haga clic en 6822A-NYC-SVR1.3.

En Configuración de “6822A-NYC-SVR1”, haga clic en Adaptadores de red.4.

En Adaptador de red virtual 2, haga clic en la flecha desplegable, seleccione 6822A-NYC-VN2_IPv6 y luegohaga clic en Aceptar.

5.

En el panel izquierdo, en Máquinas virtuales, elija Configurar y luego haga clic en 6822A-NYC-CL1.6.

En Configuración de “6822A-NYC-CL1”, haga clic en Adaptadores de red.7.

En Adaptador de red virtual 1, haga clic en la flecha desplegable, seleccione 6822A-NYC-VN2_IPv6 y luegohaga clic en Aceptar.

8.

Información de inicio de sesión

Para este laboratorio, debe iniciar sesión en las máquinas virtuales 6822A-NYC-DC1, 6822A-NYC-SVR1 y 6822A-NYC-CL1 usando la siguiente información:

Nombre de usuario: Administrador

Contraseña: Pa$$w0rd

Ejercicio 1: Configuración de una nueva red y cliente IPv6

Ejercicio 1: Configuración de una nueva red y cliente IPv6

Escenario

Debe diseñar e implementar una red IPv6. Para una prueba inicial del concepto, se debe implementar solamente uncliente.


En este ejercicio, los estudiantes prepararán el entorno actual para trabajar con IPv6 e implementarán un cliente IPv6 yuna subred IPv6.


Iniciar las máquinas virtuales 6822A-NYC-DC1, 6822A-NYC-SVR1 y 6822A-NYC-CL1.1.

Configurar el enrutamiento IPv4.2.

Habilitar el Enrutamiento IP en NYC-SVR1 y confirmar la Conectividad IPv4.3.

Deshabilitar IPv6 en NYC-DC1.4.

Deshabilitar IPv4 en NYC-CL1.5.

Comprobar la configuración IP en NYC-CL1 y asegurarse de que no esté configurada con una dirección IPIPv4.

6.

Configurar un anuncio de enrutador IPv6 para la red de direcciones globales 2001:db8:0:1::/64 en NYC-SVR1.7.

Comprobar la configuración IP en NYC-CL1 para asegurarse de que esté configurada con una dirección globalIPv6 en la red 2001:db8:0:1::/64.

8.

Tarea 1: Iniciar las máquinas virtuales 6822A-NYC-DC1, 6822A-NYC-SVR1 y 6822A-NYC-CL1


1.



En Iniciador de laboratorio, junto a 6822A-NYC-CL1, haga clic en Iniciar4.

Inicie sesión en cada máquina virtual como Woodgrovebank\Administrador usando la contraseña Pa$$w0rd.5.


Tarea 2: Configurar el enrutamiento IPv4

En NYC-CL1, en la ventana Conexiones de red, configure lo siguiente:1.

Dirección IP: 192.168.1.20

Máscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.1.10

En NYC-DC1, en la ventana Conexiones de red, configure lo siguiente:2.

Puerta de enlace predeterminada: 10.10.0.24

Tarea 3: Habilitar el Enrutamiento IP en NYC-SVR1 y confirmar la conectividad IPv4

En NYC-SVR1, use Editor de registro (Regedit.exe) para configurar lo siguiente:1.

HKEY_MAQUINA_LOCAL\SYSTEM\CurrentcontrolSet\Services\Tcpip\Performance

IPEnableRouter =1

Reinicie NYC-SVR1 e inicie sesión como Administrador usando la contraseña Pa$$w0rd.2.

En NYC-CL1, use el comando ping para NYC-DC1 a fin de comprobar la conectividad.3.

En NYC-DC1, use el comando ping para 192.168.1.20 a fin de comprobar la conectividad.4.

Nota: En este momento, sólo se enruta el tráfico IPv4 a través de la infraestructura de enrutamiento IPv4.

Tarea 4: Deshabilitar IPv6 en NYC-DC1

En NYC-DC1, en la ventana Conexiones de red, deshabilite la conectividad IPv6.

Tarea 5: Deshabilitar IPv4 en NYC-CL1

En NYC-CL1, en la ventana Conexiones de red, deshabilite la conectividad IPv4.

Tarea 6: Comprobar la configuración IP en NYC-CL1 y asegurarse de que no esté configurada con una dirección IP IPv4

Confirme que la dirección IP en NYC-CL1 es una dirección IP local del vínculo válida que comienza con fe80.

Tarea 7: Configurar un anuncio de enrutador IPv6 para la red de direcciones globales 2001:db8:0:1::/64 en NYC-SVR1

En NYC-SVR1, usando la línea de comandos y el comando netsh, configure Conexión de área local 2 parareenviar paquetes y anunciar los prefijos de subred.

1.

Agregue una ruta IPv6 a Conexión de área local 2 de 2001:db8:0:1::/64. Asegúrese de publicar esta ruta.2.

Tarea 8: Comprobar la configuración IP en NYC-CL1 para asegurarse de que esté configurada con una dirección global IPv6 en lared 2001:db8:0:1::/64

Confirmar que NYC-CL1 se ha configurado a sí misma usando el prefijo global asignado a la red.

Ejercicio 2: Configuración de un enrutador ISATAP para habilitar lascomunicaciones entre una red IPv4 y una IPv6

Ejercicio 2: Configuración de un enrutador ISATAP para habilitar las comunicaciones entre una redIPv4 y una IPv6

Escenario

Una vez que haya configurado el cliente IPv6, debe habilitar la conectividad del cliente IPv4 para la red IPv6. El análisisrealizado respecto de las tecnologías de tunelización IPv6 actuales lo han llevado a optar por la implementación de unenrutador ISATAP.


En este ejercicio, habilitará y configurará una interfaz del enrutador ISATAP que permitirá comunicacionesbidireccionales entre las redes IPv4 e IPv6.


Agregar la entrada ISATAP en la zona DNS.1.

Configurar el enrutador ISATAP en NYC-SVR1.2.

Habilitar la interfaz ISATAP en NYC-DC1.3.

Probar la conectividad con el cliente IPv6.4.

Tarea 1: Agregar la entrada ISATAP a la zona DNS en NYC-DC1

En NYC-SVR1, en la zona Woodgrovebank.com, cree un nuevo registro de host denominado ISATAP yconfigúrelo con la dirección IPv4 de NYC-SVR1 (10.10.0.24).

Tarea 2: Configurar el enrutador ISATAP en NYC-SVR1

En NYC-SVR1, usando el comando netsh, habilite el enrutador isatap establecido en 10.10.0.24.1.

Usando el comando netsh, habilite reenviar y anuncio de prefijo para la interfaz ISATAP. (Pista: Conexiónde área local * 8)

2.

Usando el comando netsh, publique una nueva ruta para la subred ISATAP usando 2001:db8:0:10:/64.3.

Reinicie NYC-SVR1 e inicie sesión como Administrador usando la contraseña Pa$$w0rd.4.

Abra un símbolo del sistema y use el comando ipconfig para comprobar que el adaptador de túnel Conexiónde área local * 8 muestre una dirección IPv6 en el intervalo 2001:db8:0:10.

5.

Tarea 3: Habilitar la interfaz ISATAP en NYC-DC1

En NYC-DC1, haga clic en Inicio y luego en Símbolo del sistema.1.

En el símbolo del sistema, escriba los siguientes comandos:2.

Netsh interface isatap set router 10.10.0.24

Ipconfig

Nota: Observe que el adaptador de túnel Conexión de área local 8 (que es el adaptador ISATAP) ha recibido unadirección IPv6 automáticamente del enrutador ISATAP.

Tarea 4: Probar la conectividad con el cliente IPv6

Compruebe que puede rastrear NYC-DC1 desde NYC-CL1 y que puede rastrear NYC-SVR1. Finalmente,compruebe que puede rastrear NYC-CL1 desde NYC-DC1.

Nota: Si las direcciones IP no se resuelven, reinicie los servidores comenzando por NYC-DC1, NYC-SVR1 ycontinuando por NYC-CL1.

Importante: No apague las máquinas virtuales en este momento porque las necesitará para completar elsiguiente laboratorio.




¿Cuáles son los diferentes tipos de direcciones IPv6 de unidifusión?1.

¿Cuáles son las razones principales por lo que IPv6 resulta necesaria?2.

¿Cómo se denomina el proceso en el que un cliente se configura a sí mismo con una dirección IPv6?3.

¿Qué tipo de dirección IP se asignan a sí mismos cada uno de los clientes IPv6 automáticamente?4.

¿Cuánto afecta el ámbito de una dirección su capacidad para comunicarse en Internet?5.

¿Cuáles son las diferentes tecnologías de tunelización en IPv6?6.

¿Cuál es el propósito principal de un túnel Teredo?7.


La siguiente tabla describe las herramientas de línea de comandos que pueden usarse para configurar y solucionarproblemas de TCP/IP de IPv6:


IPconfig Brinda datos de resumen para IPv4 e IPv6.

Route Brinda información básica acerca de las tablas de enrutamientoIPv4 e IPv6.

Netsh Brinda información detallada acerca de la configuración IPv6 y esla herramienta principal usada para configurar IPv6 en WindowsServer 2008 y Windows Vista. Se puede usar esta herramienta delínea de comandos para configurar un enrutador IPv6.

¿Qué es la tunelización 6to4?

¿Qué es la tunelización 6to4?

Puntos clave

6to4 es una tecnología de tunelización automática de enrutador a enrutador, host a enrutador y enrutador a host yasignación de direcciones que se puede usar para brindar conectividad IPv6 de unidifusión entre hosts y sitios IPv6 através de Internet IPv4. 6to4 trata a Internet IPv4 en su totalidad como un vínculo único.

Funcionalidad del enrutador 6to4

Un enrutador 6to4:

Habilita el reenvío de IPv6 en la tunelización 6to4 y las interfaces privadas.

Determina que un prefijo de subred IPv6 de 64 bits se anuncie en la intranet privada.

Envía mensajes de anuncio de enrutador en la interfaz privada.

Cómo funciona la tunelización 6to4

Dentro de un sitio, los enrutadores IPv6 locales anuncian los prefijos de subred 2002:WWXX:YYZZ:Subred_ID::/64 afin de que los hosts configuren automáticamente las direcciones 6to4. Los enrutadores IPv6 dentro del sitio envíantráfico entre hosts 6to4. Los hosts en las subredes individuales se configuran de manera automática con una ruta desubred de 64 bits para la entrega directa a los vecinos y una ruta predeterminada con la dirección de próximo salto delenrutador de divulgación. El tráfico IPv6 que no coincide con ninguno de los prefijos de subred que usa el sitio sereenvía a un enrutador 6to4 en el borde de sitio. El enrutador 6to4 en el borde de sitio cuenta con una ruta 2002::/16que reenvía tráfico a otros sitios 6to4 y una ruta predeterminada (::/0) que reenvía tráfico a una retransmisión 6to4.


RFC 3056: Connection of IPv6 Domains via IPv4 Clouds (Conexión de los dominios IPv6 a través de nubesIPv4)

¿Qué es la tunelización con Teredo?

¿Qué es la tunelización con Teredo?

Puntos clave

La tunelización con Teredo le permite enviar por túnel a través de la red IPv4 cuando los clientes están detrás de unaNAT IPv4. Teredo fue creado porque muchos enrutadores IPv4 usan NAT para definir un espacio de direccionesprivadas para las redes corporativas.

Componentes de Teredo

Los componentes de Teredo son:

Cliente Teredo

Servidor Teredo

Retransmisión Teredo

Retransmisión específica del host Teredo

Cómo funciona Teredo

Para dos clientes Teredo basados en Windows, los procesos más importantes de Teredo son aquellos que se usanpara la configuración inicial y la comunicación con otro sistema del mismo nivel del sitio:

Configuración inicial

Cliente Teredo:

Resuelve el nombre teredo.ipv6.microsoft.com para los servidores Teredo

Envía varias Solicitudes de enrutador con encapsulado Teredo a servidores Teredo múltiples

En base a las respuestas, el cliente Teredo determinará:

La dirección IPv4 del servidor Teredo

Tipo de NAT

Puerto y dirección asignados externamente para tráfico Teredo

Comunicación inicial entre dos clientes Teredo en sitios diferentes

El conjunto de paquetes enviado durante la comunicación inicial entre los clientes Teredo ubicados en sitios diferentes

depende de si los clientes Teredo se encuentran ubicados detrás de las NAT cono o restringidas.

Teredo: NAT restringida

El siguiente proceso permite enviar un paquete de comunicación inicial desde el Cliente Teredo A a un Cliente TeredoB:

El Cliente Teredo A envía un paquete de burbuja directamente al Cliente Teredo B.1.

El Cliente Teredo A envía un paquete de burbuja al Cliente Teredo B mediante el Servidor Teredo 2 (el servidorTeredo del Cliente Teredo B).

2.

El Servidor Teredo 2 reenvía el paquete de burbuja al Cliente Teredo B.3.

El Cliente Teredo B responde al paquete de burbuja recibido desde el Cliente Teredo A con su propio paquetede burbuja, que se envía directamente al Cliente Teredo A.

4.

Una vez que el Cliente Teredo B recibió el paquete de burbuja, el Cliente Teredo A determina si existenasignaciones NAT específicas de origen para ambas NAT.

5.

¿Qué es PortProxy?

¿Qué es PortProxy?

Puntos clave

Es posible usar el servicio PortProxy como una puerta de enlace de nivel de aplicación para los nodos o lasaplicaciones que no son compatibles con IPv6. PortProxy facilita la comunicación entre los nodos o las aplicacionesque no pueden conectarse usando un tipo de dirección, un protocolo de nivel de Internet (IPv4 o IPv6) y un puertoTCP comunes. El objetivo principal de este servicio es permitir que los nodos IPv6 se comuniquen con lasaplicaciones TCP de IPv4.

Lección 4: Transición de IPv4 a IPv6

Lección 4:

Transición de IPv4 a IPv6

Se espera que la transición de IPv4 a IPv6 demore varios años. IPv4 continúa siendo el estándar de IP para la mayoríade las aplicaciones y los servicios de Internet que se usan en la actualidad. Sin embargo, es posible que cada vez másredes y aplicaciones funcionen correctamente en un entorno IPv6 exclusivo, debido a que Windows Vista y WindowsServer 2008 están siendo adoptados más ampliamente. En esta lección, aprenderá acerca de los problemas quedebe considerar al hacer la transición a IPv6 y repasará los pasos necesarios para hacer la transición a una instalaciónsólo IPv6.

Discusión: Observaciones para migrar de IPv4 a IPv6

Discusión: Observaciones para migrar de IPv4 a IPv6

Puntos clave

Responder las preguntas en un debate en clase.

Proceso para la transición a IPv6

Proceso para la transición a IPv6

Puntos clave

Se espera que la migración de IPv4 a IPv6 demore una cantidad de tiempo considerable. Esto fue tomado en cuentaal diseñar IPv6 y como consecuencia, el plan de transición para IPv6 es un proceso de varios pasos que permite unacoexistencia extendida.

Para lograr el objetivo de tener un entorno IPv6 puro, siga las siguientes instrucciones generales:

Actualizar las aplicaciones para que no dependan de IPv6 o IPv4.

Actualizar la infraestructura DNS para que sea compatible con la dirección IPv6 y los registros PTR.

Actualizar hosts a nodos IPv6/IPv4.

Actualizar la infraestructura de enrutamiento para enrutamiento IPv6 nativo.

Convertir nodos IPv6/IPv4 a nodos sólo IPv6.

Lección 5: Solución de problemas de IPv6

Lección 5:

Solución de problemas de IPv6

Esta lección describe las herramientas y técnicas que puede usar para identificar un problema en los nivelesconsecutivos de las pilas de protocolo TCP/IP usando un nivel de Internet IPv6.

Métodos usados para solucionar problemas de IPv6

Métodos usados para solucionar problemas de IPv6

Puntos clave

Para solucionar problemas de IPv6, según el tipo de inconveniente, se puede:

Comenzar en la parte inferior de la pila e ir hacia arriba.

Comenzar en la parte superior de la pila e ir hacia abajo.

Cuando se comienza en la parte superior de la pila, los métodos usados para solucionar problemas de IPv6 puedenincluir:

Comprobar la conectividad IPv6.

Comprobar la resolución de nombres DNS para las direcciones IPv6.

Comprobar las sesiones TCP basadas en IPv6.


TCP/IP Fundamentals for Microsoft Windows (Fundamentos de TCP/IP para Microsoft Windows): Chapter 16 –Troubleshooting TCP/IP (Capítulo 16: solución de problemas de TCP/IP)

Comprobación de la conectividad IPv6

Comprobación de la conectividad IPv6

Puntos clave

Puede usar las siguientes tareas para solucionar los problemas con la conectividad IPv6:

Comprobar la configuración

Comprobar la accesibilidad

Comprobar el filtrado de paquetes

Ver y administrar la tabla de enrutamiento IPv6

Comprobar la confiabilidad del enrutador

Comprobación de la resolución de nombres DNS para las direcciones IPv6

Comprobación de la resolución de nombres DNS para las direcciones IPv6

Puntos clave

Al comprobar la conectividad de los servicios de red, se usan varias de las mismas herramientas y software que conIPv4. Al comprobar la configuración y la resolución de nombres DNS, puede comprobar la configuración DNS usandolas siguientes herramientas:

Ipconfig/todo

Ipconfig/mostrardns y Ipconfig/vaciardns

Ping

Nsbuscar

Comprobación de las conexiones TCP basadas en IPv6

Comprobación de las conexiones TCP basadas en IPv6

Puntos clave

Para comprobar las conexiones TCP basadas en IPv6:

Compruebe si existe el filtrado de paquetes.

Compruebe el establecimiento de conexiones TCP (Telnet).

Laboratorio B: Conversión de red

Laboratorio B: Conversión de red

Objetivo

Realizar una transición de red a una red sólo IPv6.

Escenario

Tiene la responsabilidad de probar el plan de transición IPv6. Para lograrlo, se realizará la transición de equipos de lared anterior que usa IPv4 e IPv6 a una red sólo IPv6.

Ejercicio 1: Transición a una red sólo IPv6

Ejercicio 1: Transición a una red sólo IPv6


En este ejercicio, se migrará la red IPv4 para que sea completamente compatible con IPv6.


Deshabilitar el enrutador ISATAP en NYC-SVR1.1.

Configurar el enrutador IPv6 nativo en NYC-SVR1.2.

Deshabilitar la conectividad IPv4.3.

Probar la conectividad entre cada subred IPv6.4.

Tarea 1: Deshabilitar el enrutador ISATAP en NYC-SVR1

En NYC-SVR1, deshabilite el enrutador ISATAP y elimine el prefijo de subred de ruta estática que se definióanteriormente para la subred ISATAP.

Tarea 2: Configurar el enrutador IPv6 nativo en NYC-SVR1

Configure un enrutador IPv6 en la interfaz Conexión de área local en NYC-SVR1. Asegúrese de que el reenvíoy anuncio de prefijo estén habilitados. Además, agregue y publique el prefijo de subred: 2001:db8:0:0::/64.

Tarea 3: Deshabilitar la conectividad IPv4

En NYC-SVR1, deshabilite todas las interfaces IPv4 restantes.1.

En NYC-DC1, habilite la interfaz IPv6 y luego deshabilite la interfaz IPv4.2.

Tarea 4: Probar la conectividad entre cada subred IPv6

Asegúrese de que se puede rastrear entre NYC-DC1 y NYC-CL1. Además, asegúrese de que NYC-SVR1 seacapaz de rastrear ambos servidores.

Nota: Si las direcciones IP no se resuelven, reinicie los servidores comenzando por NYC-DC1, NYC-SVR1 ycontinuando por NYC-CL1.

Tarea 5: Reconfigurar los adaptadores de red

Para contar con la instalación adecuada para futuros laboratorios, debe configurar lo siguiente antes de iniciar lasmáquinas virtuales:

En la máquina host, abra el Sitio web de administración de Virtual Server.1.

En el panel izquierdo, en Máquinas virtuales, elija Configurar y luego haga clic en 6822A-NYC-SVR1.2.

En Configuración de “6822A-NYC-SVR1”, haga clic en Adaptadores de red.3.

En Adaptador de red virtual 2, haga clic en la flecha desplegable, seleccione Red interna y luego haga clicen Aceptar.

4.

En el panel izquierdo, en Máquinas virtuales, elija Configurar y luego haga clic en 6822A-NYC-CL1.5.

En Configuración de “6822A-NYC-CL1”, haga clic en Adaptadores de red.6.

En Adaptador de red virtual 2, haga clic en la flecha desplegable, seleccione Red interna y luego haga clicen Aceptar.

7.





¿Cuáles son los diferentes tipos de direcciones IPv6 de unidifusión?1.

¿Cuáles son las razones principales por lo que IPv6 resulta necesaria?2.

¿Cómo se denomina el proceso en el que un cliente se configura a sí mismo con una dirección IPv6?3.

¿Qué tipo de dirección IP se asignan a sí mismos cada uno de los clientes IPv6 automáticamente?4.

¿Cuánto afecta el ámbito de una dirección su capacidad para comunicarse en Internet?5.

¿Cuáles son las diferentes tecnologías de tunelización en IPv6?6.

¿Cuál es el propósito principal de un túnel Teredo?7.


La siguiente tabla describe las herramientas de línea de comandos que pueden usarse para configurar y solucionarproblemas de TCP/IP de IPv6:


IPconfig Brinda datos de resumen para IPv4 e IPv6.

Route Brinda información básica acerca de las tablas de enrutamientoIPv4 e IPv6.

Netsh Brinda información detallada acerca de la configuración IPv6 y esla herramienta principal usada para configurar IPv6 en WindowsServer 2008 y Windows Vista. Se puede usar esta herramienta delínea de comandos para configurar un enrutador IPv6.

Módulo 6: Configuración y solución de problemas de Enrutamiento yacceso remoto

Módulo 6

Configuración y solución de problemas de Enrutamiento y accesoremoto

Este módulo explica cómo configurar y solucionar problemas de Enrutamiento y acceso remoto en Windows Server®2008.

Lección 1: Configuración del acceso a redesLección 2: Configuración del acceso a VPNLección 3: Descripción general de directivas de redLección 4: Descripción general del Kit de administración de Connection ManagerLección 5: Solución de preoblemas de Enrutamiento y acceso remotoLaboratorio: Configuración y administración de acceso a redes

Lección 1: Configuración del acceso a redes

Lección 1:

Configuración del acceso a redes

Windows Server 2008 incluye Directiva de red y Servicios de acceso, que brinda soluciones para escenarios conproblemas de conectividad, como por ejemplo:

Protección de acceso a redes (NAP). Con NAP, los administradores del sistema pueden establecer y aplicarautomáticamente directivas de mantenimiento que incluyen requisitos de software, requisitos de actualizacionesde seguridad, configuraciones requeridas del equipo y otros valores.

Soluciones inalámbricas y alámbricas seguras basadas en el método de cumplimiento 802.1X.

Soluciones de acceso remoto, que incluyen red privada virtual (VPN), acceso telefónico tradicional yenrutadores de software completos.

Administración central de directivas de red con el servidor y el proxy Servicio de autenticación remota telefónicade usuario (RADIUS).

Componentes de una infraestructura de Servicios de acceso a redes

Componentes de una infraestructura de Servicios de acceso a redes

Puntos clave

Por lo general, la infraestructura subyacente en un Servicio de acceso a redes completo en Windows Server 2008incluye los siguientes componentes:

Servidor VPN

Servicios de directorio de Active Directory®

Servidor de Protocolo de configuración dinámica de host (DHCP)

Servidor de directivas de mantenimiento NAP

Autoridad de registro de mantenimiento

Servidores de actualizaciones


Tema de Ayuda: Acceso remoto

¿Qué es la función Directiva de red y Servicios de acceso?

¿Qué es la función Directiva de red y Servicios de acceso?

Puntos clave

La función Directiva de red y Servicios de acceso en Windows Server 2008 brinda las siguientes soluciones deconectividad de red:

NAP

Acceso inalámbrico y alámbrico seguro

Soluciones de acceso remoto

Administración central de directivas de red con el servidor y el proxy RADIUS



¿Qué es Enrutamiento y acceso remoto?

¿Qué es Enrutamiento y acceso remoto?

Puntos clave

Con Enrutamiento y acceso remoto se pueden implementar servicios de VPN y acceso remoto telefónico y serviciosmultiprotocolo de enrutamiento de LAN a LAN, de LAN a red de área extensa (WAN), de VPN y de traducción dedirecciones de red (NAT).

Se pueden implementar las siguientes tecnologías durante la instalación de la función de servicio Enrutamiento yacceso remoto:

Servicio de acceso remoto

Enrutamiento



Ayuda para el servicio Enrutamiento y acceso remoto

Demostración: Cómo instalar Servicios de enrutamiento y acceso remoto

Demostración: Cómo instalar Servicios de enrutamiento y acceso remoto

Autenticación y autorización de red

Autenticación y autorización de red

Puntos clave

La distinción entre autenticación y autorización es importante para comprender por qué los intentos de conexión sonaceptados o denegados:

La autenticación es la comprobación de las credenciales de los intentos de conexión. Este proceso consisteen enviar las credenciales desde el cliente de acceso remoto al servidor de acceso remoto ya sea como textosimple o como texto cifrado usando un protocolo de autenticación.

La autorización es la comprobación de que el intento de conexión está permitido. La autorización se produceluego de una autenticación correcta.


Autenticación frente a autorización

Introducción a las directivas de acceso remoto

Tipos de métodos de autenticación

Tipos de métodos de autenticación

Puntos clave

La autenticación de los clientes de acceso es un tema de seguridad importante. Por lo general, los métodos deautenticación usan un protocolo de autenticación que se negocia durante el proceso de establecimiento de laconexión. Estos protocolos incluyen:

PAP

CHAP

MSCHAPv2

EAP

PEAP


Ayuda para el Servicio de enrutamiento y acceso remoto: Autenticación

Ayuda para el Servicio de enrutamiento y acceso remoto: Solucionar problemas de acceso remoto

Métodos de autenticación para usar con IAS

Integración de servidores DHCP con el servicio Enrutamiento y accesoremoto

Integración de servidores DHCP con el servicio Enrutamiento y acceso remoto

Puntos clave

Se puede implementar el servicio Servidor DHCP con el servicio Enrutamiento y acceso remoto para brindar a losclientes de acceso remoto una dirección IP asignada dinámicamente durante la conexión. Cuando se usan estosservicios de manera conjunta en el mismo servidor, la información ofrecida durante la configuración dinámica se brindade una manera diferente que la configuración DHCP típica para clientes basados en LAN.


Ayuda para el Servicio de enrutamiento y acceso remoto: Uso de servidores de Enrutamiento y acceso remotocon DHCP

Lección 2: Configuración del acceso a VPN

Lección 2:

Configuración del acceso a VPN

Las VPN son conexiones punto a punto a través de una red privada o pública como Internet. Un cliente VPN usaprotocolos especiales basados en TCP/IP, denominados protocolos de túnel, para realizar una llamada virtual al puertovirtual de un servidor VPN.

En una implementación típica de VPN, un cliente inicia una conexión virtual punto a punto con un servidor de acceso através de Internet. El servidor de acceso remoto responde la llamada, autentica al autor de la llamada y transfiere datosentre el cliente VPN y la red privada de la organización.

¿Qué es una conexión VPN?

¿Qué es una conexión VPN?

Puntos clave

Para emular un vínculo punto a punto, los datos se encapsulan o se ajustan con un encabezado. El encabezado brindala información de enrutamiento que permite que los datos atraviesen la red pública o compartida para llegar a suextremo. Para emular un vínculo privado, los datos se cifran por razones de confidencialidad. Los paquetes que soninterceptados en la red pública o compartida son indescifrables sin claves de cifrado. El vínculo en el que seencapsulan o cifran los datos privados se conoce como una conexión VPN.

Existen dos tipos de conexiones VPN:

VPN de acceso remoto

VPN de sitio a sitio

Componentes de una conexión VPN

Componentes de una conexión VPN

Puntos clave

Una VPN incluye los siguientes componentes:

Cliente VPN

Servidor VPN

Túnel de VPN

Datos de túnel

Conexión entre redes en tránsito


Redes privadas virtuales

Protocolos de túnel para una conexión VPN

Protocolos de túnel para una conexión VPN

Puntos clave

La tunelización permite la encapsulación de un paquete a partir de un tipo de protocolo dentro del datagrama de unprotocolo diferente. Por ejemplo, VPN usa PPTP para encapsular paquetes IP a través de una red pública comoInternet. También se puede configurar una solución VPN basada en PPTP, L2TP o SSTP.


Ayuda para el Servicio de enrutamiento y acceso remoto: Protocolos de túnel VPN

Requisitos de configuración

Requisitos de configuración

Puntos clave

Antes de configurar un servidor VPN de acceso remoto debe:

Determinar qué interfaz de red se conecta a Internet y qué interfaz de red se conecta a su red privada.

Determinar si los clientes remotos recibirán direcciones IP de un servidor de Protocolo de configuracióndinámica de host (DHCP) en su red privada o desde un servidor VPN de acceso remoto que está configurando.

Determinar si desea que las solicitudes de conexión de los clientes de VPN sean autenticadas por un servidorServicio de autenticación remota telefónica de usuario (RADIUS) o por el servidor VPN de acceso remoto queestá configurando.

Determinar si los clientes VPN pueden enviar mensajes DHCP al servidor DHCP en su red privada.

Comprobar que todos los usuarios tengan cuentas de usuario configuradas para el acceso telefónico.


Ayuda para el Servicio de enrutamiento y acceso remoto: Configurar un servidor VPN de acceso remoto

Demostración: Configuración del acceso a VPN

Demostración: Configuración del acceso a VPN

Realización de tareas adicionales

Realización de tareas adicionales

Puntos clave

Luego de completar los pasos del Asistente para agregar funciones y la configuración de Enrutamiento y accesoremoto, su servidor estará listo para usarse como servidor VPN de acceso remoto.

Las tareas adicionales que puede realizar en su servidor de acceso remoto/VPN incluyen:

Configurar filtros de paquetes estáticos

Configurar servicios y puertos

Ajustar niveles de registro para protocolos de enrutamiento

Configurar el número de puertos VPN

Crear un perfil de Administrador de la conexión para usuarios

Agregar Servicios de certificados de Active Directory (AD CS)

Aumentar la seguridad de acceso remoto

Aumentar la seguridad VPN


Directiva de red y Servicios de acceso

Ayuda para el Servicio de enrutamiento y acceso remoto: Configurar un servidor VPN de acceso remoto

Componentes de una conexión de acceso telefónico

Componentes de una conexión de acceso telefónico

Puntos clave

El acceso telefónico remoto es una tecnología de acceso remoto que se encuentra disponible como parte del servicioEnrutamiento y acceso remoto que incluye Windows Server 2008.

A través del acceso telefónico remoto, un cliente de acceso remoto usa la infraestructura de telecomunicaciones paracrear un circuito físico temporal o un circuito virtual para un puerto en un servidor de acceso remoto. Una vez creado elcircuito físico o virtual, se puede negociar el resto de los parámetros de conexión.

La conexión física o lógica entre el servidor de acceso remoto y el cliente de acceso remoto se simplifica por mediode la instalación del equipo de acceso telefónico en el cliente de acceso remoto, el servidor de acceso remoto y lainfraestructura WAN.


Ayuda para el Servicio de enrutamiento y acceso remoto: ¿Qué es el acceso telefónico a redes?

Lección 3: Descripción general de directivas de red

Lección 3:

Descripción general de directivas de red

Cuando se procesan solicitudes de conexión como un servidor RADIUS, NPS realiza tanto la autenticación como laautorización de la solicitud de conexión. NPS comprueba la identidad del usuario o equipo que se conecta a la reddurante el proceso de autenticación. NPS determina si el usuario o equipo tiene permitido el acceso a la red durante elproceso de autorización.

Para tomar esta decisión, NPS usa las directivas de red que se configuran en el complemento Microsoft ManagementConsole (MMC) NPS. Para realizar la autorización, NPS también examina las propiedades de marcado de la cuenta deusuario en Active Directory.

Nota: En el Servicio de autenticación de Internet (IAS) de la familia de sistemas operativos Windows Server 2003, lasdirectivas de red se denominaban directivas de acceso remoto.

¿Qué es una Directiva de red?

¿Qué es una Directiva de red?

Puntos clave

Las directivas de red son un conjunto de condiciones, restricciones y valores que permiten designar quiénes estánautorizados para conectarse a la red y las circunstancias en que pueden o no conectarse. Cuando se implementa NAP,la directiva de mantenimiento se agrega a la configuración de directivas de red para que NPS realice comprobacionesde mantenimiento de cliente durante el proceso de autorización.

Cada directiva de red cuenta con cuatro categorías de propiedades:

Generales

Condiciones

Restricciones

Configuración


Ayuda para Servidor de directivas de redes: Propiedades de Directiva de red

Proceso de creación y configuración de una directiva de red

Proceso de creación y configuración de una directiva de red

Puntos clave

NPS usa directivas de red, anteriormente denominadas directivas de acceso remoto, y las propiedades de marcado decuentas de usuario para determinar si se debe autorizar una solicitud de conexión a la red. Se puede configurar unanueva directiva de red en el complemento MMC NPS o bien en el complemento MMC del servicio Enrutamiento yacceso remoto.

Para agregar una nueva directiva de red usando la interfaz de Windows:

Abra la consola NPS y luego haga doble clic en Directivas.1.

En el árbol de consola, haga clic con el botón secundario en Directivas de red y luego haga clic en Nueva. Seabrirá el Asistente para nueva directiva de red.

2.

Use el Asistente para nueva directiva de red para crear una directiva.3.

Configure las propiedades de Directiva de red.4.


Ayuda para Servidor de directivas de redes: Directivas de red

Ayuda para Servidor de directivas de redes: Agregar una Directiva de red

¿Cómo se procesan las directivas de red?

¿Cómo se procesan las directivas de red?

Puntos clave

Cuando NPS realiza la autorización de una solicitud de conexión, compara la solicitud con cada directiva de red de lalista ordenada de directivas, comenzando con la primera directiva y continuando con las siguientes.


Ayuda para Servidor de directivas de redes: Agregar una Directiva de red

Lección 4: Descripción general del Kit de administración de ConnectionManager

Lección 4:

Descripción general del Kit de administración de Connection Manager

El Kit de administración del administrador de la conexión (CMAK) permite a los administradores personalizar lasopciones de conexión remota de los usuarios mediante la creación de conexiones predefinidas con servidores y redesremotos. El Asistente para CMAK crea un archivo ejecutable que puede distribuirse de diferentes maneras o incluirseen las actividades de implementación como parte de la imagen del sistema operativo.

¿Qué es el Kit de administración de Connection Manager?

¿Qué es el Kit de administración de Connection Manager?

Puntos clave

CMAK es una herramienta que puede usarse para personalizar la experiencia de conexión remota para los usuarios desu red mediante la creación de conexiones predefinidas con servidores y redes remotos. Use el Asistente para CMAKpara crear y personalizar una conexión para los usuarios.


Ayuda para CMAK: Bienvenido al Kit de administración de Connection Manager

Demostración: Instalación de CMAK

Demostración: Instalación de CMAK

Proceso de configuración de un perfil de conexión

Proceso de configuración de un perfil de conexión

Puntos clave

Se puede configurar un perfil de conexión nuevo o existente usando el Asistente para CMAK. Cada página delasistente le permite completar otro paso del proceso.

Nota: Para obtener información completa acerca de la creación de un perfil de conexión, consulte CMAK OperationsGuide.


Guía Operativa de CMAK

Ayuda para el Kit de administración del administrador de la conexión: Ejecutar Asistente para CMAK para crearun perfil de conexión

Demostración: Creación de un perfil de conexión

Demostración: Creación de un perfil de conexión

Distribución del perfil de conexión a usuarios

Distribución del perfil de conexión a usuarios

Puntos clave

El asistente para CMAK compila el perfil de conexión en un único archivo ejecutable con la extensión de nombre dearchivo .exe. Este archivo se puede entregar a los usuarios a través de cualquiera de los métodos que tenga adisposición. Algunos métodos para tener en cuenta son:

Incluir el perfil de conexión como parte de la imagen incluida con los nuevos equipos.

Entregar el perfil de conexión en medios extraíbles para que el usuario lo instale manualmente.

Lección 5: Solución de preoblemas de Enrutamiento y acceso remoto

Lección 5:

Solución de problemas de Enrutamiento y acceso remoto

La solución de problemas del servicio Enrutamiento y acceso remoto puede ser una tarea que requiere mucho tiempo.Es posible que los problemas sean diversos y difíciles de identificar. Debido a que quizá esté usando redes deacceso telefónico, dedicadas, arrendadas o públicas para cumplir con la solución de conectividad remota, debesolucionar los problemas mediante un proceso metódico, paso a paso.

Herramientas de solución de problemas de TCP/IP

Herramientas de solución de problemas de TCP/IP

Puntos clave

Windows Server 2008 incluye herramientas básicas y avanzadas de diagnóstico de TCP/IP que pueden usarse parasolucionar problemas de TCP/IP.

Las herramientas básicas de diagnóstico de TCP/IP incluyen:

Diagnóstico de red en Ayuda y Soporte

Carpeta Conexiones de red

Comando Ipconfig

Comando Ping

Las herramientas avanzadas de diagnóstico de TCP/IP incluyen:

Comando NombredelHost

Comando Nbtstat

Comando RutaPing

Comando Ruta

Comando Tracert


Cómo solucionar problemas de conectividad TCP/IP con Windows XP

Autenticación y registro de cuentas

Autenticación y registro de cuentas

Puntos clave

Se puede configurar NPS para que realice la administración de cuentas RADIUS para las solicitudes de autenticaciónde usuarios, mensajes Acceso-Aceptación, mensajes Acceso-Denegación, solicitudes y respuestas de cuentas yactualizaciones de estado periódicas. Puede usar este procedimiento para configurar los archivos de registro en losque desea almacenar los datos contables.


Tema de Ayuda: Configurar propiedades del archivo de registro

Configuración de registro de acceso remoto

Configuración de registro de acceso remoto

Puntos clave

Para configurar el registro de acceso remoto, abra la consola de servicio Enrutamiento y acceso remoto, haga clic conel botón secundario en nombre de servidor y luego haga clic en Propiedades. Haga clic en la ficha Registro paraver las opciones disponibles y la ubicación del registro de seguimiento.

Los cuatro niveles de registro de eventos que el servicio Enrutamiento y acceso remoto de Windows Server 2008pone a disposición son:

Registrar únicamente errores

Registrar errores y advertencias

Registrar todos los eventos

No registrar ningún evento


Ayuda para el Servicio de enrutamiento y acceso remoto: Propiedades del servidor: Ficha Registro

Configuración de seguimiento de acceso remoto

Configuración de seguimiento de acceso remoto

Puntos clave

El servicio Enrutamiento y acceso remoto en Windows Server 2008 tiene una amplia capacidad de seguimiento quepuede usarse para solucionar problemas de red complejos. Es posible habilitar los componentes en Windows Server2008 para registrar la información de seguimiento en archivos usando el comando Netsh o a través del Registro.


