Manual Servicios Basicos de Red - 10-Tareas

Servicios Bsicos de Red
Contenido
CONTENIDO ................................................................................................................................. 1
TAREA 1: INSTALAR Y CONFIGURAR EL SERVICIO WINS ....................................................... 5
Equipos y Materiales:............................................................................................................. 5
Orden de Ejecucin: .............................................................................................................. 5
Operacin 1: INSTALAR EL SERVICIO WINS. ...................................................................... 5
Operacin 2: CONFIGURAR EL SERVICIO WINS ................................................................. 6
FUNDAMENTO TERICO: ................................................................................................. 12
SERVICIO WINS ................................................................................................................. 12
NOMBRES NETBIOS Y HOSTNAMES: ............................................................................... 14
COMPONENTES DE WINS ................................................................................................. 16
RESOLUCIN DE NOMBRES EN WINS ............................................................................. 24
INTEGRACION DE WINS CON DNS ................................................................................... 37
TAREA 2: INSTALAR Y CONFIGURAR EL SERVICIO DNS ...................................................... 39
Equipos y Materiales:........................................................................................................... 39
Orden de Ejecucin: ............................................................................................................ 39
Operacin 1: Instalar el servicio DNS. .................................................................................. 39
Operacin 2: Configurar el servicio DNS. ............................................................................. 40
FUNDAMENTO TERICO: ................................................................................................. 51
DNS (DOMAIN NAME SYSTEM) ......................................................................................... 51
SERVIDORES SLO OBTENER......................................................................................... 65
ZONAS DNS ....................................................................................................................... 68
CONFIGURACIN DE LOS SUFIJOS ................................................................................. 96
COMPATIBILIDAD CON IP VS. 6.0: .................................................................................. 106
TAREA 3: INSTALAR Y CONFIGURAR EL SERVICIO DE DIRECTORIO ................................ 107
Equipos y Materiales:......................................................................................................... 107
Orden de Ejecucin: .......................................................................................................... 107
Operacin 1: Instalar el servicio de directorio ..................................................................... 107
Operacin 2: Configurar el servicio de directorio ................................................................ 111
FUNDAMENTO TERICO: ............................................................................................... 115
SERVICIO DE DIRECTORIO............................................................................................. 115
CARACTERISTICAS DE ACTIVE DIRECTORY ................................................................ 117
ORGANIZACIN DE ACTIVE DIRECTORY: ..................................................................... 117
HERRAMIENTAS DE AD................................................................................................... 127
SITIOS Y SERVICIOS DE AD............................................................................................ 127
ADMINISTRACION DE DIRECTIVAS EN AD .................................................................... 128
TAREA 4: INSTALAR Y CONFIGURAR EL SERVICIO DHCP .................................................. 131
Operacin 1: Instalar el servicio DHCP. ............................................................................. 131
Operacin 2: Configurar el servicio DHCP. ........................................................................ 133
PROTOCOLO DE CONFIGURACIN DINMICA DE HOST (DHCP) ................................ 137
USO DEL COMANDO IPCONFIG EN EL CLIENTE DHCP ................................................ 145
CONSOLA ADMINISTRATIVA DHCP ................................................................................ 148
TAREA 5: INSTALAR Y CONFIGURAR EL SERVICIO WEB .................................................... 171
Equipos y Materiales: ...................................................................................................... 171
Tcnico en Soporte y Mantenimiento de Equipos de Computacin

.

Operacin 1: Instalar el servicio WEB ................................................................................ 171
Operacin 2: Configura el servicio WEB............................................................................. 174
SERVICIOS DE INTERNET INFORMATION SERVER (IIS) 7.0 ......................................... 177
ADMINISTRACIN DE IIS ................................................................................................. 189
TAREA 6: INSTALAR Y CONFIGURAR EL SERVICIO DE CORREO ...................................... 191
Operacin 1: Instalar el servicio de CORREO .................................................................... 191
Operacin 2: Configura el servicio de CORREO. ............................................................... 198
CONCEPTOS GENERALES:............................................................................................. 202
ARQUITECTURA DEL SERVIDOR DE DIRECTORIO: ...................................................... 205
CREACIN DE BUZONES DE USUARIOS: ...................................................................... 214
UTILIZACIN Y GESTIN DE LOS SERVICIOS DE EXCHANGE SERVER: .................... 218
ADMINISTRACIN DE BUZONES: ................................................................................... 219
TAREA 7: INSTALAR Y CONFIGURAR UN PROXY................................................................. 223
Operacin 1: Instalar el servicio PROXY ............................................................................ 223
Operacin 2: Configura el servicio PROXY. ....................................................................... 225
ISA SERVER 2006 (Microsoft Internet Security and Acceleration): ..................................... 227
LICENCIAS DE PRODUCTO DESCRIPCIN.................................................................... 229
ISA SERVER EN LAS CONEXIONES VPN: ...................................................................... 230
OPTIMIZACIN DE LAS APLICACIONES WEB Y EL ACCESO A INTERNET: ................. 230
TAREA 8: INSTALAR Y CONFIGURAR SERVICIOS DE ARCHIVOS ....................................... 239
Operacin 1: Instalar el servicio de archivos. ..................................................................... 239
Operacin 2: Configura el servicio de archivos. .................................................................. 240
SERVICIOS DE ARCHIVO ................................................................................................ 243
PERMISOS NTFS ............................................................................................................. 253
PERMISOS SMB ............................................................................................................... 253
PERMISOS NFS ............................................................................................................... 254
ADMINISTRACIN DE UN RECURSO COMPARTIDO EXISTENTE ................................. 256
TAREA 9: INSTALAR Y CONFIGURAR SERVICIOS DE IMPRESIN...................................... 261
Operacin 1: Instalar el servicio de impresin. ................................................................... 261
Operacin 2: Configurar el servicio de impresin. .............................................................. 262
SERVICIOS DE IMPRESION............................................................................................. 264
PERMISOS DE IMPRESORA ............................................................................................ 267
IMPRESORAS Y ACTIVE DIRECTORY ............................................................................ 268
TAREA 10: INSTALAR Y CONFIGURAR SERVICIOS DE TERMINAL ..................................... 269
Operacin 1: Instalar el servicio de terminal. ...................................................................... 269

.

Operacin 2: Configurar el servicio de terminal. ................................................................. 271
SERVICIOS DE TERMINAL:.............................................................................................. 273
TERMINAL SERVICES EN WINDOWS 2008 SERVER: .................................................... 276
MEJORAS EN LA FUNCIONALIDAD BSICA DE TERMINAL SERVICES ........................ 276
CARACTERSTICAS AVANZADAS EN TERMINAL SERVICES: ....................................... 286

.

.
TAREA 1: INSTALAR Y CONFIGURAR EL SERVICIO WINS

Los servidores de Servicio de Nombres Internet de Windows (WINS) asignan
dinmicamente direcciones IP a nombres de equipos (nombres NetBIOS). Esto
permite a los usuarios tener acceso a los recursos a travs del nombre del equipo
en lugar de hacerlo a travs de la direccin IP.
El servicio WINS, permite resolver nombres en terminales que requieren la
resolucin por medio de NetBIOS. En redes con terminales Windows, que cuentan
con sistemas operativos antiguos (como Windows 95, 98 y NT), es sumamente
necesaria la resolucin de nombres con WINS. Este servicio, puede ser integrado
tambin con el servicio DNS, con el fin de mejorar la infraestructura de red.
En esta tarea se realizan las siguientes operaciones:
Instalar el servicio WINS.
Configurar el servicio WINS.
Equipos y Materiales:
Computadora con microprocesador Core I3 o superior.
Sistema operativo Windows.

Software de virtualizacin.
Equipos virtuales con: Windows Server 2008 y Windows 7.

Orden de Ejecucin:
1. Instalar el servicio WINS.
2. Configurar el servicio WINS.
Operacin 1: INSTALAR EL SERVICIO WINS.
Para instalar WINS en Windows Server 2008 se emplea la herramienta
Administrador del servidor.
1. Hacer clic en Inicio, luego seleccionar Herramientas administrativas, luego
seleccionar Administrador del servidor.
2. En Administrador de servidor hacer clic en Agregar caractersticas.
3. Se activa el asistente que gua en el proceso instalacin.

.

4. El asistente consulta sobre las caractersticas a instalarse, seleccionar la
opcin Servidor WINS.
5. Hacer clic en Siguiente.
6. El asistente solicita confirmar la instalacin, luego inicia el proceso de
instalacin.
7. Una vez instalado, el sistema informa sobre el resultado de la instalacin.
Hacer clic en Cerrar.
Operacin 2: CONFIGURAR EL SERVICIO WINS

CONFIGURACION DEL CLIENTE WINS:
Se realiza la configuracin del servicio WINS en el sistema operativo cliente
Microsoft. Aunque actualmente muchas redes pueden prescindir sin problemas de
WINS, todava hay muchas redes que no pueden hacerlo, por lo que el servicio se
mantiene para asegurar la compatibilidad.
CLIENTE WINS EN WINDOWS SEVEN:
1) Cliente WINS En Windows Seven Con DHCP Habilitado:
No es necesario realizar configuracin alguna. En su lugar se debe configurar el
servidor DHCP para asignar las opciones WINS relacionadas.
2) Cliente WINS En Windows Seven Sin DHCP Habilitado:
1. Desde la herramienta Ejecutar,
mediante el comando ncpa.cpl
acceder a Conexiones de rea
local.
2. Hacer
clic
derecho
en
Conexiones de rea local y
seleccionar Propiedades.
3. En Propiedades de conexiones de rea local, seleccionar Protocolo
Internet (TCP/IPv4) y hacer clic en Propiedades.

.

4. En la ficha General de la pantalla Propiedades de protocolo de internet
versin 4 (TCP/IP), hacer clic en Opciones avanzadas.
5. En la pestaa WINS agregar la direccin IP del servidor WINS, luego hacer clic
en Aceptar.
3) Cliente WINS En Windows Seven - Comprobacin Del Registro WINS:

En el equipo cliente escribir nbtstat n
en la herramienta smbolo de sistema.
Debe aparecer la tabla de nombres
locales NetBIOS del equipo cliente
WINS. Comprobar que en la columna
estado aparezca la indicacin Registrado
para cada nombre.
CONFIGURACIN DEL SERVIDOR WINS:
Todas las tareas referentes a la configuracin del servidor WINS se pueden
realizar desde la consola de administracin del servicio WINS.
1) Comprobacin del estado del servicio wins:
1. Ejecutar la consola WINS desde el
men Herramientas administrativas.
2. En la consola WINS, hacer clic en
Estado del servidor.
3. En el panel derecho de la consola
WINS, comprobar que Responder
aparece en la columna Estado.
2) Configuracin del manejo de rfagas:
1. En la consola WINS, hacer clic secundario en el servidor, y seleccionar
Propiedades y luego a la ficha opciones avanzadas.
2. En la seccin Habilitar el control de rfagas de la ficha Opciones
avanzadas, seleccionar una de las siguientes opciones: bajo (300), mediano
(500), alto (1000) o personalizado (de 50 a 5000).
.

3. Hacer clic en Aceptar.
3)
a)
1.
2.
3.
4.
Administracin de registros:
Mostrar y filtrar registros activos:
Ejecutar la consola WINS desde el men Herramientas administrativas.
En la consola WINS, seleccionar Registros activos.
Seleccionar el men Accin, luego Mostrar registros.
En la pantalla Mostrar informes. Si se desea realizar algn filtro se selecciona
el criterio de filtrado, luego hacer clic en Buscar.
5. En el panel derecho de la consola se mostraran los registros activos.
b) Agregar una entrada de Asignacin esttica:

1. Ejecutar la consola WINS desde el men
Herramientas administrativas.
2. En la consola WINS, seleccionar Registros
activos.
3. Seleccionar el men Accin, luego Asignacin
esttica nueva, escribir el nombre NetBIOS del equipo.
.

4. En el men desplegable Tipo, seleccionar el tipo adecuado.
5. En el campo Direccin IP, escribir la direccin IP del equipo que est asociado
a este nombre NetBIOS.
6. En el cuadro de dialogo Asignacin esttica nueva, hacer clic en Aceptar.
7. Cierre la consola WINS.
4) Configurar la replicacin wins:
1. En el rbol de la consola WINS, seleccionar el servidor WINS al que desea
agregar un asociado de replicacin y hacer clic en Asociados de replicacin.
2. En el men Accin, hacer clic en Nuevo asociado de replicacin.
3. En el campo Servidor WINS, escribir el nombre del equipo o la direccin IP del
servidor WINS que desee agregar como asociado de replicacin.
4. Hacer clic en Aceptar.
5)
1.
2.
3.
Configurar del tipo de asociado de replicacin:

En el rbol de la consola WINS, expandir el servicio WINS.
En la consola WINS, hacer clic es Asociados de replicacin.
En el panel de detalles, hacer clic derecho en el servidor adecuado y, despus,
hacer clic en Propiedades.
4. En el cuadro de dialogo Propiedades de servidor, en el campo Tipo de
asociado de replicacin de la ficha Opciones avanzadas, seleccionar una de
las siguientes opciones: Insertar, Extraer, Insercin/Extraccin.
5. En el cuadro de dialogo Propiedades de servidor, hacer clic en Aceptar.
6. Cierre la consola WINS.

.

6) Compactar la base de datos WINS sin conexin:
1. Detener el servicio WINS con el comando: net stop wins.
2. En el directorio C:\windows\system32, ejecute la utilidad de lnea de

comandos jetpack.exe y utilice el siguiente comando:
jetpack %Systemroot%\System32\wins\wins.mdb Nombretemporal.mdb
(donde Nombretemporal es cualquier nombre)
3. Reinicie el servicio WINS usando el comando: net start wins.

6) Copia de seguridad de la base de datos WINS:
Para especificar un directorio de copia de seguridad para la base de datos de
WINS se sigue el siguiente procedimiento:
1. En la consola WINS hacer clic derecho en
el servidor WINS del que se desea
realizar la copia de seguridad, despus
seleccionar Propiedades.
2. En la ficha General, en el recuadro Ruta
predeterminada de la copia de
seguridad, indique la ruta de acceso del
directorio que usa el servidor WINS para las copias de seguridad de la base de
datos.
3. En la ficha General si es necesario seleccione la opcin Hacer copia de
seguridad de la base de datos con el servidor inactivo.
4. En la ficha general hacer clic en Aceptar.
Para realizar manualmente una copia de seguridad de una base de datos WINS
seguir el siguiente procedimiento:

.
10

1. En la consola WINS hacer clic derecho en el nombre del servidor que se est
configurando, luego hacer clic en Hacer copia de seguridad de la base de
datos.
2. En el cuadro de dialogo Buscar carpeta, seleccionar la carpeta en la que se
desea realizar la copia de seguridad de la base de datos WINS y a
continuacin, hacer clic en Aceptar dos veces.
7) Restaurar una base de datos WINS:

1. Detener el servicio WINS. Antes de proseguir esperar a que WINS se detenga
completamente, puede pasar varios minutos.
2. Eliminar todos los archivos de la ruta de acceso de la carpeta en el servidor
WINS en el que va a restaurar la base de datos. Esta ruta viene determinada
por la configuracin actual de la ruta de acceso de la base de datos, que se
encuentra en la ficha Opciones avanzadas del cuadro de dialogo
Propiedades del servidor.
3. En la consola WINS hacer clic derecho sobre el servidor que est
configurando, luego seleccionar Restaurar base de datos.
4. La opcin Restaurar base de datos slo est disponible cuando el servicio

WINS est detenido.
5. En el recuadro de dialogo Buscar carpeta, hacer clic en la carpeta que utiliz
anteriormente para hacer la copia de seguridad de la base de datos WINS, a
continuacin hacer clic en Aceptar dos veces.

.
11
8) Integrar WINS con DNS:

1. Abrir la consola DNS.
2. En el rbol de la consola, hacer
clic derecho en la zona adecuada,
luego seleccionar Propiedades.
3. Ubicarse en la ficha Wins y
agregar el IP del servidor Wins,
que permitir realizar la integracin.
4. Se observa que wins slo admite
direcciones IP versin 4
5. En el caso de que se trate de una zona
DNS inversa ubicarse en propiedades y
seleccionar la ficha Wins-R.
6. En la ficha Wins-R seleccionar, si es
aplicable. No replicar este registro.
FUNDAMENTO TERICO:
SERVICIO WINS
A las computadoras se le asigna un nombre, de manera que sea ms fcil de
ubicarlo dentro de una red. Por ejemplo: si en el navegador se escribe
http://www.peru.com.pe o se hace un acceso directo a \\server\datos se est
utilizando nombres de mquina de alto nivel, esto se debe resolver primero a una
direccin de equipo que entienda el protocolo de red que se est utilizando, por
ejemplo: TCP/IP, IPX/SPX, AppleTalk, etc.
Se tratar la resolucin de nombres de equipo a la direccin de protocolo de red
TCP/IP, en el caso de trfico tipo unicast. Recordemos que existen 3 tipos de
trfico, que son los siguientes:
Broadcast: desde uno a todos los dems equipos
Multicast: desde uno a un grupo de equipos, no a todos, sino a los que se

suscribieron a un determinado grupo de multicast.

.
12

Unicast: desde un equipo a otro (1 a 1)
En una red de medio compartido como es Ethernet, aunque el trfico est dirigido
a un equipo en particular, todos los que estn en el mismo medio escuchan la
transmisin. Slo el equipo destino toma la informacin, los dems la descartan al
ver que no est dirigido a ellos.
El Servicio de nombres Internet de Windows (WINS) proporciona una base de
datos distribuida en la que se registran y consultan asignaciones dinmicas de
nombres NetBIOS para los equipos y grupos usados en la red.
WINS asigna los nombres NetBIOS a direcciones IP y se dise para solucionar
los problemas que ocasiona la resolucin de nombres NetBIOS en entornos con
routers. WINS es la mejor alternativa para la resolucin de nombres NetBIOS en
entornos con routers que utilicen NetBIOS sobre TCP/IP.
Con los servidores WINS en la organizacin, puede buscar recursos por nombre
de equipo en lugar de hacerlo por direccin IP, lo que puede ser ms fcil de
recordar. Si desea asignar nombres NetBIOS a direcciones IP o administrar de
forma centralizada la base de datos nombre a direccin, configure el servidor
como un servidor WINS ya que simplifica la administracin del espacio de
nombres NetBIOS en las redes TCP/IP.
Los nombres NetBIOS son necesarios para establecer servicios de red en
versiones anteriores de los sistemas operativos de Microsoft. Aunque el protocolo
de nombres NetBIOS puede utilizarse con otros protocolos adems de TCP/IP
(como por ejemplo, con NetBEUI o IPX/SPX), WINS se dise especficamente
para ser usado con NetBIOS sobre TCP/IP (NetBT).
Algunas de las ventajas que aporta un servidor WINS en una red son:
Reduce el trfico de difusin NetBIOS en las subredes, ya que se permite a
los clientes hacer consultas en los servidores WINS para localizar
directamente sistemas remotos.
Obtiene la compatibilidad con clientes anteriores basados en Windows y

NetBIOS que pueda haber en la red, ya que se permite a estos tipos de
clientes explorar listas de dominios de Windows remotos sin que tenga que
haber un controlador de dominio local en cada subred.
Obtiene la compatibilidad con clientes basados en DNS, ya que se les

permite localizar recursos NetBIOS cuando est implementada la
integracin de bsqueda de WINS.

.
13
NOMBRES NETBIOS Y HOSTNAMES:

Cuando Windows se instala en red, se coloca un nombre de equipo. Antes de
Windows 2000 este nombre corresponde a lo que se conoce como nombre
NetBIOS del equipo y es utilizado para la comunicacin entre los mismos, aunque
la longitud mxima es de 16 caracteres, el sistema permite usar slo 15 porque el
ltimo es utilizado para funciones reservadas al sistema. Cuando se tiene
instalado TCP/IP, en las propiedades del mismo se puede ver que existe tambin
un campo llamado Hostname. Es tambin un nombre de equipo y por omisin es
igual al nombre NetBIOS, y conviene que as sea. Pero este Hostname podra ser
diferente y tiene caractersticas sintcticas muy distintas: puede tener hasta 63
caracteres y slo estn permitidos letras, nmeros y el signo menos (-); a
diferencia del nombre NetBIOS que permite la utilizacin de algunos smbolos.
A partir de Windows 2000, el nombre que se coloca al equipo es el Hostname, no
el nombre NetBIOS, este ltimo es igual al Hostname y a diferencia de los casos
anteriores no se puede hacer diferente. Los sistemas operativos Microsoft para
computadoras desde Windows 2000 en adelante siguen utilizando el nombre
NetBIOS por compatibilidad con los anteriores sistemas operativos y aplicaciones
basadas en NetBIOS.
En qu casos se utiliza el nombre NetBIOS o el hostname de un equipo?
NetBIOS: cuando se utiliza \\server para conectarse a otro equipo, server es el
nombre NetBIOS.
Hostname: cuando se utilizan las herramientas de TCP/IP tales como ftp, ping,
telnet seguido de server, este es el nombre hostname. Ej.: ping server
A la hora de resolver un nombre u otro se sigue un procedimiento diferente para
cada uno:
PARA EL NOMBRE HOSTNAME ES:
1. Archivo Hosts:
Es un archivo de texto, donde cada rengln corresponde a un registro e incluye
la direccin IP seguida de por lo menos un espacio y el hostname del equipo,
este es un archivo que existe en cada computadora. Este archivo se encuentra
en: C:WINDOWS\system32\drivers\etc.
2. DNS (Domain Name Server)
Un server con el servicio de DNS instalado y configurado. La construccin de la
base con los registros puede ser hecha manualmente o en forma dinmica, de
acuerdo a la versin utilizada. Windows 2000 utiliza protocolo DDNS (Dynamic
DNS) y los clientes Windows 2000 se registran automticamente. Windows NT
.
14

4.0 no soporta DNS dinmico, ni como cliente ni como servidor. La solucin
pasa por dos mtodos: el primero consiste en dar manualmente de alta estos
registros en el servidor DNS, la segunda es utilizar para estos clientes un DHCP
server Windows 2000, y configurarlo para que cuando asigne direcciones IP,
tambin haga la registracin en el servidor DNS de las mismas
3. Hostname Cache
A partir de Windows 2000, cuando resuelven un nombre a una direccin IP,
esta informacin permanece almacenada en memoria durante un tiempo.
PARA EL NOMBRE NETBIOS ES:
1. NetBIOS Name Cache
Si en algn momento se resuelve una direccin, permanece durante un cierto
tiempo el mapeo en memoria
2. Broadcast
Se enva informacin en la red dirigida a todos los equipos, que contiene algo
as como Qu direccin IP tiene el equipo que se llama Server? Todos los
equipos lo escuchan, pero contesta slo el que se llama Server, informando su
direccin IP.
3. WINS (Windows Internet Name Server)
Un server con el servicio WINS instalado y los clientes configurados para
usarlo. Para explicarlo en forma sencilla: cuando los clientes inicializan registran
con el servidor WINS su nombre y su direccin IP. Con esta informacin el
server construye una base de datos dinmica que incluye todos los clientes que
se registraron. Luego cuando los clientes tienen que resolver una direccin IP le
preguntan al servidor WINS, que si puede responder adecuadamente.
4. Archivo LMHOSTS
Es un archivo de texto, donde cada rengln corresponde a un registro e incluye
la direccin IP seguida de por lo menos un espacio y el Nombre NetBIOS
correspondiente. Este archivo debe estar disponible y mantenerse
individualmente en cada PC. Por defecto este archivo no est creado, se tendr
que crear para lo cual hay un archivo de ejemplo llamado lmhosts.sam que
nos servir de gua. La ubicacin de este archivo es la siguiente:
C:\WINDOWS\system32\drivers\etc.
En esta tarea se pretende resolver los nombres NetBIOS, por lo que se utilizar un
Servidor WINS para resolver estos nombres.

.
15
COMPONENTES DE WINS
Wins est compuesto por:
Servidor WINS
Cliente WINS
Base de datos WINS
Proxy WINS
1. SERVIDORES WINS
El servidor WINS controla las solicitudes de registro de nombres de los clientes

WINS y registra sus nombres y sus direcciones IP; asimismo, responde a las
consultas de nombres NetBIOS que emiten los clientes y devuelve la direccin IP
del nombre consultado si se encuentra en la base de datos del servidor.
Adems, como se muestra en la figura, los servidores WINS pueden replicar el
contenido de sus bases de datos (que contienen asignaciones de nombres de
equipo NetBIOS y direcciones IP) en otros servidores WINS.
Cuando un cliente habilitado para WINS (como una estacin de trabajo de las
subredes 1 o 2) se inicia en la red, su nombre de equipo y su direccin IP se
envan en una solicitud de registro directamente al servidor WINS principal que
tienen configurado, WINS-A. Como WINS-A es el servidor que registra dichos
clientes, se dice que es el propietario de los registros de los clientes en WINS.
En este ejemplo, el servidor WINS-A tiene clientes locales (es decir, clientes de la
subred 2 en la que se encuentra) que se registran en l y remotos (clientes
ubicados en la subred 1 situados al otro lado de un router). Un segundo servidor
WINS, WINS-B, se encuentra en la subred 3 y slo posee asignaciones para los
clientes locales que se registran desde su misma subred.
.
16

WINS-A y WINS-B pueden completar la replicacin de sus bases de datos para
que los registros de los clientes de las tres subredes estn en las bases de datos
WINS de ambos servidores.
Los clientes utilizan los servidores WINS de dos maneras: como servidor WINS
principal o secundario.
La diferencia entre el servidor WINS principal o secundario no est basada de
ninguna manera en los servidores (que son iguales en WINS desde el punto de
vista funcional). La diferencia se halla en el cliente, que distingue y ordena la lista
de servidores WINS cuando puede utilizar ms de uno.
En la mayor parte de los casos, el cliente se pone en contacto con el servidor
WINS principal para todas sus funciones de servicio de nombres NetBIOS
(registro, renovacin y liberacin de nombres, y consulta y resolucin de
nombres). El nico caso en el que se puede llegar a utilizar los servidores WINS
secundarios es cuando el servidor WINS principal:
No est disponible en la red cuando se hace la solicitud de servicio, o bien,
No puede resolver el nombre para el cliente (en el caso de una consulta de
nombre).
En el caso de errores en el servidor WINS principal, el cliente solicita la misma
funcin de servicio a sus servidores WINS secundarios. Si el cliente tiene
configurados ms de dos servidores WINS, los servidores WINS adicionales se
utilizan hasta que la lista termine o uno de los servidores WINS secundarios
procese y responda correctamente la solicitud. Despus de utilizar un servidor
WINS secundario, el cliente intenta peridicamente volver a utilizar su servidor
WINS principal en las siguientes solicitudes de servicio.
2. CLIENTES WINS
Los clientes WINS tratan de registrar su nombre en un servidor WINS cuando se
inician o se unen a la red. A partir de ese momento, los clientes consultan al
servidor WINS para resolver los nombres remotos cuando lo necesitan.
Los clientes WINS son equipos que se pueden configurar para usar un servidor
WINS directamente. La mayor parte de los clientes WINS suelen tener ms de un
nombre NetBIOS que deben registrar para que se utilice dentro de la red. Dichos
nombres se utilizan para publicar varios tipos de servicios de red, que los equipos
pueden utilizar de varias formas para comunicarse con otros en la red.
EL servidor WINS acepta clientes WINS que se ejecuten en las plataformas
siguientes:

.
17
Windows Server 2008: versiones (32 y 64 bits) Datacenter Edition,

Enterprise Edition, Standard Edition, Web Edition.
Windows Server 2003: versiones Datacenter Edition, Enterprise Edition,
Standard Edition, Web Edition.
Versin de 64 bits de Windows Server 2003: versiones Datacenter Edition,
Enterprise Edition.
Windows Seven: versiones (32 y 64 bits) Home Premium y superiores
Windows Vista: versiones (32 y 64 bits) Home Premium y superiores.
Windows XP: versiones Professional y Home Edition.
Windows XP 64-Bit Edition.
Windows Millennium Edition.
Windows 2000: versiones Datacenter Server, Advanced Server, Server,
Professional.
Windows NT: versiones Server y Workstation.
Windows 95, 98 y Windows for Workgroups
Microsoft LAN Manager
Clientes MS-DOS
Clientes OS/2
Clientes Linux y UNIX (que tengan instalado Samba)
Los clientes WINS se comunican con el servidor WINS para:
Registrar los nombres de los clientes en la base de datos WINS.
Renovar los nombres de los clientes en la base de datos WINS.
Liberar los nombres de los clientes en la base de datos WINS.
Resolver los nombres con las asignaciones que la base de datos WINS
tiene para
nombres de usuario, nombres NetBIOS, nombres DNS y direcciones IP.
Los clientes que no estn habilitados para WINS pueden participar en estos
procesos de forma limitada a travs de servidores proxy WINS.
3. SERVIDORES PROXY WINS
Un servidor proxy WINS es un equipo cliente WINS configurado para actuar en
representacin de otros equipos hosts que no pueden utilizar WINS directamente.
Los servidores proxy WINS ayudan a resolver consultas de nombres NetBIOS de
los equipos ubicados en redes TCP/IP con routers.
De forma predeterminada, la mayor parte de los equipos que no pueden usar
WINS utilizan difusiones para resolver las consultas de nombres NetBIOS y
registrar sus nombres NetBIOS en la red. Puede configurar un servidor proxy
.
18

WINS para que atienda en lugar de dichos equipos y para consultar a WINS los
nombres no resueltos mediante difusin.
Los servidores proxy WINS slo son tiles o necesarios en las redes que incluyen
clientes NetBIOS de slo difusin. En la mayora de las redes, los clientes WINS
son comunes y los servidores proxy WINS no suelen ser necesarios.
Los servidores proxy WINS son equipos con WINS que atienden las funciones del
servicio de nombres NetBIOS (registro, liberacin y consulta de nombres) y
pueden responder para aquellos nombres que sean remotos y no se utilicen en la
red local. Los servidores proxy se comunican directamente con un servidor WINS
para obtener la informacin necesaria y responder a dichas difusiones locales.
Los servidores proxy WINS se utilizan de las siguientes maneras:
Cuando un cliente registra su nombre, el servidor proxy comprueba el
nombre en la base de datos del servidor WINS. Si el nombre existe en la
base de datos WINS, el servidor proxy podra enviar una respuesta de
registro negativa al cliente que intenta registrarlo.
Cuando un cliente libera su nombre, el servidor proxy elimina el nombre del
cliente de su cach de nombres remotos.
Cuando un cliente enva una consulta de nombre, el servidor proxy intenta
resolver el nombre con la informacin de su cach local de nombres
remotos o con la informacin que puede obtener del servidor WINS.
En la figura se muestra el uso de un servidor proxy WINS, HOST-B, en una subred
que contiene un cliente de nodo b, HOST-A.

.
19

En este ejemplo, el servidor proxy WINS realiza los pasos siguientes para resolver
los nombres en el equipo de nodo b:
1. HOST-A difunde una consulta de nombre NetBIOS en la subred local.
2. HOST-B acepta la difusin y comprueba en su cach si existe la asignacin
apropiada de nombre de equipo NetBIOS y direccin IP.
3. HOST-B procesa la solicitud.
4. Si HOST-B tiene en su cach una asignacin de nombre y direccin IP que
coincide con la que solicit HOST-A, devuelve dicha informacin a HOST-A.
Si no la tiene, HOST-B consulta a un servidor WINS la asignacin solicitada
por HOST-A.
5. Cuando HOST-B recibe la asignacin de nombre y direccin IP desde el
servidor WINS que tiene configurado (en este ejemplo, WINS-A), guarda
dicha informacin en la cach.
6. De forma predeterminada, los servidores proxy WINS guardan en la cach
durante seis minutos las asignaciones de nombres remotos que consultan
en WINS, pero este tiempo se puede configurar, como mnimo, con un valor
de un minuto.
7. A continuacin, HOST-B puede utilizar la informacin de esta asignacin
para responder a las siguientes consultas de nombres NetBIOS difundidas
desde HOST-A o desde otro equipo de nodo b de la subred.
Como los servidores WINS no responden a las difusiones, debe configurar un
equipo como servidor proxy WINS en cada subred que contenga equipos que no
sean WINS y deban utilizar difusiones para resolver los nombres NetBIOS.
Cuando un servidor proxy WINS se utiliza para responder una consulta de un
cliente de hosts mltiples o de un registro de grupo que contiene una lista de
direcciones IP, slo se devuelve al cliente de nodo b la primera direccin de la
lista.
4. LA BASE DE DATOS WINS
La base de datos WINS almacena y replica las asignaciones entre nombres
NetBIOS y direcciones IP de una red. Crea el archivo J<n>.log y otros en la
carpeta systemroot\System32\Wins para aumentar la velocidad y eficiencia del
almacenamiento de datos. En la tabla siguiente se describen los archivos que la
base de datos crea y utiliza en cada servidor WINS.

.
20

Archivo
Descripcin
El registro de todas las transacciones realizadas en
la base de datos WINS. WINS utiliza este archivo para
recuperar datos si es necesario.
Para aumentar la velocidad y la eficacia del
almacenamiento de los datos, la base de datos Jet
escribe las transacciones en archivos de registro en
lugar de hacerlo directamente en la base de datos. Por
tanto, la vista ms actualizada de los datos incluye la
base de datos y las transacciones de los archivos de
registro. Ambos archivos se utilizan para recuperar el
estado de la base de datos si el servicio WINS se
detiene de forma repentina o inesperada. Si el servicio
se detiene inesperadamente, los archivos de registro se
utilizan de forma automtica para recrear el estado
correcto de la base de datos WINS.
Cuando se llena el archivo de registro, se le cambia el
nombre, para indicar que es un archivo de registro
J50.log y J50#####.log antiguo y ya no se utiliza. Se crea un nuevo archivo de
registro de transacciones con el nombre J<n>.log,
donde <n> es un nmero decimal, como J50.log. El
formato del nombre del archivo de registro anterior es
JetXXXXX.log, donde cada X es un nmero
hexadecimal entre 0 y F. Los archivos de registro
antiguos se almacenan en la misma carpeta que los
actuales.
Los archivos de registro se procesan (todas las
entradas se escriben en la base de datos) y se eliminan
cada tres horas. El procesamiento y la eliminacin
tambin se realizan al terminar de forma correcta una
copia de seguridad de la base de datos WINS o cuando
el servidor WINS se cierra adecuadamente.
Despus de procesar las entradas, puede eliminar
manualmente los archivos de registro; sin embargo,
esto impide la recuperacin correcta de la base de
datos en caso necesario.
.
21
J50.chk
Wins.mdb
Winstmp.mdb
Res#.log
Un archivo de controles que indica la ubicacin de la

ltima informacin escrita correctamente desde el
registro de transacciones a la base de datos. En un
escenario de recuperacin de datos, el archivo de
controles indica dnde tiene que empezar la
recuperacin o la reproduccin de los datos. Este
archivo de controles se actualiza cada vez que se
escriben datos en el archivo de base de datos
(Wins.mdb).
El archivo de base de datos del servidor WINS
contiene dos tablas: la tabla de asignaciones entre
direcciones IP e identificadores de propietario y la tabla
de asignaciones entre nombres y direcciones IP.
Archivo temporal que crea el servicio Servidor WINS.
Funciona como archivo de intercambio durante las
operaciones de mantenimiento de ndices y puede
permanecer en la carpeta systemroot\System32\Wins
despus de un error del sistema.
Son archivos de registro reservados, que funcionan
en situaciones de emergencia en las que el servidor se
queda sin espacio en el disco. Si un servidor intenta
crear otro archivo de registro de transacciones y no hay
espacio suficiente en el disco, el servidor limpia las
transacciones pendientes en estos archivos de registro
reservados. A continuacin, el servicio se apaga y
registra un suceso en el Visor de sucesos.
REPLICACIN WINS
Cuando se utilizan varios
servidores WINS en la misma
red, se pueden configurar
para replicar los registros de
sus bases de datos en otros
servidores. Este proceso se
muestra en la figura. Dos
servidores WINS, WINS-A y
WINS-B, se configuran para
.
22

replicar completamente sus registros entre ellos.
Mediante la replicacin entre estos servidores WINS se mantiene un conjunto de
informacin WINS coherente y distribuida por toda la red. Por ejemplo, en la
ilustracin anterior un cliente WINS (HOST-1) de la subred 1 registra su nombre
en su servidor WINS principal, WINS-A. Otro cliente WINS (HOST-2) de la subred
3 registra su nombre en su servidor WINS principal, WINSB. Si uno de estos hosts
intenta buscar al otro mediante WINS (por ejemplo, HOST-1 consulta para buscar
la direccin IP de HOST-2) la replicacin entre los servidores WINS (WINS-A y
WINS-B) hace posible la resolucin de dicha consulta.
Para que la replicacin funcione, cada servidor WINS tiene que configurarse con al
menos otro servidor WINS como asociado de replicacin. Esto garantiza que un
nombre registrado en un servidor WINS se replicar finalmente en todos los
dems servidores WINS de la red.
Cuando los servidores WINS se replican, existe un perodo de latencia antes de
que se propague una asignacin de nombre de cliente y direccin IP de un
servidor especfico a todos los dems servidores WINS de la red. Esta latencia se
conoce como el perodo de convergencia de todo el sistema WINS. Por ejemplo,
una solicitud de liberacin de nombre de un cliente no se propagar con la misma
velocidad que una solicitud de registro. Esto es as por diseo, porque es comn
que los nombres de los clientes se liberen y se vuelvan a utilizar con la misma
asignacin cuando los equipos se reinician o se apagan peridicamente. La
replicacin de estas liberaciones de nombres aumentara de forma innecesaria la
carga de trabajo de replicacin a travs de la red.
Adems, cuando un equipo cliente WINS se apaga de forma incorrecta, como
cuando se interrumpe el suministro elctrico de modo inesperado, los nombres
registrados del equipo no se liberan como se hara normalmente, mediante el
envo de una solicitud de liberacin al servidor WINS. Por tanto, la presencia de un
registro de nombre a direccin en la base de datos WINS no significa
necesariamente que un equipo cliente an utilice el nombre o su direccin IP
asociada. Slo significa que, en un pasado cercano, un equipo con el nombre
registrado reclam el uso de la direccin IP asignada.
La replicacin WINS es siempre incremental, lo que significa que cuando se
realiza una replicacin slo se replican los cambios de la base de datos y no la
base de datos completa.

.
23
RESOLUCIN DE NOMBRES EN WINS

1. Introduccin a la resolucin de nombres
WINS se utiliza para resolver
nombres NetBIOS pero, para que
dicha resolucin sea efectiva, los
clientes tienen que poder agregar,
quitar y actualizar su nombre de
forma dinmica en WINS. En las
secciones siguientes se proporciona
una descripcin funcional de cada
uno de estos procesos: en concreto,
cmo se registran, renuevan, liberan y resuelven los nombres para los clientes de
una red basada en WINS. Este proceso de comunicacin cliente-servidor en WINS
se resume en la figura siguiente:
En un sistema WINS, todos los nombres se registran en un servidor WINS. Los
nombres se almacenan en una base de datos del servidor WINS que responde a
las solicitudes de resolucin de nombres en direcciones IP en funcin de las
entradas de dicha base de datos.
La redundancia y el equilibrio de la carga se mantienen con varios servidores
WINS en la red. Peridicamente, los servidores replican las entradas de sus bases
de datos entre s para mantener una vista coherente del espacio de nombres
NetBIOS.
Cada nombre tiene una entrada en la base de datos. Es propiedad del servidor
WINS con el que se registra y hay un duplicado en el resto de servidores WINS.
Cada entrada tiene asociado un estado: la entrada puede estar activa, liberada o
extinguida (o desechada). A las entradas tambin se les asigna un identificador de
versin.
WINS permite adems el registro de nombres estticos. Esto hace posible que los
administradores registren nombres de servidores que ejecuten sistemas
operativos incapaces de registrar nombres de forma dinmica. WINS distingue
entre entradas dinmicas y entradas estticas.
2. Registrar nombres
El registro de nombres se produce cuando un cliente WINS solicita el uso de un
nombre NetBIOS en la red. La solicitud puede corresponder a un nombre nico
(exclusivo) o de grupo (compartido). Las aplicaciones NetBIOS tambin pueden
registrar uno o varios nombres.
.
24

Como se muestra en la figura, un cliente WINS (HOST-C) enva una solicitud de
registro de nombre directamente al servidor WINS que tiene configurado, WINS-A.
WINS-A puede aceptar o rechazar la solicitud de registro del nombre mediante

una respuesta positiva o negativa a HOST-C. La accin emprendida por WINS-A
depende de varios factores:
Si el nombre ya existe en la base de datos del servidor WINS-A

Si ya existe un registro del nombre, el estado del mismo en la base de
datos del servidor WINS-A podra ser diferente. Adems, si la direccin IP
registrada para el nombre es la misma o es diferente de la direccin IP del
cliente solicitante, HOST-C.
Si la solicitud es para una entrada de nombre nico o de grupo.

Si el nombre no existe en la base de datos, se acepta como registro nuevo y se
siguen los pasos siguientes:
1. El nombre de HOST-C se especifica con un identificador nuevo de versin,
se le asigna una marca de tiempo y se marca con el identificador de
propietario del servidor WINS.
Para calcular la marca de tiempo se suma el valor Intervalo de renovacin (que
es 6 das, de forma predeterminada) establecido en el servidor WINS como la
fecha y hora actuales del servidor.
2. Se enva una respuesta de registro positiva a HOST-C con un valor de
perodo de vida (TTL) igual a la marca de tiempo registrada para el nombre
en WINS-A.
Si el nombre HOST-C ya est registrado en la base de datos con la misma
direccin IP que se solicita, la accin emprendida depende del estado y de la
propiedad del nombre existente.

.
25

1. Si la entrada est marcada como activa y es propiedad del servidor (WINS-
A), el servidor actualiza la marca de tiempo del registro y devuelve una

respuesta positiva al cliente.
2. Si la entrada est marcada como liberada o desechada, o si la entrada es
propiedad de otro servidor WINS, el registro se trata como nuevo. La marca
de tiempo, el identificador de versin y la propiedad se actualizan y se
devuelve una respuesta positiva.
En el caso de que el nombre existiera en la base de datos de WINS pero con una
direccin IP diferente de la que se solicita, el servidor WINS debe evitar los
nombres duplicados. Si la entrada de la base de datos est en estado liberado o
desechado, el servidor WINS es libre de asignar dicho nombre.
Sin embargo, si la entrada est en estado activo, se pide al nodo que contiene el
nombre que determine si an existe en la red. En este caso, el servidor WINS
(WINS-A) podra realizar un desafo del nombre y hacer lo siguiente:
1. WINS-A enva una respuesta WACK (en espera de confirmacin) al cliente
solicitante (HOST-C) y especifica en el campo TTL la hora a la que el
cliente debe estar preparado para recibir la respuesta.
2. WINS-A emite despus una consulta de nombre al nodo registrado
actualmente con dicho nombre en la base de datos del servidor.
3. Si el nodo an existe, ste enva una respuesta positiva a WINS-A.
4. WINS-A, a su vez, enva una respuesta de registro negativa al cliente
solicitante (HOST-C) con lo que rechaza el registro del nombre.
5. Si no se recibe una respuesta positiva desde la primera consulta de desafo
hecha por WINS-A, se hacen otras dos consultas de nombres posteriores.
Despus de tres intentos sin respuesta, el proceso de desafo termina, se
devuelve una respuesta de registro positiva al cliente solicitante (HOST-C) y
el nombre se actualiza en la base de datos del servidor con el nuevo
registro del cliente.
A diferencia de los clientes WINS, que pueden ponerse en contacto directamente
con un servidor WINS, los que no son WINS tienen que registrarse y defender sus
nombres continuamente; para ello, envan y responden las consultas de nombres
por difusin dentro de la red local.
Los nombres NetBIOS se registran en el Servicio de nombres Internet de Windows
(WINS) y normalmente se liberan cuando el equipo se apaga correctamente. Si el
equipo no se apag correctamente o si no pudo ponerse en contacto con un
servidor WINS durante el apagado, se puede utilizar el comando nbtstat para
.
26

actualizar en WINS los nombres locales de dicho equipo. Esto puede ser til para
equipos mviles o porttiles que se trasladan a ubicaciones diferentes de la red.
3. Liberar nombres
La liberacin de nombres se produce cuando un equipo cliente WINS termina de
usar un nombre concreto y se apaga correctamente. Al liberar su nombre, el
cliente WINS notifica a su servidor WINS (o potencialmente a otros equipos de la
red) que ya no va a utilizar su nombre registrado.
Como se observa en la ilustracin siguiente, cuando un cliente WINS (HOST-C)
libera su nombre, tienen lugar los pasos siguientes:
1. El equipo llamado HOST-C se apaga correctamente o el usuario escribe el
comando nbtstat -RR, con lo que se inicia una solicitud de liberacin de

nombre en el servidor WINS, WINS-A.
2. WINS-A marca la entrada de la base de datos relacionada con HOST-C
como liberada.
Si la entrada permanece liberada durante cierto tiempo, WINS-A la marca
como desechada, actualiza el identificador de versin de la entrada y
notifica el cambio a otros servidores WINS.
3. WINS-A devuelve un mensaje de confirmacin de la liberacin al cliente
WINS, HOST-C.
Si una entrada de nombre est marcada como liberada, el servidor WINS puede
actualizar o revisar inmediatamente la entrada cuando reciba una nueva solicitud
de registro desde un cliente WINS que tenga el mismo nombre pero una direccin
IP diferente. Esto es posible porque la base de datos WINS muestra que el cliente
WINS de la direccin IP antigua ya no utiliza dicho nombre. Esto puede suceder,
por ejemplo, cuando un equipo porttil habilitado para DHCP cambia de subred.
La liberacin de los nombres se suele utilizar para simplificar el registro en WINS
de los clientes que se apagan y reinician en la red. Si un equipo ha liberado su
.
27

nombre durante un apagado normal, el servidor WINS no desafiar al nombre
cuando el equipo se vuelva a conectar. Si no se ha producido un cierre correcto
del sistema, el registro del nombre con una direccin IP nueva hace que WINS
desafe al registro anterior. Cuando el desafo falla (porque el equipo cliente ya no
utiliza la direccin IP antigua), el registro es correcto.
En algunos casos, un cliente no puede liberar su nombre si se pone en contacto
con el servidor WINS, de modo que tiene que utilizar difusiones para liberarlo. Esto
puede ocurrir cuando un cliente WINS se apaga sin recibir la confirmacin de la
liberacin de su nombre desde el servidor WINS.
4. Renovar nombres
Para que los equipos cliente WINS renueven sus registros de nombres NetBIOS
en el servidor WINS, es necesario renovar peridicamente los nombres. El
servidor WINS trata las solicitudes de renovacin de nombres de forma similar a
los registros de nombres nuevos.
Cuando un equipo cliente se registra por primera vez en un servidor WINS, ste
devuelve un mensaje con un valor de perodo de vida (TTL, Time-To-Live) que
indica cundo caduca el registro del cliente o cundo se tiene que renovar. Si no
se renueva antes de dicho perodo, el registro del nombre caduca en el servidor
WINS y la entrada correspondiente se termina quitando de la base de datos WINS.
Sin embargo, los nombres WINS estticos no caducan y, por tanto, no se tienen
que renovar en la base de datos WINS.
El valor de Intervalo de renovacin predeterminado de las entradas en la base
de datos WINS es de seis das. La renovacin tiene lugar cada tres das en la
mayor parte de los clientes WINS, ya que stos intentan renovar sus registros
cuando se llega a la mitad del perodo de vida.
Se debe renovar los nombres antes de que transcurra dicho intervalo; en caso
contrario, se liberarn. Para actualizar los nombres se enva una solicitud de
actualizacin de nombre al servidor WINS, como se muestra en la siguiente figura.

.
28

Es responsabilidad del cliente (HOST-C) actualizar su nombre antes de que
caduque el Intervalo de renovacin. Si el servidor WINS, WINS-A, no responde a
la solicitud de actualizacin, el cliente (HOST-C) puede aumentar la frecuencia de
los intentos de renovacin de su nombre.
Resolver nombres
La resolucin de nombres en los clientes WINS es una extensin del mismo
proceso de resolucin de nombres que utilizan todos los clientes NetBIOS sobre
TCP/IP (NetBT) de Microsoft para resolver nombres NetBIOS en una red. El
mtodo de resolucin real pasa desapercibido para el usuario.
Los clientes WINS utilizan el siguiente flujo secuencial de opciones para resolver
un nombre despus de hacer la consulta mediante net use o una aplicacin
similar basada en NetBIOS.
1. Determinan si el nombre contiene ms de 15 caracteres o si contiene
puntos ("."). Si es as, consultan el nombre en DNS.
2. Determinan si el nombre est almacenado en la cach de nombres remotos
del cliente.
3. Se ponen en contacto y prueban con los servidores WINS configurados
para resolver el nombre mediante WINS.
4. Utilizan difusiones IP locales en la subred.
5. Comprueban en el archivo Lmhosts si Habilitar la bsqueda de LMHOSTS
est habilitado en las propiedades de Protocolo Internet (TCP/IP) de la
conexin.
6. Comprueban el archivo Hosts.
7. Consultan a un servidor DNS.
TIPOS DE NODOS NETBIOS:
Un tipo de nodo NetBIOS es un mtodo que utiliza un equipo para resolver
nombres NetBIOS en direcciones IP. Los tipos de nodos NetBIOS permiten
configurar el orden y el mtodo que utiliza un cliente al resolver nombres NetBIOS
en direcciones IP. Windows Server 2008 admite los siguientes tipos de nodos:
Nodo B de difusin (Broadcast). Utiliza difusiones en el registro y la resolucin
de nombres. En una red de gran tamao, las difusiones pueden aumentar la carga
de la red. Adems los router no suelen enviar difusiones, as que los equipos de la
red local son los nicos que pueden responder.
Nodo P de igual a igual (peer to peer). Utiliza un servidor de nombres
NetBIOS (como WINS) para resolver ese tipo de nombres. El tipo de nodo
de igual a igual no utiliza difusiones, ya que consulta el servidor de nombres
.
29

directamente, con lo que los equipos pueden resolver nombres NetBIOS a
travs de routers. Adems requieren que todos los equipos estn
configurados con la direccin IP del servidor de nombres NetBIOS. Si el
servidor de nombres NetBIOS no funciona, los equipos no se podrn
comunicar.
Nodo M mixto (mixed). Combina los tipos de nodos B y P, pero funciona
de forma predeterminada como un nodo B. Si el nodo mixto no puede
resolver un nombre mediante difusin, utiliza el servidor de nombres
NetBIOS del nodo P.
Nodo H hbrido (hybrid). Combina el nodo P y el nodo B, pero funciona de
forma predeterminada como un nodo P. Si el nodo H no puede resolver un
nombre mediante el servidor de nombres NetBIOS, utiliza una difusin.
Windows Server 2008, Windows 7 y Windows XP, estn configurados de forma
predeterminada con el tipo de nodo B. Cuando un equipo donde se ejecuta
Windows XP, Windows 7, Windows server 2008 o Windows server 2003 se
configura con direcciones del servidor WINS para la resolucin de nombres,
automticamente cambia al tipo de nodo H para el registro de nombres NetBIOS.
Sin embargo, otros sistemas operativos pueden emplear otros tipos de nodos.
Para asignar el tipo de nodo se puede utilizar las opciones de DHCP. Para ver el
tipo de nodo se puede usar el comando ipconfig /all.
TIPOS DE NOMRES NETBIOS

En todos los sistemas operativos de Microsoft que permiten usar nombres
NetBIOS, el usuario puede especificar los primeros 15 caracteres de nombre. Sin
embargo, el carcter 16 (hexadecimal 00-FF) indica siempre un tipo de recurso. A
continuacin se indican los tipos de nombres NetBIOS ms comunes que pueden
utilizarse en la base de datos WINS. Al crear asignaciones estticas, estn
disponibles estos tipos generales. A continuacin se presentan cuadros con los
diferentes tipos de nombres NetBIOS y su descripcin. Se muestran:
Tipos generales

.
30
Nombres NetBIOS nicos

Nombres de grupos NetBIOS
Adems de los puertos utilizados por WINS.

