Sunteți pe pagina 1din 401

Contenido

Introduccin a los servicios de directorio


Active Directory

Captulo 1

A.

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . .

16

B.

Funcin del servicio de directorio en la empresa. . . . . . . . . .

16

C.

Posicionamiento e innovaciones de Windows Server 2008 . . . . .

17

1.
2.
3.
4.
5.
6.

.
.
.
.
.
.
.
.
.
.
.
.

17
17
18
18
18
20
20
21
21
21
21
22

Windows Server 2008: estrategia de Microsoft . . . . . . . . . .

23

1. Integracin de la innovacin en Windows Server


2. El nuevo ciclo de productos Windows Server . .
a. Versiones principales . . . . . . . . . .
b. Versiones de actualizacin . . . . . . . .
c. Service Packs . . . . . . . . . . . . .
d. Feature Packs . . . . . . . . . . . . .
3. Windows Server 2008 "R2" . . . . . . . . .
4. Acerca de Windows Server 2003 . . . . . . .

.
.
.
.
.
.
.
.

23
24
24
24
24
25
25
25

Servicios fundamentales y protocolos estndar . . . . . . . . . .

27

D.

E.

Versin principal de Windows Server . . . . . . . . . . . . .


Evoluciones en materia de seguridad . . . . . . . . . . . . .
Acceso a las aplicaciones y movilidad . . . . . . . . . . . . .
Virtualizacin de servidores . . . . . . . . . . . . . . . . .
Novedades aportadas por Windows Server 2008... . . . . . . .
Innovaciones aportadas a Active Directory . . . . . . . . . . .
a. AD DS: Auditora . . . . . . . . . . . . . . . . . . . .
b. AD DS: Gestin granular de las polticas de contrasea . . . .
c. AD DS: Controladores de dominio de slo lectura . . . . . .
d. AD DS: Rearranque de los servicios de dominio Active Directory
e. AD DS: Ayuda en la recuperacin de datos . . . . . . . . .
f. AD DS: Mejoras de la interfaz Active Directory. . . . . . . .

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

DNS: conceptos, arquitectura y administracin Captulo 2


A.

Introduccin al servicio DNS . . . . . . . . . . . . . . . . . .

32

1. Un poco de historia . . . . . . . . . . . . . . . . . . . . . . .

32

Windows Server 2008

Contenido
2. Qu son los servicios DNS? . . . . . . . . . . .
3. Terminologa del sistema DNS . . . . . . . . . .
a. El espacio de nombre DNS (Domain Namespace)
b. Jerarqua DNS y espacio de nombres Internet . .
4. El DNS: base de datos distribuida . . . . . . . .

.
.
.
.
.

34
35
35
39
40

Estructura del espacio DNS y jerarqua de dominios . . . . . . . .

42

1. El dominio raz . . . . . . . . . . . . . . . . . . . . . . . . .
2. Los dominios de primer y segundo nivel . . . . . . . . . . . . . . .

42
42

Los registros de recursos . . . . . . . . . . . . . . . . . . . .

44

Dominios, zonas y servidores DNS. . . . . . . . . . . . . . . .

45

1.
2.
3.
4.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

46
47
55
56
56
59
63
65
66
69
72
74
74
75
75
76
77

E.

Gestin de los nombres multihost . . . . . . . . . . . . . . . .

79

F.

Caducidad y borrado de los registros DNS . . . . . . . . . . . .

79

G.

Opciones de inicio del servidor DNS . . . . . . . . . . . . . . .

82

Recursividad de los servidores DNS y proteccin de los servidores . .

85

1. Bloqueo de los ataques de tipo Spoofing DNS . . . . . . . . . . . .

85

B.

C.
D.

5.
6.
7.
8.

9.

H.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

Dominios DNS y zonas DNS . . . . . . . . . . . . . . . . . .


Zonas y ficheros de zonas . . . . . . . . . . . . . . . . . . .
Nombres de dominio DNS y nombres de dominio Active Directory . .
Tipos de zonas y servidores de nombres DNS . . . . . . . . . . .
a. Servidores de nombres y zonas primarias . . . . . . . . . . .
b. Servidores de nombres y zonas secundarias . . . . . . . . . .
c. Tipos de transferencia de zonas DNS. . . . . . . . . . . . .
d. Servidores de cach y servidores DNS . . . . . . . . . . . .
Establecimiento de las zonas estndar: buenas prcticas . . . . . .
Delegacin de las zonas . . . . . . . . . . . . . . . . . . . .
Uso de los reenviadores . . . . . . . . . . . . . . . . . . . .
Zonas de cdigo auxiliar. . . . . . . . . . . . . . . . . . . .
a. Contenido de una zona de cdigo auxiliar . . . . . . . . . . .
b. Ventajas de las zonas de cdigo auxiliar . . . . . . . . . . .
c. Actualizacin de las zonas de cdigo auxiliar . . . . . . . . .
d. Operaciones en las zonas de cdigo auxiliar . . . . . . . . . .
Reenviadores, zona de cdigo auxiliar y delegacin: buenas prcticas .

.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

Servicios de dominio Active Directory

Contenido

I.
J.

K.

2. Bloqueo de los ataques de tipo Spoofing DNS en servidores de tipo Internet

86

Sntesis de las funciones de los servidores DNS . . . . . . . . . .

86

Comandos de gestin del servicio DNS . . . . . . . . . . . . . .

87

1. El
a.
b.
c.
2. El
3. El
4. El
5. El

88
88
89
91
92
93
95
96

comando ipconfig . . . . . . . . . . . .
Administracin de la cach del cliente DNS y
Renovacin de la inscripcin del cliente DNS
Nuevas opciones del comando ipconfig . . .
comando NSLookup . . . . . . . . . . .
comando DNSCmd . . . . . . . . . . . .
comando DNSLint . . . . . . . . . . . .
comando Netdiag . . . . . . . . . . . .

. . .
de los
. . .
. . .
. . .
. . .
. . .
. . .

. . . . . . . .
registros dinmicos
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .

Supervisin del servicio DNS . . . . . . . . . . . . . . . . . .


1.
2.
3.
4.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

98
102
103
105

Restauracin de los parmetros predeterminados . . . . . . . . .

106

M. Interfaz NetBIOS y Configuracin DNS del cliente Windows XP


Professional . . . . . . . . . . . . . . . . . . . . . . . . .

108

1. A propsito de la interfaz NetBIOS . . . . . . . . . . . . . .


a. Interfaz NetBIOS y configuracin DNS del cliente Windows XP
Professional . . . . . . . . . . . . . . . . . . . . . .
b. Tipos de nombres tolerados . . . . . . . . . . . . . . .
c. Posicionamiento de la interfaz NetBIOS en relacin con TCP/IP.
2. Plataforma Windows e interfaz Windows . . . . . . . . . . . .
a. Servicios NetBIOS y cdigos de servicios Microsoft . . . . . .
b. Resolucin de nombre NetBIOS . . . . . . . . . . . . . .
c. Orden de las resoluciones NetBIOS . . . . . . . . . . . .
d. Orden de resolucin de una estacin de trabajo de tipo H-nodo
e. Interfaz y nombres NetBIOS, resoluciones WINS y dominios
Active Directory. . . . . . . . . . . . . . . . . . . . .
3. Configuracin de un puesto cliente Active Directory . . . . . . .
a. A propsito de los clientes Active Directory . . . . . . . . .

Windows Server 2008

.
.
.
.

.
.
.
.

98

.
.
.
.

L.

Definicin de una base de referencia . . . .


Uso de la consola Administracin del servidor
Uso de los visores de sucesos . . . . . . .
Uso de los registros de depuracin DNS . . .

. . .

108

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

108
108
109
109
109
112
113
113

. . .
. . .
. . .

117
117
117

.
.
.
.
.
.
.
.

Contenido

N.

b. Estaciones de trabajo Windows XP y configuracin DNS necesaria


para los entornos de dominios Active Directory . . . . . . . . . .
4. Peticiones de resolucin DNS y NetBIOS: Proceso de seleccin del mtodo
5. Prueba de integracin del equipo en el dominio Active Directory . . . . .

123
133
133

Novedades del servicio DNS de Windows Server 2008 . . . . . . . .

134

1.
2.
3.
4.
5.
6.

.
.
.
.
.

134
134
135
135
136

. . . . . .

138

. . . . . .

138

Introduccin . . . . . . . . . . . . . . . . . . . . .
Carga de zonas en segundo plano. . . . . . . . . . . .
Soporte de direcciones IPv6 . . . . . . . . . . . . . .
Soporte DNS de los controladores de dominio de slo lectura
Soporte de zonas de tipo GlobalNames . . . . . . . . .
Evoluciones de la parte cliente DNS de Windows Vista y
Windows Server 2008 . . . . . . . . . . . . . . . .
7. Seleccin de controladores de dominio con Windows Vista y
Windows Server 2008 . . . . . . . . . . . . . . . .

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

Integracin de las zonas DNS


en Active Directory
A.
B.

.
.
.
.
.

Captulo 3

Introduccin a la integracin de las zonas DNS en Active Directory .

142

Almacenamiento de las zonas DNS y replicacin de Active Directory .

142

1. Objetos ordenadores Active Directory y denominaciones . . . . . .


2. Ventajas de la integracin de las zonas DNS en Active Directory . . .
a. Actualizacin en modo multimaestro . . . . . . . . . . . . .
b. Seguridad avanzada de los controles de acceso en la zona y
en los registros . . . . . . . . . . . . . . . . . . . . . .
3. Particiones predeterminadas disponibles con Windows 2000 . . . .
4. Integracin de las zonas DNS en Active Directory con Windows 2000
5. Integracin de las zonas DNS en Active Directory con Windows Server
y Windows Server 2008. . . . . . . . . . . . . . . . . . . .
a. ForestDnsZones.NombreBosqueDns . . . . . . . . . . . . .
b. DomainDnsZones.NombredeDominioDns . . . . . . . . . . .
c. Utilizacin de otras particiones del directorio de aplicaciones. . .
d. Creacin de una particin en el directorio de aplicaciones
Active Directory. . . . . . . . . . . . . . . . . . . . . .
e. Replicacin de las particiones del directorio de aplicaciones
y caso de los catlogos globales . . . . . . . . . . . . . . .

. .
. .
. .

143
145
145

. .
. .
. .
2003
. .
. .
. .
. .

146
149
151

. .

157

. .

158

153
155
156
156

Servicios de dominio Active Directory

Contenido
f.

Almacenamiento de las zonas, particiones de aplicaciones y


replicaciones . . . . . . . . . . . . . . . . . . . . . . . . .
g. Zonas DNS integradas en Active Directory y particiones de directorio
ADAM . . . . . . . . . . . . . . . . . . . . . . . . . . .
h. Condiciones necesarias para realizar un cambio de almacenamiento. .
i. Sugerencias de raz . . . . . . . . . . . . . . . . . . . . . .
j. Almacenamiento de las zonas en Active Directory y registros dinmicos
de los controladores de dominio Windows 2000, Windows Server 2003
y Windows Server 2008 . . . . . . . . . . . . . . . . . . . .
6. Proteger las actualizaciones dinmicas. . . . . . . . . . . . . . . .
a. Configurar las actualizaciones dinmicas seguras . . . . . . . . . .
7. Actualizaciones seguras y registros DNS realizados a travs de DHCP. . .
a. Uso del grupo especial DNSUpdateProxy para realizar
las actualizaciones dinmicas de las zonas DNS seguras . . . . . .
b. Proteccin de los registros al usar el grupo DnsUpdateProxy . . . . .
c. Proteccin de las zonas DNS y poder del servicio servidor DHCP
sobre los controladores de dominio Active Directory . . . . . . . .
d. Comando Netsh y declaracin de la autenticacin del servidor DHCP .
8. Conflictos de gestin de las confianzas en las zonas DNS . . . . . . . .

C.

Integracin de los servidores DNS Windows con el servidor existente .


1. A propsito de los RFC soportados por el servicio DNS
de Windows Server 2003 y Windows Server 2008 . . . . . . . . .
2. A propsito de los RFC 1034 y 1035 . . . . . . . . . . . . . . .
3. Consulta de los RFC en la Web. . . . . . . . . . . . . . . . . .
4. Interoperabilidad de los servicios DNS de Windows Server 2003 y 2008 .
5. Problemas de compatibilidad y bsquedas directa e indirecta WINS . .
6. Especificidad del DNS de Windows 2000 Server, Windows Server 2003 y
Windows Server 2008 e integracin dinmica en los servidores DHCP . .
7. Autorizaciones de las transferencias de zona . . . . . . . . . . . .

Localizacin de servicios Active Directory


y servicios DNS

159
159
162
162

163
164
164
167
170
170
171
173
173

174

.
.
.
.
.

174
175
176
176
176

.
.

177
177

Captulo 4

A.

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . .

180

B.

Servicio de Localizacin DNS y seleccin de los controladores


de dominio. . . . . . . . . . . . . . . . . . . . . . . . . .

180

Windows Server 2008

Contenido
C.

Estructura DNS e integracin en el directorio Active Directory . . . .

D.