Tema de Ayuda: Herramientas de solución de problemas de VPN

Solución de problemas frecuentes

Solución de problemas frecuentes

Puntos clave

Los problemas frecuentes que pueden surgir al usar Acceso remoto de Windows Server 2008 incluyen:

Error 800: El servidor VPN es inaccesible

Error 721: El equipo remoto no responde

Error 741/742: Error de no coincidencia de cifrado

No se puede establecer una conexión VPN de acceso remoto

Problemas de autenticación de L2TP/IPsec

Problemas de autenticación de EAP-TLS

Se aceptó el intento de conexión cuando debería haberse rechazado

Los clientes VPN no pueden obtener acceso a los recursos más allá del servidor VPN

No se puede establecer un túnel


Tema de Ayuda: Solucionar problemas de acceso remoto

Laboratorio: Configuración y administración de acceso a redes

Laboratorio: Configuración y administración de acceso a redes

Objetivos


Configurar el servicio Enrutamiento y acceso remoto como una solución de acceso remoto de VPN.

Configurar una Directiva de red personalizada.

Configurar registros.

Configurar un perfil de conexión.

Escenario

Woodgrove Bank desea implementar una solución de acceso remoto para sus empleados a fin de que puedanconectarse a la red corporativa mientras están fuera de la oficina. Woodgrove Bank requiere una directiva de red queexija que las conexiones VPN estén cifradas por razones de seguridad.

El departamento de TI de Woodgrove Bank no desea que la solución de acceso remoto cause un aumento drástico delas llamadas de soporte al Departamento de soporte técnico por problemas de configuración respecto de los objetosde conexión VPN que deban crearse

Ejercicio 1: Configuración de Enrutamiento y acceso remoto como unasolución de acceso remoto de VPN

Ejercicio 1: Configuración de Enrutamiento y acceso remoto como una solución de acceso remotode VPN


En este ejercicio, configurará la función de servicio Enrutamiento y acceso remoto como una solución de accesoremoto de VPN. El servidor VPN debe usar la asignación de direcciones IP para los clientes desde un grupo dedirecciones IP estático configurado en el servidor de acceso remoto. El servidor de acceso remoto sólo deberíaaceptar conexiones PPTP y L2TP, con 25 conexiones permitidas para cada una.



Instalar la función Directivas de red y Servicios de acceso.2.

Configurar 6822A-NYC-SVR1 como un servidor VPN con un grupo de direcciones estáticas para clientes deacceso remoto.

3.

Configurar los puertos VPN disponibles en el servidor de servicio Enrutamiento y acceso remoto para permitir25 conexiones PPTP y 25 conexiones L2TP.

4.



1.






Tarea 2: Instalar la función Directivas de red y Servicios de acceso en 6822A-NYC-SVR1

Abra Administrador del servidor en NYC-SVR1 y haga clic en Agregar funciones.1.

En Administrador del servidor, en la página Funciones del servidor desplácese hacia abajo, seleccioneDirectivas de red y Servicios de acceso y luego haga clic en Siguiente.

2.

En la página Seleccionar funciones del servidor, seleccione Directivas de red y servicios de acceso y,luego, haga clic en Siguiente.

3.

En la página Confirmar selecciones de instalación, haga clic en Instalar.4.

En la página Resultados de instalación, compruebe que aparezca La instalación se completó en el panelde detalles y luego haga clic en Cerrar.

5.

Las funciones Directiva de red y Servicios de enrutamiento y acceso remoto se instalan en 6822A-NYC-SVR1.

Tarea 3: Configurar 6822A-NYC-SVR1 como un servidor VPN con un grupo de direcciones estáticas para clientes de acceso remoto

En Herramientas administrativas, abra Enrutamiento y acceso remoto.1.

En el panel de la lista, seleccione y haga clic con el botón secundario en NYC-SVR1 (Local) y luego haga clicen Configurar y habilitar enrutamiento y acceso remoto.

2.

Asegúrese de que esté seleccionada la configuración predeterminada, Acceso remoto (acceso telefónico o3.

VPN) y, luego, en la página Acceso remoto seleccione la opción VPN.

En la página Conexión VPN, seleccione la interfaz Conexión de área local 2.4.

En la página Asignación de dirección IP, seleccione De un intervalo de direcciones especificado.5.

Use el intervalo 192.168.1.100 con 75 direcciones disponibles para el grupo estático.6.

Acepte la configuración predeterminada durante el resto del proceso de configuración.7.

Tarea 4: Configurar los puertos VPN disponibles en el servidor de servicio Enrutamiento y acceso remoto para permitir 25conexiones PPTP y 25 conexiones L2TP

En la interfaz de la herramienta administrativa Enrutamiento y acceso remoto, haga clic con el botónsecundario en Puertos y luego haga clic en Propiedades.

1.

En el cuadro de diálogo Propiedades de puertos, configure L2TP y PPTP para que tengan 25 conectoresdisponibles. Especifique 0 para SSTP.

2.

En el cuadro de diálogo Propiedades de puertos, haga clic en Aceptar.3.

Cierre la herramienta administrativa Enrutamiento y acceso remoto.4.

Ejercicio 2: Configuración de una Directiva de red personalizada

Ejercicio 2: Configuración de una Directiva de red personalizada


En este ejercicio, creará una directiva de red para permitir conexiones seguras al servidor de servicio Enrutamiento yacceso remoto.


Abrir la herramienta administrativa Servidor de directivas de redes en 6822A-NYC-SVR1.1.

Crear una nueva directiva de red para los clientes del servicio Enrutamiento y acceso remoto.2.

Tarea 1: Abrir la herramienta de administración Servidor de directivas de redes en 6822A-NYC-SVR1

En el menú Herramientas administrativas, haga clic en Servidor de directivas de red.

Aparecerá la herramienta administrativa Servidor de directivas de redes.

Tarea 2: Crear una nueva directiva de red para los clientes del servicio Enrutamiento y acceso remoto

En el panel de la lista de la herramienta administrativa Servidor de directivas de redes, expanda Directivas,haga clic con el botón secundario en Directivas de red y luego haga clic en Nueva.

1.

En Asistente de nuevas directivas de red, especifique la siguiente configuración y acepte los valorespredeterminados para el resto de la configuración:

2.

Nombre de directivas de red: VPN segura

Tipo de servidor de acceso a la red: Servidor de acceso remoto (VPN-Acceso telefónico)

Especificar condiciones: Tipo de túnel: PPTP y L2TP

Configurar métodos de autenticación: Desactivar MS-CHAP

Configurar restricciones: Día y hora: Denegar acceso de Lunes a viernes de 11PM a 6AM

Establecer la configuración: En Cifrado, desactive todos los valores excepto Cifrado más fuerte

Cerrar la herramienta administrativa Servidor de directivas de redes.3.

Ejercicio 3: Configuración del registro

Ejercicio 3: Configuración del registro


En este ejercicio, habilitará el registro en Enrutamiento y acceso remoto.


Configurar el registro del Servicio de enrutamiento y acceso remoto en 6822A-NYC-SVR1 para que registretodos los eventos en el Registro del sistema.

1.

Probar los niveles de registro.2.

Tarea 1: Configurar el registro del Servicio de enrutamiento y acceso remoto en 6822A-NYC-SVR1 para que registre todos loseventos en el Registro del sistema

Haga clic en Inicio, elija Herramientas administrativas y luego haga clic en Enrutamiento y accesoremoto.

1.

Haga clic con el botón secundario en NYC-SVR1 y luego haga clic en Propiedades.2.

En el cuadro de diálogo Propiedades de NYC-SVR1 (local), haga clic en la ficha Registros, luego enRegistrar todos los eventos y finalmente en Aceptar.

3.

Tarea 2: Probar los niveles de registro

Inicie sesión en NYC-CL1 con el nombre de usuario Administrador y la contraseña Pa$$w0rd.1.

Haga clic en Iniciar, luego en Red y en la ventana Red, haga clic en Centro de redes y recursoscompartidos.

2.

En Tareas, haga clic en Configurar una conexión o red para crear un nuevo objeto de conexión VPN.3.

En el cuadro de diálogo Escribir la dirección de Internet a la que desea conectarse, especifique que ladirección de Internet sea 10.10.0.24 y un nombre de destino VPN.

4.

Acepte la configuración predeterminada durante el resto de la configuración del asistente.5.

Una vez creado el objeto de conexión VPN, conéctese a VPN Woodgrovebank desde la página Conexionesde red.

6.

Use la siguiente información en los cuadros de texto Conectarse a VPN Woodgrovebank:7.



Dominio: Woodgrovebank

La VPN se conectará correctamente.

Haga clic con el botón secundario en VPN Woodgrovebank y luego haga clic en Desconectar. La VPN sedesconectará.

8.

En NYC-SVR1, haga clic en Inicio, elija Herramientas administrativas y luego haga clic en Visor deeventos.

9.

Use Visor de eventos en NYC-SVR1 y revise las entradas de origen Acceso remoto en Registro del sistemapara visualizar los datos registrados.

10.

Cierre Visor de eventos.11.

Ejercicio 4: Configuración de un perfil de conexión

Ejercicio 4: Configuración de un perfil de conexión


En este ejercicio, configurará un perfil de conexión usando la herramienta CMAK para crear objetos de conexión paralos usuarios de equipos portátiles.

Las principales tareas se realizarán como se detalla a continuación: 36

Instalar el Kit de administración del administrador de la conexión.1.

Usar CMAK para crear un archivo ejecutable distribuible que automatice la creación de objetos de conexiónpara los usuarios.

2.

Instalar y probar el perfil CMAK.3.

Apagar todas las máquinas virtuales y descartar los cambios.4.

Tarea 1: Instalar el Kit de administración del administrador de la conexión

En NYC-SVR1, haga clic en Inicio y luego haga clic en Administrador del servidor.1.

Seleccione la característica Kit de administración del administrador de la conexión y luego haga clic enInstalar.

2.

Cierre Administrador del servidor en 6822A-NYC-SVR1.3.

Tarea 2: Usar CMAK para crear un archivo ejecutable distribuible que automatice la creación de objetos de conexión para losusuarios

Haga clic en Inicio, elija Herramientas administrativas y luego haga clic en Kit de administración deladministrador de la conexión.

1.

En la Página principal del Asistente del Kit de administración del administrador de la conexión, hagaclic en Siguiente. Especifique la siguiente configuración de la interfaz del asistente y acepte los valorespredeterminados para las demás configuraciones:

2.

En la página Especificar el nombre del servicio y el nombre del archivo, use VPN WOODGROVEBANKcomo nombre del servicio y VPN_CORP como nombre del archivo.

En Agregar compatibilidad para conexiones VPN, seleccione Libreta de teléfonos de este perfil yespecifique siempre usar el mismo servidor VPN con la dirección IP 10.10.0.24.

En Agregar una libreta de teléfonos, desactive Descargar automáticamente actualizaciones de lalibreta de teléfonos.

En la página Su perfil de Administrador de la conexión está completo y listo para distribuirse, haga clicen Finalizar.

3.

En NYC-SVR1, copie la carpeta VPN_CORP desde la ubicación C:\ArchivosdePrograma\CMAK\Profiles\Vista\ en \\NYC-DC1\Módulo6.

4.

En la página Especificar el nombre del servicio y el nombre del archivo, use VPN WOODGROVEBANKcomo nombre del servicio y VPN_CORP como nombre del archivo.

Tarea 3: Instalar y probar el perfil CMAK

En 6822A-NYC-CL1, en el recurso compartido \\NYC-DC1\módulo6\, ejecute CORP_VPN.exe para crear elobjeto de conexión VPN.

1.

Se abrirá el objeto de conexión VPN WOODGROVEBANK.

En el objeto de conexión VPN WOODGROVEBANK, escriba las siguientes credenciales y luego haga clic enConectar:

2.



Dominio de inicio de sesión: Woodgrovebank

Establezca Ubicación de red para trabajar.3.

Compruebe que la VPN se conecte correctamente en Conexiones de red. Haga clic con el botón secundarioen el icono de conexión y luego haga clic en Desconectar.

4.



En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.2.

Cierre el Iniciador de laboratorio de 6822A.3.




Está agregando servicios de acceso remoto a una infraestructura existente que usa enrutadores no compatiblescon RFC 1542. El servidor DHCP no está en la misma subred que el servidor de acceso remoto. ¿Quéproblema podría surgir debido a esta configuración? ¿Cómo mitigaría este problema?

1.

Desea implementar una solución VPN para usuarios en su compañía pero el grupo responsable de la seguridadno quiere abrir el firewall al tráfico PPTP y L2TP. ¿Es posible crear una solución tal en Windows Server 2008?Si es posible, ¿qué usaría?

2.

Basándose en el escenario de la pregunta anterior, ¿qué cifrado se usa para asegurar el tráfico?3.

¿Es posible ignorar las propiedades de marcado asignadas a las cuentas en Active Directory con directivas dered? ¿En qué categoría de propiedad estaría establecido?

4.

Ha habilitado el registro RADIUS completo en los servidores de acceso remoto de su organización y hacomprobado que los registros están reuniendo la información solicitada. Después de algunas semanas deregistro, los usuarios comienzan a llamar al Departamento de soporte técnico porque se producen errores ensus intentos de conexión. ¿Cuál es probablemente el problema?

5.


Las decisiones acerca de cuál es el mejor método para brindar acceso remoto variarán según las herramientas que sehayan seleccionado:

Instale y pruebe los servidores que se ejecutan con el servicio Enrutamiento y acceso remoto antes deconfigurarlos como clientes RADIUS.

Los servidores RADIUS y de acceso remoto deben ser servidores dedicados. Esto reduce la probabilidad deque usuarios no autorizados obtengan acceso a la red y debiliten la configuración de seguridad.

Asegure físicamente los servidores RADIUS y de acceso remoto.

Deshabilite los protocolos de autenticación que no usa. No use PAP a menos que deba brindar compatibilidadcon sistemas heredados.

Determine los niveles de registro deseados para fines de auditoria y realice copias de seguridad de losregistros RADIUS.

Asegure las sesiones de administración remota con IPsec o VPN si las sesiones se inician externamente.

Herramientas


Herramienta deadministración deEnrutamiento y accesoremoto

Administrar y configurar el servicioEnrutamiento y acceso remoto enel servidor local

Enrutamiento y accesoremoto en el menúHerramientasadministrativas

Servidor de directivasde redes

Administrar y crear directivas dered

Servidor de directivasde redes en el menúHerramientasadministrativas

Kit de administración deladministrador de laconexión

Crear objetos de conexiónpersonalizados y distribuiblespara su instalación en los equiposdel cliente

Kit de administración deConnection Manager enel menú Herramientasadministrativas

Visor de eventos Visualizar información registradade eventos de aplicación, sistemay seguridad.

Visor de eventos en elmenú Herramientasadministrativas

Módulo 7: Instalación, configuración y solución de problemas del serviciode función Servidor de directivas de redes

Módulo 7

Instalación, configuración y solución de problemas del servicio defunción Servidor de directivas de redes

Este módulo explica cómo instalar, configurar y solucionar problemas del servicio de función Servidor de directivas deredes. Servidor de directivas de redes (NPS) es la implementación de Microsoft® de un servidor y proxy de Serviciode autenticación remota telefónica de usuario (RADIUS) en Windows Server® 2008. NPS es el reemplazo para elServicio de autenticación de Internet (IAS) en Windows Server 2003.

Lección 1: Instalación y configuración de un Servidor de directivas de redes

Lección 2: Configuración de clientes y servidores RADIUS

Lección 3: Métodos de autenticación NPS

Lección 4: Supervisión y solución de problemas de un Servidor de directivas de redes

Laboratorio: Configuración y administración de Servidor de directivas de redes

Lección 1: Instalación y configuración de un Servidor de directivas deredes

Lección 1:

Instalación y configuración de un Servidor de directivas de redes

NPS permite configurar y administrar directivas de redes de manera central con las siguientes tres características:Servidor RADIUS, Proxy RADIUS y servidor de directivas NAP.

¿Qué es un Servidor de directivas de redes?

¿Qué es un Servidor de directivas de redes?

NPS permite crear y aplicar las directivas de acceso a redes de toda la organización para el mantenimiento del cliente,la autenticación y la autorización de solicitudes de conexión. También puede usar NPS como un proxy RADIUS parareenviar solicitudes de conexión a NPS o a otros servidores RADIUS que configure en grupos de servidores remotosRADIUS.


Ayuda para Servidor de directivas de redes: Servidor de directivas de redes

Escenarios de uso de Servidor de directivas de redes

Escenarios de uso de Servidor de directivas de redes

Puede usar NPS en Windows Server 2008 como servidor o proxy RADIUS.

Como servidor RADIUS, NPS realiza en forma centralizada la autenticación de conexiones, la autorización deconexiones y la contabilidad para muchos tipos de acceso a redes, incluso inalámbrico, conmutador deautenticación, acceso remoto telefónico o VPN y conexiones de enrutador a enrutador.

Como proxy RADIUS, NPS reenvía mensajes de autenticación y de cuentas a otros servidores RADIUS.


Ayuda para Servidor de directivas de redes: Descripción general de Servidor de directivas de redes

Demostración: Cómo instalar el Servidor de directivas de redes

Demostración: Cómo instalar el Servidor de directivas de redes

Herramientas usadas para administrar un Servidor de directivas de redes

Herramientas usadas para administrar un Servidor de directivas de redes

Las siguientes herramientas permiten administrar la función del servidor Directiva de red y Servicios de acceso:

Complemento MMC NPS. Use MMC NPS para configurar un servidor RADIUS, un proxy RADIUS o tecnologíaNAP.

Comandos Netsh para NPS. Los comandos netsh para NPS brindan un conjunto de comandos completamenteequivalentes con todos los valores de configuración disponibles a través del complemento MMC NPS.


Ayuda para Servidor de directivas de redes: Descripción general de Servidor de directivas de redes

Demostración: Configuración general de NPS

Demostración: Configuración general de NPS

Lección 2: Configuración de clientes y servidores RADIUS

Lección 2:

Configuración de clientes y servidores RADIUS

RADIUS es un protocolo basado en los estándares del sector descrito en RFC 2865, “Servicio de autenticaciónremota telefónica de usuario (RADIUS)” y RFC 2866, “Administración de cuentas RADIUS”. RADIUS brindaautenticación, autorización y servicios de cuentas de red.

Los siguientes componentes forman parte de la infraestructura de autenticación, autorización y cuentas de RADIUS:

Clientes de acceso

Servidores de acceso (clientes RADIUS)

Proxy RADIUS

Servidores RADIUS

Bases de datos de cuentas de usuario

¿Qué es un cliente RADIUS?

¿Qué es un cliente RADIUS?

Un servidor de acceso a la red (NAS) es un dispositivo que brinda cierto nivel de acceso a una red de mayor tamaño.Un NAS que usa una infraestructura RADIUS también es un cliente RADIUS y envía solicitudes de conexión ymensajes de cuentas a un servidor RADIUS para su autenticación, autorización y contabilidad.

Importante: Los equipos cliente, como equipos portátiles inalámbricos y otros equipos que ejecutan sistemasoperativos cliente, no son clientes RADIUS. Los clientes RADIUS son servidores de acceso a la red(incluyendo puntos de acceso inalámbrico, conmutadores de autenticación 802.1X, servidores VPN yservidores de acceso telefónico) porque usan el protocolo RADIUS para comunicarse con servidoresRADIUS, como los servidores NPS.


Ayuda para Servidor de directivas de redes: Clientes RADIUS

¿Qué es un proxy RADIUS?

¿Qué es un proxy RADIUS?

Se puede usar NPS como un proxy RADIUS para enrutar mensajes entre clientes RADIUS (servidores de acceso) yservidores RADIUS que realizan la autenticación, autorización y administración de cuentas de usuario para el intento deconexión.

Cuando se usa NPS como un proxy RADIUS, NPS es un punto central de conmutación o enrutamiento a través del quefluyen los mensajes RADIUS de acceso y de cuentas. NPS almacena información en un registro de cuentas acerca delos mensajes reenviados.


Ayuda para Servidor de directivas de redes: Proxy RADIUS

Demostración: Configuración de un cliente RADIUS

Demostración: Configuración de un cliente RADIUS

Configuración del procesamiento de solicitud de conexión

Configuración del procesamiento de solicitud de conexión

Las directivas de solicitud de conexión son conjuntos de condiciones y valores que permiten a los administradores dered designar qué servidores RADIUS realizan la autenticación y autorización de las solicitudes de conexión que NPSrecibe de clientes RADIUS.

La directiva de solicitud de conexión predeterminada usa NPS como un servidor RADIUS y procesa localmente todaslas solicitudes de autenticación.


Ayuda para Servidor de directivas de redes: Configurar la información del puerto UDP NPS

¿Qué es una Directiva de solicitud de conexión?

¿Qué es una Directiva de solicitud de conexión?

Las directivas de solicitud de conexión son conjuntos de condiciones y valores que permiten a los administradores dered designar qué servidores RADIUS realizan la autenticación y autorización de las solicitudes de conexión que NPSrecibe de clientes RADIUS. Se pueden configurar directivas de solicitud de conexión para designar qué servidoresRADIUS usar para la administración de cuentas RADIUS.


Ayuda para Servidor de directivas de redes: Directivas de solicitud de conexión

Demostración: Creación de una nueva directiva de solicitud de conexión

Demostración: Creación de una nueva directiva de solicitud de conexión

Lección 3: Métodos de autenticación NPS

Lección 3:

Métodos de autenticación NPS

Cuando los usuarios intentan conectarse a su red a través de servidores de acceso a la red (también denominadosclientes RADIUS) como puntos de acceso inalámbrico, conmutadores de autenticación 802.1X, servidores de accesotelefónico y VPN, NPS autentica y autoriza la solicitud de conexión antes de permitir o denegar el acceso.

Debido a que la autenticación es el proceso mediante el que se comprueba la identidad del usuario o equipo queintenta conectarse a la red, NPS debe recibir pruebas de identidad por parte del usuario o equipo en forma decredenciales.

Métodos de autenticación basados en contraseña

Métodos de autenticación basados en contraseña

Cada método de autenticación tiene ventajas y desventajas en lo que se refiere a seguridad, posibilidades de uso yamplitud de compatibilidad. Sin embargo, los métodos de autenticación basados en contraseña no brindan mayorseguridad. Por lo tanto, no se recomienda su uso. Se recomienda usar un método de autenticación basado encertificados para todos los métodos de acceso a la red que sean compatibles con el uso de certificados. Esto seaplica especialmente en conexiones inalámbricas para las que se recomienda el uso de PEAP-MS-CHAP v2 oPEAP-TLS.


Tema de Ayuda: Métodos de autenticación basados en contraseña

Uso de certificados para autenticación

Uso de certificados para autenticación

Los certificados son documentos digitales que emiten las entidades de certificación (CA), como Servicios decertificados de Active Directory (AD CS) o la entidad de certificación pública Verisign. Los certificados se pueden usarpara diversos propósitos, como la firma de código y para asegurar la comunicación por correo electrónico. Sinembargo, con NPS se usan certificados para la autenticación del acceso a la red porque brindan mayor seguridad parala autenticación de usuarios y equipos y, a su vez, eliminan la necesidad de usar métodos menos seguros deautenticación basados en contraseña.


Tema de Ayuda: Certificados y NPS

Certificados requeridos para los métodos de autenticación NPS

Certificados requeridos para los métodos de autenticación NPS

La siguiente tabla describe los certificados que se requieren para implementar correctamente cada uno de losmétodos de autenticación basados en certificados que se encuentran en la lista.

Certificado¿Se requiere paraEAP-TLS y PEAP-TLS?

¿Se requiere paraPEAP-MS-CHAP v2?

Certificado de CA en el almacén de certificados deentidades de certificación raíz de confianza para el equipolocal y usuario actual

SíSí

Certificado de equipo cliente en el almacén de certificadosdel cliente

Sí No

Certificado de servidor en el almacén de certificados delservidor NPS

Sí Sí

Certificado de usuario en una tarjeta inteligenteNo No


Tema de Ayuda: Requisitos de certificados para PEAP y EAP


Implementación de certificados para PEAP y EAP

Implementación de certificados para PEAP y EAP

Todos los certificados que se usan para la autenticación del acceso a la red con EAP-TLS y PEAP deben cumplir conlos requisitos para certificados X.509 y funcionar en conexiones que usan Capa de sockets seguros y Seguridad de lacapa de transporte (SSL/TLS). Una vez cumplidos los requisitos mínimos, los certificados tanto de cliente como deservidor tienen requisitos adicionales.



Tema de Ayuda: EAP y NPS

Tema de Ayuda: PEAP y NPS

Lección 4: Supervisión y solución de problemas de un Servidor dedirectivas de redes

Lección 4:

Supervisión y solución de problemas de un Servidor de directivas deredes

Se puede supervisar NPS configurando y usando registros para la autenticación de eventos y usuarios y solicitudes decuentas. El registro de eventos permite registrar eventos NPS en los registros de eventos del sistema y de seguridad.El registro de solicitudes se puede usar para fines de análisis y facturación de la conexión. La información querecopilan los archivos de registro resulta útil para solucionar problemas de intentos de conexión y para investigación deseguridad.

Métodos usados para supervisar NPS

Métodos usados para supervisar NPS

Existen dos tipos de cuentas o registros que se pueden usar para supervisar NPS:

Registro de eventos para NPS. Se puede usar el registro de eventos para registrar eventos NPS en losregistros de eventos del sistema y de seguridad. Principalmente, se usa para auditar y solucionar problemas deintentos de conexión.

Registro de solicitudes de autenticación y cuentas de usuario. Las solicitudes de autenticación de usuario y decuentas se pueden registrar en archivos de registro en formato de texto o de base de datos, o se puedenalmacenar en un procedimiento almacenado en una base de datos de SQL Server 2000. Use el registro desolicitudes principalmente para fines de análisis y facturación de la conexión y como una herramienta deinvestigación de seguridad, ya que permite identificar la actividad de un atacante.


Tema de Ayuda: Procedimientos recomendados para NPS

Configuración de propiedades del archivo de registro

Configuración de propiedades del archivo de registro

Se puede configurar NPS para que realice la administración de cuentas RADIUS para las solicitudes de autenticaciónde usuarios, mensajes Acceso-Aceptación, mensajes Acceso-Denegación, solicitudes y respuestas de cuentas yactualizaciones de estado periódicas.


Tema de Ayuda: Configurar propiedades del archivo de registro

Tema de Ayuda: Procedimientos recomendados para NPS

Configuración del registro SQL Server

Configuración del registro SQL Server

Se puede configurar NPS para que realice la administración de cuentas RADIUS para las solicitudes de autenticaciónde usuarios, mensajes Acceso-Aceptación, mensajes Acceso-Denegación, solicitudes y respuestas de cuentas yactualizaciones de estado periódicas. Este procedimiento puede usarse para configurar las propiedades de registro yla conexión al servidor (que ejecuta SQL Server) que almacena los datos de cuentas. La base de datos de SQL Serverpuede estar en el equipo local o en un servidor remoto.


Tema de Ayuda: Configurar el registro SQL en NPS

Configuración de eventos NPS para que se registren en Visor de eventos

Configuración de eventos NPS para que se registren en Visor de eventos

Se puede configurar el registro de eventos NPS para que registre los eventos satisfactorios y de error de lassolicitudes de conexión en el registro del sistema de Visor de eventos.


Tema de Ayuda: Eventos NPS y Visor de eventos

Tema de Ayuda: Configurar el registro de eventos NPS

Laboratorio: Configuración y administración de Servidor de directivas deredes

Laboratorio: Configuración y administración de Servidor de directivasde redes

Objetivos


Instalar el servicio de función Servidor de directivas de redes y establecer la configuración de Servidor dedirectivas de redes

Configurar un cliente RADIUS

Configurar la Inscripción automática de certificados

Escenario

Woodgrove Bank está expandiendo su solución de acceso remoto a todos los empleados de sus sucursales. Estorequerirá múltiples servidores de Enrutamiento y acceso remoto ubicados en diferentes puntos para brindarconectividad a sus empleados. Usará RADIUS para centralizar la autenticación y las cuentas para la solución deacceso remoto.

Al especialista en tecnología de Servicios de infraestructura de Windows se le ha asignado la tarea de instalar yconfigurar Servidor de directivas de redes en una infraestructura existente a fin de que sea usada para NAP, accesoinalámbrico y alámbrico, RADIUS y proxy RADIUS.

Ejercicio 1: Instalación y configuración del servicio de función Servidor dedirectivas de redes

Ejercicio 1: Instalación y configuración del servicio de función Servidor de directivas de redes


En este ejercicio, instalará y configurará la función Servidor de directivas de redes.



Abrir la herramienta Administrador de servidores en 6822A-NYC-DC1.2.

Instalar la función Directiva de red y Servicios de acceso.3.

Registrar NPS en Active Directory.4.

Configurar 6822A-NYC-DC1 para que sea un servidor RADIUS para conexiones de acceso telefónico o VPN.5.



1.




4.


Tarea 2: Instalar la función Directiva de red y Servicios de acceso

En NYC-DC1, en el panel de la lista Administrador del servidor, haga clic con el botón secundario enFunciones y luego haga clic en Agregar funciones.

1.

Instale el servicio de función Servidor de directivas de redes desde la función Directiva de red y serviciosde acceso.

2.

En la página Resultados de instalación, compruebe que aparezca Instalación completa en el panel dedetalles y luego haga clic en Cerrar.

3.

Se instalará la función Servidor de directivas de redes en 6822A-NYC-DC1.4.

No cierre sesión ni apague las máquinas virtuales en este momento.5.

Tarea 3: Registrar NPS en Active Directory

Abra Servidor de directivas de redes en el menú Herramientas administrativas.1.

Usando la herramienta NPS, registre NPS en Active Directory.2.

El Servidor de directivas de redes se registra en Active Directory.

Tarea 4: Configurar 6822A-NYC-DC1 para que sea un servidor RADIUS para conexiones de acceso telefónico o VPN

En el panel de la lista de la herramienta de administración Servidor de directivas de redes, haga clic en NPS(Local).

1.

En el panel de detalles, en Configuración estándar, haga clic en servidor RADIUS para Acceso telefónico oConexiones VPN.

2.

En Servidor Radius para conexiones de acceso telefónico o VPN, haga clic en Configurar VPN oacceso telefónico, especifique Conexiones de red privada virtual (VPN) y acepte el nombrepredeterminado.

3.

En el cuadro de diálogo Clientes RADIUS, agregue NYC-SVR1 como un cliente RADIUS con la dirección10.10.0.24.

4.

En el cuadro de diálogo Nuevo cliente RADIUS, especifique y confirme el secreto compartido Pa$$w0rd yluego haga clic en Aceptar.

5.

En el cuadro de diálogo Especificar servidor de acceso telefónico o VPN, acepte la configuraciónpredeterminada.

6.

En el cuadro de diálogo Configurar métodos de autenticación, seleccione Protocolo de autenticaciónextensible y MS-CHAPv2.

7.

En la página Especificar grupos de usuarios, acepte la configuración predeterminada.8.

En la página Especificar filtros IP, acepte la configuración predeterminada.9.

En la página Especificar configuración de cifrado, desactive Cifrado básico y Cifrado fuerte.10.

En la página Especificar un nombre de territorio, acepte la configuración predeterminada y finalice elasistente.

11.

Cerrar la herramienta administrativa Servidor de directivas de redes.12.

Ejercicio 2: Configuración de un cliente RADIUS

Ejercicio 2: Configuración de un cliente RADIUS


En este ejercicio, configurará 6822A-NYC-SVR1 para que hospede Servicios de enrutamiento y acceso remoto y6822A-NYC-SVR1 como cliente RADIUS.


Abrir la herramienta Administrador de servidores en 6822A-NYC-SVR1.1.

Instalar la función Servicios de enrutamiento y acceso remoto.2.

Configurar 6822A-NYC-SVR1 como un servidor VPN con un grupo de direcciones estáticas para clientes deacceso remoto y especificar la autenticación y administración de cuentas RADIUS.

3.

Tarea 1: Abrir la herramienta Administrador de servidores en 6822A-NYC-SVR1

En 6822A-NYC-SVR1, abra Administrador del servidor en el menú Herramientas administrativas.

Tarea 2: Instalar la función Servicios de enrutamiento y acceso remoto en 6822A-NYC-SVR1

Usando Administrador del servidor, instale la función Directiva de red y servicios de acceso con elservicio de función Enrutamiento y acceso remoto.

1.

En la página Resultados de instalación, compruebe que aparezca Instalación completa en el panel dedetalles y luego haga clic en Cerrar.

2.

Se instala la función Servicios de enrutamiento y acceso remoto en 6822A-NYC-SVR1.3.

No cierre sesión ni apague las máquinas virtuales en este momento.4.

Tarea 3: Configurar 6822A-NYC-SVR1 como un servidor VPN con un grupo de direcciones estáticas para clientes de acceso remotoy especificar la autenticación y administración de cuentas RADIUS

Abra la herramienta administrativa Servicios de enrutamiento y acceso remoto y haga clic en Configurar yhabilitar enrutamiento y acceso remoto.

1.

Configure Acceso remoto (acceso telefónico o VPN) predeterminado y, en la página Acceso remoto,seleccione la opción VPN.

2.

En la página Conexión VPN, seleccione la interfaz Conexión de área local 2.3.

En la página Asignación de dirección IP, seleccione De un intervalo de direcciones especificado.4.

Use el intervalo 192.168.1.100 con 75 direcciones disponibles para el grupo estático.5.

En la página Administración de servidores de acceso remoto múltiples, seleccione Sí, configurar esteservidor para que trabaje con un servidor RADIUS y luego haga clic en Siguiente.

6.

Establezca las siguientes configuraciones:7.

Servidor RADIUS principal: NYC-DC1

Secreto compartido para el servidor RADIUS: Pa$$w0rd

Acepte la configuración predeterminada durante el resto del proceso de configuración

Cierre la herramienta administrativa Servicios de enrutamiento y acceso remoto.8.

Ejercicio 3: Configuración de Inscripción automática de certificados

Ejercicio 3: Configuración de Inscripción automática de certificados


En este ejercicio, configurará la Inscripción automática de certificados para que los equipos usen autenticaciónavanzada.


Instalar y configurar Servicios de certificados en NYC-DC1.1.

Abrir la herramienta Administración de directivas de grupo en 6822A-NYC-DC1 y configurar la Inscripciónautomática de certificados.

2.

Cerrar todas las máquinas virtuales y eliminar los cambios.3.

Tarea 1: Instalar y configurar Servicios de certificados en NYC-DC1

En NYC-DC1, inicie Administrador del servidor en el menú Herramientas administrativas.1.

Instale la función Servicios de certificado de Active Directory usando los valores predeterminados para losiguiente:

2.

Nombre de CA = WoodGroveBank-CA

En la página Resultados de instalación, haga clic en Cerrar.3.

En el menú Herramientas administrativas, abra la herramienta de administración Entidad de certificación.4.

Haga clic con el botón secundario en Plantillas de certificado y luego seleccione Administrar en el menúcontextual.

5.

Cambie la seguridad de la plantilla Equipo para que otorgue a Usuarios autenticados el permiso Inscribir.6.

Cierre Plantillas de certificado y las consolas de administración certsrv.7.

Tarea 2: Abrir la herramienta Administración de directivas de grupo en 6822A-NYC-DC1 y configurar la Inscripción automática decertificados

En 6822A-NYC-DC1, abra Administración de directivas de grupo en el menú Herramientasadministrativas.

1.

En la herramienta Administración de directivas de grupo, expanda Bosque: WoodgroveBank.com, luegoDominios y finalmente WoodgroveBank.com.

2.

Haga clic con el botón secundario en Directiva de dominio predeterminada y luego haga clic en Editar.3.

Expanda Configuración del equipo, luego Directivas, Configuración de Windows, Configuración deseguridad y finalmente Directivas de claves públicas.

4.

Haga clic con el botón secundario en Configuración de solicitud de certificado automático, haga clic enNuevo y luego en Solicitud de certificado automático.

5.

Acepte la configuración predeterminada mientras ejecute el asistente.6.

Cierre Editor de administración de directivas de grupo.7.

Cierre la herramienta Administración de directivas de grupo.8.

La Inscripción automática de certificados ahora está configurada para los equipos del dominio WoodgroveBank.

Inicie 6822A-NYC-CL1 e inicie sesión como Administrador usando la contraseña Pa$$w0rd.9.

Cree una nueva consola MMC con el complemento Certificados. Centre el complemento en Cuenta delequipo.

10.

En la consola MMC, compruebe que la cuenta de equipo haya inscripto el certificado desdeWoodGroveBank-CA.

11.








¿Por qué se debe registrar el servidor NPS en Active Directory?1.

¿Cuál es la manera más eficaz de usar las características del registro NPS?2.

¿Cuáles son los puertos predeterminados de autenticación y de cuentas para RADIUS? ¿Cuál es elprocedimiento para configurar la información del puerto UDP NPS usando la interfaz de Windows?

3.

¿Qué más debe considerar si decide usar una asignación de puerto no estándar para el tráfico RADIUS?4.


Realice las siguientes tareas antes de instalar NPS:

Instale y pruebe cada servidor de acceso a la red usando métodos de autenticación locales antes deconvertirlos en clientes RADIUS.

Luego de instalar y configurar NPS, guarde la configuración usando el comando netsh nps mostrar config >ruta\archivo.txt. Guarde la configuración NPS con el comando netsh nps mostrar config > ruta\archivo.txt cadavez que se realice un cambio.

No instale Windows Server 2008, Windows Server 2003 Standard Edition, Windows Server 2003 EnterpriseEdition, o Windows Server 2003 Datacenter Edition en la misma partición que Windows 2000 Server.

No configure un servidor que se ejecuta con NPS o Enrutamiento y acceso remoto como miembro de undominio Windows NT Server 4.0 si la base de datos de las cuentas de usuario está almacenada en uncontrolador de dominio de Windows Server 2008 o Windows Server 2003 en otro dominio.

Problemas de seguridad

Se recomienda el uso de dos métodos para la administración remota de servidores NPS:

Use Servicios de Terminal Server para obtener acceso al servidor NPS (escritorio remoto).

Use Protocolo de seguridad de Internet (IPsec) para cifrar datos confidenciales.

Herramientas

A continuación se describen las herramientas que pueden usarse para configurar, administrar, supervisar y solucionar

problemas de NPS:


Servidor de directivasde redes

Administrar y crear directivasde red

Servidor de directivas de redesen el menú Herramientasadministrativas

Herramienta de líneade comandos Netsh

Crear scripts administrativospara configurar y administrarla función Servidor dedirectivas de redes

En una ventana del comando,escriba netsh nps paraadministrar desde un entornode comando

Visor de eventos Visualizar informaciónregistrada de eventos deaplicación, sistema yseguridad

Visor de eventos en el menúHerramientas administrativas

Módulo 8: Configuración de Protección de acceso a redes

Módulo 8:

Configuración de Protección de acceso a redes

Protección de acceso a redes (NAP) garantiza el cumplimiento con directivas de mantenimiento específicas para lossistemas que tienen acceso a la red. NAP sirve de ayuda para que los administradores logren y mantengan unadirectiva de mantenimiento específica. Este módulo brinda información acerca de cómo funciona NAP y cómoconfigurar, supervisar y solucionar problemas de NAP.