.
31

.
32
MANEJO DE RAFAGAS:
El manejo de rfagas es la respuesta de un servidor WINS a un gran nmero de
clientes WINS que intentan registrar simultneamente sus nombres locales en
WINS.

.
33
La funcin del manejo de rfagas es responder a las solicitudes de manera

superficial (con una respuesta de registro positiva) y permitir que cada cliente
comience a utilizar el nombre de servicio registrado. A continuacin el servidor
WINS establece un periodo de vida breve para que el cliente WINS vuelva a
registrar el nombre despus de solo unos minutos. Si la carga sigue aumentando,
el manejo de rfagas de WINS puede ampliar an ms el intervalo de retardo para
distribuir la carga en el tiempo.
El mtodo por rfagas utiliza un tamao de cola como valor umbral. Dicho valor
determina cuantas peticiones de registro y actualizacin de nombres enviadas por
los clientes WINS se pueden procesar normalmente antes de pasar al modo por
rfagas, de forma predeterminado dicho valor es 500. El servidor WINS inicia el
control de rfagas siempre que el nmero de peticiones de registro por parte de
los clientes WINS sobrepase dicho tamao de cola.
En el control de rfagas, las peticiones adicionales de los clientes son contestadas
inmediatamente por una respuesta positiva por el servidor WINS. La respuesta
incluye tambin un periodo de vida (TTL) variable para los clientes, que ayuda a
regular la carga de registro a distribuir el proceso de las peticiones a lo largo del
tiempo. Esto reduce la velocidad de actualizacin y reintentos de los nuevos
clientes WINS y regula las rfagas del trfico de los clientes WINS.
Por ejemplo: si el tamao de cola de rfagas es de 500 entradas y hay ms de 500
peticiones activas, el servidor WINS responde inmediatamente a las 100
siguientes peticiones de registro WINS; para ello enva respuestas anticipadas con
un TTL inicial de 5 minutos. Para cada grupo de 100 peticiones de clientes
adicionales, se agregan 5 minutos ms al TTL, hasta un mximo de 50 minutos. Si
el trfico del cliente WINS sigue llegando a rfagas, a las 100 siguientes peticiones
de clientes WINS se le responde con el valor de TTL inicial de 5 minutos y todo el
proceso de incrementos del TTL de la respuesta se repite.

.
34

Este comportamiento continua hasta que el servidor WINS alcance su mximo
nivel de procesos de consultas de registro y actualizacin, 25000. En dicho punto,
el servidor WINS empieza a desechar consultas.
Mediante la consola WINS se puede configurar el nivel de control de rfagas del
servidor, que modifica el tamao de la cola de rfagas para adaptarlo a
situaciones de rfagas bajas, medias o altas.
PROCESO DE LA RESOLUCION DE NOMBRES CON WINS
La resolucin de nombres de clientes WINS es una extensin del mismo proceso
de resolucin de nombres empleado por todos los clientes que utilizan NetBIOS a
travs de TCP/IP (NetBT, NetBIOS, over TCP/IP) para resolver consultas de
nombres NetBIOS en la red. En la familia Windows Server 2008, Windows Server
2003, Windows 7, Windows XP y Windows 2000, los clientes WINS utilizan las
siguientes opciones para resolver nombres una vez realizadas las consultas
NetBIOS:
a) El cliente WINS establece contacto con el primer servidor WINS hasta tres
veces para resolver el nombre mediante WINS.
b) Si el primer servidor WINS no responde, el cliente sigue intentando
comunicarse con otros servidores WINS disponibles hasta que reciba una
respuesta.
c) Si alguno de los servidores WINS resuelve el nombre NetBIOS, la direccin
IP se devuelve al cliente. Una vez que el cliente recibe la respuesta, utiliza
esta direccin para establecer una conexin con el recurso deseado.
d) Si uno de los servidores WINS resuelve el nombre NetBIOS, el proceso de
resolucin continua fuera de WINS. El cliente de nodo H tpico intenta una
difusin. Si esta no tiene xito. El cliente revisa el archivo Lmhosts.
Observacin
Como es el caso de todos los servidores, es conveniente que se configure
manualmente el equipo para utilizar una direccin IP esttica. Adems configurar
cada equipo servidor WINS de forma que se seale as mismo. Cada servidor
WINS que se instale en la red debe registrarse en WINS su propio conjunto de
nombres nicos y nombres NetBIOS. Para evitar problemas del servicio WINS
que puedan presentarse cuando un registro WINS se divide (es decir, cuando los
nombres registrados para un servidor WINS determinado pasan a ser propiedad
de distintos servidores WINS9, cada equipo servidor WINS slo debe sealar a su
propia direccin IP cuando se configuran sus propiedades TCP/IP.
LA CONSOLA WINS
.
35

La consola WINS es la herramienta que permite administrar el servidor WINS.
Esta herramienta se habilita al instalar el servidor WINS y se ubica en el men
herramientas administrativas. Es posible administrar el servidor WINS local u otros
servidores WINS remotos. Si WINS est instalado localmente en un servidor, el
servidor WINS local se agrega automticamente a la consola. En el caso de
servidores WINS remotos, se debe agregar a la consola y guardar despus el
archivo.
MANTENIMIENTO DE LA BASE DE DATOS WINS

Compactar la base de datos WINS: La compactacin es el proceso de
recuperacin de espacio sin utilizar, ocupado por registros obsoletos en una base
de datos WINS.
La recuperacin de espacio sin utilizar en una base de datos WINS ayuda a
mantener el rendimiento. A medida que las entradas de clientes WINS se vuelven
obsoletas y se eliminan, el tamao de la base de datos WINS se hace ms grande
que el espacio real que de hecho utiliza. El servidor no reclama automticamente
el espacio que se usa para almacenar registros obsoletos una vez que dicho
espacio quede libre y ya no se usa. Al compactar la base de datos de WINS se
recupera el espacio sin utilizar.
Existen 2 tipos de compactacin:
Compactacin dinmica: Se produce automticamente mientras la base de datos
se est usando.
Compactacin sin conexin: el administrador detiene el servidor WINS y utiliza el
comando jetpack.
En Windows server 2008, el servidor WINS realiza la compactacin Jet dinmica
de la base de datos WINS mientras el servidor est en lnea. Esta medida reduce
la necesidad de utilizar Jetpack.exe en la compactacin sin conexin. Por lo tanto,
compactar la base de datos manualmente podra no ser tan importante ahora
como lo era en el pasado para los servidores WINS y DHCP que ejecutan
versiones Windows NT Server anteriores a Windows NT 4.0.

.
36

COPIA DE SEGURIDAD DE UNA BASE DE DATOS WINS
Para recuperar una base de datos WINS daada, se puede hacer una copia de
seguridad de la misma y luego restaurarla.
Si un error del sistema, el ataque de un virus, una interrupcin del suministro
elctrico o un suceso similar daa la base de datos y no se puede reparar, primero
se debe eliminar la base de datos WINS (est ubicada en
C:\Windows\System32\wins\wins.mdb), y luego restaurarla por completo a partir
de la copia de seguridad.
La consola de administracin WINS proporciona herramientas de copia de
seguridad con las que se puede hacer copia de seguridad de la base de datos
WINS. Una vez especificado un directorio de copia de seguridad.
La consola de administracin WINS proporciona herramientas de copia de
seguridad con las que se puede hacer copia de seguridad para la base de datos,
WINS realiza copias de seguridad completas cada 24 horas, que es el valor
predeterminado en la instalacin. La consola de administracin WINS tambin
proporciona una opcin de copia de seguridad para que se pueda restaurar la
base de datos de un servidor si resulta daada.
La restauracin de una base de datos WINS implica detener primero el servicio
WINS. Como un servidor podra necesitar varios minutos de procesamiento para
poder detener WINS, se debe asegurar que el servicio WINS est completamente
detenido antes de comenzar el proceso de restauracin.
Antes de restaurar la base de datos, elimine todos los archivos de la ruta de
acceso de la carpeta en el equipo cliente WINS en el que va a restaurar la base de
datos.
Para hacer la copia de seguridad primero debe especificar un directorio e iniciar
una copia de seguridad manual.
INTEGRACION DE WINS CON DNS

La integracin de DNS con WINS
permite a los clientes DNS resolver
recursos en WINS.
DNS se utiliza para resolver nombres
de hosts, mientras que WINS se usa
para resolver nombres NetBIOS. En
algunos casos puede resultar ventajoso
para las organizaciones utilizar la base
de datos WINS existente para realizar
.
37

bsquedas de nombres de hosts en lugar de configurar cada uno de los clientes,
que estn en la base de datos WINS, para que tambin estn en la base de datos
DNS.
La integracin de DNS con WINS permite a los clientes DNS utilizar las entradas
de nombres NETBIOS existentes en WINS en bsquedas en bsquedas de
nombres de host. El servicio DNS permite utilizar servidores WINS para buscar
nombres que no se encuentren en el espacio de nombres DNS comprobando el
espacio de nombres NetBIOS que administra WINS.

.
38
TAREA 2: INSTALAR Y CONFIGURAR EL SERVICIO DNS

El servicio DNS permite que los usuarios coloquen slo los nombres de dominio
en los navegadores para acceder y navegar por diferentes sitios web. En esta
tarea se realizara las siguientes operaciones:
Instalar el servicio DNS.
Configurar el servicio DNS.
De manera que adquiera la destreza de realizar la instalacin y configuracin del
servicio DNS.

Equipos virtuales con: Windows Server 2008, Windows 7.

Orden de Ejecucin:
1. Instalar el servicio DNS.
2. Configurar el servicio DNS.
Operacin 1: Instalar el servicio DNS.
Se realiza la instalacin de un servidor DNS, en el sistema operativo Microsoft
Windows Server 2008.
1. Hacer clic en Inicio, despus en Herramientas administrativas, luego
seleccionar la herramienta Administrador del servidor.
2. Escoger la opcin Agregar funciones. Se activara un asistente que nos
gua en el proceso de Instalacin.
3. Seleccionar la funcin Servidor DNS.

4. El asistente muestra informacin sobre este servicio y los puntos a tomar en
cuenta en una instalacin y configuracin adecuada.

.
39
5. Se solicita confirmar las opciones de instalacin especificadas.

6. El asistente muestra el resultado de la instalacin.
Tambin se puede instalar el servicio DNS usando la opcin Agregar e instalar

componentes del panel de control, para ello se sigue los siguientes pasos:
1. Acceder al panel de control.
2. Seleccionar la opcin Programas y caractersticas, seleccionar activar o
desactivar caractersticas de Windows.
Operacin 2: Configurar el servicio DNS.
CLIENTE DNS:
Para configurar el cliente, agregamos la
direccin del servidor DNS en el campo
correspondiente, para ello:
1. Acceder a conexiones de rea
local y colocar la direccin IP del servidor DNS.
2. De ser necesario, configurar el sufijo DNS

.
40

SERVIDOR DNS:
SERVIDOR DNS DE SLO OBTENER (CACHING ONLY SERVERS)
Una vez instalado el servicio DNS, el computador se convertir en un Servidor
DNS de slo obtener (Caching Only Server). No ser necesario configurar
ninguna zona y podr hacer resolucin de nombres. Los servidores de solo cach
no hospedan zonas y no son autoritativos para un dominio particular. Lo que
hacen es recopilar en una cach de servidor local los nombres que van
acumulando conforme van ejecutando consultas recursivas en nombre de sus
clientes. De este modo, esta informacin estar disponible en la memoria cach
del servidor cuando ste responda nuevas consultas de los clientes.
Verificar cuales son los servidores de nombres del dominio raz:
1. Hacer clic en Inicio, seleccionar Herramientas administrativas, luego
hacer clic en DNS.
2. Hacer clic derecho en el nombre del servidor.
3. Hacer clic en Propiedades.
4. Hacer clic en la etiqueta Sugerencia de Raz.

.
41

Comprobar resoluciones en el servidor de slo obtener:
1. Realizar pruebas de consulta DNS desde el servidor DNS (para esto el
servidor DNS tambin debe estar configurado como un cliente DNS)
2. Si se pudo realizar correctamente las resoluciones pasar al paso 3, si no

active el reenvo de consultas DNS. Para ello:
Seleccionar o resaltar el nombre del servidor DNS recientemente creado

y hacer clic en propiedades.
Hacer clic en Reenviadores, luego clic en editar.

En la pantalla editar reenviadores, agregar la direccin IP del servidor
de reenvo DNS: (solictelo al instructor).
Volver a realizar las pruebas de resolucin del paso 1.

3. Volver al administrador DNS y observar los dominios y registros DNS del
cach.
Ingresar al administrador de DNS.
De la barra de men seleccionar la opcin Ver, luego Avanzada.
Ubicar la rama Bsqueda en cach, luego .(raz)
Observar que existen varios dominios (com, es, pe) dentro de los cuales
hay otros dominios (subdominios) y dentro de ellos existen registros (A,
NS, etc.)

.
42
4. Comprobar el acceso a internet. Observar que se est ingresando a internet

empleando el servidor DNS que se acaba de configurar.
CONFIGURACION DE ZONAS
En la mayora de casos no va a ser necesario configurar el servicio DNS, pues la
instalacin del Active Directory automticamente instala y configura el DNS. No
obstante es posible que se requiera configurar manualmente el servicio DNS (si no
se desea usar los valores configurados por defecto en la instalacin del Active
Directory, o si se desea que el servidor DNS sea diferente que el controlador de
dominio)
Configurar el servicio DNS y crear una zona de autoridad
1. En la Herramienta Administrador de DNS, hacer clic derecho en el nombre
del servidor, luego hacer clic en la opcin Configurar un Servidor DNS.
2. Aparecer el asistente para configurar el servidor DNS. Hacer clic en
Siguiente.
3. En la pgina Seleccione una accin de configuracin. Seleccionar:
Crear zonas de Bsqueda directa e inversa luego hacer clic en el
botn Siguiente.
4. En la pgina Zona de bsqueda directa. Seleccionar: Si, crear una zona

de bsqueda directa ahora. Hacer clic en el botn Siguiente.
5. En la pgina tipo de zona. Seleccionar, Zona Principal. Hacer clic en el
botn Siguiente.

.
43

6. En la pgina Nombre de zona. Ingresar el nombre de su dominio: ej.
Server100.com. Hacer clic en el botn Siguiente.
7. En la pgina Archivo de zona. Seleccionar crear un archivo nuevo con

este nombre de archivo. Aceptar el nombre sugerido. Hacer clic en el
botn Siguiente.
8. En la pgina actualizacin dinmica. Seleccionar No admitir
Actualizaciones Dinmicas. Hacer clic en el botn Siguiente.
9. En la pgina Zona de bsqueda Inversa. Seleccionar: Si, crear una zona
de bsqueda inversa ahora. Hacer clic en el botn Siguiente.
10. En la pgina Tipo de zona. Seleccionar, Zona principal. Hacer clic en el

botn Siguiente.
11. En la pgina Nombre de la zona de Bsqueda inversa: Seleccionar Zona
de bsqueda inversa para IPv4, hacer clic en Siguiente.
12. En la pgina Nombre de la zona de Bsqueda inversa: En el recuadro Id
de red, ingresar el nmero de red de su IP. Automticamente se generara
el nombre de la zona de bsqueda Inversa. Hacer clic en el botn
Siguiente.

.
44
13. En la pgina Archivo de zona. Seleccionar, Crear un archivo nuevo con

este nombre de archivo. Aceptar el nombre sugerido. Hacer clic en el
botn Siguiente.
14. En la pgina Actualizacin dinmica. Seleccionar no admitir
actualizaciones dinmicas. Hacer clic en el botn Siguiente.
15. En la pgina reenviadores. Seleccionar No, no reenviar consultas. Clic
en el botn Siguiente.
16. Hacer en el botn Finalizar.
Administracin de zonas
1. Crear el host test dentro del dominio creado.
Hacer clic en Inicio, seleccionar Herramientas administrativas, luego

DNS.
Dentro de la rama Zona de bsqueda directa, seleccionar el dominio

creado.
Hacer clic derecho y seleccionar la opcin Host Nuevo (A o AAAA)
En la casilla nombre escribir un nombre, por ejemplo test.

En la casilla Direccin IP escribir la direccin IP del Servidor DNS.
Hacer clic en el botn Agregar host, luego hacer clic en el botn Aceptar y
luego en el botn Realizado.

.
45
A partir de este instante la computadora tendr el nombre DNS adicional segn el

dominio que est usando (por ej.: test.Server100.com)
2. Realizar la prueba de resolucin de nombres DNS
Abrir una pantalla de smbolo de sistema.

Realizar una prueba de conectividad al nombre recin creado el cual est
asociada la computadora.
Si la resolucin no se realiza satisfactoriamente limpiar el cache del cliente DNS,

con el comando: ipconfig /flushdns.
3. Crear un alias con el nombre www para el host test creado en el dominio.
Ingresar a la herramienta Administrador de DNS.

Ingresar a la rama Zonas de bsqueda directa y seleccionar el dominio
creado.
Hacer clic derecho y seleccionar la opcin alias Nuevo (CNAME)
En la casilla Nombre de alias escribir www
En la casilla Nombre de dominio completo (FQDN) para el host destino:

escribir el nombre DNS del host test por ej.: test.server100.com
Hacer clic en el botn Aceptar

.
46
4. Comprobar la resolucin con el alias creado.
5. Crear un registro MX (Mail Exchanger) para un servidor de correo que es

representado por el registro Host mail creado en el paso anterior.
Seleccionar el dominio creado.
Hacer clic derecho y seleccionar la opcin Nuevo intercambio de correo
(MX)
En la casilla Nombre de dominio completo (FQDN) del servidor de
correo electrnico colocar el nombre DNS del Host mail, por ej.:
mail.server100.com
Hacer clic en el botn Aceptar.

.
47
6. Crear el dominio lima dentro del dominio creado.

Seleccionar el dominio creado.
Hacer clic derecho y seleccionar la opcin Dominio Nuevo
En la casilla Dominio DNS nuevo escribir el nombre del nuevo dominio.
Luego hacer clic en el botn Aceptar.
Archivos *.dns:
1. Actualizar los archivos DNS
Seleccionar el nombre de su servidor DNS, hacer clic derecho y seleccione

la opcin Actualizar archivos de datos del servidor.

.
48
Con la ayuda del bloc de notas, observar el contenido, de los archivos

*.DNS del directorio WINDOWS\system32\DNS. Observar y comparar la
informacin mostrada con los registros creados en el servidor DNS.
2. Los valores mostrados en el archivo DNS como: serial number, refresh, retry,
etc., pueden ser configurados desde el administrador DNS.
Ejecutar el administrador del servicio DNS.

Hacer clic en la zona a modificar por ej.: server100.com y luego seleccionar
la opcin Propiedades.
Seleccionar la hoja Inicio de autoridad (SOA). Desde esta pantalla

modificar los valores.
Luego de modificar los valores hacer clic en el botn Aceptar.

.
49
Comprobar que los cambios se apliquen visualizando los archivos con el

block de notas. (De ser necesario actualizar los archivos de datos del
servidor)
Uso de nslookup:
1. Nslookup es un comando que permite consultar los registros de un servidor
DNS.
Abrir una pantalla de smbolo de

sistema de Windows e ingresar el
comando nslookup
Aparecer un prompt de comandos (>)

Configurar el servidor como el servidor
predeterminado del comando. Ingresar
la direccin IP que le corresponda a su
servidor DNS.
Probar haciendo algunas resoluciones

2. Ver el tipo de consulta
Para verificar el tipo de consulta,

digite el comando: set all
3. Averiguar que servidor administra el
dominio. Escribir el dominio a
consultar.

.
50
4. Consultar los dominios creados, para visualizar el contenido de la zona creada.
FUNDAMENTO TERICO:
DNS (DOMAIN NAME SYSTEM)
El Sistema de Nombres de Dominios, en ingls
Domain Name System (DNS), es una base de
datos distribuida y jerrquica que almacena
informacin asociada a nombres de dominio. El
DNS es capaz de asociar distintos tipos de
informacin a cada nombre, los usos ms
comunes son la asignacin de nombres de
dominio a direcciones IP y la localizacin de los
servidores de correo electrnico de cada
dominio. El equipo en el cual se instala y configura el servicio DNS es llamado
servidor DNS.
DNS es la base del esquema de denominacin utilizada en internet y en las
organizaciones en general. DNS admite el acceso a recursos mediante el uso de
nombres alfanumricos, los cuales se ingresaran en aplicaciones tales como los
navegadores web en los equipos clientes.
DNS fue diseado para solucionar varios problemas surgidos con el aumento del:
Nmero de hosts en internet, ya que este aumento se da en forma

exponencial.

.
51
Trfico generado en el proceso de actualizacin de informacin referente a

los nombres de dominio existentes.
Tamao del antiguo archivo hosts con la actualizacin de los nuevos

dominios (el archivo hosts se empleaba antes de la llegada del DNS, en
este archivo se ingresaban todos los nombres con sus respectivos IPs).
ESPACIO DE NOMBRES DE DOMINIO
Los nombres de la base de datos DNS se establecen en una estructura lgica
ordenada en forma de rbol, a la cual se le conoce como espacio de nombres de
dominio. El nombre de dominio identifica la posicin de un dominio en el rbol de
nombres en relacin a su dominio principal.
Para utilizar y administrar un servidor DNS, el espacio de nombres de dominio
hace referencia a cualquier estructura de rbol de nombres de dominio en su
totalidad, desde la raz de nivel superior del rbol a las ramas de los niveles
inferiores.
El rbol debe cumplir las convenciones aceptadas para representar nombres DNS.
La convencin principal es: para cada nivel de dominio, se utiliza un punto (.)
con el fin de separar cada subdominio descendente de su dominio de nivel
primario.
Un dominio en DNS es cualquier rbol o sub rbol dentro del espacio de nombres
de dominio general. Aunque los nombres para dominios DNS se suelen utilizar
para denominar dominios de Active Directory, son diferentes de los dominios de
Active Directory y no deben confundirse.
DOMINIO RAIZ
Se llama as al nodo raz del rbol DNS. No tiene asignado un nombre (nulo). A
veces se representa en nombres DNS mediante un punto (.) para designar que el
nombre se encuentra en la raz o nivel ms alto de la jerarqua de dominios. Los
dems dominios parten del dominio raz.
Los servidores DNS del dominio raz (servidor raz) son aquellos que tienen la
informacin referente a los servidores de los dominios de nivel superior.
.
52

DOMINIO RAIZ EN INTERNET
Internet es un enorme rbol cuyas ramas se extienden por todo el mundo, pero
slo cuenta por ahora, con 13 slidas races, diez de ellas situadas en los EE UU,
estos son los llamados servidores raz de nombre de dominio (DNS root
servers), sustento imprescindible y por tanto el punto dbil de internet.
Estos servidores han sido identificados por las primeras 13 letras del alfabeto:
a) VeriSign es el root-server A (198.41.0.4). Est ubicado en Dulles (Virginia,
EE UU). Es bastante conocido por el escndalo de septiembre del 2003,
que intento establecer todas las peticiones errneas de un dominio .com o
.net a un servicio propio llamado SiteFinder. Evidentemente, multitud de
personas se escandalizaron, por las consecuencias de seguridad y
privacidad, y en febrero del 2004 se cerraba el servicio. Se encuentra
preparado ya para conexiones IPv6: 2001:503:BA3E::2:30.
b) Instituto para la formacin cientfica es el root-server B
(192.228.79.201). Est situado en marina del rey (California). Tambin est
preparado para conexiones IPv6: 2001:478:65::53.
c) Cogent Communications es el root-server C (192.33.4.12). Es una
multinacional fundada en 1999 situada en Washington.
d) Universidad de Maryland es el root-server D (128.8.10.90) situado en la
ciudad de College Park.
e) Centro de investigacin de Ames de la NASA es el root-server E

(192.203.230.10). El centro de investigacin est situado en Sillicon Valley
(California).
f) Consorcio de sistemas de internet (ISC) es el root-server F
(192.5.5.241), que en realidad no es un solo servidor fsico, sino un sistema
distribuido de varios servidores DNS a lo largo de varios lugares como

.
53

Ottawa, New York, Madrid, Roma, Paris, Barcelona, Buenos Aires, hasta
43 ciudades. Fue el primero de los 7 servidores DNS distribuidos
existentes. Tambin est preparado para conexiones IPv6: 2001:500:2F::F.
g) Departamento de defensa de EEUU es el root-server G (192.112.36.4) y
se encuentra ubicado en la ciudad de Ohio.
h) Laboratorio de investigacin de la armada de los EEUU es el rootserver H (128.63.2.53) tambin est preparado para conexin va IPv6:
2001:500:1::803F:235.
i) Autonomica/NORDUnet es el root-server I (192.36.148.17). Es otro de
los servidores distribuidos que abarca hasta 31 ciudades diferentes
(Helsinki, Miln, Londres, Chicago, Bruselas entre otros.).
j) VeriSign tiene un segundo servidor DNS, el root-server J
(192.58.128.30). Este a diferencia del primero, es un servidor distribuido a
lo largo de 37 ciudades (Viena, Miami, Atlanta, Seattle, Tokio, Sel, Praga,
Madrid,..). Tambin est preparado para conexiones IPv6: 2001:
503:C27::2:30.
k) Centro de coordinacin de redes IP europeas es el root-server K
(193.0.14.129). Como los servidores anteriores, dispone de una red de
distribucin (Londres, msterdam, Frankfurt, Budapest, Delhi,). Est
preparado para conexiones IPv6: 2001:7FD::1
l) Corporacin de internet para la asociacin de nombres y nmeros es
el root-server L (199.7.83.42). Se basa en un servidor distribuido entre los
ngeles y Miami (Estados Unidos).
m) WIDE Project es el root-server M (202.12.27.33). Sistema distribuido entre
6 lugares entre los que se encuentran varias ciudades de Tokio, Sel, Paris
y san Francisco. Esta tambin preparado para IPv6:2001:DC3::35.
ICANN (INTERNET CORPORATION FOR ASSIGNED NAMES AND NUMBER)
Es la organizacin que gestiona de manera global los servidores raz por
concesin del gobierno estadounidense. Como organizacin privada pblica se
dedica preservar la estabilidad operacional de Internet, promover la competencia,
lograr una amplia representacin de las comunidades mundiales de internet y
desarrollar las normativas adecuadas a su misin por medio de procesos basados
en el consenso.
DOMINIO DE NIVEL SUPERIOR:
Normalmente un dominio de nivel superior se establece como un cdigo dos, tres
o cuatro caracteres que identifica el estado organizativo o geogrfico para el
.
54

nombre de dominio. El dominio de nivel superior es la parte posterior (extremo
derecho) de un nombre completo de dominio. Por ejemplo: www.microsoft.com,
el dominio de nivel superior es .com, que indica que este nombre ha sido
registrado por una organizacin para uso comercial.
Los dominios de nivel superior se dividen en dominios territoriales y dominios
genricos, (por ejemplo: .com, .name, .net, .org, .info, .biz, etc.). Los dominios
genricos se diferencian de los dominios territoriales en que no son controlados ni
gestionados por ningn pas, sino por organismos gestores de internet (ICANN) e
internacionales.
Los dominios territoriales dependientes de su ubicacin se citan a continuacin:

Dentro de los dominios genricos, existen dos categoras: los patrocinados y los
no patrocinados. Los primeros reciben el apoyo de organismos privados, mientras
que los segundos, por ser considerados de inters pblico, son mantenidos y
regulados directamente por la ICANN y las entidades internacionales.
A continuacin se muestra algunos dominios genricos:

.
55

DOMINIO DE SEGUNDO NIVEL
Un nombre de dominio de segundo nivel es un nombre nico de longitud variable
que interNIC registra formalmente para un profesional u organizacin que se
conecta a internet. En el ejemplo: www.microsoft.com el nombre de dominio de
segundo nivel es .microsoft del mismo, que InterNIC registra y asigna Microsoft
corporation.
SUBDOMINIO
Adems de un nombre de segundo nivel que este registrado en InterNIC, una gran
organizacin puede subdividir su nombre de dominio registrado agregando
subdivisiones o departamentos por una parte de nombre independiente. A
continuacin se muestra ejemplos de subdominios: .sales.microsoft.com,
.finance.microsoft.com.
NOMBRE DE DOMINIO COMPLETO
Un nombre de dominio completo (FQDN) es un
nombre de dominio DNS que se ha
determinado de forma inequvoca para indicar
con una certeza absoluta su ubicacin en el
rbol del espacio de dominio.
Los caracteres que son vlidos para nombre
DNS son: A Z, a z, 0 9, -. El caracter
subrayado (_) est reservado.
COMPONENTES DE DNS
Una solucin DNS est compuesto de los elementos siguientes: servidor o
servidores DNS, cliente DNS, clientes DNS y los registros de recursos DNS.
CONSULTAS DNS
Una consulta DNS se genera cuando la aplicacin cliente del DNS solicita al
servidor DNS la direccin IP de un nombre dado. La consulta DNS es la manera
en la que el servicio o la aplicacin obtienen la direccin IP del recurso para poder
tener acceso a l. Un cliente puede emitir una consulta a un servidor DNS, el
.
56

servidor DNS puede emitir una consulta a otros servidores DNS. Hay dos tipos de
consultas: Consultas Recursivas, Consultas Iterativas.
SERVIDORES DNS AUTORIZADOS
Un servidor DNS puede estar autorizado o no para el espacio de nombres de la
consulta. Estar autorizado quiere decir que un servidor DNS aloja una copia
principal o secundaria de una zona DNS. Si el servidor DNS est autorizado para
el espacio de nombres de la consulta, el servidor DNS realizara una de las
acciones siguientes:
Comprobar la cach, comprobar la zona y devolver la IP solicitada.
Devolver un nmero de autorizacin.
SERVIDORES DNS NO AUTORIZADOS
Si el servidor DNS local no est autorizado para el espacio de nombres de la
consulta, realizara una de las acciones siguientes:
Reenviar la consulta que no pueda resolverse a un servidor especfico

llamado renviador.
Utilizar direcciones reconocidas de varios servidores raz para subir en el

rbol DNS y localizar una respuesta para la consulta. Este proceso se
denomina tambin sugerencias de raz.
CONSULTAS RECURSIVAS
El cliente solicita al servidor DNS que proporcione una respuesta completa a la
consulta. En una consulta recursiva, se pide al servidor DNS consultado que
responda con una de las respuestas siguientes:
Los datos solicitados

Un error que establecen que los datos del tipo solicitado no existen
Una respuesta que establece que el nombre de dominio especificado no
existe
Una consulta recursiva no puede redirigirse a otro servidor DNS
FUNCIONAMIENTO DE UNA CONSULTA RECURSIVA
El cliente enva una consulta recursiva, luego el servidor DNS local comprueba la
zona de bsqueda directa y la cach para una respuesta a la consulta.
Si se encuentra la repuesta a la consulta, el servidor DNS la devuelve al cliente. Si
no encuentra respuesta, el servidor DNS utiliza una direccin de renviador o
sugerencia de raz para encontrarla. El servidor DNS localiza el servidor DNS
autorizado para el dominio solicitado. Si el servidor DNS est autorizado para el
dominio, este busca la zona para el registro de recursos. Si el registro existe, el

.
57

servidor devuelve la direccin IP para el registro consultado. Si no existe, el
servidor DNS informa al cliente de que el registro no se encontr.
SUGERENCIA DE RAIZ
Es un registro de recursos DNS almacenado en un
servidor DNS que indica las IP para los servidores
raz DNS. Cuando el servidor DNS recibe una
consulta DNS, comprueba la cach. Entonces, el
servidor DNS intenta localizar el servidor DNS
autorizado para el dominio consultado. Si el servidor
DNS no tiene la direccin IP del servidor DNS
autorizado para dicho dominio y si el servidor DNS
est configurado con las direcciones IP de las
sugerencias raz, el servidor DNS consultara a un
servidor raz el dominio a la izquierda del dominio
raz de la consulta.
El servidor raz DNS devuelve entonces la direccin IP del dominio a la izquierda
del dominio raz y el servidor DNS continua analizando el nombre de dominio
completo hasta localizar el dominio autorizado.
Las sugerencias de raz se almacenan en el
archivo cache.dns, que se encuentra en la carpeta
%SystemRoot%\System32\Dns\Cache.dns.
En circunstancias normales, las sugerencias de
raz indican las direcciones IP para los servidores
raz DNS que interNIC mantiene en Internet. Las
sugerencias de raz tambin apuntan a un servidor
.
58

DNS local. Si las sugerencias de raz apuntan a un servidor local, los nicos
nombres que estarn disponibles para resolucin son aquellos a los que el
servidor DNS puede hacer referencia (normalmente, solo direcciones locales).
Esta configuracin a veces puede utilizarse para incrementar la seguridad, puesto
que en ella solo pueden resolverse los dominios internos.
CONSULTAS ITERATIVAS
Es efectuada a un servidor DNS, el cliente DNS solicita la mejor respuesta que el
servidor DNS puede proporcionar. En una consulta Iterativa, el servidor de
nombres consultado devuelve al solicitante la mejor respuesta que tiene
actualmente. Las respuestas a consultas iterativas pueden ser:
Respuestas positivas
Respuestas negativas
Referencias a otros servidores

Es el servicio cliente DNS en el servidor DNS local el que emite la consulta
iterativa.
REFERENCIA
Una referencia es una lista de objetivos, que pasan desapercibidos para el
usuario, que un cliente recibe de DNS cuando el usuario est teniendo acceso a
una raz o a un vnculo en el espacio de nombres DNS. La informacin de
referencia se almacena en la cach del cliente durante un perodo especificado en
la configuracin DNS.
Si el servidor DNS consultado no tiene una coincidencia exacta para el nombre
consultado, la mejor informacin que puede devolver es una referencia. Una
referencia apunta a un servidor DNS que est autorizado para un nivel inferior del
espacio de nombres de dominio.
El cliente DNS, en el servidor DNS local, puede consultar al servidor DNS para el
que obtuvo una referencia. Este proceso contina hasta que localiza un servidor
DNS que est autorizado para el nombre consultado o bien hasta que se genere
un error o se cumpla una condicin de tiempo de espera.
RECURSIVIDAD
La recursividad es una funcin del servidor DNS con la que un servidor DNS emite
una serie de varias consultas iterativas a otros servidores DNS al mismo tiempo
que responde a una consulta recursiva que emite un cliente DNS.
Los servidores DNS consultados devuelven referencias, que el servidor que
realiza la consulta sigue hasta recibir una respuesta definitiva. La recursividad

.
59

finaliza siempre cuando un servidor propietario del espacio de nombres
proporciona una respuesta positiva o negativa.
FUNCIONAMIENTO DE UNA CONSULTA ITERATIVA

Por ejemplo dado el nombre de Host webserver1.training.microsoft.com como
nombre a resolver en la consulta. El proceso que se utiliza es el siguiente:
1. El servidor DNS local recibe la consulta recursiva del cliente DNS.
2. El servidor DNS local enva una consulta iterativa al servidor raz para obtener
un servidor de nombres autorizado.
3. El servidor raz responde con una referencia a un servidor DNS cercano al
nombre de dominio enviado, en este caso, el que tiene la autoridad sobre el
dominio .com.
4. El servidor DNS local realiza una consulta iterativa al servidor DNS con
autoridad en el dominio .com, y este le responde con el IP del servidor DNS que
tiene autoridad en el dominio .microsoft.
5. El servidor DNS con autoridad en el dominio Microsoft, le responde al servidor
DNS local que inicio el proceso de consulta, desde el paso 1, entregndole el
IP de webserver1.
6. El servidor local, entregar dicho IP a su cliente DNS, y este podr comunicarse
con Webserver1.training.microsoft.com.
Finalmente, tenemos la comunicacin entre el cliente DNS del dominio
stanford.edu con webserver1.training.microsoft.com.

.
60

REENVIADORES
Un reenviador es un servidor DNS designado por otros servidores DNS internos
para reenviar consultas y resolver nombres de dominio DNS externos o fuera del
sitio. Cuando un servidor de nombres DNS recibe una consulta, intenta localizar la
informacin solicitada dentro de los archivos de su propia zona. Si no lo consigue,
bien porque el servidor no est autorizado para el dominio solicitado o bien porque
no tenga el registro de una bsqueda anterior almacenado en la cach, el servidor
debe comunicarse con otros servidores de nombres para resolver la solicitud. En
una red conectada globalmente como Internet, las consultas DNS que estn fuera
de una zona local pueden necesitar la interaccin con servidores de nombres DNS
en vnculos de la red de rea extensa (WAN) fuera de la organizacin. La creacin
de reenviadores DNS es una manera de designar servidores de nombres
especficos como responsables del trfico DNS basado en WAN.
Se pueden seleccionar servidores de nombres DNS especficos para ser

reenviadores, en cuyo caso sus servidores resolvern consultas DNS en nombre
de otros servidores DNS.
PROCESO DE LOS REENVIADORES DNS

Cuando un servidor DNS local no ha conseguido resolver el nombre solicitado con
sus archivos de zona y los datos almacenados en la cach, reenva la consulta al

.
61

reenviador. El reenviador empieza el proceso de enviar a otros servidores de
nombres consultas iterativas.
Los reenviadores DNS utilizan el proceso siguiente:
1. El servidor DNS local recibe una consulta recursiva de un cliente DNS. Por
ejemplo, el servidor DNS local recibe una consulta recursiva de computer1.
2. El servidor DNS local renva la consulta al reenviador.
3. El reenviador enva una consulta iterativa al servidor raz para obtener un
nombre autorizado de un servidor de nombres autorizado.
4. El servidor raz responde con una referencia a un servidor DNS cercano al
nombre de dominio enviado. Por ejemplo, el servidor raz responde con una
referencia al servidor DNS para .com.
5. El reenviador realiza una consulta iterativa al servidor DNS que est ms cerca
del nombre de dominio enviado. Por ejemplo, el reenviador efecta entonces
una consulta iterativa al servidor DNS para .com.
6. El proceso contina hasta que el reenviador recibe una respuesta autorizada.
Por ejemplo, el servidor DNS para .com responde con una referencia al servidor
DNS para nwtraders.com. Despus, el reenviador enva una consulta iterativa al
servidor DNS para que nwtraders.com obtenga un servidor de nombres
autorizado. El reenviador recibe entonces una respuesta autorizada del servidor
DNS para nwtraders.com.
7. El reenviador enva la respuesta al servidor DNS local, que enva entonces la
respuesta al cliente DNS. Por ejemplo, el reenviador enva la respuesta al
servidor DNS local, que enva entonces la respuesta a computer1.
COMPORTAMIENTO DEL REENVIADOR
Los servidores de nombres que no son reenviadores pueden configurarse para
utilizar reenviadores. Un servidor DNS puede configurarse con la direccin de uno
o varios reenviadores. Los reenviadores definidos pueden estar configurados para
realizar consultas por dominios concretos (reenvo condicional) o bien de forma
general para cualquier dominio no resuelto localmente.
Un servidor de nombres puede utilizar un reenviador en modo exclusivo o no
exclusivo:
En modo no exclusivo, si el reenviador no puede resolver la consulta, el

servidor de nombres que recibi la consulta original intenta resolver la
consulta por s mismo.
En modo exclusivo, si el reenviador no puede resolver la consulta, el

servidor de slo reenvo devuelve un error de consulta al solicitante original.

.
62

Los servidores de slo reenvo no intentan resolver la solicitud por s
mismos si el reenviador no puede resolverla.
El reenvo condicional permite a un servidor DNS utilizar un reenviador cuando el
servidor resuelve un conjunto de dominios seleccionado. Por ejemplo, el reenvo
condicional permitira a un servidor DNS reenviar solicitudes de resolucin de
direcciones IP para hosts en una organizacin asociada que tenga una
infraestructura DNS privada para su servidor DNS, mientras que todas las dems
solicitudes podran resolverse normalmente.
ALMACENAMIENTO EN CACH DEL SERVIDOR DNS
El almacenamiento en cach es el proceso de almacenar de forma temporal la
informacin a la que se ha tenido acceso recientemente en un subsistema
especial de memoria para agilizar el acceso posterior.
El almacenamiento en cach proporciona respuestas ms rpidas a las solicitudes
y reduce el trfico de red DNS. Mediante el almacenamiento en cach de las
respuestas DNS, el servidor DNS puede resolver las solicitudes futuras para dicho
registro desde la cach. De este modo se reduce enormemente el tiempo de
respuesta y se elimina el trfico de red que se genera al enviar la solicitud a otro
servidor DNS.
Cuando un servidor est procesando una consulta recursiva, se le podra pedir
que distribuya varias solicitudes para encontrar la respuesta definitiva. En el caso
ms desfavorable para resolver un nombre, el servidor de nombres local empieza
en la parte superior del rbol DNS con uno de los servidores de nombres raz y va
bajando hasta encontrar los datos solicitados.
El servidor almacena en la cach toda la informacin que recibe durante este
proceso durante un perodo de tiempo especificado en los datos devueltos. Este
intervalo de tiempo se denomina perodo de vida (TTL, Time to Live) y se
especifica en segundos. El administrador del servidor para la zona principal que
contiene los datos decide el TTL para los datos. Los valores de TTL menores
ayudan a asegurar que la informacin acerca del dominio es ms coherente en la
red, en caso que estos datos cambien a menudo. No obstante, un perodo de vida
menor incrementa la carga en los servidores de nombres que contienen el nombre
y tambin incrementa el trfico de Internet. Puesto que los datos se almacenan en
la cach, los cambios efectuados en registros de recursos podran no estar
disponibles inmediatamente en todo Internet.
Una vez que un servidor DNS almacena los datos en la cach, el perodo de vida
empieza a contar de manera que el servidor DNS sabr cundo borrarlos de su
.
63

cach. Cuando el servidor DNS responde a una solicitud con sus datos
almacenados en la cach, incluye el perodo de vida restante para los datos. El
servicio de resolucin almacena estos datos en la cach y utiliza el TTL que enva
el servidor.
Como sabemos, cuando un servidor DNS, est siendo consultado por sus clientes
DNS, la informacin sobre los IP ubicados despus de las consultas necesarias,
queda almacenada por un tiempo determinado, en la cach DNS:
ALMACENAMIENTO EN CACH DE REFERENCIAS NO ENCONTRADAS

Adems de almacenar en la cach las respuestas positivas a consultas (que
contienen informacin de registro de recursos en la respuesta) de servidores DNS,
el servicio Cliente DNS tambin almacena en cach las respuestas negativas a las
consultas. Una respuesta negativa se genera cuando no existe un registro de
recursos para el nombre consultado.
.
64

El almacenamiento en cach de referencias no encontradas (o de respuestas
negativas) impide la repeticin de solicitudes adicionales para nombres que no
existen. Cualquier informacin de solicitud que se almacene en la cach e indique
que la referencia no se ha encontrado se guarda durante un perodo ms breve
que las respuestas positivas a las solicitudes: de manera predeterminada, no ms
de cinco minutos. El valor de cinco minutos limita el almacenamiento en cach
continuado de respuestas negativas con informacin antigua si los registros pasan
a estar disponibles ms tarde.
SERVIDORES SLO OBTENER

Aunque todos los servidores de nombres DNS almacenan en la cach las
consultas que han resuelto, los servidores slo obtener son servidores de nombres
DNS cuya nica tarea es realizar consultas, almacenar las respuestas en la cach
y devolver los resultados. No estn autorizados para ningn dominio y slo
contienen informacin que han almacenado en la cach mientras resolvan
solicitudes. Los servidores slo obtener no tienen zonas principales o
secundarias.
Un servidor DNS que ejecute Windows Server 2008 en su configuracin de
instalacin inicial no tiene ninguna zona. Con la ayuda de sugerencias de raz, se
convierte en un servidor slo obtener en su estado inicial.
BORRAR LA CACH DEL SERVIDOR DNS CON LA CONSOLA DNS
Para borrar la cach del servidor DNS con la consola DNS:
1. Abra la consola DNS.
2. En la consola DNS, seleccione el servidor.
3. En el men Accin, haga clic en Borrar cach.
CACH EN EL CLIENTE DNS

El solucionador de cliente DNS tambin almacena en cach la informacin de las
asignaciones resueltas de hosts a direcciones IP. El cliente DNS revisa primero la
.
65

cach local antes de entrar en contacto con el servidor DNS. Los clientes DNS
tambin
pueden
realizar
almacenamiento en cach de
respuestas negativas o referencias
no encontradas.
Para ver el cach local se emplea el
comando
IPCONFIG
/DISPLAYDNS y para borrarlo el
comando IPCONFIG /FLUSHDNS.
CONFIGURACIN DE LAS PROPIEDADES DEL SERVIDOR DNS
Luego de realizar la instalacin del servicio Servidor DNS, debemos realizar
algunas configuraciones importantes.
A continuacin realizaremos algunos procedimientos para realizar las siguientes
configuraciones:
Actualizar sugerencias de raz en un servidor DNS
Configurar un servidor DNS de modo que use un reenviador

Borrar la cach del servidor DNS con la consola DNS
Borrar la cach del servidor DNS con el comando dnscmd

1. Actualizar sugerencias de raz en un servidor dns:
Tener las sugerencias raz, es de gran importancia, por ello indicaremos los
procedimientos a seguir:
a. Nos ubicamos en la consola
DNS.
b. Luego en las ubicamos en las
propiedades del servidor.
c. En
las
propiedades
del
servidor, nos ubicamos en la
ficha sugerencias de raz, y
luego encontraremos el listado
de los servidores raz, estos
registros
pueden
ser
modificados, quitados o agregados.
d. Por ejemplo, supongamos que no tenemos ingresado el servidor M, por
lo tanto, lo podemos agregar, ingresando su nombre y luego hacemos
clic en Resolver para que nos muestre su IP, y finalmente, hacemos clic
en Aceptar.
.
66

2. Configurar un Servidor DNS para que utilice un reenviador:
a. Para esto, nos ubicaremos en la
consola DNS, haremos clic
secundario en el servidor DNS, y
escogeremos sus propiedades.
b. Luego escogeremos la ficha:
Reenviadores y hacemos clic en
Editar:
c. Finalmente, se agregarn los IP
de los servidores que se utilizarn
de reenviadores.
3. Borrar la cach del servidor DNS con la consola DNS:
a. Para esto, nos ubicaremos en
la
consola
DNS,
y
verificaremos el contenido de
la cach DNS:
b. Luego, borraremos la cach
DNS,
haciendo
clic
secundario en el servidor, y
escoger la opcin Borrar
cach.
c. Finalmente, verificaremos el
borrado.
4. Borrar la cach del servidor DNS con el comando dnscmd:
a. Para ello debo ingresar a la ventana de comandos, y colocar el siguiente
comando: dnscmd /clearcache

.
67
ZONAS DNS
Los datos DNS, se almacenan y mantienen, como registros de recursos (RR).
Un registro de recursos (RR) es una estructura de base de datos DNS estndar
que contiene informacin para procesar consultas DNS.
Existen diversos tipos de registros de recursos (R.R), tales como:

ALIAS (CNAME):
Registro de alias. Indica un nombre de dominio DNS alternativo o de alias para un
nombre ya especificado en otros tipos de registros de recursos utilizados en esta
zona. Este registro tambin se conoce como tipo de registro de nombre cannico
(CNAME). (RFC 1035)
BASE DE DATOS AFS:
Registro de servicio de base de datos del sistema de archivos Andrew (AFSDB).
Indica la ubicacin de uno de los siguientes subtipos de servidor estndar: un
servidor de ubicacin de volumen AFS (base de datos de celdas) o un servidor de
nombres autenticado de Entorno de computacin distribuida (DCE). Tambin
admite otros subtipos de servidor definidos por el usuario que utilizan el formato de
registro de recurso AFSDB. (RFC 1183)
BUZN (MB):
Registro de buzn (MB). Asigna un nombre de buzn de dominio especificado a
un host que hospeda este buzn. (RFC 1035)
BUZON CON NOMBRE CAMBIADO (MR):
Registro de buzn con nombre cambiado (MR). Especifica un nombre de buzn de
dominio que es el nuevo nombre apropiado de un buzn especificado existente
(especificado en un buzn o un tipo de registro MB existente en esta zona). El uso

.
68

principal para un registro MB es como entrada de retransmisin para un usuario
que se ha cambiado a un buzn diferente. Si se usan, los registros MR no
producen procesamiento de secciones adicionales. (RFC 1035)
CLAVE PBLICA (KEY):
Registro de clave pblica (KEY). Almacena una clave pblica relacionada con un
nombre de dominio DNS. Esta clave pblica puede ser una zona, usuario, un host
u otra entidad. Un registro de recurso KEY se autentica usando un registro de
recurso SIG. Una clave de nivel de zona debe escribirse como KEYs.
DIRECCIN ATM (ATMA):
Registro de direccin ATM (ATMA). Asigna un nombre de dominio DNS a una
direccin ATM.
FIRMA (SIG):
Registro de informacin de cifrado (SIG). Autentica un registro de recurso
configurado a un tipo, clase, nombre particular y lo nombra y enlaza a un intervalo
de tiempo y al nombre de dominio DNS del usuario. Esta autenticacin y enlace se
realizan usando tcnicas de cifrado y la clave privada del usuario. El usuario,
usualmente, es el propietario de la zona de la cual se origin el registro de
recurso.
GRUPO DE CORREO (MG):
Registro de grupo de correo (MG). Agrega buzones de dominio, cada uno
especificado por un registro de buzn (MB) en la zona actual, como miembros de
un grupo de correo de dominio identificado por nombre en este registro. (RFC
1035)
HOST(A AAAA)
Registro de direccin de host (A o AAAA). Asigna un nombre de dominio DNS a
una direccin IP versin 4 de 32 bits (RFC 1035) o a una direccin IP versin 6 de
128 bits (RFC 1886).
INFORMACIN DE BUZN (MINFO):
Registro de informacin de buzn o de lista de correo (MINFO). Especifica el
nombre de un buzn del dominio con el que ponerse en contacto. Este contacto
mantiene una lista de correo o un buzn especificado en este registro. Tambin
especifica un buzn para recibir mensajes de error relacionados con la lista de
correo o con el buzn especificado en este registro. (RFC 1035)
INFORMACIN DEHOST (HINFO):
Registro de informacin de host (HINFO). Indica valores de cadena de caracteres
reservados RFC-1700 para los tipos de CPU y sistema operativo con el fin de
.
69

asignarlos a determinados nombres de host DNS. Esta informacin la utilizan los
protocolos de aplicacin, como FTP, que pueden emplear procedimientos
especiales en la comunicacin entre equipos que tienen el mismo tipo de CPU y
sistema operativo. (RFC 1035)
INTERCAMBIADOR DE CORREO (MX):
Registro de intercambiador de correo (MX). Proporciona enrutamiento de
mensajes a un host especificado de intercambio de correo que acta como
intercambiador de correo para un determinado nombre de dominio DNS. Los
registros MX utilizan un entero de 16 bits para indicar la prioridad del host en el
enrutamiento de mensajes cuando se especifican varios hosts de intercambio de
correo. Para cada host de intercambio de correo especificado en este tipo de
registro se necesita un registro de tipo direccin (A) del host correspondiente.
(RFC 1035)
ISDN:
Registro de Red digital de servicios integrados (ISDN). Asigna un nombre de
dominio DNS a un nmero de telfono ISDN (RDSI). Los nmeros de telfono
ISDN utilizados con este registro cumplen los estndares internacionales de
numeracin telefnica CCITT E.163 y E.164. (RFC 1183)
PERSONA RESPONSABLE (RP):
Registro de persona responsable (RP). Especifica el nombre de buzn del dominio
para una persona responsable y asigna su nombre a un nombre de dominio para
el que existen registros de recursos de texto (TXT). Cuando se utilizan registros
RP en consultas DNS, es posible anidar consultas subsiguientes para recuperar la
informacin del registro de texto (TXT) asignada mediante el tipo de registro RP.
(RFC 1183)
PUNTERO (PTR):
Registro de puntero (PTR). Seala a una ubicacin del espacio de nombres de
dominio. Los registros PTR suelen utilizarse en dominios especiales para realizar
bsquedas inversas de asignaciones entre direcciones y nombres. Cada registro
proporciona datos sencillos que sealan a otra ubicacin diferente del espacio de
nombres de dominio (normalmente, una zona de bsqueda directa). Cuando se
utilizan registros PRT, no hay procesamiento de secciones adicionales implcita o
debido a su presencia. (RFC 1035)
REGISTRO DE SERVICIO (SRV):
Permite a los administradores utilizar varios servidores para un nico dominio
DNS, mover fcilmente un servicio TCP/IP de un host a otro con administracin y
.
70

designar algunos hosts de proveedores de servicios para un servicio y otros hosts
como reserva. Los clientes DNS que utilizan una consulta de tipo SRV piden un
determinado servicio y protocolo TCP/IP asignado a un dominio DNS especfico y
reciben los nombres de todos los servidores disponibles. (RFC 2052)
RUTA DIRECTA (RT):
Registro de ruta directa (RT). Proporciona un enlace de ruta directa intermedia
para los hosts internos que no tienen su propia direccin de Red de rea extensa
(WAN) directa. Este registro utiliza el mismo formato de datos que el tipo de
registro MX para indicar dos campos obligatorios: un entero de 16 bits que
representa la preferencia para cada ruta intermedia y el nombre de dominio DNS
para el host de ruta directa tal y como aparece en un registro A, X25 o ISDN para
la zona. (RFC 1183)
SERVICIOS BIEN CONOCIDOS (MKS):
Registro de servicio bien conocido (WKS). Describe los servicios TCP/IP bien
conocidos compatibles con un protocolo especfico en una determinada direccin
IP. Los registros WKS proporcionan informacin de disponibilidad de TCP y UDP
para los servidores TCP/IP. Si un servidor acepta TCP y UDP para un servicio
bien conocido o si el servidor tiene varias direcciones IP que admiten un servicio,
se utilizarn varios registros WKS. (RFC 1035)
SIGUIENTE DOMINIO (NXT)
Siguiente (NXT) registro. Los registros de recursos NXT indican que un nombre no
existe en una zona, para lo que crean una cadena de todos los nombres literales
de propietario de esa zona. Tambin indican los tipos de registro de recurso
presentes para un nombre existente.
TEXTO (TXT):
Registro de texto (TXT). Contiene una cadena de caracteres que sirve como texto
descriptivo que se asociar con un determinado nombre de dominio DNS. La
semntica del texto descriptivo real utilizado como datos con este tipo de registro
depende del nombre DNS donde se encuentran estos registros. (RFC 1035)
X.25
Registro X.25 (X25). Asigna un nombre de dominio DNS a una direccin de Red
pblica de conmutacin de datos (PSDN), como direcciones X.121 que suelen
utilizarse para identificar cada punto de servicio ubicado en una red pblica X.25.
(RFC 1183)

.
71
Para agregar registros de recursos, es necesario disponer de una estructura en

DNS que pueda albergarlos. Estos contenedores lgicos se denominan zonas en
DNS. Cuando se crea una zona, se crea un archivo de zona para almacenar las
propiedades de zona y registros de recursos. Hay varias configuraciones
diferentes de zonas en DNS y las zonas que se crearn vienen dictadas por las
necesidades de DNS en el entorno.
Una zona es una parte de la base de datos DNS que contiene los registros de
recursos con los nombres de propietario que pertenecen a la parte contigua del
espacio de nombres DNS.
Un archivo de zona es el archivo del disco duro local del servidor DNS que
contiene toda la informacin de configuracin para una zona y los registros de
recursos contenidos en ella.