Registros DNS "Ubicacin de servicio" de los controladores de dominio 187


1. Estructura de acogida de la zona DNS para los registros de recursos
de tipo SRV . . . . . . . . . . . . . . . . . . . . . . . .
a. A propsito del registro de recursos DNS de tipo SRV. . . . .
b. Registros SRV inscritos en el servicio "Inicio de sesin de red" .
c. A propsito del registro DsaGuid._msdcs.NombredeBosque . .
d. Registros de recursos para los clientes no compatibles
con los registros SRV . . . . . . . . . . . . . . . . . .
2. Servidores DNS no dinmicos y registros dinmicos
de los controladores de dominio . . . . . . . . . . . . . . .
3. A propsito de la zona DNS del dominio raz del bosque . . . . .

E.
F.
G.

.
.
.
.

188
189
191
194

. . .

194

. . .
. . .

194
195

Restricciones y problemas potenciales . . . . . . . . . . . . . .

196

.
.
.
.

Control rpido de los registros de recursos . . . . . . . . . . . .

197

1. Pruebas de registros DNS . . . . . . . . . . . . . . . . . . . . .

197

Gestin del problema de la transicin de los controladores


de dominio NT a Active Directory . . . . . . . . . . . . . . . .

200

Componentes de la estructura lgica


A.

.
.
.
.

185

Captulo 5

Introduccin a los componentes de la estructura lgica . . . . . . .

206

Los dominios . . . . . . . . . . . . . . . . . . . . . . . . .

206

1.
2.
3.
4.

. . . . . .
. . . . . .
. . . . . .

208
209
213

. . . . . .
. . . . . .
. . . . . .

214
216
217

C.

Controladores de dominio y estructura lgica . . . . . . . . . . .

220

D.

Las unidades organizativas (OU) . . . . . . . . . . . . . . . .

223

E.

Los rboles . . . . . . . . . . . . . . . . . . . . . . . . .

229

B.

Contenedor (container) dentro del bosque . . . . . . . .


Niveles funcionales de los dominios . . . . . . . . . . .
Gestin de las directivas en los dominios. . . . . . . . .
Delegacin de la administracin de dominios y control
de los parmetros especficos de dominio . . . . . . . .
5. Uso del dominio como unidad de replicacin elemental. . .
6. Lmites del dominio Active Directory y delegacin obligatoria

Servicios de dominio Active Directory

Contenido
F.

Los bosques . . . . . . . . . . . . . . . . . . . . . . . . .

237

1. Criterios, funcin y buen uso de los bosques . . . . . . . . . . . . . 239


2. Configuracin del bosque y del dominio raz . . . . . . . . . . . . . 239
3. Activacin de las nuevas funcionalidades de bosque de Windows Server 2003
y de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . 241
4. Unidades de replicacin y funcin de los bosques . . . . . . . . . . . 246
5. Maestros de operaciones FSMO de bosques . . . . . . . . . . . . . 249
6. El bosque y la infraestructura fsica Active Directory . . . . . . . . . . 249
7. Fronteras de seguridad y funcin de los bosques . . . . . . . . . . . 251
8. Confianzas dentro de los bosques Active Directory . . . . . . . . . . . 253
a. Beneficios de la transitividad en las confianzas . . . . . . . . . . 253
b. Estructura del bosque y confianzas . . . . . . . . . . . . . . . 254
c. Confianzas y objetos TDO en los bosques Active Directory . . . . . . 255
d. Tipos de confianza soportadas . . . . . . . . . . . . . . . . . 259
e. Bosques Windows Server (2003 o 2008) y confianzas de bosques . . 261
f. Enrutamiento de los sufijos de nombres y confianzas en el bosque . . 262
g. Uso del comando Netdom para crear y administrar confianzas . . . . 265

G.

xito del proceso de actualizacin de Active Directory a los servicios


de dominio Active Directory de Windows Server 2008 . . . . . . .
1. Comprobaciones y gestin de los riesgos . . . . . . . . . . . . .
2. Preparacin de la infraestructura Active Directory
para Windows Server 2008 . . . . . . . . . . . . . . . . . .
3. Implementacin de un nuevo controlador Windows Server 2008 AD DS
4. Reasignacin de funciones FSMO . . . . . . . . . . . . . . . .
5. Operaciones de finalizacin Post Migracin . . . . . . . . . . . .
a. Modificacin de las directivas de seguridad de los controladores
de dominio . . . . . . . . . . . . . . . . . . . . . . .
b. Actualizacin de las autorizaciones de objetos GPO
para los dominios migrados a partir de Windows 2000 . . . . .

Grupos, OUs y delegacin


A.
B.

266

. .

267

.
.
.
.

.
.
.
.

267
269
269
270

. .

270

. .

271

Captulo 6

Introduccin a los grupos, OUs y delegacin . . . . . . . . . . .

274

Uso de los grupos en el entorno Active Directory . . . . . . . . .

274

1. Los diferentes tipos de grupos Windows . . . . . . . . . . . . . . .

274

Windows Server 2008

Contenido
a. Los grupos de seguridad . . . . . . . .
b. Los grupos de distribucin . . . . . . .
2. mbito de los grupos . . . . . . . . . . .
a. Los grupos globales . . . . . . . . . .
b. Los grupos locales de dominio . . . . .
c. Los grupos universales . . . . . . . . .
3. Reglas generales relativas a los objetos grupos
a. Uso correcto de las cuentas de grupo . .
b. Uso correcto de los grupos universales . .

C.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

275
276
276
276
277
277
278
278
279

Definicin de una estructura de unidades organizativas . . . . . . . .

279

1. Funcin de los objetos unidades organizativas . . . . . . . . .


2. Uso de las unidades organizativas y relacin con la organizacin
de la empresa . . . . . . . . . . . . . . . . . . . . . . .
3. Delegacin de la autoridad de administracin y uso de las unidades
organizativas . . . . . . . . . . . . . . . . . . . . . . .
a. Estructura basada en la naturaleza de los objetos administrados
b. Estructura basada en las tareas de administracin . . . . . .
c. Factores a integrar en la definicin de una jerarqua de unidades
organizativas . . . . . . . . . . . . . . . . . . . . . .
1. Uso de las unidades organizativas para las directivas de grupo . .
2. Reglas generales y buenas prcticas. . . . . . . . . . . . . .

. . .

279

. . .

280

. . .
. . .
. . .

282
282
283

. . .
. . .
. . .

283
288
288

Principios fundamentales
de las directivas de grupo
A.

.
.
.
.
.
.
.
.
.

Captulo 7

Tecnologa IntelliMirror . . . . . . . . . . . . . . . . . . . .

292

1. Introduccin . . . . . . . . . . . . . . . . . . . . . . . .
2. Aportacin para la empresa . . . . . . . . . . . . . . . . .
3. Modificaciones realizadas a las GPO por los clientes Windows Vista
a. Mejora de la deteccin de red (Network Location Awareness) .
b. Directivas locales mltiples (LGPO) . . . . . . . . . . . .
c. Mejor gestin de los mensajes de eventos. . . . . . . . . .
d. Antiguos ADM y nuevos ADMX . . . . . . . . . . . . . .
e. Windows Vista soporta numerosas nuevas categoras . . . . .

292
292
294
295
295
296
296
298

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

Servicios de dominio Active Directory

Contenido
4. Novedades aportadas en las estaciones cliente gracias a los cambios
en las directivas de grupo de Windows Server 2008 . . . . . . . . . .
a. La administracin centralizada de los parmetros de gestin de energa
b. Mejoras aportadas a los parmetros de seguridad . . . . . . . . .
c. Mejora de la gestin de los parmetros vinculados a Internet Explorer .
d. Asignacin de impresoras en funcin del sitio Active Directory . . . .
e. Delegacin de la instalacin de controladores de impresora a travs
de las GPO. . . . . . . . . . . . . . . . . . . . . . . . . .
f. Nuevos objetos "GPO Starter" . . . . . . . . . . . . . . . . . .
g. Parmetros del protocolo NAP - Network Access Protection . . . . .
5. Nuevas preferencias de directivas de grupo de Windows Server 2008 . .
a. Preferencias o directivas de grupo? . . . . . . . . . . . . . . .
b. Despliegue e implementacin de Preferencias de directivas de grupo .
c. Familias de parmetros soportadas por las Preferencias de directivas
de grupo. . . . . . . . . . . . . . . . . . . . . . . . . . .
d. Operaciones y Acciones en los Elementos de las Preferencias . . . .
e. Parar el tratamiento de los elementos de esta extensin si se produce
un error . . . . . . . . . . . . . . . . . . . . . . . . . . .
f. Ejecutar en el contexto de seguridad del usuario conectado
(opcin de directiva de usuario) . . . . . . . . . . . . . . . . .
g. Eliminar el elemento cuando no se aplica . . . . . . . . . . . . .
h. Aplicar una vez y no volver a aplicar . . . . . . . . . . . . . . .
i. Seleccin a nivel del elemento de Preferencias. . . . . . . . . . .
j. Utilizacin de variables en el editor de seleccin . . . . . . . . . .
k. Seguimiento de la ejecucin de las Preferencias de directivas de grupo

B.

298
298
300
300
301
301
302
303
304
305
307
309
312
313
313
314
314
314
315
316

Creacin y configuracin de objetos de directiva de grupo. . . . . .

318

1. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . .
2. Directivas de grupo y relacin con las tecnologas . . . . . . . . .
3. Qu contiene una directiva de grupo? . . . . . . . . . . . . . .
a. Plantillas administrativas . . . . . . . . . . . . . . . . . .
b. Reglas de seguridad para los ordenadores y plantillas de seguridad
c. Administracin de las aplicaciones . . . . . . . . . . . . . .
d. Administracin de la ejecucin de archivos de comandos . . . .
e. Administracin de los servicios de instalacin remota RIS . . . .

318
318
319
319
321
327
331
331

Windows Server 2008

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

Contenido
f.

4.

5.

6.

7.

8.

10

Administracin de los parmetros de configuracin y seguridad


de Internet Explorer . . . . . . . . . . . . . . . . . . . . . .
g. Redireccionamiento de las carpetas de usuario (carpetas especiales) .
h. Qu es una directiva de grupo?. . . . . . . . . . . . . . . . .
i. Qu es una directiva local? . . . . . . . . . . . . . . . . . .
Estructura fsica de una directiva de grupo . . . . . . . . . . . . . .
a. Objeto contenedor de directiva de grupo . . . . . . . . . . . . .
b. Plantilla de la directiva de grupo . . . . . . . . . . . . . . . .
c. Componentes de una directiva de grupo . . . . . . . . . . . . .
d. Plantillas de directivas de grupo ADMX para Windows Vista . . . . .
e. Creacin de "Central Store" en SYSVOL . . . . . . . . . . . . . .
f. Recomendaciones sobre la administracin de las GPO
en Windows Vista. . . . . . . . . . . . . . . . . . . . . . .
Aplicacin de las directivas de grupo en el entorno Active Directory . . .
a. Aplicacin con la plantilla S,D,OU y orden de procesamiento. . . . .
b. Dominios Active Directory y dominios NT: L, S, D, OU y 4, L, S, D, OU
c. Vnculos de las directivas de grupo a los objetos Sitios, Dominio y
Unidades Organizativas y herencia . . . . . . . . . . . . . . . .
d. Vnculos y atributo gPLink . . . . . . . . . . . . . . . . . . .
e. Seleccin del controlador de dominio preferido. . . . . . . . . . .
Creacin de una directiva de grupo con las herramientas de Active Directory
a. Uso de la consola de administracin MMC Usuarios y equipos
Active Directory . . . . . . . . . . . . . . . . . . . . . . . .
b. Utilizacin de la consola de administracin MMC Sitios y servicios
Active Directory . . . . . . . . . . . . . . . . . . . . . . .
Creacin de una directiva de grupo con la GPMC . . . . . . . . . . .
a. Creacin de una directiva de grupo no vinculada . . . . . . . . . .
b. Creacin de una directiva de grupo vinculada . . . . . . . . . . .
c. Administracin de los vnculos de directiva de grupo . . . . . . . .
d. Eliminacin de una directiva de grupo . . . . . . . . . . . . . .
e. Desactivacin de una directiva de grupo . . . . . . . . . . . . .
Administracin del despliegue . . . . . . . . . . . . . . . . . . .
a. Administracin de los conflictos de procesamiento de las directivas
de grupo . . . . . . . . . . . . . . . . . . . . . . . . . .
b. Administracin del filtrado del despliegue de directivas de grupo . . .
c. Puntos importantes . . . . . . . . . . . . . . . . . . . . . .

333
334
338
338
340
340
343
344
345
350
351
352
352
355
356
357
357
360
361
362
363
363
363
363
364
365
365
365
367
369

Servicios de dominio Active Directory

Contenido

C.

d. Definicin de los filtros WMI . . . . . . . . . . . . . . . . . .

370

Configuracin de los parmetros de actualizacin de las directivas


de grupo. . . . . . . . . . . . . . . . . . . . . . . . . . .

374

1. Restauracin de las directivas de grupo . . . . . . . . . . . . . .


a. Restauracin de directivas en segundo plano . . . . . . . . . .
b. Ciclo de restauracin . . . . . . . . . . . . . . . . . . . .
c. Restauracin a peticin . . . . . . . . . . . . . . . . . . .
2. Configuracin de la frecuencia de restauracin de las directivas de grupo
3. Restauracin con Gpupdate.exe. . . . . . . . . . . . . . . . . .
4. Procesamiento de los componentes de las directivas de grupo
en los vnculos de baja velocidad . . . . . . . . . . . . . . . . .
a. Procesamiento de la configuracin de directivas de grupo
no modificadas . . . . . . . . . . . . . . . . . . . . . . .
b. Activacin de la deteccin de vnculos lentos . . . . . . . . . .
c. Forzado de la aplicacin de la configuracin de la directiva incluso
cuando sta no ha cambiado . . . . . . . . . . . . . . . . .
5. Prohibicin de la restauracin para usuarios . . . . . . . . . . . .
6. Procesamiento por bucle invertido (Loopback). . . . . . . . . . . .