Lección 1: Descripción general de Protección de acceso a redes

Lección 2: Cómo funciona NAP

Lección 3: Configuración de NAP

Lección 4: Supervisión y solución de problemas de NAP

Laboratorio: Configuración de NAP para DHCP y VPN

Lección 1: Descripción general de Protección de acceso a redes

Lección 1:

Descripción general de Protección de acceso a redes

NAP es una plataforma de aplicación de directivas de mantenimiento de sistema integrada en Windows Server® 2008,Windows Vista™ y Windows® XP Service Pack 3 (que incluye el cliente NAP para Windows XP, que actualmente seencuentra en pruebas beta). Esta plataforma brinda una mayor protección a los activos de red privada asegurando suadecuación con los requisitos de mantenimiento del sistema. NAP permite crear directivas de requisitos demantenimiento personalizadas para validar el mantenimiento del equipo antes de permitir el acceso o la comunicación,así como también para actualizar automáticamente los equipos compatibles a fin de garantizar el cumplimientocontinuo y limitar el acceso de los equipos no compatibles a una red restringida hasta que se vuelvan compatibles.

¿Qué es Protección de acceso a redes?

¿Qué es Protección de acceso a redes?

NAP para Windows Server 2008, Windows Vista y Windows XP Service Pack 3 brinda componentes y una interfaz deprogramación de aplicaciones (API) que ayuda a los administradores a aplicar el cumplimiento de las directivas derequisitos de mantenimiento para el acceso a la red o la comunicación por red. NAP permite a los programadores yadministradores crear soluciones para validar los equipos que se conectan a sus redes, así como también brindar lasactualizaciones necesarias o el acceso a los recursos de actualización de mantenimiento requeridos y restringir elacceso o la comunicación de los equipos no compatibles.

NAP cuenta con tres aspectos destacados de importancia:

Validación del estado de mantenimiento

Cumplimiento con directivas de mantenimiento

Acceso limitado

Pregunta: ¿Cómo usaría el cumplimiento NAP en su entorno, teniendo en cuenta usuarios domésticos, equiposportátiles móviles y socios comerciales externos?Material de lectura adicional

Introducción a la Protección de acceso a redes

NAP Scenarios

NAP Scenarios

NAP brinda una solución para los siguientes escenarios frecuentes:

Comprobar el estado de mantenimiento de equipos portátiles móviles

Comprobar el estado de mantenimiento de equipos de escritorio

Comprobar el estado de mantenimiento de equipos portátiles visitantes

Comprobar el estado de mantenimiento de equipos domésticos no administrados

Según las necesidades de cada uno, los administradores pueden configurar una solución para abordar uno o todos losescenarios para sus redes.

Pregunta: ¿Ha tenido alguna vez un inconveniente con un equipo portátil no administrado y no seguro que hayacausado algún daño a su red? ¿Cree que NAP podría haber abordado este problema?



Métodos de cumplimiento NAP

Métodos de cumplimiento NAP

Los componentes de la infraestructura NAP, también denominados clientes de cumplimiento (EC) y servidores decumplimiento (ES), requieren validación de estado de mantenimiento y la aplicación del acceso a redes limitado paralos equipos no compatibles para el acceso a redes o comunicación por red específicas. Windows Vista, Windows XPService Pack 3 y Windows Server 2008 incluyen compatibilidad NAP para los siguientes tipos de acceso a la red ocomunicación por red:

Tráfico protegido por Protocolo de seguridad de Internet (IPsec)

Conexiones de red autenticadas por 802.1X del Institute of Electrical and Electronics Engineers (Instituto deIngenieros Eléctricos y Electrónicos, IEEE)

Conexiones VPN de acceso remoto

Configuraciones de direcciones de Protocolo de configuración dinámica de host (DHCP)

Windows Vista y Windows Server 2008 también incluyen compatibilidad NAP para las conexiones de Puerta de enlacede Terminal Services (Puerta de enlace TS).

Pregunta: ¿Qué tipo de cumplimiento NAP sería más apropiado para su compañía? ¿Puede imaginar a suorganización usando varios tipos de cumplimiento NAP? De ser así, ¿cuáles?


Terminal Services


Arquitectura de la plataforma NAP

Arquitectura de la plataforma NAP

Los componentes de una infraestructura de red habilitada para NAP constan de lo siguiente:

Clientes NAP

Puntos de cumplimiento NAP, que incluyen:

HRA

Servidor VPN

Servidor DHCP

Dispositivos de acceso a la red

Servidores de directivas de mantenimiento NAP

Servidores de requisitos de mantenimiento

AD DS

La red restringida, que incluye:

Servidores de actualizaciones

Clientes NAP con acceso limitado

Pregunta: ¿Usa actualmente su entorno la autenticación 802.1x en el nivel de conmutación? De ser así, ¿seríabeneficioso usar 802.1x NAP, teniendo en cuenta que se pueden configurar varias VLAN de actualización para ofrecerun acceso limitado?

Network Access Protection Platform Architecture (Arquitectura de la plataforma de protección de acceso a redes)

Interacciones de la arquitectura de NAP

Interacciones de la arquitectura de NAP

Las siguientes interacciones son para los equipos y dispositivos de una infraestructura de red habilitada para NAP:

Entre un cliente NAP y una HRA

Entre un cliente NAP y un dispositivo de acceso a la red con 802.1X (un conmutador Ethernet o un punto deacceso inalámbrico)

Entre un cliente NAP y un servidor VPN

Entre un cliente NAP y un servidor DHCP

Entre un cliente NAP y un servidor de actualizaciones

Entre una HRA y un servidor de directivas de mantenimiento NAP

Entre un dispositivo de acceso la red con 802.1X y un servidor de directivas de mantenimiento NAP

Entre un servidor VPN y un servidor de directivas de mantenimiento NAP

Entre un servidor DHCP y un servidor de directivas de mantenimiento NAP

Entre un servidor de directivas de mantenimiento NAP y un servidor de requisitos de mantenimiento


Network Access Protection Platform Architecture (Arquitectura de la plataforma de protección de acceso aredes)

Infraestructura de cliente NAP

Infraestructura de cliente NAP

La arquitectura del cliente NAP consiste en:

Un nivel de componentes de cliente de cumplimiento NAP

Un nivel de componentes del agente de mantenimiento del sistema (SHA)

Agente NAP

Interfaz de programación de aplicaciones (API) SHA

API del Cliente de cumplimiento NAP

Los Clientes de cumplimiento NAP para la plataforma NAP que ofrece Windows Vista, Windows Server 2008 yWindows XP con SP2 (con Cliente NAP para Windows XP) son los siguientes:

Un Cliente de cumplimiento NAP para IPsec para comunicaciones protegidas por IPsec

Un Cliente de cumplimiento NAP para EAPHost para conexiones autenticadas por 802.1X

Un Cliente de cumplimiento NAP para VPN para conexiones VPN de acceso remoto

Un Cliente de cumplimiento NAP para DHCP para configuración de direcciones IPv4 basada en DHCP

Pregunta: ¿Cómo haría su organización para habilitar a los clientes de cumplimiento apropiados en los equipos queno sean de dominio que se encuentran fuera del ámbito de administración?




Infraestructura del servidor NAP

Infraestructura del servidor NAP

Un punto de cumplimiento NAP basado en Windows cuenta con un nivel de componentes de Servidor de cumplimiento(ES) NAP. Cada servidor de cumplimiento NAP está definido por un tipo diferente de acceso a la red o comunicaciónpor red. Por ejemplo, existe un servidor de cumplimiento NAP para las conexiones VPN de acceso remoto y unservidor de cumplimiento NAP para la configuración DHCP. El servidor de cumplimiento NAP habitualmente serelaciona con un tipo específico de cliente compatible con NAP. Por ejemplo, el servidor de cumplimiento NAP paraDHCP está diseñado para funcionar con un cliente NAP basado en DHCP. Los proveedores de software de terceros oMicrosoft pueden brindar servidores de cumplimiento NAP adicionales para la plataforma NAP.



Comunicación entre los componentes de la plataforma NAP

Comunicación entre los componentes de la plataforma NAP

El componente Agente NAP puede comunicarse con el componente Servidor de administración NAP mediante elsiguiente proceso:

El Agente NAP transfiere el SSoH al Cliente de cumplimiento NAP.1.

El Cliente de cumplimiento NAP transfiere el SSoH al Servidor de cumplimiento NAP.2.

El Servidor de cumplimiento NAP transfiere el SSoH al servicio NPS.3.

El servicio NPS transfiere el SSoH al Servidor de administración NAP.4.

El Servidor de administración NAP puede comunicarse con un Agente NAP mediante el siguiente proceso:

El Servidor de administración NAP transfiere las SoHR al servicio NPS.1.

El servicio NPS transfiere la respuesta al informe de mantenimiento del sistema (SSoHR) al Servidor decumplimiento NAP.

2.

El Servidor de cumplimiento NAP transfiere la SSoHR al Cliente de cumplimiento NAP.3.

El Cliente de cumplimiento NAP transfiere la SSoHR al Agente NAP.4.

Un SHA puede comunicarse con su correspondiente SHV mediante el siguiente proceso:

El SHA transfiere el SoH al Agente NAP.1.

El Agente NAP transfiere el SoH, incluido en el SSoH, al Cliente de cumplimiento NAP.2.

El Cliente de cumplimiento NAP transfiere el SoH al Servidor de cumplimiento NAP.3.

El Servidor de cumplimiento NAP transfiere el SoH al Servidor de administración NAP.4.

El Servidor de administración NAP transfiere el SoH al SHV.5.

El SHV puede comunicarse con su correspondiente SHA mediante el siguiente proceso:

El SHV transfiere su SoHR al Servidor de administración NAP.1.

El Servidor de administración NAP transfiere la SoHR al servicio NPS.2.

El servicio NPS transfiere la SoHR, incluida en la SSoHR, al Servidor de cumplimiento NAP.3.

El Servidor de cumplimiento NAP transfiere la SoHR al Cliente de cumplimiento NAP.4.

El Cliente de cumplimiento NAP transfiere la SoHR al Agente NAP.5.

El Agente NAP transfiere la SoHR al SHA.6.



Lección 2: Cómo funciona NAP

Lección 2:

Cómo funciona NAP

El diseño de NAP habilita a los administradores a configurarla para cumplir con las necesidades de la red. Por lo tanto,la configuración NAP real variará según las preferencias y requisitos del administrador. Sin embargo, el funcionamientosubyacente de NAP no se modifica.

Cuando un cliente intenta obtener acceso a la red o comunicarse en la red, debe presentar el estado de mantenimientodel sistema o el cumplimiento de prueba de mantenimiento. Si un cliente no puede probar su cumplimiento con losrequisitos de mantenimiento del sistema (por ejemplo, que cuenta con la última versión del sistema operativo y lasactualizaciones de antivirus instaladas), su acceso o comunicación a través de la red puede verse limitado a una redrestringida que contiene recursos de servidores hasta que los inconvenientes relacionados con el cumplimiento demantenimiento se solucionen. Una vez instaladas las actualizaciones, el cliente solicita acceso a la red o intentacomunicarse nuevamente. Si es compatible, se le otorga acceso ilimitado a la red o se permite la comunicación.

Proceso de cumplimiento NAP

Proceso de cumplimiento NAP

NAP es una plataforma de aplicación de directivas integrada en los sistemas operativos de Windows Vista, MicrosoftWindows XP y Windows Server 2008 que brinda una mayor protección a los activos de red asegurando su adecuacióncon los requisitos de mantenimiento del sistema. Con Protección de acceso a redes, pueden crearse directivas demantenimiento personalizadas para validar el mantenimiento del equipo antes de permitir el acceso o la comunicación,actualizar automáticamente los equipos compatibles para garantizar el cumplimiento continuo y de manera opcional,limitar los equipos no compatibles a una red restringida hasta que se vuelvan compatibles.

Para validar el acceso a la red en base al mantenimiento del sistema, una infraestructura de red debe brindar lasiguiente funcionalidad:

Validación de directivas de mantenimiento. Determina si los equipos cumplen con los requisitos de la directivade mantenimiento.

Limitación de acceso a la red. Limita el acceso a los equipos no compatibles.

Actualización automática. Brinda las actualizaciones necesarias para que un equipo no compatible se vuelvacompatible.

Cumplimiento continuo. Actualiza automáticamente los equipos compatibles para que incorporen los cambioscontinuos de los requisitos de la directiva de mantenimiento.


Security and Policy Enforcement (Seguridad y cumplimiento de directivas)

Cómo funciona el cumplimiento IPsec

Cómo funciona el cumplimiento IPsec

El cumplimiento IPsec limita la comunicación para clientes NAP protegidos por IPsec disminuyendo los intentosentrantes de comunicación que se envían desde equipos que no pueden negociar la protección IPsec usandocertificados de mantenimiento. A diferencia del cumplimiento 802.1X y VPN, donde el cumplimiento tiene lugar en elpunto de entrada de la red, cada equipo particular realiza el cumplimiento IPsec. Debido a que se puede aprovechar laconfiguración de la directiva IPsec, el cumplimiento de certificados de mantenimiento puede realizarse para todos losequipos en un dominio, determinados equipos en una subred, un equipo determinado, un conjunto determinado depuertos de Protocolo de control de transmisión (TCP) o Protocolo de datagramas de usuario (UDP), o para un conjuntode puertos TCP o UDP en un equipo determinado.

El cumplimiento IPsec define las siguientes redes lógicas:

Red segura

Red de límite

Red restringida

Basándose en la definición de las tres redes lógicas, se pueden iniciar las siguientes comunicaciones:

Los equipos en la red segura pueden iniciar comunicaciones con equipos en las tres redes lógicas.1.

Los equipos en la red de límite pueden iniciar comunicaciones con equipos en las redes seguras y de límiteque autentican los certificados de mantenimiento e IPsec o con equipos en la red restringida que IPsec noautentica.

2.

Los equipos en la red restringida pueden iniciar comunicaciones con equipos en las redes restringidas y delímite.

3.

Pregunta: ¿Para qué equipos en la red segura permitiría realizar una comunicación no segura desde equipos en lared restringida?



Cómo funciona el cumplimiento 802.1x

Cómo funciona el cumplimiento 802.1x

El cumplimiento 802.1X IEEE le indica a un punto de acceso compatible con 802.1X que use un perfil de accesolimitado, ya sea un conjunto de filtros de paquetes IP o un identificador VLAN, para limitar el tráfico del equipo nocompatible a fin de que pueda obtener acceso solamente a los recursos en la red restringida. Para el filtrado depaquetes IP, el punto de acceso compatible con 802.1X aplica los filtros de paquetes IP al tráfico IP que seintercambia con el cliente 802.1X y descarta automáticamente todos los paquetes que no corresponden a un filtro depaquetes configurado. Para los identificadores VLAN, el punto de acceso compatible con 802.1X aplica el identificadorVLAN a todos los paquetes que se intercambian con el cliente 802.1X y el tráfico conserva la VLAN correspondiente ala red restringida.

Si el cliente NAP no es compatible, la conexión 802.1X cuenta con el perfil de acceso limitado aplicado y el clienteNAP puede obtener acceso solamente a los recursos en la red restringida.

Pregunta: ¿Qué deben admitir los dispositivos de red para implementar 802.1x NAP?




Cómo funciona el cumplimiento VPN

Cómo funciona el cumplimiento VPN

El cumplimiento VPN usa un conjunto de filtros de paquetes IP de acceso remoto para limitar el tráfico de cliente VPNa fin de que tenga acceso únicamente a los recursos en la red restringida. El servidor VPN aplica los filtros depaquetes IP al tráfico IP que recibe del cliente VPN y descarta automáticamente todos los paquetes que nocorresponden a un filtro de paquetes configurado.

Si el cliente VPN no es compatible, la conexión VPN cuenta con los filtros de paquetes aplicados y el cliente VPNsolamente puede obtener acceso a los recursos en la red restringida.

Pregunta: ¿Cómo responde el método de cumplimiento NAP para VPN a los equipos no compatibles que realizanintentos de conexión?



Cómo funciona el cumplimiento DHCP

Cómo funciona el cumplimiento DHCP

La configuración de direcciones DHCP limita el acceso a la red para el cliente DHCP mediante la tabla de enrutamientoIPv4. El cumplimiento DHCP establece el valor de la opción Enrutador DHCP a 0.0.0.0, por lo que el equipo nocompatible no cuenta con una puerta de enlace configurada de manera predeterminada. El cumplimiento DHCPtambién establece la máscara de subred para la dirección IPv4 asignada a 255.255.255.255, de manera tal que noexista ninguna ruta a la subred adjunta.

Para permitir que el equipo no compatible tenga acceso a los servidores de actualizaciones de la red restringida, elservidor DHCP asigna la opción Rutas estáticas sin clase DHCP. Esta opción contiene rutas host para los equipos dela red restringida, como por ejemplo servidores DNS y de actualizaciones. El resultado final del acceso limitado a la redDHCP es una tabla de configuración y de enrutamiento que permite la conectividad solamente a direcciones de destinoespecíficas que corresponden a la red restringida. Por lo tanto, cuando una aplicación intenta enviar a una direcciónIPv4 de unidifusión distinta a aquellas provistas mediante la opción Rutas estáticas sin clase, el protocolo TCP/IPdevuelve un error de enrutamiento.

Pregunta: ¿El tipo de cumplimiento NAP para DHCP funciona en redes IPv6?



protección de acceso a redes)

Lección 3: Configuración de NAP

Lección 3:

Configuración de NAP

Esta lección brinda información acerca de la configuración de cliente para que interoperen con la infraestructura dellado del servidor de un entorno aplicado con NAP.

Un cliente compatible con NAP es un equipo que cuenta con los componentes NAP instalados y que puede comprobarsu estado de mantenimiento enviando un SoH a NPS.

¿Qué son los Validadores de mantenimiento del sistema?

¿Qué son los Validadores de mantenimiento del sistema?

Los SHA y SHV, que son componentes de la infraestructura NAP, brindan seguimiento y validación del estado demantenimiento. Windows Vista y Windows XP Service Pack 3 incluyen un SHA del validador de mantenimiento deseguridad de Windows que supervisa la configuración del Centro de seguridad de Windows. Windows Server 2008incluye un SHV del validador de mantenimiento de seguridad de Windows correspondiente. NAP está diseñado paraser flexible y extensible e interopera con software de cualquier proveedor que brinde SHA y SHV que usen la API NAP.

Pregunta: ¿NAP funciona solamente con Validadores de mantenimiento del sistema proporcionados por Microsoft?



Introducción a la Protección de acceso a redes

¿Qué es una Directiva de mantenimiento?

¿Qué es una Directiva de mantenimiento?

Las directivas de mantenimiento consisten en uno o varios SHV y otros valores que le permiten definir los requisitos deconfiguración del equipo cliente para los equipos compatibles con NAP que intenten conectarse a su red.

Pregunta: ¿Puede usarse solamente un SHV en una directiva de mantenimiento?


Tema de Ayuda: Directivas de mantenimiento

¿Qué son los Grupos de servidores de actualizaciones?

¿Qué son los Grupos de servidores de actualizaciones?

Un grupo de servidores de actualizaciones es una lista de servidores de redes restringidas que brindan recursos queconvierten a los clientes con capacidad NAP no compatibles en clientes compatibles con la directiva de mantenimientode cliente definida por el administrador.

Pregunta: ¿Qué servicios podría ofrecer un servidor de actualizaciones para actualizar las firmas de antivirus?


Tema de Ayuda: Grupos de servidores de actualizaciones

Configuración del cliente NAP

Configuración del cliente NAP

Debe recordar las siguientes instrucciones básicas al configurar clientes NAP:

Algunas implementaciones NAP que usan el Validador de mantenimiento de seguridad de Windows requierenque habilite el Centro de seguridad.

1.

El servicio Protección de acceso a redes es necesario al implementar NAP en los equipos cliente compatiblescon NAP.

2.

Además, debe configurar los clientes de cumplimiento NAP en los equipos compatibles con NAP.3.

Pregunta: ¿Qué grupos de Windows cuentan con los derechos para habilitar el Centro de seguridad en Directiva degrupo, habilitar el servicio NAP en los clientes y habilitar/deshabilitar los clientes de cumplimiento NAP?


Tema de Ayuda: Habilitar el Centro de seguridad en Directiva de grupo

Tema de Ayuda: Habilitar el servicio Protección de acceso a redes en los clientes

Tema de Ayuda: Configurar los Clientes de cumplimiento NAP

Demostración: Uso del Asistente para configuración de NAP para aplicarlas directivas de acceso a redes

Demostración: Uso del Asistente para configuración de NAP para aplicar las directivas de accesoa redes


Tema de Ayuda: Crear directivas NAP usando un Asistente

Tema de Ayuda: Lista de comprobación: Configurar el cumplimiento NAP para DHCP

Lección 4: Supervisión y solución de problemas de NAP

Lección 4:

Supervisión y solución de problemas de NAP

Solucionar problemas y supervisar la estructura NAP es una tarea administrativa importante debido a los diferentesniveles de tecnología y los distintos requisitos previos y experiencia para cada método de cumplimiento NAP. Losregistros de seguimiento para NAP se encuentran disponibles, pero están deshabilitados de manera predeterminada.Estos registros se usan para dos propósitos: solucionar problemas y evaluar el mantenimiento y la seguridad de la red.

¿Qué es el seguimiento NAP?

¿Qué es el seguimiento NAP?

Se puede usar el complemento Configuración del cliente NAP para configurar el seguimiento NAP. El seguimientoregistra eventos NAP en un archivo de registro y resulta útil para la solución de problemas y el mantenimiento. Tambiénse pueden usar los registros de seguimiento para evaluar la seguridad y el mantenimiento de la red. Se puedenconfigurar tres niveles de seguimiento: Básico, avanzado y de depuración.

Debe habilitar el seguimiento NAP cuando:

Soluciona problemas NAP.

Desea evaluar el mantenimiento y la seguridad general de los equipos de su organización.


Tema de Ayuda y Soporte: Seguimiento NAP

Configuración del seguimiento NAP

Configuración del seguimiento NAP

Existen dos herramientas disponibles para configurar el seguimiento NAP. La consola Configuración del cliente NAPforma parte de la interfaz de usuario de Windows y netsh es una herramienta de línea de comandos.

Para ver los archivos de registro, navegue hasta el directorio %raíz del sistema (systemroot)%\tracing\nap y abra elregistro de seguimiento particular que desea ver.

Pregunta: ¿Cuál es el comando netsh para habilitar los niveles de registro de depuración NAP?


Tema de Ayuda: Habilitar y deshabilitar el seguimiento NAP

Tema de Ayuda: Especificar el nivel de detalle en el registro de seguimiento NAP

Demostración: Configuración del seguimiento

Demostración: Configuración del seguimiento

Pregunta: ¿A qué grupo debe pertenecer para habilitar el seguimiento NAP?


Tema de Ayuda: Habilitar y deshabilitar el seguimiento NAP

Tema de Ayuda: Especificar el nivel de detalle en el registro de seguimiento NAP



Objetivos

Configurar NAP para los clientes DHCP

Configurar NAP para los clientes VPN

Escenario

Como el especialista en tecnología de Woodgrove Bank, necesita establecer una manera de convertirautomáticamente los equipos cliente en equipos compatibles. Lo hará usando Servidor de directivas de redes,creando las directivas de cumplimiento de cliente y configurando un servidor NAP para comprobar el mantenimientoactual de los equipos.

Ejercicio 1: Configuración de NAP para los clientes DHCP

Ejercicio 1: Configuración de NAP para los clientes DHCP

En este ejercicio, se configurará y probará el cumplimiento NAP para clientes DHCP.



Abrir la herramienta Administrador de servidores en 6822A-NYC-SVR1.2.

Instalar las funciones de servidor DHCP y NPS.3.

Configurar NYC-SVR1 como un servidor de directivas de mantenimiento NAP.4.

Configurar el servicio DHCP para el cumplimiento NAP.5.

Configurar NYC-CL1 como un cliente DHCP y NAP.6.

Probar el cumplimiento NAP.7.

Apagar las máquinas virtuales y no guardar los cambios.8.



1.






Tarea 2: Abrir la herramienta Administrador de servidores en 6822A-NYC-SVR1

En 6822A-NYC-SVR1, abra Administrador del servidor desde el menú Herramientas administrativas.

Tarea 3: Instalar las funciones de servidor DHCP y NPS

En NYC-SVR1, abra Administrador del servidor.1.

Haga clic con el botón secundario en Funciones y luego haga clic en Agregar funciones.2.

En la página Seleccionar funciones del servidor, seleccione las casillas Servidor DHCP y Servicios deAcceso y Directivas de redes.

3.

En la página Seleccionar servicios de función, seleccione Servidor de directivas de red.4.

En la página Seleccionar enlaces de conexión de red, compruebe que 10.10.0.24 esté seleccionado. Quitela marca de verificación junto a 192.168.1.10.

5.

En la página Especificar configuración del servidor DNS, compruebe que woodgrovebank.com seencuentre en la lista de Dominio principal.

6.

Escriba 10.10.0.10 en Dirección IP del servidor DNS preferido y haga clic en Validar. Compruebe que elresultado devuelto sea Válido.

7.

En la página Especificar configuración del servidor WINS IPv4, acepte la configuración predeterminada.8.

En la página Agregar o editar ámbitos DHCP, haga clic en Agregar.9.

En el cuadro de diálogo Agregar ámbito escriba Ámbito NAP junto a Nombre de ámbito. Junto a DirecciónIP inicial, escriba 10.10.0.50; junto a Dirección IP final, escriba 10.10.0.199 y junto a Máscara de subred,escriba 255.255.0.0.

10.

Seleccione la casilla Activar este ámbito y luego haga clic en Aceptar.11.

En la página Configurar el modo sin estado DHCPv6, seleccione Deshabilitar el modo sin estadoDHCPv6 para este servidor.

12.

En la página Autorizar servidor DHCP, seleccione Usar credenciales actuales. Compruebe queWoodgrovebank\administrador aparezca junto a NombredeUsuario y luego haga clic en Siguiente.

13.


Compruebe que la instalación se haya realizado correctamente y luego haga clic en Cerrar.15.

Cierre la ventana Administrador del servidor.16.

Tarea 4: Configurar NYC-SVR1 como un servidor de directivas de mantenimiento NAP

Abra la herramienta administrativa Servidor de directivas de red desde Menú Inicio, en Herramientasadministrativas.

1.

Configure varios SHV:2.

Expanda Protección de acceso a redes y luego haga clic en Validadores de mantenimiento del sistema.1.

Configurar validador de mantenimiento del sistema. En la ficha Windows Vista, desactive todas las casillasexcepto Firewall habilitado para todas las conexiones de red.

2.

Configure grupos de servidores de actualizaciones:3.

En el árbol de consola, en Protección de acceso a redes, haga clic con el botón secundario en Grupo deservidores de actualizaciones y luego haga clic en Nuevo.

1.

Cree un nuevo grupo de actualizaciones con un nombre de grupo Rem1 y agregue la dirección IP 10.10.0.10.2.

Configure las directivas de mantenimiento:4.

Expanda Directivas.1.

Haga clic con el botón secundario en Directivas de mantenimiento y luego haga clic en Nueva.2.

Cree una nueva directiva de mantenimiento denominada Cumple que especifique que El cliente supera todaslas comprobaciones de SHV y usa el Validador de mantenimiento de seguridad de Windows.

3.

Haga clic con el botón secundario en Directivas de mantenimiento y luego haga clic en Nueva.4.

Cree una nueva directiva de mantenimiento denominada No cumple que especifique que El cliente no superauna o más comprobaciones de SHV y usa Validador de mantenimiento de seguridad de Windows.

5.

Configure una directiva de red para los equipos compatibles:5.

En el árbol de consola, en Directivas, haga clic en Directivas de red.1.

Deshabilite las dos directivas predeterminadas en Nombre de la directiva.2.

Cree una nueva Directiva de red denominada Cumple-Acceso completo.3.

En la ventana Especificar condiciones, haga clic en Agregar.4.

En el cuadro de diálogo Seleccionar condición, haga doble clic en Directiva de mantenimiento, seleccioneCumple y luego haga clic en Aceptar.

5.

En la ventana Especificar permiso de acceso, compruebe que Acceso otorgado se encuentreseleccionado.

6.

En la ventana Configurar métodos de autenticación, seleccione la casilla Realizar sólo comprobación demantenimiento del equipo. Desactive todas las demás casillas.

7.

En la ventana Configurar configuración, haga clic en Cumplimiento NAP. Compruebe que Permitir acceso8.

completo a redes se encuentre seleccionado.

En la ventana Completando la nueva directiva de red, haga clic en Finalizar para completar la configuraciónde la directiva de red para los equipos cliente compatibles.

9.

Configure una directiva de red para los equipos No cumple:6.

Haga clic con el botón secundario en Directivas de red y luego haga clic en Nueva.1.

Cree una nueva Directiva de red denominada No cumple-Restringido.2.


En el cuadro de diálogo Seleccionar condición, haga doble clic en Directivas de mantenimiento,seleccione No cumple y luego haga clic en Aceptar.

4.

En la ventana Especificar permiso de acceso, compruebe que Acceso otorgado se encuentreseleccionado y haga clic en Siguiente.

5.

Importante: Un valor Acceso otorgado no significa que se otorga acceso completo a la red a los clientes nocompatibles. Especifica que se les otorgará un nivel de acceso determinado por la directiva a los clientes quecumplen con esas condiciones.

En la ventana Configurar métodos de autenticación, seleccione la casilla Realizar sólo comprobación demantenimiento del equipo. Desactive todas las demás casillas.

6.

En la ventana Configurar restricciones haga clic en Siguiente.7.

En la ventana Configura opciones, haga clic en Cumplimiento NAP. Seleccione Permitir acceso limitado ycompruebe que Habilitar corrección automática de equipos cliente se encuentre seleccionado.

8.

Haga clic en Siguiente y luego en Finalizar. De este modo se completa la configuración de las directivas dered NAP. Cierre la consola Servidor de directivas de red.

9.

Tarea 5: Configurar el servicio DHCP para el cumplimiento NAP

En NYC-SVR1, haga clic en Inicio, elija Herramientas administrativas y luego haga clic en DHCP.1.

En la consola Administración DHCP, expanda NYC-SVR1.woodgrovebank.com y luego IPv4.2.

Abra Propiedades para el Ámbito. En la ficha Protección de acceso a redes, compruebe que Usar perfilde protección de acceso a redes se encuentre seleccionado y luego haga clic en Aceptar.

3.

En la consola Administración DHCP, configure Opciones de ámbito.4.

En la ficha Opciones avanzadas, compruebe que se haya seleccionado Clase de usuario predeterminadajunto a Clase de usuario.

5.

En Opciones disponibles, seleccione la casilla Enrutador 003, escriba 10.10.0.1 en Dirección IP,seleccione la casilla Nombre de dominio 015 DNS, escriba Woodgrovebank.com en Valor de cadena yluego haga clic en Aceptar. El dominio Woodgrovebank.com es una red de acceso completo asignada a losclientes NAP compatibles.

6.

En la consola Administración DHCP, configure Opciones de ámbito.7.

En la ficha Opciones avanzadas, junto a Clase de usuario, seleccione Clase de protección de acceso aredes predeterminada.

8.

Seleccione la casilla Servidores 006 DNS, escriba 10.10.0.10 en Dirección IP, seleccione la casilla Nombrede dominio 015 DNS, escriba restringido. Woodgrovebank.com en Valor de cadena y luego haga clic enAceptar. El dominio restricted.woodgrovebank.com es una red de acceso restringido asignada a los clientesNAP no compatibles.

9.

Tarea 6: Configurar NYC-CL1 como un cliente DHCP y NAP

En NYC-CL1, habilite Centro de seguridad:1.

Haga clic en Inicio, elija Todos los programas, luego haga clic en Accesorios y finalmente en Ejecutar.1.

Escriba mmc y luego presione ENTRAR.2.

En el árbol de consola, abra Directiva de equipo local/Configuración del equipo/Plantillasadministrativas/Componentes de Windows /Centro de seguridad.

3.

Haga doble clic en Activar centro de seguridad (Sólo equipos de dominio), haga clic en Habilitado y luegoen Aceptar.

4.

Cierre la ventana de la consola. Cuando se le indique que guarde los cambios, haga clic en No.5.

Habilite el cliente de cumplimiento DHCP:2.

Haga clic en Inicio, en Todos los programas, luego en Accesorios y finalmente en Ejecutar.1.

Escriba napclcfg.msc y luego presione ENTRAR.2.

En el árbol de consola, haga clic en Clientes de cumplimiento.3.

Habilite Cliente de cumplimiento de cuarentena de DHCP.4.

Cierre la consola Configuración de cliente NAP.5.

Habilite e inicie el servicio Agente NAP.3.

Haga clic en Inicio, elija Todos los programas, luego haga clic en Accesorios y finalmente en Ejecutar.1.

Escriba services.msc y luego presione ENTRAR.2.

En la lista de servicios, establezca Tipo de inicio de agente de protección de acceso a redes comoAutomático e inicie el servicio.

3.

Espere que se inicie el servicio Agente NAP y luego haga clic en Aceptar.4.

Cierre la consola Servicios.5.

Configure NYC-CL1 para la asignación de direcciones DHCP:4.

Haga clic en Inicio y luego haga clic en Panel de control.1.

Haga clic en Redes e Internet, luego en Centro de redes y recursos compartidos y finalmente enAdministrador de condiciones de red.

2.

Configure las propiedades de Conexión de área local con lo siguiente:3.

Desactive la casilla Protocolo de Internet versión 6 (TCP/IPv6).

Establezca las propiedades de Protocolo de Internet versión 4 (TCP/IPv4) como Obtener una direcciónIP automáticamente y Obtener una dirección de servidor DNS automáticamente.

Haga clic en Aceptar y luego en Cerrar para cerrar el cuadro de diálogo Propiedades de conexión de árealocal.

4.

Cierre las ventanas de Conexiones de red y Centro de redes y recursos compartidos.5.

Reinicie NYC-CL1. Una vez que se reinicie el equipo, inicie sesión como Administrador usando la contraseñaPa$$w0rd

6.

Tarea 7: Probar el cumplimiento NAP

Compruebe la dirección asignada en DHCP y el Estado de cuarentena actual:1.

En NYC-CL1, abra un símbolo del sistema administrativo usando el comando Ejecutar como administrador.1.

En el símbolo del sistema, escriba ipconfig /all.2.

Compruebe que el sufijo DNS específico para la conexión sea Woodgrovebank.com y que Estado decuarentena sea No restringido.

3.

Configure la directiva Validador de mantenimiento del sistema para que requiera el software antivirus:2.

En NYC-SVR1, en la consola Servidor de directivas de red, abra NPS (Local), luego Protección de acceso a1.

redes y finalmente Validadores de mantenimiento del sistema.

Configure Validador de mantenimiento de seguridad de Windows de manera tal que Protección antivirus estéestablecido en Aplicación antivirus activada.

2.

Haga clic en Aceptar y luego en Aceptar nuevamente para cerrar la ventana Propiedades del validador demantenimiento de seguridad de Windows.

3.

Compruebe la red restringida en NYC-CL1:3.

En NYC-CL1, abra un símbolo del sistema administrativo usando el comando Ejecutar como administrador.1.

En el símbolo del sistema, escriba ipconfig /release.2.

En el símbolo del sistema, escriba ipconfig /renew.3.

Compruebe que el sufijo DNS específico para la conexión en este momento searestringido.woodgrovebank.com.

4.

Cierre la ventana del comando y haga doble clic en el icono Protección de acceso a redes en la bandeja delsistema. Observe que le indica que El equipo no cumple con los requerimientos de la red.

5.

Haga clic en Cerrar.6.

Tarea 8: Apagar las máquinas virtuales sin guardar los cambios



Para el Ejercicio 2, inicie 6822A-NYC-DC1 y 6822A-NYC-CL1.3.

Inicie sesión en cada una de ellas como WoodgroveBank\Administrador usando la contraseña Pa$$w0rd.4.

Ejercicio 2: Configuración de NAP para los clientes VPN

Ejercicio 2: Configuración de NAP para los clientes VPN

En este ejercicio, configurará NAP para clientes VPN. Este ejercicio usa el Agente de mantenimiento de seguridad deWindows y el Validador de mantenimiento de seguridad de Windows para solicitar que los equipos cliente cuenten conFirewall de Windows habilitado y con una aplicación de antivirus instalada.

Se crearán dos directivas de red en este ejercicio. Una directiva compatible otorga acceso de red completo a unsegmento de red intranet. Una directiva no compatible demuestra la restricción de redes al aplicar filtros IP a la interfazde túnel VPN que solamente permite el acceso de clientes a un único servidor de actualizaciones.


Configurar NYC-DC1 como una CA raíz de la empresa.1.

Configurar NYC-SVR1 con NPS funcionando como servidor de directivas de mantenimiento.2.

Configurar NYC-SVR1 con el servicio Enrutamiento y acceso remoto establecido como servidor VPN.3.

Permitir el rastreo en NYC-SVR1.4.

Configurar NYC-CL1 como un cliente VPN y NAP.5.


Tarea 1: Configurar NYC-DC1 como una CA raíz de la empresa

En NYC-DC1, haga clic en Inicio, elija Herramientas administrativas y luego haga clic en Administrador delservidor.

1.

En Resumen de funciones, haga clic en Agregar funciones.2.

En la página Antes de comenzar, haga clic en Siguiente.3.

Seleccione la casilla Servicios de Certificate Server de Active Directory y configure el asistente con losiguiente:

4.

En la página Especificar tipo de instalación, seleccione Empresa.1.

En la página Especificar tipo de CA, especifique el nombre CA raíz.2.


En la página Resultados de instalación, compruebe que la instalación se haya realizado correctamente yluego haga clic en Cerrar.

5.


Desde el menú Herramientas administrativas, abra la herramienta de administración Certification Authority.7.

Haga clic con el botón secundario en Plantillas de certificados y luego elija Administrar en el menúcontextual.

8.

Cambie la seguridad en la plantilla Equipo para que otorgue a los Usuarios autenticados el permisoInscribir.

9.

Cierre la Plantilla de certificados y las consolas de administración certsrv.10.

Tarea 2: Configurar NYC-SVR1 con NPS funcionando como un servidor de directivas de mantenimiento

Inicie 6822A-NYC-SVR1 y luego inicie sesión como Woodgrovebank\administrador usando la contraseñaPa$$w0rd.

1.

Obtenga un certificado de equipo en NYC-SVR1 para la autenticación PEAP del lado del servidor:2.

Cree una consola MMC personalizada que incluya el complemento Certificados para Cuenta del equipo.1.

En el árbol de consola, haga doble clic en Certificados, haga clic con el botón secundario en Personal, elijaTodas las tareas y luego haga clic en Solicitar nuevo certificado.

2.

Se abrirá el cuadro de diálogo Inscripción del certificado. Haga clic en Siguiente.3.

Seleccione la casilla Equipo y luego haga clic en Inscribir.4.

Compruebe el estado de la instalación de certificados como Correcto y luego haga clic en Finalizar.5.

Cierre la ventana Consola1.6.

Haga clic en No cuando le indiquen que guarde la configuración de la consola.7.

Instale la función del servidor NPS:3.

En NYC-SVR1, haga clic en Inicio, en Herramientas administrativas y luego en Administrador delservidor.

1.

Use Agregar funciones para instalar Servicios de acceso y Directiva de redes.2.

Compruebe que la instalación se haya realizado correctamente y luego haga clic en Cerrar.3.


Configure NPS como un servidor de directivas de mantenimiento NAP:4.

