SERVICIOS DE INFRAESTRUCTURA DE RED CON WINDOWS SERVER
ÍNDICE DE CONTENIDOS
1. Características y versiones Microsoft Windows Server 2. Proceso de instalación de un servidor Windows Server
3. Active Directory
3.1. Instalación de Active Directory en el servidor.
3.2. Objetos estándar: Usuarios, grupos y equipos.
3.3. Objetos contenedores: Unidades organizativas, dominios, árboles y bosques.
4. Sistema de archivos: Cuotas de disco. Compartir y Seguridad 4.1. Cuotas de disco.
4.2. Compartir archivos.
4.3. Permisos de Seguridad (NTFS).
5. DHCP
5.1. Funcionamiento general de DHCP.
5.2. Proceso de instalación y configuración del servidor DHCP.
6. DNS
6.1. Estructura del sistema y formato de nombres.
6.2. Funcionamiento del sistema: Clientes y servidores.
6.3. Comparativa nombres NETBIOS vs nombres DNS.
6.4. Instalación y configuración de un servidor DNS.
6.5. Instalación y configuración de un cliente DNS.
7. Principales herramientas administrativas 7.1. Consola Administrador del servidor.
7.2. MSCONFIG, Shell y PowerShell.
7.3. Administración de discos.
7.4. Auditorias. Registro/Visor de eventos.
AUTOR ROBERTO QUIRÓS GARCÍA
1
1. Características y versiones Microsoft Windows Server
Los sistemas operativos Windows Server han sido diseñados como sistemas operativos para servidores en estructuras Cliente-Servidor. En cuanto a las técnicas de administración de CPU, memoria y E/S funcionan de forma similar a sus hermanos Windows 2000 Professional, XP, Vista, 7, 8 o 10.
Las características adicionales que aportan los servidores se pueden resumir en tres conjuntos:
- Soportan hardware más potente (hasta 64 microprocesadores y 2 TBytes de RAM).
- Active Directory: Base de datos centralizada con todos los objetos de la red (ordenadores, usuarios, grupos, permisos, dominios, etc.).
- Inclusión de un enorme número de servicios.
Standard Edition
Enterprise Edition
DataCenter Edition
Número procesadores soportados 1-4 1-8 8-64
Memoria RAM máxima soportada 4GB / 32GB(*) 64GB / 2TB(*) 64GB / 2TB(*)
Reloj procesador mínimo recomendado 2 GHz 3 GHz 3 GHz
Memoria mínima recomendada 1 GB 2 GB 2 GB
Active Directory SI SI SI
Servidor de archivos SI SI SI
Servidor de impresión SI SI SI
Servidor DHCP SI SI SI
Servidor DNS SI SI SI
Servidor VPN SI SI SI
Servidor Web / Aplicaciones SI SI SI
Servidor correo entrante (POP3) Básico Básico Básico
Servidor de correo saliente (SMTP) Básico Básico Básico
Servidor de terminales SI SI SI
Enrutador software SI SI SI
Soporte software RAID1 y RAID5 SI SI SI
Clúster de conmutación por error NO 16 Nodos 16 Nodos
Clúster equilibrio de carga de red SI SI SI
■ Todas las versiones incluyen un modo operativo denominado Server Core: Se suprime casi completamente la interface gráfica, administrándose mediante línea de comandos y lenguaje de scripting muy mejorado basado en .NET Framework denominado PowerShell. Además, se especializa en los roles (funciones) más importantes.
■ La versión siguiente a 2012 Server es Windows 2016 Server, con roles actualizados y plataforma integrada de gestión de almacenamiento, red y clústeres. La última actualización es Windows 2019 Server que, adicionalmente, ofrece integración de servidores On Premise con Azure.
VERSIONES WINDOWS 2008-2012 SERVER
Equilibrio de carga en la red (NLB): La tecnología de equilibrio de carga en la red (NLB) distribuye el tráfico IP entrante a través de un clúster de servidores (conjunto de servidores trabajando en común). Esta tecnología es ideal para posibilitar la escalabilidad y proporciona disponibilidad para servidores Web y de correo.
Clúster de conmutación por error: Proporciona tolerancia a fallos. Varios servidores trabajan juntos y coordinados de tal manera que si uno falla los otros se hacen cargo de su trabajo.
2. Proceso de instalación de un servidor Windows Server
La instalación de un servidor de la red basado en Windows Server es sencilla, muy similar al resto de versiones de Windows. El orden de los pasos puede variar en función de la versión.
PASO 1. Preparación del hardware (real o virtual) con espacio en disco mínimo 20 GBytes.
PASO 2. Arranque desde CD/DVD (Máquinas reales/virtuales) o ISO (Máquinas virtuales)
CD/DVD: Ajustar la opción BOOT SEQUENCE del BIOS Setup.
ISO: Ajustar la opción de utilización de unidad óptica del hardware virtual (Unidad o archivo ISO).
PASO 3. Introducir el DVD del sistema (o asignar ISO) y arrancar el PC.
PASO 4. Selección del Idioma.
PASO 5. Introducción del Código de Producto.
PASO 6. Selección del tipo de instalación (versión e interface: Experiencia de escritorio / Server core).
PASO 7. Aceptación del Contrato de Licencia.
PASO 8. Selección de Tipo de instalación: Actualización sobre Server anterior o instalación limpia.
PASO 9. Ejecución del administrador de disco para preparar las particiones a utilizar.
PASO 10. Extracción y copia de archivos para la instalación del sistema en disco.
PASO 11. Arranque desde el disco duro y continuación de la instalación.
PASO 12. Introducir contraseña del usuario local Administrador local.
PASO 13. Generación del Menú Inicio y del Escritorio para el Administrador local.