.
72

Una vez creadas las zonas DNS y cuando contengan registros de recursos, el
servicio DNS podr realizar la resolucin de nombres de host.
Consideraciones acerca de las Zonas
Una zona puede albergar los registros de recursos para un dominio o los registros
de recursos para varios dominios. Una zona puede alojar ms de un dominio slo
si los dominios son contiguos; es decir, estn conectados mediante una relacin
primario - secundario directa.
Una zona es tambin el representante fsico de un dominio o dominios DNS. DNS
permite que un espacio de nombres DNS se divida en zonas. Para cada nombre
de dominio DNS incluido en una zona, la zona se convierte en la fuente autorizada
de informacin acerca de dicho dominio.
Los archivos de zona se mantienen en servidores DNS. Un nico servidor DNS se
puede configurar para alojar ninguna, una o varias zonas. Cada zona puede estar
autorizada para un dominio DNS o para ms de uno siempre que sean contiguos
en el rbol DNS. Las zonas pueden almacenarse en archivos de texto sin formato
o en la base de datos de Active Directory.
Entre las caractersticas de una zona se incluyen las siguientes:
1. Una zona es un conjunto de asignaciones entre nombres de host y
direcciones IP para los hosts en una parte contigua del espacio de nombres
DNS.
2. Los datos de zona se mantienen en un servidor DNS y se almacenan de
una de las dos maneras siguientes:
Como archivo de zona sin formato que contiene listas de asignaciones
En una base de datos de Active Directory

3. Un servidor DNS est autorizado para una zona si aloja los registros de
recursos para los nombres y las direcciones que los clientes solicitan en el
archivo de zona.
4. Una zona DNS puede ser:
Un tipo de zona principal, secundaria o de cdigo auxiliar.
Una zona de bsqueda directa o inversa.

TIPOS DE ZONA DNS
Al configurar un servidor DNS, puede configurarlo con varios tipos de zona o con
ninguna, segn el tipo de funcin que el servidor DNS desempee en la red. Hay
numerosas opciones para realizar una configuracin ptima del servidor DNS,
basadas en decisiones tomadas segn, por ejemplo, la topologa de red y el

.
73

tamao del espacio de nombres. La
operacin normal del servidor DNS
implica tres zonas:
Zona principal
Zona secundaria
Zona de cdigo auxiliar
Mediante el uso de zonas diferentes,
puede configurar la solucin DNS para
ajustarse mejor a sus necesidades. Por
ejemplo, se recomienda configurar una
zona principal y una zona secundaria en servidores DNS independientes, para
proporcionar tolerancia a errores en caso de que un servidor falle. Si la zona se
mantiene en un servidor DNS independiente, se puede configurar una zona de
cdigo auxiliar.
Zona principal
Una zona principal es la copia autorizada de la zona DNS, donde se crean y
administran registros de recursos. Al configurar servidores DNS con el fin de alojar
zonas para un dominio, el servidor principal suele estar ubicado donde sea
accesible para administrar el archivo de zona.
Zona secundaria
Una zona secundaria es una copia de la zona DNS que contiene la copia de slo
lectura de la zona DNS. Los registros de la zona secundaria no pueden
modificarse; los administradores slo pueden modificar registros de la zona DNS
principal.
Normalmente, se configura al menos un servidor secundario para tolerancia a
errores. No obstante, se podran configurar varios servidores secundarios en otras
.
74

ubicaciones para que los registros de la zona pudieran resolverse sin que la
solicitud cruzara vnculos WAN.
Zona de cdigo auxiliar
Las zonas de cdigo auxiliar son copias de una zona que contienen slo los
registros de recursos necesarios para identificar el servidor DNS autorizado para
dicha zona. Una zona de cdigo auxiliar contiene un subconjunto de datos de zona
que consta de un registro SOA, NS y A, tambin conocido como registro de
adherencia. Una zona de cdigo auxiliar es como un marcador que simplemente
apunta al servidor DNS que est autorizado para dicha zona.
Las zonas de cdigo auxiliar pueden utilizarse donde las sugerencias de raz
apuntan a un servidor DNS interno, en lugar de a servidores raz en Internet. Por
razones de seguridad, el servidor DNS est diseado slo para resolver ciertas
zonas.
ZONAS DE BSQUEDA DIRECTA E INVERSA
Una vez que haya decidido si la zona es de tipo principal, secundaria o de cdigo
auxiliar, debe decidir en qu tipo de zona de bsqueda se almacenarn los
registros de recursos, que pueden almacenarse en zonas de bsqueda directa o
en zonas de bsqueda inversa. Una asignacin puede almacenarse como una
asignacin entre un nombre de host y una direccin IP o a la inversa. Puede elegir
el tipo de asignacin necesario para una zona, en funcin de cmo desee que los
clientes y servicios consulten registros de recursos.
Zona de bsqueda directa
En DNS, una bsqueda directa es un proceso de consulta en el que se busca el
nombre para mostrar del dominio DNS de un equipo host para encontrar su
direccin IP.
En el Administrador de DNS, las zonas de bsqueda directa se basan en los
nombres de dominio DNS y suelen alojar registros de recursos de direccin de
host (A).
Zona de bsqueda inversa
En DNS, una bsqueda inversa es un proceso de consulta mediante el cual se
busca la direccin IP de un equipo host para encontrar su nombre para mostrar en
el dominio DNS.
En el Administrador de DNS, las zonas de bsqueda inversa se basan en su
nombre de dominio in-addr.arpa y suelen albergar registros de recursos de
puntero (PTR).

.
75
CREACIN DE ZONAS
A continuacin se detallan los procesos para configurar los distintos tipos de Zona
Creacin de zona de bsqueda directa tipo principal
Para configurar una zona de bsqueda directa en un tipo de zona principal:
2. En la consola DNS, haga clic con el botn secundario del mouse en el servidor
DNS y, despus, haga clic en Zona nueva.
3. En la pgina Asistente para crear zona nueva, haga clic en Siguiente.
4. En la pgina Tipo de zona, compruebe que la opcin Zona principal est
seleccionada y, a continuacin, haga clic en Siguiente.
5. En la pgina Zona de bsqueda directa o inversa, compruebe que la opcin
Zona de bsqueda directa est seleccionada y, a continuacin, haga clic en
Siguiente.
6. En la pgina Nombre de zona, escriba el nombre DNS de la zona para la que
este servidor estar autorizado y, despus, haga clic en Siguiente.
7. En la pgina Archivo de zona, haga clic en Siguiente para aceptar los valores
predeterminados.
8. En la pgina Actualizacin dinmica, seleccione una de las opciones
siguientes.
a) Permitir slo actualizaciones dinmicas seguras (recomendado para Active
Directory). Esta opcin est slo disponible para zonas integradas en Active
Directory.
.
76

b) Permitir todas las actualizaciones dinmicas (seguras y no seguras). No
recomendable ya que se pueden aceptar actualizaciones que no sean de
orgenes de confianza.
c) No admitir actualizaciones dinmicas. En este caso debe hacer
actualizacin manual.
9. En el caso en que la zona este integrada en Active Directory, tendremos:
10. Haga clic en siguiente y complete el Asistente para crear zona nueva.
CREACIN DE UNA ZONA DE RUTAS INTERNAS CDIGO AUXILIAR DE
BSQUEDA DIRECTA
Para configurar una zona de cdigo auxiliar de bsqueda directa:
4. En la pgina Tipo de zona, seleccione Zona de rutas internas y, a continuacin,
haga clic en Siguiente.
5. En la pgina Zona de bsqueda directa o inversa, seleccione Zona de
bsqueda directa y, a continuacin, haga clic en Siguiente.
6. En la pgina Nombre de zona, escriba el nombre DNS de la zona para la que
este servidor estar autorizado y, despus, haga clic en Siguiente.
7. En la pgina Archivo de zona, haga clic en Siguiente para aceptar los valores
predeterminados.

.
77

8. En la pgina Servidores maestros DNS, en el campo Direccin IP, escriba la
direccin IP del servidor DNS desde el que este servidor DNS copiar la zona.
Haga clic en Agregar y, a continuacin, en Siguiente.
9. En la pgina Finalizacin del Asistente para crear zona nueva, haga clic en
Finalizar.
10. Cierre la consola DNS.
CREACIN DE ZONA DE BSQUEDA DIRECTA TIPO SECUNDARIA
Para configurar una zona de bsqueda directa en un tipo de zona secundario
4. En la pgina Tipo de zona, seleccione Zona secundaria y, a continuacin, haga
clic en Siguiente.
5. En la pgina Zona de bsqueda directa o inversa, compruebe que la opcin

Zona de bsqueda directa est seleccionada y, a continuacin, haga clic en
Siguiente.
6. En la pgina Nombre de zona, escriba el espacio de nombres DNS y haga clic
en Siguiente.
7. En la pgina Servidores maestros DNS, en el campo Direccin IP, escriba la
direccin IP del servidor DNS maestro, haga clic en Agregar y, despus, haga
clic en Siguiente.
Finalizar.
CREACIN DE ZONA DE BSQUEDA INVERSA TIPO PRINCIPAL
Para configurar una zona de bsqueda inversa en un tipo de zona principal:
.
78

2. En la consola DNS, haga
clic
con
el
botn
secundario del mouse en
el
servidor
DNS y,
despus, haga clic en
Zona nueva.
3. En la pgina Asistente
para crear zona nueva,
haga clic en Siguiente.
4. En la pgina Tipo de
zona, compruebe que la
opcin Zona principal est seleccionada y, a continuacin, haga clic en
Siguiente.
5. Se debe especificar, si la
zona de bsqueda inversa
es para direcciones IP
versin 4 IP versin 6.
6. En la pgina Zona de
bsqueda
directa
o
inversa, seleccione Zona
de bsqueda inversa y, a
continuacin, haga clic en
Siguiente.
7. En la pgina Nombre de la
zona
de
bsqueda
inversa, en el campo Id. de red, escriba la parte del identificador de red de
la direccin IP de la zona y, despus, haga clic en Siguiente.
8. En la pgina Archivo de zona, haga clic en Siguiente para aceptar los
valores predeterminados.

.
79
9. En la pgina Actualizacin dinmica, seleccione una de las opciones

siguientes y haga clic en Siguiente.
Permitir slo actualizaciones dinmicas seguras (recomendado para
Active Directory).
Permitir todas las actualizaciones dinmicas (seguras y no seguras).
No admitir actualizaciones dinmicas.

Finalizar.
CREACIN DE ZONA DE BSQUEDA INVERSA TIPO SECUNDARIA
Para configurar una zona de bsqueda inversa en un tipo de zona secundario:
2. En la consola DNS, haga clic con el botn secundario del mouse en el
servidor DNS y, despus, haga clic en Zona nueva.
4. En la pgina Tipo de zona, seleccione Zona secundaria y, a
continuacin, haga clic en Siguiente.
5. En la pgina Zona de bsqueda directa o inversa, seleccione Zona de
bsqueda inversa y, a continuacin, haga clic en Siguiente.
6. En la pgina Nombre de la zona de bsqueda inversa, en el campo Id. de
red, escriba la parte del identificador de red de la direccin IP de la zona
y, despus, haga clic en Siguiente.
7. En la pgina Archivo de zona, haga clic en Siguiente para aceptar los
valores predeterminados.
.
80

8. En la pgina Servidores maestros DNS, en el campo Direccin IP,
escriba la direccin IP del servidor DNS maestro, haga clic en Agregar y,
despus, haga clic en Siguiente.
9. En la pgina Finalizacin del Asistente para crear zona nueva, haga clic
en Finalizar.
TRANSFERENCIAS DE ZONA DNS
Las transferencias de zona son la transferencia parcial o completa de todos los
datos de una zona desde el servidor DNS principal que aloja la zona hasta un
servidor DNS secundario que aloja una copia de la zona. Al efectuar cambios en la
zona en un servidor DNS principal, ste notifica a los servidores DNS secundarios
que estos cambios se han producido y que se replican a todos los servidores DNS
secundarios de dicha zona mediante transferencias de zona.
Existen bsicamente, dos tipos de transferencia de zona DNS: una transferencia
de zona completa y una transferencia de zona incremental.
Un servidor DNS principal es la ubicacin administrativa y la copia maestra de una
zona. El servidor DNS principal contiene la copia de lectura-escritura de la base de
datos de la zona y controla los cambios efectuados a la zona.
Un servidor secundario es aqul que mantiene una copia de una zona DNS
existente. Una transferencia de zona DNS es la sincronizacin de datos DNS
autorizados entre servidores DNS. Un servidor DNS configurado con una zona
secundaria solicita peridicamente a servidores maestros DNS que sincronicen
sus datos de zona. Una transferencia de zona completa es el tipo de consulta
estndar que todos los servidores DNS admiten para actualizar y sincronizar datos
de zona cuando se haya cambiado la zona.
Cuando se efecta una consulta DNS mediante AXFR como tipo de consulta
especificado, la zona completa se transfiere como respuesta.
Una consulta AXFR es una solicitud para una transferencia de zona completa.

.
81

Una transferencia de zona incremental es un tipo de consulta alternativa que
algunos servidores DNS utilizan para actualizar y sincronizar datos de zona
cuando se cambia una zona desde la ltima actualizacin. Cuando dos servidores
DNS permiten la transferencia de zona incremental, slo pueden hacer un
seguimiento y transferir aquellos cambios de registros de recursos incrementales
entre cada versin de la zona.
Una consulta IXFR es una solicitud para una transferencia de zona incremental.
La finalidad de la transferencia de zona es asegurar que ambos servidores DNS
que alojan la misma zona tienen la misma informacin de zona. Sin transferencias
de zona, los datos del servidor principal seran actuales, pero el servidor DNS
secundario no dispondra de informacin de zona actualizada y, por tanto, no
podra realizar la resolucin de nombres para dicha zona.
Proceso de transferencia de zona: El proceso siguiente indica los pasos para
realizar una transferencia de zona completa o incremental.
1. En
primer
lugar,
debemos definir cul
ser el servidor maestro,
con autorizacin en la
zona y el servidor
secundario que recibir
la transferencia de zona.
2. En el servidor maestro,
se debe crear la zona de tipo principal:
3. Adems, se debe especificar, en sus propiedades, si realizar la transferencia
de zona:

.
82

4. En el otro servidor, se crear la zona secundaria:
5. Se indicar el nombre de la zona, que fue creada inicialmente en el servidor

maestro, esto se hace con el fin de poder especificar que el servidor maestro y
el servidor secundario pertenecen a la misma zona, en este caso la zona se
denomina: pnisenati.edu.pe.
Debemos tener en cuenta que la transferencia de zona, debe realizarse con el
objetivo de que el servidor Secundario pueda tener la base de datos de la zona
que tiene el servidor DNS principal el cual cuenta con autoridad en la zona.
6. Se debe indicar tambin, de que servidor maestro se obtendr la zona:

.
83
7. Luego, una vez que se reconozca al servidor maestro, quedar creada la zona
secundaria, que contar con los mismos registros que conforman la base de
datos de la zona, pero este servidor secundario, no tiene autoridad sobre la
zona, por consiguiente no podr realizar cambios sobre la base de datos sobre
la zona.
Si se produce algn problema en el servidor DNS principal, el servidor secundario
se encargar de resolver las consultas de los clientes DNS.
8. En efecto, podemos apreciar las propiedades de la zona, y verificar que ha

recibido la transferencia de zona:

.
84
9. El servidor secundario para la zona espera cierto perodo (especificado en el

campo Actualizar del registro de recursos SOA que el servidor secundario
consigui del servidor maestro). A continuacin, el servidor secundario solicita
al servidor maestro su SOA.
10. El servidor maestro de la zona responde con el registro de recursos SOA.

11. El servidor secundario de la zona compara el nmero de serie devuelto con su
propio nmero de serie. Si el nmero de serie que el servidor maestro enva
para la zona es superior al suyo propio, su base de datos de zonas no est
actualizada. El servidor maestro enva entonces una consulta AXFR para
solicitar una transferencia de zona completa. Si el servidor DNS admite
transferencias de zona incrementales, enva una IXFR para solicitar una

.
85

transferencia de zona incremental, que transfiere registros de recursos que
hayan sido modificados desde la ltima transferencia.
12. Para realizar una transferencia de zona completa, el servidor maestro de la
zona enva la base de datos de zonas al servidor secundario; para realizar una
transferencia de zonas incremental, slo enva los datos de zona que hayan
cambiado.
CONSIDERACIONES RESPECTO A LA TRANSFERENCIA DE ZONA:
Al crear una zona secundaria, el servidor DNS realiza una transferencia de

zona completa para llenar la base de datos inicialmente.
De manera predeterminada, el servicio Servidor DNS slo permite transferir
informacin de zona a servidores que aparezcan en la lista de registros de
recursos de servidor de nombres (NS) de una zona. sta es una
configuracin segura. No obstante, para mejorar la seguridad, se
recomienda que seleccione la opcin para permitir transferencias de zona
slo a direcciones IP especificadas. Si se permiten las transferencias de
zona a cualquier servidor podra exponer sus datos DNS a un intruso que
intentara ocupar su red.
Los servidores DNS que ejecutan Windows Server 2008 o Windows 2003
admiten transferencias incrementales
NOTIFICACIN DNS
Una notificacin DNS es una actualizacin de la especificacin de protocolo DNS
original que permite la notificacin a servidores secundarios cuando se producen
cambios de zona.
Una lista de notificacin es una lista para la zona de otros servidores DNS a los
que debera notificarse cuando se producen cambios de zona. La lista de
notificacin que el servidor maestro mantiene est formada por direcciones IP para
servidores DNS que estn configurados como servidores secundarios para la
zona. Cuando se notifica a los servidores mostrados un cambio en la zona, stos
iniciarn una transferencia de zona con otro servidor DNS y actualizarn la zona.
Los servidores a los que se les notifica pueden iniciar una transferencia de zona
para obtener los cambios de zona de sus servidores maestros y actualizar sus
replicados locales de la zona. Esto es una mejora acerca de los intervalos de
tiempo que se establecen en la copia del servidor DNS secundario de la zona. Al
utilizar la notificacin de DNS, las copias de la zona DNS se actualizan cuando se
producen cambios no programados.

.
86

La notificacin de DNS puede ayudar a mejorar la coherencia de los datos de zona
entre servidores secundarios. Por ejemplo, si las transferencias de zona DNS se
producen slo en ciertos momentos, se pueden dar dos situaciones dentro de un
perodo:
Pueden no haberse producido cambios en una zona DNS.

Pueden haber pasado varios minutos antes de iniciar una transferencia de
zona. La zona puede haber tenido muchos cambios de zona y estos
cambios an no han sido transferidos al servidor DNS secundario.
PROCESO DE NOTIFICACIN DE DNS
La siguiente secuencia indica el proceso de notificacin de DNS:
1. Nos ubicamos en el servidor maestro o
principal de la zona, ingresamos al servicio
DNS y nos dirigimos a las propiedades de
la zona:
2. Luego, escogemos la ficha Transferencias
de zona, y hacemos clic en el botn
Notificar, aparecer un cuadro de
dialogo, en el cual debemos agregar el
listado de servidores DNS secundarios
que recibirn la notificacin cada vez que
se actualice la zona principal:
3. La zona local de un servidor DNS principal se actualiza.

.
87

4. El campo Nmero de serie del registro SOA se actualiza para indicar que una
nueva versin de la zona se ha escrito en un disco.
5. El servidor principal enva un mensaje de notificacin a todos los dems
servidores que forman parte de su lista de notificacin.
6. Todos los servidores secundarios de la zona que reciben el mensaje de
notificacin responden con la iniciacin de una consulta tipo SOA al servidor
principal de notificacin. Esta consulta inicia el proceso de transferencia de
zona DNS.
CONFIGURACIN DE LAS ACTUALIZACIONES DINMICAS
Puesto que DNS se utiliza para tener acceso a recursos, es imprescindible que los
recursos de DNS estn actualizados. Cuando los registros de recursos DNS no
estn actualizados se pueden producir errores.
Si un registro de recursos DNS se crea manualmente en DNS, el administrador
DNS debe actualizar manualmente el registro de recursos DNS para reflejar los
cambios en el recurso cuando la direccin IP del mismo cambie.
Debido al volumen de registros de recursos en DNS, la actualizacin manual de
registros sobrecarga rpidamente las tareas de mantenimiento del administrador
DNS. La solucin a este problema es crear un mtodo para permitir a los clientes
DNS actualizar y mantener sus propios registros de recursos en DNS. Las
actualizaciones dinmicas permiten a los clientes DNS actualizar y mantener sus
propios registros de recursos en DNS.
Para permitir que las actualizaciones de DNS se produzcan automticamente, sin
interaccin por parte del administrador de DNS, ste debe configurar la zona DNS
para permitir actualizaciones dinmicas. Adems, los administradores deben
configurar los clientes DNS para actualizar registros DNS en DNS o bien
configurar el servidor DHCP que usan los clientes DNS para actualizar los
registros DNS en su nombre.
Actualizaciones dinmicas
Hay dos maneras de crear, registrar y actualizar registros de recursos DNS en la
base de datos DNS: dinmica y manualmente.
Una actualizacin dinmica es el proceso por el que un cliente DNS crea,

registra o actualiza dinmicamente sus registros en zonas mantenidas por
servidores DNS que pueden aceptar y procesar mensajes para
actualizaciones dinmicas.
Una actualizacin manual es el proceso por el que un administrador crea,

registra o actualiza manualmente el registro de recursos.

.
88

El proceso de actualizar manualmente registros de recursos de cliente no es
prctico en una gran organizacin que soporte cambios continuos de registros de
recursos DNS. Una gran organizacin que sufra cambios dinmicos debe confiar
en el mtodo dinmico de actualizar los registros de recursos DNS.
El registro y la actualizacin dinmicos permiten a los equipos cliente DNS
interactuar automticamente con el servidor DNS para registrar y actualizar sus
propios registros de recursos. En una implementacin de DNS que utilice un
servidor DNS en el que se ejecute Microsoft Windows NT 4.0 y versiones de BIND
anteriores, el administrador tiene que modificar el archivo de zona correspondiente
manualmente si debe cambiarse la informacin autorizada de un registro de
recursos. A medida que el nmero de registros DNS de una zona aumenta y el
administrador tiene dificultades para mantenerlo manualmente, la actualizacin
dinmica se convierte en fundamental.
Funcionamiento del registro y actualizacin dinmicos
Los clientes DNS que ejecutan Windows Server 2008, Windows 2003, Windows
2000, Windows XP y Windows Vista, se configuran de manera predeterminada
para registrar y actualizar dinmicamente sus nombres de host y direcciones IP en
DNS. Independientemente de que a un cliente DNS se le asigne una direccin IP
mediante DHCP o de manera esttica, un cliente DNS puede registrar y actualizar
dinmicamente su nombre de host y direccin IP en DNS.
El componente que realiza el registro de recursos DNS para un cliente DNS es el
servicio Cliente DHCP. Incluso en clientes configurados con datos para una
direccin IP esttica, el servicio Cliente DHCP debe estar ejecutndose para que
el cliente esttico registre sus registros de recursos en DNS.
El proceso siguiente resume los pasos de la actualizacin dinmica:
1. En el servidor DNS principal, debe estar
configurada la opcin para permitir las
actualizaciones dinmicas:
2. Debemos tener en cuenta que permitir
actualizaciones dinmicas, puede poner en
riesgo la seguridad si no se controla en forma
adecuada.
3. En los clientes DNS, que tengan sistemas
operativos Windows 2008, Windows Vista,
Windows 2003, Windows 2000, debe estar
habilitada la siguiente opcin:
.
89

4. En los clientes con Windows 98 y Windows NT,
se puede lograr el mismo procedimiento, pero
necesariamente, debe contarse con un servidor
DHCP.
5. Luego, el cliente DNS enva una consulta SOA
al servidor DNS que est autorizado para el
registro de recursos con el que el cliente DNS
se desea registrar.
6. El servidor DNS devuelve el nombre de zona y
direccin IP del servidor DNS que est
autorizado para la zona que el cliente DNS
desea registrar en el servidor DNS.
7. El cliente DNS enva al servidor DNS autorizado de la zona una actualizacin
de asercin para comprobar que no existe ningn registro en la zona.
8. El servidor DNS responde al cliente DNS.
9. Si no existe ningn registro en la zona DNS, el cliente DNS enva un paquete
de actualizacin dinmica para registrar el registro de recursos.
Si el cliente DNS no consigue actualizar su registro de recursos en la base de

datos de DNS tal como se describe en el proceso anterior, el cliente contina
intentando actualizar su registro de recursos en DNS.
1. El cliente DNS intenta registrar el registro con otros servidores principales en
la zona. Varios servidores principales sern slo una opcin con una zona
integrada en Active Directory.

.
90

2.
Si todos los intentos fallan, el cliente intenta volver a registrar el registro

despus de cinco minutos y, despus, de nuevo tras diez minutos.
3. Los errores dan como resultado un patrn repetido de intentos 50 minutos
despus del ltimo intento.
Configuracin de las actualizaciones DNS
Para configurar actualizaciones dinmicas como solucin, es necesario elegir y
configurar una o ambas de las opciones siguientes. Las actualizaciones dinmicas
se admiten en zonas DNS principales.
Para utilizar un cliente DNS para actualizaciones dinmicas, configure:
1. El servidor DNS para aceptar actualizaciones dinmicas.
2. Los clientes DNS para crear actualizaciones dinmicas para s mismos.
Con el fin de utilizar un servidor DHCP para actualizaciones dinmicas, configure:
1. El servidor DNS para aceptar actualizaciones dinmicas.
2. El servidor DHCP para crear actualizaciones dinmicas en nombre de los
clientes DHCP.
Configuracin del servidor DHCP para actualizacin DNS dinmica:
Configuracin de un servidor DHCP para que actualice dinmicamente registros
de recursos DNS en el servidor DNS en nombre de clientes DHCP:
1. Abra la consola DHCP.
2. En la consola DHCP, seleccione el servidor DHCP correspondiente.
3. En el men Accin, haga clic en Propiedades.
4. En la ficha DNS, compruebe que la opcin Habilitar actualizaciones DNS
dinmicas de acuerdo con la siguiente configuracin est seleccionada y, a
continuacin, seleccione una de estas
dos opciones:
Actualizar dinmicamente registros

DNS A y PTR slo si los clientes
DHCP lo solicitan.
Actualizar siempre dinmicamente los

registros DNS A y PTR.
5. En la ficha DNS, compruebe que la
opcin Descartar registros A y PTR
cuando la concesin se suprima est
seleccionada.
6. En la ficha DNS, si es necesario,
seleccione
la
opcin
Actualizar
.
91

dinmicamente registros DNS A y PTR para clientes DHCP que no soliciten
actualizaciones y, a continuacin, haga clic en Aceptar.
7. Cierre la consola DHCP.
Creacin manual de registros de recursos DNS
Para crear manualmente un registro de Host:
1. Nos ubicamos en la consola DNS.
2. En el rbol de la consola, hacemos clic con el botn secundario del mouse en
la zona de bsqueda directa correspondiente y, a continuacin, haga clic en
Host nuevo (A o AAAA).
3. En el cuadro de dilogo Host nuevo,

en el campo Nombre, escriba el
nombre de equipo DNS para el nuevo
host.
4. En el cuadro de dilogo Host nuevo,
en el campo Direccin IP, escriba la
direccin IP para el nuevo host.
5. Como opcin, seleccione Crear
registro del puntero (PTR) asociado
para crear un registro de puntero
adicional en una zona inversa para
este host, en funcin de la informacin
especificada en los cuadros Nombre y
Direccin IP.
6. En el cuadro de dilogo Host nuevo, haga clic en Agregar host para agregar el
nuevo registro de host a la zona.
7. En el cuadro de mensaje DNS, haga clic en Aceptar.
8. En el cuadro de dilogo Host nuevo, haga clic en Realizado.

.
92

ZONA DNS INTEGRADA EN ACTIVE DIRECTORY
Una zona DNS integrada en Active Directory es una zona DNS almacenada en
Active Directory. Como sabemos, al configurar un controlador de dominio, Active
Directory requiere que el servicio DNS est instalado. Las zonas, que se crean en
un servidor DNS que es un controlador de dominio de Active Directory, pueden ser
zonas DNS integradas en Active Directory. Este tipo de zonas tiene muchas
ventajas con respecto a las zonas DNS que no estn integradas en Active
Directory.
Las zonas DNS integradas en Active Directory pueden utilizar Active Directory
para:
Almacenar datos de configuracin de zona en Active Directory, en lugar de

almacenar datos de configuracin de zona en un archivo de zona.
Utilizar la replicacin de Active Directory en lugar de transferencias de

zonas.
Permitir slo actualizaciones dinmicas seguras (en lugar de

actualizaciones seguras y no seguras en una zona DNS no integrada en
Active Directory).
En una zona DNS no integrada en Active Directory, existe una nica copia
maestra de la zona DNS (principal) y puede existir cualquier nmero de copias
adicionales de la zona DNS (secundaria). En una zona DNS integrada en Active
Directory, los datos de la zona estn almacenados en Active Directory, por lo que
puede seguirse un modelo con varios servidores maestros. Cada controlador de
dominio puede administrar los cambios en la zona DNS.
El modelo con varios servidores maestros significa que si un controlador de
dominio tiene una zona integrada en Active Directory, cualquier controlador de
dominio que contenga dicha informacin de zona DNS puede actuar como
servidor principal y puede efectuar cambios en la zona DNS.
Actualizaciones dinmicas seguras.
Una actualizacin dinmica segura es un proceso en el que un cliente enva una
solicitud de actualizacin dinmica a un servidor DNS y ste intenta la
actualizacin slo si el cliente puede demostrar su identidad y dispone de las
credenciales apropiadas para efectuarla. Las actualizaciones dinmicas estn
disponibles nicamente en zonas integradas en Active Directory.
DNS en Windows Server 2008 admite la actualizacin dinmica segura. Este tipo
de actualizacin proporciona diversos beneficios, como son:

.
93
La proteccin de zonas y
registros de recursos frente a la
modificacin por parte de
usuarios
que
no
tienen
autorizacin.
Permitir
al
administrador
especificar exactamente qu
usuarios y grupos pueden
modificar zonas y registros de
recursos.
El procedimiento siguiente proporciona la secuencia de eventos del proceso de
actualizacin dinmica segura:
1. El cliente consulta el servidor de nombres local para saber qu servidor est
autorizado para el nombre que el cliente intenta actualizar y el servidor de
nombres local responde con la referencia al servidor autorizado.
2. El cliente consulta al servidor autorizado para comprobar que el servidor DNS
est autorizado para el nombre que el cliente intenta actualizar y el servidor
confirma la consulta.
3. El cliente intenta una actualizacin no segura y el servidor rechaza la
actualizacin no segura. Si el servidor se ha configurado para actualizacin
dinmica no segura en la zona apropiada, en lugar de para actualizacin
dinmica segura, el servidor habra intentado efectuar la actualizacin.
4. El cliente intenta entonces una actualizacin segura. Si la actualizacin tiene
las credenciales apropiadas, el servidor DNS autorizado acepta la actualizacin
y responde al cliente DNS.
Consideracin:
Si un servidor DHCP realiza la primera actualizacin dinmica segura en un
registro de recursos DNS, dicho servidor DHCP se convierte en el propietario de
dicho registro y slo l puede actualizarlo. Esto puede causar problemas en
algunos casos Por tanto, si se habilita actualizacin dinmica segura, todos los
servidores DHCP deberan estar ubicados en un grupo de seguridad especial
denominado DNSUpdateProxy. Los objetos creados por miembros del grupo
DNSUpdateProxy no tienen seguridad; por tanto, cualquier usuario autenticado
puede asumir la propiedad de los objetos.
Configuracin de un cliente DNS

.
94

Se han instalado y configurado las propiedades del servidor DNS y se han creado
las zonas apropiadas en el servidor DNS. Ahora es necesario asegurar que los
clientes puedan registrar o crear sus registros de recursos en DNS y utilizar DNS
para resolver consultas.
Servidores DNS preferidos y alternativos
Al establecer la configuracin DNS en un cliente se especifica la direccin IP de un
servidor DNS preferido y opcionalmente un alternativo. Veamos las
consideraciones a tener en cuenta respecto a estos valores, comencemos viendo
las definiciones acerca de estos servidores:
Un servidor DNS preferido es aqul que es el destinatario de las consultas

DNS que el cliente DNS enva. Tambin es el servidor en el que el cliente DNS
actualiza sus registros de recursos.
Un servidor DNS alternativo es aqul que se utiliza si el servidor DNS preferido

no se puede utilizar o no puede resolver consultas DNS de un cliente DNS
particular porque el servicio DNS ha fallado. El servidor alternativo no es
necesario si la consulta de un nombre no puede resolverse.
A continuacin veamos el proceso que realiza un cliente para entrar en contacto
con servidores DNS preferidos y alternativos:
1. El servidor DNS preferido responde primero a una consulta DNS o a una
actualizacin DNS.
2. Si el servidor DNS preferido no responde a una consulta DNS o a una
actualizacin DNS, la consulta o actualizacin se redirige al servidor DNS
alternativo.
3. Si el servidor DNS alternativo no responde y el cliente DNS est
configurado con las direcciones IP adicionales de servidores DNS, el
cliente DNS enva la consulta o actualizacin al siguiente servidor DNS de
la lista.
4. Si alguno de los servidores DNS (un servidor preferido, un servidor
alternativo o cualquier otro de la lista) no responde, dicho servidor se quita
temporalmente de la lista.
5. Si ninguno de los servidores DNS responden, la consulta o actualizacin
del cliente DNS no se realiza.

.
95
CONFIGURACIN DE LOS SUFIJOS

Si no tiene un sufijo DNS configurado en el cliente, la resolucin de nombres y la
actualizacin pueden no funcionar correctamente. Mediante la correcta
configuracin de sufijos DNS en el cliente, se asegura que la resolucin de
nombres sea correcta.
Opcin Anexar sufijos DNS principales y de conexiones especficas
Esta opcin especifica que la resolucin de los nombres sin calificar que se utilicen
en el equipo se limite a los sufijos de dominio del sufijo principal y a todos los
sufijos especficos de la conexin. Los sufijos especficos de la conexin se
configuran en Sufijo DNS para esta conexin. El sufijo DNS principal se configura
al hacer clic en la opcin Propiedades de la ficha Nombre de equipo.

.
96

Por ejemplo, si el sufijo DNS principal es pnisenati.edu.pe y se intenta entrar en
contacto con Webserver1, el equipo consulta a Webserver1.pnisenati.edu.pe,
adems de cualquier sufijo configurado en los sufijos especficos de la conexin.
La opcin Anexar sufijos primarios especifica que las resoluciones para nombres
no calificados en este equipo incluye los sufijos principales del servidor DNS
principal, hasta dominios de segundo nivel.
Por ejemplo, si el sufijo DNS primario es instructores.pnisenati.edu.pe e intenta
entrar
en
contacto
con
Webserver1,
el
equipo
consulta
a
Webserver1.instructores.pnisenati.edu.pe, si la consulta no se resuelve, el equipo
consulta a Webserver1.pnisenati.edu.pe.
Sufijo especfico de conexin
Proporciona espacio para que especifique un sufijo DNS para esta conexin. Si un
servidor DHCP configura esta conexin y no se especifica un sufijo DNS, el
servidor DHCP configurado adecuadamente asignar uno para esta conexin. Si
especifica un sufijo DNS, se omitir el asignado por el servidor DHCP.
Anexar estos sufijos DNS (en este orden)

Especifica que la resolucin de los nombres sin calificar que se utilicen en el
equipo se limite a los sufijos de dominio de la lista Anexar estos sufijos DNS.
Cuando se selecciona esta opcin, los sufijos DNS principales y especficos de la
conexin no se utilizan en la resolucin de nombres sin calificar.
Procedimiento para configurar un cliente DNS

.
97

Un cliente DNS puede recibir datos de configuracin de direcciones IP de dos
maneras: manualmente o mediante DHCP.
Configuracin manual
Para configurar manualmente un cliente DNS de modo que se usen servidores
DNS preferidos y alternativos:
1. En Conexiones de red, abra el cuadro de dilogo Propiedades para la
Interfaz de red en la que desee configurar DNS.
2. En la ficha General, haga clic en Protocolo de Internet (TCP/IP) y, despus,
en Propiedades.
3. En el cuadro de dilogo Propiedades de protocolo de Internet (TCP/IP),
seleccione Usar las siguientes direcciones de servidor DNS.
4. En el campo Servidor DNS preferido, escriba la direccin IP del servidor
DNS preferido.
5. En el campo Servidor DNS alternativo, escriba la direccin IP del servidor
DNS alternativo y, a continuacin, haga clic en Opciones avanzadas.
6. En el cuadro de dilogo Configuracin avanzada de TCP/IP, en la ficha
DNS, en el campo Sufijo DNS para esta conexin, escriba el sufijo DNS que
se anexar al nombre de host del equipo y haga clic en Aceptar.
7. En el cuadro de dilogo Propiedades de protocolo de Internet (TCP/IP),
haga clic en Aceptar.
Configuracin con DHCP
Procedimiento para configurar la opcin de servidor DNS y la opcin de sufijo DNS
en DHCP:
2. En el mbito apropiado, haga clic en Opciones de mbito y, a continuacin,
en el men Accin, haga clic en Configurar opciones.
3. En el cuadro de dilogo Opciones de mbito, seleccione 006 Servidores
DNS.
4. En el campo Direccin IP, escriba la direccin IP del servidor DNS y, a
continuacin, haga clic en Agregar.
5. En el cuadro de dilogo Opciones de mbito, seleccione 015 Nombre de
dominio DNS.
6. En el campo Valor de la cadena, escriba el sufijo de dominio DNS y haga
clic en Aceptar.
7. Cierre la consola DHCP.

.
98

8. Mediante el comando ipconfig, asegrese de que los clientes DHCP
renuevan sus concesiones para actualizar sus datos de configuracin IP
con estas nuevas opciones de mbito.
Delegacin de la autoridad en las zonas
Una vez que la solucin DNS funcione, puede ser necesario modificar el espacio
de nombres DNS. El proceso mediante el cual se realizan estos cambios en el
espacio de nombres DNS en el servidor DNS se denomina delegacin.
En trminos tcnicos, delegacin es el proceso de asignar la autoridad sobre los
dominios secundarios de un espacio de nombres DNS a otra entidad agregando
registros en la base de datos DNS.
Como administrador de un dominio DNS, DNS proporciona la opcin de crear
dominios secundarios y sus respectivas zonas, que despus pueden almacenarse,
distribuirse y replicarse en otros servidores DNS. Estas zonas adicionales pueden
delegarse a otros administradores para que las administren. Al decidir si se dividir
o no el espacio de nombres DNS para delegar zonas, debe tener en cuenta los
siguientes motivos:
La necesidad de delegar la administracin de parte del espacio de nombres
DNS a otra ubicacin o departamento dentro de la organizacin.
La necesidad de dividir una zona de gran tamao en zonas ms pequeas

para distribuir cargas de trfico entre varios servidores, mejorar el
rendimiento de la resolucin de nombres DNS o crear un entorno DNS ms
tolerante a errores.
La necesidad de ampliar el espacio de nombres mediante la adicin de

subdominios (por ejemplo, para acomodar la apertura de una nueva
sucursal o sitio).
Delegacin de un subdominio a una zona DNS
Para asignar autoridad de partes del espacio de nombres DNS a otra entidad,
puede delegar un subdominio en una zona DNS.
Al delegar zonas dentro del espacio de nombres, hay que tener en cuenta que
para cada nueva zona que se cree, se necesitarn registros de delegacin, en
otras zonas, que apunten a los servidores DNS autorizados para la nueva zona.
Esto es necesario para transferir la autoridad y para proporcionar referencias
correctas a otros servidores y clientes DNS de los nuevos servidores que se estn
autorizando para la nueva zona.
Procedimiento para delegar un subdominio en una zona DNS:
.
99

2. Expanda el servidor DNS correspondiente, expanda Zonas de bsqueda
directa o Zonas de bsqueda inversa y, a continuacin, seleccione la zona
apropiada que va a delegar.
3. En el men Accin, haga clic en Delegacin nueva.
4. En la pgina Asistente para nueva delegacin, haga clic en Siguiente.
5. En la pgina Nombre de dominio delegado, en el campo Dominio delegado,
escriba el nombre de dominio delegado y haga clic en Siguiente.
6. En la pgina Servidores de nombres, haga clic en Agregar.
7. En el cuadro de dilogo Nuevo registro de recursos, en el campo Nombre de
dominio completo, escriba el FQDN correspondiente al servidor DNS al que
delegara el dominio y, a continuacin, haga clic en Resolver.
8. En el cuadro de dilogo Nuevo registro de recursos, en el campo Direccin IP,
compruebe que se muestra la direccin IP correcta para el servidor que se
resolvi y haga clic en Aceptar.
9. En la pgina Servidores de nombres, haga clic en Siguiente.
10. En la pgina Finalizacin del Asistente para nueva delegacin, haga clic en
Finalizar.
CONFIGURAR EL VALOR DEL TIEMPO DE VIDA (TTL):

El perodo de vida (TTL) es un valor de tiempo de espera expresado
en segundos que se incluye con los registros DNS devueltos en las consultas
DNS.

.
100

Como parte de la administracin de DNS, puede configurar el valor del perodo de
vida (TTL, Time-To-Live), que se utiliza en los registros de recursos de una zona
para determinar el tiempo que los clientes solicitantes deben almacenar los
registros en la cach.
El valor del perodo de vida para una zona se aplica a todos los registros que se
crean en esa zona. El valor del perodo de vida para un registro se aplica a ese
registro.
El proceso del TTL funciona de la siguiente manera:
1. Los registros de la zona se envan a otros servidores y clientes DNS como
respuestas a consultas.
2. Los servidores y clientes DNS que almacenan un registro en su cach
mantienen ese registro durante el perodo de vida que se indica en l.
3. Cuando el TTL caduca, el registro se quita de la cach tanto en el servidor
como en el cliente DNS.
Si el perodo de vida se configura demasiado breve, aumenta el trfico de
consultas DNS dado que los clientes DNS solicitan esta informacin cada vez que
caduca en su cach.
Si el perodo de vida para un registro se configura demasiado largo, puede que los
clientes DNS estn almacenando en la cach registros obsoletos.
Para ajustar el valor del perodo de vida para una zona:
1. Entramos a la consola de
administracin de DNS.
2. En el rbol de la consola, haga
clic con el botn secundario del
mouse en la zona aplicable y, a
continuacin, haga clic en
Propiedades.
3. En la ficha General, compruebe
que el tipo de zona es Principal
o Integrado en Active Directory.
4. Haga clic en la ficha Inicio de
autoridad (SOA).
5. En la seccin TTL mnimo (predeterminado), seleccione el intervalo, los
segundos, minutos, horas o das, y escriba un nmero en el cuadro de texto.
6. Haga clic en Aceptar para guardar el intervalo ajustado.