Haga clic en Inicio, luego en Ejecutar, escriba nps.msc y finalmente presione Entrar.1.


En el panel central, en Nombre, haga doble clic en Validador de mantenimiento de seguridad de Windows.3.

Configure las propiedades del validador de mantenimiento de seguridad Windows de manera tal que todas lascasillas estén desactivadas excepto Firewall habilitado para todas las conexiones de red.

4.

Haga clic en Aceptar para cerrar el cuadro de diálogo Validador de mantenimiento de seguridad deWindows y luego haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades del validador demantenimiento de seguridad Windows.

5.

Configure las directivas de mantenimiento:5.


Cree una nueva directiva de mantenimiento denominada Cumple.2.

En Comprobaciones de SHV del cliente, compruebe que la casilla El cliente supera todas lascomprobaciones de SHV esté seleccionada.

3.

En SHVs usados en esta directiva de mantenimiento, seleccione la casilla Validador de mantenimientode seguridad de Windows.

4.

Haga clic en Aceptar.5.

Cree una nueva directiva de mantenimiento denominada No cumple.6.

En Comprobaciones de SHV del cliente, seleccione El cliente no supera una o más comprobaciones deSHV.

7.

En SHVs usadas en esta directiva de mantenimiento, seleccione la casilla Validador de mantenimientode seguridad de Windows.

8.

Haga clic en Aceptar.9.

Configure directivas de red para equipos compatibles:6.


Haga clic en Directivas de red.2.

Deshabilite las dos directivas predeterminadas en Nombre de la directiva.3.

Cree una nueva directiva de red denominada Cumple-Acceso completo.4.


En el cuadro de diálogo Seleccionar condición, haga doble clic en Directivas de mantenimiento.6.

En el cuadro de diálogo Directivas de mantenimiento, en Directivas de mantenimiento, seleccioneCumple.

7.


8.

En la ventana Configurar opciones, haga clic en Cumplimiento NAP. Compruebe que Permitir accesocompleto a redes se encuentre seleccionado.

9.

En la ventana Completando nueva directiva de red, haga clic en Finalizar.10.

Configure directivas de red para equipos no compatibles:7.

Cree una nueva directiva de red denominada No cumple-Restringido.1.


En el cuadro de diálogo Seleccionar condición, haga doble clic en Directivas de mantenimiento.3.

En el cuadro de diálogo Directivas de mantenimiento, en Directivas de mantenimiento, seleccione Nocumple y luego haga clic en Aceptar.

4.

En la ventana Especificar condiciones, compruebe que Directiva de mantenimiento se encuentreespecificado en Condiciones con el valor No cumple y luego haga clic en Siguiente.

5.


6.

Importante: Un valor Acceso otorgado no significa que se otorga acceso completo a la red a los clientes nocompatibles. Especifica que la directiva debe continuar evaluando clientes que cumplan con estas condiciones.

En la ventana Configurar opciones, haga clic en Cumplimiento NAP. Seleccione Permitir acceso limitadoy luego Habilitar corrección automática de equipos cliente.

7.

En la ventana Configurar opciones, haga clic en Filtros IP.8.

En IPv4, cree un nuevo filtro de entrada para Red de destino con los siguientes valores:9.



Este paso garantiza que el tráfico de los clientes no compatibles pueda alcanzar solamente a DC1.

Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar Filtro IP y luego seleccione Permitir solo lospaquetes listados abajo en el cuadro de diálogo Filtros de entrada.

10.

En IPv4, cree un nuevo filtro de salida para los siguientes valores de red de origen:11.



Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar filtro IP y luego seleccione Permitir solo lospaquetes listados abajo el cuadro de diálogo Filtros de salida. Esto garantiza el envío solamente de tráficode DC1 a clientes no compatibles.

12.

En la ventana Completando nueva directiva de red, haga clic en Finalizar.13.

Configure directivas de solicitud de conexión:8.

Haga clic en Directivas de solicitud de conexión.1.

Deshabilite la directiva predeterminada Solicitud de conexión que se encuentra en Nombre de directiva.2.

Cree una nueva directiva Solicitud de conexión denominada Conexiones VPN.3.

En Tipo de servidor de acceso a redes, seleccione Servidor de acceso remoto (VPN-Accesotelefónico).

4.


En la ventana Seleccionar condición, haga doble clic en Tipo de túnel, seleccione PPTP y L2TP y luegohaga clic en Aceptar.

6.

En la ventana Especificar reenvío de solicitud de conexión, compruebe que Autenticar solicitudes eneste servidor se encuentre seleccionado.

7.

En la ventana Especificar métodos de autenticación, seleccione Reemplazar configuración deautenticación de directiva de red.

8.

En Tipos de EAP, haga clic en Agregar. En el cuadro de diálogo Agregar EAP, en Métodos deautenticación, haga clic en Microsoft: EAP protegido (PEAP).

9.

En Tipos de EAP, haga clic en Agregar. En el cuadro de diálogo Agregar EAP, en Métodos deautenticación, haga clic en Microsoft: contraseña segura (EAP-MSCHAP v2).

10.

En Tipos de EAP, haga clic en Microsoft: EAP protegido (PEAP) y luego haga clic en Editar.11.

Compruebe que Habilitar comprobaciones de cuarentena esté seleccionado y luego haga clic en Aceptar.12.

Haga clic en Siguiente dos veces y luego haga clic en Finalizar.13.

Tarea 3: Configurar NYC-SVR1 con el servicio Enrutamiento y acceso remoto establecido como un servidor VPN

Haga clic en Inicio, luego en Ejecutar, escriba rrasmgmt.msc y finalmente presione Entrar.1.

En la consola de administración Enrutamiento y acceso remoto, configure y habilite Enrutamiento y accesoremoto con la función Acceso remoto (acceso telefónico o VPN).

2.

Seleccione la casilla VPN y luego haga clic en Siguiente.3.

Haga clic en la interfaz de red con una dirección IP 192.168.1.10. Desactive la casilla Habilitar seguridad enla interfaz seleccionada configurando filtros de paquetes estáticos y luego haga clic en Siguiente. Estogarantiza que NYC-SVR1 podrá rastrear NYC-DC1 cuando se adjunta a la subred Internet sin que sea necesarioconfigurar filtros de paquetes adicionales para el tráfico ICMP.

4.

En la página Asignación de dirección IP, seleccione De un intervalo de direcciones especificado y en lapágina Asignación de intervalo de direcciones, especifique un intervalo de 10.10.0.100 a 10.10.0.110.

5.

En la página Administrar servidores de acceso remoto múltiples, seleccione No, usar Enrutamiento yacceso remoto para autenticar solicitudes de conexión.

6.

Haga clic en Siguiente y luego en Finalizar.7.

Haga clic en Aceptar y espere que el servicio Enrutamiento y acceso remoto se inicie.8.

Abra la consola Servidor de directivas de red desde el menú Herramientas administrativas, expandaDirectivas, seleccione Directivas de solicitud de conexión y luego deshabilite Directiva del servicio deenrutamiento y acceso remoto de Microsoft haciendo doble clic con el botón secundario en la directiva yseleccionando Deshabilitar.

9.

Cierre la consola de administración Servidor de directiva de red.10.

Tarea 4: Permitir el rastreo en NYC-SVR1

Haga clic en Inicio, en Herramientas administrativas y luego haga clic en Firewall de Windows conseguridad avanzada.

1.

Cree una regla de entrada personalizada para Todos los programas con el tipo de protocolo ICMPv4 y tipoICMP de Solicitud de eco para las opciones de ámbito predeterminadas.

2.

En la ventana Acción, compruebe que Permitir la conexión se encuentre seleccionado y luego haga clic enSiguiente.

3.

Haga clic en Siguiente para aceptar el perfil predeterminado.4.

En la ventana Nombre, en Nombre, escriba Solicitud de eco ICMPv4 y luego haga clic en Finalizar.5.

Tarea 5: Configurar NYC-CL1 como un cliente VPN y NAP

Configure NYC-CL1 de manera tal que Centro de seguridad esté siempre habilitado:1.

Abra Editor de objeto de directiva de grupo local usando el comando Ejecutar con gpedit.msc.1.

En el árbol de consola, abra Directiva de equipo local/Configuración del equipo/Plantillasadministrativas/Componentes de Windows /Centro de seguridad.

2.

Haga doble clic en Activar centro de seguridad (Solamente equipos de dominio), haga clic en Habilitadoy luego en Aceptar.

3.

Cierre la consola Editor de objeto de directiva de grupo local.4.

Habilite el cliente de cumplimiento de cuarentena para el acceso remoto:2.

Inicie la herramienta Configuración cliente NAP usando el comando Ejecutar con napclcfg.msc.1.

Habilite Cliente de cumplimiento de cuarentena para el acceso remoto.2.

Cierre la ventana Configuración de cliente NAP.3.

Habilite e inicie el servicio Agente NAP.3.

Abra la consola Servicios usando services.msc en el comando Ejecutar.1.

En la lista Servicios, haga doble clic en Agente de protección de acceso a redes.2.

Cambie el tipo de inicio a Automático y luego haga clic en Inicio.3.

Espere que se inicie el servicio Agente NAP y luego haga clic en Aceptar.4.


Configure NYC-CL1 para el segmento de red de Internet:4.

Configure Propiedades de conexión de área local con Protocolo de Internet versión 4 (TCP/IPv4)establecido de la siguiente manera:

1.



Quite el valor 10.10.0.10 de Servidor DNS preferido

Haga clic en Aceptar y luego en Cerrar para cerrar el cuadro de diálogo Propiedades de conexión de árealocal.

2.

Cierre la ventana Conexiones de red.3.

Compruebe la conectividad de red para NYC-CL1:5.

Abra un símbolo del sistema y escriba ping 192.168.1.10.1.

Compruebe que la respuesta sea “Respuesta desde 192.168. 1.10”.2.

Cierre la ventana de comandos.3.

Configure una conexión VPN:6.

Usando Centro de redes y recursos compartido, cree un nuevo acceso directo Conectarse con un lugar detrabajo con la opción Usar mi conexión de Internet (VPN).

1.

Haga clic en Estableceré una conexión de Internet más tarde.2.

En la página Escriba la dirección de Internet a la que desea conectarse, junto a Dirección de Internet,escriba 192.168. 1.10. Junto a Nombre de destino, escriba Woodgrovebank. Seleccione la casilla Permitirque otras personas usen esta conexión y luego haga clic en Siguiente.

3.

En la página Escriba su nombre de usuario y contraseña, escriba administrador junto a Nombre deusuario y escriba la contraseña para la cuenta del administrador junto a Contraseña. Seleccione la casillaRecordar esta contraseña, escriba Woodgrovebank junto a Dominio (opcional) y luego haga clic enCrear.

4.

En la ventana Centro de redes y recursos compartidos, haga clic en Administrar conexiones de red.5.

En Red privada virtual, haga clic con el botón secundario en la conexión Contoso, haga clic en Propiedadesy luego en la ficha Seguridad.

6.

Seleccione Opciones avanzadas (configuración personalizada) y luego haga clic en Configuración.7.

En Seguridad de inicio de sesión, seleccione Usar protocolo de autenticación extensible (EAP) y luegoelija EAP protegido (PEAP) (cifrado habilitado).

8.

Haga clic en Propiedades.9.

Seleccione la casilla Validar certificado del servidor. Desactive la casilla Conectarse a estos servidores yluego seleccione Contraseña segura (EAP-MSCHAP v2) en Seleccionar método de autenticación.Desactive la casilla Habilitar reconexión rápida y luego seleccione la casilla Habilitar comprobaciones decuarentena.

10.

Haga clic en Aceptar tres veces para aceptar estos valores.11.

Pruebe la conexión VPN:7.

En la ventana Conexiones de red, use el objeto de conexión Woodgrovebank para iniciar la conexión VPN.1.

Compruebe que se escriban las credenciales de la cuenta de administrador y que la casilla Guardar estenombre de usuario y contraseña para uso futuro se encuentre seleccionado y luego haga clic en Aceptar.

2.

Aparece una ventana Validar un certificado de servidor la primera vez que se usa esta conexión VPN. Hagaclic en Ver certificado de servidor y compruebe que Información de certificado determine que elcertificado se emitió para NYC-SVR1.Woodgrovebank.com mediante CA raíz. Haga clic en Aceptar paracerrar la ventana Certificado y luego haga clic nuevamente en Aceptar.

3.

Espere que se realice la conexión VPN. Debido a que NYC-CL1 es compatible, debería contar con accesoilimitado a la subred intranet.

4.

Abra un símbolo del sistema y escriba ipconfig /todo para ver la configuración.5.

Visualice la configuración IP. Estado de cuarentena del sistema debería ser No restringido.6.

El cliente ahora cumple con el requisito para la conectividad completa VPN.

Desconéctese del VPN Woodgrovebank.7.

Configure Validador de mantenimiento de seguridad de Windows para solicitar una aplicación de antivirus:8.

En NYC-SVR1, abra Servidor de directiva de red.1.


Configure Validador de mantenimiento de seguridad de Windows para solicitar protección antivirusseleccionado la casilla junto a Aplicación antivirus activada.

3.

Haga clic en Aceptar y luego en Aceptar nuevamente para cerrar la ventana Propiedades del validador demantenimiento de seguridad de Windows.

4.

Compruebe que se ubique al cliente en la red restringida:9.

En NYC-CL1, en la ventana Conexiones de red, haga clic con el botón secundario en la conexiónWoodgrovebank y luego haga clic en Conectar.

1.

Espere que se realice la conexión VPN. Es posible que vea un mensaje en el área de notificación que indiqueque el equipo no cumple con los requisitos de mantenimiento. Aparece este mensaje debido a que el softwareantivirus no se ha instalado.

2.

Abra un símbolo del sistema y escriba ipconfig /todo para ver la configuración IP. Estado de cuarentena delsistema debería ser Restringido.

3.

El cliente no cumple con los requisitos para la red y por ende, se lo ubicará en la red restringida.

Intente rastrear a 10.10.0.24. Esto debe llevarse a cabo incorrectamente.

Intente rastrear a 10.10.0.10. Este es el único servidor al que la directiva permite el acceso.

Desconéctese del VPN Woodgrovebank.4.








¿Cuáles son las tres configuraciones principales de cliente que deben establecerse para la mayoría de lasimplementaciones NAP?

1.

Desea evaluar el mantenimiento y la seguridad general de la red NAP aplicada. ¿Qué debe hacer paracomenzar a registrar los eventos NAP?

2.


Tenga en cuenta los siguientes procedimientos recomendados al implementar NAP:

Use métodos de cumplimiento seguros (IPsec, 802.1x y VPN). Los métodos de cumplimiento seguros brindanla implementación NAP más eficaz y segura.

No confíe en NAP para brindar seguridad a una red frente a los usuarios malintencionados. NAP está diseñadapara ayudar a los administradores a controlar el mantenimiento de los equipos de la red que, a su vez, ayuda amantener la integridad general de la red. NAP no evita que un usuario autorizado con un equipo compatibledescargue un programa malintencionado en la red o deshabilite el agente NAP.

Use directivas NAP consistentes en toda la jerarquía del sitio para minimizar las confusiones. La configuraciónincorrecta de una directiva NAP puede provocar que clientes que deben estar restringidos obtengan acceso a lared o que los clientes válidos sean restringidos por error. Cuánto más complejo sea el diseño de su directivaNAP, mayor será el riesgo de establecer una configuración incorrecta.

No confíe en NAP como un mecanismo de cumplimiento instantáneo o en tiempo real. Existen demorasinherentes al mecanismo de cumplimiento NAP. Aunque NAP ayuda a que los equipos continúen siendocompatibles en el largo plazo, las demoras frecuentes de cumplimiento pueden llevar varias horas o másdebido a varios factores, incluyendo los valores de diversos parámetros de configuración.

Herramientas


Servicios Habilitar y configurar el servicio NAP en los equiposcliente.

Haga clic en Inicio, luego en Panel de control,luego en Sistema y mantenimiento, haga clic enHerramientas administrativas y finalmente


haga doble clic en Services.

Netsh nap Al usar netsh, puede crear scripts para establecerautomáticamente un conjunto de valores de Firewallde Windows con seguridad avanzada, crear reglas,supervisar las conexiones y mostrar la configuracióny el estado de Firewall de Windows con seguridadavanzada.

Abra una ventana de comandos con derechosadministrativos y escriba netsh nap. Puedeescribir ayuda para obtener una listacompleta de los comandos disponibles.

Directiva degrupo

Algunas implementaciones NAP que usan elValidador de mantenimiento de seguridad deWindows requieren que el Centro de seguridad estéhabilitado.

Habilite el valor Activar el Centro deseguridad (sólo equipos de dominio) en lassecciones Configuración del equipo, Plantillasadministrativas, Componentes de Windows yCentro de seguridad de Directiva de grupo.

ConfigurarNAP con unasistente

Se usa para crear directivas de mantenimiento,directivas de solicitud de conexión y Protección deacceso a redes (NAP) con Servidor de directivas deredes.

Abra la consola NPS (Local). EnIntroducción y Configuración estándar,seleccione Servidor de directivas deProtección de acceso a redes (NAP). Eltexto y los vínculos debajo del textocambiarán para mostrar su selección.

Haga clic en Configurar NAP usando unasistente.

Módulo 9: Configuración de IPsec

Module 9

Configuración de IPsec

El Protocolo de seguridad de Internet (IPsec) es un marco de estándares abiertos para proteger las comunicaciones através de redes IP mediante servicios de seguridad criptográficos. IPsec es compatible con la autenticación delmismo nivel de red, autenticación de orígenes de los datos, integridad de datos, confidencialidad de datos (cifrado) yprotección de reproducción. La implementación de IPSec de Microsoft se basa en estándares desarrollados por elGrupo de trabajo de ingeniería de Internet (IETF).

IPsec es compatible con los siguientes sistemas operativos: Windows Vista™, Windows Server® 2008, WindowsServer® 2003, Microsoft Windows XP y Windows 2000. Además, está integrado con el servicio de directorio de ActiveDirectory®. Se pueden asignar directivas IPsec mediante Directiva de grupo, lo que permite que los valores de IPSecse configuren a nivel de dominio, del sitio o de la unidad organizativa (OU).

Lección 1: Descripción general de IPsecLección 2: Configuración de reglas de seguridad de conexiónLección 3: Configuración del cumplimiento NAP para IPsecLaboratorio: Configuración del cumplimiento NAP para IPsec

Lección 1: Descripción general de IPsec

Lección 1:

Descripción general de IPsec

IPsec es un conjunto de protocolos que ayuda a proteger datos a través de una red usando servicios de seguridad ycertificados digitales con claves públicas y privadas. Un certificado digital asigna una clave pública a una persona, unaempresa o un sitio web.

Debido a su diseño, IPsec ayuda a brindar una seguridad mucho mayor que los métodos de protección anteriores. Losadministradores de red que lo usan no necesitan configurar la seguridad para programas individuales.

Beneficios de IPsec

Beneficios de IPsec

Por lo general, se usa IPsec para lograr confidencialidad, integridad y autenticación en el transporte de datos a travésde canales no seguros. Si bien el propósito original era asegurar el tráfico a través de redes públicas, susimplementaciones con frecuencia se usan para aumentar la seguridad de redes privadas, ya que las organizaciones nosiempre pueden saber con certeza si los puntos débiles en sus redes privadas son susceptibles a la explotación. Si selo implementa correctamente, IPsec ofrece un canal privado para enviar e intercambiar datos vulnerables, ya seacorreo electrónico, tráfico del Protocolo de transferencia de archivos (FTP), fuentes de noticias, datos del asociado yde la cadena de suministro, registros médicos o cualquier otro tipo de datos basados en TCP/IP.

IPsec presenta los siguientes beneficios:

Ofrece autenticación mutua antes y durante las comunicaciones

Fuerza a ambas partes a identificarse durante el proceso de comunicación

Habilita la confidencialidad a través del cifrado del tráfico IP y la autenticación digital de los paquetes

IPsec tiene dos modos:

Carga de seguridad encapsuladora (ESP). Este modo cifra datos a través de uno de varios algoritmosdisponibles.

Encabezado de autenticación (AH). Este modo firma el tráfico pero no lo cifra.


IPsec

Usos recomendados de IPsec

Usos recomendados de IPsec

Algunos entornos de red son adecuados para usar IPsec como una solución de seguridad, mientras que otro no. Serecomienda IPsec para los siguientes usos:

Filtrado de paquetes

Asegurar el tráfico host a host en rutas de acceso específicas

Asegurar el tráfico a los servidores

Protocolo de túnel de capa dos (L2TP)/IPsec para conexiones VPN

Tunelización de sitio a sitio (puerta de enlace a puerta de enlace)

Aplicación de redes lógicas (aislamiento de servidor/dominio)

No se recomienda IPsec para los siguientes usos:

Asegurar la comunicación entre los miembros del dominio y sus controladores de dominio

Asegurar todo el tráfico de red


Overview of IPsec Deployment (Descripción general de la implementación de IPsec)


Herramientas usadas para configurar IPsec

Herramientas usadas para configurar IPsec

Existen varias maneras de configurar el Firewall de Windows y la configuración y opciones de IPsec, incluyendo losiguiente:

Usando el complemento Microsoft Management Console (MMC) de Firewall de Windows con seguridadavanzada

Usando el complemento MMC de Directiva de seguridad IP

Usando comandos Netsh


Tema de Ayuda Firewall de Windows con seguridad avanzada: Firewall de Windows con seguridad avanzada

¿Qué son las reglas de seguridad de conexión?

¿Qué son las reglas de seguridad de conexión?

Una regla de seguridad de conexión fuerza la autenticación entre dos equipos del mismo nivel antes de que puedanestablecer una conexión y transmitir información segura. El Firewall de Windows con seguridad avanzada usa IPsecpara aplicar estas reglas.

Las reglas de firewall permiten el tráfico a través del firewall pero no lo aseguran. Para asegurar el tráfico con IPsec, sepueden crear reglas de Conexión de equipos. Sin embargo, al crear una regla de seguridad de conexión, no sepermite el tráfico a través del firewall. Para ello debe crearse una regla de firewall, si el comportamientopredeterminado del firewall no permite el tráfico. Las reglas de seguridad de conexión no se aplican a programas yservicios. Se aplican entre los equipos que conforman los dos extremos.


Introduction to Windows Firewall with Advanced Security (Introducción a Firewall de Windows con seguridadavanzada)

Tema de Ayuda Firewall de Windows con seguridad avanzada: Reglas de seguridad de conexión

Demostración: Configuración general de IPsec

Demostración: Configuración general de IPsec

Lección 2: Configuración de reglas de seguridad de conexión

Lección 2:

Configuración de reglas de seguridad de conexión

Se pueden usar Reglas de seguridad de conexión para establecer la configuración de IPsec para conexionesespecíficas entre este equipo y otros. El Firewall de Windows con seguridad avanzada usa la regla para evaluar eltráfico de red y luego bloquea o permite mensajes en base a los criterios establecidos en la regla. En algunos casos,el Firewall de Windows con seguridad avanzada bloqueará la comunicación. Si se establece la configuración querequiere seguridad para una conexión (en cualquier dirección) y ninguno de los dos equipos puede autenticar al otro, loconexión se bloqueará.

Elección de un tipo de regla de seguridad de conexión

Elección de un tipo de regla de seguridad de conexión

Se puede usar el Asistente para nueva regla de seguridad de conexión para crear reglas para la manera en que elFirewall de Windows con seguridad avanzada autentica los equipos y usuarios que coinciden con los criterios de laregla. El Firewall de Windows con seguridad avanzada usa IPsec para proteger el tráfico usando estas reglas.

El asistente brinda cuatro reglas predefinidas y también se puede crear una regla personalizada que se puedeconfigurar de manera tal que responda a sus necesidades de seguridad.

Aislamiento

Exención de autenticación

Servidor a servidor

Túnel

Personalizada


Tema de Ayuda Firewall de Windows con seguridad avanzada: Elección de un tipo de regla de seguridad deconexión

¿Qué son los extremos?

¿Qué son los extremos?

Los extremos del equipo son los equipos o el grupo de equipos que forman interlocutores para la conexión.

El modo de túnel IPsec protege todo un paquete IP tratándolo como una carga AH o ESP. Con el modo de túnel, todoel paquete IP se encapsula con un encabezado AH o ESP y un encabezado IP adicional. Las direcciones IP delencabezado IP externo son los extremos del túnel y las direcciones IP del encabezado IP encapsulado son lasdirecciones de origen y de destino finales.

ESP cifra paquetes y aplica un nuevo encabezado no cifrado para facilitar el enrutamiento. A pesar de brindar cifrado,ESP no garantiza la autenticidad de los datos del encabezado.

ESP funciona en dos modos, tal como lo determinan la funcionalidad y la capacidad requeridas de los hosts yenrutadores compatibles con IPsec:

Modo de transporte

Modo de túnel


Tema de Ayuda Firewall de Windows con seguridad avanzada: Extremos del equipo

Tema de Ayuda Firewall de Windows con seguridad avanzada: Especificar extremos de túnel

Elección de requisitos de autenticación

Elección de requisitos de autenticación

Mientras se usa el Asistente para nueva regla de seguridad de conexión para crear una nueva regla, se puede usar lapágina del asistente Requisitos de autenticación para especificar cómo se aplica la autenticación a las conexionesentrantes y salientes. Si se solicita autenticación, se habilitarán las comunicaciones cuando se produzca un error deautenticación. Si se requiere autenticación, la conexión se anulará si se produce un error de autenticación.


Tema de Ayuda Firewall de Windows con seguridad avanzada: Requisitos de autenticación

Métodos de autenticación

Métodos de autenticación

El Asistente para nueva regla de seguridad de conexión tiene una página donde se puede establecer el Método deautenticación para configurar las credenciales de autenticación usadas. Si ya existe la regla, se puede usar la fichaAutenticación del cuadro de diálogo Propiedades de seguridad de conexión de la regla que se desea editar.


Tema de Ayuda Firewall de Windows con seguridad avanzada: Métodos de autenticación

Determinación de un perfil de uso

Determinación de un perfil de uso

Un perfil de firewall es una manera de agrupar valores, tales como las reglas de seguridad de conexión y firewall, quese aplican al equipo dependiendo de dónde está conectado el equipo. En equipos que ejecutan la versión actual deWindows, existen tres perfiles para el Firewall de Windows con seguridad avanzada. Sólo se aplica un perfil por vez.

La siguiente tabla describe los perfiles de uso disponibles:

Perfil Descripción

Dominio Se aplica cuando un equipo está conectado a una red en la que reside la cuenta de dominio del equipo.

Privado Se aplica cuando un equipo está conectado a una red en la que no reside la cuenta de dominio delequipo, tal como una red doméstica. La configuración privada debe ser más restrictiva que laconfiguración del perfil de dominio.

Público Se aplica cuando un equipo está conectado a un dominio a través de una red pública, tales como lasdisponibles en aeropuertos o cafeterías. La configuración del perfil público debe ser la más restrictiva, yaque el equipo está conectado a una red pública donde la seguridad no puede controlarse con tantaprecisión como dentro de un entorno de TI.


Tema de Ayuda Firewall de Windows con seguridad avanzada: Propiedades de Firewall: Perfiles

Firewall de Windows con seguridad avanzada

Demostración: Configuración de una regla de seguridad de conexión

Demostración: Configuración de una regla de seguridad de conexión

Lección 3: Configuración del cumplimiento NAP para IPsec

Lección 3:

Configuración del cumplimiento NAP para IPsec

El cumplimiento NAP para las directivas IPsec para el Firewall de Windows se aplica con un servidor de certificados demantenimiento, un servidor de Autoridad de registro de mantenimiento (HRA), un equipo que ejecuta Servidor dedirectivas de redes (NPS) y un cliente de cumplimiento IPsec. El servidor de certificados de mantenimiento emitecertificados X.509 para los clientes NAP cuando se determina que son compatibles. Luego, se usan los certificadospara autenticar los clientes NAP cuando inician las comunicaciones con IPsec con otros clientes NAP en una intranet.

El cumplimiento IPsec limita la comunicación de su red a clientes compatibles y brinda la implementación NAP demayor seguridad disponible. Debido a que este método de cumplimiento usa IPsec, se pueden definir los requisitospara asegurar comunicaciones en base a números de puerto por dirección IP o por TCP/UDP.

Cumplimiento IPsec para redes lógicas

Cumplimiento IPsec para redes lógicas

El cumplimiento IPsec divide una red física en tres redes lógicas. Un equipo es miembro de sólo una red lógica encualquier momento. Las redes lógicas se definen en términos de los equipos que tienen certificados de mantenimientoy los equipos que requieren autenticación IPsec con certificados de mantenimiento para intentos entrantes decomunicación. Las redes lógicas permiten el acceso y la actualización limitados de la red y brindan equiposcompatibles con protección desde equipos no compatibles.



Tema de Ayuda de Servidor de directivas de redes: Cumplimiento NAP para comunicaciones IPsec

Procesos de cumplimiento NAP para IPsec

Procesos de cumplimiento NAP para IPsec

Para obtener un certificado de mantenimiento y convertirse en un miembro de red seguro, un cliente NAP que usa elcumplimiento IPsec se inicia en la red y realiza el proceso de cumplimiento NAP para IPsec.

El cliente NAP quita todo certificado de mantenimiento existente, si es necesario, y agrega el certificado demantenimiento recientemente emitido al almacén de certificados de su equipo. El cliente de cumplimiento NAP paraIPsec establece la configuración IPsec para autenticarse usando el certificado de mantenimiento para lascomunicaciones protegidas por IPsec y configura el firewall basado en host para permitir las comunicaciones entrantesde cualquier sistema del mismo nivel que use un certificado de mantenimiento para la autenticación IPsec. Ahora elcliente NAP pertenece a la red segura.

Si el cliente NAP no es compatible, no tendrá un certificado de mantenimiento y no podrá iniciar la comunicación conequipos en la red segura. El cliente NAP lleva a cabo un proceso de actualización para convertirse en un miembro de lared segura.



IPsec

Requisitos para implementar el cumplimiento NAP para IPsec

Requisitos para implementar el cumplimiento NAP para IPsec

Para implementar NAP con IPsec y HRA, se debe configurar lo siguiente:

En NPS, configure la directiva de solicitud de conexión, la directiva de red y la directiva de mantenimiento NAP.Se pueden configurar estas directivas por separado usando la consola NPS o el nuevo Asistente paraprotección de acceso a redes.

Habilite el cliente de cumplimiento NAP para IPsec y el servicio NAP en equipos cliente compatibles con NAP.

Instale HRA en el equipo local o en un equipo remoto.

Instale y configure Servicios de certificados de Active Directory (AD CS) y plantillas de certificado.

Configure Directiva de grupo y establezca otras configuraciones que requiera su implementación.

Configure el Validador de mantenimiento de seguridad de Windows (WSHV) o instale y configure otros agentesde mantenimiento del sistema y validadores de mantenimiento del sistema (SHV), dependiendo de suimplementación NAP.

Si el equipo local no tiene HRA instalado, también será necesario configurar lo siguiente:

Instale NPS en el equipo que ejecuta HRA.

Configure NPS en el servidor NPS HRA remoto como un proxy RADIUS para reenviar solicitudes de conexiónal servidor NPS local.


Tema de Ayuda de Servidor de directivas de redes: Cumplimiento NAP para comunicaciones IPsec

Laboratorio: Configuración del cumplimiento NAP para IPsec

Laboratorio: Configuración del cumplimiento NAP para IPsec

Objetivos:

Preparar el entorno de red para el cumplimiento NAP para IPsec

Configurar y probar el cumplimiento IPsec

Escenario

Debido a incidentes recientes relacionados con la seguridad en la red interna, Woodgrove Bank desea implementardirectivas IPsec para mitigar los riesgos de seguridad a través del cifrado y usar la Protección de acceso a redes paracomprobar el mantenimiento de las partes de la comunicación antes transmitir datos. El Administrador de servicios deinformación (IS) de Woodgrove Bank desea que configure un entorno de cumplimiento Protección de acceso a redespara IPsec a fin de mitigar cualquier problema relacionado con la seguridad de red en el futuro.

Ejercicio 1: Preparación del entorno de red para el cumplimiento NAP paraIPsec

Ejercicio 1: Preparación del entorno de red para el cumplimiento NAP para IPsec


En este ejercicio, se preparará el entorno de cumplimiento NAP para IPsec.


Iniciar las máquinas virtuales 6822A-NYC-DC1, 6822A-NYC-CL1 y 6822A-NYC-CL2.1.


Instalar las funciones del servidor NPS, HRA y CA.3.

Configurar HRA con permisos.4.

Configurar las propiedades de CA en HRA.5.

Configurar NPS como un servidor de directivas de mantenimiento NAP.6.

Configurar validadores de mantenimiento del sistema.7.

Configurar la Inscripción automática de certificados en la Directiva predeterminada de grupos de dominio.8.

Configurar NYC-CL1 y NYC-CL2 de manera tal que el Centro de seguridad esté siempre habilitado.9.

Habilitar el cliente de cumplimiento IPsec y establecer la configuración para el registro de mantenimiento declientes.

10.

Configurar e iniciar el servicio Agente NAP.11.

Permitir ICMP a través de Firewall de Windows.12.

Tarea 1: Iniciar las máquinas virtuales 6822A-NYC-DC1, 6822A-NYC-CL1 y 6822A-NYC-CL2


1.






Tarea 2: Abrir la herramienta Administrador de servidores en 6822A-NYC-DC1

Si es necesario, en NYC-DC1, abra Administrador del servidor desde el menú Herramientasadministrativas.

Tarea 3: Instalar las funciones del servidor NPS, HRA y CA

En Administrador del servidor, agregue la función Directiva de red y servicios de acceso.1.

En la página Seleccionar servicios de función, seleccione la casilla Entidad de registro de mantenimientoy luego haga clic en Agregar servicios de función requeridos.

2.

Seleccione Instalar una CA local para emitir certificados de mantenimiento para este servidor HRA conla opción No, permitir solicitudes anónimas para certificados de mantenimiento.

3.

Seleccione No usar SSL o Elegir un certificado para cifrado SSL más tarde.4.

En la página Seleccionar servicios de función, compruebe que sólo esté seleccionada la casilla Entidad decertificación.

5.

Instale Servicios de certificados como CA raíz Independiente.6.

Acepte la clave privada predeterminada y la configuración criptográfica.7.

Otorgue un nombre a la CA Woodgrovebank-CAraíz.8.

Acepte la configuración predeterminada para el resto de la configuración y luego haga clic en Instalar.9.

En la página Resultados de instalación, observe que la instalación de Directiva de red y servicios de accesose completó con errores. Esto se debe a que se instaló la CA después de instalar la función, por lo que no sepudo alcanzar. Compruebe que todas las instalaciones se hayan realizado correctamente y luego haga clic enCerrar.

10.

Tarea 4: Configurar HRA con permisos

Abra la herramienta administrativa Entidad de certificación.1.

Abra las propiedades de WoodgroveBank-CAraíz del panel de la lista.2.

Haga clic en la ficha Seguridad, haga clic para agregar la cuenta Servicio de red y seleccione la casillaPermitir para Emitir y administrar certificados, Administrar CA y Solicitar certificados.

3.

En la ficha Módulo de directivas, haga clic en Propiedades y seleccione Seguir la configuración de laplantilla de certificado, si es aplicable. Caso contrario, automáticamente emitir el certificado.

4.

Reinicie Entidad de certificación.5.

Cierre la consola Entidad de certificación.6.

Tarea 5: Configurar las propiedades de CA en HRA

En NYC-DC1, cree una MMC personalizada y agregue el complemento Entidad de registro demantenimiento.

1.

En la consola Registro de mantenimiento, haga clic con el botón secundario en Entidad de certificación yagregue WoodGroveBank-CARaíz, haciendo clic en Agregar entidad de certificación.

2.

Haga clic en Entidad de certificación y compruebe que se muestre \\NYC-DC1.Woodgrovebank.com\Woodgrovebank-CARaíz en el panel de detalles.

3.

Haga clic con el botón secundario en el panel de la lista Entidad de certificación y abra Propiedades paracomprobar que esté seleccionado Usar entidad de certificación independiente.

4.

Cierre la consola Autoridad de registro de mantenimiento.5.

Tarea 6: Configurar NPS como un servidor de directivas de mantenimiento NAP

En NYC-DC1, abra la consola Servidor de directiva de red.1.

En Configuración estándar, haga clic en Configurar NAP.2.

En la página Seleccionar método de conexión de red para usar con NAP, seleccione IPsec con entidadde registro de mantenimiento (HRA).

3.

En las páginas Especificar servidores de cumplimiento de NAP que ejecutan HRA y Configurar gruposde usuario y grupos de equipos, acepte la configuración predeterminada.

4.

En la página Definir directiva de mantenimiento NAP, compruebe que estén seleccionadas las casillasValidador de mantenimiento de seguridad de Windows y Habilitar corrección automática de losequipos cliente y luego haga clic en Finalizar en la página Completando directivas de protección deacceso a redes y clientes RADIUS.

5.

Deje abierta la consola NPS para la siguiente tarea.6.

Tarea 7: Configurar validadores de mantenimiento del sistema

En el árbol de consola NPS, haga clic en Protección de acceso a redes y luego haga clic en Configurarvalidadores de mantenimiento del sistema en el panel de detalles.

1.

En el panel de detalles, en Nombre, haga doble clic en Validador de mantenimiento de seguridad deWindows.

2.

Haga clic en Configurar.3.

Desactive todas las casillas excepto Firewall está habilitado para todas las conexiones de red.4.

Haga clic en Aceptar dos veces para cerrar los cuadros de diálogo Validador de mantenimiento deseguridad de Windows y Propiedades del validador de mantenimiento de seguridad de Windows.

5.

Cierre la consola NPS.6.

Tarea 8: Configurar la Inscripción automática de certificados en la Directiva predeterminada de grupos de dominio

En NYC-DC1, abra la consola Administración de directiva de grupo.1.

Edite Directiva de dominio predeterminada.2.

En Configuración del equipo, Configuración de Windows, Configuración de seguridad, seleccioneDirectivas de clave pública.

3.

Haga doble clic en Cliente de servicios Cliente de servicios de certificados– Inscripción automática.4.

En el cuadro de diálogo Definir configuración de directivas, configure lo siguiente:5.

Modelo de configuración: Habilitada

Seleccione Renovar certificados expirados, actualizar certificados pendientes y quitar certificadosrevocados

Seleccione Actualizar certificados que usan plantillas de certificado

Haga clic en Aceptar y cierre Editor de administración de directiva de grupo.6.

Cierre la consola Administración de directivas de grupo.7.

Tarea 9: Configurar NYC-CL1 y NYC-CL2 de manera tal que el Centro de seguridad esté siempre habilitado

Inicie sesión en NYC-CL1 como Woodgrovebank\administrador usando la contraseña Pa$$w0rd.1.

Abra Editor de directivas de grupo local escribiendo gpedit.msc en el cuadro de texto Iniciar búsqueda.2.

Abra Directiva de equipo local/Configuración del equipo/Plantillas administrativas/Componentes deWindows/Centro de seguridad usando Editor de objeto de directiva de grupo.

3.

Haga doble clic en Activar centro de seguridad (solo equipos de dominio), haga clic en Habilitado y luegoen Aceptar.

4.