PASO 14. FIN DE LA INSTALACIÓN.
TECNOLOGÍAS DE CLUSTER
Al reiniciar en algunas versiones de Windows Server se lanza automáticamente el asistente para las tareas iniciales de configuración, en todo caso hay que tener presentes los siguientes aspectos:
■ El servidor está disponible sin Active Directory, servidor DNS, servidor DHCP, etc.
■ Inicialmente solo dispone de usuarios locales. La conexión al PC se hará con el usuario Administrador local hasta que se instale Active Directory.
■ Al tratarse de un servidor es vital asignarle IP estática fija. Por lo que y ajustar manualmente los parámetros. Si se tiene pensado que sea servidor DNS en la IP del servidor DNS se pondrá 127.0.0.1.
■ También es importante asignarle nombre a la máquina local. Si es el primer servidor obligatoriamente se configurará en trabajo en grupo ya que no existirá ningún servidor controlador de dominio.
■ Una vez instalado y configurado inicialmente el sistema operativo comenzará la labor de administración:
3
3. Active Directory (Servicios de Dominio)
Active Directory es una Base de Datos de los objetos de red organizada de forma estructurada y jerárquica. A la estructura se le denomina Servicios de Directorio (Directory Services). La instalación de Active Directory en un ordenador con Windows Server lo convierte en un controlador de dominio, es decir, le permite administrar usuarios, sesiones, autenticación y permisos de todo un dominio.
3.1. Instalación de Active Directory (Servicios de dominio) en el servidor
Métodos:
(1) Inicio, Ejecutar, DCPROMO.
(2) Consola Administrador del Servidor:
Administrar, Agregar rol Servicios de dominio Active Directory.
Al instalar AD se convierte en controlador de dominio (DC). El DC puede ser de varios tipos:
- Controlador de dominio para un dominio nuevo. Crea un dominio nuevo.
- Controlador Adicional de dominio: Replica a un controlador existente sin crear dominio.
- Dominio Secundario: Crea un dominio dentro de otro (ejemplo: cm.lpzconsulting.com en lpzconsulting.com).
Hay que tener presente que Active Directory utiliza el sistema de nombres de domino (DNS), incluido el nombre del propio servidor. Por esta razón si se selecciona Controlador de dominio para un dominio nuevo hay que lanzar la instalación del servidor DNS, bien desde la propia instalación de Active Directory o bien con los procedimientos descritos en el Epígrafe 6.
NOTA: En el epígrafe 6 se explica el funcionamiento del sistema de nombres de dominio de forma genérica y su implantación en Windows Server.
En el servidor, ahora controlador de domino, desaparecen los usuarios locales una vez instalado Active Directory.
El Administrador local se convierte en el Administrador del dominio.
Los archivos quedan instalados de forma predeterminada en:
■ Base de Datos y Registro: Directorio \ WINDOWS\ NTDS
■ Archivos Públicos del Dominio: Directorio \ WINDOWS \ SYSVOL y subdirectorios
\ WINDOWS \ SYSVOL\ SYSVOL Compartida con el nombre SYSVOL
\ WINDOWS \ SYSVOL\ SYSVOL \ DOMINIO
\ WINDOWS \ SYSVOL\ SYSVOL \ DOMINIO \ POLICIES Contiene las directivas
\ WINDOWS \ SYSVOL\ SYSVOL \ DOMINIO \ SCRIPTS Contiene Comandos de Inicio de Sesión
(Compartida con el nombre NETLOGON)
■ Métodos de desinstalación
Método 1. Consola de Administración del Servidor, Administrar, quitar rol Servicios de dominio Active Directory.
Método 2. Inicio, Ejecutar, DCPROMO.
■ Accesos administrativos
- Consola de Administrador del Servidor, AD DS, Usuarios y Equipos de Active Directory - Consola de Administrador del Servidor, AD DS, Sitios y servicios de Active Directory - Consola de Administrador del Servidor, AD DS, Dominios y confianzas de Active Directory
Ejercicio Instalar Windows Server en una VM (Servidor01), configurarlo e instalar Active Directory.
3.2. Objetos estándar
Son un principal de seguridad. Representan a una persona, permitiendo iniciar sesiones en red y tener acceso a los recursos mediante permisos. En Microsoft Windows pueden ser de dos tipos:
- Usuarios locales: Usuarios de la máquina local que no se conectan a ningún dominio. Se administran con el Administrador de Equipos, Usuarios Locales.
- Usuarios Globales: Usuarios de Active Directory, objetos principales de seguridad que se pueden conectar a un dominio directamente o a un dominio en el que se confía. Se administran con Active Directory mediante cuentas de usuario.
Perfiles de Usuario
Al igual que en los sistemas para estaciones el perfil de usuario la herramienta que permite especificar el aspecto del escritorio, barra de tareas y menú inicio, etc. Ahora hay tres tipos:
- Perfil local: Solo accesible en la estación de trabajo donde se ha creado (se guarda en la carpeta
\Documents and settings\NombreUsuario o bien Usuarios\NombreUsuario de la estación)
- Perfil móvil (red): Perfil accesible en un servidor Windows 2012 que puede modificarse tanto por el propio usuario como por los administradores. Se guarda en el servidor (archivo principal ntuser.dat).
- Perfil obligatorio (red): Perfil accesible en un servidor Windows 2012 que puede modificarse por los administradores (los cambios realizados por los usuarios no tienen efecto). Se guarda en el servidor (archivo principal ntuser.man).
Archivo de comandos para inicio de sesión
Se pueden realizar Scripts (comandos de inicio) en archivos BAT o utilizar Windows Scripting Host (con Visual Basic Script o Java Script). Para facilitar el uso hay variables de acceso a los elementos.