.
101
Para ajustar el valor del perodo de vida en un registro:

2. En el rbol de la consola, haga clic en
DNS.
3. En el men Ver, haga clic en
Avanzada.
4. En el rbol de la consola, expanda la
zona pertinente, en el panel de
detalles, haga clic con el botn
secundario del mouse en el registro
adecuado y, despus, haga clic en
Propiedades.
5. En el cuadro de dialogo Propiedades del registro, en el campo Perodo de
vida (TTL), ajuste el TTL.
6. Haga clic en Aceptar para guardar el TTL ajustado.
Configurar la caducidad y el borrado:
La caducidad y el borrado son
los procesos que utiliza el
servicio DNS para quitar los
registros
anticuados
u
obsoletos.
Estos
procesos
son
importantes,
porque
es
posible que los registros
anticuados u obsoletos:
.
102

1.
2.
3.
4.
No se hayan quitado.
Ocupen espacio en la base de datos DNS.
Originen transferencias de zona innecesariamente largas.
Se enven como respuestas a consultas y, por consiguiente, provoquen
problemas en la resolucin de nombres de clientes DNS.
La caducidad es el proceso que determina si un registro de recursos DNS
anticuado debe quitarse de la base de datos DNS.
El borrado es el proceso de limpieza y eliminacin de datos de nombres
anticuados o extintos de la base de datos DNS.
Un intento de actualizacin es el proceso en el que un equipo solicita una
actualizacin de su registro DNS.
Para configurar los parmetros de caducidad y borrado en el servidor DNS:
2. En el rbol de la consola, haga clic con el
botn secundario del mouse en el servidor
DNS pertinente y, a continuacin, haga
clic en Establecer caducidad/borrado
para todas las zonas.
3. En el cuadro de dilogo Propiedades de
caducidad/borrado
de
la
zona,
seleccione Borrar registros de los
recursos obsoletos.
4. En el campo Intervalo sin actualizacin,
seleccione el incremento y, a continuacin, escriba un valor. (Por ejemplo, el
incremento es das y el valor es 5, para un intervalo de no actualizacin de 5
das.)
5. En el campo Intervalo de actualizacin, seleccione el incremento y, a
continuacin, escriba un valor. (Por ejemplo, el incremento es das y el valor es
5, para un intervalo de actualizacin de 5 das.)
6. En el cuadro de dilogo Propiedades de caducidad/borrado de la zona,
haga clic en Aceptar.
Probar la configuracin del servidor DNS:
Siempre que se producen cambios en la configuracin del servidor DNS, es
importante hacer pruebas en l para tener la seguridad de que la configuracin
sigue funcionando correctamente.
.
103

Para supervisar DNS, puede emplear varias utilidades de lnea de comandos,
como Nslookup, DNSCmd y DNSLint.
NSLOOKUP :
Es una utilidad de lnea de comandos que se emplea para diagnosticar la
infraestructura DNS.
Nslookup ofrece la posibilidad de realizar pruebas de consultas de servidores DNS
y obtener respuestas detalladas como salida del comando. Esta informacin
resulta de utilidad para solucionar problemas de resolucin de nombres,
comprobar que los registros de recursos se agregan o actualizan correctamente
en una zona y depurar otros problemas relacionados con el servidor.
Nslookup presenta dos modos:
Interactivo. Este modo permite escribir los comandos en Nslookup y ver los
resultados en el smbolo del sistema. Utilice el modo interactivo cuando
necesite ms de un dato.
No interactivo. Este modo permite ejecutar un comando de Nslookup en un

solo paso que se puede ejecutar por s solo desde la lnea de comandos o
insertar en un archivo por lotes. El modo no interactivo proporciona como
resultado un solo dato. El resultado se puede almacenar en un archivo de texto
para verlo cuando se desee. Este modo resulta de utilidad cuando se configura
una Alerta de rendimiento para que ejecute un archivo por lotes.
Para que funcione correctamente este comando, deben existir recursos PTR para
el servidor en el que se realiza una bsqueda. Al inicio, Nslookup realiza una
bsqueda inversa en la direccin IP del servidor que ejecuta el servicio DNS
Server y, si no puede resolver la direccin a un nombre, informa de un error. Este
error no impide el rendimiento normal de Nslookup
En el proceso de diagnstico.
Ejemplo:
Verificaremos los registros tipo MX que tiene www.gmail.com:

.
104

DNSCmd:
DNSCmd es una herramienta de soporte
DNS
que
permite
a
los
administradores realizar muchas tareas
administrativas
DNS
en
el servidor DNS desde el smbolo del
sistema.
Ejemplo:
Verificamos
la
informacin de la zona: pnisenati.edu.pe.
DNSLint:
DNSLint es una utilidad de Microsoft Windows
que puede ejecutar una serie de consultas para
ayudar a diagnosticar problemas comunes de la
resolucin de nombres DNS.
Primero debemos instalarlo desde Internet:
Una vez instalado, podemos utilizarlo para
diferentes tipos de diagnsticos.
Ejemplo:
1. Primero verificamos que este operativo,
para ello lo ejecutamos desde la ubicacin hacia la cual fue descargado el
programa.
2. En efecto, podemos ver en la
imagen que el programa est
operativo.
3. Luego
de
realizar
esta
comprobacin,
procedemos
a
realizar los diagnsticos deseados.
4. Por ejemplo, haremos un test del dominio google.com.
Y luego tendremos un reporte detallado.

.
105

Registro de sucesos DNS:
Un registro de sucesos DNS es
un
registro
del
sistema
configurado
para
registrar
nicamente sucesos DNS, esto
puede ser ubicado en la misma
consola de administracin de
DNS.
Registro de depuracin DNS:
El registro de depuracin de DNS
es una herramienta de registro opcional para DNS que almacena la informacin de
DNS seleccionada.
COMPATIBILIDAD CON IP VS. 6.0:

En efecto, el servicio DNS sobre Windows
Server 2008, tiene compatibilidad con las
direcciones IP versin 6.0.
Debemos recordar, que en efecto, esta
versin de IP es muy importante, debido
que gracias a esta, solucionamos el
problema de la escasez de direcciones IP
en la versin 4.0.

.
106
TAREA 3: INSTALAR
DIRECTORIO
CONFIGURAR
EL
SERVICIO
DE
El servicio de directorio permite administrar todos los elementos que forman parte
de una red, por ello es de vital importancia para un tcnico en soporte y
mantenimiento conocer la forma de implementar y configurar este servicio. En esta
tarea se realizarn las operaciones:
Instalar el servicio de directorio.
Configurar el servicio de directorio.


Orden de Ejecucin:
1. Instalar el servicio de directorio.
2. Configurar el servicio de directorio.
Operacin 1: Instalar el servicio de directorio
Se realiza la instalacin de Active Directory Domain Services (ADDS) que es la
funcin que incorpora el sistema operativo Windows Server 2008 para
implementar el servicio de directorio en una red Windows.
Proceso de Ejecucin:
Realizar los pasos previos:
Asignacin de parmetros de red y nombre al equipo.
Establecimiento de un servidor DNS.

Luego seguir los siguientes pasos:
1. Iniciar el sistema operativo Windows server 2008 y ejecutar la herramienta:
Administrador del servidor, luego hacer clic en Agregar funciones.

.
107

2. Aparece el asistente de instalacin, hacer clic en Siguiente, luego seleccionar
la funcin Servicios de dominio de Active Directory, luego hacer clic en
Siguiente.
3. Aparece una pantalla informativa, clic en Siguiente, luego en la pantalla

confirmar selecciones de instalacin, hacer clic en Siguiente, luego hacer clic
en Instalar. Luego hacer clic en cerrar
4. La primera parte de la instalacin concluye con una pantalla que nos indica que
el servicio de dominio de Active Directory, ya se instal correctamente y que
ahora puede proceder con instalar un controlador de dominio. Hacer clic en
Cerrar.
5. Antes de proseguir con la instalacin se debe tener claro el tipo de instalacin
que se est realizando: un controlador de dominio para un dominio nuevo, o un
controlador de dominio adicional, se va a establecer un rbol de dominio nuevo
o dominio secundario, o si se crea un nuevo bosque o dentro de un dominio ya
existente. Adems se debe definir previamente una particin o disco para
instalar la base de datos y el registro de transacciones. Los cuales se deben
almacenar en volmenes diferentes.

.
108

6. Para continuar con la instalacin hacer clic en Inicio, luego escribir el comando
DCPROMO y pulsar Enter. Aparece el asistente que nos guiara en el proceso
de la instalacin. Hacer clic en Siguiente.
7. Aparece una pantalla Compatibilidad de sistema operativo, que indica que

algunas aplicaciones y servicios descontinuados probablemente no funcionen
de manera adecuada, por el nivel de seguridad que presenta el controlador de
dominio Windows server 2008. Hacer clic en Siguiente.
8. En la pantalla Elegir una configuracin
de implementacin, seleccionar Crear
un dominio nuevo en un bosque
nuevo. Hacer clic en Siguiente.
9. Asignar el nombre DNS para el dominio
raz del bosque, para este caso
asignaremos
server100.local.peru.
hacer clic en Siguiente.
10. Aparece una pantalla solicitando el nombre NetBIOS, que permite identificar al
dominio en equipos que tienen versiones anteriores de Windows,
especialmente las versiones que no soportan nombres DNS, como Windows
98 y Windows NT 4.0. Acepte el nombre asignado y hacer clic en siguiente.
11. En la pantalla Seleccionar el nivel funcional del bosque, el que define las
caractersticas disponibles en todo el bosque. Seleccionar Windows 2000.
12. En la pantalla Seleccionar el nivel funcional del dominio, seleccionar
Windows 2000 Nativo.

.
109
13. Si no hay instalado un servidor DNS, aparece una pantalla que permite hacer
la instalacin, se debe seleccionar ya que es un requisito contar con un
servidor DNS, adems aparecer un mensaje de advertencia ya que no se
cuenta con el servidor DNS, al cual hacer clic en SI. Luego hacer clic en
Siguiente.
14. La pantalla siguiente muestra la
ubicacin de la base de datos,
los archivos de registro y
SYSVOL. Por defecto la base de
datos
se
guarda
en
C:\Windows\NTDS.
Pero
adicionalmente se debe indicar la
ubicacin de la carpeta de
archivos de registro y la carpeta
SYSVOL. La mejor configuracin
en cuanto a rendimiento se
refiere, es guardar la base de
datos y el archivo de registros en
diferentes particiones y en un
disco duro diferente al disco de
inicio del sistema. Es por ello que
se
recomienda
crear
3
particiones en un segundo disco
duro.
Para
esta
prctica
consideraremos la ubicacin
predeterminada. Hacer clic en
Siguiente.
15. La pantalla siguiente solicita una contrasea de modo restauracin de
servicios de directorio. Como cualquier otro sistema el Windows server puede

.
110

experimentar un fallo en el servicio de directorio. Para ello se ha creado un
modo de ingreso al sistema llamado modo de restauracin del servicio de
directorio el cual permite restaurar el Active Directory a travs de un backup
previo.
16. La ltima pantalla muestra un resumen de la configuracin realizada, adems
permite realizar una exportacin de la configuracin. Hacer clic en Siguiente.
Se inicia el proceso de instalacin y configuracin. Reiniciar el equipo al
culminar la instalacin.
17. Al iniciar el sistema ya se puede acceder a la consola de administracin del

controlador de dominio.
Operacin 2: Configurar el servicio de directorio

Cliente:
En el equipo cliente, la configuracin se realiza unindolos al dominio
1. El equipo cliente debe formar parte de un dominio. Para ello: Hacer clic derecho
en Equipo, luego hacer clic en Propiedades.
2. En la pantalla Sistema, hacer clic en Cambiar configuracin.
3. En la pantalla Propiedades de sistema hacer clic en Cambiar.

.
111

4. En la pantalla Cambios en el dominio o nombre del equipo, seleccionar dominio,
luego escribir el nombre del dominio al cual se desea unirse.
5. Hacer clic en Aceptar aparecer una pantalla solicitando nombre de usuario y

contrasea con privilegios para unir al dominio. Ingresar los datos solicitados,
luego aparecer una pantalla indicando que se uni al dominio de manera
satisfactoria.
6. Hacer clic en Aceptar en todas las pantallas. El equipo se reiniciara para

guardar la configuracin
Servidor: Controlador de Dominio (Servidor de directorio)
Realizar copia de seguridad de Active directory:
1. Primero se agrega la caracterstica:
Caractersticas
de
Copia
de
seguridad de Windows Server. Para
ello
iniciar
la
herramienta
Administrador
del servidor
y
seleccionamos agregar caracterstica.
2. En la pantalla que aparece seleccionar la caracterstica: Copia de seguridad de
Windows Server. Hacer clic en Siguiente.
3. En la pantalla de confirmacin hacer clic en instalar, luego clic en Cerrar.

.
112
4. Comprobar que se dispone de una particin diferente u otro disco diferente para
almacenar la copia de seguridad. Para nuestro caso se tiene una segunda
particin en el disco.
5. Desde smbolo de sistema
digitar el comando: wbadmin
start systemstate backup
backupTarget:E: y pulsar
enter.
Donde backupTarget: indica la ubicacin que tendr el backup del estado del
sistema, en este caso la unidad E:
6. El sistema solicita que
confirme el inicio de la copia
del systemstate. Pulsar la
letra S y luego enter.
7. Luego
empieza
la
seleccin de archivos
automticamente. Est
procedimiento
suele
tardar.
8. Despus de la espera
termina el proceso.
Realizar recuperacin del estado del sistema empleando la copia de
seguridad de Active directory:
1. Determinar el ID de la versin
de backup que desee restaurar.
Utilizar el comando wbadmin
get versions.

.
113

2. Observar el identificador de
versin. Este dato es til
para
realizar
la
restauracin.
3. Reinicie el equipo en modo
de restauracin del servicio de directorio.
4. En el smbolo de sistema con privilegios de administrador escriba: wbadmin
start systemstaterecovery version:12/06/2012-20:10. Confirmar la
operacin del estado del sistema. Hacer clic S.
Creacin de unidades organizativas:
1. Abrir la ventana de complemento Usuarios y equipos de Active Directory.
2. Seleccionar el dominio.
3. Hacer clic derecho sobre el nombre de dominio, seleccionar Nuevo y hacer clic
sobre Unidad Organizativa.
4. Aparece un asistente, en el cual se escribe el nombre de la unidad organizativa.

5. Hacer clic en aceptar, la unidad se habr creado. Se puede seguir creando
unidades dentro de la unida creada.

.
114

Propiedades de las unidades administrativas:
1. Forma bsica: Hacer clic derecho en la unidad organizativa y seleccionar
Propiedades.
2. Forma avanzada: Men ver, opcin caractersticas avanzadas.
3. Clic derecho en la unidad organizativa y hacer clic en propiedades.
Creacin de usuarios de dominio:

1. Hacer clic sobre la unidad organizativa, seleccionar Nuevo y luego usuario.
2. Completar la informacin del cuadro de dialogo.
3. Colocar la contrasea y seleccionar las opciones de usuario.
4. Confirmar las opciones y hacer clic en finalizar.
FUNDAMENTO TERICO:
SERVICIO DE DIRECTORIO
El servicio de directorio se encarga de administrar todos los objetos del sistema de
red. En versiones anteriores de Windows server se utiliz Active Directory para
esta tarea, pero en Windows server 2008 se utiliza Active Directory Domain
Services (AD DS).

.
115

AD DS proporciona una base de datos distribuida que almacena y administras
informacin acerca de los recursos de red y datos especficos de las aplicaciones
con directorio habilitado. Los administradores pueden usar AD DS para organizar
los elementos de una red (usuarios, equipos y otros dispositivos) en una estructura
de contencin jerrquica incluye el bosque de active directory, los dominios del
bosque y las unidades organizativas de cada dominio. El servidor que ejecuta AD
DS se llama controlador de dominio.
Active Directory es un servicio de directorio extensible y escalable que permite
administrar eficientemente los recursos de red y ayuda a monitorizar y localizar
estos servicios.
Un servicio de directorio es un lugar donde se centraliza informacin sobre los
recursos de una organizacin. Un directorio es una base de datos optimizada para
lectura, navegacin y bsqueda. Los servicios de directorio son almacenes de
informacin acerca de entidades de red (aplicaciones, archivos, impresoras y
usuarios).
Los servicios de directorio proporcionan una manera consistente de nombrar,
describir, localizar, acceder, administrar y asegurar informacin acerca de los
recursos almacenados.
Active Directory permite un punto nico de administracin para todos los recursos
pblicos (archivos, dispositivos perifricos, bases de datos, usuarios, etc.). El
administrador da acceso a los recursos definidos.
Un dominio es una unidad lgica que agrupa objetos (usuarios o equipos) a los
que se dar acceso a los recursos (archivos, dispositivos, bases de datos).
Controlador de dominio: equipo con Windows Server 2008 que mantienen la

base de datos del Active Directory.
Servidor miembro: equipo que forma parte del dominio haciendo uso de los
servicios del mismo. Necesita autenticarse en el dominio (mediante un controlador
de dominio) para poder usar los recursos.
.
116
CARACTERISTICAS DE ACTIVE DIRECTORY
Escalabilidad: Puede crecer y soportar un elevado nmero de objetos.

Integracin con el DNS: Los nombres de dominio son nombres DNS y
tienen que estar registrados en l, AD usa DNS como servicio de nombres y
de localizacin, Es necesario instalar DNS antes de poder instalar AD.
Extensible: Permite personalizar las clases y objetos que estn definidas
dentro de AD segn las necesidades propias.
Seguridad: Incorpora las caractersticas de seguridad de Windows Server
2008; por ejemplo: se puede controlar el acceso a cada objeto.
Multimaestro: No distingue entre controladores de dominios primarios o
secundarios, cualquier controlador de dominio puede procesar cambios del
directorio, las actualizaciones o modificaciones realizadas en un
controlador, se replican al resto, siendo todos iguales.
Flexible: Permite reflejar la organizacin lgica y fsica de la empresa u
organizacin donde se instala, permite que varios dominios se conecten en
una estructura de rbol o de bosque.
Sigue el estndar LDAP (Lightweight Directory Access Protocol)
ORGANIZACIN DE ACTIVE DIRECTORY:

Objetos de Active Directory:
Active Directory almacena informacin sobre los recursos de red y proporciona los
servicios que permiten que la informacin se encuentre disponible y sea til. Esta
informacin la pone a disposicin de los administradores y los usuarios de la red.
Por ejemplo: almacena informacin sobre las cuentas de usuario (nombres,
contraseas, n de telfono, etc.) y permite que otros usuarios autorizados de la
misma red tengan acceso a esa informacin.
Los recursos almacenados se
denominan objetos y pueden ser:
usuarios, impresoras, servidores,
bases de datos, grupos, equipos
y directivas o polticas de
seguridad.
Un objeto es diferenciado por su
nombre y representa un recurso
de red, adems un objeto tiene
un conjunto de atributos que lo

.
117

definen y son sus caractersticas (para un usuario su nombre, apellidos, e-mail,
...).
Estructura lgica:
Active Directory organiza los recursos mediante una estructura lgica, lo que
permite localizar un recurso por su nombre y no por su localizacin fsica (que se
hace transparente a los usuarios)
Dominio: Coleccin de equipos que comparten la base de datos del Active
Directory y que se administran de forma conjunta:
o Los controladores de dominio, almacenan una copia de la base de
datos y permiten gestionarla y administrarla. Tambin controlan el acceso
a la red, a la BD del directorio y a los recursos compartidos
o Los servidores miembros usan los servicios y recursos
El dominio es la unidad central de la estructura lgica de AD. Un dominio se
crea al generar el primer controlador del dominio.
Un dominio representa: El lmite para la autenticacin, el lmite para la
replicacin de la base de datos y el lmite para las polticas o directivas.
El nombre del dominio debe ser nico y ha de estar registrado en el DNS. El
DNS es la base de la infraestructura del Active Directory ya que permite que
los servidores miembros localicen a los controladores de dominio.
Un dominio puede estar en varias subredes y en una red pueden existir varios
dominios.
Un dominio mantiene su ACL (lista de control de acceso) con todos los
permisos para los recursos del dominio, controlando los usuarios que pueden
acceder al mismo y el tipo de acceso.
Los elementos de la base de datos del directorio (cuentas de usuarios, grupos,
equipos y recursos compartidos, como impresoras y carpetas) los usarn todos
los equipos del dominio.
Todos los recursos (u objetos) de la red existen en un dominio y cada dominio
almacena informacin exclusivamente de los objetos que contiene.
Unidades organizativas: Los recursos del dominio se organizan en Unidades
Organizativas (OU, Organizational Units), que son contenedores (como
directorios) que permiten ordenar los recursos u objetos dentro de un dominio.
Contienen agrupaciones lgicas de recursos, como archivos, impresoras,
cuentas, aplicaciones y otros recursos del dominio. Las unidades organizativas
son como subgrupos dentro del dominio que reflejan, normalmente, la
estructura funcional o de negocios de una organizacin y slo pueden contener
.
118
objetos del dominio al que estn asociados. Las unidades organizativas crean
vistas del directorio ms pequeas y manejables, adems se puede delegar la
autoridad sobre las mismas, para manejar con ms facilidad el acceso a los
recursos administrativos.
Las unidades organizativas a nivel de Administracin permiten:
o Agrupar objetos con los mismos requerimientos
o Delegacin de tareas de una unidad organizativa
o A nivel de polticas (directivas) de grupo permiten
o Establecer una configuracin distinta a una unidad organizativa
o Establecer detalles de seguridad distintos a una unidad organizativa
o Ejemplo de unidades organizativas
Usuarios (unidad organizativa)
Profesores (unidad organizativa)
AdministracinSistemasOperativos (uo)
Pilar, lvaro, Jos (usuarios)
Arquitectura (uo)
Javier, Manolo, Antonio, Gregorio (usuarios)
Redes (uo)
Juan, scar, Flix (usuarios)
rboles de dominio: Un rbol de dominio es una agrupacin de uno o ms
dominios que comparten un espacio de nombres continuo. Por ejemplo: aso.es
(principal), sup.aso.es, sis.aso.es, ges.aso.es (el resto secundarios).
El nombre de dominio de un dominio secundario es el nombre relativo a ese
dominio agregado al nombre del dominio principal.
Los dominios dentro del rbol comparten el esquema comn, el catlogo global
y los datos de configuracin (topologa del directorio).
Confianza: los dominios de un rbol estn conectados por medio de relaciones
de confianza.
Al crear un nuevo dominio ya forma un rbol: es el dominio principal de ese
rbol.
Bosques de dominio: Un bosque de dominio est compuesto por uno o
ms rboles de dominio distintos e independientes entre s, que comparten
informacin del directorio comn:
o aso.es, sup.aso.es, sis.aso.es, ges.aso.es
o etc.es, sup.etc.es, sis.etc.es, ges.etc.es
o redes.es, sup.redes.es, sis.redes.es, ges.redes.es

.
119

Todos los rboles de un bosque comparten el esquema comn, el catlogo
global y los datos de configuracin.
Los dominios en un bosque operan independientemente, pero el bosque
permite la comunicacin a lo largo de toda la organizacin.
El bosque tiene un nico dominio raz, llamado dominio raz del bosque, que es
el primer dominio creado en el mismo.
Los nombres de dominio dentro de un bosque pueden ser discontinuos o
continuos en la jerarqua del DNS:
Continuos: estn en el mismo rbol de dominio
Discontinuos: forman varios rboles de dominio
Por defecto, un nico dominio ya forma un rbol y un bosque:
Se puede ampliar el rbol aadiendo un nuevo dominio con un nombre
continuo.
Se puede ampliar el bosque al aadir un nuevo dominio con un nombre
discontinuo, que formar un nuevo rbol de dominio.
Estructura fsica:
Controlador de dominio: Un controlador de dominio es un equipo con

Windows Server 2008 que almacena una copia del directorio del dominio (base
de datos local del dominio). Puede haber varios controladores de dominio,
cada uno de ellos tendr una copia completa del directorio. Cada controlador
permite realizar cambios en el directorio, administrando los cambios y
replicndolos a los otros controladores de dominio del mismo dominio.
Los controladores de dominio administran todas las facetas de las
interacciones de los usuarios en un dominio (localizacin de objetos o
validacin de un intento de inicio de sesin,...)

.
120

La replicacin se hace en intervalos de tiempo, pudiendo establecer la
frecuencia a la que se producen las replicaciones entre controladores de
dominio.
AD usa un modelo replicacin multimaestro:
o Ningn controlador del dominio es el maestro
o Todos los controladores son iguales y contienen una copia de la BD del
directorio. (En realidad todos los controladores son casi iguales)
o Los controladores replican los cambios entre ellos
o Cualquier controlador de dominio puede procesar los cambios del directorio
y replicarlos.
Los controladores de dominio replican inmediatamente ciertas actualizaciones
urgentes, por ejemplo la eliminacin de una cuenta de usuario. Establecer
varios controladores de dominio dentro de un dominio permite tener tolerancia
a fallos. Todos tienen asignadas las mismas tareas salvo:
1. Servidor de cabeza de puente para replicar informacin del directorio con
otros sitios.
2. Las funciones del maestro de operaciones.
Sitios: Un sitio es una agrupacin de equipos que estn conectados

fsicamente por conexiones rpidas y de alta fiabilidad. Habitualmente equipos
conectados en una LAN. La razn bsica de crear sitios es aprovechar los
mecanismos de comunicacin eficientes (rpidos y fiables) entre sistemas
bien comunicados
Un sitio es bsicamente una subred TCP/IP. Son independientes de la
estructuras lgica del dominio. No existe relacin entre la estructura fsica de la
red y la lgica del dominio:
Un nico dominio puede estar en varios sitios.
En un sitio puede haber varios dominios.
Importante no confundir sitio con dominio:
Dominio: agrupacin lgica de usuarios y equipos.
Sitio: agrupacin fsica de equipos.
Los equipos estn asignados a sitios segn su localizacin en la subred o en
un conjunto de subredes. Si la empresa tiene varias subredes que no tienen
buena conexin entre s o estn en ubicaciones geogrficas distintas, (por
ejemplo una sucursal en Lima y otra en Trujillo), hay que definir un sitio por
cada subred. Debe tener asociado, al menos, un controlador de dominio en
cada sitio (para facilitar y acelerar el acceso a los datos del AD)

.
121

La informacin de los sitios se usa para:
Validacin de seguridad en los servidores miembros: el proceso de
autenticacin se hace en los controladores del dominio del sitio en el que est
el servidor miembro (si es posible)
La replicacin de la informacin de directorio se hace con ms frecuencia
dentro de sitios que entre sitios (reduciendo el trfico de la red)
Un controlador del dominio ser servidor de cabeza de puente: realiza la
rplica de datos hacia y desde un sitio, y enva los datos recibidos a los otros
controladores del sitio.
CONCEPTOS DE ACTIVE DIRECTORY
Almacn de datos o Directorio Activo: Contiene informacin sobre objetos

del dominio, como pueden ser cuentas de usuarios, grupos o equipos, recursos
compartidos, unidades organizativas y directivas o polticas de grupo. Esta
informacin se publica para que otros usuarios y administradores del dominio
la utilicen.
Se conoce como almacn de datos o directorio, es el propio Directorio Activo
(Active Directory). Se almacena en un fichero llamado ntds.dit que tiene que
estar localizado en una particin de tipo NTFS. Los controladores de dominio
replican los cambios del almacn de datos de forma multimaestro: todos los
controladores de dominio tienen la misma base de datos.
Catlogo global: El catlogo global es un almacn central de informacin de
todos los objetos del directorio de los dominios del bosque. Tiene una copia
completa todos los objetos (todos sus atributos) del directorio de su dominio y
una copia parcial de todos los objetos de los directorios de los otros dominios
del bosque. La copia parcial almacena los atributos usados con ms frecuencia
en las operaciones de bsqueda.
De manera predeterminada, el primer controlador de dominio creado al instalar
AD se convierte en catlogo global y es conocido como servidor de catlogo
global. La informacin que almacena es generada automticamente en cada
dominio mediante el proceso de rplica. Se pueden definir varios CGs en un
dominio, pero esto incrementar el trfico de red para hacer las rplicas (para
actualizar los distintos catlogos).
Realiza las siguientes funciones clave en el directorio:
o Resuelve las bsquedas de informacin en un dominio, rbol o bosque, con
independencia de la ubicacin de los datos (con independencia de en qu
dominio estn)

.
122

o Resuelve los nombres principales de usuarios (UPN) de otros dominios del
bosque, permitiendo que usuarios esos dominios se autentiquen en el
dominio.
o La informacin sobre los grupos universales se almacena slo en el CG.
Cuando un usuario inicie una sesin, el CG proporcionar la pertenencia (o
no) a los grupos universales.
o Permite validar las referencias a objetos de otros dominios del bosque,
informando si son o no correctas.
Diseado para responder a las preguntas sobre objetos de cualquier dominio
del bosque (mxima velocidad y poco trfico de red). Una pregunta sobre un
objeto de otro dominio puede ser resuelta por el catlogo global del dominio
donde se realiza la pregunta.
Esquema de Active Directory: El esquema define todos los objetos y tipos de

datos que se pueden almacenar en Active Directory. Define los objetos a travs
de clases, las propiedades de las clases y los atributos. Hay dos tipos de
definiciones en el esquema: Clases (o clases de objetos): describen las
caractersticas de los objetos de AD. Es una coleccin de atributos y atributos.
Se almacena como un objeto del AD. Proporciona unas clases y atributos por
defecto.
Pero es un elemento ampliable: se pueden definir nuevos objetos o atributos a
un objeto que ya existe. Por ejemplo a user se le puede asociar los nuevos
atributos: nota_teora, nota prcticas y nota final.
Maestro de operaciones flexible: Las funciones de maestro de operaciones
son realizar tareas que son impracticables en entornos multimaestro. Pero

.
123
estas tareas pueden ser asignadas a distintos controladores del dominio (no
tienen que realizarse en el mismo controlador). Hay cargos que se asignan
slo una vez en el bosque de dominio, otros se deben definir una vez en cada
dominio. Las funciones que realiza son:
Maestro de esquema: controla las actualizaciones y modificaciones del
esquema del directorio. Slo existe uno en el bosque.
Maestro de nombres de dominio: controla la agregacin o eliminacin de
nombres de dominios en el bosque. Uno en todo el bosque.
Maestro de Id. Relativo: asigna los Id. Relativos a los controladores de
dominio.
Sus cargos son:
Maestro de infraestructuras: actualiza las referencias a objetos comparando
sus datos de directorio con el catlogo global, replicando los cambios si es
necesario. (Es preferible que no coincida con el CD que hace de catlogo
global)
Emulador PDC: Recibe una replicacin preferencial de los cambios
realizados en las contraseas por otros controladores del dominio. Si una
autenticacin de inicio de sesin produce un error por una contrasea
incorrecta, se reenviar la solicitud de autenticacin al emulador del PDC antes
de rechazar el intento de inicio de sesin. Sincronizacin horaria en todo el
bosque.
Espacio de nombres: Los nombres de AD son nombres registrados en el
servidor de DNS, por lo que se pueden usar formatos de nombre estndar del
tipo aso.es. Esto permite la estructuracin jerrquica de AD.
Nomenclaturas: 4 nomenclaturas para identificar objetos
1. DN (Distinguished Name) (nombre completo)
o nico para cada objeto.
o Contiene suficiente informacin para que un usuario recupere el objeto
del directorio, incluyendo el nombre del dominio y la ruta.
o Se compone de varios atributos: el nombre del dominio al que pertenece
(DC) y de las unidades organizativas en las que est (OU) y el nombre
relativo del objeto (CN)
2. RDN (Relative Distinguished Name) (nombre completo relativo)
o Identifica unvocamente al objeto dentro su unidad organizativa.
o Es parte del DN.

.
124

o Podemos tener dos objetos con el mismo nombre si los objetos
pertenecen a distintas Unidades Organizativas
3. GUID (Globally Unique Name) (identificador global nico)
o Nmero de 128 bits, distinto para cada objeto, y que no cambia nunca.
o Es nico y est formado por el Id de seguridad del dominio (prefijo) y un
Id relativo nico, (asignado por el maestro de operaciones).
4. UPN (User Principal Name) (nombre principal de usuario)
o Son nombres cortos y descriptivos del objeto.
o El nombre comn del objeto se combina con el dominio para formar el
UPN.
Supongamos que tenemos el dominio aso.es y dentro de l la unidad
organizativa users, dentro la unidad organizativa Profesores y dentro el
usuario Pilar:
El nombre completo o distinguished name para este usuario:
CN=Pilar, OU=Profesores, OU=users, DC=aso, DC=es
El nombre completo relativo o Relative Distinguished Name:
Pilar
Si movemos el usuario Pilar a una nueva unidad organizativa llamada
Investigadores:
El nombre completo o distinguished name ser:
CN=Pilar, OU=Investigadores, DC=aso, DC=es
UPN: pilar@aso.es
DIRECTIVAS EN AD
En un dominio, se pueden definir directivas de grupo a nivel de sitio, de dominio
o de unidades organizativas. Se aplicarn a todos los servidores miembros del
dominio. El orden de aplicacin de las directivas es el siguiente:
1. Directivas de grupo local (las definidas en el equipo local)
2. Directivas de grupo de sitio
3. Directivas de grupo de dominio
4. Directivas de unidad organizativa
5. Directivas de unidad organizativa secundaria, etc.
En caso de conflictos, las que se aplican ms tarde tienen preferencia y
sobrescriben las directivas aplicadas previamente. Se pueden aplicar a todos los
usuarios (al dominio) o a un nico usuario (en una unidad organizativa concreta).
INSTALACION DE AD

.
125

dcpromo.exe: es la orden para abrir el Asistente para instalar AD. Al ejecutarlo se
puede:
o Crear un nuevo dominio, creando un nuevo rbol y un nuevo bosque.
o Unirse como nuevo controlador a un dominio que ya existe.
o Crear un nuevo dominio en un rbol de dominios ya existente.
o Crear un nuevo rbol, creando nuevo dominio, en un bosque de dominios
ya existente.
o Al unir un nuevo controlador de dominio a un dominio/rbol/bosque que ya
existe, hay que indicar un usuario (y su contrasea) correcto para
autenticarnos en l. El usuario a indicar es Administrador.
Si AD ya est instalado, lo que hace es desinstalar AD, esto es degradar el
controlador de dominio a servidor miembro (es decir, a cliente del dominio)
Si al degradarlo fuese el ltimo CD existente, elimina tambin el dominio.
Nombre del nuevo dominio: El nombre asignado al dominio tiene que ser un
nombre DNS vlido que debe estar registrado en el mismo. Si el DNS est
configurado correctamente, el nuevo nombre se registrar de forma automtica.
Esto es lo conveniente.
Al instalar el primer CD de un nuevo dominio/rbol/bosque, si el DNS no permite
actualizaciones automticas, ofrece la posibilidad de instalar un servidor de DNS
para controlar todo lo relacionado con el nombre del dominio, los controladores de
dominio, etc.
Nombre de dominio NetBIOS: para compatibilidad con versiones anteriores de
Windows (nombre corto)
Nivel funcional del bosque: establece la versin mnima de sistema operativo de
los controladores de dominio (Windows Server 2008, Windows Server 2003,
Windows 2000 nativo y Windows 2000 mixto (predeterminado).
Ubicacin de la base de datos y el registro de AD: Por defecto la ruta es:
%SystemRoot%\ntds\ (el valor de %SystemRoot% es c:\windows\) La BD de
AD contendr los objetos y sus propiedades. Los archivos de registro de AD
registrarn las actividades del servicio de directorio. Tienen que ser en una unidad
con formato NTFS.
Ubicacin del Volumen de sistema compartido: Por defecto la ruta es:
%SystemRoot%\sysvol. Sysvol es un recurso compartido que contiene
informacin del dominio que se replica al resto de controladores de dominio de la
red. Tiene que estar en una unidad NTFS. Almacena la copia de servidor de las
carpetas pblicas del dominio.
.
126

CONFIGURANDO UN SERVIDOR MIEMBRO:
En la herramienta Propiedades del Sistema en la ficha. Nombre del equipo
indicamos el dominio al que queremos unir ese equipo. Pedir un usuario y su
clave para autenticarse en el dominio, habr que indicarle el usuario
administrador. En esa ficha tambin se ve si el equipo ya pertenece a un dominio
o bien a un grupo de trabajo.
HERRAMIENTAS DE AD
Asistente de instalacin de AD
Dominios y confianzas de AD: Cambia el modo de funcionamiento del dominio,
gestionando las relaciones de confianza entre dominios, rboles de dominio y
bosques de dominios
Usuarios y equipos de AD: Crear, gestionar y configurar usuarios, grupos,
equipos y unidades organizativas del AD
Sitios y servicios de AD: Crear y configurar sitios de dominios, y gestionar el
proceso de duplicacin de controladores de dominio
Esquema de AD: Modificar el esquema que definen los objetos y propiedades de
AD.
DOMINIOS Y CONFIANZAS DE AD
Herramientas administrativas/Dominios y confianzas de AD. Permite:
Administrar relaciones de confianza entre dominios: Los usuarios de un

dominio pueden acceder a recursos ubicados en otro dominio en que se confe.
Establecer sufijos de nombre principal de usuario (UPN) y nodos de dominio:

Como sufijo del nombre principal de usuario, se utiliza el nombre de dominio
(pilar@aso.es), pero se pueden establecer alternativos.
Cambiar el nivel de funcionalidad del dominio.

Cambiar el CD que hace de maestro de operaciones.
Cambiar el usuario que es el administrador designado para el dominio.
SITIOS Y SERVICIOS DE AD
Para ejecutarlo: Herramientas administrativas /Sitios y servicios de AD.
Default-First-Site-Name: sitio por defecto creado al crear el primer controlador de
dominio.
Cada sitio tiene varios contenedores: Servers (Servidores) con los diferentes
controladores de dominio del sitio, as como varios objetos entre ellos:
Licensing Site Settings

.
127
NTDS Setings, que permite deshabilitar la generacin automtica de

replicacin en todas sus posibilidades
Las propiedades del sitio permiten especificar una descripcin y su ubicacin, y
temas relacionados con la seguridad.
Con subredes se pueden establecer los lmites de un sitio: direccin de red y
mscara de red. Si hay ms de un sitio es necesario definir subredes para que AD
sepa ubicar los controladores de dominio en las subredes y sitios apropiados.
Permite, entre otras tareas:
Crear nuevos sitios

Habilitar/deshabilitar un dominio como catlogo global
Designar un servidor de cabeza de puente, que maneja la transferencia de
rplica de datos hacia y desde un sitio, y enva los datos recibidos a los
otros controladores del sitio.
Reparar controladores de dominio.

Configurar el transporte entre sitios, definiendo posibles conexiones lgicas
entre dos o ms sitios, para optimizar los procesos de replicacin entre
sitios, su velocidad, etc.
HERRAMIENTAS EN LINEA DE COMANDOS
Dsadd: aade equipos, contactos, grupos, unidades organizativas y

usuarios
Dsget: muestra propiedades de equipos, contactos, grupos, unidades
organizativas, usuarios, sitios, subredes y servidores.
Dsmod: modifica las propiedades de equipos, contactos, grupos, unidades
organizativas, usuarios y servidores.
Dsmove: mueve un objeto a una nueva ubicacin en el dominio, o lo
renombra.
Dsquery: localiza equipos, contactos, grupos, unidades organizativas,
usuarios, sitios, subredes y servidores dentro de AD utilizando criterios de
bsqueda.
Dsrm: elimina objetos del AD.
ADMINISTRACION DE DIRECTIVAS EN AD
Con la herramienta Administracin de directivas de grupo.
Por defecto no se instala, hay que instalarla mediante la herramienta Programas y
caractersticas, y aparecer como una nueva opcin de men dentro de
Herramientas Administrativas.

.
128

Para el dominio, los sitios, o las unidades organizativas se pueden asignar
directivas de grupo, y editar los valores correspondientes.
Dependiendo del nivel de aplicacin afectarn a los equipos/usuarios
correspondientes:
Dominio todos.
Sitio equipos de ese sitio.
Unidad organizativa equipos/usuarios de esa u.o.

.
129

.
130
TAREA 4: INSTALAR Y CONFIGURAR EL SERVICIO DHCP

El servicio DHCP es uno de los servicios ms empleados en las redes
corporativas, ya que permiten de manera rpida la configuracin de las
computadoras dentro de una red. En esta tarea se desarrollan las siguientes
operaciones:
Instalar el servicio de DHCP.
Configurar el servicio DHCP.
Orden de Ejecucin:
1. Instalar el servicio de DHCP.
2. Configurar el servicio DHCP.
Operacin 1: Instalar el servicio DHCP.
Se realiza la instalacin del servicio DHCP en una red Microsoft.
1. Hacer clic en Inicio, luego seleccionar Herramientas administrativas y luego
iniciar la herramienta Administrador de servidor.
2. Hacer clic en Funciones, luego en Agregar funciones.

.
131

3. Aparece una pantalla con el asistente, hacer clic en Siguiente. En la siguiente
pantalla del asistente seleccionar Servidor DHCP, luego hacer clic en
Siguiente.
4. Aparece una pantalla con datos informativos sobre el servicio DNS. Hacer clic
en Siguiente. En la pantalla Seleccionar enlaces de conexin de red,
comprobar que este seleccionado la conexin de red actual, luego hacer clic en
Siguiente. En la pantalla Especificar la configuracin del servidor DNS
IPv4, hacer clic en Siguiente.
5. En la pantalla siguiente seleccionar la opcin No se requiere WINS para las

aplicaciones en esta red, luego en la pantalla siguiente seleccionar
Deshabilitar el modo sin estado DHCPv6 para este servidor, luego hacer clic en
Siguiente. En la pantalla siguiente hacer clic en Instalar, para finalizar hacer
clic en Cerrar.

.
132

Operacin 2: Configurar el servicio DHCP.
CONFIGURACIN DEL SERVIDOR
MANEJO DE MBITOS:
1. Desde herramientas administrativas abrir DHCP
Hacer clic en Inicio, seleccionar Herramientas administrativas, luego
hacer clic en DHCP.
2. Crear un mbito para un determinado rango de direcciones por ejemplo de

172.16.3.200 hasta 172.16.3.250, excluyendo el rango de: 172.16.3.210
hasta 172.16.3.220
Expandir el icono que representa al servidor. Hacer clic derecho en IPV4
y seleccionar mbito nuevo.
Hacer clic en Siguiente. En la casilla nombre colocar el nombre del
mbito, por ejemplo: mbito01. Hacer clic en Siguiente.
En la casilla direccin IP inicial, colocar la direccin IP inicial por

ej.:172.16.3.200. En la casilla direccin IP final, colocar la direccin IP
final por ej.: 172.16.3.250. Clic en Siguiente.
En agregar exclusiones, en la casilla Direccin IP inicial colocar la
direccin IP inicial: por ej.: 172.16.3.210. En agregar exclusiones, en la
casilla Direccin IP final colocar la direccin IP final por ej.:172.16.3.220.
Hacer clic en el botn agregar. Hacer clic en Siguiente.

.
133
En la duracin de concesin cambiar el valor de 8 das por el de 30

minutos. Hacer clic en Siguiente. En Configurar opciones DHCP
seleccionar Configurare estas opciones ms tarde. Hacer clic en
siguiente. Hacer clic en finalizar.
3. Activar el mbito recin creado

Clic derecho en el mbito recin creado y seleccionar activar.
OPCIONES DE MBITO:
1. Configurar las opciones de mbito para otorgar la direccin IP del router
(172.16.3.1), registro 003 Enrutador
Ingresar a la herramienta administrador de DHCP, luego expandir el
Ambito01. Hacer clic derecho en Opciones de mbito y seleccionar
configurar opciones.

.
134

Colocar un check en la opcin 003 Enrutador. En la casilla direccin IP
colocar el valor de la puerta de enlace por ej.:172.16.3.1 y hacer clic en
agregar, luego hacer clic en aceptar.
De manera similar se puede configurar para agregar direcciones IP de los

servidores DNS
DIRECCIONES RESERVADAS:
1. Obtener la direccin MAC de la computadora que es cliente DHCP. Por
ejemplo: 08-00-27-F2-16-29
2. Reservar la direccin IP: 172.16.3.200 al cliente DHCP del cual obtuvo la

direccin MAC.
Expandir el mbito 01.
Hacer clic derecho en reservas y seleccionar la opcin Reserva nueva
En la casilla nombre de reserva colocar el valor de: Reserva 01
En la casilla direccin IP colocar el valor de: 172.16.3.200
En la casilla de direccin MAC colocar el valor de la MAC ubicada antes
Hacer clic en agregar.

.
135
Verificar la configuracin liberando y renovando la direccin IP en el cliente DHCP

(equipo con Windows XP). Realice estas pruebas usando los comando ipconfig
/release, ipconfig /renew y ipconfig /all.
CLIENTE DHCP:
Los siguientes pasos se realizaran en la computadora designada como Cliente
DHCP
1. Configurar el equipo cliente para que sea un
cliente DHCP, por lo tanto en configuraciones
TCP/IP no configurar ningn valor
Hacer clic en inicio
En ejecutar escribir ncpa.cpl
Hacer clic derecho en conexiones de red,
propiedades
Seleccionar protocolo de internet TCP/IP,
luego propiedades
En la pantalla propiedades de protocolo
de internet (TCP/IP), seleccionar la
opciones Obtener una direccin IP

.
136

automticamente y Obtener la direccin del servidor DNS
automticamente, luego hacer clic en aceptar
Hacer clic en cerrar.
3. Comprobar en el equipo cliente la asignacin de la direccin IP por parte del
servidor DHCP para ello desde smbolo de sistema utilice el comando
ipconfig.
FUNDAMENTO TERICO:
PROTOCOLO DE CONFIGURACIN DINMICA DE HOST (DHCP)
DHCP
(Dynamic
Host
Configuration Protocol) son
las siglas que identifican a
un protocolo empleado
para
que
los
hosts
(clientes) en una red
puedan
obtener
su
configuracin de forma dinmica a travs de un servidor del protocolo. Los datos
as obtenidos pueden ser: la direccin IP, la mscara de red, la direccin de
broadcast, las caractersticas del DNS, entre otros. El servicio DHCP permite
acelerar y facilitar la configuracin de muchos hosts en una red evitando en gran
medida los posibles errores humanos.
Con una funcin similar a la del DHCP, pero con algunas restricciones, existe el
BOOTP o Internet Bootstrap Protocol, el cual permite tambin la asignacin de la
configuracin de red en forma dinmica pero a partir de su definicin esttica para
cada cliente en una base de datos en el servidor. Esta informacin a diferencia de
como se hace usualmente con DHCP no puede ser renovada.