D.

.
.
.
.
.
.

374
374
374
374
375
376

377

.
.

378
378

.
.
.

379
381
381

Administracin de las directivas de grupo con la consola GPMC . . .

383

1. Operacin de copia de seguridad y restauracin de las directivas


de grupo . . . . . . . . . . . . . . . . . . . . . . . .
2. Operacin de copia de directivas de grupo . . . . . . . . . .
3. Operacin de importacin de la configuracin . . . . . . . . .
a. Por qu usar la funcionalidad de importacin de la GPMC? .
b. Uso de una tabla de correspondencias entre los objetos
de diferentes dominios o bosques . . . . . . . . . . . .

E.
F.

.
.
.
.

383
385
386
386

. . . .

386

Comprobacin y resolucin de problemas relativos a las directivas


de grupo con RsoP . . . . . . . . . . . . . . . . . . . . . .

387

Delegacin del control administrativo de directivas de grupo . . . .

387

1. Conceder una delegacin a travs del grupo Propietarios del creador


de directivas de grupo . . . . . . . . . . . . . . . . . . . . . .
2. Conceder una delegacin con ayuda de la consola de administracin GPMC
a. Conceder la delegacin de los vnculos de las directivas de grupo . . .
b. Conceder un permiso de modelacin de directivas de grupo . . . . .

389
390
390
391

Windows Server 2008

.
.
.
.

.
.
.
.

.
.
.
.

11

Contenido

G.

c. Conceder una delegacin de creacin de filtros WMI . . . . . . . .

392

Recomendaciones para la definicin de una directiva de grupo


para la empresa . . . . . . . . . . . . . . . . . . . . . . .

393

Despliegue y administracin del software


A.

B.

C.

D.

12

Captulo 8

Introduccin a la administracin del software . . . . . . . . . . .

396

1. IntelliMirror y la administracin del software . . . . . . . . . . . . .


2. El ciclo de vida del software . . . . . . . . . . . . . . . . . . . .

396
397

Despliegue de software . . . . . . . . . . . . . . . . . . . .

401

1. Las diferentes etapas . . . . . . . . . . . . . . . . . . . .


a. Disponer de un paquete MSI . . . . . . . . . . . . . . .
b. Desplegar el software: Distribucin y seleccin de objetivos . .
c. Asegurar el mantenimiento del software . . . . . . . . . .
d. Eliminar el software . . . . . . . . . . . . . . . . . . .
2. Tecnologa Windows Installer y tipos de paquetes . . . . . . . .
a. Programas con formato Microsoft Windows Installer . . . . .
b. Aplicaciones reempaquetadas en formato MSI . . . . . . . .
c. Archivos .Zap . . . . . . . . . . . . . . . . . . . . .
d. Observaciones generales sobre los diferentes tipos de formatos
de instalacin . . . . . . . . . . . . . . . . . . . . .

.
.
.
.
.
.
.
.
.

401
401
402
405
405
406
406
408
409

. . .

411

Configuracin del despliegue del software . . . . . . . . . . . .

411

1. Creacin de un nuevo despliegue de aplicaciones . . .


a. Creacin o modificacin de una directiva de grupo .
b. Configuracin de las opciones de despliegue . . .
c. Asociacin de las extensiones de archivos. . . . .
d. Creacin de categoras de las aplicaciones pblicas.

.
.
.
.
.

411
411
414
417
417

Mantenimiento de los programas desplegados . . . . . . . . . . .

418

1. Actualizacin de las aplicaciones . . . . . . . . . . . . . . . . . .


2. Despliegue de los Services Packs y actualizaciones . . . . . . . . . .
3. Eliminacin del software. . . . . . . . . . . . . . . . . . . . . .

418
420
422

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.

Servicios de dominio Active Directory

Contenido

Configuracin de las funciones de servidores


con los servicios AD
A.

B.

Captulo 9

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . .

426

1.
2.
3.
4.

.
.
.
.

426
427
429
431

Active Directory Certificate Services (AD CS) . . . . . . . . . . .

431

1. Introduccin a las infraestructuras de claves pblicas (PKI) . . . . .


2. Los diferentes tipos de certificados . . . . . . . . . . . . . . .
a. Introduccin . . . . . . . . . . . . . . . . . . . . . . .
b. Naturaleza y contenido de un certificado digital . . . . . . . .
c. Certificados X.509 versin 1 . . . . . . . . . . . . . . . .
d. Certificados X.509 versin 2 . . . . . . . . . . . . . . . .
e. Certificados X.509 versin 3 . . . . . . . . . . . . . . . .
3. Los certificados y la empresa. . . . . . . . . . . . . . . . . .
a. Relacin entre los certificados y las autenticaciones . . . . . .
b. mbito de utilizacin de los certificados . . . . . . . . . . .
c. Utilizacin de los certificados digitales en la empresa . . . . . .
d. Certificados de Usuarios . . . . . . . . . . . . . . . . . .
e. Certificados de equipos . . . . . . . . . . . . . . . . . .
f. Certificados de aplicaciones. . . . . . . . . . . . . . . . .
4. Almacenamiento de los certificados . . . . . . . . . . . . . . .
a. Introduccin . . . . . . . . . . . . . . . . . . . . . . .
b. Almacenamiento de certificados e interfaz CryptoAPI . . . . . .
c. Visualizacin de los certificados: Almacn lgico y almacn fsico .
d. Archivado local de los certificados expirados. . . . . . . . . .
e. Estructura de almacenamiento del almacn de certificados lgico .
f. Origen de los certificados almacenados en los almacenes . . . .
g. Proteccin y almacenamiento de claves privadas . . . . . . . .
5. Consola de administracin MMC de certificados . . . . . . . . . .
6. Nuevas interfaces criptogrficas de Windows Vista y
Windows Server 2008 . . . . . . . . . . . . . . . . . . . .

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

431
432
432
437
440
441
442
452
452
454
459
461
461
463
464
464
464
466
466
467
469
470
471

. .

472

Servicios de directorio de Windows 2000 Server y servicios asociados


Servicios de directorio de Windows Server 2003 y servicios asociados
Servicios de directorio de Windows Server 2003 R2 y servicios asociados
Servicios de directorio de Windows Server 2008 y servicios asociados

Windows Server 2008

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

13

Contenido
a. Interfaz CNG (Cryptographic API Next Generation) . . . . . . . . .
7. Servicios de certificados de Windows Server 2008. . . . . . . . . . .
a. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . .
b. Por qu utilizar una PKI Microsoft Windows Server en lugar de otra? .
c. Importancia de la Arquitectura de una infraestructura de clave pblica
8. Novedades aportadas por las Autoridades Windows Server 2008 . . . .
a. Nuevo componente MMC PKI de empresa . . . . . . . . . . . .
b. Inscripcin de los dispositivos de red con el protocolo MSCEP . . . .
c. Evolucin de los mtodos de inscripcin Web con AD CS . . . . . .
d. OCSP y parmetros de validacin de la ruta de acceso . . . . . . .

472
473
473
475
476
477
478
479
486
490

Active Directory Federation Services (AD FS) . . . . . . . . . . .

502

1.
2.
3.
4.

.
.
.
.

502
505
505
508

Active Directory Lightweight Directory Services (AD LDS) . . . . . . . .

509

1.
2.
3.
4.

.
.
.
.

509
510
511
523

Active Directory Rights Management Services (AD RMS) . . . . . .

524

1.
2.
3.
4.
5.
6.

.
.
.
.
.
.

524
525
525
527
534
542

ndice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

545

C.

D.

E.

14

Conceptos fundamentales . . . . . . . . . . . . .
AD FS: Novedades aportadas por Windows Server 2008
Instalacin de la funcin AD FS . . . . . . . . . .
Referencias para AD FS con Windows Server 2008 . .

.
.
.
.

Conceptos fundamentales . . . . . . . . . . . . . .
AD LDS: Novedades aportadas por Windows Server 2008
Instalacin de la funcin AD LDS . . . . . . . . . . .
Referencias para AD LDS con Windows Server 2008 . .

.
.
.
.

.
.
.
.

Introduccin . . . . . . . . . . . . . . . . . . . . .
Conceptos fundamentales . . . . . . . . . . . . . . .
AD RMS: Novedades aportadas por Windows Server 2008 .
Instalacin de la funcin AD RMS de Windows Server 2008
Validacin del buen funcionamiento de la plataforma RMS .
Referencias para AD RMS con Windows Server 2008 . . .

.
.
.
.

.
.
.
.

.
.
.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.
.
.

Servicios de dominio Active Directory

WindowsServer2008
los servicios de dominio Active Directory

JeanFranoisAPRA

Resumen
Este libro sobre Active Directory se dirige a arquitectos y administradores de redes interesados en disear y administrar una infraestructura de
servicios de dominio Active Directory con Windows Server 2008. El enfoque arquitectura del libro permite al lector comprender correctamente
los conceptos esenciales y tomar conciencia de las buenas prcticas.
Los primeros captulos describen la implementacin y la administracin de los servicios DNS con los servicios Active Directory. Los captulos
siguientes tratan sobre los elementos de estructura como los dominios, las OU, los rboles, los bosques y la creacin y la configuracin de los
objetos directiva de grupo (nueva GPMC, anlisis y modelizacin RSoP, delegacin). Se presentan las nuevas posibilidades de las
Preferencias de directivas de grupo y el ciclo de vida del software se trata a travs de la gestin del software en las infraestructuras Active
Directory.
El ltimo captulo aborda la configuracin de las funciones de servidores con los servicios Active Directory de Windows Server 2008. Tras
recordar las bases propias de las infraestructuras PKI, se presentan los servicios de certificados AD CS. A continuacin se tratan las novedades
de Windows Server 2008, como las nuevas interfaces criptogrficas, el registro de dispositivos de red a travs del protocolo SCEP y el control
de las revocaciones a travs del protocolo OCSP.
Finalmente, los principios fundamentales, las novedades y la instalacin de los servicios de federacin AD FS, los servicios LDAP AD LDS y los
servicios de administracin de derechos digitales AD RMS le permitirn ver la importancia de las novedades aportadas por Windows Server 2008.

El autor
Jean-Franois APRA es Consultor Senior - Arquitecto de Infraestructuras Microsoft. Adems de participar en
programas beta y seminarios tcnicos de Microsoft, ha dirigido muchos proyectos de infraestructura mundial para
clientes de prestigio. Es MVP (Microsoft Most Valuable Professionnal) Windows Server System - Directory Services. En
2007 particip en el estudio y la implementacin de una de las primeras plataformas AD RMS de administracin de
derechos digitales. Su pasin es grande y su compromiso como formador certificado Microsoft desde 1992 permite
responder a las expectativas de los especialistas Windows Server.

Este libro ha sido concebido y se difunde respetando los derechos de autor. Todas las marcas citadas han sido registradas por su editor respectivo. Reservados todos los
derechos. El contenido de esta obra est protegido por la Ley, que establece penas de prisin y/o multas, adams de las correspondientes indemnizaciones por daos y
perjuicios, para quienes reprodujeren, plagiaren, distribuyeren o comunicaren pblicamente, en todo o en parte, una obra literaria, artstica o cientfica, o su transformacin,
interpretacin o ejecucin artstica fijada en cualquier tipo de soporte o comunicada a travs de cualquier medio, sin la preceptiva autorizacin.
Este libro digital integra varias medidas de proteccin, entre las que hay un marcado con su identificador en las imgenes principales

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Introduccin
Esta introduccin presenta los conceptos fundamentales de Active Directory, sus elementos de estructura y sus
grandesfuncionalidades.
EldirectorioActiveDirectoryesmsqueunasimplefuncionalidadofrecidaporWindows2000,WindowsServer2003y
ahora por Windows Server 2008. Juega un papel central en el seno de la estrategia Sistemas Distribuidos de
Microsoft.Estaintroduccinindispensablelepermitircomprenderlosfundamentosdeestaestrategia.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Funcindelserviciodedirectorioenlaempresa
Elserviciodedirectorioesunodeloscomponentesmsimportantesdeunsistemadeinformacin,cualquieraquesea
su tamao. Ofrece servicios centrales capaces de unir los mltiples elementos que componen el sistema de
informacin.
Porejemplo,imaginequeunusuariobuscaunelementodelaredsinconocerelnombreoellugardondeencontrarlo.
Aprimeravista,elproblemapareceirresolubleaunquealfinalnoloestanto.Dehecho,elusuariopodrresolverl
mismo el problema iniciando una bsqueda en el sistema de directorio sobre la base de uno o ms atributos que
conozca.Deestamanera,anuestrousuarioleesposiblelocalizarunaimpresoraacolorquesoportelaimpresina
doscarasyquegrape,yestoenunemplazamientogeogrficoenconcreto.
Atravsdeesteprimerejemplo,podemosintroducirlosfundamentosdeldirectorioActiveDirectory.EldirectorioActive
Directory debe ofrecer los medios para almacenar toda la informacin que caracteriza el conjunto de objetos que
puedanexistirenlareddelaempresaascomodisponerdelosservicioscapacesdedarestainformacinglobalmente
utilizableporlosusuarios,yesto,enfuncindesusderechosyprivilegios.
Enconsecuencia,losserviciosdedominioActiveDirectorydeWindowsServerofrecenlossiguientesservicios:

Laposibilidaddepublicaraescaladelaempresalosserviciosindispensablesparaelbuenfuncionamientode
sta. Los servicios de carcter global podrn encontrar su lugar en el seno de un servicio de directorio que
ofrezcatalesposibilidadesdepublicacinydeseleccin.Porejemplo,podraser,paraunaaplicacinquese
ejecutaenunaestacindetrabajo,localizarelservidordemensajerainstantneamscercanoydisponible.
Para retomar el ejemplo anterior, se podra tratar de una estacin de trabajo que deba seleccionar una
autoridad de certificacin capaz de dar un certificado que permita acceder a un sitio o a una aplicacin
particularmentesegura.
Pueden,siesnecesario,jugarelpapeldecolumnavertebralparaelconjuntodeserviciosdeseguridaddela
reddelaempresa.Deestamanera,losadministradorespuedenapoyarsesobreunmodelodegestinglobal
delaseguridad,quelespermitirgarantizarfcilmenteunaltoniveldeseguridaddelosaccesosyunamejor
confidencialidaddelosdatossensibles.Porejemplo,stepodraserelcasodeladistribucinautomticade
certificados digitales para firmar un correo electrnico, o bien ocuparse de la autentificacin de usuarios con
unatarjetainteligente,omediantelaverificacindelahuelladigitalo,porquno,tambindeliris.Tambinse
puedetratardeladistribucindelaslistasdecontroldeaccesoaunfirewallenfuncindelaautentificacinde
unusuarioconunaconexinVPN.Deestamanera,losserviciosdedominioActiveDirectorypermiten,ono,a
un usuario remoto acceder a ciertos recursos de la red privada controlando dinmicamente las reglas
contenidasenelfirewall.
El directorio est distribuido globalmente. Esta funcionalidad permite al conjunto de los usuarios de la red
contar con el conjunto de los servicios de seguridad, de los servicios de aplicativos y de los servicios de
bsqueda de Active Directory. Evidentemente, los servicios globales deben ser accesibles globalmente. No
puede ser de otra manera, sobretodo si se trata de controles de acceso y del buen funcionamiento de
aplicaciones crticas como la mensajera y los servicios de colaboracin. Est claro que estas exigencias
necesitarnunaadopcingeneralizadadetecnologasindispensablesparalaimplementacindestas.
Eldirectoriodebedisponerdefuncionesnaturalesquelepermitanresistirlosfallos.Lareplicacindeldirectorio
Active Directory en cada localizacin geogrfica importante permitir al directorio jugar su papel central. Por
ejemplo, la desaparicin de un controlador de dominio en una localizacin geogrfica dada, puede ser
solucionadasinnecesitarlaintervencinhumana.
Los servicios de dominio Active Directory aportan la tecnologa de particionado que permite contar con un
espaciodealmacenajedistribuidoentodalaempresa.Deestamanera,eldirectorioActiveDirectoryescapaz
deadministrarmillonesdeobjetosypermitealosusuariosaccederindependientementedesuubicacinode
la de los recursos. Este rol central dar al servicio de directorio Active Directory un carcter particularmente
estratgicoycrticoqueconvendrconsiderar.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

PosicionamientoeinnovacionesdeWindowsServer2008
1.VersinprincipaldeWindowsServer
WindowsServer2008hasidoconcebidocomounaversinprincipalparaproporcionaralasempresasunaplataforma
ms productiva para virtualizar cargas de trabajo, alimentar las aplicaciones y proteger redes. Las mayores
evoluciones y avances permiten proporcionar una plataforma segura fcil de gestionar, desde el simple servidor de
grupodetrabajoalcentrodedatosdelaempresa.

2.Evolucionesenmateriadeseguridad
La seguridad ha sido igualmente mejorada gracias a la proteccin de los accesos a redes (NAP, Network Access
Protection), los nuevos controladores de dominio de slo lectura (RODC, Read Only Domain Controller) y a la nueva
versindelosservicioseinfraestructuradeclavepblica(ADCS,ActiveDirectoryCertificateServices).Losserviciosde
gestindederechosdigitalesRMS(ADRMS,ActiveDirectoryRightsManagementServices)permitentambinlagestin
de informacin crtica y datos confidenciales tanto dentro como fuera de la empresa. La presencia de funciones de
refuerzo de los servicios Windows, del nuevo firewall de Windows bidireccional y de funciones criptogrficas CNG
(CryptoNextGeneration)sontambinpuntosesenciales.

3.Accesoalasaplicacionesymovilidad
Los usuarios mviles no se quedan atrs puesto que ahora es posible ejecutar programas desde cualquier
emplazamiento remoto gracias a RemoteApp y las funciones de Terminal Services Gateway. Windows Server 2008
permite tambin a los equipos de despliegue progresar gracias a los Servicios de despliegue Windows (Windows
DeploymentServices).

4.Virtualizacindeservidores
Por ltimo, los progresos realizados en la integracin de tecnologas virtuales en el hardware permite a HyperV
virtualizar cargas de trabajo mucho ms exigentes que las versiones precedentes y con una flexibilidad mayor. La
arquitecturaestbasadaenunhipervisorde64bitsconunabajasobrecargaespecializadoparalosprocesadoresde
64 bits de Intel (Intel VT) y AMD (Pacifica). Windows Server 2008 e HyperV se hacen cargo de las configuraciones
multincleo. Cada mquina virtual (VM) puede recibir un mximo de ocho procesadores lgicos para virtualizar las
cargas de trabajo intensivas que aprovechan el tratamiento en paralelo de los ncleos de las mquinas virtuales
multiprocesador.Elsistemahuspedde64bitssehacecargodelossistemasdeexplotacinhospedadosenmodo64
bitsparaasegurarunaccesorpidoalasgrandeszonasdememoriadelasmquinasvirtualeshospedadas.HyperV
soportaelaccesodirectoalosdiscos.Lossistemasdeexplotacinhospedadospuedenserconfiguradosparaacceder
directamentealalmacenamientolocaloalaredSAN(StorageAreaNetwork),garantizandorendimientossuperioresen
lasaplicacionesdeE/S(entrada/salida)masivascomoSQLServeroMicrosoftExchangeServer.
En la salida al mercado de Windows Server 2008, HyperV no estaba todava disponible. Sin embargo, hay
que remarcar que Windows Server 2008 Standard o Enterprise en su versin x64 US se entrega con una
PreviewdelatecnologaHyperV.Laversinfinalestadisponibledesdeelmesdeagostode2008.

5.NovedadesaportadasporWindowsServer2008...
DespusdepasardeWindowsNTaWindows2000,WindowsServer2008esrealmenteelpuntodepartidadeuna
nuevageneracindeWindowsServer.Lasiguientelistadefuncionalidadesilustraelconjuntodelasevoluciones:

WindowsFirewallwithAdvancedSecurity

ServerManager

ServerCoreInstallationOption

ActiveDirectoryCertificateServicesRole

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

- 2-

ADCS:EnterprisePKI(PKIView)

ADCS:NetworkDeviceEnrollmentService

ADCS:OnlineCertificateStatusProtocolSupport

ADCS:PolicySettings

ADCS:WebEnrollment

CryptographyNextGeneration

ActiveDirectoryDomainServicesRole

ADDS:Auditing

ADDS:FineGrainedPasswordPolicies

ADDS:ReadOnlyDomainControllers

ADDS:RestartableActiveDirectoryDomainServices

ADDS:SnapshotViewer

ADDS:UserInterfaceImprovements

ActiveDirectoryFederationServicesRole

ActiveDirectoryLightweightDirectoryServicesRole

ActiveDirectoryRightsManagementServicesRole

ApplicationServer

DNSServerRole

FileServicesRole

WindowsServerBackup

ServicesforNetworkFileSystem

TransactionalNTFS

SelfHealingNTFS

SymbolicLinking

NetworkPolicyandAccessServicesRole

NetworkPolicyandAccessServices

NetworkAccessProtection

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

StreamingMediaServicesRole

TerminalServicesRole

TerminalServicesCoreFunctionality

TerminalServicesPrinting

TSRemoteApp

TSWebAccess

TSLicensing

TSGateway

TSSessionBroker

TerminalServicesandWindowsSystemResourceManager

WebServer(IIS)Role

WindowsDeploymentServicesRole

WindowsSharePointServicesRole

BitLockerDriveEncryption

FailoverClustering

NetworkLoadBalancingImprovements

NextGenerationTCP/IPProtocolsandNetworkingComponents

WindowsReliabilityandPerformanceMonitoring

6.InnovacionesaportadasaActiveDirectory
ComofueenelcasodeWindowsServer2003,losserviciosdedirectorioActiveDirectorytienencomoprincipalfuncin
gestionarusuarios,recursoscomoordenadores,impresorasytambinaplicacionescomoMicrosoftExchangeServero
MicrosoftOfficeCommunicationServer.
Los servicios Active Directory de Windows Server 2008 incluyen nuevas funcionalidades la mayora de las cuales no
estaban presentes en anteriores versiones de Windows Server. De hecho los servicios de directorio de Active
Directory son rebautizados como Servicios de dominio Active Directory (AD DS, Active Directory Domain Services). En
estaintroduccinsepresentanestasnovedades.

a.ADDS:Auditora
Los controladores de dominio Windows Server 2008 soportan nuevas subcategoras (Directory Service Changes)
pararegistrarenlasmodificacionesdeatributosdeobjetosActiveDirectory,tantoelantiguocomoelnuevovalorde
atributo. Un nuevo parmetro, a definir en la poltica de controladores de dominio Audit directory service access,
permite activar o desactivar esta nueva funcionalidad. Naturalmente, esta funcionalidad es muy interesante para
aqullosquequierenvigilarlasoperacionesrealizadasalosobjetos.Observequelaadministracindelosatributos
delosobjetosaauditarsiempreestdefinidaaniveldeobjeto,permitiendoasunaconfiguracinmuyprecisa.Los
nuevosserviciosdeauditorapermitenasregistrarlosvaloresdelosatributosdurantelasmodificaciones.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

WindowsServer2003tenalaposibilidadderegistrarloseventosdemodificacindelosatributos,perono
permitaregistrarnilosantiguos,nilosnuevosvalores.Observetambinquelasnuevasfuncionalidadesde
auditora de los servicios de dominio Active Directory se aplican del mismo modo en los servicios AD LDS (Active
DirectoryLightweightDirectoryServices).

b.ADDS:Gestingranulardelaspolticasdecontrasea
Con los dominios Windows 2000 y Windows Server 2003, slo se poda aplicar una estrategia de contraseas y
bloqueo de cuentas en el conjunto de usuarios de un dominio. A partir de ahora, los servicios de dominio Active
DirectorydeWindowsServer2008permitendefinirdiferentespolticasdecontraseaascomodiferentespolticas
debloqueodecuentas.
Esta nueva funcionalidad interesar a los numerosos administradores que buscaban esta posibilidad. Ahora ser
posible crear mltiples polticas de contrasea en el mismo dominio y aplicarlas a diferentes grupos de usuarios.
EstasnuevasestrategiasdecuentasnoseaplicannicamenteaobjetosusuariosdelaclaseinetOrgPerson,sino
quetambinseaplicanalosgruposglobalesdeseguridad.

c.ADDS:Controladoresdedominiodeslolectura
LoscontroladoresdedominioquefuncionanenWindows2000ServeroWindowsServer2003sonpordefinicinde
lecturaescritura.Cuandolaslimitacionesdelaarquitecturaderedloexigen,esnecesarioponerenunsitioremoto
uncontroladordedominioafindeautentificaralosusuariosydeofrecerlosserviciosdeinfraestructurahabituales.
Elproblemaesque,amenudo,lossitiosremotos,nodisponendelniveldeseguridadnecesarioparalosservidores
deinfraestructura,comoloscontroladoresdedominioenlosqueesposiblelaescritura.
WindowsServer2008permiteinstalarunnuevotipodecontroladordedominiollamadocontroladordedominiode
slo lectura o RODC (ReadOnly Domain Controller). Esta nueva solucin permite implementar controladores de
dominioenloslugaresenlosquenoseaposiblegarantizarunbuenniveldeseguridad.Ademsdeforzaralabase
de datos Active Directory a modo slo lectura, los RODC introducen tambin otras mejoras como la replicacin
unidireccional,elalmacenamientoencachedelosdatosdeidentificacin,laseparacindefuncionesylagestinde
la problemtica de inscripciones dinmicas DNS en las zonas DNS integradas en bases de datos Active Directory
disponiblesenslolectura.

d.ADDS:RearranquedelosserviciosdedominioActiveDirectory
Los servidores Windows Server 2008 permiten a los administradores parar y arrancar los servicios AD DS con la
ayuda de las herramientas habituales de Windows Server 2008. Esta nueva funcionalidad es muy interesante
durante la actualizacin o durante una operacin de desfragmentacin de la base de datos Active Directory,
sabiendoquelosserviciosquenodependandeActiveDirectorypuedenseguirfuncionandonormalmente.

e.ADDS:Ayudaenlarecuperacindedatos
Antes de la utilizacin de controladores de dominio Windows Server 2008, cuando los objetos eran eliminados
accidentalmente,lanicaformadedeterminarquobjetoshabansidosuprimidoserarestaurarlabasededatos
ActiveDirectory.
Aunque la funcionalidad de ayuda en la recuperacin de los datos de Active Directory, no permite restaurar
directamentelosdatoseventualmentesuprimidos,ayudarenelprocesoderecuperacindelosdatos.
Gracias a la herramienta de montaje de base de datos Active Directory, se muestran los datos Active Directory
almacenadosenimgenes.Deestemodo,eladministradorpuedecompararlosdatosendiferentesmomentossin
ningunaparadadelsistema.