Cierre la consola Editor de objeto de directiva de grupo local.5.

Repita los pasos de 1 a 5 en NYC-CL2.6.

Tarea 10: Habilitar el cliente de cumplimiento IPsec y establecer la configuración para el registro de mantenimiento de clientes

En NYC-CL1, abra la consola Configuración de cliente NAP escribiendo napclcfg.msc en el cuadro de textoIniciar búsqueda.

1.

Habilite Usuario de confianza de IPsec en el panel de detalles Clientes de cumplimiento.2.

En árbol de consola Configuración de cliente NAP, haga doble clic en Configuración de registro demantenimiento.

3.

Agregue dos nuevos Grupos de servidores de confianza, seleccione no requiere verificación del4.

servidor y luego haga clic en Nuevo.

En Agregue las direcciones URL de los servidores de la entidad de registro de mantenimiento en losque desea que el cliente confíe, escriba http://nyc-dc1.woodgrovebank.com/domainhra/hcsrvext.dll, yluego haga clic en Agregar. Escriba http://nyc-dc1.woodgrovebank.com /nondomainhra/hcsrvext.dll,haga clic en Agregar y luego en Finalizar.

5.

En el árbol de consola, haga clic en Grupos de servidores de confianza y compruebe que las direccionesURL estén escritas correctamente.

6.

Cierre la ventana Configuración de cliente NAP.7.


Tarea 11: Configurar e iniciar el servicio Agente NAP

En NYC-CL1, abra la consola Servicios, configure las propiedades de inicio de las Propiedades del agentede protección de redes a Automático y luego inicie el servicio.

1.

Espere que se inicie el servicio agente NAP y luego haga clic en Aceptar.2.


Repita los pasos de 1 a 3 para NYC-CL2.4.

Tarea 12: Permitir ICMP a través de Firewall de Windows

En NYC-CL1, haga clic en Inicio y en el cuadro de texto Iniciar búsqueda, escriba wf.msc y luego presioneEntrar.

1.

Cree una nueva Regla de entrada personalizada para Todos los programas que especifican Solicitud deeco ICMPv4 que usa el ámbito predeterminado con la Acción de Permitir la conexión. Acepte el perfilpredeterminado y denomine la regla Solicitud de eco ICMPv4.

2.

Cierre la consola Firewall de Windows con seguridad avanzada.3.


Ejercicio 2: Configuración y prueba de cumplimiento NAP para IPsec

Ejercicio 2: Configuración y prueba de cumplimiento NAP para IPsec


En este ejercicio, se configurará y probará el cumplimiento NAP para IPsec.


Crear una Unidad organizativa segura de IPsec en Active Directory.1.

Crear directivas IPsec para el cumplimiento de mantenimiento seguro.2.

Mover NYC-CL1 y NYC-CL2 a la unidad organizativa segura de IPsec.3.

Aplicar directivas de grupo.4.

Comprobar el estado del certificado de mantenimiento.5.

Comprobar que los clientes puedan comunicarse de manera segura.6.

Demostrar la Restricción de red.7.


Tarea 1: Crear una Unidad organizativa segura de IPsec en Active Directory

En NYC-DC1, abra Usuarios y equipos de Active Directory y cree una nueva unidad organizativa en el nivelraíz denominada IPsec segura.

1.

Deje abierta la consola Usuarios y equipos de Active Directory.2.

Tarea 2: Crear directivas IPsec para la unidad organizativa segura de IPsec

En NYC-DC1, abra la consola Administración de directiva de grupo.1.

Cree y vincule un nuevo Objeto de directiva de grupo para la unidad organizativa IPsec segura y denomina ladirectiva Directiva segura.

2.

Edite la Directiva segura para crear directivas IPsec para todos los estados de perfil.3.

Abra Directiva segura [nyc-dc1.woodgrovebank.com] Directiva\Configuración del equipo\Directivas\Configuración de Windows \Configuración de seguridad\Firewall de Windows con seguridadavanzada\ Firewall de Windows con seguridad avanzada – LDAP.

1.

En la ficha Perfil de dominio, junto a Estado del Firewall, seleccione Activado (recomendado). Junto aConexiones de entrada, seleccione Bloquear (predeterminado). Junto a Conexiones de salida,seleccione Permitir (predetermiado). Se usará la misma configuración para los perfiles privados y públicos.

2.

En el árbol de consola Editor de administración de directiva de grupo, en Firewall de Windows conseguridad avanzada - LDAP, haga clic con el botón secundario en Reglas de seguridad de conexión ycree una nueva regla que tenga seleccionadas las opciones Aislamiento y Requerir autenticación paraconexiones de entrada o solicitar autenticación para conexiones de salida.

4.

En la página Método de autenticación, seleccione Certificado del equipo, seleccione la casilla Soloaceptar certificados de mantenimiento y especifique WoodgroveBank-CARaíz.

5.

En la página Perfil, compruebe que las casillas Privado, Público y De dominio estén seleccionadas. En lapágina Nombre, escriba Regla segura y luego haga clic en Finalizar.

6.

Haga clic con el botón secundario en Reglas de entrada y luego cree una nueva regla usando la reglapredefinida Compartir impresoras y archivos sólo con la opción Permitir la conexión si es segura.

7.

Cierre la consola Editor de administración de directivas de grupo.8.

Tarea 3: Mover NYC-CL1 y NYC-CL2 a la unidad organizativa segura de IPsec

En NYC-DC1, abra Usuarios y equipos de Active Directory.1.

Abra el contenedor Equipos, seleccione NYC-CL1 y NYC-CL2, arrástrelos y colóquelos en la unidadorganizativa IPsec segura.

2.

Cierre la consola Usuarios y equipos de Active Directory.3.

Tarea 4: Aplicar directivas de grupo

En NYC-CL1 y NYC-CL2, use gpactulización /forzar para volver a aplicar la configuración de Directiva degrupo modificada.

1.

Compruebe que la respuesta sea La actualización de directiva de usuario se completó correctamente yLa actualización de directiva de equipo se completó correctamente.

2.

Deje abierta la ventana de comandos para los siguientes procedimientos.3.

Tarea 5: Comprobar el estado del certificado de mantenimiento

En NYC-CL1, cree una herramienta MMC personalizada que incluya el complemento Certificados concertificados Cuenta del equipo específicos para Equipo local.

1.

En el árbol de consola MMC, haga doble clic en Certificados (Equipo local), haga doble clic en Personal yluego haga clic en Certificados. En el panel de detalles, en Emitido por, compruebe que se muestreWoodGroveBank-CARaíz. Compruebe que Propósitos planteados muestre Autenticación demantenimiento del sistema.

2.

Cierre la consola MMC sin guardar los cambios.3.

Tarea 6: Comprobar que los clientes puedan comunicarse de manera segura

En NYC-CL1, haga clic en Inicio y en el cuadro de texto Iniciar búsqueda, escriba \\NYC-CL2\ y luegopresione Entrar.

1.

Confirme que el comando se ha completado correctamente.2.

Compruebe que se puedan visualizar los contenidos del recurso compartido.3.

Abra Firewall de Windows con seguridad avanzada en NYC-CL1.4.

En el panel de la lista de la consola Firewall de Windows con seguridad avanzada, expanda Supervisión,luego Asociaciones de seguridad y seleccione Modo principal.

5.

En el panel de detalles, debe ver una entrada para comunicaciones seguras entre NYC-CL1 y NYC-CL2. Hagadoble clic en la entrada y revise el contenido de la ficha General. Debe ver Certificado de equipo paraprimera autenticación, Cifrado usando AES-128 e Integridad realizada usando SHA1.

6.

Cierre el cuadro de diálogo y cierre Firewall de Windows con seguridad avanzada.7.

Tarea 7: Demostrar la Restricción de red

Nota: Se requerirán actualizaciones automáticas para el cumplimiento NAP habilitando esta comprobación delmantenimiento del sistema en el Validador de mantenimiento de seguridad de Windows.

En NYC-DC1, abra Protección de acceso a redes y luego haga clic en Validadores de mantenimiento delsistema.

1.

Configure Validador de mantenimiento de seguridad de Windows, en Actualización automáticaseleccione la casilla La actualización automática está habilitada y luego haga clic en Aceptar dos veces.

2.

Nota: Para demostrar la restricción de red de clientes no compatibles, la actualización automática de equipos clientedebe estar deshabilitada en la directiva de red no compatible.

En el árbol de consola Servidor de directiva de redes, haga clic en Directivas de red.3.

En el panel de detalles, haga doble clic en IPsec de NAP con HRA que no cumple.4.

Haga clic en la ficha Configuración, luego en Cumplimiento NAP, desactive la casilla Habilitar correcciónautomática de equipos cliente y luego haga clic en Aceptar.

5.

Cierre la consola Servidor de directiva de red.6.

En NYC-CL1, en la ventana de comandos, escriba ping -t NYC-CL2 y luego presione ENTRAR. Se ejecutaráun ping continuo desde NYC-CL1 a NYC-CL2. Esto debe llevarse a cabo correctamente.

7.

En NYC-CL2, en el panel de control Seguridad, seleccione Activar o desactivar actualización automática,seleccione No buscar nunca actualizaciones (no recomendado) y luego haga clic en Aceptar. Estaconfiguración hace que NYC-CL2 no sea compatible con la directiva de mantenimiento de red. Debido a que laactualización automática se ha deshabilitado, NYC-CL2 permanecerá en estado no compatible y se ubicará enla red restringida.

8.

Nota: No cierre el panel de control Seguridad en NYC-CL2. Lo usará para volver a habilitar Actualizaciones deWindows en pasos futuros.

En NYC-CL1, compruebe que la respuesta en la ventana de comandos haya cambiado a Se agotó el tiempode la solicitud.

9.

En NYC-CL1, haga clic en Inicio, en el cuadro de texto Iniciar búsqueda, escriba \\NYC-CL2\ y compruebeque el recurso compartido sea inaccesible.

10.

En NYC-CL2, en el panel de control Seguridad en Actualizaciones de Windows, haga clic en Activar odesactivar actualización automática, seleccione Instalar actualizaciones automáticamente(recomendado) y luego haga clic en Aceptar. Esta configuración hará que NYC-CL2 envíe un nuevo SoH queindique que es compatible con los requisitos de mantenimiento de red y NYC-CL2 obtendrá acceso total a lared.

11.

En NYC-CL1, compruebe que la respuesta en la ventana de comandos cambie a Respuesta desde10.10.0.60. Es posible que transcurra un minuto antes de poder visualizar el cambio de estado.

12.

Compruebe que pueda examinar el recurso compartido de NYC-CL2 (\\NYC-CL2\).13.

Cierre todas las ventanas.14.








¿Cuál es la diferencia entre el protocolo ESP y el protocolo AH al usar IPsec?1.

¿Qué algoritmos de cifrado están disponibles para el protocolo ESP en Windows Server 2008?2.

Si necesita asegurar comunicaciones en un servidor de dominio determinado y debe admitir conexiones de losequipos de dominio y que no son de dominio y, a su vez, desea contar con un único método de autenticación,¿cuál método es el más adecuado?

3.

¿Es posible que un equipo en la red lógica restringida obtenga acceso a los recursos en un servidor de la redlógica segura?

4.

¿Qué tipo de equipos encontraría comúnmente dentro de una red lógica restringida en un entorno NAP paraIPsec?

5.

Errores frecuentes acerca de IPsec

Los errores más frecuentes acerca de IPsec son:

IPsec es una tecnología VPN.

Aunque IPsec se usa para conexiones VPN en Internet para conectar clientes remotos a una intranet o sitios remotosentre sí, IPsec fue diseñado para proteger el tráfico de intranet y de Internet en diversos escenarios.

Al usar IPsec para proteger el tráfico IP que se envía a través de Internet, algunas implementaciones VPN usan unmodo adicional de AH y ESP conocido como modo de túnel, en el cual se encapsula y protege un paquete IP entero.Los equipos con Windows Server 2008, Windows Vista, Windows Server 2003 o Windows XP pueden usar L2TP conIPsec (L2TP/IPsec) para conexiones VPN. Sin embargo, L2TP/IPsec no usa el modo de túnel. Por el contrario, L2TPbrinda encapsulación para un paquete IP entero y la carga de paquete IP resultante está protegida con ESP y cifrado.

El uso de IPsec requiere cifrado.

IPsec sólo cifra cargas de paquetes IP cuando se elige usar ESP con cifrado. El cifrado es opcional pero serecomienda en muchas circunstancias, incluso cuando se envían datos privados a través de una red pública (tal comoInternet) o cuando se envía información altamente confidencial a través de una intranet (tales como datos personales ofinancieros).

Beneficios de IPsec

La compatibilidad IPsec en Windows brinda los siguientes beneficios:

Defensa específica contra vulnerabilidades en protocolos y aplicaciones de nivel superior.

IPsec protege los protocolos, los servicios y las aplicaciones de nivel superior. Con IPsec habilitado, los paquetes decomunicación inicial que buscan obtener acceso a una aplicación o un servicio que se ejecuta en un servidor, porejemplo, no pasarán a la aplicación o servicio hasta que se haya establecido una confianza a través de la autenticaciónIPsec y que se haya aplicado la protección configurada en paquetes para la aplicación o el servicio. Por lo tanto, losintentos de ataque a aplicaciones o servicios en servidores deben primero atravesar la protección IPsec.

Nota: IPsec no ofrece protección del protocolo de nivel de aplicación de entrada a un sistema del mismo nivelautenticado. Sin embargo, una vez que se cifra una sesión de protocolo de nivel de aplicación entre dos sistemas delmismo nivel que usan IPsec, se protege del ataque de reproducción y del ataque de tipo "Hombre en el medio".

El requisito de autenticación del mismo nivel impide la comunicación con equipos que no son de confianza odesconocidos.

La seguridad IPsec requiere que los sistemas del mismo nivel autentiquen sus credenciales a nivel de equipo antes deenviar datos basados en IP. Al requerir autenticación al mismo nivel usando credenciales basadas en un modelo deconfianza común, tales como la pertenencia a un dominio de Active Directory, los equipos que no son de confianza odesconocidos no podrán comunicarse con miembros del dominio. Esto ayuda a proteger los equipos miembro deldominio frente a la propagación de algunos tipos de virus y gusanos por parte de los equipos que no son de confianzao desconocidos.

El tráfico de red basado en IP está protegido criptográficamente.

IPsec ofrece un conjunto de protecciones criptográficas para el tráfico basado en IP en base a la elección de AH, ESPsin cifrado o ESP con cifrado. El tráfico de red basado en IP es a prueba de alteraciones (usando AH o ESP sincifrado) o a prueba de alteraciones y cifrado (con ESP y cifrado). El requisito de protección criptográfica de tráfico IPayuda a evitar muchos tipos de ataques a la red.

No es necesario cambiar las aplicaciones para que sean compatibles con IPsec.

IPsec está integrado a nivel de Internet del conjunto de protocolos TCP/IP, brindando seguridad para todos losprotocolos basados en IP en el paquete TCP/IP. Con IPsec, no es necesario configurar otra seguridad para cadaaplicación que usa TCP/IP. Por el contrario, las aplicaciones que usan TCP/IP transmiten datos a IP en el nivel deInternet, donde IPsec puede asegurarlos. Al eliminar la necesidad de modificar aplicaciones, IPsec ahorra tiempo ycostos de desarrollo de aplicaciones.

Herramientas


MMC de Firewallde Windows conseguridadavanzada

Se puede usar para habilitar el control totalsobre las reglas de firewall y laspropiedades IPsec en un único equipo.

Haga clic en Inicio y elija Herramientasadministrativas. Seleccione la herramientaFirewall de Windows con seguridad avanzadade las herramientas administrativas disponibles.

Netsh advfirewall Se puede usar el comando netsh para crearscripts que establezcan la configuración deFirewall de Windows con seguridadavanzada de manera automática, crearreglas, supervisar conexiones y mostrar laconfiguración y el estado de Firewall deWindows con seguridad avanzada.

Abra una ventana de comandos con derechosadministrativos y escriba Netsh advfirewall.

Puede escribir ayuda para obtener una listacompleta de los comandos disponibles.

Directiva de grupo Directiva de grupo brinda acceso a todo elconjunto de características de Firewall deWindows con seguridad avanzada,incluyendo la configuración del perfil, lasreglas y las reglas de seguridad deconexión de equipos para la instalación en

Se puede establecer la configuración deDirectiva de grupo para Firewall de Windowscon seguridad avanzada abriendo el mismocomplemento a través del Editor de objetos dedirectiva de grupo.

equipos cliente.

MMC deadministración dedirectivas deseguridad IP

Se usa para entornos con versiones mixtasde Windows y para configurar directivasque se apliquen a todas las versiones deWindows.

Haga clic en Inicio, luego en Ejecutar, escribaMMC y finalmente presione ENTRAR. En laventana MMC, haga clic en Archivo y luego enAgregar o quitar complemento. De la lista decomplementos disponibles, seleccioneAdministración de directivas de seguridad IP,haga clic en Agregar y luego en Aceptar

Módulo 10: Supervisión y solución de problemas de IPsec

Módulo 10

Supervisión y solución de problemas de IPsec

Este módulo brinda información acerca de las tareas de solución de problemas de IPsec y las herramientas desolución de problemas que pueden usarse para realizarlas.

Lección 1: Supervisión de la actividad de IPsecLección 2: Solución de problemas de IPsecLaboratorio: Supervisión y solución de problemas de IPsec

Lección 1: Supervisión de la actividad de IPsec

Lección 1:

Supervisión de la actividad de IPsec

Al supervisar la actividad de IPsec, se permite:

Visualizar la información de asignación de directiva IPsec.

Visualizar detalles acerca de la directiva IPsec activa y de las estadísticas de IPsec.

Comprobar que la auditoria de seguridad esté habilitada.

Visualizar los eventos relacionados con IPsec.

Habilitar el registro de auditoria para eventos de Intercambio de claves por red (IKE) y visualizar los eventos.

Visualizar IPsec y otra comunicación de red.

Cambiar la configuración de IPsec para solucionar problemas.

Herramientas usadas para supervisar IPsec

Herramientas usadas para supervisar IPsec

Puntos clave

Es posible usar el complemento Monitor de seguridad IP para visualizar y supervisar las estadísticas relacionadas conIPsec y la directiva IPsec aplicada a los equipos. Esta información puede resultar útil para solucionar problemas deIPsec y probar las directivas que está creando. Este complemento puede usarse únicamente para equipos conWindows XP o Windows Vista™.

Otras herramientas que pueden usarse para supervisar IPSec son:

IPSecmon

El nodo de supervisión del complemento Firewall de Windows con seguridad avanzada

El comando Netsh


Tema de Ayuda: Supervisión de IPsec

Herramientas para solucionar problemas de IPSec

Uso de Monitor de seguridad IP para supervisar IPsec

Uso de Monitor de seguridad IP para supervisar IPsec

Puntos clave

Monitor de seguridad IP se implementa como un complemento de MMC e incluye mejoras que permiten visualizardetalles sobre una directiva IPsec activa que aplica el dominio o que se aplica localmente. También es posiblevisualizar estadísticas de modo rápido y de modo principal y SA de IPsec activas. Monitor de seguridad IP tambiénpermite buscar filtros específicos de modo principal o de modo rápido. Para solucionar problemas complejos dediseño de directiva IPsec, puede usarse Monitor de seguridad IP para buscar todas las coincidencias para los filtrosde un tipo de tráfico específico.


Tema de Ayuda: Supervisión de IPsec

Tema de Ayuda: Supervisión de modo principal

Tema de Ayuda: Supervisión de modo rápido

Uso de Firewall de Windows con seguridad avanzada para supervisar IPsec

Uso de Firewall de Windows con seguridad avanzada para supervisar IPsec

Puntos clave

Firewall de Windows con seguridad avanzada es un firewall con estado, basado en host que bloquea las conexionesentrantes y salientes conforme a su configuración. Si bien la configuración típica de Firewall de Windows del usuariofinal se realiza con la herramienta Panel de control del Firewall de Windows, la configuración avanzada se lleva a caboen un complemento MMC denominado Firewall de Windows con seguridad avanzada.

La inclusión de este complemento no sólo brinda una interfaz para configurar el Firewall de Windows localmente, sinotambién para configurar el Firewall de Windows en equipos remotos y a través de Directiva de grupo. Actualmente, lasfunciones del Firewall se integran con configuraciones de protección de IPsec, reduciéndose así las posibilidades deconflictos entre los dos mecanismos de protección.

Demostración: Supervisión de IPsec

Demostración: Supervisión de IPsec

Lección 2: Solución de problemas de IPsec

Lección 2:

Solución de problemas de IPsec

Es necesario comprender los procesos de solución de problemas y de supervisión de IPsec completos pararesolverlos correctamente. Además, debe comprender los tipos de problemas de conectividad frecuentesrelacionados con IPsec e IKE y qué debe buscarse para solucionar problemas de eventos de negociación IKE.

Proceso de solución de problemas de IPSec

Proceso de solución de problemas de IPSec

Puntos clave

El proceso de solución de problemas de IPsec incluye los siguientes pasos:

Comprobar la configuración de red IP

Comprobar que las configuraciones de firewall locales y externas sean correctas

Comprobar Directiva de grupo y la directiva IPsec

Garantizar la compatibilidad de directivas

También hay observaciones adicionales para solucionar problemas de IPsec, tales como comprobar la configuracióndel firewall y habilitar el registro IKE.


Server and Domain Isolation Using IPSec and Group Policy, Chapter 7 (Aislamiento de servidor y de dominiousando IPsec y Directiva de grupo: Capítulo 7): Solución de problemas de IPsec

Solución de problemas de IKE

Solución de problemas de IKE

Puntos clave

Para solucionar problemas de IKE correctamente, se deben comprender las siguientes instrucciones:

Solucionar problemas de conectividad relacionados con IPsec e IKE.

Solucionar problemas de firewall y puertos.

Ver el archivo Oakley.log en busca de posibles problemas.

Identificar problemas de intercambio de modo principal.

Solución de problemas de eventos de negociación IKE

Solución de problemas de eventos de negociación IKE

Puntos clave

Para solucionar problemas de eventos de negociación IKE, es necesario identificar:

Eventos de negociación IKE satisfactorios.

Entradas de registro de información.

Errores de auditoria de modo rápido.


Server and Domain Isolation Using IPSec and Group Policy, Chapter 7 (Aislamiento de servidor y de dominiousando IPsec y Directiva de grupo: Capítulo 7): Solución de problemas de IPsec

System Error Codes (12000-15999) [Código de error del sistema (12000-15999)]

Laboratorio: Supervisión y solución de problemas de IPsec

Laboratorio: Supervisión y solución de problemas de IPsec

Objetivos

Supervisar la conectividad de IPsec

Configurar la seguridad de conexión

Solucionar problemas de IPsec

Escenario:

Al especialista en tecnología de servicios de infraestructura de Windows se le ha asignado la tarea de extender lainfraestructura de una red existente para que incluya la funcionalidad IPsec. Al usar los complementos Monitor deseguridad IP y Firewall de Windows con seguridad avanzada, es posible visualizar estadísticas y directivas deseguridad IP, determinar si se están produciendo errores en las negociaciones IPsec y supervisar las estadísticasIPsec. Se le envían extensiones de la solución de problemas.

Ejercicio 1: Supervisión de conectividad de IPSec

Ejercicio 1: Supervisión de conectividad de IPSec


En este ejercicio, los estudiantes habilitarán una directiva IPsec y luego visualizarán la conexión usando Monitor deseguridad IP.


Iniciar las máquinas virtuales 6822A-NYC-DC1 y 6822A-NYC-SVR1.1.

Crear una directiva de negociación IPsec en NYC-DC1.2.

Exportar la directiva desde NYC-DC1.3.

Importar la directiva de seguridad a NYC-SVR1.4.

Usar Monitor de seguridad IP para corroborar que la directiva de negociación esté funcionando.5.

Tarea 1: Iniciar las máquinas virtuales 6822A-NYC-DC1 y 6822A-NYC-SVR1


1.

En Iniciador de laboratorio., junto a 6822A-NYC-DC1, haga clic en Iniciar.2.

En Iniciador de laboratorio., junto a 6822A-NYC-SVR1, haga clic en Iniciar.3.


4.


Tarea 2: Crear una directiva de negociación IPSec en NYC-DC1

Configure algunas directivas IPsec que protejan el tráfico TCP y UDP usando Directiva de seguridad local MMCque se encuentra en Herramientas administrativas.

1.

Puerto de origen: 445

Puerto de destino: Cualquiera

Filtre el tráfico IP que proviene de cualquier dirección IP y se dirige a cualquier dirección IP.2.

Tarea 3: Exportar la directiva desde NYC-DC1

En la consola Directiva de seguridad local MMC, exporte las directivas IPSec a un archivo en NYC-SVR1(guárdelo en D:\ArchivosdeLaboratorio\Módulo10\DirectivadeSeguridadIP.ipsec).

Tarea 4: Importar la directiva de seguridad a NYC-SVR1

En NYC-SVR1, importe las directivas IPSec usando Directiva de seguridad local MMC.

Tarea 5: Usar Monitor de seguridad IP para corroborar que la directiva de negociación esté funcionando

Habilite Directivas de seguridad IP en ambos equipos.1.

Usando el comando Ejecutar, cargue una consola vacía y agregue el complemento Monitor de seguridad IP.2.

Establezca un recurso compartido de conexión de archivos entre NYC-SVR1 y NYC-DC1.3.

Supervise la información de conexión segura en la consola Monitor de seguridad IP.4.

Ejercicio 2: Configuración de seguridad de conexión

Ejercicio 2: Configuración de seguridad de conexión


En este ejercicio, configurará una regla de seguridad de conexión en Firewall de Windows con seguridad avanzada yluego supervisará la conexión usando el nodo Asociaciones de seguridad.


Deshabilitar la directiva de seguridad IP que creó en el ejercicio anterior.1.

Configurar una regla de asociaciones de seguridad en la MMC Firewall de Windows con seguridad avanzada.2.

Supervisar la conexión usando el nodo Asociaciones de seguridad.3.


Tarea 1: Deshabilitar la directiva de seguridad IP que creó en el ejercicio anterior

Deshabilite Directiva de seguridad IP en NYC-DC1.1.

Deshabilite Directiva de seguridad IP en NYC-SVR1.2.

Tarea 2: Configurar una regla de asociaciones de seguridad en la MMC Firewall de Windows con seguridad avanzada

En NYC-DC1, abra Firewall de Windows con seguridad avanzada.1.

Cree una nueva regla en Reglas de seguridad de conexión.2.

Seleccione una regla Servidor-a-servidor con Cualquier dirección IP para Extremos.3.

Seleccione Requerir autenticación para conexiones de entrada y de salida.4.

Seleccione Clave previamente compartida con la contraseña Pa$$w0rd.5.

Aplique la regla a los perfiles De dominio, Privado y Público.6.

Cree la misma regla en NYC-SVR1 y use la misma Clave previamente compartida.7.

Tarea 3: Supervisar la conexión usando el nodo Asociaciones de seguridad

Establezca una comunicación entre NYC-SVR1 y NYC-DC1.1.

Revise los nodos Modo principal y Modo rápido para visualizar el estado de la regla Seguridad de conexión.2.





Ejercicio 3: Solución de problemas de IPsec

Ejercicio 3: Solución de problemas de IPsec


En este ejercicio, se revisarán escenarios que describen problemas comunes que pueden surgir al solucionarproblemas de IPsec y luego se comentarán las posibles soluciones.

Escenario 1

Un administrador está intentado conectarse a un equipo remoto y supervisar su conectividad IPsec. El administradorinforma que no puede supervisar el servidor remoto. Se le solicita que use Visor de eventos para identificar elproblema y, al hacerlo, el administrador observa el siguiente error: “El servidor IPsec no está disponible o no escompatible con el monitor IPsec”.

Pregunta: ¿Qué puede hacer para resolver este problema?

Escenario 2

Un administrador ha configurado y habilitado una Directiva de seguridad IPsec en un servidor de archivos quealmacena archivos de información confidencial. El administrador también ha creado una directiva basada en ActiveDirectory y la ha aplicado a la unidad organizativa (OU) de los clientes que tienen el acceso permitido al servidorseguro. Al día siguiente, el administrador de copias de seguridad, encargado de hacer una copia de seguridad delservidor seguro, informa que no pudo obtener acceso al servidor seguro desde el servidor de copia de seguridad. Lacuenta del equipo del servidor de copia de seguridad está almacenada en una unidad organizativa administrativaindependiente de la del cliente.

Pregunta: Según la información brindada, ¿por qué el servidor de copia de seguridad no puede obtener acceso alservidor seguro?




¿Cuál es el nombre del archivo de registro que debería usarse para solucionar problemas de IKE?1.¿Cuáles son los cuatro pasos principales que deben llevarse a cabo para solucionar problemas de IPsec?2.


Los siguientes procedimientos recomendados generales pueden ser útiles para optimizar la seguridad y reducir laposibilidad de que surjan problemas al implementar IPsec:

Establecer un plan de implementación de IPsec. El plan de implementación debería contemplar las siguientesobservaciones: qué escenarios de implementación (como servidor a servidor o acceso remoto) necesitan eluso de IPsec, qué nivel de seguridad se requiere para cada escenario, qué tipos de datos, equipos y vínculosfísicos se asegurarán, quién administrará las directivas IPsec y cómo se brindará soporte técnico y solución deproblemas de manera continua para usuarios finales después de la implementación de IPsec. Esto permitesolucionar problemas con mayor facilidad y establece quiénes son los responsables de las distintas áreas deinfraestructura de IPsec.

1.

Crear y probar directivas IPsec para todos los escenarios de implementación. Antes de implementar IPsec enun entorno de producción, deben probarse las directivas IPsec en un entorno de laboratorio realista. Paraobtener datos de rendimiento realistas, deben ejecutarse cargas de trabajo estándar en los programas. Durantelas pruebas iniciales, observe el contenido de paquete con Monitor de red o use el Encabezado deautenticación (AH) o la Carga de seguridad encapsuladora (ESP) con cifrado nulo para visualizar contenido depaquete para entornos de prueba.

2.

No use claves previamente compartidas. Para optimizar la seguridad, no se recomienda el uso de laautenticación con clave previamente compartida porque es un método de autenticación de baja seguridad.Además, las claves previamente compartidas se almacenan en texto simple. Se brinda la autenticación conclave previamente compartida para fines de interoperabilidad y para adherirse a normas IPsec. Se recomiendausar claves previamente compartidas sólo para probar y usar certificados o la versión 5 del protocolo Kerberosen un entorno de producción.

3.

Usar el algoritmo Triple Estándar de cifrado de datos (3DES) para lograr un cifrado más seguro. Usar 3DESpara optimizar la seguridad al configurar métodos de seguridad de intercambio de claves para directivas IPsec.Es un algoritmo de cifrado más seguro que DES.

4.

Crear y asignar una directiva IPsec persistente para seguridad a prueba de errores. Para optimizar la seguridad,crear y asignar una directiva IPsec persistente para que los equipos puedan estar asegurados en caso de queno sea posible aplicar una directiva IPsec local o una directiva IPsec basada en Active Directory. Al crear yasignar una directiva persistente, ésta se aplica antes que una directiva local o una directiva basada en Active

5.

Directory y sigue en efecto sin importar si se aplica la directiva local o la directiva basada en Active Directory(por ejemplo, una directiva IPsec no se aplicará si está dañada).

Nota: No es posible configurar esta característica en la consola Administración de directivas de seguridad IP. Debeusar la herramienta de línea de comandos Netsh IPsec para configurar esta característica.

Si se aplica la misma directiva IPsec a equipos que ejecutan distintas versiones del sistema operativoWindows, debe probarse la directiva exhaustivamente. Para garantizar que la misma directiva IPsec funcionedel modo deseado, debe probar la directiva exhaustivamente en todos los sistemas operativos relevantes antesde la implementación.

Usar Servicios de Terminal Server para administrar y supervisar IPsec de manera remota en equipos condiferentes versiones del sistema operativo Windows. La administración y supervisión remota de IPsec sólo escompatible para equipos que ejecutan la misma versión de Windows. Es posible usar Servicios de TerminalServer para administrar y supervisar IPsec de manera remota en un equipo con una versión de Windowsdiferente a la de su equipo.

Módulo 11: Configuración y administración de Sistema de archivosdistribuido (DFS)

Módulo 11

Configuración y administración de Sistema de archivos distribuido(DFS)

Muchas de las empresas de la actualidad enfrentan el desafío de mantener grandes cantidades de servidores yusuarios que, con frecuencia, están geográficamente distribuidos en áreas extensas. En estas situaciones, losadministradores deben encontrar la manera de que los usuarios busquen los archivos más recientes tan rápido comosea posible. Por lo general, la administración de varios sitios de datos plantea desafíos adicionales, tales como limitarel tráfico de red a través de conexiones de red de área extensa (WAN) lentas, asegurar la disponibilidad de losarchivos durante los errores de WAN o del servidor y hacer copias de seguridad de los servidores de archivos que seencuentran en sucursales más pequeñas.

Este módulo presenta la solución Sistema de archivos distribuido (DFS) que puede usarse para abordar estosdesafíos brindando acceso tolerante a errores y replicación de los archivos compatible con WAN ubicados en toda laempresa.

Lección 1: Descripción general de DFSLección 2: Configuración de espacios de nombres DFSLección 3: Configuración de la replicación DFSLaboratorio: Configuración de DFS

Lección 1: Descripción general de DFS

Lección 1:

Descripción general de DFS

Los administradores que gestionan los servidores de archivos en una empresa requieren un acceso eficaz a losrecursos y la disponibilidad de los archivos. DFS en el sistema operativo Windows Server® 2008 brinda dostecnologías para abordar estos desafíos: Replicación DFS y Espacios de nombres DFS. Esta lección describe lasdos tecnologías y ofrece escenarios y requisitos para implementar una solución DFS dentro de su entorno de red.

¿Qué es el Sistema de archivos distribuido?

¿Qué es el Sistema de archivos distribuido?

Puntos clave

Las tecnologías DFS en Windows Server 2008 brindan un modo simplificado de acceso a los archivosgeográficamente distribuidos en una organización. Además, DFS ofrece una replicación de archivos compatible conWAN entre servidores. Las tecnologías DFS incluyen:

Espacios de nombres DFS

Replicación DFS

Compresión diferencial remota

Pregunta: ¿Qué dos tecnologías conforman DFS?

Pregunta: ¿Qué tecnología se usa para replicar archivos dentro de un entorno de Windows Server 2008?


Distributed File System Technology Center (Centro de tecnología de Sistema de archivos distribuido)

Overview of the Distributed File System Solution in Microsoft Windows Server 2003 R2 (Descripción general dela solución Sistema de archivos distribuido en Microsoft Windows Server 2003 R2)

Microsoft Distributed File System - IT Value Card (Sistema de archivos distribuido de Microsoft: Tarjeta de valorde TI)

About Remote Differential Compression (Acerca de la Compresión diferencial remota)

Optimizing File Replication over Limited-Bandwidth Networks using Remote Differential Compression (Optimizarla replicación de archivos en redes de ancho de banda limitado usando Compresión diferencial remota)

Cómo funcionan los espacios de nombres DFS y la replicación DFS

Cómo funcionan los espacios de nombres DFS y la replicación DFS

Puntos clave

Aunque los espacios de nombres DFS y la replicación DFS son tecnologías distintas, pueden usarse en conjunto parabrindar una alta disponibilidad y redundancia de datos.

El siguiente proceso describe cómo los espacios de nombres DFS y la replicación DFS funcionan en conjunto:

El usuario tiene acceso a la carpeta en el espacio de nombres configurado.1.

El equipo cliente tiene acceso al primer servidor en la referencia.2.



Distributed File System: Frequently Asked Questions (Sistema de archivos distribuido: Preguntas másfrecuentes)

Distributed File System Replication: Frequently Asked Questions (Replicación del sistema de archivosdistribuido: Preguntas más frecuentes)

Ayuda acerca de Administración del Sistema de archivos distribuido: Descripción general de espacios denombres DFS

Escenarios de DFS

Escenarios de DFS

Puntos clave

Diversos escenarios clave pueden beneficiarse de los espacios de nombres DFS y la replicación DFS. Estosescenarios incluyen:

Compartir archivos entre sucursales

Recopilación de datos

Distribución de datos

Pregunta: ¿Cómo puede usar las tecnologías DFS dentro de su organización?



(Descripción general de la solución Sistema de archivos distribuido en Microsoft Windows Server 2003 R2)

Tipos de espacios de nombres DFS

Tipos de espacios de nombres DFS

Puntos clave

Puede crear un espacio de nombres independiente o basado en dominio. Cada uno de estos tipos tienecaracterísticas diferentes.

Puede usarse un espacio de nombres basado en dominio cuando:

Se requiere una alta disponibilidad de espacios de nombres.

Desea ocultar el nombre de los servidores de espacio de nombres a los usuarios.

El espacio de nombres independiente se usa cuando:

Su organización no ha implementado el servicio de directorio de Active Directory®.

Su organización no cumple con los requisitos para un espacio de nombres basado en dominio en modoWindows Server 2008 y cuenta con requisitos para más de 5.000 carpetas DFS. Los espacios de nombresDFS independientes admiten hasta 50.000 carpetas con destinos.

Pregunta: ¿Cómo puede asegurarse de que los usuarios no desvíen una conexión WAN lenta para obtener acceso ala raíz de espacio de nombres DFS?


Tema de Ayuda: Administración de Sistema de archivos distribuido: Elección de un tipo de espacio de nombres

¿Qué son las carpetas y los destinos de carpeta?

¿Qué son las carpetas y los destinos de carpeta?

Puntos clave

Se crean una o varias carpetas dentro de un espacio de nombres DFS. Estas carpetas contienen uno o varios destinosde carpeta. Este tema describe estos dos conceptos de manera detallada.

Carpetas. Las carpetas son los elementos principales del espacio de nombres.

Destinos de carpeta. Un destino de carpeta es una ruta de la Convención de nomenclatura universal (UNC) auna de las siguientes ubicaciones:

Una carpeta compartida.

Una carpeta dentro de una carpeta compartida.

Una ruta de acceso a otro espacio de nombres.

Pregunta: ¿Cuál es la jerarquía de espacio de nombres DFS?


Administración de DFS

Requisitos del servidor de espacio de nombres

Requisitos del servidor de espacio de nombres

Puntos clave

Un servidor de espacio de nombres es un controlador de dominio o un servidor miembro que hospeda un espacio denombres DFS. El sistema operativo que se ejecuta en el servidor determina la cantidad de espacios de nombres queéste puede hospedar.

La siguiente tabla enumera las instrucciones que debería seguir para cumplir con los requisitos del servidor de espaciode nombres:

Servidor que hospeda espacios de nombresindependientes

Servidor que hospeda espacios de nombres basados endominio

Debe contener un volumen del sistema de archivosNTFS para hospedar el espacio de nombres

Debe contener un volumen NTFS para hospedar el espacio denombres

Puede ser un servidor miembro o un controlador dedominio

Debe ser un servidor miembro o un controlador de dominio enel dominio en el que está configurado el espacio de nombres

Puede ser un servidor de archivos agrupados El espacio de nombres no puede ser un recurso en clúster enun clúster de servidores


Tema de Ayuda: Preparación para implementar espacios de nombres DFS: Revisión de los requisitos delservidor de espacio de nombres DFS

Demostración: Instalación de DFS

Demostración: Instalación de DFS

Pregunta: Necesita implementar la tecnología DFS en su entorno. ¿Se considera a DFS un servicio de función o unacaracterística?