Scripting mediante BAT
Variables principales
Comandos de símbolo Sistema DOS %HOMEDRIVE%: Letra asignada al directorio particular de usuario Comando NET %HOMEPATH%: Ruta de acceso al directorio particular de usuario %OS%: Sistema operativo en el que funciona la estación
%USERDOMAIN%: Dominio en el que está la cuenta de usuario
%USERNAME%: Nombre del usuario
Ejemplo: Crear con un editor un archivo denominado ARCHIVO.BAT con el contenido que se muestra a continuación para asociarlo posteriormente a cuentas de usuario.
@ECHO OFF
NET TIME \\SERVIDOR /YES NET USE F: /DELETE
NET USE F: \\SERVIDOR\PROGRAMAS /YES
Una vez realizado se asigna su ejecución en la ficha de los usuarios a los que se quiera aplicar (ver administración).
■ Usuarios creados en la instalación: Administrador e Invitado (Deshabilitado).
■ Administración: Consola Administrador del Servidor, AD DS, Usuarios y Equipos de Active Directory.
USUARIOS
Principal de Seguridad Entidad a la que se asigna automáticamente un Identificador de Seguridad (SID). Para iniciar sesiones de red y obtener acceso a recursos. Lo son los usuarios, los grupos de seguridad y los equipos (ordenadores unidos al dominio).
Ejercicio Crear al menos cinco usuarios y editar sus propiedades principales.
5 Son listas de objetos (usuarios, equipos y otros grupos). Pueden ser de 2 Tipos y tener 4 Ámbitos.
Grupo de Seguridad: (Principal de Seguridad). Se muestran en las listas de acceso de control discrecional (DACL) pudiendo tener acceso a los recursos mediante permisos.
Grupo de distribución: No son principales de Seguridad. Se utilizan para correo electrónico
Locales: Sólo pueden tener miembros de usuarios locales (W2000 Professional/XP/Vista/7 o Server sin AD).
Local Dominio (AD): Miembros: Elementos de su dominio Concesión Permisos: En su dominio
Global (AD): Miembros: Cualquier dominio Concesión Permisos: En su dominio
Universal (AD): Miembros: Cualquier dominio Concesión Permisos: Cualquier dominio
Locales de Dominio: Se utilizan para definir y administrar los recursos en un solo dominio.
Globales: Su uso simplifica el control de un dominio con usuarios del propio o de otros dominios.
Universales: Se utilizan para consolidar grupos que abarcan varios dominios.
■ Grupos principales creados en la instalación:
Locales de Dominio Globales
Administradores DHCP Administración de Empresas
Administradores DNS Administradores de Esquemas
Administradores Windows Media Administradores del Dominio
Servidores RAS e IAS Controladores del Dominio
Usuarios DHCP Invitados del Dominio
Usuarios WINS … Usuarios del Dominio …
■ Administración: Consola Administrador del Servidor, AD DS, Usuarios y Equipos de Active Directory.
Son objetos que se crean automáticamente al unir las estaciones al dominio y las representan para aplicarles permisos y para que las estaciones reciban las políticas de seguridad del dominio.
Unión de estaciones al dominio
Ya que seguramente todavía no se disponga aún de un servidor DHCP la configuración TCP/IP de las estaciones se hará, de momento, de forma estática (manual), teniendo en cuenta que, de momento, las estaciones tienen que estar en la misma red IP que el servidor y que se pondrá como servidor DNS la IP del servidor Windows, ya que al instalar Active Directory también pasó a ser servidor DNS.
De esta forma el procedimiento a realizar en una estación con Windows 95/98/ME/2000/XP/Vista/7/8/10 para unirla al dominio creado es sencillo:
Paso 1. Acceder a Mi PC. botón derecho Propiedades.
Paso 2. Acceder a la pestaña Nombre de equipo. Pulsar en Cambiar.
Paso 3. Introducir el nombre que se quiere dar al equipo y el nombre del dominio al que se quiere unir.
Paso 4. Se piden las credenciales de un usuario que pueda realizar esta operación (por ejemplo el Administrador del dominio).
A partir de ese momento cuando arranque la estación se puede elegir si trabajar en modo local o conectarse al dominio al que se ha unido.
GRUPOS
Ejercicio: Crear dos grupos y asignarle los usuarios generados en el ejercicio anterior.
EQUIPOS
Ejercicio: Instalar Windows 10 Pro en tres VMs (Estacion01, Estación02 y Estación03) y unirlas al dominio creado.
3.3. Objetos contenedores
Unidad Organizativa
- Conjunto de usuarios, grupos, equipos y otras unidades organizativas.
- No es un Principal de seguridad.
- Es el ámbito más pequeño al que se le pueden aplicar Directivas.
- Se utiliza para ver fácilmente los objetos y facilitar la administración.
Dominio
- Conjunto de equipos definidos por el administrador de una red Windows 2012 Server que comparten una base de datos de directorio común.
- Un dominio tiene un nombre único y permite el acceso a las cuentas de usuario y de grupo.
- Tiene sus propias Directivas de seguridad, representando un límite único de Seguridad.
- Puede tener relaciones de Seguridad (confianza) con otros dominios.
- En general, Active Directory está compuesto por uno o más dominios.
Árbol
- Conjunto de dominios conectados entre sí con relaciones de confianza transitivas y bidireccionales.
- Los dominios del árbol comparten una configuración común.
- Constituyen un espacio de nombres común con una estructura de árbol (como los directorios). Al primero se le denomina raíz, si un dominio A está encima de otro B, se dice que A es dominio principal de B y que B es dominio secundario de A.
Bosque
Conjunto de dominios conectados entre sí con relaciones de confianza transitivas y bidireccionales pero no tienen un espacio de nombres común.