.
137

Para comprender por qu DHCP resulta til a la hora de configurar TCP/IP en
equipos cliente, es conveniente comparar la configuracin manual de TCP/IP con
la automtica, en la que se utiliza DHCP.
CONFIGURACIN MANUAL DE TCP/IP
Si escribe manualmente los datos de configuracin
IP (como la direccin IP, la mscara de subred o la
puerta de enlace predeterminada) correspondientes
a cada host, pueden producirse errores
tipogrficos. Estos errores pueden provocar
problemas de comunicacin o problemas asociados
con direcciones IP duplicadas. Es ms, se genera
un aumento de las tareas administrativas en las
redes en las que los equipos se trasladan con
frecuencia de una subred a otra. Adems, si
necesita cambiar el valor IP de varios clientes,
deber actualizar la configuracin IP de cada uno.
CONFIGURACIN AUTOMTICA DE TCP/IP
Al configurar el servidor DHCP para admitir clientes DHCP, el servidor DHCP
suministra automticamente la informacin de configuracin necesaria a los
clientes. Tambin garantiza que los clientes de red emplean la informacin de
configuracin de red correcta. Asimismo, en caso de que sea necesario realizar
algn cambio en los datos de configuracin IP de varios clientes, el cambio se
puede efectuar en el servidor DHCP y, a continuacin, DHCP actualizar
automticamente la informacin de configuracin del cliente para reflejarlo. Por
ejemplo, supongamos que necesita configurar 300 equipos con informacin de
configuracin IP (direccin IP, mscara, Puerta de enlace, DNS,). Sin DHCP,
tendra que configurar manualmente cada uno de los 300 equipos. Adems,
tendra que realizar un seguimiento del tipo de informacin de configuracin IP
incluida en los distintos clientes. En caso de que fuera necesario realizar cambios
en la configuracin IP de los clientes, debera volver a configurar manualmente los
datos de configuracin de direcciones IP de cada equipo. Con DHCP, agregara
un solo servidor DHCP que admitira a la totalidad de los 300 clientes de red. Si
surgiera la necesidad de modificar la configuracin IP, bastara con realizar el
cambio una vez en el servicio Servidor DHCP y, a continuacin, sera necesario
renovar la configuracin de cliente DHCP de cada host TCP/IP. Como vemos, es
preferible utilizar un servidor DHCP en la infraestructura de una red. A
.
138

continuacin se resumen las principales diferencias entre la configuracin TCP/IP
manual y automtica:
Configuracin manual de TCP/IP
Configuracin automtica de TCP/IP
Las direcciones IP se escriben Las direcciones IP se suministran
manualmente en cada equipo cliente, automticamente a los equipos cliente.
por consiguiente, se perdera tiempo Garantiza que los clientes de red
en realizar dicha configuracin.
siempre
emplean la informacin
Existe la posibilidad de especificar de configuracin de red correcta
direcciones IP incorrectas
o no La configuracin del cliente se actualiza
vlidas.
automticamente para reflejar los
Una configuracin incorrecta puede cambios en la estructura de red
provocar problemas de comunicacin Elimina
una
fuente
comn
y red.
de problemas de red, como por
Se pueden producir problemas de ejemplo, la duplicacin de direcciones.
duplicacin de IP.
Permite crear reservas de direcciones
Se
presenta
una
sobrecarga IP para determinados equipos.
administrativa en las redes en las
que los equipos se trasladan
frecuentemente o se tengan que
cambiar sus configuraciones TCP/IP.
Funcionamiento de DHCP
DHCP permite administrar la asignacin de direcciones IP desde una ubicacin
centralizada. Puede configurar un servidor DHCP para asignar direcciones IP en
una o en varias subredes. El servidor DHCP puede asignar automticamente
datos de configuracin de direcciones IP a los clientes.
Una concesin es el perodo durante el que un cliente DHCP puede utilizar una
configuracin de direcciones IP asignada automticamente. Antes de que dicho
perodo finalice, el cliente debe renovar la concesin o solicitar otra a DHCP.
DHCP administra la asignacin y liberacin de los datos de configuracin de
direcciones IP mediante la concesin de la configuracin de direcciones IP al
cliente. La concesin DHCP establece el tiempo durante el que el cliente podr
utilizar los datos de configuracin IP antes de devolverlos al servidor DHCP y
renovarlos. El proceso de asignacin de datos de configuracin de direcciones IP
se denomina proceso de generacin de concesiones DHCP. El proceso de
renovacin de datos de configuracin de direcciones IP se denomina proceso de
renovacin de concesiones DHCP.
.
139

La primera vez que se agrega un cliente DHCP a la red, ste solicita los datos de
configuracin de direcciones IP a un servidor DHCP. Cuando el servidor DHCP
recibe la solicitud del cliente, el servidor selecciona una direccin IP de un
intervalo de direcciones que el administrador ha definido en el mbito
correspondiente. El servidor DHCP ofrece estos datos de configuracin de
direcciones IP al cliente DHCP.
Si el cliente acepta la oferta, el servidor DHCP concede la direccin IP al cliente
durante el perodo especificado. Finalmente, el cliente utiliza los datos de
configuracin de direcciones IP para tener acceso a la red.
Proceso de generacin de concesiones DHCP
DHCP emplea un proceso de cuatro pasos para conceder informacin de
direccionamiento IP a los clientes DHCP. Los cuatros pasos reciben su nombre de
los tipos de paquete DHCP:
1. Descubrimiento DHCP.
2. Oferta DHCP.
3. Solicitud DHCP.
4. Reconocimiento DHCP o reconocimiento negativo DHCP.
Durante el proceso de generacin de concesiones DHCP, el cliente DHCP recibe
los datos de configuracin de direccionamiento IP del servidor DHCP.
El cliente DHCP difunde un paquete DHCPDISCOVER
El cliente DHCP difunde un paquete DHCPDISCOVER para localizar un servidor
DHCP. Un paquete DHCPDISCOVER es un mensaje que los clientes DHCP
envan la primera vez que intentan
iniciar la sesin en la red y solicitar
informacin de direcciones IP de un
servidor DHCP.
El proceso de generacin se puede
iniciar de dos formas. En la primera,
un equipo cliente inicia o inicializa
TCP/IP por primera vez. En el
segundo caso, al cliente se le deniega
su concesin al intentar renovarla. (Por ejemplo, es posible denegar una
renovacin a un cliente cuando ste se traslada a otra subred.)
El servidor DHCP difunde un paquete DHCPOFFER

.
140

El servidor DHCP difunde un
paquete
DHCPOFFER
al
cliente.
Un
paquete
DHCPOFFER es un mensaje
que el servidor DHCP usa para
ofrecer la concesin de una
direccin IP a un cliente DHCP
cuando ste inicia una sesin
en la red.
Cada servidor DHCP de
respuesta reserva la direccin IP ofrecida para no ofrecerla a otro cliente DHCP
antes de que el cliente que realiz la solicitud acepte.
Si el cliente no recibe una oferta despus de cuatro solicitudes, utiliza una
direccin IP denominada direccin IP privada automtica (APIPA, Automatic
Private IP Addressing) de forma predeterminada para proporcionar configuracin
automtica mediante un intervalo de direcciones IP comprendido entre
169.254.0.1 y 169.254.255.254, y la mscara de subred 255.255.0.0. No se
pueden configurar automticamente puertas de enlace predeterminadas,
servidores DNS o servidores WINS, ya que la caracterstica APIPA est concebida
para redes formadas por un nico segmento de red que no estn conectadas a
Internet.
El uso de una de estas direcciones IP configuradas automticamente garantiza la
comunicacin entre los clientes que se encuentran en una subred con un servidor
DHCP no disponible. El cliente DHCP contina intentando localizar un servidor
DHCP disponible cada cinco minutos.
En cuanto un servidor DHCP pasa a estar disponible, los clientes reciben
direcciones IP vlidas, lo que les permite comunicarse con los hosts,
independientemente de que estn conectados o no a su subred.
El cliente DHCP difunde un paquete DHCPREQUEST
El cliente DHCP difunde un paquete DHCPREQUEST. Un paquete
DHCPREQUEST es un mensaje que un cliente enva al servidor DHCP para
solicitar o renovar la concesin de la direccin IP del cliente.
Como respuesta al primer paquete DHCPOFFER que recibe, el cliente DHCP
transmite un paquete DHCPREQUEST para aceptar la oferta. Este paquete
incluye la identificacin del servidor cuya oferta el cliente acept. A continuacin,

.
141

el resto de los servidores DHCP retiran sus ofertas y conservan sus direcciones IP
para otras solicitudes de concesin IP.
El servidor DHCP difunde un paquete DHCPACK

El servidor DHCP difunde un paquete DHCPACK al cliente. Un paquete
DHCPACK es un mensaje que el servidor DHCP enva a un cliente para reconocer
y finalizar la solicitud de una configuracin concedida de ste. Este mensaje
contiene una concesin vlida para la direccin IP y otros datos de configuracin
IP.
Una vez que el cliente DHCP recibe el
reconocimiento, TCP/IP se inicializa con los
datos de configuracin IP suministrados
por el servidor DHCP.
El cliente tambin enlaza el protocolo
TCP/IP a los servicios de red y al
adaptador de red, lo que permite la
comunicacin del cliente en la red. El servidor DHCP enva un reconocimiento
negativo DHCP (paquete DHCPNAK) si la direccin IP ofrecida ya no es vlida o
est siendo utilizada por otro equipo. El cliente deber iniciar de nuevo el proceso
de concesin.
Para establecer comunicacin, un servidor DHCP y un cliente DHCP utilizan los
puertos de Protocolo de datagrama de usuario (UDP, User Datagram Protocol) 67
y 68. Algunos conmutadores no reenvan correctamente las difusiones DHCP de
forma predeterminada. Para que DHCP funcione de forma correcta, puede que
tenga que configurar dichos conmutadores de modo que reenven las difusiones a
travs de estos puertos.

.
142

Proceso de renovacin de concesiones DHCP
Un cliente DHCP obtiene una
concesin para una direccin IP
de un servidor DHCP. Antes que
se acabe el tiempo de la
concesin, el servidor DHCP
debe renovar la concesin al
cliente o bien este deber
obtener una nueva concesin.
Las concesiones se guardan en
la base de datos del servidor
DHCP.
Durante el proceso de renovacin de concesiones DHCP, el cliente DHCP
renueva o actualiza los datos de configuracin de direcciones IP con el servidor
DHCP. El cliente DHCP renueva sus datos de configuracin IP antes de que
finalice el perodo de concesin. En caso de que este perodo termine antes de
que el cliente DHCP haya renovado los datos de configuracin IP, ste perder
dichos datos e iniciar de nuevo el proceso de generacin de concesiones DHCP.
El proceso de renovacin de concesiones es resultado del valor del perodo de
concesin. Este valor garantiza que DHCP mantiene la informacin de direcciones
IP y que los clientes actualizan o renuevan regularmente sus datos de
configuracin de direcciones IP. El hecho de que DHCP mantenga esta
informacin permite administrar el direccionamiento IP desde el servidor DHCP.
Los clientes DHCP intentan renovar su concesin a intervalos especficos para
garantizar que la informacin de configuracin est actualizada.
En cualquier momento en este perodo, el cliente DHCP puede enviar un paquete
DHCPRELEASE al servidor DHCP para liberar los datos de configuracin de
direcciones IP y cancelar cualquier concesin restante.
Proceso automtico de renovacin de concesin
El cliente DHCP intenta renovar automticamente su concesin en cuanto alcanza
el 50% de la duracin de la misma. Tambin intentar renovar la concesin de su
direccin IP cada vez que el equipo se reinicie. Para intentar renovar la concesin,
el cliente enva un paquete DHCPREQUEST directamente al servidor DHCP del
que obtuvo la concesin.
Si el servidor DHCP est disponible, renueva la concesin y enva al cliente un
paquete DHCPACK con la nueva duracin de la concesin y todos los parmetros
.
143

de configuracin actualizados. El cliente actualiza su configuracin cuando recibe
el reconocimiento. En caso de que el servidor DHCP no est disponible, el cliente
continuar utilizando sus parmetros de configuracin actuales.
Si el cliente DHCP no puede renovar la concesin en el primer intento, difundir un
paquete DHCPDISCOVER para actualizarla una vez que haya transcurrido el 87,5
% de su duracin. En esta fase, el cliente DHCP acepta concesiones emitidas por
cualquier servidor DHCP.
Si un cliente solicita una direccin no vlida o duplicada para la red, es posible que
el servidor DHCP responda con un mensaje de denegacin DHCP (paquete
DHCPNAK). Esto obligar al cliente a liberar su direccin IP y obtener otra nueva y
vlida.
Renovacin manual de concesiones

Si el cliente DHCP se reinicia en una red en la que ningn servidor DHCP
responde al paquete DHCPREQUEST, intentar conectar con la puerta de enlace
predeterminada configurada. En caso de que el intento de conexin con la puerta
de enlace no tenga xito, el cliente dejar de utilizar la direccin concedida.
Si un servidor DHCP responde con un paquete DHCPOFFER para actualizar la
concesin actual del cliente, ste podr renovar su concesin en el servidor que
ofreci la operacin de mensaje y continuacin.
Si la concesin caduca, el cliente deber dejar de utilizar la direccin IP actual
inmediatamente. A continuacin, el cliente DHCP iniciar el proceso de
descubrimiento de concesiones DHCP para intentar que se le conceda una nueva
direccin IP. En caso de que no pueda recibir una direccin, el cliente DHCP se
asignar a s mismo una direccin incluida en el intervalo de 169.254.0.0 mediante
la asignacin automtica de direcciones IP.
La concesin IP se puede renovar manualmente en caso de que la informacin de
configuracin DHCP deba actualizarse de inmediato. (Por ejemplo, si se desea
que los clientes DHCP reciban inmediatamente de un servidor DHCP la direccin

.
144

de un enrutador recin instalado, renueve la concesin desde el cliente para
actualizar su informacin.)
USO DEL COMANDO IPCONFIG EN EL CLIENTE DHCP

Puede usar el comando ipconfig desde la lnea de comandos en el cliente DHCP,
para liberar y actualizar la configuracin DHCP entregada por el servidor DHCP.
Ipconfig /release [adaptador]
Enva el mensaje DHCPRELEASE al servidor DHCP para liberar la configuracin
actual de DHCP y descartar la configuracin de direccin IP para todos los
adaptadores (si no se especific un adaptador) o para un adaptador especfico si
se incluy el parmetro adaptador. Este parmetro deshabilita TCP/IP para los
adaptadores configurados para obtener una direccin IP automticamente.
Si el nombre adaptador contiene espacios en blanco, encierre entre comillas el
texto (por ejemplo, "nombreDeAdaptador").
Ipconfig /renew [adaptador]

Renueva la configuracin de DHCP de todos los adaptadores (si no se especific
un adaptador) o de un adaptador especfico, si se incluy el parmetro adaptador.
Para especificar un nombre de adaptador, escriba el nombre de adaptador que
aparece cuando se utiliza ipconfig sin parmetros.

.
145
Instalacin del servicio Servidor DHCP

Para agregar un servidor DHCP, debe instalar el servicio DHCP en un equipo que
ejecute Microsoft Windows Server 2008. Para ello prepare el servidor con las
siguientes pautas:
Compruebe que la configuracin de direcciones IP del servidor es correcta

(el servidor DHCP debe tener IP manual).
Compruebe que la cuenta de usuario tiene los permisos adecuados.

Siga el siguiente procedimiento para agregar el servicio Servidor DHCP:
1. Debemos ubicarnos en la herramienta administrativa: Administrador del
servidor.
2. Luego, nos ubicamos en Funciones, y hacemos clic en agregar funciones.
3. Luego, el asistente nos permitir escoger la funcin deseada, en este caso
escogeremos Servidor DHCP.
4. Hacemos clic en siguiente y nos pedir seleccionar el enlace de conexin
de red.
5. Nos pedir la configuracin del servidor DHCP versin 4:
6. Nos pedir luego especificar si utilizaremos algn servidor Wins.

7. Nos consultar si deseamos crear algn mbito.
8. En el siguiente paso nos pedir configurar el modo DHCP versin 6.0:
.
146
9. Se nos pide indicar las opciones de Autorizacin del servidor DHCP, entre
estas tenemos:
a. Usar credenciales actuales.
b. Usar credenciales alternativas.
c. Omitir la autorizacin de este servidor DHCP en AD DS.
10. Se nos pedir confirmar las diferentes opciones escogidas, para iniciar la
instalacin.
11. Luego de terminada la instalacin, se nos pedir cerrar el asistente.

.
147
CONSOLA ADMINISTRATIVA DHCP

Luego de la instalacin del servicio, se agrega automticamente una consola MMC
para administrar el servicio, con ella se podr autorizar el servidor, crear y
administrar los mbitos as como establecer las opciones DHCP deseadas.
Para acceder a esta consola lo podemos hacer desde programas/ herramientas
administrativas / DHCP.
Autorizacin del Servidor DHCP
En las implementaciones anteriores de DHCP (de Microsoft), cualquier usuario
poda crear un servidor DHCP en la red, lo que poda ocasionar conflictos en las
asignaciones de direcciones IP. Desde Windows 2000 Server, Active Directory
debe autorizar a un servidor DHCP para que dicho servidor pueda emitir
concesiones para los clientes DHCP. Como resultado, los administradores de
redes tienen mayor control sobre las asignaciones de concesiones IP en una red.
Cuando un servidor DHCP se inicia, entra en contacto con Active Directory para
determinar si se encuentra en la lista de los servidores que estn actualmente
autorizados para operar en la red. Si el servidor DHCP est autorizado, se iniciar
correctamente el servicio, si no lo est, el servidor DHCP anotar un error en el
registro del sistema y no responder a los clientes.
La autorizacin de un servidor DHCP se realiza en la accin "Autorizacin de
Servidores" de la consola de administracin DHCP. Slo los miembros del grupo
"Administracin de Empresas" (perteneciente al dominio raz del bosque) tienen
permisos suficientes para realizar esta accin.
La autorizacin debe llevarse a cabo antes de que el servidor DHCP pueda emitir
concesiones a los clientes DHCP. Al requerir la autorizacin de los servidores
DHCP, se impide que servidores DHCP no autorizados ofrezcan direcciones IP
potencialmente no vlidas a los clientes.
Si est configurando un servidor DHCP, la autorizacin debe llevarse a cabo como
parte de un dominio Active Directory. Si el servidor DHCP no se autoriza, el
.
148

servicio DHCP no podr iniciar correctamente y no atender las solicitudes de los
clientes DHCP.
Es importante verificar la configuracin adecuada del Servidor DHCP antes de
autorizarlo dado que ste controla los datos de configuracin TCP/IP enviados a
los clientes DHCP en la red. Si un servidor DHCP se configura incorrectamente,
los clientes que reciban los datos de configuracin de direcciones IP incorrectos
de este servidor tambin estarn configurados de modo incorrecto.
Servidor DHCP autorizado y Active Directory
Es necesario utilizar Active Directory para autorizar un servidor DHCP. Con Active
Directory, los servidores DHCP sin autorizacin no podrn admitir clientes DHCP.
En un servidor miembro de Active Directory, el servicio Servidor DHCP comprueba
en el controlador de dominio de Active Directory si el servidor DHCP est
registrado en Active Directory. En caso de que no lo est, el servicio Servidor
DHCP no se inicia y, como consecuencia, no puede admitir clientes DHCP.
Procedimiento para autorizar
Para autorizar un servicio Servidor DHCP, un miembro del grupo Administradores
de organizacin agrega el servidor DHCP a una lista de servidores DHCP, que
pueden atender a clientes DHCP, del dominio. El proceso de autorizacin
nicamente funciona con servidores que ejecutan Windows Server 2003 y
Windows 2000 en un dominio. La autorizacin no es posible si los servidores
DHCP ejecutan versiones anteriores de Microsoft Windows NT u otro software de
servidor DHCP.
Para autorizar un servicio Servidor DHCP siga los siguientes pasos:
2. En el rbol de la consola, seleccione el servidor.
3. En el men Accin, haga clic en Autorizar.

.
149

4. Para comprobar que el servidor DHCP est autorizado: en el rbol de la
consola, presione F5 para actualizar la vista y compruebe que el servidor
DHCP aparece ahora con una flecha arriba de color verde.
mbitos DHCP
Un mbito es un intervalo de direcciones IP vlidas disponibles para ser
concedidas o asignadas a equipos cliente de una subred determinada. Es posible
configurar un mbito en el servidor DHCP para determinar el conjunto de
direcciones IP que el servidor puede asignar a los clientes DHCP.
Los mbitos determinan qu direcciones IP se asignan a los clientes. Debe definir
y activar un mbito para que los clientes DHCP puedan utilizar el servidor DHCP
con configuraciones TCP/IP dinmicas. En un servidor DHCP puede configurar
tantos mbitos como sea necesario para el entorno de red. Cada mbito tiene las
siguientes propiedades.
Propiedades del mbito
Propiedad del mbito
Descripcin
Id. de red
Mscara de subred
Intervalo de direcciones
IP
Identificador de red del intervalo de direcciones IP

Mscara de red del identificador de red
Intervalo de direcciones IP disponibles para los
clientes
Perodo durante el que el servidor DHCP mantiene
Duracin
de
la
la direccin IP concedida a un cliente antes de
concesin
quitar la concesin
Opcin DHCP que permite a los clientes DHCP
Enrutador
tener acceso a redes remotas
Identificador
alfanumrico
para
propsitos
Nombre de mbito
administrativos
Intervalo de direcciones IP del mbito que no se
Intervalo de exclusin
ofrecern como concesin
En cada subred hay un mbito DHCP con un intervalo continuo de direcciones IP.
Es posible excluir direcciones o grupos de direcciones especficos del intervalo
determinado por el mbito DHCP. Por lo general, slo se puede asignar un mbito
a cada subred. En caso de que una subred requiera varios mbitos, estos se
debern crear y, a continuacin, integrar en un supermbito.
Si desea proporcionar tolerancia a errores, es posible configurar varios servidores
DHCP para proporcionar concesiones de direccin IP en una subred determinada.
En cada servidor DHCP de la subred especificada se configura un mbito. En esta
.
150

configuracin es esencial garantizar que el conjunto de direcciones se divida entre
los dos mbitos. Una concesin de direccin IP nunca debe aparecer en ms de
un mbito o, de lo contrario, dos servidores DHCP distintos podran intentar
conceder la misma direccin IP.
Si dispone de dos subredes fsicas, puede crear dos mbitos distintos para ambas
subredes en un servidor DHCP. Los mbitos se crearan por separado debido a
que las subredes tienen diferentes esquemas de direccionamiento IP y precisan
distintas opciones.
Configuracin de un mbito DHCP
Podemos configurar mbitos para IPv 4 y para IPv6, para ello debemos ubicarnos
en la consola administrativa y podremos visualizar las opciones correspondientes.
Pasaremos a detallar la creacin de mbitos, tanto para equipos que cuenten con
la versin 4 de IP o la versin 6.
mbitos en IP vs 4.0:
Tras agregar la funcin de servidor DHCP, la siguiente tarea es configurar un
mbito DHCP. Puede hacerlo mientras agrega la funcin de servidor DHCP o
posteriormente. Para configurar mbitos DHCP con IP vs 4.0, realice el siguiente
procedimiento:
1. Abra la consola DHCP, desde: programas/ herramientas administrativas.
2. En el rbol de la consola, haga clic en el servidor DHCP aplicable.
3. En el men Accin, haga clic en mbito nuevo.
4. Tambin lo puede lograr, haciendo un clic secundario en el servidor DHCP
y escogiendo mbito Nuevo.
5. En el Asistente para mbito nuevo, haga clic en Siguiente.
6. En la pgina Nombre de mbito, configure Nombre y Descripcin.
7. En la pgina Intervalo de direcciones IP, configure las opciones
Direccin IP inicial, Direccin IP final y Mscara de subred.

.
151

8. En la pgina Agregar exclusiones, configure las opciones Direccin IP
inicial y Direccin IP final, si corresponde. Si slo hay una exclusin de
direccin IP, configure nicamente esa direccin IP como direccin IP
inicial.
9. En la pgina Duracin de la concesin, configure las opciones Das,
Horas y Minutos. La duracin de concesin predeterminada es de ocho
das.
10. En la pgina Configurar opciones DHCP, puede seleccionar entre realizar
la configuracin en ese momento o configurar las opciones ms tarde, en
este caso escoja el configurar estas opciones ahora:
a. Primero ingresaremos el (los) IP del enrutador o de la puerta de
enlace en general.
b. Luego ingresaremos el nombre del dominio y / o los IPs de los

servidores DNS que resolvern las consultas de los clientes DNS.
c. Ingresaremos tambin, si fuese necesario, el IP de nuestro servidor

WINS:
.
152

11. El asistente, nos consultar si deseamos activarlo ahora, escogeremos que
s, y finalmente haremos clic en finalizar.
mbitos en IP vs 6.0:
1. Nos ubicamos en el servidor DHCP para IP vs 6.0, hacemos clic
secundario, y escogemos mbito Nuevo.
2. Se iniciar el asistente, el cual, nos pedir un nombre para nuestro mbito.
3. Nos pedir el prefijo y de manera opcional, el valor de preferencia:
4. Se indicar el IP inicial y final del mbito, para las exclusiones:
5. Se especifica el tiempo de duracin de la concesin.

6. Finalmente se nos mostrarn las caractersticas del mbito creado, y
aparecer la opcin para activar o no, el mbito, hacemos clic en Finalizar.
7. Luego, tendremos el mbito creado, en la consola:
Uso de la regla 80/20 para mbitos
Este ejemplo nos muestra la configuracin de mbitos en dos servidores DHCP.
En entornos con alto requerimiento de asignaciones dinmicas se puede equilibrar
la utilizacin del servidor DHCP usando la regla "80/20" para dividir las direcciones
.
153

del mbito entre dos servidores DHCP. Si el servidor 1 est configurado para
ofrecer la mayor parte de las direcciones (aproximadamente un 80%), se puede
configurar el servidor 2 para que ofrezca las dems direcciones (aproximadamente
un 20%) a los clientes.
Debido a que los servidores DHCP son recursos vitales que proporcionan acceso
del cliente a la red, pueden ser los objetivos primarios para ataques DoS
(Denegacin de servicios). Si se ataca un servidor DHCP y ya no est para dar
servicio a solicitudes DHCP, eventualmente los clientes DHCP no podrn adquirir
concesiones. Estos clientes perdern entonces su vnculo existente IP y la
capacidad de acceder a los recursos de la red.
No es muy difcil escribir una
secuencia de comandos de
herramienta de ataque para
solicitar todas las direcciones
disponibles en un servidor
DHCP. Esto agotara el
grupo de direcciones IP
disponibles para solicitudes
subsiguientes legtimas de
los clientes DHCP. Tambin es posible que un usuario malicioso configure todas
las direcciones IP de DHCP en el adaptador de la red de una PC que administran,
causando as que el servidor DHCP detecte conflictos de direccin IP en todas las
direcciones que estn en su alcance y rechace asignar direcciones DHCP.
Adems, al igual que como en los otros servicios de red, un ataque DoS -- por
ejemplo, el agotamiento del CPU o llenar el bfer de solicitudes del escucha
DHCP -- que agota la capacidad del servidor DHCP para responder a trfico
legtimo, podra hacer imposible que los clientes solicitaran concesiones y
renovaciones. Todo esto se puede evitar al disear adecuadamente los servicios
DHCP en un ambiente.
Configurar servidores DHCP por pares y seguir la mejor prctica de la Regla
80/20, esto es dividir el alcance de los servidores DHCP entre servidores de
manera que el 80 por ciento de las direcciones se distribuyan por medio de un
servidor DHCP y el 20 por ciento por otro, ayuda a mitigar el impacto de este tipo
de ataques al asegurar que los clientes puedan continuar recibiendo la
configuracin de direcciones IP en caso de que exista una falla en el servidor.

.
154

Reserva DHCP
Una reserva es una asignacin de direccin IP fija. Se trata de una direccin IP
especfica, dentro de un mbito, reservada de forma definitiva para ser utilizada
por un cliente DHCP especfico mediante concesin.
Las reservas se pueden utilizar en dispositivos habilitados para DHCP que
necesiten tener la misma direccin IP en la red, como servidores de archivos e
impresin u otros servidores de aplicaciones.
Una reserva consta de la siguiente informacin.
Elemento
Descripcin
Nombre de reserva Nombre asignado por el administrador
Direccin IP
Direccin IP del mbito para el cliente
La direccin de control de acceso al medio (MAC, Media
Direccin MAC
Access Control), escrita sin guiones
Descripcin
Descripcin asignada por el administrador
Reserva DHCP, reserva Protocolo de inicio (BOOTP) o
Tipos compatibles
ambas
Perodo de concesin de una reserva
Las reservas utilizan el mismo perodo de concesin que el mbito. Por lo tanto, el
cliente que utiliza la reserva sigue el mismo proceso de renovacin de concesin
que el resto de los clientes del mbito, con la excepcin de que al cliente se le
concede la direccin IP que se le reserv.
Configuracin de una reserva DHCP
Para configurar una reserva DHCP se sigue el siguiente procedimiento:
Para IPv 4:
2. En el rbol de la consola, haga clic en Reservas.
3. En el men Accin, haga clic en Reserva nueva.
4. En el cuadro de dilogo Reserva nueva, especifique los valores de los
siguientes campos:
a. Nombre de reserva
b. Direccin IP
c. Direccin MAC (sin guiones)
d. Descripcin
5. En Tipos compatibles, seleccione una de las siguientes opciones:
a. Ambos
b. Slo DHCP
.
155

c. Slo BOOTP
6. En el cuadro de dilogo Reserva nueva, haga clic en Agregar y, despus,
en Cerrar.
Para IPv 6:
2. En el rbol de la consola, haga clic en Reservas.
3. En el men Accin, haga clic en Reserva nueva.
4. En el cuadro de dilogo Reserva nueva, especifique los valores de los
siguientes campos:
a. Nombre de reserva
b. Direccin IP vs 6.0
c. DUID
d. IAID
e. Descripcin
OBS:
DUID, DHCP identificador nico:
(RFC 3315) Cada cliente DHCP y servidor tiene un DUID. Los Servidores DHCP
utilizan los DUID para identificar a los clientes para la seleccin de los parmetros
de configuracin y en la asociacin por IAs con los clientes.
IA, Identidad de Asociacin:
Una coleccin de direcciones asignadas a un cliente. Cada IA tiene asociado un
IAID. Un cliente puede tener ms de una IA que se le han asignado. Cada IA tiene
un tipo de direccin.
IAID, Identificador de Identidad de asociacin:
.
156

(RFC 3315) Un identificador de una IA, elegido por el cliente. Cada IA tiene un
IAID, que es elegido para ser nico entre todos los IAIDs pertenecientes a ese
cliente.
Comprobacin de la reserva DHCP

Para comprobar una reserva DHCP:
1. En el equipo cliente (que tiene la MAC de la reserva), en el smbolo del
sistema, utilice el comando ipconfig /release para liberar la direccin IP del
cliente.
1. En la consola DHCP del equipo servidor, en Concesiones de direcciones,
compruebe que la reserva se muestra como inactiva.
2. En el equipo cliente, en el smbolo del sistema, utilice el comando ipconfig
/renew para renovar la direccin IP del cliente.
3. En la consola DHCP del equipo servidor, en Concesiones de direcciones,
compruebe que la reserva se muestra como activa.
Opciones DHCP
Las opciones DHCP son parmetros de configuracin que un servicio DHCP
asigna a los clientes junto con la direccin IP y la puerta de enlace
predeterminada.
Cada opcin permite un aumento de la funcionalidad de la red. El proceso de
generacin de concesiones proporciona al cliente DHCP una direccin IP y una
mscara de subred. Mediante las opciones DHCP puede configurar datos de
configuracin IP adicionales para los clientes DHCP.
Opciones DHCP comunes
En la tabla siguiente se describen las opciones comunes que puede configurar.

.
157

Opcin
Descripcin
Las direcciones de cualquier enrutador o
Enrutador (Puerta de enlace puerta de enlace predeterminada. Este
predeterminada)
enrutador se suele denominar puerta de
enlace predeterminada.
El nombre de dominio DNS define el dominio
al que pertenece el equipo cliente. El equipo
cliente puede utilizar esta informacin para
Nombre de dominio
actualizar un servidor DNS de modo que el
resto de los equipos puedan localizar el
cliente.
Las direcciones de todos los servidores DNS
Servidores DNS y WINS
y WINS que permiten a los clientes
comunicarse en la red.
Orden de aplicacin de las opciones DHCP
DHCP aplica opciones a los equipos cliente en un orden especfico:
1. Nivel de servidor
2. Nivel de mbito
3. Nivel de clase
4. Nivel de cliente reservado
En consecuencia, puede definir las opciones asignadas por DHCP de acuerdo con
distintos niveles de autoridad, de modo que determinadas opciones tengan
prioridad sobre otras.
El mtodo de aplicacin de las opciones est directamente relacionado con el
lugar donde se configuran. En la tabla siguiente se describen los niveles de
opciones DHCP y su prioridad.
Opcin DHCP
Prioridad
Se asigna una opcin de nivel de servidor a
todos los clientes DHCP del servidor DHCP.
Se asigna una opcin de nivel de mbito a
Opcin de nivel de mbito
todos los clientes de un mbito.
Se asigna una opcin de nivel de clase a
Opcin de nivel de clase
todos los clientes que se identifiquen a s
mismos como miembros de una clase.
Opcin de nivel de cliente Se asigna una opcin de nivel de reserva a
reservado
un cliente DHCP.
Opcin de nivel de servidor

.
158

Por ejemplo, la opcin de servidor tiene el mayor impacto (ya que afecta a todos
los clientes que admite el servidor DHCP), mientras que la opcin de cliente
reservado tiene un efecto mnimo (repercute nicamente en un cliente admitido
por el servidor DHCP).
Si crea una reserva para un cliente especfico, puede asignar una opcin de nivel
de cliente reservado que se aplicar exclusivamente a esa reserva. Mediante el
uso de reservas y opciones de nivel de cliente reservado, puede asignar opciones
especficas a equipos especficos.
Opciones de nivel de clase DHCP
Las opciones de nivel de clase se agregan a la opcin de nivel de servidor, mbito
o cliente reservado. Los parmetros correspondientes se aplican a un subconjunto
de clientes DHCP que coinciden con el identificador de clase.
Las opciones de nivel de clase se acostumbran utilizar para reemplazar o
aumentar los valores de opcin DHCP estndar definidos en el nivel de servidor,
mbito o cliente reservado.
Las opciones de nivel de clase se aplican exclusivamente a los clientes DHCP que
se identifican a s mismos como miembros de la clase. Puede utilizar opciones de
clase de proveedor y usuario para proporcionar configuraciones nicas a tipos
especficos de equipos cliente.
Tipos de opciones de nivel de clase
La clase de proveedor es una caracterstica administrativa que permite que

los clientes DHCP sean identificados y concedidos de acuerdo con sus
tipos de configuracin de proveedor y hardware.
La clase de usuario es una caracterstica administrativa que permite la

agrupacin lgica de los clientes DHCP de acuerdo con un identificador
compartido o comn.
Clases de proveedor
Las opciones de clase de proveedor identifican el tipo de proveedor del sistema
operativo de un cliente DHCP y su configuracin, y proporcionan opciones nicas
que slo son aplicables a la clase de proveedor especificada. Estas opciones de
clase de proveedor se pueden configurar para administrar opciones DHCP
especficas del tipo de proveedor y se asignan a los clientes pertenecientes a ese
tipo. Las opciones de proveedor no se emplean para configurar opciones TCP/IP
estndar sino opciones especficas del tipo de proveedor.
Tambin puede definir identificadores de proveedor adicionales en el servidor
DHCP si se incluyen en el software de cliente DHCP del proveedor. Antes de
.
159

configurar opciones adicionales de clase de proveedor, debe determinar qu
identificador, si existe, utilizar un proveedor especfico; para ello, puede ponerse
en contacto con el proveedor del software de red o sistema operativo del cliente.
El administrador no puede agregar identificadores de proveedor en el cliente
DHCP; estos identificadores se escriben en el cdigo de programa del protocolo
TCP/IP.
Los tres identificadores de proveedor predeterminados en un servidor DHCP con
Windows Server 2008 son:
Opciones de Microsoft Windows 2000

Opciones de Microsoft Windows 98
Opciones de Microsoft
Opciones estndar de DHCP.
Por ejemplo, una de las opciones de clase de proveedor admitidas por Windows
2000 y versiones posteriores es la opcin para deshabilitar Microsoft NetBIOS,
que deshabilita el Sistema de entrada/salida bsico de red (NetBIOS, Network
Basic Input/Output System) sobre TCP/IP. Al habilitar esta opcin, se deshabilita
NetBIOS sobre TCP/IP en todos los clientes de Windows 2000 o de versiones
posteriores en el mbito o servidor en el que se defini la opcin.
Clases de usuario
Las opciones de clase de usuario proporcionan una propiedad que ayuda a un
servidor DHCP a identificar un cliente DHCP que pertenece a un grupo
especificado. Las opciones de clase de usuario se asignan a los clientes en
funcin de un identificador; el cliente enva este identificador al servidor DHCP
para identificarse.
Debe configurar opciones de clase de usuario para administrar las opciones DHCP
que desea asignar a los clientes que requieren una configuracin comn.

.
160
Ejemplos de clases de usuario

Una opcin de clase de usuario puede configurarse para identificar a un grupo de
equipos (como quioscos, PC porttiles o los equipos de un laboratorio informtico).
Por ejemplo, puede configurar opciones de clase de usuario para asignar un
tiempo de concesin ms corto a los equipos porttiles que sean clientes de
marcado, lo que permitir devolver con mayor rapidez las direcciones al grupo de
concesin de direcciones IP.
Hay dos identificadores de clase de usuario predeterminados que se configuran en
los clientes DHCP que utilizan Windows Server 2008:
Clase predeterminada Enrutamiento y acceso remoto

Clase predeterminada Cliente BOOTP
Clase de proteccin de acceso a red predeterminada.
Clase de Usuario predeterminada

Estas clases no se pueden eliminar ni modificar.
Configuracin de las opciones DHCP
Tras configurar un mbito DHCP, la siguiente tarea es configurar las opciones
DHCP. Puede configurar las opciones DHCP mientras configura un mbito DHCP
o posteriormente.
Configuracin de una opcin de servidor DHCP:
2. En el rbol de la consola, en el nombre del servidor, haga clic en Opciones de
servidor.
3. En el men Accin, haga clic en Configurar opciones.
4. En el cuadro de dilogo Opciones servidor, en la lista de Opciones
disponibles, seleccione la opcin que desee configurar.
5. En Entrada de datos, complete la informacin necesaria para configurar esta
opcin.
.
161

6. En el cuadro de dilogo Opciones servidor, haga clic en Aceptar.
Configuracin de opciones de mbito DHCP

1. Abra la consola DHCP y, en el mbito apropiado, haga clic en Opciones de
mbito.
2. En el men Accin, haga clic en Configurar opciones.
3. En el cuadro de dilogo Opciones mbito, en la lista de Opciones
disponibles, seleccione la opcin que desee configurar.
4. En Entrada de datos, complete la informacin necesaria para configurar
esta opcin.
5. En el cuadro de dilogo Opciones mbito, haga clic en Aceptar.

.
162

Agente de retransmisin DHCP
Un Agente de retransmisin DHCP es un equipo o enrutador configurado para
escuchar difusiones DHCP/BOOTP procedentes de clientes DHCP y, a
continuacin, retransmitir dichos mensajes a los servidores DHCP ubicados en
distintas subredes. Los Agentes de retransmisin DHCP/BOOTP forman parte de
los estndares DHCP y BOOTP, y su funcionamiento se ajusta a los documentos
RFC de estndares, que describen el diseo del protocolo y su comportamiento
relacionado.
Normalmente los enrutadores no admiten las difusiones a menos que se hayan
configurado especficamente para ello. Como consecuencia, sin una configuracin
adicional, los servidores DHCP slo pueden proporcionar direcciones IP a los
clientes que se encuentren en la subred local. Muchas organizaciones consideran
que es ms eficaz centralizar los servidores que proporcionan el servicio Servidor
DHCP. Para ello, deben configurar las redes de forma que las difusiones DHCP se
transfieran del cliente al servidor DHCP. Se pueden usar dos mtodos con tal fin:
configurar los enrutadores que conectan las subredes para reenviar las difusiones
DHCP o configurarlas para implementar los Agentes de retransmisin DHCP.
Windows Server 2003 admite el Servicio de enrutamiento y acceso remoto que se
configura para funcionar como Agente de retransmisin DHCP.
Estrategias DHCP en una red enrutada
Para comprender las causas que motivaran el uso de un Agente de retransmisin
DHCP de Microsoft, es importante identificar tres estrategias que pueden
implementarse en una red enrutada.
Incluir como mnimo un servidor DHCP en cada subred.
Este mtodo requiere al menos un servidor DHCP en cada subred para responder
directamente a las solicitudes de cliente DHCP. No obstante, esta configuracin
posiblemente requerir un aumento del trabajo administrativo y del equipamiento
necesario, ya que habr que ubicar un servidor DHCP en cada subred individual
en lugar de proporcionar servicios de Servidor DHCP desde una ubicacin
centralizada a varias subredes. Adems, para proporcionar tolerancia a errores,
sera necesario configurar dos servidores en cada subred como servidores DHCP.
En la mayor parte de los casos esto no suele resultar prctico.

.
163
Configurar un enrutador para reenviar mensajes DHCP

Los enrutadores que pueden configurarse para reenviar de forma selectiva
difusiones DHCP a otra subred aparecen enumerados en el documento RFC
1542. Aunque esta opcin es preferible al uso de servidores DHCP en cada
subred, puede complicar la configuracin del enrutador y provocar un reenvo de
trfico de difusin innecesario a otras subredes.
Configurar un Agente de retransmisin DHCP en cada subred
La configuracin de un Agente de retransmisin DHCP de Microsoft en cada
subred tiene varias ventajas sobre las opciones restantes. Limita las difusiones a
la subred en que se originan y, al agregar Agentes de retransmisin DHCP a
varias subredes, un solo servidor DHCP puede proporcionar direcciones IP a
varias subredes con mayor eficacia que si se utilizan enrutadores admitidos segn
el documento RFC 1542. Tambin puede configurar el Agente de retransmisin
DHCP de Microsoft para retrasar varios segundos la respuesta a una solicitud de
cliente, lo que en realidad crea sistemas de respuesta DHCP primarios y
secundarios.
Funcionamiento de un Agente de retransmisin DHCP
El proceso de generacin de concesiones DHCP se basa en las difusiones. Si el
servidor DHCP y el cliente DHCP estn separados por un enrutador que no
reenva las difusiones DHCP, el proceso de generacin de concesiones DHCP no
podr realizarse y el cliente DHCP no recibir la concesin de direccin IP del
servidor DHCP.
El Agente de retransmisin DHCP permite que se lleve a cabo el proceso de
generacin de concesiones entre el cliente DHCP y el servidor DHCP cuando
ambos estn separados por un enrutador. Esto permite al cliente DHCP recibir una
direccin IP del servidor DHCP.
.
164

Los siguientes pasos describen el funcionamiento de un Agente de retransmisin
DHCP:
1. El cliente DHCP difunde un paquete DHCPDISCOVER.
2. El Agente de retransmisin DHCP de la subred del cliente reenva el
mensaje DHCPDISCOVER al servidor DHCP mediante unidifusin.
3. El servidor DHCP emplea la unidifusin para enviar un mensaje
DHCPOFFER al Agente de retransmisin DHCP.
4. El Agente de retransmisin DHCP difunde el paquete DHCPOFFER a la
subred del cliente DHCP.
5. El cliente DHCP difunde un paquete DHCPREQUEST.
6. El Agente de retransmisin DHCP de la subred del cliente reenva el
mensaje DHCPREQUEST al servidor DHCP mediante unidifusin.
7. El servidor DHCP emplea la unidifusin para enviar un mensaje DHCPACK
al Agente de retransmisin DHCP.
8. El Agente de retransmisin DHCP difunde el paquete DHCPACK a la
subred del cliente DHCP.

.
165
Recuento de saltos
El umbral de recuento de saltos es el nmero de enrutadores a travs de los que
puede transmitirse un paquete antes de ser descartado. El Agente de
retransmisin DHCP utiliza el valor de recuento de saltos para determinar el
nmero mximo de enrutadores que una difusin DHCP puede atravesar para
alcanzar el servidor DHCP antes de ser descartada. Este valor se emplea para
reflejar el nmero de enrutadores entre el cliente DHCP y el servidor DHCP ms
alejado. Si el nmero de enrutadores de la ruta al servidor DHCP supera el valor
del recuento de saltos, el paquete DHCP no alcanzar el servidor DHCP.
El Agente de retransmisin DHCP enva el trfico del cliente DHCP (paquetes
DHCPDISCOVER y DHCPREQUEST) al servidor DHCP o a los servidores que el
administrador ha configurado en el Agente de retransmisin DHCP. El agente
utiliza el recuento de saltos para indicar al paquete cuntos enrutadores debe
atravesar antes de caducar. Cada vez que el paquete atraviesa un enrutador, el
recuento se incrementa en una unidad. Si el incremento del nmero de saltos
supera el valor mximo establecido, el paquete se descarta. El valor mximo del
recuento de saltos es de 16.
Si slo configura el Agente de retransmisin DHCP con una direccin IP de
servidor DHCP a la que reenviar las difusiones, el recuento de saltos ser igual al
nmero de enrutadores entre el Agente de retransmisin DHCP y el servidor
.
166

DHCP. Sin embargo, si configura el Agente de retransmisin DHCP con varias
direcciones IP de servidor DHCP, el recuento de saltos ser igual al nmero
mximo de enrutadores necesarios para alcanzar el servidor DHCP ms alejado.
Umbral de inicio
El umbral de inicio es el intervalo de tiempo en segundos durante el que el Agente
de retransmisin DHCP esperar para enviar el paquete DHCPDISCOVER al
servidor DHCP.
Puede configurar el Agente de retransmisin DHCP para proporcionar tolerancia a
errores si reenva el trfico DHCP a un servidor DHCP remoto en caso de que un
servidor DHCP local no responda. En este caso, es posible configurar el umbral de
inicio de forma que el reenvo del trfico DHCP del Agente de retransmisin DHCP
al servidor DHCP remoto se retrase. El cliente siempre responder al primer
paquete DHCPOFFER que reciba, por lo que el servidor DHCP local normalmente
responder al cliente DHCP antes que el servidor DHCP remoto. Si por algn
motivo, el servidor DHCP local est inactivo, el Agente de retransmisin DHCP
esperar el nmero de segundos definidos en el umbral de inicio y, a continuacin,
reenviar el paquete al servidor DHCP configurado.
Funcionamiento del umbral de inicio
Si un servidor DHCP que se encuentra en la misma subred que el Agente de
retransmisin DHCP est controlando el trfico, los clientes DHCP recibirn los
datos de configuracin de direccionamiento IP antes de que el Agente de
retransmisin DHCP reenve el paquete DHCP a otro servidor DHCP. Cuando el
Agente de retransmisin DHCP finalmente reenva el trfico DHCP, el paquete
DHCPOFFER que se devuelve al cliente DHCP se descarta debido a que el
cliente DHCP ya ha obtenido los datos de configuracin IP DHCP.
En caso de que el cliente DHCP no haya recibido los datos de configuracin IP, el
paquete DHCPOFFER que se devuelve al cliente CHCP desde el servidor DHCP
remoto se utiliza para conseguir los datos de configuracin IP de DHCP.
Por ejemplo, puede configurar el Agente de retransmisin DHCP de forma que
espere diez segundos antes de reenviar el paquete DHCPDISCOVER a los
servidores DHCP remotos especificados. Este retraso de diez segundos da tiempo
al servidor DHCP local para responder al cliente DHCP.
Configuracin de un Agente de retransmisin DHCP
Para agregar un Agente de retransmisin DHCP:
1. Debemos de agregar la funcin Servicios de acceso y directivas de redes.

.
167

2. Durante el proceso de instalacin, en el asistente, escogeremos que
deseamos instalar los servicios de enrutamiento y acceso remoto.
3. Luego de la instalacin, debemos ingresar a la consola de administracin.

4. Debemos instalar las opciones deseadas:
5. En la pgina Configuracin personalizada, seleccione Enrutamiento

LAN y, a continuacin, haga clic en Siguiente.
6. En la pgina Finalizacin del Asistente para instalacin del servidor de
enrutamiento y acceso remoto, haga clic en Finalizar.
7. En el cuadro de dilogo de advertencia Enrutamiento y acceso remoto,
haga clic en S para iniciar el servicio.
8. En la pgina Este servidor es ahora un servidor VPN de acceso remoto,
haga clic en Finalizar.
.
168
9. En el rbol de consola, expanda el servidor y a continuacin, seleccione

General.
10. Haga clic con el botn secundario de mouse en General y, a continuacin,
haga clic en Protocolo de enrutamiento nuevo.
11. En el cuadro de dilogo Protocolo de enrutamiento nuevo, haga clic en
Agente de retransmisin DHCP y, despus, en Aceptar (esto se puede hacer
tanto para IP vs 4.0 para IP vs 6.0).
Para configurar el Agente de retransmisin DHCP con la direccin IP de un

servidor DHCP:
1. Abra la consola de Enrutamiento y acceso remoto.
2. En el rbol de la consola, seleccione Agente de retransmisin DHCP.
3. Haga clic con el botn secundario del mouse en Agente de retransmisin
DHCP y, a continuacin, haga clic en Propiedades.

.
169

1. En la ficha General, en el campo Direccin de servidor, escriba la
direccin IP del servidor DHCP al que desee reenviar las solicitudes DHCP,
haga clic en Agregar y, a continuacin, haga clic en Aceptar.
Para habilitar el Agente de retransmisin DHCP en la interfaz de un enrutador:

1. Abra la consola de Enrutamiento y acceso
remoto.
2. En el rbol de la consola, seleccione
Agente de retransmisin DHCP.
3. Haga clic con el botn secundario del
mouse en Agente de retransmisin
DHCP y, a continuacin, haga clic en
Interfaz nueva.
2. Seleccione la interfaz en la que desee
habilitar el Agente de retransmisin DHCP
y, a continuacin, haga clic en Aceptar.
3. En el cuadro de dilogo Propiedades de
retransmisin DHCP, en la ficha
General, compruebe que la casilla de verificacin Transmitir paquetes
DHCP est activada.
4. Configure el Umbral de cuenta de saltos y el Umbral de inicio
(segundos) si es necesario y, a continuacin, haga clic en Aceptar.

.
170
TAREA 5: INSTALAR Y CONFIGURAR EL SERVICIO WEB

Uno de los servicios de redes ms empleados actualmente es el servicio WEB, es
empleado por empresas y personas. En esta tarea se desarrollan las siguientes
operaciones:
Instalar el servicio WEB.
Configurar el servicio WEB.

Orden de Ejecucin:
1. Instalar el servicio WEB.
2. Configurar el servicio WEB.
Operacin 1: Instalar el servicio WEB
PASOS PREVIOS:
1. Comprobar que el equipo con Windows Server este con la configuracin
correcta de zona horaria, nombre de equipo (NetBIOS).
2. Configurar una direccin IP fija en el servidor e indicar que tambin ser
servidor y cliente DNS. Por lo tanto el servicio DNS debe estar instalado y
configurado.
Colocar los valores del Protocolo Internet (TCP/IP V4) del modo
siguiente:
Direccin IP: 192.168.XX.1 (el valor de XX consulte con el
instructor)
Mascara de subred: 255.255.255.0
Puerta de enlace predeterminada: __________
Servidor DNS: 192.168.XX.1 (el valor de XX consulte con el
instructor)
INSTALACION DE IIS 7.0:
3. Hacer clic en inicio, herramientas administrativas, administrador del
servidor.
4. Hacer clic en funciones, agregar funciones
5. En la pantalla Antes de comenzar hacer clic en siguiente
6. Elegir la opcin Servidor Web (IIS)

.
171

7. Automticamente aparece un cuadro de dialogo, que indica que para el
funcionamiento de IIS se debe instalar otros requerimientos. Dar clic en
Agregar caractersticas requeridas.
8. Continuar con la instalacin. Hacer clic en Siguiente. Se muestra una

introduccin a IIS, as como las cosas que se debe tener en consideracin.
Hacer clic en Siguiente.
9. A continuacin se muestra una lista de servicios asociados a la funcin IIS que

tambin se puede instalar. Entre ellos se puede observar: la posibilidad de
ejecutar las aplicaciones ASP.NET, activar el servidor FTP, el servicio de
administracin remoto, etc.
10. Se puede habilitar un modo de administracin compatible con IIS 6.0, lo cual es
til en aquellos casos en los que ya se conoce dicho modelo.
11. La activacin de CGI permitir usar cualquier lenguaje este tipo de interfaz, a
travs de la salida y entrada estndar, para generar contenido dinmico en el
servidor.
12. Activar ASP y ASP.NET, solo si en el servidor WEB van a ejecutarse
aplicaciones Web creadas para aprovechar dichos servicios, por ejemplo

.
172

proyectos implementados con Visual Studio 2008 que ofrecen interfaces de
usuario Web.
13. Se puede habilitar la opcin Servicio de Administracin, de manera que sea
posible llevar a cabo la administracin remota del servidor.
14. Hacer clic en ASP.NET y realizar los pasos de instalacin con las opciones por
defecto que incluye, luego clic en Siguiente. En confirmar selecciones de
instalacin, hacer clic en Instalar.
15. Se iniciara el proceso de instalacin.

16. Una vez que la instalacin fue satisfactoria hacer clic en Cerrar. Luego
Reiniciar el sistema.
17. Comprobar que el servidor Web est trabajando, usando http://localhost

.
173

Operacin 2: Configura el servicio WEB
COMPROBACION DEL FUNCIONAMIENTO DEL SERVICIO:
1. Abrir la herramienta Administrador de Internet Information Services (IIS) y
observar que se ha creado un componente Sitio Web Predeterminado (Default
Web Site). Por defecto el directorio de publicacin del servidor web es
c:\inetpub\wwwroot, donde c: es la unidad en la que se encuentra
instalado el sistema.
Hacer clic en inicio, herramientas administrativas, administrador de
Internet information services (IIS)
Expandir la rama con el nombre del servidor (clic en +)
Expandir el objeto sitios (clic en mas)
2. Utilizar el sitio web predeterminado (default web site) para realizar la

comprobacin del servicio:
Usando el explorador de Windows comprobar la existencia del directorio
C:\inetpub\wwwroot.