DurantelafaseBetadeWindowsServer2008,estafuncionalidadsellamSnapshotViewer.

f.ADDS:MejorasdelainterfazActiveDirectory
WindowsServer2008introduceunnuevoasistenteinstalacindelosserviciosActiveDirectory.Permiteinstalarlos
nuevos controladores de tipo RODC, as como definir las opciones de replicacin de las contraseas de estos
controladores.LanuevaconsoladegestindeUsuariosyordenadoresActiveDirectorypermitetambinprecreary
delegarlainstalacindeuncontroladordedominioenmododeslolectura.
Adems de estas mejoras, el asistente de instalacin de Active Directory soporta una nueva opcin que permite
utilizarunmodomsavanzado.Estenuevomodopermite:

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Durantelainstalacindeunnuevocontroladordedominioenundominiosecundario,detectarcuandolaIM
(InfraestructuraMaster),estposicionadasobreunGC(CatlogoGlobal).Enestecaso,elasistentepropone
realizarlaoperacindetransferenciaderoldemaestrodeinfraestructuraalnuevocontroladorqueseest
instalando,naturalmenteenelcasodequestenotengaelpapeldecatlogoglobal.Estanuevaopcines
muyinteresanteporquepermiteconservarunaconfiguracindeActiveDirectoryvlidadurantelainstalacin
oeliminacindeloscontroladores.
Durante la ejecucin del asistente de instalacin Active Directory, a partir de ahora es posible exportar el
conjunto de los parmetros para utilizarlos en un fichero de respuestas. Esta nueva opcin es muy
interesanteparalainstalacindeuncontroladordedominioenmodo"ServerCore".
Finalmente, una nueva opcin muy importante permite forzar la supresin de los servicios Active Directory
cuandoelcontroladordedominioquefalleesarrancadoenmodoDirectoryServicesRestoreMode.

Todasestasnuevasfuncionalidadesestndetalladasposteriormenteenellibro.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

WindowsServer2008:estrategiadeMicrosoft
EstaseccinpresentalaestrategiadeMicrosoftrelativaalafamiliaWindowsServerteniendoencuentalasevoluciones
quesernperceptiblesvaServicesPacks,FeaturesPacks,actualizacionesylaprximaversinprincipal.Lapolticadel
sistemapresentadaporMicrosoftlefacilitalarecepcindelassucesivasevolucionesdelproductoycuestionesadjuntas
alamisma:

IntegracindelainnovacinenWindowsServer

ElnuevociclodeproductosparaWindowsServer

WindowsServer2008"R2"

PlanificacindelosavancesdeWindowsServer.

1.IntegracindelainnovacinenWindowsServer
WindowsServerintegraunnmeroimportantedetecnologas,funcionalidadesyserviciosconcebidosparaformaruna
solucinperenneyadaptadaalasnecesidadesdelosclientes.Unadelasgrandesventajasdelaintegracindeesta
plataformaeslaintegracindeestosserviciosenelcentrodelsistema,delaplataformaensuconjuntoylafacilidad
deaplicacindelosmismos.WindowsServerhasidodiseadosobrelabasedeunosescenariosquesonreflejodela
experiencia de las empresas. El objetivo de este enfoque es el de permitir un despliegue rpido de soluciones, en
principiocomplejo,estandolomscercaposibledelasexpectativasynecesidadesexpresadasporlosclientes.
La estrategia consiste en innovar alrededor de la plataforma Windows Server. Esta plataforma tiene vocacin de
explorar diversas vas. Este punto afecta particularmente a los proveedores de aplicaciones, a los proveedores de
servicios, a los integradores de sistemas, a los centros de formacin y naturalmente, a los desarrolladores de
hardwarequepuedan,conlabasedelastecnologaspresentadas,crearsolucionesinteresantes.Tantolosservicios
de base integrados en el sistema, como las funcionalidades que Windows Server proporciona, permiten a los
constructoresyasussociosconcentrarseenelsuministrodesolucionesparaextenderlosserviciosfundamentalesde
Windowsyaportarunaplusvalasustancialalosclientes.
LosclientesyanalistasexternoshanconstatadoqueelenfoquedeMicrosoftconrespectoalainnovacintienepor
efecto acentuar el desarrollo de aplicaciones de alta calidad, para favorecer la bajada del coste total de propiedad
(TCO)permitiendounamejorproductividadyeficienciaencomparacinconsolucionesdelacompetencia.
Unainnovacinpermanenteesindispensableparapermitirquelasiniciativastecnolgicasprincipalesllevadasacabo
porMicrosoft,comoDSIDynamicSystemsInitiativeylatecnologaMicrosoft.NET,puedanllegarabuentrmino.

2.ElnuevociclodeproductosWindowsServer
Hoyenda,WindowsServer2003yWindowsServer2008proporcionanlosserviciosdeinfraestructurafundamentales
ascomolosserviciosglobalesdeWindowsServer.Desdelafechadesalidaenabrilde2003,Microsofthaaadido
nuevasfuncionalidadesaWindowsServer2003graciasalsuministrode"FeaturePacks".ConWindowsServer2008,
Microsoft ha continuado con su esfuerzo de innovacin proporcionando una versin principal de su sistema de
explotacinservidor.
MicrosoftintentaproporcionarunciclodeevolucindelasprximasversionesdeWindowsServerdetalmaneraque
los clientes puedan planificar y presupuestar sus evoluciones. La norma es proporcionar una versin principal de
Windows Server a ser posible cada cuatro aos, y una actualizacin de versin dos aos despus de cada versin
principal.

a.Versionesprincipales
LasversionesprincipalesdeWindowsServerincluyenunnuevoncleoysontambincapacesdesoportarelnuevo
hardware, nuevos modelos de programacin y evoluciones fundamentales en temas de seguridad y estabilidad.
Estos cambios "mayores" pueden generar incompatibilidades del nuevo sistema con el hardware y el software
existente.

b.Versionesdeactualizacin
LasversionesdeactualizacinincluyenlaversinanteriorincluyendoelltimoServicePack,algunosFeaturePacks,
y nuevas funcionalidades adicionales. Como una versin de actualizacin est basada en la anterior versin
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

principal, los clientes pueden incorporar estas versiones en su entorno de produccin sin ms pruebas
suplementarias que aqullas que pueda necesitar un simple Service Pack. Todas las funcionalidades adicionales
proporcionadasporunaactualizacinsonopcionalesydehecho,noafectanalacompatibilidaddelasaplicaciones
existentes.Porello,losclientesnodebenvolveracertificaroprobarsusaplicaciones.

c.ServicePacks
LosServicePacksincorporantodosloscorrectivoscrticos,nocrticos,ascomolasltimaspeticionesdelosclientes
enunmismopaquete.
Microsoft,losclientesylossociosparticipantesenprogramasdeBetatestpruebandemaneraintensivalosService
Packs.LosServicePackspuedentambinincluirmejorasimportantesdeseguridadcomola"SecurityConfiguration
Wizard"queestincluidaenelServicePack1deWindowsServer2003.
Puede ser necesario realizar cambios a ciertos programas para soportar los nuevos estndares de la industria o
funcionalidades pedidas por los clientes. Estos cambios son cuidadosamente evaluados y probados antes de ser
finalmenteincluidosenelServicePack.
Afindepermitiralmximolasextensionesyevolucionesdearquitectura,Microsoftseimponeelmantenimientodel
niveldecompatibilidadentrelosServicesPacksrealizandopruebasmasivasconlasaplicacionesyestosdiferentes
ServicePacks.Engeneral,losproblemasdecompatibilidadsondeaplicacionesqueutilizandemanerainapropiada
llamadasalsistema,interfacesinternasofuncionesespecficasdelaaplicacin.

d.FeaturePacks
Cuando sea necesario, Microsoft proporcionar extensiones funcionales llamadas Feature Packs. Estos servicios
adicionales son generalmente componentes importantes de Windows Server y, como tales, estos mdulos son
soportadosoficialmente.EsporestoquetodosestoscomponentessondescargablesdesdelawebdeMicrosoften
una categora que ha sido especialmente diseada para ello (sitio Microsoft/Windows Server
2003/Downloads/Feature Packs). Sin embargo, a fin de simplificar los procesos de actualizacin de los
administradores de sistemas, Microsoft limita el nmero y la frecuencia de los Feature Packs. La mayora de los
FeaturePacksseincorporarnatravsdeactualizacionesoseactualizarnenunanuevaversinprincipal.

3.WindowsServer2008"R2"
Adadehoy,WindowsServer2008estdisponibleenversin32bitsy64bits,teniendoencuentaquelasediciones
conHyperVsloexistenen64bits.
LaversinR2deWindowsServer2008salialmercadoenel2009yestdisponiblesloenversin64bits.

4.AcercadeWindowsServer2003
Comorecordatorio,acontinuacinencontrarlasdiferentesevolucionesdelaversinanteriordeWindowsServer:
Primersemestrede2005:versionesdeproductoyactualizaciones

WindowsServer2003SP1:

Mejoradelaestabilidadenfuncindelasimpresionesdelosclientes.

Mejorasrelativasalosserviciosdeseguridadyalaseguridadgeneraldelsistemaysuscomponentes.

Mejoradelrendimientodelordendeldiezporcientoparalosentornosconsobrecargascrticas.

Basepara"WindowsServer2003for64BitExtendedSystems".

WindowsServer2003for64BitExtendedSystemsrelease

- 2-

Accesoatecnologasde64bitsparalograrunamejorrelacinprecio/rendimiento.

CdigounificadoparalosprocesadoresAMDOpteroneIntelXeonEM64T.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

FeaturePacksprximamentedisponibles

WindowsUpdateServices:estaversinsustituiralaversinSUS1.0SP1queahorapermiteladescargade
actualizaciones de seguridad en las plataformas Windows 2000, Windows XP y Windows Server 2003. La
versinWUSesunaversinprincipaldeestecomponente,yaquepermiteladescargarpidadelosparches
para todas las aplicaciones Microsoft, de estadsticas e informes avanzados, una integracin completa en
Active Directory y una API (Application Programming Interface) de desarrollo abierta para que proveedores
terceros puedan utilizar la plataforma para, ellos tambin, corregir y actualizar sus aplicaciones.
DesgraciadamentepocosproveedoresestninteresadosenlaposibilidadesqueofreceWUS,dejandodelado
laproblemticadeladescargadeactualizacionesdeaplicacionesnoMicrosoft.

Segundosemestre2005:WindowsServer2003"R2"

Gestindeaccesoalainformacinparalosusuariosquetrabajanremotamente,lossociosdeconfianzaylos
usuariosdeoficinasdescentralizadas.
La versin "R2" est disponible para todos los clientes que dispongan de un contrato de tipo Software
Assurance(SA)enlafechadesalidadeWindowsServer2003"R2".

WindowsServer2003SP2

Mejoradelaestabilidadenfuncindelasimpresionesdelosclientes.

FeaturePacks disponiblesdeWindowsServer2003
LassiguientesfuncionalidadesadicionalesyaestndisponiblesparadescargarenelsitiodeMicrosoft:

Automated Deployment Services (ADS). Descarga disponible para Windows Server 2003 Edition Entreprise,
estemduloincluyeunconjuntodeutilidadesdeclonajequepermiteautomatizareldesplieguedesistemas
deexplotacinMicrosoft.
Active Directory Application Mode (ADAM). Para organizaciones que necesitan una gran flexibilidad en
aplicacionesintegradasenunsistemadedirectorio,ADAMesunservidordedirectorioconestndarLDAP v2y
v3.
File Replication Services (FRS) Monitoring Tools. Se trata de un conjunto de utilidades para asegurar las
grandesoperacionesdegestindelsistemadereplicacindeficherosFRS.FRSseutilizaenelcontextodel
acceso al volumen de sistema SYSVOL y tambin para sincronizar el sistema de ficheros compartidos DFS
Distributed File Systems. Este paquete contiene herramientas capaces de monitorizar el servicio DFS tales
comoUltrasoundySonar,ascomoherramientasdelujocomoFRSDiag.
Group Policy Management Console (GPMC). La nueva consola GPMC simplifica la administracin de las
polticasdegrupopermitiendounamejorcomprensin,despliegueyadministracindelaimplementacinde
lasGPO(GroupPolicyObjects).
IdentityIntegration.IdentityIntegrationFeaturePackforMicrosoftWindowsServerActiveDirectorypermite
la gestin de las identidades y coordina las propiedades de los objetos usuario entre el directorio Active
Directory y las diferentes implementaciones de ADAM, de Microsoft Exchange 2000 Server y de Exchange
Server2003.Permitetambinlafusindeunusuariodadoodeunrecursodadoenunanicavistalgica.
iSCSIsupport.EstemdulopermiteelsoportedelainterfazInternetSmallComputerSystemInterface(iSCSI)
proporcionandounasolucineconmicaparalaaplicacinderedesdealmacenamientoIP(SANsStorageArea
Network).
Windows SharePoint Services. Los servicios WSS permiten considerar una nueva visin del sistema de
almacenamiento.Ademsdelalmacenamiento,WSSpermitelaconfiguracindeunasolucindecolaboracin
paraquelosgruposdeusuariosylosequipospuedantrabajarconjuntamenteconlosdocumentos,tareas,
contactos,eventosytodotipodeinformacinrelevante.
Services for UNIX 3.5.LosserviciosparaUNIX3.5permitenalcanzarunaltoniveldeinteroperabilidadcon
losentornosUnix.EstepaquetecomprendeunservidorNFS(NetworkFileSystem)yNIS(NetworkInformation
Services) as como numerosas utilidades para ayudar a los clientes a migrar sus aplicaciones de Unix a
Windows.
Windows Rights Management Services (RMS). RMS es un elemento clave de la poltica de seguridad. De
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

hecho,permiteaplicarunelevadoniveldeproteccinparalasaplicacionesRMSaware.Elobjetivoesproteger
losdocumentosydatoscrticosdelaempresadeaccesosnoautorizados.
Para saber ms sobre la visin a largo plazo de Microsoft con respecto a los servicios de la familia de productos
WindowsServerSystem,consultela"CommonEngineeringRoadmap"disponibleenelsitioWebdeMicrosoft.
EsteplanningprovisionaldelasevolucionesdelossistemasMicrosoftesdelibreaccesoylepermitirdescubrirlas
prximas funcionalidades que estarn integradas en las versiones posteriores de Windows. Esta poltica est
disponibleenladireccin:http://www.microsoft.com/windowsserversystem/overview/engineeringroadmap.mspx