■ Relaciones de Confianza: Permiten a un controlador de dominio A autenticar usuarios de un controlador de dominio B. Se dice que B confía en A. Las relaciones pueden ser:
- Transitivas (dominios de un mismo árbol/bosque) / Intransitivas (dominios de bosques diferentes).
- Bidireccionales (dominios de un mismo árbol/bosque) / Unidireccionales (dominios de bosques diferentes).
Si se une un dominio a un mismo bosque se establecen las relaciones AUTOMÁTICAMENTE.
■ Replicaciones: Sistema por el cual los usuarios y los servicios tienen acceso a cualquier parte del bosque. Para que sea posible el sistema desarrolla un sistema de comunicación AUTOMÁTICO entre los diferentes controladores de dominio del árbol.
■ Administración: Consola de Administrador del Servidor, Dominios y confianzas de Active Directory.
ms.com (raíz)
secundario1.ms.com secundario2.ms.com
terciario. secundario1.ms.com
CONCEPTOS ASOCIADOS
7
4. Sistema de archivos: Cuotas de disco. Compartir y Seguridad
4.1. Cuotas de disco
Las cuotas de disco son un sistema que realiza un seguimiento y controla el uso del espacio de disco en los volúmenes NTFS por parte de los usuarios (locales o de dominio).
Solamente el grupo administradores puede configurar el sistema de cuotas para:
- Evitar que se utilice más espacio de disco del asignado y registrar un evento cuando un usuario sobrepase un límite de espacio de disco especificado.
- Registrar un evento cuando un usuario sobrepase un nivel de advertencia de espacio de disco especificado, es decir, el punto en el que un usuario se acerca a su límite de cuota.
Cuando se habilitan cuotas de disco se pueden configurar dos valores: El límite de la cuota de disco y el nivel de advertencia de la cuota de disco. Por ejemplo, se puede configurar un límite de cuota de disco de 500 MB y un nivel de advertencia de cuota de disco de 450 MB. En este caso, el usuario no puede almacenar más de 500 MB de archivos en el volumen. Si el usuario almacena más de 450 MB de archivos en el volumen se puede configurar el sistema de cuotas de disco para que registre un evento de sistema.
A partir del momento en el que se habiliten las cuotas de disco para un volumen se realizará automáticamente un seguimiento del uso cuantitativo del volumen que hagan todos los usuarios.
Se pueden habilitar cuotas en volúmenes locales, volúmenes de red y unidades extraíbles, pero sólo en los volúmenes a los que se haya aplicado el formato de sistema de archivos NTFS.
No es posible utilizar la compresión de archivos para impedir que los usuarios excedan sus límites de cuota, ya que el seguimiento de los archivos comprimidos se realiza en función de su tamaño sin comprimir. Por ejemplo, si el tamaño de un archivo de 50 MB se reduce a 40 MB después de la compresión, Windows utiliza el tamaño original del archivo para asignar el límite de cuota.
Habilitar cuotas de disco
Para poder habilitar cuotas en un volumen NTFS es necesario ser miembro del grupo Administradores. En los volúmenes que ya contienen archivos Windows calcula el espacio de disco utilizado por todos los usuarios que han copiado, guardado o tomado posesión de archivos del volumen hasta ese momento. El límite de cuota y el nivel de advertencia se aplican a continuación a los usuarios ya existentes con arreglo a los cálculos realizados, así como a los usuarios que empiezan a utilizar el volumen a partir de ese momento. Se pueden establecer distintas cuotas o deshabilitar cuotas para uno o varios usuarios. También se pueden establecer cuotas para determinados usuarios que aún no hayan copiado, guardado o tomado posesión de archivos del volumen.
Para habilitar cuotas de disco hay que proceder con los siguientes pasos:
Paso 1. Abrir Mi PC.
Paso 2. Hacer click con el botón secundario del ratón en el volumen para el que desean habilitar cuotas de disco y, a continuación, hacer click en Propiedades.
Paso 3. En el cuadro de diálogo Propiedades, click en Cuota.
Paso 4. En la pestaña Cuota hay que activar la casilla Habilitar la administración de cuota.
Paso 5. Seleccionar una o varias de las siguientes opciones y, después, hacer click en Aceptar.
Paso 6. Se pueden ajustar los valores de cuota para los usuarios existentes (botón Valores de cuota).
■ Denegar espacio de disco a los usuarios que sobrepasen su límite de cuota
Los usuarios que sobrepasen sus límites de cuota recibirán el error "espacio insuficiente en el disco" y no podrán escribir más datos en el volumen si no eliminan o mueven antes uno o varios archivos. Cada programa trata este error de un modo específico. Para el programa será como si el volumen estuviera lleno. Si se desactiva esta casilla de verificación los usuarios pueden sobrepasar el límite de cuota. Puede ser útil habilitar cuotas y no limitar el uso del espacio de disco cuando no se desea denegar a los usuarios el acceso a un volumen pero sí realizar un seguimiento del uso del espacio de disco por parte de cada usuario. También se puede especificar si debe registrarse o no un evento cuando los usuarios superen su nivel de advertencia de cuota o su límite de cuota.
■ Limitar espacio de disco a
Hay que escribir la cantidad de espacio de disco que pueden utilizar los nuevos usuarios del volumen y la cantidad de espacio de disco que debe utilizarse para que se escriba un evento en el registro del sistema. Los administradores pueden ver estos eventos en el Visor de eventos.
■ Registrar evento cuando un usuario exceda su límite de cuota
Si se han habilitado las cuotas se escribe un evento en el registro de sistema del equipo local cada vez que un usuario sobrepasa su límite de cuota. Los administradores pueden ver estos eventos en el Visor de eventos si aplican el filtro de eventos de disco. De forma predeterminada los eventos de cuota se escriben cada hora en el registro del sistema del equipo local.