Pregunta: ¿Es posible instalar una replicación DFS sin instalar espacios de nombres DFS?

Lección 2: Configuración de espacios de nombres DFS

Lección 2:

Configuración de espacios de nombres DFS

La configuración de espacios de nombres DFS consiste de varias tareas que implican crear la estructura de espaciode nombres, crear las carpetas dentro del espacio de nombres y agregar destinos de carpeta. Además, puede decidirrealizar tareas de administración adicionales, tales como configurar el orden de referencia y la replicación DFS. Estalección brinda información acerca de cómo completar estas tareas de configuración y administración a fin deimplementar una solución DFS eficaz.

Implementación de espacios de nombres para publicar contenido

Implementación de espacios de nombres para publicar contenido

Puntos clave

La mayoría de las implementaciones DFS constan principalmente del contenido publicado en el espacio de nombresDFS. Para configurar un espacio de nombres para su publicación, realice los siguientes procedimientos:

Cree un espacio de nombres.1.

Cree una carpeta en el espacio de nombres.2.

Agregue destinos de carpeta.3.

Establezca el método de orden para destinos en las referencias.4.

Existen varias tareas opcionales que quizá desee considerar, tales como:

Establecer la prioridad de destino para invalidar el orden de referencia.

Habilitar la conmutación por recuperación de cliente.

Replicar los destinos de carpeta usando DFS-R.

Pregunta: ¿Cómo puede asegurarse de que un servidor específico siempre esté primero o último en la lista deservidores que el cliente recibe al obtener acceso a un espacio de nombres?


Implementar un espacio de nombres para publicar contenido

Tema de Ayuda: Administración de Sistema de archivos distribuido: Implementar espacios de nombres DFS

Requisitos de seguridad para crear y administrar un espacio de nombres

Requisitos de seguridad para crear y administrar un espacio de nombres

Puntos clave

Para realizar tareas de administración de espacio de nombres, un usuario debe ser miembro de un grupoadministrativo o bien se le debe haber delegado un permiso específico para realizar la tarea. Puede hacer clic con elbotón secundario en el espacio de nombres y luego hacer clic en Delegar permisos de administración para delegarlos permisos requeridos.

Nota: Además, debe agregar el usuario al grupo Administrador Local en el servidor de espacio de nombres.

La siguiente tabla describe los requisitos de seguridad para crear y administrar un espacio de nombres DFS:

Tarea Requisitos de grupo

Crear un espacio de nombres basado endominio

Admins Dominio

Agregar un servidor de espacio de nombres aun espacio de nombres basado en dominio

Admins Dominio

Administrar un espacio de nombres basado endominio

Administrador Local en cada servidor de espacio de nombres

Crear un espacio de nombres independienteEl grupo Administrador Local en el servidor de espacio de nombres

Administrar un espacio de nombresindependiente

El grupo Administrador Local en el servidor de espacio de nombres

Implementar la replicación DFS Admins Dominio

Pregunta: Necesita administrar un espacio de nombres basado en dominio. ¿Debe contar con privilegios de DomainAdministrator?


Delegar permisos de administración para un espacio de nombres existente

Requisitos de seguridad para crear y administrar espacios de nombres

Demostración: Cómo crear espacios de nombres

Demostración: Cómo crear espacios de nombres

Pregunta: Desea habilitar la escalabilidad avanzada y la enumeración basada en el acceso. ¿Qué opción brindanestas características?

Incremento de la disponibilidad de un espacio de nombres

Incremento de la disponibilidad de un espacio de nombres

Puntos clave

Para que los clientes se conecten a un espacio de nombres DFS, deben poder conectarse a un servidor de espaciode nombres. Esto significa que es importante asegurarse de que los servidores de espacio de nombres esténsiempre disponibles. El proceso para aumentar la disponibilidad del espacio de nombres varía para cada espacio denombres independiente y basado en dominio. Los espacios de nombres basados en dominio pueden hospedarse enmúltiples servidores. Los espacios de nombres independientes se limitan a un único servidor.

Espacios de nombres basados en dominio. Puede aumentar la disponibilidad de un espacio de nombresbasado en dominio especificando servidores de espacio de nombres adicionales que lo hospeden.

Espacios de nombres independientes. Puede aumentar la disponibilidad de un espacio de nombresindependiente creándolo como un recurso compartido en un clúster de servidores.

Destinos de carpeta. Puede aumentar la disponibilidad de cada carpeta en un espacio de nombres agregandovarios destinos de carpeta.

Pregunta: ¿Cuáles son los métodos utilizados para asegurar que el contenido esté disponible dentro de un espaciode nombres DFS?


Aumentar la disponibilidad de un espacio de nombres

Opciones para optimizar un espacio de nombres

Opciones para optimizar un espacio de nombres

Puntos clave

Los espacios de nombres cuentan con varias opciones de configuración que pueden usarse para optimizar lasposibilidades de uso y el rendimiento. Para optimizar un espacio de nombres, se puede:

Cambiar el nombre o mover una carpeta.

Deshabilitar referencias para una carpeta.

Especificar la duración de la memoria caché de referencia.

Configurar el sondeo de espacio de nombres.


Tema de Ayuda: Administración de Sistema de archivos distribuido: Ajuste de espacios de nombres DFS

Optimizar un espacio de nombres

Demostración: Configuración de destinos de carpeta

Demostración: Configuración de destinos de carpeta

Pregunta: ¿Qué tipos de rutas de acceso puede usar al crear un destino de carpeta nuevo?

Pregunta: ¿Qué clase de permisos necesita para agregar destinos de carpeta?

Lección 3: Configuración de la replicación DFS

Lección 3:

Configuración de la replicación DFS

Para configurar DFS-R de modo eficaz, es importante comprender la terminología y los requisitos asociados con lacaracterística. Esta lección brinda información sobre los elementos, requisitos y observaciones de escalabilidadespecíficos en cuanto se relacionan con DFS-R y, además, ofrece un proceso para configurar una topología dereplicación eficaz.

¿Qué es la Replicación DFS?

¿Qué es la Replicación DFS?

Puntos clave

Para configurar DFS-R de modo eficaz, es importante comprender la terminología y los requisitos asociados con lacaracterística. Esta lección brinda información sobre los elementos, requisitos y observaciones de escalabilidadespecíficos en cuanto se relacionan con DFS-R y, además, ofrece un proceso para configurar una topología dereplicación eficaz.

DFS-R usa un nuevo algoritmo de compresión denominado Compresión diferencial remota (RDC).

DFS-R detecta los cambios en el volumen supervisando el diario de número de secuencia de actualización(USN) y replica los cambios una vez que se cierran los archivos.

DFS-R usa una carpeta provisional para agregar temporalmente un archivo antes de enviarlo o recibirlo.

DFS-R usa un protocolo de intercambio de vector de versión para determinar qué archivos deben sincronizarse.

Al modificar un archivo, únicamente se replican los bloques modificados y no el archivo en su totalidad.

DFS-R usa el método heurístico para la resolución de conflictos “prevalece el último en escribir” para losarchivos en conflicto (es decir, un archivo que se actualiza en varios servidores al mismo tiempo) y “prevalece elprimer creador” para los conflictos de nombre.

DFS-R cuenta con recuperación automática y puede recuperarse automáticamente a partir de los ajustes deldiario USN, la pérdida del diario USN o la pérdida de la base de datos de replicación DFS.

DFS-R usa un proveedor de Instrumental de administración de Windows (WMI) que brinda interfaces paraobtener información acerca de la configuración y la supervisión desde el servicio de Replicación DFS.

Pregunta: ¿Qué dos carpetas pueden ayudar a solucionar los problemas de replicación de archivos al usar DFS-R?

Pregunta: ¿Qué sucede cuando dos usuarios actualizan simultáneamente el mismo archivo en distintos servidores?


Introducción a la replicación DFS

Carpetas provisionales y carpetas Conflictos y eliminaciones

¿Qué son los grupos de replicación y las carpetas replicadas?

¿Qué son los grupos de replicación y las carpetas replicadas?

Puntos clave

Un grupo de replicación consiste en un conjunto de servidores miembro que participan de la replicación de una ovarias carpetas replicadas. Existen dos tipos principales de grupos de replicación:

Grupo de replicación multipropósito.

Grupo de replicación para la recopilación de datos.

Una carpeta replicada es una carpeta que está sincronizada entre cada servidor miembro.

Pregunta: ¿Cuáles son los dos tipos de grupos que pueden configurarse para la replicación?


Grupos de replicación y carpetas replicadas

Requisitos de replicación DFS

Requisitos de replicación DFS

Puntos clave

Para usar DFS-R, debe conocer los requisitos específicos. Entre estos requisitos, se incluyen:

Asegurarse de que el esquema de Active Directory haya sido actualizado para incluir los nuevos objetos dereplicación DFS.

Los servidores que participarán de la Replicación DFS deben ejecutar el sistema operativo Windows Server2003 R2 o Windows Server 2008.

Los servidores de un grupo de replicación deben estar en el mismo bosque.

En los clústeres de servidores, las carpetas replicadas deben ubicarse en el almacenamiento local de un nodo.

El software antivirus debe ser compatible con la Replicación DFS.


Requisitos de la replicación DFS

Distributed File System Replication: Frequently Asked Questions (Replicación del sistema de archivosdistribuido: Preguntas más frecuentes)

Observaciones de escalabilidad para la replicación DFS

Observaciones de escalabilidad para la replicación DFS

Puntos clave

Use las siguientes observaciones de escalabilidad al implementar DFS-R:

Cada servidor puede ser miembro de hasta 256 grupos de replicación.

Cada grupo de replicación puede incluir hasta 256 carpetas replicadas.

Cada servidor puede tener hasta 256 conexiones (por ejemplo, 128 conexiones entrantes y 128 conexionessalientes).

En cada servidor, la cantidad de grupos de replicación multiplicada por el número de carpetas replicadasmultiplicado por la cantidad de conexiones activas simultáneamente debe ser igual o inferior a 1.024.

Un grupo de replicación puede contener hasta 256 miembros.

Un volumen puede contener 8 millones de archivos replicados como máximo y un servidor puede incluir hasta 1terabyte de archivos replicados.

El tamaño de archivo máximo probado es 64 gigabytes.


Directrices de escalabilidad de la replicación DFS

Understanding DFS Replication limits (Comprender los límites de replicación DFS)

More on DFS Replication limits (Más información acerca de los límites de replicación DFS)

Proceso de implementación de un grupo de replicación multipropósito

Proceso de implementación de un grupo de replicación multipropósito

Puntos clave

Se usa un grupo de replicación multipropósito para replicar datos entre dos o más servidores con el fin de compartir elcontenido general o publicar datos.

Puede usar el Asistente para nuevo grupo de replicación para realizar los siguientes pasos:

Seleccione el tipo de grupo de replicación que desea crear.1.

Especifique el nombre y el dominio.2.

Especifique los miembros del grupo de replicación.3.

Seleccione la topología. Las opciones son:4.

Concentrador y periferia

Malla completa

Sin topología

Especifique la programación y el ancho de banda del grupo de replicación.5.

Seleccione el servidor miembro principal.6.

Seleccione las carpetas que desea replicar.7.

Especifique la ruta de acceso local en otros miembros.8.

Una vez creado un grupo de replicación inicial, es posible modificar las carpetas replicadas, la conexión o la topología.Además, se pueden delegar permisos para que otros administradores puedan administrar el grupo de replicación.

Pregunta: ¿Cuáles son las diferencias de seleccionar entre el grupo de replicación multipropósito y el grupo dereplicación para recopilación de datos?


Implementar la replicación DFS

Comprensión del proceso de replicación inicial

Comprensión del proceso de replicación inicial

Al configurar la replicación por primera vez, debe seleccionar un miembro principal que tenga los archivos porreplicarse más actualizados. Se considera que este servidor es autoritativo para cualquier resolución de conflictos quese produzca cuando los miembros receptores tengan archivos más antiguos o nuevos en comparación con losmismos archivos del miembro principal.

Los siguientes conceptos le ayudarán a comprender mejor el proceso de replicación inicial:

La replicación inicial no comienza inmediatamente.

La replicación inicial siempre ocurre entre el miembro principal y sus asociados de replicación de recepción.

Al recibir los archivos del miembro principal durante la replicación inicial, los miembros receptores quecontienen archivos que no se encuentran en el miembro principal mueven esos archivos a la carpetaDfsrPrivado\PreExistente correspondiente.

Para determinar si los archivos en el miembro principal y en el miembro receptor son idénticos, la replicaciónDFS comparará los archivos usando un algoritmo hash.

Tras la inicialización de la carpeta replicada, se elimina la designación “miembro principal”.


Qué esperar durante la replicación inicial

Generación de informes de diagnóstico y pruebas de propagación

Generación de informes de diagnóstico y pruebas de propagación

Puntos clave

Para ayudar a mantener y solucionar los problemas de DFS-R, se pueden generar informes de diagnóstico y realizarpruebas de propagación.

Puede usar el Asistente para informes de diagnóstico para realizar el siguiente procedimiento:

Crear un informe de mantenimiento.

Iniciar una prueba de propagación.

Crear un informe de propagación.


Crear un informe de diagnóstico para la replicación DFS

Demostración: Implementación de la replicación DFS

Demostración: Implementación de la replicación DFS

Pregunta: ¿Dónde puede modificar la ruta de acceso para la carpeta provisional?

Pregunta: ¿Qué ficha muestra a los miembros remitentes y receptores del grupo de replicación?

Laboratorio: Configuración de DFS

Laboratorio: Configuración de DFS

Objetivos

Instalar el servicio de función Sistema de archivos distribuido

Crear un espacio de nombres DFS

Configurar destinos de carpeta y replicación de carpeta

Ver los informes de diagnóstico


Máquinas virtuales: 6822A-NYC-DC1 y 6822A-NYC-SVR1

Nombre de usuario: WoodgroveBank\Administrador


Escenario

Es un especialista en tecnología de Servicios de infraestructura de Windows para Woodgrove Bank. Para simplificar elacceso a los archivos para los usuarios y brindar alta disponibilidad y redundancia, implementará una solución DFSpara una cantidad de recursos compartidos distintos. Para este proyecto, debe llevar a cabo las siguientes tareas:

Instalar el servicio de función Sistema de archivos distribuido para incluir los espacios de nombres DFS y lareplicación DFS.

Crear un espacio de nombres DFS basado en dominio denominado CorpDocs usando NYC-DC1 y NYC-SVR1como los servidores host de espacio de nombres.

Agregar las siguientes Carpetas en el espacio de nombres CorpDocs:

HRPlantillas: destino de carpeta ubicado en NYC-DC1

ArchivosdeDirectivas: destino de carpeta ubicado en NYC-SVR1

Configurar la disponibilidad y la redundancia agregando destinos de carpeta adicionales y replicando losdestinos de carpeta en el espacio de nombres CorpDocs.

Brindar informes sobre el mantenimiento de la replicación de la carpeta CorpDocs.

Ejercicio 1: Instalación del servicio de función Sistema de archivosdistribuido

Ejercicio 1: Instalación del servicio de función Sistema de archivos distribuido

En este ejercicio, instalará el servicio de función Sistema de archivos distribuido tanto en NYC-DC1 como enNYC-SVR1. Esto ofrecerá redundancia para el espacio de nombres CorpDocs y permitirá a los clientes comunicarsecon el servidor de espacio de nombres dentro de su propio sitio.

Las principales tareas para este ejercicio se realizarán como se detalla a continuación:

Iniciar cada máquina virtual y luego iniciar sesión.1.

Deshabilitar la Conexión de área local 2 en NYC-SVR1.2.

Instalar el servicio de función Sistema de archivos distribuido en NYC-DC1.3.

Instalar el servicio de función Sistema de archivos distribuido en NYC-SVR1.4.

Tarea 1: Iniciar cada máquina virtual y luego iniciar sesión


1.




4.


Tarea 2: Deshabilitar la Conexión de área local 2 en NYC-SVR1

En NYC-SVR1, deshabilite el adaptador de red denominado Conexión de área local 2.

Tarea 3: Instalar el servicio de función Sistema de archivos distribuido en NYC-DC1

En NYC-DC1, inicie Administrador del servidor.1.

Use Asistente para agregar funciones para agregar el servicio de función Sistema de archivos distribuidoincluyendo las opciones Espacio de nombres DFS y Replicación DFS.

2.

Usando el panel Funciones del Administrador del servidor, compruebe que Servidor de archivos,Sistema de archivos distribuido, Espacio de nombres DFS y Replicación DFS estén instalados.

3.

Tarea 4: Instalar el servicio de función Sistema de archivos distribuido en NYC-SVR1

En NYC-SVR1, inicie Administración del servidor.1.

Use Asistente para agregar funciones para agregar el servicio de función Sistema de archivos distribuidoincluyendo las opciones Espacio de nombres DFS y Replicación DFS.

2.

Usando el panel Funciones del Administrador del servidor, compruebe que Servidor de archivos,Sistema de archivos distribuido, Espacio de nombres DFS y Replicación DFS estén instalados.

3.

Ejercicio 2: Creación de un espacio de nombres DFS

Ejercicio 2: Creación de un espacio de nombres DFS

En este ejercicio se creará el espacio de nombres DFS CorpDocs. Además, se configurará tanto NYC-DC1 comoNYC-SVR1 para hospedar el espacio de nombres CorpDocs a fin de brindar redundancia.


Elevar el nivel funcional del dominio.1.

Usar el Asistente para nuevo espacio de nombres para crear un espacio de nombres nuevo.2.

Agregar un servidor de espacio de nombres adicional para hospedar el espacio de nombres.3.

Tarea 1: Elevar el nivel funcional del dominio

En NYC-DC1, abra Usuarios y equipos de Active Directory y eleve el nivel funcional del dominio a WindowsServer 2008.

Tarea 2: Usar el Asistente para nuevo espacio de nombres para crear un espacio de nombres nuevo

En NYC-DC1, inicie la consola Administración de DFS.1.

Use Asistente para nuevo espacio de nombres para crear un espacio de nombres con las siguientesopciones:

2.

Servidor de espacio de nombres: NYC-DC1

Nombre y configuración del espacio de nombres: CorpDocs

Tipo de espacio de nombres: espacio de nombres basado en un dominio

En el panel izquierdo, haga clic en el signo Más junto a Espacio de nombres y luego haga clic en\\WoodgroveBank.com\CorpDocs.

3.

Compruebe que el espacio de nombres CorpDocs haya sido creado en NYC-DC1.4.

Tarea 3: Agregar un servidor de espacio de nombres adicional para hospedar el espacio de nombres

En NYC-DC1, en la consola Administración de DFS, use Asistente para agregar un servidor de espaciode nombres para agregar un nuevo servidor de espacio de nombres con las siguientes opciones:

1.

Servidor de espacio de nombres: NYC-SVR1

Haga clic en Sí para iniciar el servicio Sistema de archivos distribuido.

En el panel izquierdo, haga clic en el signo Más junto a Espacio de nombre y luego haga clic en\\WoodgroveBank.com\CorpDocs.

2.

Ejercicio 3: Configuración de destinos de carpeta y replicación de carpeta

Ejercicio 3: Configuración de destinos de carpeta y replicación de carpeta

En este ejercicio, creará inicialmente destinos de carpeta en dos servidores diferentes y luego comprobará que elespacio de nombres CorpDocs funcione correctamente. Luego, agregará disponibilidad y redundancia creandodestinos de carpeta adicionales y configurando la replicación.


Crear la carpeta PlantilladeRH y configurar un destino de carpeta en NYC-DC1.1.

Crear la carpeta ArchivosdeDirectivas y configurar un destino de carpeta en NYC-SVR1.2.

Comprobar la funcionalidad del espacio de nombres CorpDocs.3.

Crear destinos de carpeta adicionales para la carpeta PlantilladeRH y luego configurar la replicación decarpetas.

4.

Crear destinos de carpeta adicionales para la carpeta ArchivosdeDirectivas y luego configurar la replicaciónde carpetas.

5.

Tarea 1: Crear la carpeta PlantillasdeRH y configurar un destino de carpeta en NYC-DC1

En NYC-DC1, en la consola Administración de DFS, haga clic con el botón secundario en\\WoodgroveBank.com\CorpDocs.

1.

Cree una nueva carpeta denominada PlantillasdeRH.2.

Agregue un nuevo destino de carpeta llamado ArchivosdePlantillasdeRH usando las siguientes opciones:3.

Haga clic en el botón Nuevas carpetas compartidas.

Nombre del recurso compartido: ArchivosdePlantillasdeRH

Ruta de acceso local de la carpeta compartida: C:\ArchivosdePlantillasdeRH

Permisos de carpeta compartida: Los administradores tienen acceso total; otros usuarios tienenpermisos de sólo lectura

En el árbol de consola, haga clic en \\WoodgroveBank.com\CorpDocs.4.

En el panel de detalles, haga clic en la ficha Espacio de nombre. Tenga en cuenta que PlantillasdeRH seenumera como una entrada en el espacio de nombres.

5.

En el árbol de consola, expanda \\WoodgroveBank.com\CorpDocs y luego haga clic en PlantillasdeRH En elpanel de detalles, observe que en la ficha Destinos de carpeta haya un destino de carpeta configurado.

6.

Haga clic en la ficha Replicación y observe que la replicación no esté configurada.7.

Tarea 2: Crear la carpeta ArchivosdeDirectivas y configurar un destino de carpeta en NYC-SVR1

En NYC-DC1, en la consola Administración de DFS, haga clic con el botón secundario en\\WoodgroveBank.com\CorpDocs.

1.

Cree una nueva carpeta denominada ArchivosdeDirectivas.2.

Agregue un nuevo destino de carpeta denominado ArchivosdeDirectiva usando las siguientes opciones:3.

Haga clic en el botón Nueva carpeta compartida.

Nombre del recurso compartido: ArchivosdeDirectiva

Ruta de acceso local de la carpeta compartida: C:\ArchivosdeDirectiva

Permisos de carpeta compartida: Los administradores tienen acceso total; otros usuarios tienenpermisos de sólo lectura.

En el árbol de consola, expanda \\WoodgroveBank.com\CorpDocs y luego haga clic enArchivosdeDirectiva. En el panel de detalles, observe que en la ficha Destinos de carpeta haya un destinode carpeta configurado.

4.

Tarea 3: Comprobar la funcionalidad del espacio de nombres CorpDocs

En NYC-DC1, haga clic en Inicio y luego en Ejecutar.1.

Ingrese al espacio de nombres \\WoodgroveBank\CorpDocs y compruebe que tanto PlantillasdeRH comoArchivosdeDirectiva sean visibles. (Si no son visibles, demorará aproximadamente cinco minutos en finalizar).

2.

En la carpeta PlantillasdeRH, cree un nuevo archivo Documento de texto enriquecido denominadoSolicituddeVacaciones.

3.

En la carpeta ArchivosdeDirectiva, cree un nuevo archivo Documento de texto enriquecido denominadoOtrasDirectivas.

4.

Tarea 4: Crear destinos de carpeta adicionales para la carpeta PlantillasdeRH y luego configurar la replicación de carpetas

En NYC-DC1, en la consola Administración de DFS, agregue un destino de carpeta usando las siguientesopciones:

1.

Ruta de acceso a destino de carpeta: \\NYC-SVR1\PlantillasdeRH

Crear recurso compartido: Sí

Ruta de acceso local de la carpeta compartida: C:\ PlantillasdeRH


Grupo de replicación: Sí

Nombre del grupo de replicación: woodgrovebank.com\corpdocs\PlantillasdeRH

Nombre de carpeta replicada: PlantillasdeRH

Miembro principal: NYC-DC1

Topología: Malla completa

Programación de replicación: predeterminada

En el árbol de consola, expanda el nodo Replicación y luego haga clic en woodgrovebank.com\corpdocs\PlantillasdeRH.

2.

En el panel de detalles, en la ficha Pertenencias, compruebe que NYC-DC1 y NYC-SVR1 estén enumerados yhabilitados.

3.

Tarea 5: Crear destinos de carpeta adicionales para la carpeta ArchivosdeDirectiva y luego configurar la replicación de carpetas

En NYC-DC1, en la consola Administración de DFS, agregue un destino de carpeta usando las siguientesopciones:

1.

Ruta de acceso a destino de carpeta: \\NYC-DC1\ArchivosdeDirectiva

Crear recurso compartido: Sí

Ruta de acceso local de la carpeta compartida: C:\ArchivosdeDirectiva


Grupo de replicación: Sí

Nombre del grupo de replicación: woodgrovebank.com\corpdocs\ArchivosdeDirectiva

Nombre de carpeta replicada: ArchivosdeDirectiva

Miembro principal: NYC-SVR1

Topología: Malla completa

Programación de replicación: predeterminada

En el árbol de consola, expanda el nodo Replicación y luego haga clic en woodgrovebank.com\corpdocs\ArchivosdeDirectiva.

2.

En el panel de detalles, en la ficha Pertenencias, compruebe que NYC-DC1 y NYC-SVR1 estén enumerados yhabilitados.

3.

Ejercicio 4: Visualización de informes de diagnóstico para las carpetasreplicadas

Ejercicio 4: Visualización de informes de diagnóstico para las carpetas replicadas

En este ejercicio, generará un informe de diagnóstico para ver el estado de replicación de carpetas.


Crear un informe de diagnóstico para woodgrovebank.com\corpdocs\plantillasderh.1.


Tarea 1: Crear un informe de diagnóstico para woodgrovebank.com\corpdocs\PlantillasdeRH

En NYC-DC1, cree un informe de diagnóstico para woodgrovebank.com\corpdocs\plantillasderh en base alas siguientes opciones:

1.

Tipo de informe o prueba de diagnóstico: Informe de mantenimiento

Ruta de acceso y nombre: predeterminado

Miembros para incluir: NYC-DC1 y NYC-SVR1

Opciones: Archivos pendientes habilitado; Número de archivos replicados habilitado

Lea el informe y observe los errores o las advertencias. Una vez que haya finalizado, cierre la ventana MicrosoftInternet Explorer®.

2.

Cree un informe de diagnóstico para el grupo de replicación ArchivosdeDirectiva. Lea el informe y observelos errores o las advertencias. Una vez que haya finalizado, cierre la ventana Internet Explorer. Tenga en cuentaque pueden informarse errores si la replicación no ha comenzado o finalizado aún.

3.



En el cuadro Cerrar, seleccione Apagar la máquina y descartar los cambios y luego haga clic en Aceptar.2.





¿Cómo puede usarse DFS en la implementación de Servicios de archivo?1.

¿Qué tipo de tecnología de compresión se usa para DFS en Windows Server 2008?2.

¿Cuáles son los tres escenarios principales usados para DFS?3.

¿Cuál es la diferencia entre un espacio de nombres DFS basado en dominio y un espacio de nombres DFSindependiente?

4.

¿Cuál es el método de orden predeterminado para las referencias de clientes a destinos de carpeta?5.

¿Qué hace la configuración de Miembro principal cuando se configura la replicación?6.

¿Qué carpeta se usa para almacenar en la memoria caché archivos y carpetas en los que se realizan cambiosconflictivos en dos o más miembros?

7.

Puertos de red usados por DFS

La siguiente tabla describe los puertos de red que usa DFS:

Nombre del servicio Equipos relevantes UDP TCP

Servicio de nombres NetBIOS Controladores de dominio, servidores raíz que no sean controladoresde dominio, servidores que actúen como destinos de carpeta,equipos cliente que actúen como destinos de carpeta

137 137

Servicio de datagramas deNetBIOS

Controladores de dominio, servidores raíz que no sean controladoresde dominio, servidores que actúen como destinos de carpeta,equipos cliente que actúen como destinos de carpeta

138

Servicio de sesión de NetBIOS Controladores de dominio, servidores raíz que no sean controladoresde dominio, servidores que actúen como destinos de carpeta,equipos cliente que actúen como destinos de carpeta

139

Nombre del servicio Equipos relevantes UDP TCP

Servidor LDAP Controladores de dominio 389 389

Asignador de extremos dellamadas a procedimientoremoto (RPC)

Controladores de dominio

135

Bloque de mensajes delservidor (SMB)

Controladores de dominio, servidores raíz que no sean controladoresde dominio, servidores que actúen como destinos de carpeta,equipos cliente que actúen como destinos de carpeta

445 445

Herramientas

La siguiente tabla enumera las herramientas que pueden usarse para configurar y administrar DFS:


Dfsutil Realizar operaciones avanzadas enespacios de nombres DFS.

En un servidor de espacio de nombres, escribaDfsutil en un símbolo del sistema.

Dfscmd.exe Generar secuencia de comandos paratareas DFS básicas, tales como configurarraíces y destinos DFS.

En un servidor de espacio de nombres, escribaDfscmd en un símbolo del sistema.

Administraciónde DFS

Realizar tareas relacionadas con espaciosde nombres y replicación DFS.

Haga clic en Inicio, luego elija Herramientasadministrativas y finalmente haga clic enAdministración de DFS.

Módulo 12: Configuración y administración de Tecnologías dealmacenamiento

Módulo 12

Configuración y administración de Tecnologías de almacenamiento

El almacenamiento de archivos es importante al administrar entornos de Microsoft® Windows Server®.Existendesafíos significativos al intentar analizar, planear e implementar soluciones de almacenamiento. El sistema operativoWindows Server® 2008 incluye varias herramientas para ayudar a configurar y administrar tecnologías dealmacenamiento. Este módulo le ayudará a comprender los desafíos comunes de administración de capacidad yalmacenamiento y a aprender acerca de las tecnologías de almacenamiento que pueden configurarse y administrarsepara abordar problemas de almacenamiento de archivos. Este módulo también describe cómo analizar tendencias deuso y cómo implementar soluciones para cumplir con los requisitos de usuario, cumpliendo al mismo tiempo con losestándares reglamentarios de la directiva de la compañía y del sector.

Lección 1: Descripción general de la administración de almacenamiento de Windows Server 2008Lección 2: Administración de almacenamiento usando Administrador de recursos del servidor de archivosLección 3: Configuración de Administración de cuotasLección 4: Implementación de Filtrado de archivosLección 5: Administración de Informes de almacenamientoLaboratorio: Configuración y administración de Tecnologías de almacenamiento

Lección 1: Descripción general de la administración de almacenamiento deWindows Server 2008

Lección 1:

Descripción general de la administración de almacenamiento deWindows Server 2008

La administración de almacenamiento del sistema operativo Windows Server 2008 y Administrador de recursos delservidor de archivos son tecnologías de almacenamiento que pueden configurarse y administrarse para abordardesafíos comunes de administración de capacidad y almacenamiento en el entorno de empresa.

Luego de completar la lección, tendrá un conocimiento sólido acerca de cuáles son estos desafíos y podrá describircómo usar Administrador de recursos del servidor de archivos y la administración de almacenamiento del sistemaoperativo Windows Server 2008 para solucionar estos problemas.

Desafíos comunes de la administración de capacidad

Desafíos comunes de la administración de capacidad

Puntos clave

La administración de capacidad es el proceso de planeación, análisis, medición y optimización de los métodos pararesponder al aumento de las demandas de almacenamiento de datos de la organización. A medida que aumenta lanecesidad de almacenamiento y acceso, también aumenta la necesidad de administración de capacidad. Realizar unseguimiento de cuánta capacidad de almacenamiento queda disponible, cuánto espacio de almacenamiento senecesita para una expansión futura y cómo se usa el almacenamiento del entorno le permite cumplir con los requisitosde capacidad de almacenamiento de su organización.

La administración de capacidad es también un intento de controlar el uso indebido del almacenamiento corporativo.Muchos usuarios tienden a almacenar grandes archivos multimedia personales, como MP3 o fotografías digitales, asícomo también otro tipo de datos, tales como protectores de pantalla y juegos.

Desafíos comunes de la administración de almacenamiento

Desafíos comunes de la administración de almacenamiento

Puntos clave

Luego de la administración de capacidad, el siguiente desafío es administrar los tipos de archivo que estánalmacenados. Muchas organizaciones almacenan entre 60 y 100 por ciento de sus datos de trabajo, incluyendo losmensajes de correo electrónico, documentos de Office y bases de datos de aplicaciones de línea de negocio.Determinada información es crítica para el funcionamiento de la empresa, mientras que otra no lo es tanto. Confrecuencia, la información crítica debe mantenerse en un estado que le permita estar siempre disponible. Es posibleque algunos datos también tengan requisitos específicos de retención debido a los estándares reglamentarios o delsector.

Los archivos y programas no aprobados también crean problemas de administración de almacenamiento. Muchosusuarios tienden a almacenar archivos y programas no relacionados con trabajo que pueden consumir elalmacenamiento. La administración de almacenamiento intenta controlar el uso indebido del espacio corporativo.

Pregunta: ¿Cuáles son algunos de los desafíos de almacenamiento en su organización?

Pregunta: Considere las directivas de retención internas. ¿Se implementan estas directivas debido a requisitosinternos o externos?

Pregunta: ¿La organización tiene requisitos de almacenamiento en aumento continuo?

Resolución de desafíos de administración de capacidad y almacenamiento

Resolución de desafíos de administración de capacidad y almacenamiento

Puntos clave

Las empresas en la era digital están ligadas a la información, que debe almacenarse. Como profesional de tecnologíade la información (TI), cumplir con los requisitos de almacenamiento de su organización presenta desafíos constantes.Para resolver estos desafíos deberá:

Analizar cómo se usa el almacenamiento

Definir directivas de administración de recursos de almacenamiento

Adquirir herramientas para implementar las directivas

¿Qué es Administrador de recursos del servidor de archivos?

¿Qué es Administrador de recursos del servidor de archivos?

Puntos clave

FSRM es un conjunto completo de herramientas que permite a los administradores resolver los siguientes desafíosclave de administración del servidor de archivos:

Administración de capacidad. Supervisa los patrones y niveles de uso.

Administración de directivas. Restringe los archivos que se almacenan en el servidor.

Administración de cuotas. Limita cuántos datos deben almacenarse en el servidor.

Informes. Brinda informes de uso de capacidad de almacenamiento para cumplir con los requisitosreglamentarios que otorgan a los administradores, los grupos de seguridad y el personal administrativo lacapacidad de realizar funciones de supervisión y auditoría.

Lección 2: Administración de almacenamiento usando Administrador derecursos del servidor de archivos

Lección 2:

Administración de almacenamiento usando Administrador de recursosdel servidor de archivos

Se usa FSRM para configurar la administración de cuotas, implementar el filtrado de archivos y generar informes dealmacenamiento. Esta lección brinda información acerca de cómo administrar el almacenamiento usando FSRM.

Funciones de FSRM

Funciones de FSRM

Puntos clave

Administrador de recursos del sistema de archivos brinda varias características para llevar a cabo tareas deadministración de almacenamiento. La siguiente tabla describe las funciones de FSRM:

Función Descripción

Crear cuotas para limitar elespacio permitido para unvolumen o carpeta

Permite establecer la cantidad máxima de espacio asignada a unusuario. También permite notificar al administrador si se excede lacuota.

Generar cuotas automáticamente Permite especificar que las cuotas se generen dinámicamente cuandose crean subcarpetas. Esto permite administrar el volumen dealmacenamiento sin tener que aplicar cuotas cada vez que se modificauna estructura de directorio.

Crear filtros de archivosHabilita el filtrado de archivos basado en extensiones de archivo. Lascategorías comunes de archivo pueden agruparse para crear gruposde archivos.

Supervisar los intentos deguardar archivos no autorizados

Habilita a los administradores para que se los notifique cuando losusuarios intenten guardar un tipo de archivo no aprobado.

Definir plantillas de cuota y defiltrado de archivos Permite personalizar e implementar una directiva de almacenamiento

detallada de la compañía.

Generar informes dealmacenamiento programados o apetición

Permite crear informes a intervalos regulares para revisión o crearinformes a petición, lo cual permite generar un informe rápidamentepara su uso inmediato.


Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso paraAdministrador de recursos del servidor de archivos en Windows Server 2008)

Demostración: Instalación del servicio de función FSRM

Demostración: Instalación del servicio de función FSRM

Componentes de la consola FSRM

Componentes de la consola FSRM

Puntos clave

La consola FSRM permite visualizar todos los recursos locales de almacenamiento desde una única consola y crear yaplicar directivas que controlan estos recursos. Las tres herramientas incluidas en la consola FSRM son:

Nodo Administración de cuotas

Nodo Administración de filtrado de archivos

Nodo Administración de informes de almacenamiento



Opciones de configuración de FSRM

Opciones de configuración de FSRM

Puntos clave

Al instalar FSRM, se configurará la consola FSRM automáticamente, que se encuentra disponible en la carpetaHerramientas administrativas y en la consola Administrador de servidores. Al abrir FSRM, se visualizarán tres nodos:Administración de cuotas, Administración de filtrado de archivos y Administración de informes de almacenamiento.

El nodo Administración de cuotas permite:

Crear, administrar y obtener información acerca de cuotas, que establecen un límite de espacio en un volumeno carpeta.

Crear y administrar plantillas de cuota para simplificar la administración de cuotas.

Crear y administrar cuotas automáticas.

El nodo Administración de filtrado de archivos permite:

Crear, administrar y obtener información acerca de filtros de archivos, que bloquean tipos de archivosseleccionados de un volumen o carpeta.

Crear excepciones al filtrado de archivos para invalidar determinadas reglas de filtrado de archivos.

Crear y administrar plantillas de filtro de archivos para simplificar la administración de filtrado de archivos.

Crear y administrar grupos de archivos.

Se usa el nodo Administración de informes de almacenamiento para configurar y programar distintos tipos de informesde almacenamiento y crear informes a petición.



Demostración: Configuración de opciones de FSRM

Demostración: Configuración de opciones de FSRM

Lección 3: Configuración de Administración de cuotas

Lección 3:

Configuración de Administración de cuotas

Se usa Administración de cuotas para crear cuotas que limiten el espacio permitido para un volumen o carpeta y paragenerar notificaciones cuando los límites de cuota se alcanzan o exceden. FSRM brinda plantillas de cuota que sepueden aplicar fácilmente a nuevos volúmenes o carpetas y que pueden usarse en toda la organización. Además, sepueden aplicar plantillas de cuota de manera automática a todas las carpetas existentes en un volumen o carpeta, asícomo también a cualquier subcarpeta nueva que cree en el futuro.

¿Qué es Administración de cuotas?

¿Qué es Administración de cuotas?

Puntos clave

En Administrador de recursos del servidor de archivos, se pueden crear cuotas que limiten el espacio permitido paraun volumen o carpeta y luego generar notificaciones cuando los límites de cuota se alcanzan o exceden. Al crear unacuota para un volumen o carpeta, se limitará el espacio en disco asignado. El límite de cuota se aplica a todo elsubárbol de carpetas.



Cuotas de FSRM frente a Cuotas de disco NTFS

Cuotas de FSRM frente a Cuotas de disco NTFS

Puntos clave

Los sistemas operativos Microsoft Windows® 2000 Server, Windows Server® 2003 y Windows Server 2008 soncompatibles con las cuotas de disco, que pueden usarse para rastrear y controlar el uso de disco por usuario y/o porvolumen.