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Serviciosfundamentalesyprotocolosestndar
Losserviciosdedirectoriopermitenlaaplicacindeunespaciolgicoorganizadodemanerajerrquicadondesehace
fcilparatodousuariohabilitadodelaredlocalizaryutilizartodotipodeinformacin.
Todos los perfiles pueden obtener utilidades ya que los usuarios pueden, por ejemplo, utilizar los servicios de
bsqueda y localizar los recursos que necesiten, mientras que los administradores pueden, a su vez, mejorar la
gestindecuentasdeusuarioysusprivilegios,ascomolosrecursosysusderechosasociados.
Lacentralizacindelainformacinenlosserviciosdedirectoriopermitirtambinevitarlasinnumerablesprdidasde
tiempo ocasionadas por largos "paseos" en los servidores en bsqueda de la hipottica presencia del elemento
buscado.
Cualquiera que sea el sistema de directorio y el uso para el que est concebido al principio, est claro que, al final,
permiteestructurarlainformacinorganizndolasobrelabasedeobjetosmsomenoscomplejosydesusatributos
respectivos,msomenosnumerososyespecficos.
Lgicamentesieldirectorioestsituadoenelcentrodelsistemadeinformacin,serunelementodeeleccinpara
servir de componente central para el conjunto de los servicios de seguridad y de control de acceso a los objetos
soportados.
EstaeleccinestenelcentrodelapolticadeMicrosoft.Entrelospuntosmsimportantes,podemosdestacarquela
implementacindeKerberosV5comomtododeautentificacinprincipal,ylaintegracindelosserviciosdegestinde
certificadosdigitalesX509v3,sonelementosqueaseguranelxitodeActiveDirectory.
Eldirectoriopuede,deestemodo,ofrecerdemaneragenricayseguratodotipodedatosatodotipodeclientes.Los
serviciosdelsistemaoperativo,lasaplicacionesy,engeneral,todaentidaddeseguridadhabilitadaquedispongade
suficientesderechos,podrnacceder.
Otropuntopositivoinducidoporlosserviciosdeseguridadintegradosenelsistemadedirectorioeseldepermitirla
implementacin de una autentificacin nica disponible para toda la estructura de la empresa. Esta funcionalidad no
existaconWindows2000niconWindowsServer2003.DesdeWindowsNT(einclusoantes,enmenormedidaconLAN
Manager), el inicio de sesin de dominio mediante el protocolo NTLM v1 o v2 ha sido ampliamente utilizada por
aplicaciones Windows de terceros. Desde Windows 2000 Server, Windows Server 2003, y Windows Server 2008, se
amplanestosconceptosapoyndoseenlastecnologasdemsxitoyexperienciadelaindustria.
LasiguientetablaresumelospuntosclavequecaracterizanActiveDirectory.
FuncionalidadesActiveDirectory

Ventajasparalaempresa

Sistemadealmacenamientodistribuido.

Almacenamientodelosdatosdedirectoriounificado
siendonecesariaspocastareasadministrativas.

Escalabilidaddeldirectorio.

Integracindeaplicacionestercerasconextensin
delesquemadeActiveDirectory.

Administracincentralizadaydelegacin.

Controldeprivilegiosdeadministracinyde
parmetrosdeseguridaddemodojerrquicoenel
esquemadelaempresa.

Disponibilidaddeinformacindeldirectorio,tolerancia Eldirectoriopuedeseractualizadoapartirde
afallos,altorendimiento.
cualquiercontroladordedominio,inclusosinqueel
controladordedominioestdisponible.La
disponibilidaddelosflujosdereplicacinsecontrola
graciasalajustedinmicodelatopologade
replicacinyalmododereplicacinmultimatriz.La
estructuradebosquedeActiveDirectorylos
rboles,losdominiosyloscontroladoresdedominio
escompatibleconestructurasquecontienenmilesde
sitiosgeogrficosymillonesdeobjetos.
Gestindeconfiguracionesycambiosde
configuracinutilizandolatecnologaIntelliMirror.

Coherenciadelosparmetrosaplicadosy
operacionesrealizadasgraciasalaspolticasde
grupo.

Serviciosdeseguridadenlaestructuradelas
empresasdecualquiertamaoatravsdelsoporte
deKerberosv5,SSL(SecureSocketLayer)3.0,TLS
(TransportLayerSecurity)ylosserviciosdeclaves
pblicas(PKIPublicKeyInfrastructureycertificados
X509V3).

Losserviciosdeautentificacinydecontrolde
accesosaseguransoporteenlaredprivaday
tambinenInternet.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Gestindelaseguridadydelegacindelagestinde Lagranularidadbajahastaelatributoyelmbitode
administracin.
gestinseejerceenlosobjetosSitio,DominioyUO.
SoportedeestndaresdeInternet:undominio
WindowsesundominioDNS(DomainNameSystem),
undominiodeautentificacinesundominioKerberos,
loscertificadossonutilizablesdemaneranaturalpara
laautentificacin(iniciodesesincontarjeta
inteligente(SmartLogon)ylasecurizacindela
informacin(firmaselectrnicasycifradodedatos
localesyquecirculenporlared).

- 2-

Laempresaseaseguralacontinuidaddesueleccin
porlaparticipacinactivadeMicrosoftenlos
estndaresdelaindustria.TCP/IPv4yv6,DNS,
DDNS(DynamicDNS),IPSec,DHCP(DynamicHost
ConfigurationProtocol),Kerb5,Radius(Remote
AuthenticationDialinUserService),EAP(Extensible
AuthenticationProtocol),PEAP(ProtectedEAP),LDAP
(LightweightDirectoryAccessProtocol),LT2P(Layer2
TunnelingProtocol),PPTP(PointtoPointTunneling
Protocol),SSL3,TLS,Infraestructuradeclaves
publicas(PKI),certificadosX509V3yautentificacin
contarjetasinteligentes.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

IntroduccinalservicioDNS
Este captulo introduce los mecanismos de resolucin y de gestin de nombres con el sistema DNS, Domain Name
System.
Losobjetivossonimportantesyaquenospermitirn:

comprenderlosprincipiosderesolucindelosnombresDNS

comprenderyconfigurarlaszonasDNS

comprenderlareplicacinylatransferenciadelaszonasDNS

comprenderlaproblemticadeintegracindelosservidoresDNSWindowsenunainfraestructuraDNSexistente
ygestionarlosproblemasdeinteroperabilidad.

El siguiente paso consistir en estudiar las funcionalidades propias del servicio DNS de Windows 2000 y Windows
Server 2003 cuando la integracin Active Directory se utiliza al tiempo que un dominio DNS ofrece sus servicios para
asegurarelnormalfuncionamientodeldirectorioActiveDirectory.

1.Unpocodehistoria
CualquiermquinaqueestenunaredTCP/IPdebetenerunadireccinIP(InternetProtocol)queserutilizadaenel
mbitodelascomunicacionesconelrestodemquinas.LosserviciosTCP/IP,ademsdelasfuncionesinherentesa
los protocolos de transporte y de enrutamiento entre redes, han sido diseados para soportar aplicaciones
distribuidasatravsderedescuyotamaopuedellegaraldeInternet.
Actualmente, sabemos hasta qu punto TCP/IP es importante. Prueba de ello es el entusiasmo de la gente con
Internet y la comercializacin masiva de ordenadores con Windows, tanto en las empresas como tambin,
gradualmente,ennuestrasuniversidades,escuelasyhogares.
Porsupuesto,todasestasmquinassoncapacesdemanipularfcilmentelasdireccionesIP.Encambio,esevidente
quenopuedenhacerlomismoconlosusuarios.
Enlosinicios,ymuchoantesdequeexistieraelInternetqueconocemosactualmente,lamanipulacindedirecciones
IP era ya fuente de numerosos problemas en la red ARPANET (Advanced Research Project Agency Network). En esa
poca,elNIC(NetworkInformationCenter) noconfundirconInterNictenalaresponsabilidaddeteneractualizadoel
fichero HOSTS.TXT. Los usuarios de la red ARPANET deban entonces, para ser capaces de resolver los nombres de
mquinasendireccionesIP,disponerdelalistalomsactualizadaposibledescargndolaatravsdelprotocoloFTP
(FileTransferProtocol).
InterNic, mencionado anteriormente, tiene como objetivo proporcionar al pblico informacin sobre los
proveedoresdeserviciosderegistrodenombresdedominioDNSenelmbitodeInternet.Atravsdelsitio
http://www.internic.net se puede acceder a la lista de organismos autorizados a nivel mundial a registrar los
nombresdedominiosDNS,transmitirlescualquierobservacinsobreeventualesproblemasderegistrodenombres
dedominioyaccederainformacinsobreoperacionesDNSimportantesquetenganlugarenelmbitodeInternet.
Las tareas de coordinacin necesarias para el buen funcionamiento de Internet son principalmente la gestin de
direcciones IP y de los nombres de dominio DNS. Hasta 1998, era el gobierno norteamericano y algunos de sus
organismos (Investigacin y Departamento de Defensa DoD) quienes realizaban las tareas de coordinacin de
Internet. La asignacin de bloques de direcciones IP estaba bajo la responsabilidad global de IANA (Internet
AssignementNumbersAuthority),queestabacontratadaporelgobiernonorteamericano.
Encuantoalagestindenombresdedominiodeprimernivelcomo.net,.gov,o.com(sehabladegTLDspor"generic
TopLevelDomains"),eralasociedadNetworkSolutionsInc.quientenaelmonopolio.
En 1998, la ICANN (Internet Corporation for Assigned Names and Numbers) fue creada con el fin de coordinar la
asignacin de recursos a nivel mundial, la gestin efectiva de los dominios DNS fue delegada a rganos regionales
situadosencadacontinente.
Para la gestin de los nombres de dominios, puede consultar en la siguiente direccin la lista de los
organismos responsables de la gestin de los nombres de dominio en cada pas,
http://www.iana.org/domains/root/db
Porejemplo,lazonaDNS.esestgestionadaporRed.es,http://www.nic.es).

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Paramsdetalles,puedevisitarlossitiosdeICANNenlasiguientedireccin:http://www.icann.org

Lasolucin:GraciasDr Mockapetris!
Despusdeestaprimeraimplementacindeunsistemadenomenclaturayderesolucindenombresdemquinaen
direccionesIP,eraevidentequesedebaencontrarunasolucinms"moderna".
En1983elDrPaulV.MockapetrisgraduadodelreputadoMIT(MassachusettsInstituteofTechnology)propusolos
fundamentosdelosserviciosDNSatravsdelosRFC 882y883.
Los RFC 882 y 883 son obsoletos y han sido sustituidos por los RFC 1034 y 1035, que tambin han sido
diseadosporelDrPaulMockapetris.ElRFC1034siguesiendovlido,peroesobjetodemodificacionesque
figuranenlosRFC 1101,1183,1348,1876,1982,2065,2181,2308y253.ElRFC1035tambinsiguesiendovlido,
con actualizaciones que figuran en los RFC 1101, 1183, 1348, 1876, 1982, 1995, 1996, 2065, 2136, 2181, 2137,
2308,2535,2845,3425y3658.PuedebuscaryconsultarestosRFCenelsitio:http://www.rfceditor.org

2.QusonlosserviciosDNS?
Como se explic ms arriba, DNS es el protocolo estndar de resolucin de nombres definido por la IETF (Internet
EngineeringTaskForce).Permitealasmquinasclientesregistrarseyresolvernombresdemquinaspertenecientesa
dominios DNS. Una vez el nombre de la mquina destino est resuelto, es posible acceder a la mquina y a sus
recursos.
ELDNSconsta,pordefinicin,detrescomponentesprincipales:

El espacio de nombres de dominio (Domain Namespace), que incluye registros de recursos asociados a este
espacio.LosregistrosderecursossonllamadosRRporResourcesRecordsyclarificaneltipodecadaregistro.
Los servidores de nombres DNS (DNS Name Servers). Se trata de mquinas sobre las que se ejecuta el
procesoofreciendoelservicio"ServidorDNS".Estosservidoresacogentodoopartedelespaciodenombres
gestionadoascomolosregistrosderecursos.Tambinproporcionansobretodo!elbuenfuncionamiento
delaresolucindenombresiniciadaporlosclientesDNS.
Los clientes DNS (DNS Resolvers o DNR). Se trata de mquinas que tienen que invocar a uno o varios
servidoresDNS.Estasmquinasdebendisponerdeunclientequelespermitacomunicarseconunoovarios
servidoresDNS.