■ Registrar evento cuando un usuario exceda su nivel de advertencia
Si se han habilitado las cuotas, se escribe un evento en el registro de sistema del equipo local cada vez que un usuario sobrepasa su nivel de advertencia. Los administradores pueden ver estos eventos en el Visor de eventos si aplican el filtro de eventos de disco. De forma predeterminada los eventos de cuota se escriben cada hora en el registro del sistema del equipo local.
Ejercicio: Asignar cuotas de 100 MBytes en el volumen de sistema del servidor a los usuarios creados.
9 4.2. Compartir archivos
El sistema de compartición de archivos de los sistemas Windows Server es idéntico al de Windows XP/Vista/7/8/10.
Cuando se comparte un directorio o una unidad se establecen permisos de directorio compartido a través de la red (de forma local no quedan protegidos). Las características de esta función (Compartir archivos), ahora denominada Servidor de archivos, son:
- Los permisos se aplican a todos los directorios y archivos de la carpeta compartida.
- Se pueden definir para todas las unidades (FAT, FAT32 y NTFS) y todas las versiones Windows.
- Solo pueden establecer permisos los miembros de: Administradores y Operadores de Servidores.
- Relación de permisos:
Leer Explorar y Ejecutar programas.
Cambiar Lectura, creación, modificar y borrar.
Control Total Todos los de cambiar y tomar posesión de archivos.
Hay que tener presente que al disponer de Active Directory los permisos se establecen a usuarios globales y a grupos de seguridad, y no solo a usuarios/grupos locales.
■ Carpetas compartidas creadas en la instalación: ADMIN$ (administración remota del equipo), IPC$ (comunicación entre programas), NETLOGON (inicio de sesión en red), PRINT$ (administración remota de impresoras) y letraUnidad$ (permite conectar al directorio raíz).
4.3. Permisos de Seguridad (NTFS)
Los permisos de seguridad, al igual que los permisos de directorio compartido, funcionan igual que en los sistemas para estaciones ya que, en este caso, son atributos del sistema de archivos NTFS. Nuevamente hay que tener presente que al disponer de Active Directory los permisos se establecen a usuarios globales y a grupos de seguridad, y no solo a usuarios/grupos locales.
- Los permisos se pueden ajustar manualmente en un directorio o heredar del directorio superior.
- Solo puede cambiarlos el propietario del directorio y quien haya recibido permiso del propietario.
- Los Permisos efectivos para los usuarios que se conectan de forma remota se calculan teniendo en cuanta los permisos de Directorio compartido y los permisos de Seguridad aplicándose LOS MÁS RESTRICTIVOS (de forma local solo se aplican los permisos de Seguridad).
Permisos estándar
Control Total Máximo nivel, comprende todas las acciones
Modificación Permite todas las operaciones menos eliminar, cambiar permisos y tomar posesión Lectura Ver nombres y permisos
Lectura y Ejecución Ver nombres, permisos y Ejecutar programas
Listar Los mismos permisos que Lectura y Ejecución pero sólo aplicables a Carpetas Escribir Crear y modificar archivos. Ver permisos.
Propietario de un directorio, archivo u objeto
Cuando un usuario crea un directorio, un archivo o un objeto pasa, automáticamente, a ser el propietario del elemento. El usuario puede asignar permisos (incluido el permiso especial Tomar Posesión) pero no puede transferir la propiedad a otro usuario. También pueden tomar posesión los Administradores (pero tampoco pueden transferir la Propiedad).
Ejercicio: Crear una estructura de directorios y permisos en el servidor con un directorio para programas a la que accedan los usuarios creados, un directorio personal por usuario al que solo acceda el propio usuario con control total sobre él y un directorio de datos común para todos los usuarios.
5. DHCP
5.1. Funcionamiento general de DHCP
DHCP (Protocolo de Configuración Dinámica de HOST) es un sistema que simplifica el proceso de configuración de todos los parámetros TCP/IP.
Consiste en la asignación de IPs automáticas (dentro de un ámbito seleccionado) por parte de un servidor DHCP (ordenador que proporciona IPs bajo petición) a un HOST que haga una petición de Dirección IP (cliente DHCP).
En la imagen se muestra el funcionamiento de peticiones y concesiones. Los clientes DCHP deben renovar periódicamente sus direcciones IP antes de que expire la concesión.
La información proporcionada por el servidor DHCP al cliente DHCP no se limita a la dirección IP se puede proporcionar tantos datos como en una asignación estática (máscara de subred, puerta de enlace, servidores DNS, etc.).
5.2. Proceso de instalación y configuración del servidor DHCP
Paso 1 Instalación Servidor DHCP. Usar la consola de Administrador del servidor, agregar rol Servidor DHCP.
Paso 2 Autorizar al Servidor DHCP. Administrador del servidor > DHCP > Administrador DHCP.
Paso 3 Crear Ámbito(s). Hay que acceder con Administrador del servidor > DHCP >
Administrador DHCP, Configurar: Nombre del Ámbito, Direcciones IP ofrecidas (Máscara de Subred), Direcciones IP excluidas, Duración de las concesiones, Direcciones IPs reservadas (asignación permanente) y Ajustar las opciones de cada Ámbito (prevalecen sobre las del Servidor).
Paso 4 Activar Ámbitos.
Paso 5 Ajustar Opciones del Servidor:
Opciones de ámbito predeterminadas para todos los Ámbitos, Lista de enrutadores para los clientes DHCP y Opciones DNS.
SEGUIMIENTO DE ACTIVIDAD DEL SERVIDOR
■ Actual: Administrador del servidor > DHCP, Administrador DHCP, Servidor, Ámbito, Concesiones de direcciones.