.
174

Usando el bloc de notas, crear un archivo default.htm en este directorio
(compruebe que el archivo tenga la extensin .htm), con el contenido
siguiente:
Iniciar Internet Explorer

En la casilla Direccin, escribir la direccin IP del servidor al cual desea
acceder. Por ejemplo: 192.168.XX.1 http://192.168.XX.1 (Direccin IP
del servidor Web)
Tambin puede usar la direccin del local host: 127.0.0.1
http://localhost
INSCRIPCION DEL NOMBRE DOMINIO DE INTERNET:

1. El servidor funcionar simultneamente como servidor Web y servidor DNS.
Verificar que el servicio DNS este instalado y configurado, si no es as instalar
y configurar el servicio DNS.
2. Inscribir el host en el servidor DNS del PC de prctica.
Crear los registros tipo AAAA (host) para su servidor Web con los datos
siguientes:
o Nombre de Host: www
o Direccin IP: (coloque la direccin IP de su servidor Web)
3. El nombre DNS de su servidor estar formado por el nombre de host ms el
nombre de su servidor Web, por ejemplo: http://www.serverXX.com
4. Comprobar el funcionamiento de la resolucin DNS
Abrir el Internet Explorer

.
175

En la casilla de Direccin URL escribir el nombre DNS de su servidor
Web, por ejemplo: http://www.serverXX.com
ACCESO A DIRECTORIOS:
5. Crear dos directorios (carpetas) debajo del directorio raz del sitio Web
Desde
el
explorador
de
Windows
ubicar
el
directorio
C:\Inetpub\wwwroot
Crear dentro de este directorio los directorios Ventas y Procesos
En el directorio Ventas colocar el archivo default.htm siguiente:
En el directorio procesos coloque dos archivos de texto

Nombre del Archivo
Contenido del Archivo
Archivo1.txt
Primer archivo de prueba en procesos
Archivo2.txt
Segundo archivo de prueba en procesos
6. Acceder a los directorios Ventas y Procesos por medio de su navegador
Ingresar a un navegador web
Ingresar a la direccin URL. Por ejemplo: http://192.168.XX.1/Ventas
(coloque la direccin IP de su servidor)
Se puede visualizar el contenido?
Ingresar a la siguiente direccin URL: http://192.168.XX.1/Procesos
(coloque la direccin IP de su servidor)
Se puede visualizar el contenido? Por qu?
7. Activar la visualizacin de contenidos para mostrar los archivos del directorio
Procesos:
Ingresar al Administrador de Internet Information Services (IIS)
Seleccionar Default Web Site
Hacer doble clic en Examen de directorios
Seleccionar Habilitar del men Acciones

.
176

8. Volver a cargar el directorio Procesos con su navegador Puede ver el
contenido del directorio?
9. Se puede descargar los archivos?
10. Desactivar la visualizacin de contenidos. Siguiendo los pasos anteriores
deshabilitar examen de directorios.
ACCESO DE UN CLIENTE WEB:
11. Configurar un cliente web de manera que pueda comprobar el funcionamiento
del servidor web implementado.
Compruebe acceso por IP y por nombre DNS
12. Realizar los cambios necesarios para que pueda descargar los archivos
almacenados en el directorio procesos.
Descargue los archivos almacenados en el directorio procesos y ubquelos en el
escritorio del equipo cliente.
FUNDAMENTO TERICO:
SERVICIOS DE INTERNET INFORMATION SERVER (IIS) 7.0
Internet Information Services (IIS) 7.0 es la funcin de servidor web en
Windows Server 2008. Se ha rediseado el servidor web de IIS 7.0 para permitir
personalizar un servidor agregando o quitando mdulos que satisfagan sus
necesidades concretas. Los mdulos son caractersticas individuales que el
servidor utiliza para procesar solicitudes. Por ejemplo, IIS utiliza mdulos de
autenticacin para autenticar las credenciales del cliente y mdulos de
almacenamiento en cach para administrar la actividad de la memoria cach.
CARACTERSTICAS DE IIS.
El IIS 7.0 tiene nuevas caractersticas, muy importantes, entre las cuales, veremos
algunas de las ms importantes:
Caractersticas HTTP comunes:
Nombre de la caracterstica
Windows Server 2008
Contenido esttico
Predeterminado
Documento predeterminado
Predeterminado
Examen de directorios
Predeterminado
Errores HTTP
Predeterminado

.
177

Redireccin HTTP
Predeterminado
Caractersticas del desarrollo de aplicaciones:

Windows Server 2008
ASP.NET
Disponible
Extensibilidad de .NET
Predeterminado
ASP
Disponible
CGI
Disponible
Extensiones ISAPI
Disponible
Filtros ISAPI
Disponible
Inclusiones del lado servidor Disponible

Caractersticas de estado y diagnstico:
Nombre de la caracterstica Windows Server 2008
Registro HTTP
Predeterminado
Herramientas de registro
Predeterminado
Monitor de solicitudes
Predeterminado
Seguimiento
Predeterminado
Registro personalizado
Disponible
Registro ODBC
Disponible
Caractersticas de seguridad:
Windows Server 2008
Autenticacin bsica
Disponible

.
178

Autenticacin de Windows
Disponible
Autenticacin de texto implcita
Disponible
Autenticacin de asignaciones de certificado de cliente
Disponible
Autenticacin de asignaciones de certificado de cliente Disponible

de ISS
Autorizacin para URL
Disponible
Filtro de solicitudes
Disponible
Restricciones de IP y dominio
Disponible
Caractersticas de rendimiento
Windows Server 2008
Compresin de contenido esttico
Predeterminado
Compresin de contenido dinmico Disponible

Herramientas de administracin
Windows Server 2008
Consola de administracin de IIS
Predeterminado
Scripts y herramientas de administracin de IIS
Disponible
Servicio de administracin
Disponible
Compatibilidad con la administracin de IIS 6
Disponible
Compatibilidad con la metabase de IIS
Disponible
Compatibilidad con WMI de IIS 6
Disponible
Herramientas de scripting de IIS 6
Disponible

.
179

Consola de administracin de IIS 6
Disponible
Caractersticas del servicio WAS (Windows Process Activation Service)

Windows Server 2008
Modelo de proceso
Predeterminado
Entorno de .NET
Disponible
API de configuracin
Disponible
Caractersticas del servicio de publicacin del Protocolo de transferencia de

archivos (FTP)
Windows Server 2008
Servidor FTP
Disponible
Consola de administracin de FTP
Disponible
Lmites de conexiones simultneas: Sin lmites. En las tablas, se pueden notar los
trminos:
Predeterminada: la caracterstica est seleccionada de forma
predeterminada al instalar IIS en el equipo, pero puede optar por no
instalarla si no la necesita.
Disponible: la caracterstica est disponible, pero no est seleccionada de

forma predeterminada al instalar IIS en el equipo. Puede instalar la
caracterstica si la necesita.
No disponible: la caracterstica no est disponible y no se puede instalar
cuando se instala IIS
VENTAJAS DE IIS 7.0:
IIS 7.0 proporciona el mismo modelo de procesamiento avanzado que IIS 6.0, pero
utiliza Windows Process Activation Service (WAS) para permitir la activacin y
comunicacin por red a travs de protocolos que no sean HTTP. Este entorno es
adecuado para el desarrollo de servicios de WCF (Windows Communication
Foundation) que se comunican sobre cualquier protocolo de red admitido por WCF
(incluidos HTTP, net.tcp, net.pipe y net.msmq). A la hora de decidir hospedar los
servicios de WCF en IIS, es importante recordar que IIS 5.1 e IIS 6.0 slo se
limitan a la comunicacin sobre HTTP.
.
180

Windows Server 2008 proporciona una plataforma unificada para publicacin en la
Web que integra Internet Information Services 7.0 (IIS7), ASP.NET, Windows
Communication Foundation y Microsoft Windows SharePoint Services. IIS7
constituye un gran avance sobre el servidor web IIS existente y desempea una
funcin central en la integracin de tecnologas de plataforma web. Los beneficios
clave de IIS7 incluyen caractersticas ms eficientes de administracin, mejor
seguridad y costos reducidos de soporte tcnico. Estas caractersticas ayudan a
crear una plataforma unificada que proporciona un modelo nico y coherente de
desarrollo y administracin para soluciones web.
En IIS 7.0, tenemos dos modos de crear una aplicacin Web, en modo clsico y
en modo integrado, el modo clsico es como conocemos a ASP.NET 2.0 y IIS 6.0,
y en el modo integrado tenemos algunas caractersticas propias de ASP.NET pero
montado sobre el IIS, esto es lo que permite que aplicaciones no ASP.NET, como
el clsico ASP o Php, puedan usar mdulos de ASP.NET Autenticacin u Output
Cache, entre otros.
INSTALACIN DE IIS
Antes de instalar IIS en Windows Server 2008 se debe comprobar que el sistema
cumple con los siguientes requisitos
El sistema debe usar el protocolo TCP/IP configurado correctamente, con una
direccin IP esttica. Si va a publicar en Internet, el Proveedor de servicios
Internet (ISP) debe proporcionar la direccin IP y la mscara de subred del
servidor, as como la direccin IP para la puerta de enlace predeterminada.
Para usar un nombre en lugar de la direccin IP al conectarse al Server puede
existir algn mecanismo de Resolucin como DNS.
En una Intranet se recomienda que instale DNS en un equipo. Si la intranet es
pequea, puede utilizar archivos Hosts o Lmhosts en todos los equipos de la red.
Este paso es opcional, pero permite utilizar nombres descriptivos en lugar de
direcciones IP.
Si el servidor va a ser accesible desde Internet se debe registrar el nombre de
dominio y mantener los registros en un servidor DNS de Internet. En Internet, los
sitios Web utilizan DNS. Si registra un nombre de dominio para el sitio, los
usuarios podrn escribir ese nombre en el explorador para tener acceso al sitio
Web.
El sistema de archivos en los discos debe ser NTFS. Por motivos de seguridad, se
recomienda formatear todas las unidades de IIS con el sistema de archivos NTFS.

.
181

Para realizar este procedimiento, debe ser miembro de la funcin o funciones
administrativas siguientes de IIS 7.0: Administrador de servidores.
PROCEDIMIENTO DE INSTALACIN:
Haga clic en Inicio, elija Herramientas administrativas y, a continuacin, haga clic
en Administrador del servidor.
En Resumen de funciones, haga clic en Agregar funciones.
Utilice el Asistente para agregar funciones para agregar la funcin de servidor
web, en ese punto de la instalacin podremos escoger los componentes
deseados, y deshabilitar los que no nos son necesarios.
Entre los servicios de funcin ms importantes tenemos:

En las caractersticas HTTP comunes, tenemos:
Contenido esttico: Permite al servidor web publicar formatos de archivos web
estticos, como archivos de pginas HTML y de imagen. Utilice contenido esttico
para publicar archivos en su servidor web, que los usuarios pueden ver luego
mediante un explorador web.
Documento Predeterminado: Permite configurar un archivo predeterminado para
que el servidor web lo devuelva cuando los usuarios no especifican ningn archivo
en una direccin URL. Los documentos predeterminados facilitan y hacen ms
cmodo para los usuarios la llegada a su sitio web.
Examen de directorios: Permite a los usuarios ver el contenido de un directorio
en su servidor web. Utilice Examen de directorios para habilitar una lista generada
automticamente de todos los directorios y archivos disponibles en un directorio
cuando los usuarios no especifican ningn archivo en una direccin URL y los
documentos predeterminados estn deshabilitados o no estn configurados.
.
182

Errores HTTP: Permite personalizar los mensajes de error devueltos a los
exploradores de los usuarios cuando el servidor web detecta una condicin de
error. Utilice los errores HTTP para proporcionar a los usuarios una mejor
experiencia de usuario cuando se encuentran con un mensaje de error. Considere
la posibilidad de proporcionar a los usuarios una direccin de correo electrnico de
personas que puedan ayudarles a resolver el error.
Redireccin HTTP: Proporciona soporte para redirigir las solicitudes de usuario a
un destino concreto. Utilice la redireccin HTTP siempre que desee que los
clientes que pueden utilizar una direccin URL terminen realmente en otra
direccin URL. Esto es til en muchas situaciones, desde cambiar el nombre de su
sitio web a superar un nombre de dominio difcil de deletrear, o para obligar a los
clientes a utilizar el protocolo HTTPS.
En desarrollo de aplicaciones tenemos:
ASP.NET: Proporciona un entorno de programacin orientado a objetos en el
servidor para generar sitios web y aplicaciones web que utilizan cdigo
administrado. ASP.NET no es slo una nueva versin de ASP. ASP.NET
proporciona una infraestructura robusta para generar aplicaciones web y ha sido
reestructurado por completo con el fin de proporcionar una experiencia de
programacin muy productiva basada en .NET Framework.
Extensibilidad de .NET: Permite a los programadores de cdigo administrado
cambiar, agregar y ampliar la funcionalidad del servidor web en la canalizacin,
configuracin e interfaz de usuario solicitadas. Los programadores pueden utilizar
el modelo de extensibilidad de ASP.NET familiar y las API de .NET enriquecidas
para generar caractersticas de servidor web que sean igual de potentes que las
que se escriben mediante las API de C++ nativas.
ASP: proporciona un entorno de scripting en el servidor para generar sitios web y
aplicaciones web. ASP ofrece un rendimiento mejorado sobre scripts de CGI al
proporcionar IIS con compatibilidad nativa para VBScript y JScript. Utilice ASP si
tiene aplicaciones existentes que requieren compatibilidad con ASP. Para nuevos
desarrollos, considere la posibilidad de utilizar ASP.NET.
CGI: La interfaz CGI (Common Gateway Interface) define cmo pasa informacin
un servidor web a un programa externo. Entre los usos habituales se pueden
incluir el uso de un formulario web para recopilar informacin y pasarla luego a un
script CGI que se enva por correo electrnico a otra parte. Dado que CGI es un
estndar, los scripts CGI se pueden escribir mediante diversos lenguajes de

.
183

programacin. El inconveniente que tiene utilizar CGI es la sobrecarga de
rendimiento.
Extensiones ISAPI: Las extensiones de la Interfaz de programacin de
aplicaciones para servidores de Internet (ISAPI) proporcionan soporte para el
desarrollo del contenido web dinmico que utiliza extensiones ISAPI. Una
extensin ISAPI se ejecuta cuando se solicita, al igual que cualquier otro archivo
HTML esttico o el archivo ASP dinmico. Puesto que las aplicaciones ISAPI son
cdigo compilado, se procesan de manera mucho ms rpida que los archivos
ASP o los archivos que llaman a componentes COM+.
Filtros ISAPI: Los filtros de la Interfaz de programacin de aplicaciones para
servidores de Internet (ISAPI) proporcionan soporte para aplicaciones web que
utilizan filtros ISAPI. Los filtros ISAPI son archivos que pueden ampliar o cambiar
la funcionalidad proporcionada por IIS. Un filtro ISAPI revisa cada solicitud
realizada al servidor web, hasta que encuentra una que debe procesar.
Inclusiones del lado del Servidor (SSI): Es un lenguaje de scripts que se utiliza
para generar dinmicamente pginas HTML. El script se ejecuta en el servidor
antes de que se entregue la pgina al cliente y normalmente esto implica insertar
un archivo en otro. Por ejemplo, puede crear un men de navegacin HTML y
utilizar SSI para agregarlo dinmicamente a todas las pginas de un sitio web.
Caractersticas de estado y diagnstico:
Registro HTTP: proporciona el registro de la actividad del sitio web para este
servidor. Cuando se produce un evento registrable (por lo general, una transaccin
HTTP), IIS llama al mdulo de registro seleccionado, que escribe, a continuacin,
en uno de los registros almacenados en el sistema de archivos del servidor web.
Estos registros se conservan, adems de los que proporciona el sistema
operativo.
Herramientas de registro: Proporciona infraestructura para administrar los
registros del servidor web y automatizar las tareas de registro comunes.
Monitor de solicitudes: proporciona infraestructura para supervisar el estado de la
aplicacin web capturando informacin sobre solicitudes HTTP en un proceso de
trabajo de IIS. Los administradores y programadores pueden utilizar Monitor de
solicitudes para entender qu solicitudes HTTP se estn ejecutando en un proceso
de trabajo cuando este proceso no responde o muy lentamente.
Seguimiento: Proporciona infraestructura para diagnosticar y solucionar
problemas de las aplicaciones web. Mediante el seguimiento de solicitudes con
error, puede solucionar problemas difciles de capturar como un rendimiento
.
184

insuficiente o errores relacionados con la autenticacin. Esta caracterstica
almacena en bfer los eventos de seguimiento para una solicitud y slo los vaca
en el disco si la solicitud pertenece a una condicin de error configurada por el
usuario.
Registro personalizado: Proporciona soporte para registrar la actividad del
servidor web en un formato que difiere considerablemente del modo en que IIS
genera archivos de registro. Utilice Registro Personalizado para crear su propio
mdulo de registro. Los mdulos de registro personalizados se agregan a IIS
mediante el registro de un nuevo componente COM que implementa ILogPlugin o
ILogPluginEx.
Registro ODBC: Proporciona infraestructura que permite registrar la actividad del
servidor web en una base de datos compatible con ODBC. Utilizando una base de
datos de registro, puede mostrar y manipular mediante programacin datos de la
base de datos de registro en una pgina HTML. Puede hacer esto si busca
registros para eventos especficos que desee supervisar.
Funciones de seguridad:
Autenticacin bsica: Proporciona una gran compatibilidad de explorador.
Adecuado para redes internas pequeas, este mtodo de autenticacin raramente
se utiliza en Internet pblico. Su principal inconveniente es que transmite las
contraseas por la red utilizando un algoritmo que se descifra con facilidad. Si se
interceptan, estas contraseas son fciles de descifrar. Utilice SSL con
autenticacin bsica.
Autenticacin de Windows: Es una solucin de autenticacin de bajo costo para
los sitios web internos. Este esquema de autenticacin permite a los
administradores de un dominio de Windows sacar partido de la infraestructura del
dominio para autenticar a los usuarios. No utilice la autenticacin de Windows si
los usuarios que deben ser autenticados tienen acceso a su sitio web a travs de
firewalls y servidores proxy.
Autenticacin de texto implcita: Funciona enviando un hash de la contrasea a
un controlador de dominio de Windows para autenticar a los usuarios. Si necesita
una seguridad mejorada con respecto a la autenticacin bsica, considere la
posibilidad de utilizar Autenticacin de texto implcita, sobre todo, si los usuarios
que deben ser autenticados tienen acceso a su sitio web a travs de firewalls y
servidores proxy.
Autenticacin de asignaciones de certificado de cliente: Utiliza certificados de
cliente para autenticar a los usuarios. Un certificado de cliente es un identificador
.
185

digital de una fuente de confianza. IIS proporciona dos tipos de autenticacin
mediante la asignacin de certificados de cliente. Este tipo utiliza Active Directory
para proporcionar asignaciones de certificados uno a uno a travs de varios
servidores web.
Autenticacin de asignaciones de certificado de cliente de IIS: Utiliza
certificados de cliente para autenticar a los usuarios. Un certificado de cliente es
un identificador digital de una fuente de confianza. IIS proporciona dos tipos de
autenticacin mediante la asignacin de certificados de cliente. Este tipo utiliza IIS
para proporcionar asignaciones de certificados uno a uno o de varios a uno, y
ofrece un mejor rendimiento con respecto a la Autenticacin de asignaciones de
certificado de cliente.
Autorizacin para URL: Permite crear reglas que restringen el acceso al
contenido web. Puede enlazar estas reglas a usuarios, grupos o verbos de
encabezados HTTP. Si configura reglas de autorizacin para URL, puede impedir
a los usuarios que no sean miembros de determinados grupos tener acceso al
contenido o interactuar con pginas web.
Filtro de solicitudes: Protege todas las solicitudes que entran en el servidor y las
filtra basndose en reglas establecidas por el administrador. Muchos ataques
malintencionados comparten caractersticas comunes, como direcciones URL muy
largas o solicitudes para una accin inusual. Filtrando las solicitudes, puede
intentar reducir el impacto de estos tipos de ataques.
Restricciones de IP y dominio: Permite habilitar o denegar contenido basndose
en la direccin IP o nombre de dominio de origen de la solicitud. En lugar de
utilizar grupos, funciones o permisos del sistema de archivos NTFS para controlar
el acceso al contenido, puede especificar direcciones IP o nombres de dominio.
Caractersticas de rendimiento:
Compresin de contenido esttico: Proporciona infraestructura para configurar
la compresin HTTP de contenido esttico. Esto proporciona un uso ms eficaz
del ancho banda. A diferencia de las respuestas dinmicas, las respuestas
estticas comprimidas pueden almacenarse en cach sin degradar los recursos de
CPU.
Compresin de contenido dinmico: Proporciona infraestructura para configurar
la compresin HTTP de contenido dinmico. Si se habilita la compresin dinmica,
se hace siempre un uso ms eficaz del ancho banda, pero si el uso del procesador
de su servidor es ya muy alto, la carga de la CPU impuesta por compresin
dinmica puede hacer que su sitio funcione muy despacio.
.
186

Herramientas de Administracin:
Consola de Administracin de IIS: El Administrador de IIS proporciona
infraestructura para administrar IIS 7.0 mediante una interfaz grfica de usuario.
Puede utilizar el Administrador de IIS para administrar un servidor web local o
remoto que ejecute IIS 7.0. Para administrar el Protocolo simple de transferencia
de correo (SMTP) o el Protocolo de transferencia de archivos (FTP), debe instalar
y utilizar el Administrador de IIS a partir de IIS 6.0.
Scripts y herramientas de administracin de IIS: Proporciona infraestructura
para administrar mediante programacin un servidor web de IIS 7.0 utilizando
comandos en una ventana de smbolo del sistema o ejecutando scripts. Puede
utilizar estas herramientas si desea automatizar comandos en archivos por lotes o
no desea incurrir en una sobrecarga de administracin de IIS utilizando la interfaz
grfica de usuario.
Servicio de administracin: Proporciona infraestructura a fin de configurar la
interfaz de usuario de IIS 7.0, el Administrador de IIS, para la administracin
remota de IIS 7.0.
Compatibilidad con la administracin de IIS 6: Proporciona compatibilidad con
versiones posteriores para sus aplicaciones y scripts que utilizan API de Objeto
Admin Base (ABO) y de Interfaces del servicio Active Directory (ADSI). Esto le
permite utilizar scripts de IIS 6.0 existentes para administrar un servidor web de IIS
7.0.
Compatibilidad con la metabase de IIS 6.0: Proporciona infraestructura para
consultar y configurar la metabase a fin de que pueda ejecutar aplicaciones y
scripts escritos en versiones anteriores de IIS que utilizaban API de Objeto Admin
Base (ABO) o de Interfaces del servicio Active Directory (ADSI).
Compatibilidad con WMI de IIS 6.0: Proporciona interfaces de scripting de
Instrumentacin de administracin de Windows (WMI) para administrar mediante
programacin y automatizar tareas para IIS 7.0 con un conjunto de scripts que
crea en el proveedor de WMI. Puede administrar sitios con este servicio utilizando
las herramientas CIM Studio WMI, Registro de eventos WMI, Visor de eventos
WMI y Explorador de objetos WMI.
Herramientas de scripting de IIS 6: Proporciona la capacidad de seguir
utilizando las herramientas de scripting de IIS 6.0 que se generaron para
administrar IIS 6.0 en IIS 7.0. Esto es especialmente til si sus aplicaciones y
scripts utilizan API de Objetos de datos ActiveX (ADO) o de Interfaces del servicio

.
187

Active Directory (ADSI). Herramientas de scripting de IIS 6 requiere la API de
configuracin WAS.
Consola de Administracin de IIS 6.0: El Administrador de IIS 6.0 proporciona
infraestructura para la administracin de servidores de IIS 6.0 remotos desde este
equipo.
Caractersticas del Servicio WAS (Windows Process Activation Service):
Modelo de proceso: Hospeda servicios web y WCF. Introducido en IIS 6.0, el
modelo de proceso es una nueva arquitectura que presenta una proteccin contra
errores rpida, supervisin del estado y reciclaje. El Modelo de proceso WAS
elimina la dependencia de HTTP.
Entorno de .NET: Admite la activacin de cdigo administrado en el modelo de
proceso.
API de configuracin: Permite a aplicaciones que se generan con .NET
Framework configurar WAS mediante programacin. Esto permite al programador
de aplicaciones configurar automticamente los valores de WAS cuando se
ejecuta la aplicacin en lugar de exigirle que configure manualmente estos
valores.
Caractersticas del Servicio de Publicacin de FTP:
Servidor FTP: Proporciona infraestructura para crear un sitio FTP donde los
usuarios pueden cargar y descargar archivos mediante el protocolo FTP y el
software cliente adecuado. FTP utiliza TCP/IP para distribuir archivos de una
manera similar a cmo distribuye HTTP pginas web. Un sitio FTP es
especialmente til ya que ofrece a los clientes la posibilidad de cargar archivos.
Consola de administracin de FTP: Proporciona capacidad para administrar un
sitio FTP. IIS 7.0 utiliza el Administrador de IIS en IIS 6.0 para la administracin
del servidor FTP. Puede utilizar la consola de administracin de FTP para
administrar un servidor FTP local o remoto.
Continuando con el procedimiento de Instalacin:
Luego de escoger los componentes necesarios, se procede a finalizar con la
Instalacin.
COMPROBACIN DEL SERVIDOR
Para comprobar si el servidor de IIS funciona correctamente, utilice un explorador
de Internet para ver la pgina Web. Intente ver la pgina Web en un equipo que
est en la misma red de rea local (LAN) que el servidor de IIS que est probando.
Para comprobar si el sitio Web se encuentra disponible en Internet, examnelo

.
188

mediante un equipo que no est en la misma red de rea local (LAN) que el
servidor de IIS que se est probando.
Si la prueba la hace desde el mismo equipo puede usar http://localhost o
http://127.0.0.1 para visitar la pgina Web del sitio predeterminado. Si la prueba lo
hace desde otro equipo debe usar la direccin IP del servidor o bien un nombre de
Host si posee un sistema de resolucin de nombres de Host.
ADMINISTRACIN DE IIS
En IIS 7.0 hay varias herramientas disponibles para la configuracin de IIS. Entre
estas herramientas se incluyen las siguientes:
Una interfaz de usuario de nuevo diseo denominada Administrador de IIS.
Una nueva herramienta de lnea de comandos denominada Appcmd.exe.
Un nuevo almacn de configuracin de IIS que consta de archivos
ApplicationHost.config y Web.config.
Un nuevo espacio de nombres de Instrumental de administracin de Windows
(WMI).
Administrador de Internet Information Services (IIS):
IIS 7.0 proporciona una nueva interfaz de usuario, Administrador de IIS, que
permite:
Administrar IIS y ASP.NET en una herramienta.
Ver informacin de estado y de diagnstico que incluye la posibilidad de

.
189

supervisar la ejecucin de solicitudes en tiempo real.
Configurar autorizaciones de usuarios y funciones para sitios y aplicaciones.
Delegar la configuracin de sitios y aplicaciones en personas que no sean
administradores.
Conectarse a servidores, sitios o aplicaciones web de forma remota mediante
HTTP.

.
190
TAREA 6: INSTALAR Y CONFIGURAR EL SERVICIO DE CORREO

Las organizaciones en algn momento de su funcionamiento tienen la necesidad
de contar con un servicio de correo corporativo de all la importancia de la
implementacin y configuracin de este servicio. En esta tarea se realizar las
operaciones siguientes:
Instalar el servicio de CORREO.
Configurar el servicio de CORREO.

Operacin 1: Instalar el servicio de CORREO
Microsoft Exchange Server 2007, proporciona un sistema de mensajera confiable,
con proteccin integrada contra correo no deseado y virus. Con Exchange 2007,
los usuarios de la organizacin pueden tener acceso al correo electrnico, el
correo de voz, los calendarios y los contactos desde una amplia variedad de
dispositivos y desde cualquier ubicacin.
Principales Requisitos Para Instalar Exchange Server 2007:

SO Windows Server 2003 SP1 o posterior
Servidor controlador de dominio implementado
Servidor DNS correctamente implementado
CPU de 800 MHz o posterior
RAM de 512 MB o superior
Nota: En la implementacin de Exchange Server se recomienda el uso de dos
servidores:

.
191

Un servidor la funcin de controlador de dominio
El otro servidor funcin de servidor Exchange (con Windows server e
inscrita en el dominio)
VERIFICACION DEL CONTROLADOR DE DOMINIO:
1. Ingresar al computador que har de controlador de dominio y realice:
Verificar que el sistema de archivos del volumen o particin que contiene es
NTFS.
Colocar los valores adecuados de configuracin TCP/IP:
Direccin IP: 192.168.100.XX
Puerta de enlace predeterminado: 192.168.100.2
Servidor DNS preferido: 192.168.100.XX
Cambiar el nombre de la computadora a DCXX
2. Crear el dominio servidorXX.com (Recuerde usar DCPROMO o la
herramienta Administre su servidor). El nivel funcional debe ser Windows
2000 nativo o superior
PREPARACION DEL SERVIDOR EXCHANGE:
Nota: las siguientes actividades se realizan en la computadora designada
como servidor Exchange. Para todos los procesos de instalacin debe entrar
como Administrador.
3. Configurar el protocolo TCP/IP
Direccin IP: 192.168.100.XX+1
Puerta de enlace predeterminada: 192.168.100.2
DNS preferido: 192.168.100.XX
4. Cambiar el nombre de la computadora a MSEXX
5. Verificar conectividad con el controlador de dominio (192.168.100.XX)
6. Hacer esta computadora miembro del dominio servidorXX.com
INSTALACION DE EXCHANGE SERVER:
7. Instalar los requisitos previos necesarios:
Desde el panel de control agregar/quitar programas, instale los
siguientes componentes:
Asp.net
Servicio de publicacin World Wide Web
Adems se debe tener instalado:
Net framework 2.0
.
192
8.
MMC (Microsoft Mnagement Console)

Microsoft Windows Power Shell
Iniciar el programa de instalacin en el servidor designado como Exchange:
Iniciar sesin como administrador del dominio servidorXX.com, en el
servidor en el que desea instalar Exchange.
Introducir el CD de Exchange Server 2007 en la unidad CD/DVD-ROM
Ejecute el programa de instalacin de Exchange 2007 desde el disco
compacto (setup.exe) en caso no se ejecute automticamente.
El asistente de instalacin nos muestra 3 etapas bien definidas:
Plan: se utiliza para obtener informacin sobre Exchange 2007
Instalar: en esta etapa, se indica las secuencias a seguir para la
correcta instalacin del programa, y adems para actualizarlo
correctamente.
Mejorar: en esta etapa podemos decidir utilizar Microsoft Forefront
Security.
9. Si todo lo anterior ha sido tomado en cuenta, hacemos clic en el paso 4 del

asistente de instalacin del programa Exchange 2007
10. El proceso se divide en 7 partes:
Introduccin
Contrato de licencia
Informe de errores
Tipo de instalacin

.
193

Comprobacin de preparativos
Progreso
Finalizacin
11. En la etapa de introduccin nos muestra algunas caractersticas nuevas del
producto
12. En la siguiente etapa, aceptaremos el contrato de licencia, y es en esta

etapa donde podemos visualizar claramente que versin es la que tenemos.
13. En la etapa de informe de errores, podemos especificar si deseamos

enviarle a Microsoft informacin sobre errores para recibir posibles
soluciones.

.
194
14. En la etapa tipo de instalacin debemos especificar entre dos opciones:

a) Instalacin tpica: En este tipo de instalacin, podremos tener en nuestro
servidor, las siguientes caractersticas:
Funcin de servidor de transporte de concentradores
Funcin del servidor de acceso de clientes
Funcin de servidor de buzones
Herramientas de administracin de Exchange
b) Instalacin personalizada: en este tipo de instalacin, podremos tener
en nuestro servidor, las siguientes caractersticas:
Transporte de concentradores
Acceso de clientes
Servidor de buzones con o sin clsteres
Funcin de mensajera unificada
Funcin de transporte perimetral
Consola de administracin de Exchange

.
195
15. En la etapa de tipo de instalacin nos pedir algunos datos como:

a) Organizacin de Exchange
b) Configuracin de cliente: para casos en que tenga equipos cliente con

versiones de Outlook del 2003 o anteriores
16. Luego se mostrara el proceso de verificacin, en el cual se realizan 4

evaluaciones:
.
196

Requisitos previos de la organizacin
Funcin de transporte de concentradores
Funcin de acceso del cliente
Funcin de buzn
17. Una vez finalizada la comprobacin, debemos comprobar si se detectaron
errores o advertencias, los errores se deben corregir para continuar con la
instalacin, las advertencias permiten continuar con la instalacin (podran
afectar el funcionamiento del servidor)
18. Luego se pasa a la etapa de progreso de instalacin, en la cual se notan 6

elementos:
Preparacin de la organizacin
Copiar archivos de Exchange
Herramientas de administracin
Funcin de transporte de concentradores
Funcin de acceso de cliente
Funcin de buzn

.
197

19. Una vez completado el progreso de la instalacin, podremos finalizar la
instalacin, no sin antes verificar que no se den mensajes de errores o
advertencias, y en el caso que presenten, debemos solucionarlos
rpidamente para terminar con la instalacin de forma satisfactoria. Al
finalizar, pedir reiniciar el sistema.
20. Luego de acceder al sistema se puede acceder a la consola de

administracin de Exchange 2007, que nos permitir realizar las tareas
administrativas en forma rpida y eficiente
Operacin 2: Configura el servicio de CORREO.

CREACION DE BUZONES DE USUARIOS:
1. Inicialmente, se debern crear los usuarios en active directory. Luego estos
usuarios deben ser administrados desde la consola de administracin de
Exchange 2007, para la creacin de buzones especficos. Para mantener
un orden adecuado se recomienda, crear previamente una unidad
organizativa.
.
198

Crear una unidad organizativa llamada Contabilidad
Crear tres usuarios dentro de la unidad administrativa llamada Contabilidad.
2. Luego desde la consola de administracin de Exchange, crear los buzones

de cada usuario
Expandir la rama Configuracin de destinatarios, clic derecho en Buzn y
seleccionar Buzn nuevo
3. Indicar el tipo de buzn que se va a crear, en este caso se trata de un

buzn de usuario

.
199
4. Escoger el usuario deseado desde la interfaz de Nuevo buzn, con lo cual

accedemos al Active Directory.
Seleccionar el usuario al que se le va a crear el buzn, luego terminar la
creacin del buzn seleccionando las opciones por defecto.
PERFIL DE LA CUENTA DE USUARIO:

5. Desde un equipo cliente, que cuenta con MS Outlook 2007, creamos el
perfil para la cuenta de usuario
Hacer que el cliente sea parte del dominio creado
Instalar Office en un equipo cliente, comprobar que se instale MS Outlook.
Realizar los cambios necesarios para que el equipo cliente tenga salida a
internet.

.
200

Iniciar sesin en el equipo cliente con un usuario del dominio que tiene su
buzn creado en el Exchange y ejecutar Outlook, luego configurar la
cuenta.
Realizar una prueba de funcionamiento del servicio enviando un correo a un

usuario que tenga un buzn creado en el servidor Exchange. Comprobar
que el usuario haya recibido el mensaje y responda el mismo.
ACTIVACION Y DESACTIVACION DEL ACCESO WEB PARA CIERTOS
USUARIOS:
6. De manera predeterminada Exchange Server activa Outlook Web Access
para todos los usuarios. Si es necesario puede impedir que alguno de ellos
lo utilicen.
Ubicarse en la consola de administracin de Exchange, expandir la
rama configuracin de destinatarios y hacer clic en buzn.
Se deber ver la lista de configuracin de usuarios que disponen de
buzn. Hacer doble clic sobre el usuario que quiera modificar para abrir
el cuadro de dialogo propiedades correspondiente.
Las caractersticas de conexin al buzn aparecen en la ficha:
Caractersticas de buzn, simplemente ubicarse en la caracterstica
Outlook Web Access y escoger la opcin deshabilitar.

.
201
FUNDAMENTO TERICO:
CONCEPTOS GENERALES:
Microsoft Exchange Server 2007, que proporciona un sistema de mensajera
confiable, con proteccin integrada contra correo no deseado y virus. Con
Exchange 2007, los usuarios de la organizacin pueden tener acceso al correo
electrnico, el correo de voz, los calendarios y los contactos desde una amplia
variedad de dispositivos y desde cualquier ubicacin.
Microsoft Exchange Server 2007 Service Pack 1 (SP1) introduce varias nuevas
caractersticas y tecnologas. Estas nuevas caractersticas y tecnologas ayudarn
a aumentar la productividad y reducirn la sobrecarga administrativa.
Requisitos del sistema para Exchange 2007

.
202

Antes de instalar Microsoft Exchange Server 2007, debemos tener en cuenta
diferentes requisitos para garantizar que la red, el hardware, el software, los
clientes y otros elementos cumplen los requisitos de Exchange 2007.
Redes y servidores de directorio:
Componente
Requisito
Maestro de esquema (de Microsoft Windows Server 2003 Service Pack 1

forma predeterminada, el (SP1) o posterior, o Windows Server 2003 Windows
maestro de esquema se Server 2003 R2 Windows Ser 2008.
ejecuta en el primer
controlador de dominio
de Windows Server 2003
o Windows Server 2008
instalado en un bosque).
Servidor
global
de
Controladores
dominio
catlogo En todos los sitios de servicios de directorio de

Active Directory en los que tenga previsto instalar
Exchange 2007 deber tener como mnimo un
servidor
de
catlogo
global
que
ejecute
Windows Server 2003 SP1 o posterior como
Windows Server 2008.
de En el caso de los controladores de dominio:
Para Exchange 2007 RTM y Exchange 2007 SP1,
en todos los dominios (incluidos los secundarios) en
los que tenga pensado instalar Exchange 2007,
deber tener al menos un controlador de dominio
que ejecute Windows Server 2003 SP1 o posterior.
En todos los sitios de Active Directory en los que
tenga previsto instalar Exchange 2007, deber tener
como mnimo un controlador de dominio que sea
tambin un servidor de catlogo global y ejecute
Windows Server 2003 SP1 o posterior.
Controladores
de Ninguna versin
controladores de
de Microsoft Exchange usa

dominio de slo lectura ni

.
203

dominio de slo lectura
servidores de catlogo global de slo lectura. Sin

embargo, Microsoft Exchange funciona en entornos
que incluyen controladores de dominio de slo
lectura o servidores de catlogo global de slo
lectura siempre que haya controladores de dominio
grabables. En estos entornos, Exchange 2007 ignora
de forma efectiva los controladores de dominio de
slo lectura y los servidores de catlogo global de
slo lectura.
Nivel
funcional
dominio
del Ser
necesario
usar
como
mnimo
Windows 2000 Server nativo para todos los dominios
del bosque Active Directory en el que se instale
Exchange 2007 o que vaya a hospedar los
destinatarios de Exchange 2007.
Nivel
funcional
bosque
del Si tiene previsto usar alguna de las siguientes

funciones avanzadas, el nivel funcional de bosque
debe ser Windows Server 2003 en cada bosque que
contenga servidores de Exchange.
Implementacin
bosques mltiples
de Todas las topologas de bosques mltiples que

contengan Exchange 2007 requieren servidores de
directorio
en
cada
bosque
que
ejecute
Windows Server 2003 con Service Pack 1 o
posterior.
Confianza entre bosques Si la topologa incluye varios bosques de

Active Directory que tengan instalado Exchange y si
desea usar algunas funciones avanzadas, debe
establecer una relacin de confianza entre los
bosques que tengan instalado Exchange.
Servidores que ejecutan
Microsoft
Exchange Server
versin 5.5
No se puede tener ningn servidor de

Exchange Server 5.5 en la organizacin de
Exchange, y la organizacin de Exchange se debe
ejecutar en modo nativo.

.
204
DNS
Deber configurar correctamente DNS en su bosque

Active Directory.
Nombres DNS de una No se recomienda usar los nombres DNS de una

sola etiqueta
sola
etiqueta
con
Exchange 2007
o Exchange 2007 SP1..
Nombres de dominio de Las versiones anteriores de Microsoft Exchange
Active Directory
admitan el cambio de nombre de dominios de
Active Directory
que
contenan
servidores
deExchange. Exchange 2007 no admite el cambio
de nombre de dominios que contienen equipos que
ejecutan Exchange 2007. Si cambia el nombre de un
dominio que contiene equipos que ejecutan
Exchange 2007, habr varios servicios que no se
iniciarn, incluyendo el servicio Operador del
sistema de Microsoft Exchange, y los servidores de
Exchange no funcionarn correctamente.
Preparacin
Active Directory
de Deber preparar Active Directory y su dominio para

la instalacin de Exchange 2007.
ARQUITECTURA DEL SERVIDOR DE DIRECTORIO:

El nmero recomendado de servidores de directorio de Active Directory en cada
sitio que contenga usuarios o servidores de buzones de Exchange 2007 depende
del nmero de ncleos de procesadores de cada equipo que ejecuta la funcin del
servidor Buzn de correo de Exchange 2007 y de la plataforma de hardware en la
que se ejecuta Active Directory. En concreto, tenga en cuenta los siguientes
escenarios:
Si Active Directory se ejecuta en la plataforma x86 (de 32 bits), la proporcin
recomendada de ncleos de procesador del servidor de directorio de
Active Directory en relacin con los ncleos de procesador del servidor de
Exchange 2007 es de 1:4.
Si Active Directory se ejecuta en la plataforma x64 (de 64 bits), la proporcin
recomendada de ncleos de procesador del servidor de directorio de
Active Directory en relacin con los ncleos de procesador del servidor
Exchange 2007 es de 1:8. Para lograr la proporcin de 1:8, se debe disponer de
.
205

suficiente memoria instalada en el servidor de directorio para almacenar en cach
la totalidad de la base de datos de Active Directory en memoria. Para comprobar
el tamao de la base de datos de Active Directory, examine el archivo NTDS.DIT
en un servidor de catlogo global. De forma predeterminada, este archivo est
ubicado en %WINDIR%\NTDS.
En las proporciones anteriores, es importante tener en cuenta que se trata de una
proporcin de ncleos de procesador y no de procesadores. Por tanto, un
procesador de doble ncleo cuenta como 2 a la hora de calcular la proporcin.
Para Exchange 2007, se recomienda implementar un ncleo de procesador de
servidor de catlogo global de 32 bits por cada cuatro ncleos de procesador de
servidor de buzones de Exchange 2007. Aunque otras funciones del servidor
influyan en el nmero de ncleos de procesador requerido, los servidores de
buzones que se implementen influyen en la implementacin de cada una de las
otras funciones, de forma que ser suficiente con basar el nmero de ncleos de
procesador en los ncleos de procesador de servidor de buzones.
Por motivos de seguridad y rendimiento, se recomienda instalar Exchange 2007
slo en servidores miembro y no en servidores de directorio de Active Directory.
Aunque se admite la instalacin de Exchange 2007 en un servidor de directorio, no
se recomienda. Sin embargo, no puede ejecutar DCPromo en un equipo que
ejecuta Exchange 2007. Una vez instalado Exchange 2007, no se permite cambiar
su funcin de servidor miembro a servidor de directorio o viceversa.
INSTALACIN DE EXCHANGE 2007:
Se recomienda que la instalacin sea en un Servidor miembro, y no en el
controlador de dominio, pero para usos didcticos se puede instalar en el
controlador.
El procedimiento de instalacin se detallar en los pasos siguientes:
Primero debemos verificar si el hardware y software de nuestro equipo cumple con
al menos, los requisitos mnimos para la instalacin:

.
206

Se debe instalar el IIS 7.0, adems debemos instalar la compatibilidad con IIS 6.0,
esto lo podemos realizar desde la herramienta administrativa: Administrador del
servidor:
Adems debemos tener instalados:

Net framework 2.0
MMC (Microsoft Management Console)
Microsoft Windows PowerShell
Para la instalacin de Windows PowerShell, accedemos a la ventana de

comandos e ingresamos en la lnea de comandos:
ServerManagerCmd i PowerShell
Debemos instalar tambin la Compresin de contenido dinmico para IIS 7, esto

se hace con el objetivo de usar el ancho de banda de manera ms eficaz. Si se
habilita la compresin dinmica, se hace siempre un uso ms eficaz del ancho
banda, pero si el uso del procesador de su servidor es ya muy alto, la carga de la
CPU impuesta por compresin dinmica puede hacer que su sitio funcione muy
despacio, por consiguiente debe ser evaluado con cuidado.
.
207
Extraeremos los archivos para la instalacin de Exchange 2007, para esto, el

instructor les har entrega de los archivos necesarios.
Una vez que hemos extrado los archivos, ejecutamos el instalador, y luego
veremos la interfaz del asistente de instalacin, el cual nos guiar en forma rpida
y precisa por los diferentes pasos a seguir.
El asistente para la instalacin de Exchange 2007 nos muestra tres etapas bien
definidas:
Plan: Se utiliza para obtener informacin sobre Exchange 2007.
Instalar: En esta etapa, se indican las secuencias a seguir para la correcta
instalacin del programa, y adems para actualizarlo correctamente.
Mejorar: En esta etapa podemos decidir utilizar Microsoft ForeFront Security.

.
208
Si todo lo anterior ha sido tomado en cuenta, hacemos clic en el paso 4 del

asistente para la instalacin del programa Exchange 2007.
El proceso se subdivide en 7 partes:
1. Introduccin.
2. Contrato de licencia.
3. Informe de errores.
4. Tipo de Instalacin.
5. Comprobacin de preparativos.
6. Progreso.
7. Finalizacin.
En la etapa de introduccin nos muestra algunas caractersticas nuevas de este
producto:

.
209

En la siguiente etapa, aceptaremos el contrato de licencia, y es en esta etapa
donde podemos visualizar claramente que versin es la que tenemos.
En la etapa de informes de errores, podremos especificar si deseamos enviarle a
Microsoft informacin sobre errores para recibir a posibles soluciones.
En la etapa de tipo de instalacin debemos especificar entre dos opciones:

Instalacin tpica: En este tipo de instalacin, podremos tener en nuestro servidor,
las siguientes caractersticas:
Funcin de servidor de transporte de concentradores.

Funcin del servidor de Acceso de clientes.
Funcin de servidor de buzones.
Herramientas de administracin de Exchange.
Instalacin personalizada:
Transporte de concentradores.
Acceso de clientes.
Servidor de buzones, con o sin clster.
Funcin de mensajera unificada.

Funcin de transporte perimetral.
Consola de administracin de Exchange.

.
210
En la etapa de tipo de instalacin, nos pedir algunos datos tales como:

Organizacin de Exchange.
Configuracin de cliente: Para casos en que tenga equipos cliente con versiones
de Outlook del 2003 o anteriores.
Luego se mostrar el proceso de verificacin, en la cual se realizan 4

evaluaciones:
Requisitos previos de la organizacin.
Funcin de transporte de concentradores.
Funcin de acceso de cliente.
Funcin de buzn.

.
211
Una vez finalizada esta comprobacin, debemos verificar si se presentaron errores

o advertencias, en este caso solo se present una advertencia con respecto al
correo desde Internet, y como este servidor ser utilizado dentro de la red interna,
pasamos por alto esa advertencia.
Luego pasaremos a la etapa de progreso de la instalacin, en la cual, notaremos 6

elementos:
1. Preparacin de la organizacin.
2. Copiar archivos de Exchange.
3. Herramientas de administracin.
4. Funcin de transporte de concentradores.
5. Funcin de acceso de cliente.
6. Funcin de buzn.

.
212
Una vez completado el progreso de la instalacin, podremos finalizar la

instalacin, no sin antes verificar que no se den mensajes de errores o
advertencias, y en el caso que se presenten, debemos solucionarlos rpidamente
para terminar con la instalacin de forma satisfactoria. Al finalizar, pedir reiniciar
el sistema.
Luego de reiniciar el sistema, podremos acceder a la consola de administracin de

Exchange 2007, que nos permitir realizar las tareas administrativas en forma
rpida y eficiente:

.
213
CREACIN DE BUZONES DE USUARIOS:

Para crear los buzones de los usuarios, debemos seguir el procedimiento que a
continuacin se detalla:
En el Active Directory, se debern crear los usuarios inicialmente, luego estos
usuarios deben ser administrados desde la consola de administracin de
Exchange 2007 para la creacin de los buzones respectivos.
Para mantener un orden adecuado, se recomienda crear previamente una unidad
organizativa.
Luego desde la consola de administracin de Exchange 2007, crearemos los

buzones para cada usuario:
Debemos indicar el tipo de buzn que crearemos, en este caso se tratar de un

buzn de usuario:

.
214
Finalmente, escogeremos el usuario deseado desde la interfaz Nuevo buzn,

con lo cual accederemos al Active Directory.
Luego, nos ubicaremos en los equipos clientes, que cuenten con MS Outlook
2007, para crear el perfil para la cuenta de usuario.
Luego, en el equipo cliente:
Utilizacin de las herramientas grficas de administracin:

.
215

Existen varias herramientas para administrar Exchange 2007. Las grficas son las
que se utilizar con ms frecuencia. Exchange server y Forefront Security
disponen de diferentes consolas de administracin.
Gestin de usuarios mviles:

Se activa va https://172.31.0.49/owa
Activacin y desactivacin del acceso Web para ciertos usuarios:

De manera predeterminada Exchange server 2007 activa Outlook Web Access
para todos los usuarios. Si es necesario puede impedir que algunos de ellos lo
utilicen. Para ello, siga estos pasos:
Ubquese en la consola de administracin de Exchange, expanda la rama
Configuracin de destinatarios y haga clic en Buzn.
Deber ver la lista de usuarios de la organizacin que disponen de buzn. Haga
doble clic sobre el usuario que quiera modificar para abrir el cuadro de dialogo
Propiedades correspondiente.