LosconceptosderesolucindelosnombresDNSnosvanallevaratratarlossiguientespuntos:

laresolucindenombres

lasconsultasderesolucindirectaseinversas

losmecanismosdecachdelladodelservidorDNSydelladodelclienteDNS.

Loquevamosadescubrir:

ElservicioDNSestbasadoenlapeticinderesoluciones(eningls"LookupQueries").

LosservidoresdenombresDNSresuelvenlaspeticionesderesolucindirectaseinversas.

LaspeticionesderesolucindirectaspermitenmapearunnombreDNSenunadireccinIP.

LaspeticionesderesolucininversaspermitenmapearunadireccinIPsobreunnombreDNS.

UnservidordenombresDNSpuederesolverunapeticinparaunazonaparalaquehayasidoautorizado.

- 2-

SiunservidordenombresDNSnopuederesolverlapeticin,puedesolicitaraotroservidorDNSqueleayude
aresolverlaconsulta.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

LosservidoresdenombresDNSsabenocultarlosresultadosdelasresolucionescorrectaseincorrectaspara
reducirelflujodeinformacinenlared.

ElservicioDNSutilizaunmodelocliente/servidor.

3.TerminologadelsistemaDNS
ElprotocoloDNShasidodiseadoparagestionarunaproblemticapropiadelasredesquefuncionanbajoTCP/IP.
Lossiguientespuntosrecuerdanalgunosprincipiosbsicos:

LaresolucindelosnombresDNSeselprocesoquepermitetransformarunnombreDNSendireccinIP.

UnadireccinIPidentificacadanodoantesdecomunicarseatravsdelprotocoloTCP/IP.
UnadireccinIPesunvalorde32bits,segmentadoen4palabrasde8 bitscadauna(4 octetos)ycompuesta
pordospartes:

La parte de la izquierda hace referencia a la red y se la llama Net ID o direccin de red. Permite
identificardemaneranicaunsegmentoderedenunaredTCP/IPmuchomsgrande.
LapartedeladerechahacereferenciaalamquinaclienteenlaredyselallamaHostIDodireccin
delcliente.PermiteidentificardemaneranicaunnodoTCP/IPenunareddada.
Las direcciones IP, que tcnicamente son valores binarios, estn expresadas en notacin decimal y
separadasporpuntos.

a.ElespaciodenombreDNS(DomainNamespace)
ElespaciodenombresdelsistemaDNSseimplementacomounajerarquadenombresimplementadaporunrbol
estructurado.Elnombredeesterbolnoestdefinidoporconvencinperosellamaespaciorazytomalaformade
unpunto.Porejemplo,eldominiomicrosoft.comesrealytcnicamentellamado"microsoft.com.",puestoquetermina
conelcarcter(.).
Puntosclaves:

Elespaciopuedeestarcompuestoporunaomsramas.

CadaramapuedeestarcompuestaporNnombres.

Cadanombredeclienteestlimitadoa63caracteres.

ElnombrecompletodeunnodosituadoenelespaciodenombresDNSsellamaFQDN(FullyQualifiedDomain
Name)quesignifica"nombrededominiototalmentecalificado".

SerecomiendarespetarelRFC1123,quedefinelasreglasdenomenclaturasiguientes:

UtilizarloscaracteresAZ,az,09yelcarcter""

ElFQDNnopuedesuperarlos255caracteres.

Otrospuntosarecordar:

En Windows 2000, Windows XP y Windows Vista, el nombre del ordenador est basado en el FQDN y
permitededucirelnombreNetBIOS.SeformaaadiendoalComputerName,elsufijoDNSprincipal(Primary
DNSSuffix),queespordefectoelnombredeldominioActiveDirectoryalquepertenecelamquina.

Aunqueestaposibilidadnoseaunabuenaprctica,observequeelsufijoDNSprincipaldelordenadorpuede
serdiferentequeelnombredeldominioActiveDirectory.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Por el contrario, en Windows NT, el nombre NetBIOS es el que se utiliza para formar el nombre del cliente
(Hostname).

IdentificacindelordenadoryFQDN

ElnombreNetBIOSyanoescontrolable
Estas pantallas muestran cmo Windows se basa en el espacio de nombres DNS. El nombre del ordenador se
escribeenminsculas,alrevsqueelnombreNetBIOSdondesloestnpermitidosloscaracteresenmaysculas.
Elnombrecompletodelordenadorestclaramentevisibleenlainterfazgrfica(xpclient.Corp2003.Corporate.net).
Observe tambin que la interfaz no muestra directamente el nombre NetBIOS. Para poder acceder haga clic en el
botnMs.
Los sistemas como Windows 9x y Windows NT son primero mquinas NetBIOS, que pueden contar con el
sistema de resolucin DNS. Preste atencin al hecho de que aunque con Windows 2000, Windows XP,
WindowsVistayWindowsServer2008,elnombredeordenador(hostname)controlaqueelnombreNetBIOSno
rebaseellmitede15caracteresenmaysculaspermitidoenelmbitodelainterfazNetBIOS,noocurrelomismo
conWindowsNT.
Atencin!ElhechodequeuncontroladordedominioWindowsNTdispongadeunnombreNetBIOSydeunnombre
DNS (hostname) diferentes podr ser causa de mltiples problemas de replicacin del directorio una vez se haya

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

migradoaActiveDirectory.
Acercademinsculasymaysculas:RFC1034
Losnombresdedominiopuedenserregistradosenminsculas,enmaysculasocombinandoambas.Sinembargo,
elRFC1034indicaque,cualquieraquesealamaneraenqueelnombresehayaregistrado,ningunaoperaciones
sersensibleaminsculasymaysculas.
AcercadeNetBIOS
Espaciodenombreseinterfazdeprogramacin

El trmino NetBIOS (Network Basic Input/Output System) puede tomar mltiples significados. Es ms, se trata de
servicios de registro de nombres en la red NetBIOS, de mtodos de resolucin disponibles en este espacio de
nombres pero tambin de la interfaz de programacin necesaria para el buen funcionamiento de las aplicaciones
NetBIOS.
AcercadeladesactivacindeNetBIOS,observequenoesposibleconsiderarladesactivacindelainterfaz
NetBIOSyaquelaredoperatodavaconaplicacionesbasadastantoenlosserviciosderesolucincomoen
lainterfazdeprogramacinNetBIOS.
Adems,esposible:

queunaaplicacinNetBIOSseregistreenunaredNetBIOSatravsdelprotocolodetransporteTCP/IP.Los
clientessebasarnenlosserviciosderesolucindenombresNetBIOScomoWINS(WindowsInternetNaming
Service) para localizar el servicio solicitado en la mquina destino. Posteriormente, esta misma aplicacin
har llamadas a los servicios de gestin de sesiones NetBIOS utilizando las API NetBIOS ofrecidas por el
sistemaoperativo.PodrtambininvocarotrainterfazderedcomoMSRPC(RemoteProcedureCall)oincluso
lainterfazWindowsSockets.
queunaaplicacinNetBIOSsebaseenlosserviciosderesolucindenombresDNS.Enestecaso,noser
posibleutilizarloscdigosdeserviciosasociadosalasaplicacionesNetBIOS.

ElcomandonbtstatmuestralosnombresregistradosenlaredNetBIOS
Enpocaspalabras,recuerdequeenrelacinconelmodeloOSI(OpenSystemInterconnection),losserviciosNetBIOS
sesitan:

Enelnivel4,encuantoaserviciodetransportededatos.Novamosahablardenivel3enlamedidaenque
NetBIOSnoesunprotocolodeenrutamiento,sinosloun"objetoenrutable"enlasredesTokenRingIBM.
Estos servicios se aplican gracias al protocolo NetBEUI (NetBIOS Extended User Interface) desarrollado por
IBMyMicrosoften1985.Esteprotocolodebajonivelofreceserviciosbsicosenlneayfueradelnea.
Enelnivel5,encuantoalserviciodenombresydesesiones.Estosserviciosgenricossonindispensables
para toda aplicacin distribuida en una red. En este nivel se encuentra la interfaz NetBT (NetBIOS over

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

TCP/IP) que tiene como objetivo permitir la correspondencia entre los nombres y servicios NetBIOS y las
direccionesIP.

En el nivel 7 del modelo en cuanto a las aplicaciones que se basan por ejemplo en tuberas nominales
(namedpipes).EnestecasosetratadelainterfazdeprogramacinNetBIOS.

Unpocodehistoria...

En la era de Internet, NetBIOS es una tecnologa obsoleta. Recuerde que sus servicios elementales pero
fundamentaleshanpermitidoeldesarrollodemilesdeaplicaciones,conunagranindependenciadelosprotocolos
detransporte.Ensumomento,WindowsNTsebasenestainterfazparaentrarenredesdecualquiertipo,gracias
alosnumerososprotocolosdetransportequesoportdesdelaprimeraversin,WindowsNT3.1en1993.Aspues,
eltndem"WindowsNT/NetBIOS"permitilaimplementacindeservidoresdeaplicacionescompetitivosfcilmente
integrablesenredes,utilizandoprotocolosdetransportecomoDECnet,OSITP4,IPX/SPXyporsupuesto,TCP/IP.
Ydespus...

EldesarrollodeWindowsNT5.0quesellamarpocotiempoantesdesusalida,Windows2000,comenzen1997
fechadelasprimerasversionesAlfa,esdecir,apenasunaodespusdelasalidadeWindowsNT4.0.Elcamino
fue largo, pero los miles de desarrolladores del equipo NT lo consiguieron. Mirando en perspectiva, es interesante
observarquelapoltica"todoInternet"deMicrosoftestabaentoncesmuyavanzada:elsucesordeNT 4.0sebasar
en IP, DNS, LDAP y Kerberos. Hoy en da, el esfuerzo de Microsoft se centra en los servicios Web, la gestin de
documentos,losserviciosdecolaboracinylaseguridaddelossistemas,lasaplicacionesyelsistemadeinformacin
ensuconjunto.

b.JerarquaDNSyespaciodenombresInternet
CadanodoenelespacioDNSdisponedeunnombrequeleespropio.EstenombredeberespetarsiempreelRFC
1035, que define el conjunto de normas y buenas prcticas del DNS. Como hemos explicado anteriormente, el
nombre, tambin llamado etiqueta, no puede superar los 63 caracteres para un FQDN que no supere los 255
caracteres.

4.ElDNS:basededatosdistribuida
Hemos visto que el sistema de nombres DNS nos permite desplegar un espacio sobre la base de una jerarqua de
nombresdedominio.Entonces,podemosimaginarqueconesesistemaydesdeelmomentoenelqueelespacioest
divididoenvariosrbolesysubrboles,resultafciltcnicamentedistribuirelespacioDNScomounabasededatos
distribuida.
Dehecho,utilizarunabasededatosdistribuidasignificaquelainformacindetodoelespacioDNSestalmacenada
enNmquinas,quepuedenestarsituadasencualquierlugardelared.
Esta observacin es particularmente cierta en el caso de Internet. En el caso de una red que se base en una
nomenclaturaprivada(noInternet),lainformacindelespacioDNSestaralaescaladeestared.Adems,siguiendo
losmismosprincipiosqueenInternet,ysilaredprivadaestcompuestapormltiplessitios,sernecesarioprever
una disponibilidad del espacio DNS en cada uno de los sitios. Volveremos sobre este punto cuando hablemos de la
relacinDNS/ActiveDirectory.
Porltimo,cadaservidorDNSmantienesolamenteunapartedelabasededatosdelespacioDNS.Labasededatos
"total"estdivididaendiferentespartesllamadaszonasycadazonacorrespondeaunapartedelespacioDNS,por
tanto,aundominioosubdominio.Volveremosaestepuntomsadelante.
Los ficheros de zona pueden entonces ser replicados en mltiples servidores utilizando lo que se llama zonas de
transferencia.Deestemodo,podemosrepresentarelespacioDNSdeInternetdelasiguientemanera:

El domino raz (.) es solicitado a travs de los trece servidores DNS de la raz. Estos servidores tienen la
informacinquepermitelocalizarlosservidoresDNSdeprimernivelcomo.com,.org,.neto.es.
Tenga en cuenta que los servidores raz no contienen toda la informacin sobre dominios de primer nivel.
Conocensolamentelosservidoresencargadosdeestosdominios.
Delmismomodo,parasercapazderesolverelnombredeunclientesituadoeneldominiomicrosoft.com,se
tendr que enviar una peticin de resolucin al domino de primer nivel .com (Nota: TLDTop Level Domain),
quenoesdirectamentecapazderesponderalapeticinperopodrdevolverlasdireccionesdelosservidores
denombresDNSquetienenautoridadsobreeldominiodesegundonivelmicrosoft.com.