■ Histórico: La actividad del servidor DHCP se registra en archivos Log situados por omisión en el directorio C: \WINDOWS\SYSTEM32\DHCP. Se puede cambiar en la consola DHCP con el botón secundario del ratón sobre el servidor, Propiedades, ficha Opciones avanzadas.
■ Visor de eventos.
Para que una estación Windows trabaje como cliente DHCP únicamente hay que verificar que este corriendo el cliente DHCP, que en Windows funciona como un servicio, y que se demande su utilización ajustando los parámetros TCP/IP para obtenerlos de forma automática
Ejercicio: Montar un servidor DHCP, Ámbito 192.168.3.1 – 192.168.3.100 y reserva para impresora 192.168.3.54.
Configurar las tres estaciones Windows 10 para obtener direccionamiento IP a través del servidor DHCP.
11
6. DNS
6.1. Estructura del sistema y formato de nombres
El DNS (Sistema de Nombres de Dominio) es un mecanismo que trata de hacer amigable la asignación de nombres a direcciones IP evitando la duplicación de nombres en Internet.
DNS es necesario si los ordenadores están conectados a Internet y se quiere trabajar con nombres en lugar de direcciones IP, por ejemplo con un navegador de Internet. También es necesario si se utiliza Active Directory, ya que DNS es el sistema utilizado para los nombres de los objetos.
La tabla de HOST fue el primer método de asociación nombre Host-Dirección IP. Sigue existiendo en un archivo local de disco pero suele tener básicamente una entrada:
127.0.0.1 localhost
En general DNS consta de:
■ Un espacio de Nombres jerárquico: Este espacio divide la base de datos donde se alojan los Hosts (ordenadores) en elementos denominados dominios.
■ Servidores de nombres de dominio (Servidores DNS): Ordenadores que contienen bases de datos con información acerca de los Hosts y de los subdominios del dominio que controlan (básicamente tablas IP-nombres).
■ Clientes DNS (resolvedores de nombres): Elementos que hacen las peticiones de información a los servidores de nombres de dominio (servidores DNS).
Nombre completo Host + todos sus dominios padres hasta la raíz (separados por puntos).
Formato nombre host.subdominios.dominio
- Máximo por cada campo:63 caracteres - Máximo total:255 caracteres - No se distingue entre minúsculas y mayúsculas
- Dominios y Host no pueden usar los caracteres _ : , / \ ? . @ # ¡ $ % & ( ) { } [ ] ; " < > '
Estructura de dominios de nivel superior y de segundo nivel
Los dominios del nivel más alto, denominado nivel superior, funcionan como registradores de los dominios de segundo nivel. Si se quiere registrar un dominio en ellos (y que por tanto que cuelgue de ellos) por ejemplo zacker.com, hay que pagar una cuota. El espacio original tuvo 7 dominios de alto nivel generales más los dominios de código de país (239 dominios con designación ISO).
com organizaciones comerciales edu organizaciones educativas
gov Instituciones del gobierno int organizaciones internacionales
mil organizaciones militares
net organizaciones de la red org organizaciones no comerciales
ESPACIO DE NOMBRES
6.2. Funcionamiento del sistema: Clientes y servidores
Paso 1. Un usuario especifica un nombre DNS en un sistema cliente.
Paso 2. El Conversor, a través del API, genera una consulta recursiva DNS con el nombre del servidor pedido.
Paso 3. El sistema cliente transmite el mensaje al servidor DNS identificado en su configuración IP.
Paso 4. El servidor DNS del cliente analiza sus registros para ver si es la fuente autorizada (puede resolver el nombre). Si lo es devuelve un mensaje de aceptación, si no lo es genera una consulta iterativa al servidor raíz.
Paso 5. El servidor de nombre de raíz recibe la consulta iterativa y devuelve un mensaje al servidor original.
Paso 6. El servidor genera una nueva consulta iterativa al servidor de dominio de nivel superior. Examina el dominio de segundo nivel pedido y transmite al servidor original una referencia que contiene las direcciones de los servidores autorizados de ese segundo nivel.
Paso 7. El servidor original genera otra consulta iterativa al servidor de segundo nivel, que responde con una lista de servidores de dominio de tercer nivel. Este proceso se repite hasta encontrar la referencia buscada.
Paso 8. Cuando se localiza el servidor transmite al servidor original la dirección en un mensaje de respuesta.
Paso 9. El servidor original devuelve la dirección al sistema cliente.
■ Cliente: Ordenador que hace la consulta.
■ Conversor: El componente del cliente que genera la consulta DNS (resolución de nombre).
■ Tipos de consulta
Recursivas: El servidor recibe la consulta y tiene que dar una respuesta sin consultar a ningún otro.
Iterativas (no recursivas): El servidor puede responder con su información o redirigirse a otro servidor.
■ Servidor: Sistema que tiene la base de datos con nombres, direcciones de Host y subdominios.
■ Servidor Raíz: Servidores que tienen o acceden a la información de todas las direcciones de los servidores autorizados de los dominios de nivel superior en Internet.
■ Búsqueda: Directa (conversión nombre a dirección IP) e Inversa (conversión dirección IP a nombre).
6.3. Comparativa nombres NETBIOS vs nombres DNS
NetBIOS DNS
Tipo Plano Jerárquico
Longitud 15 caracteres (+1) 255 caracteres Serv. Nombres Difusión, Servidor WINS Servidor DNS
Utilización Sistema respaldo, nombres locales Internet / Active Directory
13 6.4. Instalación y configuración de un servidor DNS
Instalación Servidor DNS
Utilizar: Consola de Administrador del servidor, agregar rol Servidor DNS (caso de que no esté instalado).