.
216

Las caractersticas de conexin al buzn aparecen en la ficha: Caractersticas de
buzn, simplemente nos ubicaremos en la caracterstica Outlook Web Access y
escogemos la opcin deshabilitar.
Fundamentos de acceso inalmbrico y mediante dispositivos mviles:

Es posible acceder a Exchange Server 2007 a travs de una gran variedad de
dispositivos mviles, como telfonos con capacidades WEB o dispositivos
equipados con Windows Mobile. Exchange Server 2007 utiliza Exchange
ActiveSync para proporcionar esta funcionalidad.
Exchange ActiveSync se configura automticamente durante la instalacin de
Exchange Server 2007.
El acceso inalmbrico permite que los usuarios accedan al correo electrnico, el
calendario, los contactos y las tareas de Exchange a travs del cliente web
incluido en sus dispositivos mviles. Para acceder a Exchange, estos usuarios
deben contratar un servicio de acceso a Internet a su empresa de telefona mvil y
entonces acceder a travs de una URL, tal como:
https://exchange.senati.edu.pe/Microsoft-Server-ActiveSync.
Este acceso inalmbrico solo se permite a:
Dispositivos HTML, como Pocket PC 2002.
Dispositivos XHTML (Extensible Hypertext Markup Language), como telfonos que
utilicen WAP (protocolo de aplicaciones inalmbricas) 2.0 o posterior.
Dispositivos CHTML (compact Hypertext Markup Language),como telfonos
mviles que utilicen iMode.
Adems, el dispositivo inalmbrico debe funcionar con una operadora de telefona
mvil cuya red permita la utilizacin de GSM (sistema global para comunicaciones
mviles), GPRS(Servicio general de radio por paquetes) o CDMA(Acceso mltiple
por divisin de cdigo).
Configuracin del acceso a travs de dispositivos mviles y de redes inalmbricas:

.
217
UTILIZACIN Y GESTIN DE LOS SERVICIOS DE EXCHANGE

SERVER:
Cada uno de los servidores Exchange de la organizacin se apoya sobre una serie
de servicios para el enrutamiento de mensajes, el procesamiento de
transacciones, la replicacin de datos y otros ms
Para gestionar los servicios de Exchange puede utilizar el nodo servicios y
aplicaciones de la consola de administracin de equipos, que puede ejecutar as:
Haga clic en inicio, despus en Todos los programas a continuacin en
herramientas administrativas y, para terminar, en Administracin de equipos.
Expanda el nodo Servicios y aplicaciones y a continuacin el nodo servicios.
Desde esta opcin, U.D. puede iniciar, detener y pausar los servicios de Exchange
Server cuando sea necesario:

.
218

Configurar la recuperacin del servicio:
Puede configurar los servicios de Windows para que realicen ciertas acciones
cuando fallen. Por ejemplo, podran intentar reiniciarse a s mismos o reiniciar el
servidor. Siga estos pasos para configurar las opciones de recuperacin de un
servicio:
Conecte mediante la consola de administracin de equipos con el servidor
Exchange cuyos servicios quiera administrar.
Expanda el nodo Servicios y aplicaciones y, a continuacin, el nodo Servicios.
Haga clic en el botn derecho sobre el servicio que quiera configurar y seleccione
Propiedades.
Utilizar la ficha recuperacin, para hacer las configuraciones deseadas.
ADMINISTRACIN DE BUZONES:
Exchange Server 2007 facilita la creacin de varias clases de buzones especiales,
entre ellos:
Buzn de sala: Permitir gestionar la reserva de salas.
Buzn de equipamiento: Permite gestionar la reserva de equipo.
Buzn vinculado: Buzn para aquellos usuarios de un bosque diferente en el que
se confa.
Buzn reenviado. Puede recibir mensajes y reenviarlos al exterior.
Buzones de sala y equipamiento:
Los buzones de sala nos sern tiles para coordinar la utilizacin de salas para
conferencias, clases u otros propsitos.

.
219

Los buzones de equipamiento son tiles para coordinar la utilizacin de
proyectores, equipos de video conferencia u otros recursos.
Creacin de buzones de sala y de equipamiento:
Para esto nos dirigiremos al asistente para la creacin de un nuevo buzn, y
escogeremos la opcin deseada:
En la siguiente fase del asistente, debemos escoger Nuevo Usuario, con el fin de
poder luego hacerle seguimiento a este nuevo buzn especial:
Debemos, ahora, ingresar los datos sobre la cuenta, adems, se recomienda que
la sala debe ser creada en una Unidad Organizativa, diferente a Users.

.
220
Luego, continuamos con los siguientes pasos en el asistente hasta finalizar la

creacin de este nuevo buzn especial.
Para el caso de un buzn de equipamiento, es muy parecido, solo debemos
escoger en el asistente, el tipo de buzn deseado.

.
221

.
222
TAREA 7: INSTALAR Y CONFIGURAR UN PROXY

Las organizaciones hacen uso de internet, el control del acceso a internet es
realizado mediante un servidor proxy. En esta tarea se desarrollan las siguientes
operaciones:
Instalar el servicio PROXY.
Configurar el servicio PROXY.


Software ISA Server 2006 SP1 versin de evaluacin.
Orden de Ejecucin:
1. Instalar el servicio PROXY.
2. Configurar el servicio PROXY.
Operacin 1: Instalar el servicio PROXY
ESQUEMA DE CONEXIN FSICA:
PREPARACIN DEL SERVIDOR FIREWALL:

1. Verificar el modo de trabajo de la tarjeta de red para la red pblica.
Iniciar la mquina virtual de Windows 2003.
Verificar que tenga configurada la tarjeta de red.
Esta tarjeta representara el acceso a la red pblica.
Verificar el acceso a la red pblica.
Asignar contrasea de administrador
Cambiar el nombre del equipo
2. Copiar el archivo de instalacin de ISA Server 2006 SP1 Enterprise Edition
.
223

(Versin de evaluacin)
3. Instalar una segunda tarjeta de red (virtual) para la red privada.
Apagar la mquina virtual de Windows 2003.
Seleccionar Configuracin.
Instalar una segunda tarjeta de red en el Computador Virtual.
Esta tarjeta representa el acceso a la red privada.
4. Configurar el protocolo TCP/IP para cada una de las tarjetas de red del Firewall
en Windows 2003. Colocar los siguientes valores:
Parmetro de Red
NIC Privada
NIC Pblica
Direccin IP
192.168.X.1
172.16.3.X
Mascara de Sub Red
255.255.255.0
255.255.254.0
Puerta de Enlace
No es necesario
172.16.16.1
Servidor DNS
No es necesario
200.48.0.37
PREPARACION DE LA COMPUTADORA CLIENTE:

5. Configurar la tarjeta de red para que pertenezca la misma red que la red
privada.
Iniciar una mquina virtual de Windows 7.
Verificar que tenga configurada la tarjeta de red.
Colocar los valores correspondientes a la red privada.
Direccin IP
192.168.X.2
Mascara de Red
255.255.255.0
Puerta de enlace No es necesario

No es necesario
Servidor DNS
Comprobar la conectividad de la computadora cliente con la tarjeta del
Firewall de la red privada.
INSTALACIN DE LOS SERVICIOS ISA SERVER 2006:
6. Iniciar una sesin como Administrador en su servidor de Windows 2003.
7. Ejecutar el programa de instalacin de ISA Server 2006.
8. Clic en el botn SI. Se observar una ventana donde se realizara el proceso
de descompresin del archivo.
9. Clic en el vnculo Instalar ISA Server 2006, en la ventana del Programa de
Instalacin. Proceda a la Instalacin:
Hacer clic en el botn Siguiente, en la ventana Asistente para la instalacin
.
224
de Microsoft ISA Server2006.

Aceptar los trminos de licencia y hacer clic en el botn Siguiente.
En la pgina Informacin del Cliente, aceptar los valores llenados y haga
clic en el botn siguiente. Notar que el nmero de serie del producto se ha
generado automticamente.
En escenario de instalacin verificar que este marcada la opcin Instalar
servicios del servidor ISA, luego hacer clic en siguiente.
En seleccin de componentes activar todas las opciones para instalar, hacer
clic en siguiente
En opciones de instalacin de empresa seleccionar Crear una nueva
empresa del servidor ISA
En la pantalla de advertencia, hacer clic en siguiente
Configurar la Red Interna:
En la pantalla red Interna, clic en el botn Agregar.
Hacer clic en Agregar adaptador.
En Seleccionar Adaptadores de Red. seleccionar el adaptador de la red
privada, clic en aceptar.
En la ventana Direcciones, donde se muestra los intervalos de
direcciones de la red interna, Verificar que el rango de direcciones
corresponde a los de la red interna. Hacer clic en el botn Aceptar.
Hacer clic en el botn siguiente

En la pantalla Conexiones de cliente Firewall, hacer clic en el botn
siguiente. Es recomendable trabajar con versiones ms actuales de clientes
firewall
En la pantalla Advertencia de servicios, hacer clic en siguiente
En la pantalla Listo para instalar el programa, hacer clic en el botn Instalar.
En la pantalla Finalizacin del Asistente para la instalacin, hacer clic en el
botn Finalizar.
Reiniciar la computadora.
Operacin 2: Configura el servicio PROXY.

PROPORCIONAR ACCESO A INTERNET A LA RED INTERNA:
10. Acceder al Administrador del Servidor ISA.
Clic en Todos los Programas.
Clic en Microsoft ISA Server.
Clic en Administrador del Servidor ISA.

.
225

11. Comprobar la configuracin de las reglas de red predeterminadas, que
permita la relacin entre la red interna y externa.
Expandir el nodo Matrices hasta ubicar la opcin Redes, despus hacer clic
en Redes.
En la ficha Reglas de red, hacer doble clic en la regla Acceso a Internet
para que se muestre El cuadro de dilogo Propiedades de acceso a
Internet.
En la ficha Redes de origen, comprobar que aparece Interna.
En la ficha Redes de destino, comprobar que aparece Externa.
En la ficha Relacin de redes, verificar que este marcada la opcin
Traduccin de direcciones de red (NAT).
Hacer clic en Aceptar.
12. Configurar una regla que permita el acceso de los clientes internos a Internet.
Hacer clic en Directiva de firewall. En el panel de tareas, seleccionar la
ficha Tareas y hacer clic en Crear nueva regla de acceso para iniciar el
Asistente para nueva regla de acceso.
En la pgina inicial del asistente, escribir el nombre de la regla. Permitir
a los clientes internos acceso a Internet. A continuacin, hacer clic en
Siguiente.
En la pgina Accin de la regla, seleccionar Permitir y despus hacer
clic en Siguiente.
En la pgina Protocolos, en Esta se regla se aplica a, seleccionar
Protocolos seleccionados y, a continuacin, hacer clic en Agregar.
En el cuadro de dilogo Agregar protocolos, expandir Protocolos
comunes. Hacer clic en HTTP, en Agregar, en HTTPS, en Agregar y,
finalmente, hacer clic en Cerrar. A continuacin, hacer clic en Siguiente.
En la pgina Orgenes de regla de acceso, hacer clic en Agregar.
En el cuadro de dilogo Agregar entidades de red, hacer clic en Redes
y, a continuacin, seleccionar Interna. Hacer clic en Agregar y, a
continuacin, en Cerrar. A continuacin, hacer clic en Siguiente.
En la pgina Destinos de regla de acceso, hacer clic en Agregar.
En el cuadro de dilogo Agregar entidades de red, hacer clic en Redes
y, a continuacin, seleccionar Externa. Hacer clic en Agregar y, a
continuacin, en Cerrar. A continuacin, hacer clic en Siguiente.
En la pgina Conjuntos de usuarios, comprobar que est especificada
la opcin Todos los usuarios. A continuacin, hacer clic en Siguiente.
.
226

Revisar la pgina de resumen y despus hacer clic en Finalizar.
En el panel de detalles, hacer clic en Aplicar para aplicar los cambios
efectuados. Cada vez que realice un cambio deber hacer clic en este
botn.
CONFIGURACION CLIENTE ISA SERVER:
13. Iniciar sesin en el equipo cliente y comprobar el acceso a internet Hay
acceso a internet el equipo cliente? Por qu?
14. Abrir el navegador (Internet Explorer) y realizar la configuracin de la conexin
va proxy.
Del men de opciones seleccionar: Herramientas Opciones de Internet
hoja Conexiones.
Hacer clic en el botn Configuracin LAN.
Habilitar la opcin Usar un servidor proxy para la LAN
En direccin colocar la direccin IP de la red privada (192.168.X.1) del
servidor ISA.
En puerto colocar 8080
Hacer clic en Aceptar
Hacer clic en Aceptar
FUNDAMENTO TERICO:
ISA SERVER 2006 (Microsoft Internet Security and Acceleration):
Es el Gateway integrado de seguridad perimetral que permite proteger su entorno
de TI frente a las amenazas de Internet, adems de proporcionar a los usuarios un
acceso remoto seguro a las aplicaciones y datos corporativos. Permite entre sus
numerosas ventajas:
Publicacin segura de aplicaciones: Publicacin de servidores
Exchange, SharePoint y otros servidores de aplicaciones con mayor
seguridad.

.
227
Gateway para redes de oficinas: Conexin segura y eficiente para redes

remotas. ISA Server 2006 puede utilizarse como Gateway para redes de
oficinas. Permite conectar y proteger los enlaces entre oficinas remotas y
departamentos centrales y optimizar el uso del ancho de banda.
Proteccin del acceso a la Web: La proteccin del acceso a la Web que
proporciona ISA Server 2006 aumenta la seguridad a los entornos de IT
corporativos frente a amenazas internas y externas basadas en Internet.
Tiene las funciones combinadas de firewall, VPN y cach Web.
La ltima versin del Gateway integrado de seguridad perimetral destaca los
siguientes avances significativos:
Un comprensivo set de herramientas para la publicacin de Microsoft

Exchange Server y Microsoft SharePoint Server
Extensiones al sistema operativo Windows Server 2003 R2 para optimizar

la seguridad y conectividad entre oficinas remotas.
ISA Server 2006 est especialmente optimizado para las oficinas remotas.
Ahora, implementando este tipo de mejoras los clientes pueden:
Reducir los costos mediante la disminucin del consumo de ancho de

banda provisto por el cache y las tecnologas de vlvula reguladora de
datos.
Incremente la productividad mediante la optimizacin de las operaciones

entre oficinas remotas.
Extienda y simplifique la administracin de seguridad desde la oficina principal
hacia el resto de las oficinas remotas.

.
228

Estas capacidades otorgan poderes al cliente para que extraiga un uso ms alto
de su centro de datos e recursos de IT.
Con estas caractersticas agregadas, ISA Server 2006 se mantiene como la
opcin preferida como Gateway de seguridad perimetral.
Ayudando a proteger los entornos de IT de amenazas desde internet mientras que
permite a los usuarios ser ms productivos con un acceso ms rpido y seguro a
las aplicaciones.
Licencias del producto:
Licencias de entorno
en produccin
Descripcin
ISA Server 2006 Ed. ISA Server 2006 es el gateway integrado para la
Estndar
seguridad prerimetral que le ayuda a proteger su entorno
de TI frente a amenazas procedentes de Internet,
haciendo posible adems que sus usuarios accedan en
remoto a sus aplicaciones y datos de forma rpida y
segura
ISA Server 2006 Ed. ISA Server 2006 Ed. Enterprise est diseado para
Enterprise
grandes organizaciones que necesitan opciones de
implantacin flexibles con los mximos niveles de
disponibilidad, capacidad de gestin y escalabilidad.
ISA Server 2006 Ed. El paquete de 25 procesadores de ISA Server 2006 Ed.
Enterprise - paquete Enterprise se ofrece con un descuento del 50% sobre el
de 25 procesadores precio base para aquellos clientes que necesitan ISA
Server en escenarios de implantacin de ISA Server de
grandes dimensiones, como redes de sucursales.
LICENCIAS DE PRODUCTO DESCRIPCIN

Requisitos previos a la instalacin de ISA server 2006:
Procesador: PC con 733-MHz Pentium III o superior

Sistema Operativo: Windows Server 2003 operating system con Service
Pack 1 o Windows Server 2003 R2
Memoria: 512 MB de RAM o superior es recomendado.

.
229
Disco Rgido: particin local formateada con NTFS con 150 MB de espacio
disponible en disco; se requerir espacio adicional para utilizar la
funcionalidad de Web cache.
Adaptador de red para la conexin a la red interna. Otro adaptador de red

adicional, modem o adaptador RDSI para cada una de las redes a las que
se conecta el equipo.
Otra tarjeta de red adicional para comunicaciones internas si el servidor

pertenece a un array con balanceo de carga (NLB) de ISA Server 2006
Enterprise Edition.
Isa server como firewall:

Como sabemos, un firewall es una herramienta que protege los datos que estn
detrs de l, mediante el filtrado de los flujos de datos en una red. Esta
herramienta puede ser una solucin de hardware, software o una combinacin de
ambas.
Las razones por las cuales se utiliza el firewall, suelen ser:
Conexin con redes exteriores.

Conexiones Remotas.
Proteccin de secciones sensibles de la red.
ISA SERVER EN LAS CONEXIONES VPN:

Isa Server 2006 proporciona tres mtodos para establecer una conexin VPN de
sitio a sitio:
Mtodo de tnel IPSec (Seguridad del protocolo Internet).

Protocolo de tnel de capa 2 (L2TP) a travs de IPSec.
Protocolo de tnel punto a punto (PPTP).
OPTIMIZACIN DE LAS APLICACIONES WEB Y EL ACCESO A

INTERNET:
Con ISA Server 2006, se tiene la posibilidad de controlar y aplicar fcilmente
directivas de acceso a servicios en Internet destinadas a grupos de usuarios,
adems de protegerles del trfico peligroso de Internet.
El filtrado HTTP avanzado puede impedir el uso de las aplicaciones comunes de
mensajera instantnea y de elementos del mismo nivel. El filtrado del trfico en
ISA Server 2006 tambin frustra muchas formas comunes de ataque al impedir el
acceso desde el exterior a los clientes externos.
Instalacin del Servidor de seguridad:

.
230

Para el proceso de instalacin, seguiremos los pasos que a continuacin se
detallan:
1. Insertamos el cd de instalacin y ejecutamos el programa de instalacin.
2. Se activar el asistente para la instalacin, debemos escoger Instalar ISA
Server 2006 SP1
3. Se muestra un cuadro de dialogo, dando la bienvenida al proceso de

instalacin.
4. Se nos pedir aceptar los trminos de licencia, luego hacemos clic en
siguiente.
5. Colocamos el usuario, la organizacin y el serial del producto.
6. El asistente nos pedir indicar el tipo de instalacin que realizaremos:

.
231
7. Ahora escogeremos los componentes que necesitamos instalar, en este

caso escogeremos los tres componentes:
8. Especificamos luego, que vamos a instalar la nueva empresa del servidor

ISA.
9. Luego visualizaremos una advertencia con respecto a que nuestro servidor
ser uno de almacenamiento de configuracin.
10. Ahora, debemos indicar el usuario con el cual se iniciar el servicio del
servidor de almacenamiento de configuracin.
11. Ahora, debemos especificar los rangos de IPs incluidos en la red:

.
232
12. Ahora debemos especificar con que clientes firewall trabajaremos en la red,
es recomendable trabajar con las versiones ms actuales de clientes
firewall:
13. Luego, nos darn una relacin de los servicios que se reiniciarn en el
proceso de instalacin.
14. A partir de este momento se inicia la instalacin de las diferentes
caractersticas de ISA Server 2006.

.
233
15. Luego que finaliza la instalacin, el asistente nos mostrar un cuadro de

dialogo indicndonos si todo estuvo correcto, y simplemente hacemos clic
en Finalizar:
OBSERVACIN: El ISA 2006 no se instala sobre Windows 2008 Server, para

esto ya ha salido una nueva suite de aplicaciones de Microsoft. El que hara
las veces de ISA Server es el Forefront Thread Management Gateway que
es la nueva generacin de ISA Server.
REGLAS EN ISA SERVER:
Las reglas de acceso determinan la forma en que los clientes de una red de origen
tienen acceso a los recursos de una red de destino.
El servidor ISA incluye una lista de protocolos bien conocidos, incluyendo los
protocolos de Internet ms frecuentes. Igualmente se pueden agregar o modificar
protocolos adicionales.
.
234

Existen bsicamente, cinco elementos en una regla:
Protocolos: Contiene los protocolos utilizados para limitar la capacidad de

las reglas de acceso.
Usuarios: Permite crear un conjunto de usuarios a los cuales puedes aplicar

o excluir una regla.
Tipos de contenido: Ofrece tipos de contenido comunes a los que es

posible aplicar una regla.
Programaciones: Este elemento de regla permite indicar las horas de la
semana durante las que se aplicar la regla.
Objetos de red: Permite crear conjuntos de equipos o de direcciones IPs a

los que se les puede aplicar o excluir una regla.
Controlar el acceso a Internet:
Para controlar el acceso a Internet, el
servidor ISA debe actuar como puerta
de enlace predeterminada a Internet
para la red que se est utilizando.
Se deben agregar reglas que permitan
a ciertos equipos, realizar consultas
DNS y utilizar los protocolos:
HTTP.
FTP
HTTPS
Sigamos los pasos que a continuacin se detallan:
Creamos una nueva regla de acceso, desde la consola de administracin de ISA
Server 2006:
Colocamos un nombre a nuestra nueva regla, la cual consistir en permitir que los
equipos cliente (aqu tambin se puede especificar que equipos y usuarios podrn
utilizar la regla) puedan realizar consultas DNS.

.
235
La regla nueva debe permitir:
Agregamos el protocolo adecuado, en este caso escogeremos DNS:
Ahora especificaremos que equipos podrn acceder a esta regla, si escogamos

toda la red interna podra ser un poco inadecuado

.
236
Podemos indicar las PCs que utilizarn la regla de acceso, en forma detallada:
Ahora debemos especificar el destino de esta regla, la cual ser la red externa, en
este caso Internet.

.
237

Luego especificaremos el conjunto de usuarios que podrn utilizar esta regla de
acceso.
Finalmente aplicaremos la regla creada:
Ahora debemos crear una regla para que se pueda utilizar los protocolos: HTTP,
HTTPS y FTP desde la red Interna hacia la red Externa:
Finalmente debemos activar la nueva regla.

.
238
TAREA 8: INSTALAR Y CONFIGURAR SERVICIOS DE ARCHIVOS

Las tareas ms empleadas en las organizaciones, a nivel de red es el de compartir
informacin. El servicio de archivos del sistema operativo Windows server 2008
permite compartir archivos empleando protocolos diferentes. En esta tarea se
desarrollan las siguientes operaciones:
Instalar el servicio de archivos.
Configurar el servicio de archivos.


Orden de Ejecucin:
1. Instalar el servicio de archivos.
2. Configurar el servicio de archivos.
Operacin 1: Instalar el servicio de archivos.
Se realiza la instalacin del servicio de archivos, que permite compartir archivos
empleando protocolos adicionales a SMB que viene de manera predeterminada
como por ejemplo NFS (aplicable a equipos bajo la plataforma Unix).
1. Ingresar a la herramienta administrador del servidor y agregar la funcin
servicios de archivos.
2. En el proceso de instalacin seleccionar los servicios de funcin que se

empleara, dependiendo del protocolo empleado por los sistema operativos
diferentes a Windows server 2008.
.
239
Operacin 2: Configura el servicio de archivos.

Se realiza la configuracin del servicio de archivos, el procedimiento para
compartir archivos es el sistema Windows server 2008 es idntico al de los
sistemas operativos Windows vista o Windows 7; cabe indicar que en Windows
server 2008 se cuenta adems con la herramienta
Administracion de
almacenamiento y recursos compartidos.
COMPARTIR DESDE LA CARPETA PUBLICA
1. Procedimiento para compartir:
Abrir la biblioteca Documentos, hacer clic en el botn Inicio y, a
continuacin, hacer clic en Documentos.
En el panel izquierdo, en Bibliotecas, hacer clic en la flecha que se
encuentra junto a una de las bibliotecas (Documentos, Msica, Imgenes o
Vdeos).
Se ver una carpeta pblica para cada biblioteca.
Copiar o mover la informacin que se desea compartir en una de las
carpetas pblicas.
2. Acceder a la carpeta pblica:

Se accede como si se tratara de cualquier carpeta compartida en la red. Para ello
se puede proceder del modo siguiente:
.
240

Desde el comando ejecutar acceder por nombre del equipo o por su
direccin IP.
Al acceder se mostraran los recursos compartidos por el equipo, la
carpeta publica se encuentra dentro de Users/Acceso pblico.
El acceso a la carpeta pblica depender de la ubicacin de red que se

est utilizando, pero en cualquier ubicacin de red en la que se
encuentre.
Si no se puede acceder, debe revisar las configuraciones (en la utilidad Cambiar
configuracin de uso compartido avanzado) siguientes: Deteccin de redes,
Compartir archivos e impresoras, Uso compartido de la carpeta pblica.
Adems es posible que revise las siguientes opciones: Conexiones de
uso compartido de archivos, Uso compartido con proteccin por
contrasea.
COMPARTIR DESDE CUALQUIER UBICACIN

1. Para compartir archivos y carpetas en un grupo de trabajo o un dominio:
Hacer clic con el botn secundario en el elemento que desea compartir,
seleccionar Compartir con y luego hacer clic en Usuarios especficos.
En el asistente para Uso compartido de archivos, hacer clic en la flecha
que se encuentra junto al cuadro de texto, hacer clic en un nombre de la
lista y a continuacin, hacer clic en Agregar.
Sugerencia

.
241

Si se conoce el nombre de la
persona con la cual se desea
compartir
el
elemento,
simplemente escribir el nombre
en el asistente para Uso
compartido de archivos y hacer
clic en Agregar.
o En la columna Nivel de permiso,
seleccionar una de las siguientes opciones:
Lectura. Los destinatarios pueden abrir pero no as modificar o
eliminar el archivo.
Lectura y escritura. Los destinatarios pueden abrir, modificar o
eliminar el archivo.
Cuando se haya terminado de agregar personas, hacer clic en Compartir.
Si se le solicita una contrasea de administrador o una confirmacin,
escriba la contrasea o proporcionar la confirmacin.
Despus de recibir la confirmacin de que el elemento se comparte, debe
informar a las personas con las que ha compartido cmo obtener acceso a
dicho elemento. Realizar una de estas acciones:
Si tiene instalado un programa de correo electrnico, hacer clic en correo
electrnico para enviar un vnculo a sus archivos compartidos.
Hacer clic en Copiar para copiar automticamente el vnculo que se
muestra en el Portapapeles de Windows. Luego se puede pegar en un
correo electrnico, un mensaje instantneo u otro programa.
Cuando se haya finalizado, hacer clic en Listo.
Para dejar de compartir un archivo o una carpeta
Hacer clic con el botn secundario en el elemento que desea dejar de
compartir, seleccione Compartir con y luego haga clic en Nadie.
Para obtener acceso a archivos, carpetas
o bibliotecas compartidas en otros
equipos del grupo en el hogar:
Hacer clic en el botn Inicio y luego
seleccionar su nombre de usuario.
En el panel de navegacin (el panel
izquierdo), hacer clic en la cuenta de
o
2.
3.

.
242

usuario perteneciente al usuario a cuyos archivos desea obtener acceso
debajo de Grupo en el hogar.
En la lista de archivos, hacer doble clic en la biblioteca a la cual desea
obtener acceso y luego hacer doble clic en el elemento que desee.
6. Para compartir mediante el Uso compartido avanzado
Hacer clic con el botn secundario en una unidad o en una carpeta, hacer
clic en Compartir con y luego en Uso compartido avanzado.
En el cuadro de dilogo que aparece, hacer clic en Uso compartido
avanzado. Si se le solicita una contrasea de administrador o una
confirmacin, escribir la contrasea o proporcione la confirmacin.
En el cuadro de dilogo Uso compartido avanzado, active la casilla
Compartir esta carpeta.
Para especificar usuarios o cambiar permisos, haga clic en Permisos.
Hacer clic en Agregar o Quitar para agregar o quitar usuarios o grupos.
Seleccionar cada usuario o grupo, activar las casillas correspondientes a
los permisos que desea asignar para ese usuario o grupo y luego hacer clic
en Aceptar.
Cuando haya finalizado, hacer clic en Aceptar.
FUNDAMENTO TERICO:
SERVICIOS DE ARCHIVO
Un servidor de archivos proporciona una ubicacin central en la red, en la que
puede almacenar archivos y compartirlos con usuarios a travs de la red. Cuando
los usuarios necesiten un archivo importante al que vayan a tener acceso muchos
usuarios, como un plan de proyecto, podrn tener acceso al archivo del servidor
de archivos de forma remota, en lugar de tener que pasarlo entre distintos
equipos. La funcin Servicios de archivo incluye los siguientes servicios de
funcin:
Administracin de almacenamiento y recursos compartidos
Sistema de archivos distribuido (DFS)
Administrador de recursos del servidor de archivos (FSRM)
Servicios para Network File System (NFS)
Servicio Bsqueda de Windows
Servicios de archivo de Windows Server 2003

.
243

Adems de los servicios de funcin enumerados, tambin puede desear instalar
las siguientes caractersticas opcionales:
Copias de seguridad de Windows Server
Administrador de almacenamiento para redes SAN
Clster de conmutacin por error
E/S de mltiples rutas
Servicios de funcin en la funcin Servicios de archivo
Administracin de almacenamiento y recursos compartidos:

La consola Administracin de almacenamiento y recursos compartidos
proporciona una administracin integrada y simplificada de las carpetas
compartidas y los recursos de almacenamiento. Puede usar Administracin de
almacenamiento y recursos compartidos para compartir el contenido de carpetas y
administrar el uso de carpetas compartidas.
Tambin puede usar Administracin de almacenamiento y recursos compartidos
para crear y configurar nmeros de unidad lgica (LUN) para asignar espacio en
los subsistemas de almacenamiento de su red de rea de almacenamiento (SAN).
Si los usuarios de la red van a necesitar tener acceso a los mismos archivos y
aplicaciones, o bien si la administracin de archivos y copias de seguridad
centralizada es importante para su organizacin, debe configurar este equipo
como un servidor de archivos agregando la funcin Servicios de archivo.
Sistema de archivos distribuido (DFS):
El Sistema de archivos distribuido est formado por dos tecnologas que pueden
usarse juntas o de forma independiente para proporcionar servicios de replicacin
y uso compartido de archivos flexibles y con tolerancia a errores en una red
basada en Windows.
Espacios de nombres DFS:
Los espacios de nombres DFS permiten agrupar carpetas compartidas situadas en
distintos servidores en uno o ms espacios de nombres estructurados
lgicamente. Los usuarios ven cada espacio de nombres como una sola carpeta
compartida con una serie de subcarpetas. Sin embargo, la estructura subyacente
del espacio de nombres puede estar formada por numerosas carpetas

.
244

compartidas ubicadas en distintos servidores y en mltiples sitios. Puesto que la
estructura subyacente de carpetas compartidas est oculta para los usuarios, una
sola carpeta en un espacio de nombres DFS puede corresponder a varias
carpetas compartidas en varios servidores. Esta estructura proporciona tolerancia
a errores y la posibilidad de conectar automticamente usuarios a carpetas
compartidas locales, cuando estn disponibles, en lugar de enrutarlas a travs de
conexiones de red de rea extensa (WAN).
Replicacin DFS:
La replicacin DFS es un motor de replicacin con varios maestros que permite
sincronizar carpetas en varios servidores a travs de conexiones de red de rea
local o extensa (WAN). Usa el protocolo Compresin diferencial remota (RDC)
para actualizar slo las partes de los archivos que han cambiado desde la ltima
replicacin. Se puede usar la replicacin DFS junto con los espacios de nombres
DFS o sola.
Administrador de recursos del servidor de archivos (FSRM):
El Administrador de recursos del servidor de archivos incluye varias herramientas
que permiten a los administradores entender, controlar y administrar la cantidad y
el tipo de datos almacenados en los servidores. Los administradores pueden
usarlo para asignar cuotas a carpetas y volmenes, realizar un filtrado activo de
los archivos y generar informes de almacenamiento exhaustivos.
Servicios para Network File System (NFS):
Servicios para Network file Sytem (NFS) proporciona una solucin para compartir
archivos para aquellas empresas que usen un entorno mixto de Windows y UNIX.
Con Servicios para NFS, se pueden transferir archivos entre equipos en los que se
ejecutan los sistemas operativos Windows
Servicio Bsqueda de Windows:
El Servicio Bsqueda de Windows permite realizar bsquedas de archivos rpidas
en un servidor desde equipos clientes compatibles con Bsqueda de Windows.
Nota: No se pueden instalar el servicio Bsqueda de Windows y los Servicios de
Index Server en el mismo equipo.
Servicios de archivo de Windows Server 2003:

.
245

La funcin Servicios de archivo en Windows Server 2008 incluye los siguientes
servicios de funcin compatibles con Windows Server 2003.
Servicio de replicacin de archivos (FRS)
El Servicio de replicacin de archivos (FRS) permite sincronizar carpetas con
servidores de archivos que usan FRS en lugar del servicio Replicacin DFS, ms
reciente. Para habilitar un servidor para que sincronice carpetas con servidores
que usan FRS (con las implementaciones del Sistema de archivos distribuido de
Windows Server 2003 o Windows 2000), instale el servicio de replicacin de
archivos. Para habilitar la tecnologa de replicacin ms reciente y eficaz, instale la
Replicacin DFS.
Servicios de Index Server
Servicios de Index Server cataloga el contenido y las propiedades de los archivos
en equipos remotos y locales. Tambin permite localizar rpidamente archivos
mediante un lenguaje de consulta flexible.
Nota: No se pueden instalar los Servicios de Index Server y el Servicio Bsqueda
de Windows en el mismo equipo.
CARACTERSTICAS OPCIONALES
Tiene la opcin de instalar caractersticas adicionales para complementar los
servicios de funcin en la funcin Servicios de archivo, incluidas las siguientes
caractersticas.
Copias de seguridad de Windows Server:
Copias de seguridad de Windows Server permite realizar copias de seguridad y
recuperar el sistema operativo, algunas aplicaciones y archivos y carpetas
almacenados en el servidor de forma confiable. Esta caracterstica introduce una
nueva tecnologa de copias de seguridad y recuperacin y reemplaza a la anterior
caracterstica de copia de seguridad disponible en versiones anteriores de
Windows.
Administrador de almacenamiento para redes SAN:
El Administrador de almacenamiento para redes SAN le permite aprovisionar
almacenamiento en uno o varios subsistemas de almacenamiento iSCSI o de
canal de fibra en una red de rea de almacenamiento (SAN).

.
246

Para obtener ms informacin, consulte la Ayuda del Administrador de
almacenamiento para redes SAN. Se puede ver el contenido de la Ayuda local si
se escribe el siguiente comando en un smbolo del sistema: hh sanmgr.chm.
Clster de conmutacin por error:
La caracterstica Clster de conmutacin por error permite que varios servidores
funcionen conjuntamente para aumentar la disponibilidad de servicios y
aplicaciones. Los servidores agrupados (denominados nodos) estn conectados
mediante cables fsicos y mediante software. Si se produce un error en uno de los
nodos, otro comienza a dar servicio mediante un proceso que se denomina
conmutacin por error.
E/S de mltiples rutas:
E/S de mltiples rutas permite el uso de mltiples rutas de datos desde un servidor
de archivos a un dispositivo de almacenamiento. Mediante E/S de mltiples rutas,
puede aumentar la disponibilidad de los datos al proporcionar conexiones
redundantes para subsistemas de almacenamiento. Las mltiples rutas tambin
proporcionan un equilibrio de la carga del trfico de E/S, lo que mejora el
rendimiento del sistema y las aplicaciones.
Aspectos fundamentales del uso compartido de archivos
Puede compartir archivos y carpetas de diferentes maneras. La manera ms
habitual de compartir archivos en Windows es compartirlos directamente desde el
equipo. Windows proporciona dos mtodos para compartir archivos de esta
manera: puede compartir archivos desde cualquier carpeta del equipo o desde la
carpeta pblica. El mtodo que use depende de si desea almacenar las carpetas
compartidas, con quin desea compartirlas y cunto control desea tener sobre los
archivos. Cualquier mtodo le permite compartir archivos o carpetas con alguien
que use el equipo u otro equipo en la misma red. Si se busca maneras adicionales
de compartir archivos, tambin se indican otros mtodos que se puede utilizar.
Compartir archivos desde cualquier carpeta del equipo
Con este mtodo de compartir archivos, puede decidir quin podr realizar
cambios a los archivos que comparte y qu tipo de cambios (de haber alguno)
pueden realizar en los mismos. Puede hacerlo estableciendo permisos de uso
compartido. Los permisos de uso compartido se pueden conceder a un individuo o
a un grupo de usuarios de la misma red. Por ejemplo, puede permitir a algunas
personas ver nicamente los archivos compartidos y a otras verlos y cambiarlos.

.
247

Las personas con las que comparte podrn ver nicamente dichas carpetas que
ha compartido con ellas.
Tambin puede utilizar este mtodo de compartir como una manera de obtener
acceso a los archivos compartidos cuando utilice otro equipo, puestos que
cualquier archivo que comparte con otras personas tambin est visible para usted
desde otro equipo.
Nota: Si se ha activado la proteccin mediante contrasea en el equipo, la
persona con la que comparta deber tener una cuenta de usuario y una
contrasea en el equipo para poder obtener acceso a los archivos y carpetas
compartidos. Puede activar y desactivar la proteccin mediante contrasea en el
Centro de redes y recursos compartidos.
Compartir archivos desde la carpeta pblica del equipo
Con este mtodo de compartir, copia o mueve
archivos a la carpeta pblica y los comparte
desde dicha ubicacin. Si activa el uso
compartido de archivos para la carpeta pblica,
cualquiera con una cuenta de usuario y una
contrasea en el equipo, as como todos en la
red, podrn ver todos los archivos de la carpeta
pblica y sus subcarpetas. No puede limitar a las
personas a que slo vean algunos archivos de la
carpeta pblica. Sin embargo, puede establecer
permisos que limiten a las personas el acceso a
la carpeta pblica o que les limiten el cambio de
archivos o la creacin de nuevos.
Tambin puede activar el uso compartido
protegido con contrasea. Esto limita el acceso
de red a la carpeta pblica a las personas con una cuenta de usuario y contrasea
en el equipo. De manera predeterminada, el acceso de red a la carpeta pblica
est desactivado a menos que lo habilite.
Qu mtodo de comparticin se va a utilizar
Hay varios factores que se deben tener en cuenta a la hora de decidir si desea
compartir archivos desde cualquier carpeta o desde la carpeta pblica.
Utilice cualquier carpeta para compartir si:

.
248
Prefiere compartir carpetas directamente desde la ubicacin en la que estn

almacenadas (normalmente en las carpetas Documentos, Imgenes o
Msica) y desea evitar almacenarlas en la carpeta pblica.
Desea poder establecer permisos de uso compartido para individuos en

lugar de todos los usuarios de la red, dando a algunas personas un acceso
mayor o menor (o ningn acceso en absoluto).
Comparte muchas imgenes digitales, msica u otros archivos grandes que

seran incmodos de copiar en una carpeta compartida independiente.
Puede que no desee que estos archivos ocupen espacio en dos
ubicaciones diferentes del equipo.
A menudo crea archivos nuevos o actualiza archivos que desea compartir y

no desea molestarse copindolos en la carpeta pblica.
Utilice la carpeta pblica para compartir si:
Prefiere la simplicidad de compartir los archivos y las carpetas desde una

ubicacin nica del equipo.
Desea poder ver rpidamente todo lo que ha compartido con los dems,
con slo mirar en la carpeta pblica.
Desea que todo lo que est compartiendo se mantenga independiente de

sus propias carpetas Documentos, Msica e Imgenes.
Desea establecer permisos de uso compartido para todos los usuarios de la

red y no tiene que establecer permisos de uso compartido para individuos.
Otras maneras de compartir archivos
Hay varias maneras diferentes de compartir archivos que no requiere que
comparta archivos desde carpetas especficas. Tambin puede compartir archivos
empleando:
Una red de equipo a equipo (ad hoc). Si desea compartir archivos entre dos
equipos que no estn ya en la misma red pero que se encuentran en la
misma habitacin, puede crear una red de equipo a equipo, tambin
conocida como red ad hoc. Una red ad hoc es una conexin temporal entre
equipos y dispositivos utilizados para un fin especfico, como compartir
documentos durante una reunin.
Medios extrables. Puede copiar archivos a cualquier clase de medios
extrables, incluyendo disco duros porttiles, CDs, DVDs y tarjetas de
memoria flash. A continuacin, puede insertar o conectar dicho medio a otro
equipo y copiar los archivos a dicho equipo o dar los medios extrables a las

.
249

personas con las que desea compartir los archivos y dejar que copien los
propios archivos.
Correo electrnico. Si slo tiene uno o dos archivos para compartir y no son
muy grandes, puede que piense que es sencillo compartirlos adjuntndolos
a un mensaje de correo electrnico.
rea de encuentro de Windows. Esta caracterstica de Windows le permite

configurar una sesin en la que puede compartir documentos, programas o
su escritorio con otros participantes de sesin.
Programa de uso compartido de archivos compatible con Windows. Hay

muchos programas disponibles diseados para ayudar a las personas a
compartir archivos.
La web. Hay muchos sitios web dedicados a compartir fotografas y otros

tipos de archivos.
Mensajes instantneos. La mayora de los programas de mensajera

instantnea le permiten compartir archivos con personas mientras est
conversando en lnea con ellas.
Establecer permisos para Carpetas compartidas
Los permisos de recurso compartido se aplican a los usuarios que se conectan a
una carpeta compartida a travs de la red. Estos permisos no afectan a los
usuarios que inician sesin localmente o mediante Escritorio remoto.
Para establecer permisos para los usuarios que se conectan localmente o
mediante Escritorio remoto, utilice las opciones de la ficha Seguridad en lugar de
la ficha Permisos de los recursos compartidos. Se establecern permisos en el
nivel del sistema de archivos NTFS. Si se establecen tanto permisos de recurso
compartido como permisos de sistema de archivos para una carpeta compartida,
se aplicarn los permisos ms restrictivos al conectarse a la carpeta compartida.
Por ejemplo, para conceder a los usuarios de un dominio acceso de lectura a una
carpeta compartida, en la ficha Permisos de los recursos compartidos, establezca
permisos a Control total para el grupo Todos. En la ficha Seguridad, especifique
un acceso ms restrictivo estableciendo permisos de acceso de lectura para el
grupo Usuarios del dominio. El resultado es que un usuario que es miembro del
grupo Usuarios del dominio cuenta con acceso de slo lectura a la carpeta
compartida, tanto si el usuario se conecta a travs de un recurso compartido de
red, como si lo hace a travs de Escritorio remoto o si inicia sesin localmente.

.
250

Puede establecer permisos de nivel de sistema de archivos en la lnea de
comandos utilizando la herramienta de sistema operativo Cacls.exe. Esta
herramienta slo se ejecuta en un volumen NTFS.
Establecer permisos en carpetas compartidas
Para establecer permisos en una carpeta compartida mediante la interfaz de
Windows
1. Abra Administracin de equipos.
Haga clic en Inicio y Panel de control y haga doble clic en Herramientas
administrativas, y, a continuacin, haga clic en Administracin de equipos.
2. Si aparece el cuadro de dilogo Control de cuenta de usuario, confirme que
la accin que muestra es la que desea y, a continuacin, haga clic en
Continuar.
3. En el rbol de la consola, haga clic en Herramientas del sistema, haga clic
en Carpetas compartidas y, a continuacin, haga clic en Recursos
compartidos.
4. En el panel de detalles, haga clic con el botn secundario en la carpeta
compartida y, a continuacin, haga clic en Propiedades.
5. En la ficha Permisos de los recursos compartidos, establezca los permisos
que desee:
Para asignar permisos a un usuario o grupo a una carpeta compartida,

haga clic en Agregar. En el cuadro de dilogo Seleccionar usuarios,
equipos o grupos, busque o escriba el nombre del usuario o grupo y, a
continuacin, haga clic en Aceptar.
Para revocar el acceso a una carpeta compartida, haga clic en Quitar.

Para establecer permisos individuales para el usuario o grupo, en
Permisos de grupos o usuarios, seleccione Permitir o Denegar.
6. Para establecer permisos de archivos y carpetas que se apliquen a los

usuarios que inicien sesin localmente o mediante Terminal Services, haga
clic en la ficha Seguridad y establezca los permisos adecuados.
Para especificar permisos de archivos para un usuario mediante una lnea de
comandos
Para abrir la ventana elevada del smbolo del sistema, haga clic en Inicio,
seleccione Todos los programas, Accesorios, haga clic con el botn secundario en
Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador.

.
251

Si aparece el cuadro de dilogo Control de cuenta de usuario, confirme que la
accin que muestra es la que desea y, a continuacin, haga clic en Continuar.
Para especificar permisos individuales para un usuario o grupo, escriba: cacls /G
<usuario:permiso>
Por ejemplo, para especificar permisos de escritura para un usuario con el nombre
de usuario Pablo en un archivo denominado 002.jpg, escriba: cacls 002.jpg /G
Pablo:w
Para revocar el acceso a la carpeta compartida, escriba: cacls /R <usuario>
Por ejemplo, para revocar el acceso a la carpeta compartida para un usuario con
el nombre de usuario Pablo, escriba: Cacls/R Pablo
Administracin de permisos para carpetas compartidas

Los permisos en un recurso compartido, como una carpeta o volumen, vienen
determinados por los permisos NTFS locales de dicho recurso, as como por el
protocolo usado para obtener acceso al recurso compartido:
Protocolo SMB (bloque de mensajes del servidor)

El control de acceso basado en SMB (para sistemas de archivos basados en
Windows) se implementa mediante la concesin de permisos a usuarios
individuales y grupos.
Protocolo NFS (Network File System)

El control de acceso basado en NFS (para sistemas de archivos basados en
UNIX) se implementa mediante la concesin de permisos a equipos cliente y
grupos especficos, mediante el uso de nombres de red.
Los permisos de acceso final a un recurso compartido se determinan teniendo en
cuenta los permisos NTFS y los permisos de protocolo compartido, y aplicando
despus los permisos ms restrictivos.

.
252

Puede configurar permisos para un recurso compartido durante la creacin de una
nueva carpeta o volumen compartido con el Asistente para aprovisionar carpetas
compartidas o seleccionando un recurso compartido existente y haciendo clic en
Propiedades en el panel Acciones.
PERMISOS NTFS
Puede configurar los permisos NTFS locales para una carpeta o volumen
compartido mediante Administracin de almacenamiento y recursos compartidos,
de las formas que se indican a continuacin:
Nuevos recursos compartidos. En el Asistente para aprovisionar carpetas

compartidas, antes de seleccionar un protocolo de uso compartido de red,
puede modificar los permisos NTFS para la carpeta o volumen que va a
compartir. Estos permisos NTFS se aplicarn tanto de forma local como al
obtener acceso al recurso a travs de la red. Para modificar los permisos
NTFS, en la pgina Permisos NTFS, seleccione S, cambiar los permisos
NTFS y, a continuacin, haga clic en Editar permisos.
Recursos compartidos existentes. Puede modificar los permisos NTFS de

una de las carpetas o volmenes compartidos de los que aparecen en la
ficha Recursos compartidos. Para modificar los permisos NTFS, seleccione
la carpeta o volumen; en el panel Acciones, haga clic en Propiedades y, en
la ficha Permisos, haga clic en Permisos NTFS.
PERMISOS SMB
El control de acceso basado en SMB de un recurso compartido se determina a
travs de dos conjuntos de permisos: Permisos NTFS y permisos de recurso
compartido. Normalmente, los permisos de recurso compartido slo se usan para
el control de acceso en equipos que no usan el sistema de archivos NTFS.
Los permisos NTFS y los permisos de recurso compartido son independientes en
el sentido de que ninguno afecta al otro, y el ms restrictivo de los dos ser el que
se aplique al recurso compartido.
Si usa Administracin de almacenamiento y recursos compartidos, puede
especificar permisos compartidos para los recursos compartidos basados en SMB
de las siguientes formas:
Nuevos recursos compartidos. En el Asistente aprovisionar carpetas

compartidas, si selecciona SMB como protocolo de uso compartido, puede

.
253

especificar los siguientes permisos de acceso basados en SMB en la pgina
Permisos SMB:
o Todos los usuarios y grupos slo tienen acceso de lectura. El permiso
resultante ser el permiso Lectura para el grupo Todos.
o Los administradores tienen Control total; todos los otros usuarios y
grupos slo tienen acceso de Lectura. El grupo Administradores tendr
el permiso Control total, mientras que al grupo Todos se le conceder el
permiso Lectura.
o Los administradores tienen Control total; todos los dems usuarios y
grupos slo tienen acceso de lectura y de escritura. El grupo
Administradores tendr el permiso Control total, mientras que al grupo
Todos se le conceder tanto el permiso Lectura como el permiso
Escritura.
o Los usuarios y grupos tienen permisos de los recursos compartidos
personalizados. Para usar esta opcin, debe especificar todos los
grupos y usuarios que vayan a tener acceso compartido, as como los
permisos especficos de recursos compartidos (Control total, Cambiar,
Lectura) que se concedern o denegarn a cada uno de ellos.
Recursos compartidos existentes. Puede modificar los permisos de recurso

compartido de una de las carpetas o volmenes compartidos de los que
aparecen en Protocolo: SMB en la ficha Recursos compartidos. Para modificar
los permisos de recurso compartido, seleccione la carpeta o volumen; en el
panel Acciones, haga clic en Propiedades y, en la ficha Permisos, haga clic en
Permisos de los recursos compartidos.
PERMISOS NFS
El control de acceso basado en NFS de un recurso compartido se determina
basndose en los grupos y nombres de red. Para poder usar permisos NFS,
primero debe instalar la funcin Servicios para Network File System (NFS)
mediante Administrador del servidor. Despus de instalar Servicios para NFS, use
NFSAdmin.exe para crear grupos de clientes y para agregar equipos cliente a
dichos grupos antes de configurar los permisos de recursos compartidos NFS.
Si usa Administracin de almacenamiento y recursos compartidos, podr
especificar permisos compartidos para los recursos compartidos basados en NFS
de las siguientes formas:

.
254
Nuevos recursos compartidos. En el Asistente para aprovisionar carpetas

compartidas, si selecciona NFS como protocolo de uso compartido, la
pgina Permisos NFS estar disponible en el asistente. Debe especificar si
el acceso lo controlar un equipo cliente (host) especfico o un grupo de
clientes. Para configurar permisos NFS en un recurso compartido, puede
hacer lo siguiente:
o Agregar, editar o quitar permisos para grupos de clientes y hosts. El
valor predeterminado es acceso de slo lectura para el grupo TODOS
LOS EQUIPOS. Puede agregar cualquier grupo de clientes o host
previamente creado (mediante NFSAdmin.exe) y conceder los
permisos adecuados a cada uno de ellos (sin acceso, slo lectura,
lectura-escritura).
Adems, puede seleccionar la opcin Permitir acceso a la raz para
cada grupo de cliente y host; no obstante, no se recomienda ya que
supone un riesgo para la seguridad.
o Especifique si debe permitirse el acceso annimo al recurso
compartido. Esta opcin no est habilitada de forma predeterminada
por motivos de seguridad. Aunque el acceso annimo puede resultar
de utilidad para solucionar problemas o en entornos de prueba, no es
recomendable para uso general.
Para permitir el acceso annimo, el Asistente para aprovisionar
carpetas compartidas modifica los permisos NTFS en la carpeta o
volumen con objeto de conceder acceso al grupo de seguridad
Todos.
Al habilitar el acceso annimo, tambin se habilita la directiva de
seguridad Permitir la aplicacin de los permisos Todos a los usuarios
annimos, que agrega el principio Inicio de sesin annimo al grupo
de seguridad Todos. De esta forma, los usuarios annimos pueden
desplazarse a travs de carpetas a las que, de otro modo, no tendran
acceso al navegar por la ruta de acceso de un objeto de la carpeta
compartida; pero el usuario no puede ver el contenido de las carpetas
en las que no tiene permiso de acceso.
o Recursos compartidos existentes. Puede modificar los permisos NFS
de una de las carpetas o volmenes compartidos de los que aparecen
en Protocolo: NFS, en la ficha Recursos compartidos. Para modificar
los permisos de recurso compartido, haga clic en la carpeta o

.
255

volumen; en el panel Acciones, haga clic en Propiedades y, en la
ficha Permisos, haga clic en Permisos NFS. Para configurar
permisos, puede agregar, editar o quitar permisos para cada grupo de
clientes o host individual para el que desee configurar el acceso.
Consideraciones adicionales
Conceder a un usuario el permiso NTFS Control total en un recurso

compartido permite a ese usuario tomar posesin de la carpeta o volumen, a
menos que est restringido de alguna forma. Tenga especial cuidado al
conceder Control total.
Si desea administrar el acceso a una carpeta o volumen exclusivamente
mediante permisos NTFS, defina los permisos de recurso compartido
Control total para Todos. Esto simplifica la administracin de los permisos de
recursos compartidos, pero los permisos NTFS son ms complejos que los
permisos de recursos compartidos.
Los permisos NTFS influyen sobre el acceso local y remoto. Se aplican con
independencia del protocolo. Por el contrario, los permisos de recurso
compartido slo se aplican a recursos de red compartidos. Los permisos de
recurso compartido no restringen el acceso de ningn usuario local o usuario
de Terminal Server. Por tanto, los permisos de recurso compartido no
ofrecen privacidad entre los usuarios de un equipo usado por varios
usuarios.
De forma predeterminada, el grupo Todos no incluye el grupo Annimo, por

lo que los permisos que se aplican al grupo Todos no afectan al grupo
Annimo.
No es posible modificar los permisos de acceso de carpetas o volmenes

que se comparten con fines administrativos, como C$ y ADMIN$.
Para abrir Administracin de almacenamiento y recursos compartidos, haga

clic en Inicio, seleccione Herramientas administrativas y, a continuacin,
haga clic en Administracin de almacenamiento y recursos compartidos.
ADMINISTRACIN DE UN RECURSO COMPARTIDO EXISTENTE

Puede usar Administracin de almacenamiento y recursos compartidos para
administrar todas las carpetas y volmenes compartidos disponibles en el servidor.
La ficha Recursos compartidos ofrece una lista de todos los recursos compartidos
que pueden administrarse.