La siguiente tabla describe las ventajas de usar las herramientas de administración de cuotas de FSRM encomparación con las cuotas de disco NTFS:

Características de cuota Cuotas de FSRM Cuotas de disco NTFS

Seguimiento de cuotas Por carpeta o por volumen Por usuario/por volumen

Cálculo de uso de disco Espacio de disco real Tamaño de archivo lógico

Mecanismos de notificaciónCorreo electrónico, informes personalizados,ejecución de comandos, registros de eventos

Sólo registros de eventos



¿Qué son las Plantillas de cuota?

¿Qué son las Plantillas de cuota?

Puntos clave

Las plantillas de cuota simplifican las tareas asociadas con la administración de cuotas. Si las cuotas se basan en unaplantilla de cuota y luego se decide cambiar la configuración de cuota, es posible simplemente actualizar la plantilla decuota y luego elegir actualizar automáticamente todas las cuotas que estén basadas en esta plantilla. Por ejemplo, sepodría elegir otorgar a cada usuario espacio adicional en el servidor de almacenamiento. Al actualizar la plantilla decuota, se actualizarán automáticamente todas las cuotas basadas en esta plantilla.



Creación y modificación de una cuota

Creación y modificación de una cuota

Puntos clave

Su puede usar el nodo Administración de cuotas de FSRM para crear y modificar cuotas. Al crear una cuota para unvolumen o carpeta, se limitará el espacio en disco asignado a ese volumen o carpeta. El nodo Administración decuotas de FSRM incluye todas las opciones necesarias para trabajar con cuotas.



Supervisión de uso de cuotas

Supervisión de uso de cuotas

Puntos clave

Luego de configurar y aplicar cuotas a los recursos compartidos de archivos o volúmenes, es importante comprendercómo supervisar el uso de disco para cumplir de manera eficaz con los requisitos de almacenamiento continuo en suorganización.

Además de la información incluida en las notificaciones, se puede supervisar el uso de cuota al:

Visualizar la información de cuota.

Generar un informe de uso de cuotas.

Crear cuotas de advertencia.

Nota: Las cuotas reducen el rendimiento de entrada/salida (E/S) por segundo del subsistema de almacenamiento poruna pequeña cantidad (10 por ciento o menor). Los servidores que aplican cuotas a más de 10.000 carpetas puedenexperimentar una sobrecarga de rendimiento mayor.



Demostración: Cómo crear y administrar cuotas

Demostración: Cómo crear y administrar cuotas

Lección 4: Implementación de Filtrado de archivos

Lección 4:

Implementación de Filtrado de archivos

La directiva de seguridad podría prohibir que determinados tipos de archivos se coloquen en servidores de lacompañía y quizá desee que se lo notifique cuando un tipo de archivo determinado se guarde en un servidor dearchivos. Esta lección explica los conceptos relacionados con el filtrado de archivos que puede usarse para administrarlos tipos de archivos que los usuarios pueden guardar en servidores de archivos corporativos.

¿Qué es el Filtrado de archivos?

¿Qué es el Filtrado de archivos?

Puntos clave

Muchas organizaciones enfrentan problemas con usuarios de red que almacenan datos no autorizados o personalesen servidores de archivos corporativos. Esto no sólo implica un uso indebido del valioso espacio de almacenamiento,sino que también aumenta la duración del proceso de copia de seguridad, podría ocasionar problemas decumplimiento de seguridad e incluso violar la privacidad dentro de la compañía.

También se puede implementar un proceso de filtrado para notificarlo por correo electrónico cuando se almacena untipo de archivo no autorizado en una carpeta compartida. El mensaje de correo electrónico puede incluir información talcomo el nombre del usuario que almacenó el archivo y su ubicación exacta de manera tal que puedan tomarse lospasos de precaución correspondientes.



¿Qué son los grupos de archivos?

¿Qué son los grupos de archivos?

Puntos clave

Antes de comenzar a trabajar con los filtros de archivos, debe comprender la función que cumplen los grupos dearchivos al determinar el proceso de filtrado de archivos. Un grupo de archivos se usa para definir un espacio denombres para un filtro de archivos, una excepción al filtro de archivos o un informe de almacenamiento.

Un grupo de archivos consiste en un conjunto de patrones de nombre de archivo, que se agrupan en dos grupos:Archivos para incluir y archivos para excluir:

Archivos para incluir. Estos archivos deben incluirse en el grupo.

Archivos para excluir. Estos archivos no deben incluirse en el grupo.



¿Qué es una Excepción al filtro de archivos?

¿Qué es una Excepción al filtro de archivos?

Puntos clave

En ocasiones será necesario permitir excepciones al filtrado de archivos. Por ejemplo, es posible que desee bloqueararchivos de vídeo de un servidor de archivos pero necesitará permitirle a su grupo de entrenamiento que guarde losarchivos de vídeo para el aprendizaje asistido por PC. Para permitir archivos bloqueados por otros filtros de archivos,cree una excepción al filtro de archivos.

Una excepción al filtro de archivos es un filtro de archivos que invalida cualquier filtrado de archivos que, de otramanera, se aplicaría a una carpeta y a todas sus subcarpetas en una ruta de excepción designada. En otras palabras,la excepción al filtro de archivos crea una excepción a cualquier regla derivada de una carpeta principal.


Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para Administradorde recursos del servidor de archivos en Windows Server 2008)

¿Qué es una Plantilla de filtro de archivos?

¿Qué es una Plantilla de filtro de archivos?

Puntos clave

Para simplificar la administración del filtro de archivos se recomienda basar los filtros de archivo en plantillas de filtrode archivos. Una plantilla de filtro de archivos define lo siguiente:

Grupos de archivos para bloquear.

Tipos de filtrado para realizar.

Notificaciones para generar.

Al crear filtros de archivos exclusivamente a partir de plantillas, podrá administrar los filtros de archivos de maneracentral actualizando las plantillas en lugar de los filtros de archivos individuales.



Demostración: Implementación de Filtrado de archivos

Demostración: Implementación de Filtrado de archivos

Lección 5: Administración de Informes de almacenamiento

Lección 5:

Administración de Informes de almacenamiento

Para asistir en la planeación de capacidad, debe poder configurar y generar informes extensos basados en númerosactuales de almacenamiento. En esta lección se describe cómo configurar, programar y generar informes dealmacenamiento usando FSRM.

¿Qué son los Informes de almacenamiento?

¿Qué son los Informes de almacenamiento?

Puntos clave

Los informes de almacenamiento brindan información acerca del uso de archivos en un servidor de archivos. Lacaracterística Administración de informes de almacenamiento FSRM permite generar informes de almacenamiento apetición y programar informes de almacenamiento periódicos que ayuden a identificar las tendencias en el uso dedisco. También se pueden crear informes para supervisar intentos de almacenar archivos no autorizados para todoslos usuarios o un grupo seleccionado de usuarios.

La siguiente tabla describe los tipos de informes de almacenamiento en FSRM:

Informe Description

Archivos grandesEnumera los archivos que superan el tamaño especificado. Use este informe paraidentificar archivos que consumen un espacio excesivo en el disco del servidor.

Archivos por propietario Enumera los archivos agrupados por propietario. Use este informe para analizar lospatrones de uso del servidor y para identificar usuarios que usan una gran cantidadde espacio en disco.

Archivos por grupo dearchivos

Enumera los archivos que pertenecen a grupos de archivos especificados. Useeste informe para identificar patrones de uso de grupos de archivos y paraidentificar grupos de archivos que ocupan una gran cantidad de espacio en disco.Esto le permitirá determinar qué filtros de archivos debe configurar en el servidor.

Archivos duplicados Enumera los archivos duplicados (archivos con el mismo nombre, tamaño y fecha deúltima modificación). Use este informe para identificar y recuperar el espacio endisco perdido debido a archivos duplicados.

Archivos no usadosrecientemente

Enumera archivos a los que no se tuvo acceso durante un número especificado dedías. Este informe puede ayudar a identificar los datos usados con poca frecuenciaque podrían almacenarse y quitarse del servidor.

Archivos no usadosrecientemente Enumera archivos a los que se tuvo acceso dentro de un número especificado de

días. Use este informe para identificar los datos usados con frecuencia que deberían

tener una alta disponibilidad.

Uso de cuotas Enumera las cuotas para las que el uso de cuotas supera un porcentajeespecificado. Use este informe para identificar cuotas con niveles de uso elevados,de manera tal que puedan llevarse a cabo las acciones correspondientes. Esteinforme incluye cuotas creadas sólo para volúmenes y carpetas en FSRM: No incluyecuotas aplicadas a volúmenes en sistemas de archivos NTFS.

Auditoría de filtrado dearchivos

Enumera las violaciones al filtrado de archivos que han ocurrido en el servidordurante un número determinado de días. Use este informe para identificar individuoso aplicaciones que violan la directiva de filtrado de archivos.



¿Qué es una tarea de informes?

¿Qué es una tarea de informes?

Puntos clave

Para generar un conjunto de informes de manera regular, se debe programar una tarea de informes. La tarea deinformes permite especificar lo siguiente:

Los volúmenes y carpetas sobre los que se informará.

Qué informes se generarán.

Qué parámetros se usarán.

Con qué frecuencia se generarán los informes.

Qué formatos de archivo se usarán al guardar informes.



Generación de informes a petición

Generación de informes a petición

Puntos clave

Durante las operaciones diarias, quizá desee generar informes a petición para analizar los aspectos del uso actual deldisco del servidor. Use la acción Generar informes ahora para generar uno o varios informes. Los datos actuales seagrupan antes de generar los informes.



Laboratorio: Configuración y administración de Tecnologías dealmacenamiento

Laboratorio: Configuración y administración de Tecnologías dealmacenamiento

Objetivos

Instalar el servicio de función FSRM

Configurar cuotas de almacenamiento

Configurar filtrado de archivos

Generar informes de almacenamiento usando FSRM


Máquinas virtuales: 6822A-NYC-DC1 y 6822A-NYC-SVR1



Escenario

Como especialista en tecnología de Servicios de infraestructura de Windows (WIS), se le ha solicitado que configureel almacenamiento en un servidor para cumplir con los estándares corporativos. Debe crear el almacenamiento conuna administración mínima a largo plazo usando filtrado de archivos y administración de cuotas.

Ejercicio 1: Instalación del servicio de función FSRM

Ejercicio 1: Instalación del servicio de función FSRM

En este ejercicio se instalará el servicio de función FSRM.


Iniciar las máquinas virtuales NYC-DC1 y NYC-SVR1.1.

Instalar la función del servidor FSRM en NYC-SVR1.2.

Tarea 1: Iniciar las máquinas virtuales NYC-DC1 y NYC-SVR1


1.




4.


Tarea 2: Instalar la función del servidor FSRM en NYC-SVR1

Usando Administrador del Servidor, instale el servicio de función Administrador de recursos del sistema dearchivos. El servicio de función esta ubicado debajo de la función Servicios de archivo.

Ejercicio 2: Configuración de cuotas de almacenamiento

Ejercicio 2: Configuración de cuotas de almacenamiento

En este ejercicio, deberá configurar una plantilla de cuota que otorgue a los usuarios un máximo de 100 MB de datosen sus carpetas de usuario. Cuando los usuarios excedan el 85 por ciento de la cuota o cuando intenten agregararchivos que superen los 100 MB, deberá registrarse un evento en Visor de eventos en el servidor.


Crear una plantilla de cuota.1.

Configurar una cuota basada en la plantilla de cuota.2.

Probar que la cuota funcione generando varios archivos grandes.3.

Tarea 1: Crear una plantilla de cuota

En la consola Administrador de recursos del servidor de archivos, use el nodo Plantillas de cuota paraconfigurar una plantilla que establezca un límite máximo de 100 MB en el tamaño máximo de carpeta.Asegúrese de que esta plantilla también notifique a Visor de eventos cuando la carpeta alcance el 85 por cientoy el 100 por ciento de capacidad.

Tarea 2: Configurar una cuota basada en la plantilla de cuota

Use la consola Administrador de recursos del servidor de archivos y el nodo Cuotas para crear una cuotaen la carpeta D:\ArchivosdeLaboratorio\Módulo12\Usuarios usando la plantilla de cuota creada en la Tarea1.

1.

Cree una carpeta adicional denominada Usuario4 en la carpeta D:\ArchivosdeLaboratorio\Módulo12\Usuarios y asegúrese de que la nueva carpeta aparezca en la lista de cuotas.

2.

Tarea 3: Probar que la cuota funcione generando varios archivos grandes

Abra el símbolo del sistema y use el comando fsutil file createnew file1.txt 89400000 para crear un archivoen la carpeta D:\ArchivosdeLaboratorio\Módulo12\Usuarios\Usuario1.

1.

Compruebe Visor de eventos en busca de una ID de evento 12325.2.

Pruebe que la cuota funcione intentando crear un archivo de 16.400.000 bytes y luego presione Entrar.3.

Habilite la compresión de carpetas NTFS para la carpeta D:\ArchivosdeLaboratorio\Módulo12\Usuarios.Compruebe para ver cuál es el efecto en la consola Cuota. Intente crear nuevamente un archivo de 16.400.000bytes.}

4.

Ejercicio 3: Configuración de Filtrado de archivos

Ejercicio 3: Configuración de Filtrado de archivos

En este ejercicio se configurará el filtrado de archivos para supervisar archivos ejecutables.


Crear un filtro de archivos.1.

Probar el filtro de archivos.2.

Tarea 1: Crear un filtro de archivos

En NYC-SVR1, en la consola Administrador de recursos del servidor de archivos, use el nodoAdministración del filtrado de archivos para crear un filtro de archivos que supervise archivos ejecutablesen la carpeta D:\ArchivosdeLaboratorio\Módulo12\Usuarios. Cuando se coloca un archivo ejecutable en lacarpeta, el filtro de archivos registrará un evento 8215 en Visor de eventos.

1.

Pruebe el filtro de archivos copiando ejemplo.bat de D:\ArchivosdeLaboratorio\Módulo12 a la carpetaD:\ArchivosdeLaboratorio\Módulo12\Usuarios\Usuario1. Compruebe que el filtro de archivos funcione enVisor de eventos.

2.

Tarea 2: Probar el filtro de archivos

Copie y pegue D:\ArchivosdeLaboratorio\Módulo12\ejemplo.bat en D:\ArchivosdeLaboratorio\Módulo12\Usuarios\usuario1.

1.

Abra Visor de eventos y compruebe el registro de aplicación para la ID de evento 8215.2.

Ejercicio 4: Generación de informes de almacenamiento

Ejercicio 4: Generación de informes de almacenamiento

En este ejercicio se generará un informe de almacenamiento a petición.


Generar un informe de almacenamiento a petición.1.


Tarea 1: Generar un informe de almacenamiento a petición

En la consola Administrador de recursos del servidor de archivos, use la opción Generar informe ahoraen el nodo Informes para generar un informe Eventos de auditoría de filtrado y Uso mínimo de cuota en lacarpeta D:\ArchivosdeLaboratorio\Módulo12\Usuarios.








¿Cuál es la diferencia entre una cuota máxima y una cuota de advertencia?1.

Cuando es necesario bloquear un conjunto común de tipos de archivo, ¿qué debe crearse para bloquearlos dela manera más eficaz?

2.

Si desea aplicar una cuota a todas las subcarpetas en una carpeta, incluyendo las carpetas que se crearán en elfuturo, ¿qué opción debe configurarse en la directiva de cuota?

3.

Herramientas

La siguiente tabla describe las herramientas que pueden usarse para configurar FSRM:

Herramienta Descripción

Dirquota.exe Se usa para crear y administrar cuotas y plantillas de cuota.

FileScrn.exe Se usa para crear y administrar filtros de archivos,excepciones al filtrado de archivos y grupos de archivos.

StorRept.exe Se usa para configurar parámetros de informe y generarinformes de almacenamiento a petición. También sepueden crear tareas de informes y luego usarSchtasks.exe para programarlas.

Fsutil Se usa para configurar cuotas NTFS y crear archivos paraprobar el comportamiento de la cuota.

Módulo 13: Configuración de la disponibilidad de recursos y contenido dered

Módulo 13

Configuración de la disponibilidad de recursos y contenido de red

En este módulo se explica cómo configurar recursos de red y disponibilidad de contenido. Además, se describe lanueva infraestructura de copia de seguridad del sistema operativo Windows Server® 2008 y se explica detalladamentecómo configurar métodos de copias de seguridad y de recuperación. En este módulo también se desarrolla cómohabilitar un volumen de instantáneas, que permite tener acceso a versiones anteriores de carpetas y archivos en unared. Por último, este módulo explica cómo usar el clúster de conmutación por error y el Equilibrio de carga de red(NLB) para brindar mayor disponibilidad de datos y escalabilidad de carga de trabajo.

Lección 1: Copia de seguridad de datosLección 2: Configuración de instantáneasLección 3: Disponibilidad de servidor y de servicioLaboratorio: Configuración de disponibilidad de recursos de red

Lección 1: Copia de seguridad de datos

Lección 1:

Copia de seguridad de datos

Copias de seguridad de Windows Server es una característica de Windows Server 2008 que ofrece una solución decopias de seguridad y recuperación básica para el servidor en el que está instalada. Esta versión de Copias deseguridad de Windows Server reemplaza la característica Copias de seguridad disponible en las versiones anterioresdel sistema operativo Windows.

Descripción general de Copias de seguridad de Windows Server

Descripción general de Copias de seguridad de Windows Server

Puntos clave

Copias de seguridad es una característica opcional de Windows Server 2008 que ayuda a hacer copias de seguridad yrecuperar el sistema operativo y a restaurar archivos y carpetas almacenados en el servidor de manera confiable.Copias de seguridad consta de un complemento Microsoft Management Console (MMC) y herramientas de línea decomandos.

Importante: El complemento MMC no se encuentra disponible en la edición del sistema operativo Windows Server®2008 Standard ni en todas las instalaciones principales. Para administrar copias de seguridad en un equipo conWindows Server 2008 Standard, se debe usar el complemento en otro equipo para administrar las copias deseguridad de manera remota o usar las herramientas de línea de comandos del equipo local.

Nuevas características de Copias de seguridad de Windows Server

Nuevas características de Copias de seguridad de Windows Server

Puntos clave

La característica Copias de seguridad incluye las siguientes mejoras:

Tecnología de copias de seguridad más rápidas

Restauración simplificada

Recuperación simplificada del sistema operativo

Capacidad de recuperar aplicaciones

Programación mejorada

Eliminación fuera del sitio de copias de seguridad para protección ante desastres

Administración remota

Administración automática de uso del disco

Amplia compatibilidad con la línea de comandos

Compatibilidad con medios de DVD

También se puede usar la herramienta Ntbackup.exw para montar cintas de versiones de copias de seguricadanteriores en los sistemas operativos Windows® 2000 Server y Windows Server® 2003. No obstante, no puedeusarse para crear nuevas copias de seguridad en Windows Server 2008.

Pregunta: ¿Por qué una compañía podría querer separar las funciones Copias de seguridad y Restauración?


Novedades en las operaciones de copia de seguridad y recuperación de AD DS


¿Quién puede hacer copias de seguridad de datos?

¿Quién puede hacer copias de seguridad de datos?

Puntos clave

De manera predeterminada, los miembros del grupo Administradores u Operadores de copia de seguridad puedenobtener acceso a la herramienta Copias de seguridad. Es posible eliminar este derecho a otros grupos o personas.

Nota: Limite la cantidad de usuarios que pertenecen a los grupos Administradores u Operadores de copia deseguridad en el servidor. Estos miembros del grupo pueden usar Copias de seguridad.



¿Qué son los datos de estado del sistema?

¿Qué son los datos de estado del sistema?

Puntos clave

Windows Server 2008 no hace copias de seguridad ni recupera datos de estado del sistema de la misma manera quelos servidores con Windows Server 2003 o Windows 2000 Server. En Windows Server 2008 se deben hacer copiasde seguridad de volúmenes críticos; no sólo de datos de estado del sistema.

En Windows Server 2008, los componentes del sistema que conforman los datos de estado del sistema dependen delas funciones del servidor instaladas en el equipo y de los volúmenes que hospedan los archivos críticos que usantanto el sistema operativo como las funciones instaladas.



Optimización del rendimiento de copias de seguridad

Optimización del rendimiento de copias de seguridad

Puntos clave

Es posible optimizar el rendimiento de las copias de seguridad eligiendo una de las siguientes configuracionesdisponibles en la opción Establecer configuración de rendimiento en el panel Acciones de Copias de seguridadde Windows Server:

Hacer siempre una copia de seguridad completa. Esta opción disminuye la velocidad de la copia de seguridadpero no influye en el rendimiento total.

Hacer siempre una copia de seguridad incremental. Esta opción aumenta la velocidad de la copia de seguridadpero podría incidir en el rendimiento de escritura ya que se dejan las instantáneas.

Personalizada Esta opción permite configurar todos los volúmenes de manera independiente para que realicencopias de seguridad completas o incrementales.



Determinación de la hora de la copia de seguridad

Determinación de la hora de la copia de seguridad

Puntos clave

El Asistente de programación de copia de seguridad en el panel Acciones de Copias de seguridad de WindowsServer puede usarse para crear una programación de copias de seguridad y especificar opciones.

Cuando se ha creado una programación de copias de seguridad, éstas se llevan a cabo automáticamente todos losdías. Al crear una programación de copias de seguridad, es posible:

Hacer copias de seguridad de todo el servidor o sólo de volúmenes específicos.

Hacer copias de seguridad diarias o con mayor frecuencia.

Pregunta: ¿Hay datos en su organización para los que podría necesitar una programación de copias de seguridadpersonalizada? Una programación que haga copias de seguridad de datos varias veces al día, por ejemplo.


Windows Server 2008 Backup and Recovery Step-by-Step Guide (Guía paso a paso de Copias de seguridad yrecuperación de Windows Server

¿Cómo se restauran los datos?

¿Cómo se restauran los datos?

Puntos clave

La restauración de datos se realiza mediante la herramienta Copias de seguridad de Windows Server. Estaherramienta no está instalada de manera predeterminada. Debe instalarse usando el Asistente para configuracióninicial o la herramienta Administrador de servidores.

Después de hacer las copias de seguridad de los datos correctamente, es posible usar la opción Recuperar en elpanel Acciones de la herramienta Copias de seguridad de Windows Server para recuperar volúmenes, carpetas yarchivos en el servidor local o en otro servidor al que se conecta de manera remota.

Pregunta: ¿En qué casos consideraría la restauración de datos a una ubicación distinta a la original?



Demostración: Instalación y configuración de Copias de seguridad deWindows Server

Demostración: Instalación y configuración de Copias de seguridad de Windows Server

Lección 2: Configuración de instantáneas

Lección 2:

Configuración de instantáneas

En Windows Server 2008, al igual que en Windows Server 2003, es posible habilitar instantáneas conforme a unvolumen a fin de que se supervisen las modificaciones realizadas en los recursos compartidos de la red, ofreciendoasí al usuario la oportunidad de recuperar archivos y carpetas.

¿Qué son las instantáneas?

¿Qué son las instantáneas?

Puntos clave

La característica Versiones anteriores en Windows Server 2008 permite que los usuarios tengan acceso a versionesanteriores de archivos y carpetas en la red. Esto resulta útil ya que los usuarios pueden:

Recuperar archivos eliminados accidentalmente.

Recuperar un archivo tras una sobrescritura accidental.

Comparar versiones de un archivo mientras se trabaja.

Pregunta: Si debiera implementar instantáneas de carpetas compartidas en su entorno de red, ¿observaría undescenso en las llamadas de usuarios que necesitan restauración a partir de copias de seguridad?


Tema de Ayuda de Windows Server 2008: ¿Cómo se usa Versiones anteriores?

Programación de instantáneas

Programación de instantáneas

Puntos clave

Si se usan los valores predeterminados para habilitar instantáneas de carpetas compartidas en un volumen, seprogramarán las tareas para crear instantáneas a las 7:00 a.m. y al mediodía. El área de almacenamientopredeterminada será en el mismo volumen y el tamaño se limitará al 10 por ciento del espacio disponible.

Si decide hacer instantáneas con mayor frecuencia, debe comprobar que el espacio asignado para almacenamientosea suficiente y que no se hagan instantáneas con una frecuencia que perjudique el rendimiento del servidor.

Pregunta: ¿Cómo consideraría modificar la programación predeterminada para su entorno? ¿Posee datos en losrecursos compartidos que podrían necesitar una programación más exigente?


Tema de Ayuda de Windows Server 2008: Habilitar y configurar instantáneas de carpetas compartidas

Demostración: Configuración de instantáneas

Demostración: Configuración de instantáneas

Administración de instantáneas desde una perspectiva de cliente

Administración de instantáneas desde una perspectiva de cliente

Puntos clave

Para versiones anteriores del sistema operativo Windows, debe estar instalado el software de cliente Versionesanteriores para que el usuario pueda usar las instantáneas. Como el sistema operativo Windows Vista™ posee elcliente de Versiones anteriores integrado al sistema operativo, la configuración del cliente no es necesaria.

Pregunta: ¿Cuál sería el problema si un usuario llama al Departamento de soporte técnico e informa que la fichaVersiones anteriores no está en las propiedades de carpeta/archivo compartido?


Tema de Ayuda de Windows Server 2008: ¿Cómo se usa Versiones anteriores?

Restauración de instantáneas

Restauración de instantáneas

Puntos clave

Una vez que se han habilitado las instantáneas de carpetas compartidas y se comienzan a crear instantáneas, sepuede usar la característica Versiones anteriores para recuperar versiones anteriores de archivos y carpetas orecuperar archivos y carpetas cuyos nombres se han modificado o que se han eliminado.


Tema de Ayuda de Windows Server 2008: ¿Cómo restaurar una versión anterior de un archivo o carpeta?

Demostración: Restauración de instantáneas

Demostración: Restauración de instantáneas

Lección 3: Disponibilidad de servidor y de servicio

Lección 3:

Disponibilidad de servidor y de servicio

NLB es una tecnología de clúster que usa un algoritmo distribuido para equilibrar la carga de tráfico de red entre varioshosts. Esto mejora la escalabilidad y disponibilidad de servicios basados en IP críticos, como la web, redes privadasvirtuales (VPN), multimedia de transmisión por secuencias, Terminal Services, Proxy, etc. También ofrece altadisponibilidad al detectar errores de host y redistribuir automáticamente el tráfico a hosts operativos.

Descripción general de Administrador de equilibrio de carga de red

Descripción general de Administrador de equilibrio de carga de red

Puntos clave

Cuando se instala Equilibrio de carga de red como un controlador de red en cada uno de los servidores miembro ohosts de un clúster, el clúster presenta una dirección IP virtual para las solicitudes de cliente. Las solicitudes de clientese difunden a todos los hosts en el clúster, pero sólo el host al que se asignó la solicitud de ese cliente acepta ycontrola la solicitud. Todos los hosts restantes rechazan la solicitud. Según la configuración de cada uno de los hostsen el clúster, el algoritmo de asignación estadística, que se encuentra en todos los hosts del clúster, asigna lassolicitudes de cliente a determinados hosts para que las procesen.

Usar NLB con Servicios de Terminal Server ofrece los beneficios de mayor disponibilidad, escalabilidad y rendimientode equilibrio de carga, como así también la posibilidad de distribuir gran cantidad de clientes de Servicios de TerminalServer en un grupo de servidores de terminal.

Pregunta: ¿Posee algún servidor que hospede información sin estado que podría beneficiarse a partir de Equilibriode carga de red en su entorno?


How Network Load Balancing Technology Works (Cómo funciona la tecnología de Equilibrio de carga de red)


Tema de Ayuda de Windows Server 2008: Equilibrio de carga de red

Demostración: Instalación de Equilibrio de carga de red

Demostración: Instalación de Equilibrio de carga de red

Creación de un clúster de Equilibrio de carga de red

Creación de un clúster de Equilibrio de carga de red

Puntos clave

Para configurar el clúster de Equilibrio de carga de red, es necesario configurar tres tipos de parámetros:

Parámetros de host, que son específicos para cada host en un clúster NLB.

Parámetros de clúster, que se aplican a un clúster NLB en su totalidad.

Reglas de puerto, que controlan el funcionamiento del clúster.

Debe ser miembro del grupo Administradores en el host que se está configurando o se le debe haber delegado laautoridad apropiada para usar Administrador de equilibrio de carga de red. Si está configurando un clúster o hostejecutando Administrador de equilibrio de carga de red desde un equipo que no forma parte del clúster, no esnecesario ser miembro del grupo Administradores en ese equipo.


Tema de Ayuda de Equilibrio de carga de red de Windows Server 2008: Crear un nuevo clúster de Equilibrio decarga de red

Demostración: Configuración de un clúster de Equilibrio de carga de red

Demostración: Configuración de un clúster de Equilibrio de carga de red

¿Qué es un Clúster de conmutación por error?

¿Qué es un Clúster de conmutación por error?

Puntos clave

Un clúster de conmutación por error es un grupo de equipos independientes que trabajan en conjunto para aumentar ladisponibilidad de aplicaciones y servicios. Los servidores agrupados, denominados nodos, se conectan mediantecables físicos y software. Si se produce un error en uno de los nodos del clúster, otro nodo comenzará a brindar elservicio (proceso denominado conmutación por error). Por lo tanto, los usuarios experimentan ínfimas interrupcionesen el servicio.

Nota: La característica Clúster de conmutación por error no se encuentra disponible en las ediciones Windows® WebServer 2008 ni Windows Server 2008 Standard.

Los clústeres de conmutación por error incluyen las nuevas funciones que se presentan a continuación:

La nueva característica de validación

Compatibilidad con discos de tabla de particiones (GPT) de identificador global único (GUID) enalmacenamiento de clúster

Entre las mejoras realizadas a la funcionalidad de clúster de conmutación por error existente, cabe mencionar:

Instalación de clúster mejorada

Interfaces de administración simplificadas

Mejoras de estabilidad y seguridad, que pueden generar mayor disponibilidad

Mejoras en el modo en que el clúster funciona con almacenamiento

Mejoras en las interfaces para trabajar con carpetas compartidas

Mejoras en la red y la seguridad



Requisitos de hardware para un clúster de conmutación por error

Requisitos de hardware para un clúster de conmutación por error

Puntos clave

Debe revisarse cuidadosamente el hardware en el que se planea implementar un clúster de conmutación por error paragarantizar que sea compatible con Windows Server 2008. Esto es particularmente necesario si actualmente estáusando ese hardware para un clúster de servidores con Windows Server 2003. El hardware compatible con un clústerde servidores con Windows Server 2003 no será necesariamente compatible con un clúster de conmutación por errorcon Windows Server 2008.

Nota: No es posible realizar una actualización gradual desde un clúster de servidores con Windows Server 2003 a unclúster de conmutación por error con Windows Server 2008. No obstante, después de crear un clúster deconmutación por error con Windows Server 2008, es posible usar un asistente para migrar a éste determinadosvalores de recursos de un clúster de servidores con Windows Server 2003.

Se requiere el siguiente hardware para un clúster de conmutación por error:

Servidores

Adaptadores y cable de red (para comunicación de red)

Controladores de dispositivos o adaptadores apropiados para el almacenamiento

Almacenamiento

Pregunta: Si actualmente posee un clúster de servidores en una versión anterior de servidor, ¿es posible hacer unaactualización gradual a Clúster de conmutación por error de Windows Server 2008?



Tema de Ayuda de Administración del clúster de conmutación por error: Comprender los requisitos de losclústeres de conmutación por error

Laboratorio: Configuración de disponibilidad de recursos de red

Laboratorio: Configuración de disponibilidad de recursos de red

Objetivos

Configurar Copias de seguridad y restauración de Windows Server

Configurar instantáneas

Configurar y probar Equilibrio de carga de red

Escenario

Se le solicitó al especialista en tecnología de Servicios de infraestructura de Windows (WIS) que configure larestauración de recuperación ante desastres y la disponibilidad para todos los servicios críticos.

Ejercicio 1: Configuración de Copias de seguridad y restauración deWindows Server

Ejercicio 1: Configuración de Copias de seguridad y restauración de Windows Server

En este ejercicio configurará Copias de seguridad de Windows Server.


Iniciar las máquinas virtuales y luego iniciar sesión.1.


Instalar la característica Copias de seguridad de Windows Server.3.

Crear un recurso compartido en 6822A-NYC-SVR.4.

Hacer copias de seguridad manuales de los archivos a una ubicación de red.5.

Restaurar archivos desde una ubicación de red.6.

Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión


1.






Tarea 2: Abrir la herramienta Administrador de servidores en 6822A-NYC-DC1

Si es necesario, en 6822A-NYC-DC1, abra Administrador del servidor desde el menú Herramientasadministrativas.

Tarea 3: Instalar la característica Copias de seguridad de Windows Server

En NYC-DC1, abra Adminitrador del servidor.1.

En Administrador del servidor, instale la característica Copia de seguridad de Windows Server.2.

En la página Resultados de la instalación, compruebe que la instalación de Copia de seguridad de WindowsServer se haya realizado correctamente y luego haga clic en Cerrar.

3.

Cierre Administrador del servidor.4.

Tarea 4: Crear un recurso compartido en 6822A-NYC-SVR1

En NYC-SVR1, abra la herramienta administrativa Administración de equipos.1.

En el panel de la lista Administración de equipos, expanda Carpetas compartidas y luego haga clic con elbotón secundario en Recursos compartidos.

2.

En el menú contextual que aparece, haga clic en Recurso compartido nuevo.3.

Usando Asistente para nuevo recurso compartido, cree un nuevo recurso compartido en la unidad de disco C:\denominado CopiadeSeguridaddeRed.

4.

En la página Permisos de carpeta compartida, seleccione Los administradores tienen acceso total;ningún otro usuario tiene acceso y luego haga clic en Finalizar.

5.

Tarea 5: Hacer copias de seguridad manuales de los archivos a una ubicación de red

En NYC-DC1, abra la herramienta administrativa Copia de seguridad de Windows Server desde el menúInicio, ubicada en Herramientas administrativas.

1.

En el panel Acciones de la ventana Copia de seguridad de Windows Server (Local), seleccione Hacercopia de seguridad una vez.

2.

En la página Opciones de copia de seguridad de Asistente para Hacer copia de seguridad una vez,haga clic en Siguiente.

3.

En la página Especificar tipo de copia de seguridad, seleccione Personalizar y luego haga clic enSiguiente.

4.

En la página Seleccionar elementos de copia de seguridad, desactive las casillas Habilitar larecuperación del sistema, seleccione TodoslosArchivos (D:) y luego haga clic en Siguiente.

5.

En la página Especificar tipo de destino, seleccione Carpeta compartida remota y luego haga clic enSiguiente.

6.

En la página Especificar carpeta remota, escriba la ruta de acceso \\NYC-SVR1\CopiadeSeguridaddeRed yluego haga clic en Siguiente.

7.

En la página Especificar tipos de copia de seguridad de VSS, seleccione Copia de seguridad completade VSS y luego haga clic en Siguiente.

8.

En la página Confirmación, haga clic en Copia de seguridad.9.

En la página Progreso de copia de seguridad, compruebe que el estado sea Copia de seguridadcompleta y luego haga clic en Cerrar.

10.

Tarea 6: Restaurar archivos desde una ubicación de red

Haga clic en Inicio, luego en Equipo y después haga doble clic en TodoslosArchivos (D:).1.

En el panel de detalles de la ventana TodoslosArchivos (D:), elimine el directorio TodoslosArchivos y luegocierre la ventana TodoslosArchivos (D:).

2.

En la página Copia de seguridad de Windows, en Acciones, seleccione Recuperar.3.

En la página Asistente para recuperación, Introducción, seleccione Otro servidor y luego haga clic enSiguiente.

4.

En la página Especificar tipo de ubicación, seleccione Carpeta compartida remota y luego haga clic enSiguiente.

5.

En la página Especificar carpeta remota, escriba la ruta de acceso \\NYC-SVR1\CopiadeSeguridaddeRed yluego haga clic en Siguiente.

6.

En la página Seleccione la fecha de la copia de seguridad, haga clic en la fecha de hoy (en negrita) y luegohaga clic en Siguiente.

7.

En la página Seleccionar tipo de recuperación, acepte la opción predeterminada Archivos y carpetas yluego haga clic en Siguiente.

8.

En la página Seleccionar elementos a recuperar, expanda NYC-DC1, TodoslosArchivos (D:), seleccioneArchivosdeLaboratorio y luego haga clic en Siguiente.

9.

En la página Especificar opciones de recuperación, acepte los valores predeterminados y luego haga clicen Siguiente.

10.

En la página Confirmación, haga clic en Recuperar.11.

En la ventana Progreso de recuperación, compruebe que el estado sea Restauración de archivoscompletada y luego haga clic en Cerrar.

12.

Cierre la herramienta Copia de seguridad de Windows Server.13.

Ejercicio 2: Configuración de instantáneas

Ejercicio 2: Configuración de instantáneas

En este ejercicio, se configurarán y probarán instantáneas.


Habilitar instantáneas en un volumen.1.

Cambiar un archivo en una ubicación compartida.2.

Crear una instantánea manualmente.3.

Visualizar las versiones anteriores del archivo y restaurar una versión anterior.4.

Tarea 1: Habilitar instantáneas en un volumen

En NYC-DC1, abra la consola Administración de equipos.1.

En el árbol de consola de la ventana Administración de equipos, haga clic con el botón secundario enCarpetas compartidas, elija Todas las tareas y luego haga clic en Configurar instantáneas.

2.

En el cuadro de diálogo Instantáneas, seleccione el volumen D:\ y luego haga clic en Habilitar.3.

En el cuadro de diálogo Habilitar instantáneas que aparece, haga clic en Sí y luego en Aceptar.4.

No cierre la consola Administración del equipo.5.

Tarea 2: Cambiar un archivo en una ubicación compartida

En NYC-CL1, haga clic en Inicio y en el cuadro de texto de búsqueda escriba \\NYC-DC1\Shadow.1.

Se abrirá una ventana con el contenido compartido de \\NYC-DC1\Shadow visible.

Abra el archivo ShadowTest.txt.2.

Agregue el siguiente texto al final del archivo de texto:3.

Este es mi texto que agrego al archivo.

Guarde y cierre el archivo ShadowTest.txt.4.

Tarea 3: Crear una instantánea manualmente

En NYC-DC1, en la consola Administración del equipo, haga clic con el botón secundario en Carpetascompartidas, elija Todas las tareas y luego haga clic en Configurar instantáneas.

1.

En el cuadro de diálogo Instantáneas, seleccione el volumen D:\ y luego haga clic en Crear ahora.2.

Debería haber dos entradas enumeradas para las instantáneas del volumen seleccionado.

Cierre la consola Administración del equipo.1.

Tarea 4: Visualizar las versiones anteriores del archivo y restaurar una versión anterior

En NYC-CL1, haga clic en Inicio, escriba \\NYC-DC1\Shadow en el cuadro de texto Buscar y luego presioneEntrar.

1.

Haga clic con el botón secundario en ShadowTest.txt y seleccione Propiedades del menú contextual.2.

En el cuadro de diálogo Propiedades de ShadowTest, haga clic en la ficha Versiones anteriores.3.

En Versiones de archivo, observará la última instantánea que creó. Haga clic en Abrir para ver el contenidodel archivo. El archivo que está visualizando debería corresponder a la versión anterior del archivo que modificócon texto.

4.

Cierre el archivo y seleccione Restaurar en la ventana Versiones anteriores para restaurar el archivo a suestado anterior, antes de que se le realizaran cambios.