Accesos administrativos
Utilizar: Consola de Administrador del servidor > DNS > Administrador DNS
Configuración del Servidor
Al crear el dominio con la instalación de Active Directory se ha creado una zona que corresponde al dominio. Por lo tanto no es necesario generar zonas, si bien se pueden efectuar más zonas y modificar la existente.
Los parámetros básicos a configurar son los servidores raíz utilizados (Microsoft ha dispuesto una lista) y la tabla con las direcciones IP y nombres que gestionará el servidor DNS.
Sugerencias de raíz
Una vez abierto el acceso administrativo situarse sobre el servidor a configurar y pulsar el botón secundario del ratón, Propiedades, pestaña Sugerencias de raíz.
Edición de entradas
Las direcciones IP de los hosts y sus nombres DNS deben estar en las tablas del servidor.
Hay tres formas de introducir la información en la tabla:
■ De forma manual creando entradas de registro host.
■ Automáticamente desde un servidor DHCP autorizado.
■ Automáticamente al unir máquinas al dominio.
Creación de zonas
La zona es el inicio de autoridad de la información del dominio. En un dominio con solo dos niveles (dominio y Hosts) zona es sinónimo de dominio.
Cuando se instala un servidor de dominio secundario para una zona existente se realiza una transferencia inicial completa de todos los registros correspondientes a la zona.
A continuación se expone el procedimiento de creación de una zona.
Paso 1. Consola de Administrador del servidor > DNS > Administrador DNS.
Paso 2. Desplegar las ramas del servidor en la parte izquierda de la pantalla.
Paso 3. Situarse sobre el servidor y desplegar las Carpetas Zonas de búsqueda directa y Zonas de búsqueda inversa.
Paso 4. Hacer click con el botón secundario del ratón sobre Zonas de búsqueda directa (o Zonas de búsqueda inversa) y Marcar crear nueva zona.
Paso 5. Seleccionar el tipo de zona:
Principal: Crea la zona (la almacena en Active Directory o en un archivo de texto en función de la casilla Almacenar en Active Directory).
Secundaria: Crea una copia de una zona existente en otro servidor. Proporciona tolerancia a errores y equilibrio de carga.
Zona de código auxiliar: Crea una copia con solo el Servidor de nombres, inicio de autoridad y registro de Host.
Sin privilegios sobre la zona.
Paso 6. Seleccionar el Ámbito de replicación.
Paso 7. Introducir el nombre de la Zona.
Paso 8. Seleccionar procedimiento de actualizaciones dinámicas.
6.5. Instalación y configuración de un cliente DNS
Para que una estación Windows trabaje como cliente DNS únicamente hay que verificar que este corriendo el cliente DNS, que en Windows funciona como un servicio, y que se demande la utilización de un servidor ajustando los parámetros TCP/IP de la estación poniendo la dirección IP del servidor DNS en Propiedades de Red.
Se pueden introducir directamente dos direcciones IP de servidores DNS (Principal y Secundario).
Si se dispone de un servidor DHCP y se ha configurado para que entregue IPs de servidores DNS se puede seleccionar la opción Obtener la dirección del servidor DNS automáticamente.
■ Por último, en la consola de servicios del sistema (services.msc) hay que verificar que el servicio Cliente DNS se está ejecutando correctamente.
Ejercicio: Montar un servidor DNS. Verificar las correctas asignaciones de nombres de estaciones y servidor.
Añadir manualmente dos entradas: Estación04 - 192.168.3.101 y Estacion05 – 192.168.3.102.
15
7. Principales herramientas administrativas
7.1. Administrador del servidor/Consola del servidor
No se trata de una herramienta propiamente dicha, es una potentísima consola que permite acceder de forma centralizada a todas las funciones del servidor, y de todos los servidores y servicios que se agreguen a la consola (locales o remotos).
Ramas
Panel: Administrador del Servidor, Estados de los servicios.
Servidor local: Propiedades del servidor (nombre, direcciones IP, escritorio remoto, etc.) Todos los servidores: Acceso administrativo a otros servidores
Servicios: Acceso a las consolas administrativas de los servicios desplegados, Active Directory, DNS, DHCP, etc.
Accesos directos
Administrar: Gestión de roles y características. Agregar servidores para administrar.
Herramientas: Herramientas tradicionales de Windows (Administración de Equipos, Servicios, Powershell, etc.) Ver: Control de zoom.
Barra de estado servidor: Avisos y eventos relacionados con la administración de los servidores.
7.2. MSCONFIG, Shell y Powershell
Se trata de la herramienta tradicional de todas las versiones de Microsoft Windows para seleccionar las aplicaciones, servicios y modo de arranque también está disponible en Windows Server.
Accesos
(1) botón Inicio, Ejecutar, MSCONFIG.
(2) Consola Administrador del servidor, Herramientas, Configuración del Sistema.
Al igual que todas las versiones de Microsoft Windows, tanto Server como para estaciones, se incluye el intérprete de comandos CMD (COMMAND).
La novedad es que Windows Server, a partir de la versión 2008, dispone de la posibilidad de trabajar en el denominado modo Server Core, es decir únicamente a través de comandos, para lo cual se incluye un intérprete de comandos muy mejorado desde el que se pueden realizar absolutamente todas las tareas de administración: PowerShell.
En modo Server Core se lanza automáticamente, pues no hay otra interface.
En instalaciones completas (ahora denominadas
“Experiencia de Escritorio”) también se puede utilizar, previa instalación de esta característica mediante la Consola Administrador del Servidor, Administrar, Agregar característica.
Una vez instalada estará accesible a través del Menú Inicio.