.
256

Tambin puede ver qu usuarios estn obteniendo acceso en estos momentos a
una carpeta o archivo del servidor y desconectar a un usuario si es preciso.
Acceso a Administracin de almacenamiento y recursos compartidos
1. Abrir el administrador del servidor
2. Expandir el rbol hasta ubicar la herramienta, como se muestra en la figura
siguiente:
3. Se observa las pestaas recursos compartidos y volmenes:
Visualizacin y modificacin de las propiedades de una carpeta compartida

Puede usar Administracin de almacenamiento y recursos compartidos para ver y
modificar las propiedades de una carpeta o volumen compartido, incluidos los
permisos NTFS locales y los permisos de acceso de red de dicho recurso
compartido.
El mnimo requerido para completar este procedimiento es la pertenencia al grupo
Administradores o un grupo equivalente.
Para ver o modificar las propiedades de una carpeta o volumen compartido

.
257

1. En la ficha Recursos compartidos, haga clic en la carpeta o volumen
compartido de SMB (bloques de mensaje del servidor) o NFS (Network File
System) cuyas propiedades desee ver o modificar.
2. En el panel Acciones, haga clic en Propiedades.
3. Modifique la configuracin segn corresponda y, a continuacin, haga clic
en Aceptar.
No es posible modificar los permisos de acceso de carpetas o volmenes

compartidos con fines administrativos, como C$ y ADMIN$.
Para abrir Administracin de almacenamiento y recursos compartidos, haga
clic en Inicio, seleccione Herramientas administrativas y, a continuacin,
haga clic en Administracin de almacenamiento y recursos compartidos.
Dejar de compartir un recurso
Puede dejar de compartir una carpeta o un volumen de los que se muestran en la
ficha Recursos compartidos de Administracin de almacenamiento y recursos
compartidos. Si los protocolos SMB (bloque de mensajes del servidor) y NFS
(Network File System) comparten el acceso a una carpeta o a un volumen, deber
dejar de compartir dicha carpeta o volumen de forma individual para cada
protocolo.
Si deja de compartir una carpeta o volumen en uso, los datos podran daarse.
Antes de dejar de compartir un recurso, compruebe que no se est utilizando y
que no haya usuarios conectados al mismo. El mnimo requerido para completar
estos procedimientos es la pertenencia al grupo Administradores o un grupo
equivalente.
Para dejar de compartir una carpeta o un volumen
1. En la ficha Recursos compartidos, haga clic en la carpeta o volumen
compartido de SMB o NFS que desee dejar de compartir.
2. En el panel Acciones, haga clic en Detener uso compartido.
3. Cuando se le pida que confirme la accin, revise la advertencia y, si todava
desea continuar, haga clic en S.
Para abrir Administracin de almacenamiento y recursos compartidos, haga clic en
Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en
Administracin de almacenamiento y recursos compartidos.
Crear un acceso directo a una unidad de red (asignar)

.
258

Cuando se crea un acceso directo a una carpeta o a un equipo compartido de una
red (llamado tambin asignacin de una unidad de red), se puede obtener acceso
a l desde Equipo o desde el Explorador de Windows sin tener que buscarlo o
escribir su direccin de red.
1. Haga clic en Equipo.
2. Haga clic el men Herramientas y, a continuacin, en Conectar a unidad de
red.
3. Si no ve el men Herramientas, presione ALT.
4. En la lista Unidad, haga clic en una letra de unidad.
5. Puede seleccionar cualquier letra disponible.
6. En el cuadro Carpeta, escriba la ruta de acceso a la carpeta o equipo, o
haga clic en Examinar para buscarlos.
7. Para conectarse cada vez que inicie una sesin en el equipo, seleccione la
casilla Conectar de nuevo al iniciar sesin.
8. Haga clic en Finalizar.
9. Ahora el equipo est conectado, o asignado, a la unidad de red.
Crear accesos directos a ubicaciones de Internet como sitios web o sitios
FTP.
1. Haga clic en Equipo.
2. Haga clic con el botn secundario en cualquier rea de la carpeta y, a
continuacin, haga clic en Agregar una ubicacin de red.
3. Siga los pasos del asistente para agregar un acceso directo a una ubicacin
de la red, un sitio web o un sitio FTP.

.
259

.
260
TAREA 9: INSTALAR Y CONFIGURAR SERVICIOS DE IMPRESIN

Las organizaciones emplean en sus labores mltiples documentos que deben ser
exhibidos de manera fsica, por lo cual el uso de impresoras es de vital
importancia. En esta tarea se realizaran las operaciones siguientes:
Instala el servicio de impresin.
Configura el servicio de impresin.

Orden de Ejecucin:
1. Instalar el servicio de impresin.
2. Configurar el servicio de impresin.
Operacin 1: Instalar el servicio de impresin.
Se realiza la instalacin de servicios de impresin, que permite compartir
impresoras en una red y centralizar las tareas de administracin de servidores de
impresin e impresoras en red.
1. Ingresar a la herramienta Administre su servidor y agregar la funcin Servicios
de impresin.
2. Se puede agregar servicios de impresin de otras plataformas y/o hacer uso de

impresin en internet.

.
261
Operacin 2: Configurar el servicio de impresin.

Agregar o quitar una impresora
Para imprimir, deber conectar una impresora directamente al equipo
(denominada impresora local), o crear una conexin con una red o impresora
compartida.
Para agregar una impresora de red, inalmbrica o Bluetooth
Antes de empezar, asegrese de conocer el nombre de la impresora que desea
agregar. Para buscar el nombre de la impresora, compruebe si el nombre est
expuesto en la propia impresora, pngase en contacto con el propietario de la
impresora o pngase en contacto con el administrador de red.
1. Hacer clic en panel de control, luego en impresoras.
2. Hacer clic en Agregar una impresora.
3. En el Asistente para agregar impresoras, seleccionar Agregar una impresora
de red, inalmbrica o Bluetooth.
4. En la lista de impresoras disponibles, seleccionar la que desee usar y hacer
clic en Siguiente.
5. Si solicita, instalar el controlador de impresora en el equipo. Si solicita una
contrasea de administrador o una confirmacin, escribir la contrasea o
proporcionar la confirmacin.
6. Completar los pasos adicionales del asistente y, a continuacin, hacer clic en
Finalizar.
Sugerencias
Las impresoras disponibles pueden incluir todas las impresoras de una red,
como las impresoras Bluetooth e inalmbricas o las impresoras que estn
conectadas a otro equipo y estn compartidas en la red. Asegrese de que
tiene permiso para usar estas impresoras antes de agregarlas al equipo.

.
262
Es conveniente imprimir una pgina de prueba para comprobar si la

impresora funciona correctamente.
Para agregar una impresora local
A travs de las indicaciones del fabricante, conecte la impresora al equipo.
Windows instalar automticamente la impresora. Si Windows no puede instalarla,
o bien si ha quitado la impresora y desea volver a agregarla, siga estos pasos:
1. Hacer clic en panel de control, luego en Impresoras.
2. Haga clic en Agregar una impresora.
3. En el Asistente para agregar impresoras, seleccione Agregar una impresora
local.
4. En la pgina Elegir un puerto de impresora, asegrese de que estn
seleccionados el puerto de impresora recomendado y el botn de opcin
Usar un puerto existente y, a continuacin, haga clic en Siguiente.
5. En la pgina Instalar el controlador de impresora, seleccione el fabricante
de la impresora y el nombre de la misma y, a continuacin, haga clic en
Siguiente.
Si la impresora no est en la lista y tiene el disco de instalacin de la
impresin, haga clic en Utilizar disco y, a continuacin, busque la
ubicacin en el disco en el que estn almacenados los controladores de
impresora. Para obtener ayuda a la hora de buscar el software de
controlador en el disco de instalacin, consulte la informacin del
fabricante que se suministra con la impresora.
Si la impresora no est en la lista, y no tiene el disco de instalacin de la

impresora, haga clic en Windows Update y, a continuacin espere
mientras Windows comprueba los paquetes de software de controlador
disponibles. Cuando aparezca una nueva lista de fabricantes e
impresoras, seleccione los elementos adecuados de cada lista para la
impresora.
6. Complete los pasos adicionales del asistente y, a continuacin, haga clic en
Finalizar.
Es conveniente imprimir una pgina de prueba para comprobar si la impresora
funciona correctamente.
Para quitar una impresora
No puede quitar una impresora si tiene elementos en la cola de impresin. Si hay
elementos que esperan imprimirse mientras intenta quitar una impresora, Windows
esperar a que la impresin haya finalizado y entonces quitar la impresora. Si
.
263

tiene permiso para administrar documentos en la impresora, tambin puede
cancelar todos los trabajos de impresin y, a continuacin, intentar quitar de nuevo
la impresora.
1. Haga clic para abrir Impresoras.
2. Haga clic con el botn secundario del mouse en la impresora que desee
quitar y, despus, haga clic en Eliminar.
Si no puede eliminar la impresora, vuelva a hacer clic con el botn secundario del
mouse en la impresora, haga clic en Ejecutar como administrador y, a
continuacin, haga clic en Eliminar. Si se le solicita una contrasea de
administrador o una confirmacin, escriba la contrasea o proporcione la
confirmacin.
FUNDAMENTO TERICO:
SERVICIOS DE IMPRESION
Servicios de impresin de Windows Server 2008 permite compartir impresoras en
una red y centralizar las tareas de administracin del servidor de impresin e
impresoras de red mediante el complemento de Microsoft Management Console
(MMC) Administracin de impresin. Administracin de impresin le ayuda a
supervisar las colas de impresin y recibe notificaciones cuando las colas de
impresin interrumpen el procesamiento de los trabajos de impresin. Adems
permite migrar los servidores de impresin e implementar conexiones de
impresora con directivas de grupo.
Herramientas para administrar un servidor de impresin
Hay dos herramientas principales que se pueden usar para administrar un servidor
de impresin de Windows: Administrador del servidor y Administracin de
impresin. En Windows Server 2008, se puede usar el Administrador del servidor
para instalar la funcin de servidor Servicios de impresin, servicios de funciones y
otras caractersticas opcionales. El Administrador del servidor tambin muestra
eventos relacionados con la impresin desde el Visor de eventos e incluye una
instancia del complemento Administracin de impresin que solamente puede
administrar el servidor local.
El complemento Administracin de impresin est disponible en la carpeta
Herramientas administrativas en los equipos con Windows Server 2008. Puede
usarlo para instalar, ver y administrar todas las impresoras y servidores de
impresin de Windows de su organizacin.
Administracin de impresin proporciona detalles actualizados sobre el estado de
las impresoras y los servidores de impresin de la red. Puede usar Administracin
.
264

de impresin para instalar conexiones de impresora en un grupo de equipos
cliente de forma simultnea y para supervisar de forma remota las colas de
impresin. Administracin de impresin facilita la bsqueda de impresoras con
errores mediante filtros. Adems, se pueden enviar notificaciones por correo
electrnico o ejecutar scripts cuando una impresora o un servidor de impresin
precisen atencin. Administracin de impresin puede mostrar ms datos (como
los niveles de tner o de papel) en las impresoras que incluyen una interfaz de
administracin basada en web.
Nota: Para administrar un servidor de impresin remoto, debe ser miembro de los
grupos Opers. de impresin u Opers. de servidores, o del grupo local
Administradores en el servidor de impresin remoto. Estas credenciales no son
necesarias para supervisar los servidores de impresin remotos, aunque algunas
funciones estarn deshabilitadas.
Servicios de funcin de Servicios de impresin
La funcin Servicios de impresin de Windows Server 2008 incluye tres servicios
de funcin:
Servidor de impresin
Servicio LPD
Impresin en Internet
Juntos, estos servicios de funcin proporcionan toda la funcionalidad de un
servidor de impresin de Windows. Estos servicios de funcin se pueden agregar
durante la instalacin de la funcin Servicios de impresin mediante el Asistente
para agregar funciones del Administrador del servidor. O bien, puede instalarlos
despus mediante el Asistente para agregar servicios de funcin del Administrador
del servidor.
Servidor de impresin
Servidor de impresin es un servicio de funcin necesario de la funcin Servicios
de impresin. Agrega la funcin Servicios de impresin al Administrador del
servidor e instala el complemento Administracin de impresin. Administracin de
impresin se usa para administrar varias impresoras o servidores de impresin, o
para la migracin de impresoras hacia y desde servidores de impresin de
Windows. Una vez que se comparte una impresora, Windows habilita la excepcin
Compartir archivos e impresoras en Firewall de Windows con seguridad avanzada.
Servicio LPD
El servicio Line Printer Daemon (LPD) instala e inicia el servicio Servidor de
impresin TCP/IP (LPDSVC), el cual permite que equipos basados en UNIX u
.
265

otros equipos que usan el servicio Line Printer Remote (LPR) impriman en
impresoras compartidas de este servidor. Tambin crea una excepcin de entrada
para el puerto 515 en Firewall de Windows con seguridad avanzada.
Este servicio no requiere configuracin. No obstante, si se detiene o reinicia el
servicio de administrador de trabajos de impresin, tambin se detendr el servicio
Servidor de impresin TCP/IP y no se reiniciar automticamente.
Para usar un equipo con Windows Server 2008 para imprimir en una impresora o
servidor de impresin que use el protocolo LPD, puede usar el Asistente para la
instalacin de impresoras de red y un puerto de impresin TCP/IP estndar. Sin
embargo, se debe instalar la caracterstica Monitor de puerto de Line Printer
Remote (LPR) para imprimir en un servidor de impresin UNIX. Para hacerlo, siga
el mtodo siguiente:
En el Administrador del servidor, haga clic en Agregar caractersticas, active

la casilla Monitor de puerto de LPR y, a continuacin, haga clic en Aceptar.
Impresin en Internet
El servicio de funcin Impresin en Internet de Windows Server 2008 crea un sitio
web hospedado por Internet Information Services (IIS). Este sitio web permite a los
usuarios:
Administrar trabajos de impresin en el servidor.

Usar un explorador web para conectarse e imprimir en impresoras
compartidas de este servidor mediante el Protocolo de impresin en
Internet (IPP) (los usuarios deben tener instalado el Cliente de impresin en
Internet).
Para administrar un servidor mediante el sitio web creado mediante Impresin en
Internet, abra un explorador web y vaya a http://nombreDeServidor/printers, donde
nombreDeServidor es la ruta de acceso UNC del servidor de impresin.
Para instalar el Cliente de impresin en Internet, siga el mtodo siguiente:
En el Administrador del servidor, haga clic en Agregar caractersticas, active

la casilla Cliente de impresin en Internet y, a continuacin, haga clic en
Aceptar.
Terminologa empleada en los servicios de impresin
1. Impresora: Interfaz de software entre el sistema operativo y el dispositivo
de impresin.
2. Dispositivo de impresin: Es el dispositivo de hardware que produce los
documentos impresos fsicamente. Windows server 2008 soporta los
siguientes dispositivos:
.
266

o Dispositivos de impresin locales: Son aquellos que estn
conectados a un puerto fsico en el servidor de impresin. Se
conecta a la computadora mediante una interfaz local como puerto
paralelo, serie, USB o SCSI.
o Dispositivo de impresin de red: Son aquellos que estn
conectados al servidor a travs de la red. Requieren sus propias
tarjetas de interfaz de red y tienen sus propias direcciones de red.
3. Servidor de impresin: Es la computadora en la que residen las
impresoras asociadas con dispositivos de impresin local y de red. Procesa
los requerimientos de impresin de los clientes.
4. Controlador de la impresora: Son uno o ms archivos que contienen
informacin requerida para convertir los comandos de impresin en un
lenguaje especfico de la impresora para hacer posible la impresin.
PERMISOS DE IMPRESORA
Los permisos de la impresora determinan qu propiedades de la impresora puede
administrar, por ejemplo cambiar el nombre o compartir una impresora, permitir o
eliminar el acceso a la impresora y determinar quin puede administrar
documentos o propiedades para la impresora. Normalmente, los permisos de la
impresora los administra la persona que la instal o, si la impresora est
conectada a una red comercial o empresarial, un administrador del sistema.
Los permisos se pueden asignar a cada persona que use la impresora o a un
grupo de usuarios que tengan el mismo tipo de cuenta de usuario. Por ejemplo, los
miembros del grupo de administradores del equipo tienen permiso para
administrar las impresoras de forma predeterminada.
Windows ofrece cuatro tipos de permisos de impresora:
Imprimir. De forma predeterminada, cada usuario puede imprimir y
cancelar, pausar o reiniciar documentos o archivos que enven a una
impresora.
Administrar documentos. Si tiene este permiso, puede administrar todos
los trabajos de impresin de una impresora que estn esperando en la cola
de impresin, incluidos los documentos o archivos impresos por otros
usuarios.
Administrar impresoras. Este permiso permite cambiar el nombre,
eliminar, compartir y elegir preferencias para la impresora. Tambin permite
seleccionar permisos para otros usuarios y administrar todos los trabajos de
.
267

la impresora. Los miembros del grupo de administradores de un equipo
tienen permiso para administrar las impresoras de forma predeterminada.
Permisos especiales. Estos permisos, normalmente slo utilizados por los
administradores del sistema, se pueden usar para cambiar el propietario de
la impresora, en caso necesario. Al CREATOR OWNER de la impresora se
le conceden todos los permisos de impresora y es, de forma
predeterminada, la persona que instal la impresora.
Opciones de los servidores de impresin
Configuracin de puertos
Se puede instalar varios dispositivos de impresin iguales en diferentes puertos de
la computadora y luego activar la cola de impresin y activar los puertos por donde
enviara la informacin a imprimir.
IMPRESORAS Y ACTIVE DIRECTORY

Publicacin de impresoras
1. Verifique que se haya instalado los servicios de impresin en el equipo que
tiene el Active directory para poder publicar impresoras.
2. Debe haber compartido la impresora
3. Active la casilla Mostrar lista en el directorio de la ficha compartir en
propiedades de la impresora.
4. Hacer clic derecho en una unidad organizativa, seleccione nuevo, luego
impresora
5. Escriba el nombre de la ruta UNC de la impresora y listo.
Distribucin de controladores a travs de la red
1. En las propiedades de la impresora, seleccionar la ficha compartir
2. Hacer clic en el botn Controladores adicionales
3. Seleccionar el tipo de sistema donde se instalaran los drivers.
.
268
TAREA 10: INSTALAR Y CONFIGURAR SERVICIOS DE TERMINAL

Terminal services proporciona tecnologas que permiten a los usuarios tener
acceso a programas para Windows instalados en un servidor de Terminal server o
al escritorio de Windows completo. Con terminal services los usuarios pueden
tener acceso a un servidor de terminal server desde la red corporativa o desde
internet. En esta tarea se desarrollan las siguientes operaciones:
Instalar el servicio de terminal.
Configurar el servicio de terminal.


Orden de Ejecucin:
1. Instalar el servicio de terminal.
2. Configurar el servicio de terminal.
Operacin 1: Instalar el servicio de terminal.
INSTALACION Y CONFIGURACION:
1. Abrimos Administrador del Servidor, para empezar la instalacin del servicio
Seleccionar agregar funciones.
Colocar check en Terminal Services, luego hacer clic en siguiente.
Hacer clic en siguiente.
Seleccionar los servicios de funcin que se desea instalar.
En la pantalla instalar y desinstalar aplicaciones por compatibilidad,

hacer clic en siguiente
Indicar el mtodo de autenticacin, seleccionamos autenticacin a
nivel de red
.
269

Se debe especificar el tipo de licencia, escogemos para esta prctica por
usuario (depender del tipo de licencia con la que se cuente)
Se debe indicar los grupos o usuarios con acceso a este servidor de

terminal server. Se muestra los usuarios por defecto que tienen acceso
al servidor terminal server, se puede agregar o quitar usuarios. En esta
prctica se trabajara con los usuarios por defecto. Hacer clic en
siguiente.
Se Debe especificar el mbito de deteccin para la administracin de
licencias, en este caso escogemos en este grupo de trabajo (si
formamos parte de un dominio se escoger en este dominio). Clic en
siguiente.
Escoger un certificado de autenticacin de servidor para cifrado SSL.
Luego clic en siguiente.
Se debe crear directivas de autenticacin para la puerta de enlace de

TS, para ello deberemos especificar los respectivos CAP y RAP de TS,
entonces en la pantalla crear directivas de autorizacin de la puerta de
enlace seleccionar ahora, luego clic en siguiente.
Seleccionar los grupos que podrn conectarse a travs de la puerta de
enlace TS, luego clic en siguiente. Para esta prctica aceptamos solo al

.
270

grupo Administradores que se muestra por defecto. Hacer clic en
siguiente.
Crear una directiva CAP de TS, indicando el mtodo de autenticacin.
Aceptar el nombre de directiva propuesto y habilitar los mtodos de
autenticacin contrasea y tarjeta inteligente. Clic en siguiente.
Crear la directiva RAP, para especificar los recursos a los que se tendr
acceso. Aceptar el nombre propuesto.
Tambin se puede especificar algunos servicios de acceso y directivas
de redes.
Hace clic en examinar y agregar el grupo usuarios de escritorio remoto.
Hacer clic en siguiente.
Hacer clic en instalar.
Hacer clic en cerrar.
Reiniciar.
Operacin 2: Configurar el servicio de terminal.
CREACION DE USUARIOS:
1. Usando la herramienta administracin de equipos crear los siguientes
usuarios:
Nombre
Nombre de Usuario
Contrasea
Completo
Roco Crdenas
rcardenas
Usuario1
Marisol Montero
mmontero
Usuario1
John Silva
jsilva
Usuario1
2. Aadir los usuarios rcardenas y jsilva al grupo usuarios de escritorio remoto.

ACTIVACION DE LA ADMINISTRACION REMOTA:
El modo de administracin remota tiene las siguientes caractersticas y
ventajas:
Administracin del servidor desde cualquier cliente

Actualizaciones remotas, reboots y promociones de controladores de
dominio
Acceso a servidores de bajo ancho de banda
Instalacin de aplicaciones y ejecucin de las mismas

La sesin de consola no se ve afectada mientras se ejecuta la
administracin remota
No se ve afectado el rendimiento

.
271
No se necesitan licencias
Dos administradores remotos pueden compartir una sesin con
propsitos de colaboracin
7. Para activar la administracin remota seguir los siguientes pasos:
Ingresar al panel de control, luego sistema
Ingresar a configuracin de acceso remoto
Se accede a una pantalla que permite escoger entre 3 opciones para la
conexin. Seleccionar Permitir solo las conexiones desde equipos que
ejecuten Escritorio remoto con autenticacin a nivel de red.
Adicionalmente se puede seleccionar los usuarios que podrn acceder
por escritorio remoto al servidor (los administradores y usuarios de
escritorio remoto estn habilitador por defecto)
ACCESO DESDE EL CLIENTE AL SERVIDOR:
8. Desde un cliente Windows XP acceda al servidor por escritorio remoto
Inicio Todos los programas Accesorios Conexin a escritorio
remoto
Colocar el IP o nombre del servidor
Clic en conectar
Pudo conectarse? Por qu?
9. Desde un cliente Windows vista o Windows 7 intente acceder Pudo hacerlo?
10. Haga los cambios necesarios en el servidor para que el cliente XP pueda
conectarse remotamente, luego realice la administracin remota.
Qu cambios realizo para la conexin remota del equipo XP?
Todos los usuarios que creo pueden acceder a esta utilidad? Por
qu?
ACTIVACION DE APLICACIONES REMOTAS:
Con RemoteApps. (Aplicaciones remotas) los programas a los que se
accede desde Terminal Services aparecen como si se estuvieran
ejecutando en el equipo local del usuario
11. El procedimiento se detalla en los siguientes pasos:
Ingresar como administrador en el servidor
Instalar 6 aplicaciones diferentes que sern usador por los usuarios
remotos
Luego inicio herramientas administrativas terminal services
Clic en Administrador de RemoteApps de TS

.
272

En el panel Acciones del lado derecho de la ventana, clic en Agregar
programas RemoteApp
Aparece un asistente que nos gua en la configuracin
Seleccionar 3 aplicaciones de las que se instalaron y 2 del Windows
ACCESO DESDE EL CLIENTE AL SERVIDOR:
12. Desde el cliente XP acceda al servidor y ejecute las aplicaciones instaladas
como usuario y como administrador
Qu diferencia encuentra entre la cuenta de usuario y administrador
cuando accede remotamente?
Qu pasa si trata de ejecutar un programa que no agrego en
RemoteApp como usuario normal?
FUNDAMENTO TERICO:
SERVICIOS DE TERMINAL:
Los denominados Servicios de Terminal (Terminal Server) constituyen un
componente incluido en la familia de servidores Windows. Los Servicios de
Terminal proporcionan interfaz de usuario grfica de Windows a dispositivos
remotos a travs de conexiones LAN, WAN o Internet. Todo el procesamiento de
las aplicaciones se realiza en el servidor y solo los datos desde los dispositivos
como el teclado, mouse, etc., son transmitidos entre el servidor y el cliente de los
servicios de Terminal.
Los Servicios de Terminal pueden ser habilitados en dos modos diferentes:
Servidor de aplicaciones
Administracin Remota.
El modo Servidor de Aplicaciones permite a mltiples clientes remotos acceder
simultneamente a las aplicaciones Windows que se ejecutan en el servidor. Este
es el modo de empleo tradicional del Servicio de Terminal.
El modo de Administracin remota es una caracterstica que est diseada para
proporcionar a los operadores y administradores acceso remoto a los servidores y
controladores de dominio. El administrador tiene acceso a las herramientas
grficas del entorno Windows, incluso si no se est usando un ordenador basado
en Windows para administrar el servidor.
El modo de administracin remota no afecta al rendimiento del servidor. Hasta dos
sesiones de administracin remota estn soportadas, adems de sesin de la
consola. No se necesitan Licencias de Acceso al Cliente de Servicios de Terminal
para utilizar la administracin remota.

.
273

El modo de administracin remota, de los Servicios de Terminal, ofrece las
siguientes caractersticas y ventajas:
Administracin grfica de los servidores Windows desde cualquier cliente

de Servicios de Terminal.
Posibilidad de actualizaciones remotas, reboots, y promociones de

controladores de dominio.
Acceso a servidores a travs de conexiones de bajo ancho de banda, con

hasta 128 bits de cifrado.
Instalacin de aplicaciones de forma remota y ejecucin de las mismas.
La sesin de la consola no se ve afectada mientras tiene lugar la

administracin remota.
No se ve afectado el rendimiento.
No se necesitan licencias.
Dos administradores remotos pueden compartir una sesin con propsitos
de colaboracin.
FUNCIONAMIENTO
El servicio Terminal Server permite el acceso multiusuario al sistema operativo
Windows, de forma que varias personas puedan ejecutar sesiones
simultneamente en un mismo equipo.
El entorno multiusuario de los Servicios de Terminal Server consta de tres partes:
Servidor de Servicios de Terminal Server. El servidor administra los recurso

informticos para cada sesin de cliente y ofrece un entorno nico a todos
los usuarios que tienen iniciada una sesin. El servidor recibe y procesa
todas las pulsaciones del teclado y las acciones del ratn que realiza el
cliente remoto, y dirige al cliente apropiado todo el resultado que aparece
en la pantalla tanto para el sistema operativo como para las aplicaciones.
Cliente. La sesin de Terminal se abrir como una ventana en el escritorio

del equipo cliente. Dentro de dicha ventana se ejecuta el escritorio remoto
del servidor de Terminal. El equipo cliente slo necesita la cantidad mnima
de software necesario para establecer una conexin con el servidor y
presentar la interfaz de usuario.
Protocolo de escritorio remoto. El Remote Desktop Protocol o RDP permite

la comunicacin entre cliente y el servidor. Este protocolo est optimizado
para mover elementos de la interfaz grfica al cliente. RDP es un protocolo
de la capa de aplicacin que se basa en TCP/IP para transportarlo por la

.
274

red. RDP se basa en el estndar T.120 de International Telecommunication
Union (ITU) para conferencia multicanal.
Caractersticas y ventajas
Los Servicios de Terminal Server poseen ciertas caractersticas que ofrecen
ventajas para la organizacin. A continuacin se muestran algunas de estas:
Acceso al escritorio y a aplicaciones:
Es posible utilizar Terminal Server para extender a diversos clientes el sistema
operativo Windows 2008 y las aplicaciones basadas en Windows. Las ventajas
que supone ampliar el acceso pueden ser:
Ejecutar aplicaciones Windows. Se puede poner a disposicin de una

amplia gama de clientes las aplicaciones basadas en Windows con slo
hacer algunas modificaciones. No es necesario volver a escribir las
aplicaciones para que se ejecuten en distintos sistemas operativos y distinto
hardware.
Extender el uso de equipos obsoletos.

Mayor Seguridad y Fiabilidad:
Puesto que los datos de las aplicaciones o de los usuarios nunca residen en el
cliente, Servicios de Terminal Server permite aumentar el control de la seguridad.
Adems, proporciona compatibilidad con cifrado multinivel, que se podr habilitar
siempre que exista riesgo de que se produzca una interceptacin no autorizada de
la transmisin en el vnculo entre el servidor y el cliente. Hay tres niveles de
cifrado: bajo, medio y alto.
Administracin y Compatibilidad Mejoradas:
Como ya hemos comentado, Servicios de Terminal Server dispone de varias
caractersticas que resultan tiles para las tareas administrativas. Con el modo de
Administracin remota se pueden controlar los servidores Windows desde un
nico escritorio.
Existe otra caracterstica denominada Control Remoto, mediante la cual los
administradores pueden supervisar desde otra sesin de cliente las acciones
llevadas a cabo por un usuario que tiene iniciada una sesin en Terminal Server.
El control remoto permite observar o controlar activamente una sesin de cliente.
Al hacerlo, las acciones del teclado y ratn se introducen directamente en la
sesin de cliente. Una sesin de cliente no puede controlar de forma remota la
consola del sistema. El control remoto resulta de utilidad para solucionar
problemas de forma remota y cuando se ensea a los usuarios nuevas
aplicaciones.
.
275

Distribucin Centralizada de Aplicaciones:
Los Servicios de Terminal Server pueden ser utilizados para distribuir aplicaciones
en un modo totalmente centrado en el servidor, donde las aplicaciones se ejecutan
por completo, por tanto no se requiere hardware tan caro ya que el usuario puede
usar meros terminales para acceder a las aplicaciones. Adems y ms importante,
proporciona un fcil acceso a software nuevo o actualizado. Cuando los Servicios
de Terminal Server se habilitan en un servidor Windows, los administradores no
tienen que instalar aplicaciones en cada equipo de la red. En su lugar, la
aplicacin se instala una vez en el servidor y los clientes tienen acceso
automticamente al paquete de software nuevo o actualizado.
TERMINAL SERVICES EN WINDOWS 2008 SERVER:

El rol de Terminal Services de Windows Server 2008 permite a los usuarios
acceder a programas Windows instalados en un servidor de terminales o acceder
a un desktop Windows completo.
Con Terminal Services se puede acceder a un servidor de terminales desde la red
corporativa o desde Internet.
En Windows Server 2008, el rol de Terminal Services introduce muchas
novedades y mejoras con respecto a las versiones anteriores del sistema
operativo, que afectan a las funcionalidades bsicas, al proceso de impresin
remota, al sistema de licencias, al modelo de administracin de los propios
servidores y servicios, y tambin incorpora innovaciones como RemoteApp o el
Terminal Services Gateway.
MEJORAS EN LA FUNCIONALIDAD BSICA DE TERMINAL

SERVICES
En Windows Server 2008 Terminal Services incluye una nueva funcionalidad
bsica que mejora la experiencia del usuario a la hora de conectarse en remoto al
servidor de terminales. Esta nueva funcionalidad bsica incluye varios elementos:
Remote Desktop Connection (RDC) versin 6.1.

Redireccin de dispositivos Plug and Play para reproductores de
msica/vdeo y cmaras digitales.
Mejoras en la visualizacin de Remote Desktop Connection: resoluciones

de monitor personalizables, distribucin de la pantalla entre varios
monitores, mejoras en la experiencia del escritorio, suavizacin de fuentes y
priorizacin de trfico hacia/desde pantalla, teclado y ratn con respecto a
otros tipos de datos (p.ej. impresin).

.
276
Logn nico (Single sign-on, SSO)
Daremos algunos conceptos relacionados a las mejoras funcionales del Terminal

Services en Windows 2008 server:
1. Mejoras en la visualizacin del cliente RDC:
Remote Desktop Connection 6.1 soporta resoluciones de pantalla ms altas,
llegando hasta 1680x1050 o incluso 1920x1200, y adems permite el empleo de
mltiples monitores simultneamente para visualizacin de contenidos. Adems,
RDC 6.1 ofrece un aspecto y presentacin ms semejante a la experiencia de
desktop de Windows Vista. Finalmente, la funcionalidad de priorizacin de trfico
hace que el trfico de E/S correspondiente a los elementos de interfaz humana
(pantalla, teclado y ratn bsicamente), tenga ms prioridad que el resto, para
evitar una degradacin de la experiencia de usuario durante la transmisin de
grandes bloques de datos, por ejemplo debido a una tarea de impresin o
transferencia de archivos.
2. Terminal Services RemoteApp:
TS RemoteApp es una tecnologa de virtualizacin integrada dentro de Terminal
Services en Windows Server 2008. Con RemoteApps los programas a los que se
accede a travs de Terminal Services aparecen como si se estuvieran ejecutando
en el equipo local del usuario.
3. Terminal Services Gateway (TS Gateway):
Terminal Services Gateway es un servicio de rol incluido dentro del rol de Terminal
Services de Windows Server 2008 que permite a los usuarios remotos autorizados
conectarse a recursos dentro de una red corporativa interna o privada desde un
dispositivo conectado en Internet que dispone de un cliente RDC. Los recursos de
la red pueden ser servidores de terminales, servidores de terminales que ejecutan
programas RemoteApp u otros ordenadores con Escritorio Remoto habilitado. TS

.
277

Gateway utiliza el protocolo RDP (Remote Desktop Protocol) sobre HTTPS para
establecer una conexin segura y cifrada entre los usuarios remotos basados en
Internet y los recursos de terminales de la red interna, donde se ejecutan
aplicaciones corporativas.
Instalacin y configuracin de un servidor de terminales:
El procedimiento de instalacin, tiene la secuencia que a continuacin se indica:
1. Seleccionamos la herramienta Administrador del servidor, luego nos
ubicamos en Agregar funciones y en el asistente seleccionaremos la funcin
Terminal Services y hacemos clic en siguiente.
2. Luego seleccionamos, los servicios de funcin que deseamos instalar para
Terminal Services:
3. Tambin, se deber especificar el mtodo de autenticacin, en este caso

escogeremos la opcin que indica que es necesaria la autenticacin a nivel de
red.
4. Ahora, debemos especificar el tipo de licencia, en este caso escogeremos por
usuario (depender del tipo de licencia con la que se cuente):
5. Debemos indicar los grupos o usuarios con acceso a este servidor de terminal
server.

.
278

6. Debemos especificar el mbito de deteccin para la administracin de
licencias, en este caso escogeremos Este dominio.
7. Escoger un certificado de autenticacin de servidor para cifrado SSL:
8. Debemos crear directivas de autorizacin para la puerta de enlace de TS, para

ello deberemos especificar los respectivos CAP y RAP de TS:
Recordemos que:
CAP: Connection Authorization Policy.
RAP: Resource Authorization Policy
Por ello, en la opcin: Crear directivas de autorizacin, escogeremos:
Ahora.
9. Seleccionar los grupos que podrn conectarse a travs de la puerta de enlace
TS:
10. Creamos una directiva CAP de TS, indicando el mtodo de autenticacin:

.
279

11. Creamos la directiva RAP para especificar los recursos a los que se tendr
acceso, por ejemplo podremos colocarle de nombre: TS_RAP_SENATI_01.
12. Si fuese el caso, tambin se pueden especificar algunos servicios de acceso y
directivas de redes.
13. Seleccionamos los servicios de funcin deseados:
Servidor de directivas de redes.

Servicios de enrutamiento y acceso remoto.
Autoridad de registro de mantenimiento.
Protocolo de autorizacin de credenciales de host.

14. Elegimos la entidad de certificacin que se utilizar con la Autoridad
Registro de mantenimiento:
de
15. Aqu especificamos que si deseamos exigir la autenticacin para la autoridad

de registro de mantenimiento.
16. Se escoger un certificado de autenticacin de servidor para cifrado SSL (Para
esto se supone que debe haber sido generado con anticipacin)

.
280

17. Configuramos la opcin AD CS (Servicio de Certificate Server de Active
Directory) para proporcionar una adecuada infraestructura de certificados):
18. Seleccionamos servicios de funcin, en este caso escogeremos Entidad de
certificacin.
19. Se indicar el tipo de instalacin: En este caso se escoger: Empresa
20. Especificar tipo de CA (Certificate Authority): Esto consiste se utiliza para crear
una infraestructura de clave pblica (PKI) jerrquica.
En este caso escogeremos CA raz, ya que se estara procediendo a instalar la
primera entidad de certificacin de una infraestructura de clave pblica.
21. Debemos, luego, generar una clave privada para mejorar la seguridad y en
este caso le definiremos un cifrado:
22. Especificamos el nombre de la CA:
23. Ahora, estableceremos, el tiempo de validez deseado.

24. Confirmamos las opciones escogidas e iniciamos la instalacin.
25. Una vez, finalizada la instalacin, podemos acceder al terminal Services, desde
herramientas administrativas:
Activacin del servidor de terminales

.
281

Cuando nos referimos al terminal Services, debemos tomar en cuenta dos puntos
muy importantes:
1. La administracin remota: Para activar esta opcin, simplemente necesitamos
seguir los siguientes pasos:
Nos ubicamos en el panel de control, luego en sistema.

Luego nos ubicamos en configuracin de acceso remoto:
Luego, accederemos a un cuadro de dialogo que nos permitir escoger

entre tres opciones, siendo la ms segura, la referida a Permitir solo las
conexiones desde equipos que ejecuten Escritorio Remoto con
autenticacin a nivel de red.
Luego, se debe seleccionar los usuarios que podrn acceder por escritorio
remoto, al servidor (los administradores por defecto se encuentran
habilitados).
Finalmente, desde el equipo cliente, se iniciar sesin con un usuario con

permisos
para
acceso
remoto,
y
nos
dirigimos
a
inicio/programas/accesorios/comunicaciones/conexin a escritorio remoto.

.
282
Se colocarn el IP o nombre del servidor, y se podr conectar

remotamente:
2. Agregar aplicaciones a la lista de aplicaciones de RemoteApp (Aplicaciones

Remotas):
El procedimiento, se detalla en los siguientes pasos:
Nos ubicaremos en herramientas administrativas, luego escogeremos

terminal services y finalmente haremos clic en Administrador de
RemoteApp de TS:
En el administrador de RemoteApp, debemos agregar las aplicaciones a las

que se desea permitir el acceso a determinados usuarios, para ello
veremos que se activa un Asistente para RemoteApp, el cual nos guiar
paso a paso por la configuracin deseada.
Procederemos a escoger algunos programas, tales como los que se

muestran en la imagen:

.
283
Cada aplicacin escogida en este listado, puede configurarse para

mostrarse en acceso web, crear archivo .rdp, crear paquete de Windows
Installer.
RDP(Protocolo de escritorio Remoto): Los archivos RDP, son creados con
el fin de grabar opciones de acceso remoto en forma directa.
Como sabemos, gracias a este protocolo, se pueden establecer conexiones
remotas seguras.
En las propiedades de los usuarios, se debe especificar que tenga el

permiso de acceso a redes.
Tambin podemos utilizar TS WEB Access, el cual debe haber sido

instalado al momento de instalar el Terminal services.

.
284

Para conectarse al sitio web de TS Web Access, podemos hacerlo de
las siguientes formas:
Seleccionando Inicio, Herramientas administrativas, Terminal Services, y
luego Administracin de Acceso Web de TS.
Utilizando Internet Explorer, accediendo a la ruta por defecto:

http://server_name/ts
Iniciar sesin con la cuenta de Administrador Local, o una cuenta

miembro del grupo Administradores de acceso Web de TS
En la zona de edicin, en el campo Nombre del Servidor de
Terminal, ingresar el nombre del Terminal Server que se desea
utilizar como Data Source.
Seleccionar Aplicar para aplicar los cambios.
Debemos tambin tener presente que existe en el servidor, un grupo

denominado Equipos de acceso Web de TS, al cual agregaremos el
equipo que utilizar la aplicacin remota, con el fin de que puedan
consultar la lista de programas RemoteApp disponibles.
Finalmente, en el equipo cliente, ingresaremos al Acceso Web de TS y

escogeremos la aplicacin deseada, adems se nos pedirn algunos
detalles adicionales, como los permisos de acceso a recursos.

.
285
Tambin se nos pedir nuestra respectiva identificacin (usuario y

contrasea), para esto utilizaremos un usuario con los permisos
adecuados y podremos utilizar la aplicacin en forma remota.
CARACTERSTICAS AVANZADAS EN TERMINAL SERVICES:

Revisaremos algunos conceptos relacionados con la seguridad en el terminal
Services:
En Windows Server 2008 el control del acceso y seguridad de red se hace
aplicando diversas tecnologas y protocolos, como el Servidor de Poltica de Red
(NPS, Network Policy Server), el servicio Routing and Remote Access Service
(RRAS), Health Registration Authority (HRA), y el protocolo HCAP (Host
Credential Authorization Protocol).
1. NPS (Network Policy Server): Permite crear y aplicar polticas de acceso a la
red para toda la organizacin referidas al estado de salud de los equipos
clientes, y los requisitos de autenticacin y autorizacin para la conexin.
Network Policy Server es la implementacin de Microsoft de un servidor y
proxy RADIUS (Remote Authentication Dial-In User Service). Se puede utilizar

.
286

NPS para gestionar de forma centralizada el acceso a la red a travs de una
gran variedad de servidores de acceso a red, incluyendo los puntos de acceso
inalmbrico, servidores VPN, servidores de llamada bajo demanda (dial-in) y
switches con autenticacin basada en protocolo 802.1x. Se puede adems
utilizar NPS para habilitar el proceso de autenticacin segura de passwords
con protocolo PEAP (Protected Extensible Authentication Protocol (PEAP)-MSCHAP v2 para conexiones inalmbricas.
NPS dispone tambin de los componentes bsicos para implementar NAP
(Network Access Protection) en la red corporativa.
2. NAP (Network Access Protection): Es un nuevo grupo de componentes del

sistema operativo que se incluyen en Windows Server 2008 y Windows Vista y
que constituyen una plataforma que garantiza que las mquinas clientes de
una red privada cumplen con los requisitos definidos por el administrador en
materia de buen estado y seguridad. Las polticas de NAP definen la
configuracin exigida y el estado de actualizacin del sistema operativo de un
cliente y el software necesario. Por ejemplo, se puede exigir a los equipos que
dispongan de software antivirus con las ltimas actualizaciones de firmas de
virus instaladas, que el sistema operativo contenga las actualizaciones ms
recientes y un firewall personal instalado.
Al obligar al cumplimiento de estos requisitos de estado del equipo, NAP ayuda
a los administradores de la red a reducir muchos de los riesgos ocasionados
por mquinas mal configuradas que pueden estar expuestas a virus y otro tipo
de software malintencionado.
NAP aplica unos criterios y monitoriza la evaluacin del estado de las
mquinas clientes cuando intentan conectarse o comunicarse con la red
.
287

corporativa. Si se determina que una mquina no cumple los requisitos
establecidos, se puede redirigir la conexin a una red restringida que contiene
los recursos necesarios para resolver las deficiencias que ha detectado el
proceso, pudiendo despus, una vez detectado que cumple los estndares
prefijados, conectarse con normalidad a la red corporativa.
3. RRAS (Routing and Remote Access): Permite el acceso a usuarios remotos a

los recursos de la red corporativa sobre redes privadas virtuales (VPN) o
conexiones de llamada bajo demanda. Los servidores configurados con el
servicio de Routing and Remote Access disponen de los servicios de
enrutamiento para red de rea local (LAN) y redes de rea extensa (WAN)
utilizados para conectar segmentos de red en entornos de conexin remota o
infraestruturas de redes de oficina.
4. HRA (Health Registration Authority): Componente NAP que distribuye
certificados de salud a los equipos clientes que cumplen las verificaciones de
las polticas de salud realizadas por el servidor NPS.

.
288

Manual Servicios Basicos de Red - 10-Tareas

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Manual Servicios Basicos de Red - 10-Tareas

Uploaded by

Copyright:

Available Formats

Servicios Bsicos de Red

Tcnico en Soporte y Mantenimiento de Equipos de Computacin

Servicios Bsicos de Red

Tcnico en Soporte y Mantenimiento de Equipos de Computacin

Servicios Bsicos de Red

Tcnico en Soporte y Mantenimiento de Equipos de Computacin

Servicios Bsicos de Red

Tcnico en Soporte y Mantenimiento de Equipos de Computacin

Servicios Bsicos de Red

TAREA 1: INSTALAR Y CONFIGURAR EL SERVICIO WINS

Computadora con microprocesador Core I3 o superior.

Sistema operativo Windows.

Equipos virtuales con: Windows Server 2008 y Windows 7.

3. Se activa el asistente que gua en el proceso instalacin.

Tcnico en Soporte y Mantenimiento de Equipos de Computacin

Servicios Bsicos de Red

Operacin 2: CONFIGURAR EL SERVICIO WINS

Tcnico en Soporte y Mantenimiento de Equipos de Computacin

Servicios Bsicos de Red

3) Cliente WINS En Windows Seven - Comprobacin Del Registro WINS:

Servicios Bsicos de Red

5. En el panel derecho de la consola se mostraran los registros activos.

b) Agregar una entrada de Asignacin esttica:

Servicios Bsicos de Red

Configurar del tipo de asociado de replicacin:

6. Cierre la consola WINS.

Servicios Bsicos de Red

2. En el directorio C:\windows\system32, ejecute la utilidad de lnea de

3. Reinicie el servicio WINS usando el comando: net start wins.

Tcnico en Soporte y Mantenimiento de Equipos de Computacin

Servicios Bsicos de Red

7) Restaurar una base de datos WINS:

4. La opcin Restaurar base de datos slo est disponible cuando el servicio

Tcnico en Soporte y Mantenimiento de Equipos de Computacin

Servicios Bsicos de Red

8) Integrar WINS con DNS:

Multicast: desde uno a un grupo de equipos, no a todos, sino a los que se

Tcnico en Soporte y Mantenimiento de Equipos de Computacin

Servicios Bsicos de Red

Obtiene la compatibilidad con clientes anteriores basados en Windows y

Obtiene la compatibilidad con clientes basados en DNS, ya que se les

Tcnico en Soporte y Mantenimiento de Equipos de Computacin

Servicios Bsicos de Red

NOMBRES NETBIOS Y HOSTNAMES:

Servicios Bsicos de Red

Tcnico en Soporte y Mantenimiento de Equipos de Computacin

Servicios Bsicos de Red

El servidor WINS controla las solicitudes de registro de nombres de los clientes

Servicios Bsicos de Red

Tcnico en Soporte y Mantenimiento de Equipos de Computacin

Servicios Bsicos de Red

Windows Server 2008: versiones (32 y 64 bits) Datacenter Edition,

Servicios Bsicos de Red

Tcnico en Soporte y Mantenimiento de Equipos de Computacin

Servicios Bsicos de Red

Tcnico en Soporte y Mantenimiento de Equipos de Computacin

Servicios Bsicos de Red

Servicios Bsicos de Red

Un archivo de controles que indica la ubicacin de la

Servicios Bsicos de Red

Tcnico en Soporte y Mantenimiento de Equipos de Computacin

Servicios Bsicos de Red

RESOLUCIN DE NOMBRES EN WINS