5.

En el cuadro de diálogo Versiones anteriores, haga clic en Aceptar.6.

Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de ShadowTest.7.

Ejercicio 3: Configuración de Equilibrio de carga de red

Ejercicio 3: Configuración de Equilibrio de carga de red

En este ejercicio configurará Equilibrio de carga de red.


Instalar la característica Equilibrio de carga de red en NYC-DC1 y NYC-SVR1.1.

Configurar Equilibrio de carga de red en NYC-DC1 y NYC-SVR1.2.

Instalar y compartir una impresora basada en IP en NYC-DC1 y en NYC-SVR1.3.

Usar NYC-CL1 para conectar a la dirección IP virtual de NLB.4.


Tarea 1: Instalar la característica Equilibrio de carga de red en NYC-DC1 y NYC-SVR1

En NYC-DC1, abra Administrador del servidor.1.

En el panel de la lista Administrador del servidor, haga clic con el botón secundario en Características einstale Equilibrio de carga de red.

2.

En la página Resultados, compruebe que la instalación se haya realizado correctamente y luego cierre elAsistente para agregar características.

3.

Repita los pasos de 1 a 3 para NYC-SVR1.4.

Cierre Administrador del servidor en NYC-DC1 y en NYC-SVR1.5.

Tarea 2: Configurar Equilibrio de carga de red en NYC-DC1 y NYC-SVR1

En NYC-DC1, abra Administrador de Equilibrio de carga de red.1.

En la consola Administrador de Equilibrio de carga de red, haga clic con el botón secundario en Clústeresde Equilibrio de carga de red en el panel de la lista y luego haga clic en Nuevo clúster.

2.

En el cuadro de diálogo Nuevo clúster: Conectar, escriba el nombre de host NYC-DC1 y luego haga clic enConectar. Debería ver que la sección Nombre de la interfaz se carga con los datos de Conexión de árealocal y Dirección IP de la interfaz. Haga clic en Siguiente.

3.

En el cuadro de diálogo Nuevo clúster: Parámetros de Host, compruebe que el estado predeterminado seaIniciado y luego haga clic en Siguiente.

4.

En el cuadro de diálogo Nuevo clúster: Clúster de direcciones IP, haga clic en Agregar y especifique la IPde clúster IPv4 en 10.10.0.100 con una máscara de subred de 255.255.0.0 y luego haga clic en Aceptar.

5.

En el cuadro de diálogo Nuevo clúster: Clúster de parámetros, escriba el Nombre completo de Internet:imprimirsvr.woodgrovebank.com. Especifique el modo de operación de clúster Multidifusión y luego hagaclic en Siguiente.

6.

En el cuadro de diálogo Nuevo clúster: Reglas de puerto, haga clic en Finalizar.7.

En el panel de la lista de la consola Administrador de Equilibrio de carga de red, haga clic con el botónsecundario en imprimirSVR.woodgroovebank.com y luego haga clic en Agregar Host al clúster desde elmenú contextual.

8.

En el cuadro de diálogo Agregar Host al clúster: Conectar especifique el nombre de host NYC-SVR1 yluego haga clic en Conectar.

9.

En Interfaces disponibles para configurar el clúster, haga clic en Conexión de área local y luego hagaclic en Siguiente.

10.

En el cuadro de diálogo Agregar Host al clúster: Parámetros del Host, acepte los valores predeterminadosy luego haga clic en Siguiente.

11.

En el cuadro de diálogo Agregar Host al clúster: Reglas de puerto, acepte los valores predeterminados yluego haga clic en Finalizar.

12.

Cierre la ventana de la consola Administrador de Equilibrio de carga de red.13.

Tarea 3: Instalar y compartir una impresora basada en IP en NYC-DC1 y en NYC-SVR1

En NYC-DC1, haga clic en Inicio, luego en Panel de control y, por último, haga doble clic en el applet deImpresoras.

1.

En el panel de detalles de la consola Impresoras, haga doble clic en Agregar impresoras.2.

Agregue una impresora local con un Puerto estándar TCP/IP con la dirección 10.10.0.80. Desactive la casillaConsultar la impresora y seleccionar automáticamente el controlador de impresora que se debe usary luego haga clic en Siguiente.

3.

Espere a que finalice la detección del puerto TCP/IP y luego en el cuadro de diálogo Se requiere informaciónadicional sobre puertos, haga clic en Siguiente.

4.

En el cuadro de diálogo Instalar el controlador de la impresora, especifique que el fabricante es HP y elmodelo de la impresora es LaserJet 6MP y luego haga clic en Siguiente.

5.

En el cuadro de diálogo Escriba un nombre de impresora, acepte los valores predeterminados y luego hagaclic en Siguiente.

6.

En el cuadro de diálogo Impresoras compartidas, acepte los valores predeterminados y luego haga clic enSiguiente.

7.

En el cuadro de diálogo HP LaserJet 6MP se agregó con éxito, haga clic en Finalizar.8.

Cierre el applet Impresoras del panel de control.9.

Repita los pasos de 1 a 9 en NYC-SVR1.10.

Tarea 4: Usar NYC-CL1 para conectar a la dirección IP virtual de NLB

En NYC-CL1, haga clic en Inicio, escriba \\10.10.0.100 en el cuadro de texto Iniciar búsqueda y luegopresione Entrar.

1.

Observe los recursos de clúster NLB disponibles.2.








¿Cuáles son los beneficios de usar tecnologías VSS y a nivel de bloque en comparación con los tipostradicionales de copias de seguridad basadas en archivos?

1.

¿Cuál es el riesgo de elegir restaurar una carpeta en instantáneas?2.

¿Cuál es la diferencia entre los clústeres de conmutación por error y el Equilibrio de carga de red?3.


Tenga en cuenta los siguientes procedimientos recomendados para NLB:

Asegurar correctamente los hosts NLB y las aplicaciones de carga equilibrada:

Equilibrio de carga de red no ofrece seguridad adicional para los hosts de carga equilibrada y no puede usarsecomo un firewall. Es importante asegurar correctamente las aplicaciones y hosts de carga equilibrada. Por logeneral, es posible encontrar los procedimientos de seguridad en la documentación de cada una de lasaplicaciones. Si está usando NLB para equilibrar la carga de un clúster de servidores IIS, por ejemplo, deberíanrealizar los procedimientos y las instrucciones para asegurar IIS.

Debe proteger la subred NLB de la intrusión de equipos y dispositivos no autorizados para evitar la interferenciade paquetes de latidos no autorizados.

Mientras no se solicite, use dos o más adaptadores de red en cada host de clúster, de ser posible:

Si el clúster está funcionando en el modo de unidifusión predeterminado, NLB no puede distinguir adaptadoresúnicos en cada host. En consecuencia, no es posible ningún tipo de comunicación entre hosts de clúster amenos que cada host de clúster posea dos adaptadores de red como mínimo.

Es posible configurar Equilibrio de carga de red en más de un adaptador de red. Sin embargo, si usa unsegundo adaptador de red como se indica en este procedimiento, asegúrese de instalar Equilibrio de carga dered en un solo adaptador (denominado adaptador de clúster).

Use sólo el protocolo de red TCP/IP en el adaptador de clúster:

No agregue ningún otro protocolo (IPX, por ejemplo) a este adaptador.

Habilite el registro de Equilibrio de carga de red:

Es posible configurar Administrador de equilibrio de carga de red (NLBM) para que registre todos los eventos

NLBM. Este registro puede ser muy útil para solucionar problemas o resolver errores que surjan al usar NLBM.Habilite el registro de NLBM haciendo clic en Configuración de registro en el menú Opciones del Administradorde equilibrio de carga de red. Seleccione la casilla Habilitar registro y luego especifique un nombre y unaubicación para el archivo de registro.

Como el archivo de registro del Administrador de equilibrio de carga de red posiblemente contiene informaciónreservada acerca del clúster y los hosts de Equilibrio de carga de red, debe estar correctamente asegurado. Demanera predeterminada, el archivo de registro hereda la configuración de seguridad del directorio en el que se creó;por lo tanto, tal vez deba modificar los permisos explícitos en el archivo para restringir el acceso de lectura y escritura aaquellas personas que no necesitan control total del archivo. Tenga en cuenta que la persona que usa NLBM necesitacontrol total sobre el archivo de registro.

Compruebe que la aplicación de carga equilibrada se haya iniciado en todos los hosts de clúster en que estáinstalada la aplicación:

NLB no inicia ni detiene aplicaciones.


Prácticas recomendadas para el Equilibrio de carga de red

Módulo 14: Configuración del cumplimiento de seguridad del servidor

Módulo 14

Configuración del cumplimiento de seguridad del servidor

Este módulo explica cómo asegurar servidores y mantener el cumplimiento de actualizaciones. También explicadetalladamente cómo asegurar una función del servidor dentro de una infraestructura de Windows, cómo asegurarservidores usando plantillas de seguridad y cómo configurar una directiva de auditoría y administrar las actualizacionesusando Windows Server Update Services (WSUS).

Lección 1: Seguridad de una infraestructura de WindowsLección 2: Uso de plantillas de seguridad para asegurar servidoresLección 3: Configuración de Directiva de auditoríaLección 4: Descripción general de Windows Server Update ServicesLección 5: Administración de WSUSLaboratorio: Configuración del cumplimiento de seguridad del servidor

Lección 1: Seguridad de una infraestructura de Windows

Leccón 1:

Seguridad de una infraestructura de Windows

Esta lección explica cómo asegurar una función del servidor dentro de una infraestructura de Windows. A medida quelas organizaciones amplían la disponibilidad de datos, aplicaciones y sistemas de red, garantizar la seguridad de unainfraestructura de red se vuelve un desafío aún mayor. Las tecnologías de seguridad del sistema operativo WindowsServer® 2008 permiten a las organizaciones brindar una mejor protección a sus recursos de red y sus activos enentornos cada vez más complejos y escenarios de negocios.

Desafíos de seguridad de una infraestructura de Windows

Desafíos de seguridad de una infraestructura de Windows

Puntos clave

Cada función del servidor requiere una configuración de seguridad específica, dependiendo del escenario deimplementación y de los requisitos de infraestructura. La documentación compatible con cada función del servidorcontiene información de seguridad y otras observaciones de seguridad. Además, algunas funciones del servidor estánmás enfocadas en la seguridad, tales como Servicios de administración de derechos de Active Directory® (AD RMS) oServicios de certificados de Active Directory (AD CS). Para obtener una lista completa de las funciones del servidordisponibles, ejecute el Asistente para Administrador de servidores, en el menú Herramientas administrativas.


Windows Server 2008: Ayuda y Soporte de Windows: Descripción general de la seguridad

Aplicación de defensa específica para aumentar la seguridad

Aplicación de defensa específica para aumentar la seguridad

Puntos clave

Luego de descubrir y documentar los riesgos que enfrenta su organización, el siguiente paso es examinar y organizarlas defensas que usará para brindar una solución de seguridad. El modelo de seguridad de defensa específica es unpunto de partida excelente. Este modelo identifica siete niveles de defensas de seguridad que garantizan quecualquier intento de poner en riesgo la seguridad de una organización se enfrentará a un conjunto sólido de defensas.Cada conjunto es capaz de desviar ataques en muchos niveles diferentes.

Pregunta: ¿Cuál es la parte más importante del modelo de seguridad de defensa específica?


Antivirus Defense-in-Depth Guide (Guía para defensa específica de antivirus)

Procedimientos principales para la seguridad del servidor

Procedimientos principales para la seguridad del servidor

Puntos clave

Sin seguridad física no se tiene seguridad. Los procedimientos principales para la seguridad del servidor sonrelativamente fáciles de adoptar y se los debe integrar a la configuración de seguridad estándar de todos losservidores. Algunos de los procedimientos principales para la seguridad del servidor deben incluir:

Aplicar el último Service Pack y todas las actualizaciones críticas y de seguridad disponibles.

Usar el Asistente para configuración de seguridad para examinar e implementar la seguridad del servidor enbase a las funciones del servidor.

Usar Directiva de grupo y plantillas de seguridad para proteger los servidores y reducir la superficie de ataque.

Restringir el ámbito de acceso para las cuentas de servicio, lo que reduce el daño en caso de que la cuentaesté en riesgo.

Usar opciones de seguridad para restringir quiénes pueden iniciar sesión local en las consolas del servidor.

Restringir el acceso físico y el acceso a la red de los servidores.

Pregunta: ¿Cuenta su compañía con una “guía” detallada de todas las instalaciones nuevas que ocurren en elhardware nuevo? ¿Qué puede hacer para reducir la superficie de ataque en su infraestructura?


Security and Protection (Seguridad y protección)

¿Qué es el Asistente para configuración de seguridad?

¿Qué es el Asistente para configuración de seguridad?

Puntos clave

El Asistente para configuración de seguridad (SCW) sirve de guía a través del proceso de creación, edición, aplicacióno reversión de una directiva de seguridad. Una directiva de seguridad creada con SCW es un archivo .xml que, cuandose aplica, configura servicios, seguridad de red, valores de registro específicos y directivas de auditoría.

SCW es una herramienta basada en funciones que puede usarse para crear una directiva que habilite servicios, reglasde firewall y configuración que un servidor seleccionado requiere para realizar funciones específicas. Por ejemplo, unservidor podría ser un servidor de archivos, un servidor de impresión o un controlador de dominio.

Pregunta: ¿Su organización usa el Asistente para configuración de seguridad para la configuración de seguridadbasada en funciones? ¿Cuál es la diferencia entre una plantilla de seguridad y la directiva definida por SCW?


Tema de Ayuda de Windows Server 2008: Asistente para configuración de seguridad: Ayuda

¿Qué es Firewall de Windows?

¿Qué es Firewall de Windows?

Puntos clave

Firewall de Windows con seguridad avanzada combina un firewall host e IPsec. A diferencia de un firewall perimetral,Firewall de Windows con seguridad avanzada se ejecuta en cada equipo con Windows Server 2008 y brindaprotección local contra los ataques a la red que puedan atravesar su red perimetral u originarse dentro de suorganización. También brinda seguridad a conexiones de equipo a equipo, lo que permite solicitar autenticación yprotección de datos para las comunicaciones.

Pregunta: ¿Cuál es la diferencia entre Firewall de Windows y un firewall perimetral?


Tema de Ayuda Firewall de Windows con seguridad avanzada: Firewall de Windows con seguridad avanzada

Demostración: Uso del Asistente para configuración de seguridad paraasegurar las funciones del servidor

Demostración: Uso del Asistente para configuración de seguridad para asegurar las funciones delservidor

Lección 2: Uso de plantillas de seguridad para asegurar servidores

Lección 2:

Uso de plantillas de seguridad para asegurar servidores

Las plantillas de seguridad han existido desde Windows NT 4.0 Service Pack 4. Estas plantillas de seguridad se hanvuelto un método popular para aplicar la configuración de seguridad tanto a servidores como a entornos de escritorio.Una razón del éxito de las plantillas de seguridad es que brindan una amplia gama de valores de seguridad y sonfáciles de implementar en diversos entornos. Una única plantilla de seguridad puede establecer un ámbito amplio deconfiguraciones de seguridad en muchos servidores y equipos de escritorio.

¿Qué es una Directiva de seguridad?

¿Qué es una Directiva de seguridad?

Puntos clave

Una directiva de seguridad en un entorno de Windows es una colección de configuraciones de seguridad que serelacionan y se aplican a diferentes áreas del sistema.

Las directivas locales pueden resultar útiles en entornos que no sean de Servicios de dominio de Active Directory (ADDS) porque se aplican a nivel del equipo local. Las directivas de dominio tienden a contar con más configuracionesdisponibles para establecer y se puede usar Directiva de grupo como medio para implementarlas.

Pregunta: ¿Su organización usa plantillas de seguridad a nivel del equipo local o GPO basado en dominio conplantillas importadas?



¿Qué son las Plantillas de seguridad?

¿Qué son las Plantillas de seguridad?

Puntos clave

Una plantilla de seguridad contiene cientos de configuraciones posibles que pueden controlar uno o múltiples equipos.Las plantillas de seguridad pueden controlar áreas tales como derechos del usuario, permisos y directivas decontraseña. Es posible usar Objetos de directiva de grupo (GPO) para implementar plantillas de seguridad de maneracentralizada. También se pueden personalizar plantillas de seguridad para que incluyan casi todas las configuracionesde seguridad en un equipo de destino.


Plantillas de seguridad predefinidas

Demostración: Configuración de las plantillas de seguridad

Demostración: Configuración de las plantillas de seguridad

¿Qué es la herramienta Configuración y análisis de seguridad?

¿Qué es la herramienta Configuración y análisis de seguridad?

Puntos clave

La herramienta Configuración y análisis de seguridad puede usarse para analizar y configurar la seguridad del sistemalocal.

El análisis periódico permite realizar un seguimiento y garantizar un nivel de seguridad adecuado para cada equipocomo parte de un programa de administración de riesgos de la empresa. Se pueden ajustar los niveles de seguridad y,además, se pueden detectar imperfecciones de seguridad que pueden ocurrir en el sistema a través del tiempo.

También se puede usar Configuración y análisis de seguridad para configurar la seguridad del sistema local.


Configuración y análisis de seguridad

Demostración: Análisis de la directiva de seguridad usando la herramientaConfiguración y análisis de seguridad

Demostración: Análisis de la directiva de seguridad usando la herramienta Configuración y análisisde seguridad

Lección 3: Configuración de Directiva de auditoría

Lección 3:

Configuración de Directiva de auditoría

Se puede configurar una directiva de auditoría que registre la actividad del usuario o del sistema en categorías deeventos especificadas. Además, se puede supervisar la actividad relacionada con la seguridad, como por ejemploquién tiene acceso a un objeto, si un usuario inicia o cierra sesión en un equipo o si ocurren cambios en laconfiguración de una directiva de auditoría.

Como procedimiento recomendado se debería crear un plan de auditoría antes de implementar Directiva de auditoría.

¿Qué es la auditoría?

¿Qué es la auditoría?

Puntos clave

La auditoría es el proceso que realiza un seguimiento de la actividad de los usuarios almacenando los eventosseleccionados en un registro de seguridad del servidor o de la estación de trabajo.

Mencione que los tipos de eventos más frecuentes para auditar son:

El acceso a objetos, como archivos y carpetas

La administración de cuentas de usuario y de grupo

El inicio y cierre de sesión en el sistema por parte de los usuarios

Pregunta: ¿Cuáles son algunas de las razones por las que se deberían auditar ciertas áreas de un sistema o recursocompartido determinado?


Introducción a la auditoría

¿Qué es una Directiva de auditoría?

¿Qué es una Directiva de auditoría?

Puntos clave

Una directiva de auditoría determina los eventos de seguridad que serán informados al administrador de red. Alimplementar una directiva de auditoría:

Especifique las categorías de eventos que desea auditar.

Establezca el tamaño y comportamiento del registro de seguridad.

Audite el acceso del servicio de directorio o el acceso a objetos determinando para qué tipo de objetos sedesea supervisar el acceso y qué tipo de acceso se desea supervisar. Por ejemplo, si desea auditar cualquierintento por parte de los usuarios de abrir un archivo determinado, puede establecer la configuración de ladirectiva de auditoría en la categoría de evento de acceso a objetos a fin de que se registren tanto los intentoscorrectos e incorrectos de leer un archivo.



Tipos de eventos para auditar

Tipos de eventos para auditar

Puntos clave

Antes de implementar una directiva de auditoría, debe determinar qué categorías de eventos desea auditar. Laconfiguración de auditoría que seleccione para las categorías de eventos definirá su directiva de auditoría. Laconfiguración de auditoría para las categorías de eventos no está definida de manera predeterminada en losservidores miembro y las estaciones de trabajo que se unen a un dominio. Los controladores de dominio activan laauditoría de manera predeterminada.

Se puede crear una directiva de auditoría que se ajuste a las necesidades de seguridad de su organización, definiendola configuración de auditoría para categorías de eventos específicas.

Pregunta: ¿Qué categorías de eventos audita su compañía actualmente? Si su compañía no está auditando, ¿quécategorías de eventos desearía que se auditen en su organización?



Demostración: Cómo configurar la auditoría

Demostración: Cómo configurar la auditoría

Lección 4: Descripción general de Windows Server Update Services

Lección 4:

Descripción general de Windows Server Update Services

Esta lección describe Windows Server Update Services (WSUS), que es una herramienta para administrar y distribuiractualizaciones de software que resuelve las vulnerabilidades de seguridad y otros problemas de estabilidad.

WSUS permite implementar las últimas actualizaciones de productos de Microsoft en equipos con el sistema operativoWindows.

¿Qué es Windows Server Update Services?

¿Qué es Windows Server Update Services?

Puntos clave

WSUS permite implementar las últimas actualizaciones de productos de Microsoft en equipos con los sistemasoperativos Microsoft Windows Server 2003, Windows Server® 2008, Windows Vista™, Microsoft Windows® XP conService Pack 2 y Windows 2000 con Service Pack 4. Usar WSUS le permite administrar la distribución deactualizaciones que lanza Microsoft Update a los equipos de su red.

WSUS 3.0 brinda mejoras en las siguientes áreas:

Facilidad de uso

Opciones de implementación mejoradas

Mejor compatibilidad con jerarquías de servidores complejas

Mejor rendimiento y optimización de ancho de banda

La capacidad de ampliar WSUS 3.0 usando interfaces de programación de aplicaciones (API) mejoradas.

Pregunta: ¿Qué sistemas operativos de Microsoft pueden usar los servicios WSUS?


Microsoft Windows Server Update Services 3.0 Overview (Descripción general de Windows Server UpdateServices 3.0)

New in Windows Server Update Services 3.0 (Novedades en Windows Server Update Services 3.0)

Proceso de Windows Server Update Services

Proceso de Windows Server Update Services

Puntos clave

Se recomienda un enfoque continuo de cuatro fases para el proceso de administración de actualizaciones: evaluar,identificar, evaluar y planear e implementar. Es esencial repetir el proceso de administración de actualizaciones demanera continua, ya que las actualizaciones nuevas que se encuentren disponibles pueden optimizar y proteger suentorno de producción.

Cada fase cuenta con diferentes objetivos y métodos para el uso de las características de WSUS a fin de garantizarque el proceso de administración de actualizaciones se lleve a cabo correctamente. Es importante observar quepueden emplearse muchas características en más de una fase.


Microsoft Windows Server Update Services 3.0 Overview (Descripción general de Windows Server UpdateServices 3.0)

Requisitos del servidor para WSUS

Requisitos del servidor para WSUS

Puntos clave

Los requisitos previos para los servidores WSUS incluyen:

Windows Server 2003 SP1 o versión posterior, o Windows Server 2008

Microsoft Internet Information Services (IIS) 6.0 o versión posterior

Windows Installer 3.1 o versión posterior

Microsoft .NET Framework 2.0

El número de equipos cliente que su organización esté actualizando es lo que controla los requisitos de hardware y desoftware de base de datos. Un servidor WSUS que usa el hardware recomendado admite 20.000 clientes comomáximo. Se debe formatear tanto la partición del sistema como la partición en la que se instala WSUS con el sistemade archivos NTFS.

Pregunta: ¿Cómo afectan las opciones de idioma para actualizaciones los requisitos del servidor para WSUS 3.0?


Deploying Microsoft Windows Server Update Services 3.0 (Implementación de Microsoft Windows ServerUpdate Services 3.0)

Configuración de Actualizaciones automáticas

Configuración de Actualizaciones automáticas

Puntos clave

Es posible usar Directiva de grupo o el Registro para configurar Actualizaciones automáticas. ConfigurarActualizaciones automáticas implica dirigir los equipos cliente al servidor WSUS, garantizar que el software deActualizaciones automáticas que usa sea actual y configurar cualquier otro valor del entorno.

La mejor manera de configurar Actualizaciones automáticas y las opciones del entorno WSUS dependerá de suentorno de red. En un entorno de Active Directory se usa Directiva de grupo. En un entorno que no es de ActiveDirectory, se puede usar Objeto de directiva de grupo local (GPO) o editar el Registro directamente.

Pregunta: ¿Cuándo usaría la configuración basada en registro para la configuración del cliente de Actualizacionesautomáticas, en lugar de usar Directiva de grupo?


Deploying Microsoft Windows Server Update Services 3.0 (Implementación de Microsoft Windows ServerUpdate Services 3.0)

Demostración: Instalación y configuración de WSUS

Demostración: Instalación y configuración de WSUS

Lección 5: Administración de WSUS

Lección 5:

Administración de WSUS

Esta lección explica cómo se puede administrar WSUS realizando tareas administrativas con la consola Administraciónde WSUS 3.0, o mediante la administración de grupos de equipos para destinar las actualizaciones a equiposespecíficos y la aprobación de la instalación de actualizaciones en todos los equipos en su red WSUS o paradiferentes grupos de equipos.



Puntos clave

La consola Administración de WSUS 3.0 ha pasado de ser una consola basada en web a un complemento para laMMC versión 3.0.

La consola Administración de WSUS 3.0 también permite:

Administrar WSUS de manera remota.

Configurar tareas posteriores a la instalación usando el asistente.

Generar múltiples informes con mayor precisión.

Realizar el mantenimiento del servidor con mayor facilidad.

Pregunta: ¿Cómo se administra la infraestructura WSUS de manera remota desde otro servidor o estación detrabajo?


Client Behavior with Update Deadlines (Comportamiento del cliente con fechas límite de actualización)

Administración de grupos de equipos

Administración de grupos de equipos

Puntos clave

Los grupos de equipos son una parte importante de las implementaciones de WSUS, incluso de una básica. Losgrupos de equipos permiten destinar actualizaciones a equipos específicos. Existen dos grupos de equipospredeterminados: Todos los equipos y Equipos sin asignar. De manera predeterminada, cuando un equipo clientecontacta inicialmente al servidor WSUS, éste último agrega dicho equipo cliente a cada uno de estos grupos.

Se pueden crear grupos de equipos personalizados. Una de las ventajas de crear grupos de equipos es que permitenprobar las actualizaciones antes de implementarlas ampliamente. Si la prueba resulta exitosa, se puede extender lasactualizaciones al grupo Todos los equipos. No existe un límite para el número de grupos personalizados que sepueden crear.

Pregunta: ¿Cuáles son algunas de las ventajas de usar grupos de equipos en WSUS para implementaractualizaciones?


Notas de la versión para Microsoft Windows Server Update Services 3.0

Aprobación de actualizaciones

Demostración: Administración de WSUS

Unidad

Laboratorio: Configuración del cumplimiento de seguridad del servidor

Laboratorio: Configuración del cumplimiento de seguridad del servidor

Objetivos

Configurar y analizar la seguridad usando el Asistente para configuración de seguridad (SCW).

Usar el Asistente para configuración y análisis de seguridad para analizar plantillas de seguridad.

Configurar Windows Server Update Services (WSUS).

Escenario

Al especialista en tecnología de Servicios de infraestructura de Windows se la ha asignado la tarea de configurar yadministrar el cumplimiento de la revisión de seguridad del servidor y del cliente. Se debe garantizar que los sistemascumplan con los estándares corporativos.

Ejercicio 1: Configuración y análisis de seguridad

Ejercicio 1: Configuración y análisis de seguridad

En este ejercicio, configurará y analizará la seguridad usando el Asistente para configuración de seguridad.


Iniciar las máquinas virtuales y luego iniciar sesión.1.

Abrir el Asistente para configuración de seguridad en 6822A-NYC-SVR1 y usarlo para configurar la seguridadpara una función del servidor determinada.

2.

Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión


1.






Tarea 2: Abrir el Asistente para configuración de seguridad en NYC-SVR1

En NYC-SVR1, abra Asistente para la configuración de seguridad en el menú Herramientas administrativas.1.

En la página Este es el Asistente para configuración de seguridad, haga clic en Siguiente.2.

En la página Acciones de configuración, en Seleccione la acción que desea realizar, asegúrese de queesté seleccionado Crear una nueva directiva de seguridad y luego haga clic en Siguiente.

3.

En la página Seleccionar servidor, compruebe que el servidor especificado en el cuadro de texto Servidorsea NYC-SVR1 y luego haga clic en Siguiente.

4.

En la página Procesando la base de datos de configuración de seguridad, espere que se complete elproceso y luego seleccione Ver base de datos de configuración.

5.

Cuando se abre Visor de Asistente para configuración de seguridad (SCW), puede aparecer un cuadro demensaje de Microsoft Internet Explorer® solicitando permiso para permitir un control Active X. En este cuadrode mensaje haga clic en Sí.

6.

Desplácese y lea la lista de Funciones del Servidor, Características del cliente, Opciones deAdministración y otras, Servicios y Firewall de Windows.

7.

Cierre Visor SCW y luego haga clic en Siguiente.8.

En las páginas Configuración del servicio basado en funciones, Seleccionar funciones del servidor,Seleccionar características del cliente, Seleccionar administración y otras opciones y Seleccionarservicios adicionales, acepte la configuración predeterminada y luego haga clic en Siguiente.

9.

En la página Tratamientos de servicios sin especificar, asegúrese de que esté seleccionado No cambiarel modo de inicio del servicio y luego haga clic en Siguiente.

10.

En la página Confirmar cambios de servicio, desplácese por la lista y observe qué servidores sedeshabilitarán y luego haga clic en Siguiente.

11.

En la página Seguridad de red, haga clic en Siguiente para comenzar a configurar la seguridad de red.12.

En la página Reglas de seguridad de red, desplácese por la lista de puertos que estará abierta y luego hagaclic en Siguiente.

13.

En las páginas Configuración del Registro y Directiva de auditoria, seleccione Omitir esta sección yluego haga clic en Siguiente.

14.

En la página Guardar directiva de seguridad, haga clic en Siguiente.15.

En la página Nombre de archivo de directiva de seguridad, especifique el nombreNuevoMiembroSVR.xml al final de ruta C:\Windows\Seguridad\msscw\Directivas mencionada y luegohaga clic en Siguiente.

16.

En la página Aplicar directiva de seguridad, seleccione Aplicar ahora y luego haga clic en Siguiente.17.

Aparece la página Aplicar directiva de seguridad y el asistente prepara y aplica la directiva.18.

Cuando aparezca Aplicación completada en la barra de estado haga clic en Siguiente.19.

En la página Finalización del Asistente ara configuración de seguridad, haga clic en Finalizar.20.

Ejercicio 2: Análisis de Plantillas de seguridad

Ejercicio 2: Análisis de Plantillas de seguridad

En este ejercicio analizará las plantillas de seguridad.


Crear una Microsoft Management Console (MMC) personalizada.1.

Analizar la configuración actual del equipo comparándola con la configuración de las plantillas seguras.2.

Configurar el equipo con la configuración de las plantillas seguras.3.

Tarea 1: Crear una Microsoft Management Console (MMC) personalizada

En NYC-SVR1, cree una MMC personalizada con los complementos Plantillas de seguridad yConfiguración y análisis de seguridad.

1.

Usando Consola1 MMC que se creó en el paso anterior, cree una plantilla con el nombre Segura.2.

Expanda Directiva segura, expanda Directivas locales y luego selecciones Opciones de seguridad.3.

Haga doble clic en Inicio de sesión interactivo: no mostrar el último nombre de usuario.4.

Seleccione la casilla Definir esta directiva de configuración en la plantilla, haga clic en Habilitado y luegoen Aceptar.

5.

Guarde la plantilla Segura.6.

Deje abierta Consola1 MMC para la siguiente tarea.7.

Tarea 2: Analizar la configuración actual comparándola con la configuración de las plantillas seguras

En el panel de la lista Consola1 MMC, haga clic con el botón secundario en Configuración y análisis deseguridad y luego haga clic en Abrir base de datos.

1.

En el cuadro de diálogo Abrir base de datos, escriba el nombre de archivo Seguro y luego haga clic en Abrir.2.

En el cuadro de diálogo Importar plantilla, seleccione plantilla Segura y luego haga clic en Abrir.3.

En el panel de la lista Consola1 MMC, haga clic con el botón secundario en Configuración y análisis deseguridad y luego haga clic en Analizar el equipo ahora.

4.

En el cuadro de diálogo Realizar análisis, haga clic en Aceptar para aceptar el nombre de registropredeterminado.

5.

Una vez finalizado el análisis, en el panel de lista, expanda Configuración y análisis de seguridad, expandaDirectivas locales y luego seleccione Opciones de seguridad.

6.

Desplácese hacia abajo hasta Inicio de sesión interactivo: no mostrar el último nombre de usuario ycompare el valor de la base de datos con la configuración del equipo. Debería ver una “x” roja en el elemento.Esto indica que los valores de la configuración del equipo y los de la configuración de la base de datos sondiferentes.

7.

Deje abierta Consola1 MMC para la siguiente tarea.8.

Tarea 3: Configurar el equipo con la configuración de las plantillas seguras

En el panel de la lista Consola1 MMC, haga clic con el botón secundario en Configuración y análisis deseguridad y, luego, entre las opciones disponibles, seleccione Configurar el equipo ahora.

1.

La plantilla se aplica en el equipo.

En el panel de la lista Consola1 MMC, haga clic con el botón secundario en Configuración y análisis deseguridad y luego seleccione Analizar el equipo ahora.

2.

En el cuadro de diálogo Realizar análisis, haga clic en Aceptar para aceptar el nombre de registropredeterminado.

3.

Una vez finalizado el análisis expanda Directivas locales y luego seleccione Opciones de seguridad.4.

Desplácese hacia abajo hasta Inicio de sesión interactivo: no mostrar el último nombre de usuario ycompruebe que aparezca la marca de verificación que indica que la configuración de la base de datos y delequipo es la misma.

5.

Cierre la ventana Consola1 MMC.6.

Ejercicio 3: Configuración de Windows Software Update Services

Ejercicio 3: Configuración de Windows Software Update Services

En este ejercicio configurará WSUS.


Usar la Consola de administración de directivas de grupo para crear y vincular un GPO al dominio a fin deconfigurar actualizaciones de cliente.

1.

Usar la herramienta de administración WSUS para configurar las propiedades de WSUS.2.

Crear un grupo de equipos y agregar NYC-CL1 al nuevo grupo.3.

Aprobar una actualización para clientes de Windows Vista.4.


Tarea 1: Usar la Consola de administración de directivas de grupo para crear y vincular un GPO al dominio para configuraractualizaciones de clientes

En NYC-DC1, abra Administración de directivas de grupo en el menú Herramientas administrativas.1.

En el panel de la lista, haga clic con el botón secundario en WoodGroveBank.com, haga clic en Crear unGPO en este dominio y vincularlo aquí y luego denomine WSUS al GPO.

2.

Haga clic con el botón secundario en el vínculo del GPO WSUS, en WoodGroveBank.com y luego haga clicen Editar.

3.

En la ventana Editor de Administración de directivas de grupo, expanda Configuración del equipo, luegoDirectivas, Plantillas administrativas y Componentes de Windows y finalmente haga clic en Actualizaciónde Windows.

4.

En el panel de detalles, haga doble clic en Configurar actualizaciones automáticas.5.

En el cuadro de diálogo Propiedades de Configurar actualizaciones automáticas, en la fichaConfiguraciones, seleccione Habilitada. En la lista desplegable Configurar actualizaciones automáticas,haga clic en 4 - Auto descargar y programe la instalación. Finalmente, haga clic en Valor siguiente.

6.

En la página Especificar las propiedades de ubicación de Microsoft update en la intranet, en la fichaConfiguraciones, seleccione Habilitada. En Establecer el servicio de actualización de la intranet paradetectar actualizaciones y en Establecer el servidor de estadísticas de intranet, escriba http://NYC-SVR1en los cuadros de texto y luego haga clic en Valor siguiente.

7.

En la página Frecuencia de detección de actualizaciones automáticas, seleccione Habilitada y luego hagaclic en Aceptar.

8.

Cierre Editor de Administración de directiva de grupo y luego la herramienta Administración de directivade grupo.

9.

En NYC-CL2, abra un símbolo del sistema.10.

En el símbolo del sistema, escriba gpupdate /force y luego presione Entrar.11.

En el símbolo del sistema, escriba wuauclt/detectnow y luego presione Entrar.12.

Cierre la ventana de comandos en NYC-CL2.13.

Tarea 2: Usar la herramienta de administración WSUS para configurar las propiedades de WSUS

En NYC-SVR1, abra Microsoft Windows Server Update Services 3.0 SP1 en el menú Herramientasadministrativas.

1.

En la ventana de la herramienta administrativa Update Services, en el panel de la lista de NYC-SVR1, haga clicen Opciones.

2.

Usando el Panel de detalles, visualice los valores de configuración disponibles en WSUS y haga clic enCancelar por cada elemento que se haya completado.

3.

Tarea 3: Crear un grupo de equipos y agregar NYC-CL2 al nuevo grupo

En el panel de la lista, expanda Equipos y luego seleccione Todos los equipos.1.

En el panel Acciones, haga clic en Agregar grupo de equipos y nombre al grupo HO Equipos.2.

Cambie la pertenencia del objeto de equipo nyc-cl2.woodgrovebank.com para que forme parte del grupo HOEquipos.

3.

Tarea 4: Aprobar una actualización para clientes de Vista

En la herramienta administrativa Update Services, en el panel de la lista expanda Actualizaciones y luego hagaclic en Actualizaciones críticas.

1.

En el panel de detalles, cambie los filtros Aprobación y Estado a Cualquiera y luego haga clic en Actualizar.Observe todas las actualizaciones disponibles.

2.

En el panel de detalles Actualizaciones críticas, haga clic con el botón secundario en Actualización paraWindows Vista (KB936357) y luego seleccione Aprobar en el menú contextual.

3.

En la ventana Aprobar actualizaciones que aparece, haga clic en la flecha junto a Todos los equipos,seleccione Aprobado para su instalación y luego haga clic en Aceptar.

4.

En la página Progreso de aprobación, haga clic en Cerrar una vez que haya finalizado el proceso.5.

Nota: Observe que aparece un mensaje que indica que la actualización ha sido aprobada pero que debe descargarsepara finalizar.

En la consola Update Services, haga clic en Informes.6.

Vea los diversos informes de WSUS disponibles y determine cuántas actualizaciones requiere NYC-CL2.7.








¿Qué clase de desafíos podría experimentar una empresa mediana que no serían un problema grave para unaempresa más grande?

1.

¿Cuál es la ventaja de usar la herramienta Configuración y análisis de seguridad para comparar la configuraciónde las plantillas con la configuración aplicada actualmente en el equipo?

2.

Si decide aplicar una directiva de auditoría, ¿cómo debe configurar las propiedades del registro de seguridaden Visor de eventos?

3.

¿Qué debe hacer un administrador antes de que se envíe una actualización a los clientes y servidores a travésde WSUS?

4.

¿Cuál es la razón del establecimiento de una fecha pasada como fecha límite para una instalación automática?5.


Los pasos básicos para asegurar un sistema operativo son los mismos para cualquier sistema operativo que use.Considere los siguientes procedimientos recomendados para asegurar un sistema operativo:

Instalar todas las revisiones del sistema operativo.

Comprobar la seguridad de cuenta de usuario.

Eliminar las aplicaciones y servicios de red innecesarios.

Instalar y configurar las aplicaciones y servicios de red necesarios.

Configurar el registro del sistema para que almacene los eventos importantes.

Mantener actualizadas las revisiones de las aplicaciones y del sistema operativo.

curso 6822a

Documents