MSCONFIG
SHELL Y POWERSHELL
17 7.3. Administrador de discos
Utilidad para administrar discos, particiones, volúmenes y unidades lógicas. Dispone de tres zonas de operación, permitiendo dos tipos de acciones (lógicas y físicas).
- Unidades lógicas
Notas sobre el uso
■ Para convertir un Disco Dinámico en básico este no ha de tener ningún volumen (estar vacío).
■ Si se extiende un volumen de un disco simple a más discos se convierte automáticamente en distribuido.
■ Reactivar: Esta opción se utiliza cuando se producen errores de entrada/salida transitorios.
■ Número mínimo de discos físicos para los diferentes tipos de volumen:
Simple (1) Distribuido (2) Seccionado (2) Reflejado (2) RAID5 (3)
SUSTITUCIÓN DE UN DISCO DE UN VOLUMEN REFLEJADO DEFECTUOSO
Paso 1. Ejecutar la Acción Quitar Espejo en el disco que falla, este disco puede ofrecer varios tipos de error:
"Error de Redundancia", "Sin conexión", o simplemente, no aparecer).
Paso 2. Apagar el servidor.
Paso 3. Sustituir el disco defectuoso por uno que funcione.
Paso 4. En el volumen que aun funciona seleccionar Añadir Espejo y asociarlo al nuevo disco.
Paso 5. Durante algunos minutos se copiará el disco y se sincronizará (aparece mensaje "Regenerando").
SUSTITUCIÓN DE UN DISCO DE UN VOLUMEN RAID 5 DEFECTUOSO
Paso 1. Localizar y, previo apagado del servidor, desconectar el disco que falla este disco puede ofrecer varios tipos de error: "Error de Redundancia", "Sin conexión", o simplemente, no aparecer).
Paso 2. Instalar un disco nuevo con espacio libre suficiente para alojar la información.
Paso 3. Posicionarse sobre el volumen y Ejecutar la Acción Reparar Volumen.
Paso 4. La reparación se efectúa en segundo plano (mientras el volumen está marcado como "Regenerando")
Debido al tiempo empleado para las sustituciones, en los servidores que ejecutan aplicaciones críticas (que requieren atención inmediata) es preferible el uso de RAID hardware (se instalan como volúmenes simples).
- Discos Físicos - Volúmenes
Acciones desde Discos Físicos
Crear volúmenes
Convertir en Básico / Dinámico Reactivar Disco
Extraer disco
Acciones lógicas
Crear/Eliminar/Extender volumen Asignar letras
Reactivar volum en Asignar / Quitar Espejo
7.4. Auditorias. Registro/Visor de eventos.
El programa de auditoria de Microsoft Windows determina la gestión de los elementos que desean monitorizarse y las acciones realizadas por los registros. En la práctica se trata de establecer controles:
■ Controles Preventivos: Detienen o previenen un evento. Ejemplos de controles preventivos son la autenticación y los permisos de usuario (Herramienta: Usuarios y Equipos de Active Directory).
■ Controles de Detección: Registran e informan los eventos después de ocurrir. (Herramienta: Registro y Visor de Eventos).
■ Controles de Corrección: Controles establecidos después de un evento para que no se repita.
Registro de Eventos
El Registro de Eventos se almacena en archivos de eventos (.EVT), se organizan en grupos y se pueden visualizar con el Visor de Eventos. Los grupos son los siguientes:
Registro del Sistema: Eventos registrados por los componentes del sistema (hardware y S.O.).
Registro de Aplicación: Eventos registrados por los programas.
Registro de Seguridad: accesos de usuarios, inicios de sesiones, etc.
Componentes añadidos: Servidor DNS, Servicio de Directorio, Replicación, etc.
Operaciones principales con el del visor de eventos
- Limpiar el registro de Eventos.
- Ver un evento (doble click sobre el evento).
- Ajustar las Propiedades del Grupo de eventos: Nombre, número máximo de registros, etc. (Botón derecho sobre el Grupo de evento, Propiedades, General)
- Establecer filtros (Botón derecho sobre el Grupo de evento, Propiedades, Filtro).
- Guardar en un archivo los eventos.
Relación de principales Acciones Auditables
Eventos y Seguridad Acceso a Impresoras Accesos archivos y carpetas
Inicio y cierre de sesión Imprimir Leer
Acceso a objetos Administrar Impresora Escribir Uso de Privilegios Administrar documentos Eliminar Administración de usuarios y grupos Cambio de permisos Ejecutar
Cambios en Directivas de Seguridad Tomar Posesión Cambio de permisos Reinicio y cierre del sistema
Rastreo de procesos
Tomar posesión
Implementación de la auditoria con Windows Server
La auditoría se establece con diferentes herramientas que registran los eventos en el registro. Los elementos a auditar y el acceso a las herramientas son los siguientes:
■ Auditoria de Eventos y Seguridad: Para cada elemento se puede seleccionar auditar aciertos y/o errores.
■ Auditoria de objetos de Active Directory: Consola Administrador del servidor, Usuarios y equipos Active Directory, acceder al menú ver y seleccionar características avanzadas. A continuación hay que elegir el objeto a auditar pulsando con el botón derecho del ratón sobre él, Propiedades, Seguridad, Avanzada, Auditoria. A continuación se eligen las acciones a auditar.
■ Auditoria de Archivos: Botón derecho sobre el volumen de disco, Propiedades, Avanzadas, Auditoria. A continuación se eligen los usuarios y grupos a auditar y, por último, se eligen las acciones a auditar.
■ Auditoria de Impresoras: Panel de Control, Impresoras, Botón derecho sobre la impresora a auditar, Propiedades, Seguridad, Avanzadas, Auditoria. A continuación se eligen los usuarios y grupos a auditar y, por último, las acciones.