ElsiguienteesquemamuestraelprocesoderesolucindenombreenelespaciojerrquicodenombresdeInternet.

- 6-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Procesorelacionadoconlapeticinderesolucindenombredirecta
Recuerdelossiguientespuntos:

Pordefinicin,elsistemaderesolucinDNSofreceunespaciodenombresjerrquicoydistribuido.
El sistema DNS dispone de diversas tcnicas para poner en prctica un espacio distribuido. Por tanto, es
posibledeterminarquservidordelespaciotienelainformacinsolicitada.Losmecanismossonsimplespero
muypotentes.ElsistemaDNS,porsudiseo,escapazdemanejarespaciosdecualquiertamao,comopor
ejemploInternet.Dehecho,seutilizaenmuchasredesprivadasempresariales.
LosmediosdequedisponeelDNSparalograrunespaciodenombresdistribuidoson:

Ladelegacindedominios.

Lasredireccionescondicionalesoincondicionales.

Lassugerenciasderaz

Estospuntosseabordanmstarde.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 7-

EstructuradelespacioDNSyjerarquadedominios

1.Eldominioraz
Esteeselpuntomsaltodelrbol,querepresentaunnivelquenotieneningnnombreenconcreto.Sepuededecir
quelaraznotienenombreoesdetipo"innominado".Avecessemuestracomodoscomillasvacas (""),queindicaun
valornulo.Sinembargo,cuandoseutilizaenunnombrededominioDNS,seindicaconunpuntoaladerecha(.)para
indicar que el nombre est en la raz o nivel superior de la jerarqua del dominio. El nombre de dominio DNS se
consideracomocompletoydesignaunlugarexactoenelrboldenombres.
UnservidorDNSpuedegestionareldominiorazono,mientrasqueotrosservidoresDNSseayudarndeunservidor
DNSquegestioneeldominiorazparapoderresolvertodoopartedelespaciodenombresDNS.
ConlosserviciosDNSdeWindowsServer2003yWindowsServer2008,lazonarazrepresentadaporel(.)
en las zonas de bsquedas directas no se aade automticamente. En Windows 2000, la zona raz (.) se
aadaautomticamenteenlaprimerainicializacindelservidorDNS,sielservidornoeracapazdeconectarconlos
servidoresdelaraz(RootHints).Elhechodedisponerdeestazonatuvocomoefectonegativonopoderutilizar
redireccionadoresascomolosservidoresdelarazInternet.Eladministradordebercrearmanualmente,sifuera
necesario,lazonaraz(.).

2.Losdominiosdeprimerysegundonivel
LosdominiosdeprimernivelsontambinllamadosTLDsTopLevelDomains.EsteprimernivelenlajerarquaDNS
situadobajolarazpermiteestructurarelespaciodesalidaenfuncindeltipodeorganizacinutilizandounnombre
otambinenfuncindeunareginounpas.
Enlasiguientelistasedescribenestosdominiosysufuncin.
aero
Elusodeestedominiodeprimernivelestreservadoalaindustriaaeronutica.
biz
Elusodeestedominiodeprimernivelestreservadoalasgrandesypequeasempresasanivelmundial.
com
ElusodeestedominiodeprimernivelestreservadoaempresasdecarctercomercialcomoMicrosoft,coneldominio
microsoft.com.Casitodaslasempresastienencomoprimerobjetivovendersusproductos.Dehecho,podrconstatar
mstardeenestecaptulohastaqupuntolazona.comesmuchomsvoluminosaquelasotras.
coop

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Estedominiodeprimernivelestreservadoalusodeescuelasyuniversidades.
gov
Elusodeestedominiodeprimernivelestreservadoalasagenciasgubernamentalesnorteamericanas.Encontrar
por ejemplo el sitio del FBI (U.S. Federal Bureau of Investigation http://www.fbi.gov/) y el sitio de la NASA (National
AeronauticsandSpaceAdministration http://www.nasa.gov/).
info
Este dominio no tiene ninguna restriccin particular. Est especialmente destinado a proveer informacin sobre el
consumomundial.
int
Estedominiosededicaaautoridadesyotrosorganismosvinculadosportratadosinternacionales.Albergaporejemplo
elsitiodelaOTAN (NorthAtlanticTreatyOrganisationhttp://www.nato.int).
mil
Este dominio se dedica al ejrcito norteamericano. Encontrar por ejemplo el sitio de U.S. Air Force
http://www.af.mil/.
museum
Estedominioestreservadoalosmuseos,organizacionesypersonasafiliadasalosmismos.
name
Dominioglobalparaelusodeparticulares.
net
Este dominio est dedicado a las mquinas de los proveedores de redes (ISPs). Se encuentra el conocido
http://www.internic.net/antiguoInternetNetworkInformationCenter(InterNIC).
org
Dominiodeprimerniveldedicadoagruposyorganizacionesnogubernamentalessinnimodelucro.
pro
Undominiodeprimernivelparaprofesionalescomomdicos,abogadosycontables.
La gestin de las zonas de primer nivel es muy grande. Como prueba, basta con consultar algunas estadsticas de
Internet.
Losdominiosdeprimernivel
Losdominiosdeprimernivelsegestionanpororganismoscomo"NetworkSolutions"enlosEstadosUnidosoRed.es
enEspaa.Pordefinicin,elconjuntodeestasautoridadesllamadasRegistrarsestnbajoelcontroldeICANN.
Internet Corporation for Assigned Names and Numbers (ICANN) es una organizacin privada sin nimo de lucro. Su
personal y sus miembros son de todo el mundo. La funcin de ICANN es fundamental puesto que se encarga de
asignar el espacio de las direcciones del protocolo Internet (IP), asignar identificadores de protocolo, gestionar el
sistemadenombresdedominiodeprimernivel(TopLevelDomains)paraloscdigosgenricos(gTLD)yloscdigos
nacionales (ccTLD), y tambin asegurar las funciones de administracin del sistema de servidores raz (DNS Root
Servers).
ParamsinformacinsobrelagestindelosRegistrarsrealizadaporICANN,puedeconsultarenladireccin
http://www.icann.org/.

Losdominiosdesegundonivelysussubdominios
Losdominiosdesegundonivelsonnombresdelongitudvariableasignadosaunparticularoaunaorganizacin,para

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

ser utilizado en Internet. Estos nombres estn siempre asociados a un dominio de primer nivel adecuado, segn el
tipodeorganizacinolalocalizacingeogrficaenlaqueelnombreseutiliza.Porejemplo,eldominiodeMicrosoft
Corporationes"microsoft.com".

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Losregistrosderecursos
UnabasededatosDNSsecomponedeunoovariosficherosdezonas,quesonutilizadosporelservidorDNS.Cada
zona representada por un fichero distinto contiene un conjunto de registros. Estos registros, que estn
almacenadosenlaszonasDNS,sellamanregistrosderecursosotambinRRs(ResourcesRecords).
Porltimo,unficherodebasededatosdezonacontienetodoslosregistrosderecursosquedescribeneldominioysu
contenido.
ElservidorDNSdeWindowsServer2003lepermiteaceptarlosveintidstiposdiferentesderegistrosderecursos.
Lasiguientetablamuestralascaractersticasdelosregistrosderecursosmscomunes.
Tiposderegistrosderecursos(RRs)

DescripcinFuncin

StartofAuthority(SOA)

Identificaelservidorprimariodelazona.Esteregistro
permitegestionarlosparmetrosdelazona,como
transferenciasdezona,lostiemposdeexpiracindela
zonayelTTL(TimetoLive)pordefectodelosregistros.Los
tiposyfuncionesdelosdiferentesregistrosderecursos
delsistemaDNS.

NameServer(NS)

Identificatodoslosservidoresdesignadosporeldominio.

Host(A)

IdentificaladireccinIPdeunnombredeclienteespecfico.
EsteregistrodedireccinIPdelclientemapeaunnombre
dedominioDNScompletoaunadireccinIPversin4de
32bits.

Pointer(PTR)

IdentificalosnombresdeclientedeunadireccinIP
especfica.Estosregistrosestnalmacenadosenlazona
debsquedainversa.

CanonicalName(CNAME)

Identificaunaliasparaunclientedeldominio.

MailExchanger(MX)

IdentificalosservidoresdecorreoInternet.Esteregistro
esempleadoporotrosserviciosdecorreoparalocalizarlos
servidoresdecorreodeundominioenconcreto.Porltimo,
esteregistropermiteelenrutamientodelosmensajesen
Internet.

ServiceLocator(SRV)

IdentificaunservicioofrecidoaniveldeldominioActive
Directory.EldirectorioActiveDirectoryhaceunuso
avanzadodeesteregistro.Permitealoscontroladores
ActiveDirectoryreplicareldirectorioyalosclientes
Windows2000yXPlocalizaraloscontroladoresde
dominio.

Los registros mostrados en esta tabla estn colocados en un orden lgico que no desvela el lado crucial
inclusocrticodelosregistrosvitalesnecesariosparaelbuenfuncionamientodeActiveDirectory.

LafuerterelacinqueexisteentreActiveDirectoryyDNSsevermsadelante.

ParamsinformacinsobreformatosysintaxisderegistrosderecursossoportadosporlosserviciosDNSde
WindowsServer2008,consultelaayudaenlneadeWindowsServer2003buscando"Referenciaderegistros
derecursos".

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Dominios,zonasyservidoresDNS
Para entender bien como debe ser implementada tcnicamente una infraestructura DNS, es importante identificar los
elementosquelacomponenylamaneradeutilizarlos.Unavezvistosestospuntos,todosevemsclaro!

1.DominiosDNSyzonasDNS
Comotodaslastecnologas,elsistemaDNSintroducesuspropiosconceptosacompaadosdesupropiaterminologa.
Esms,lanaturalezaylasdiferenciasquepuedenexistirentrelosdominiosDNSylaszonasDNSsedebenasimilar
correctamente.Deestemodo,evitarfallos,erroresdediseoyproblemasdefuncionamientodelasresolucionesen
suespacioDNS.
Un dominio DNS es una parte del espacio de nombres en el sentido lgico del trmino, mientras que una zona es
realmentelainformacinalmacenadaenlatotalidadoenpartedelespaciodenombres.
Enelprimercaso,setratadeunelementodeestructuracinlgica,mientrasqueenelsegundocaso,esunespacio
dealmacenajefsicocompuestoporunapartedelespaciodenombres.
Por ejemplo, una sociedad posee un dominio DNS llamado Corp2003.Corporate.net. Para implementar este dominio
"lgico",sernecesariocrear"fsicamente"eldomino,atravsdeunficherodebasededatosdezona,eninglsa
databasezonefile.

DominiosDNSyzonas
Lafiguraanteriorilustralossiguienteselementos:

Eldominiocorporate.comseimplementaconlaayudadelficherodebasededatosdezonacorporate.com.dns.
El dominio europe.corporate.com se implementa con la ayuda del fichero de base de datos de zona
europe.corporate.com.dns.
Eldominioeurope.corporate.comcontienelossubdominiosbe,deynl(Blgica,AlemaniayHolanda).
El dominio es.europe.corporate.com se implementa con la ayuda del fichero de base de datos de zona
es.europe.corporate.com.dns
Eldominioes.europe.corporate.comcontienelossubdominiosapps,researchymadrid.

Dehecho,losdominiosDNSyzonasDNSpermitenyrespetanlossiguientespuntos:

La organizacin del espacio de nombres DNS: tal como se muestra en la figura anterior, las zonas alojan la
informacinpropiadeunespaciocontiguodedominios.
Dosdominiosqueestnseparadosnecesitanforzosamentedoszonas.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

LosservidoresDNSnoreplicandominiosperoszonas,quecontienenunoovariosdominiosysubdominios.
Ladivisindeunespaciodedominiosvoluminosoenvariaszonaslepermitirevitarmuchotrficorelacionado
conlareplicacinyaqueslosereplicanlaszonasDNS.
La divisin de un espacio lgico en varios trozos (es decir, zonas) permite, conservando el espacio lgico,
dividirunazonaenvariasyasdistribuirlareplicacin.

Esta divisin tambin hace posible la delegacin de gestin de las zonas a diferentes entidades de
administracinyderesponsabilidades.
El hecho de que un espacio contiguo se implemente a travs de diversas zonas implica la declaracin de las
delegaciones que permiten disminuir la resolucin de peticiones de arriba a abajo en el espacio. Este punto
fundamentalsetratarmstarde.

2.Zonasyficherosdezonas
AcabamosdeverqueelsistemaDNSpermitedividirunespaciodenombresdadoenzonas.Estaszonasalmacenanla
informacinrelativaaunoovariosdominiosDNS.ParacadanombrededominioDNSdeunazona,lazonaeslafuente
dereferencia(odeautoridad)delainformacindeesedominio.
Inicialmente,unazonaesunficherodebasededatosparaunsolonombrededominioDNS.Pordefecto,unficherode
basededatosdezonaestsituadoeneldirectorio%systemroot%\System32\dns\.
Para las zonas estndar (no integradas en Active Directory), la nomenclatura por defecto de los ficheros es muy
prctica,yaqueelnombregeneradosersimplemente"nombrededominiogestionado.dns".
En el caso en que se aadieran otros dominios por debajo del dominio gestionado por la zona, ser posible
"almacenar"elnuevosubdominioenlamismazonaobiencrearunanueva.Porlotantodeber decidirsiunnuevo
subdominioaadidoaunazonaseincluirenlazonaoriginal,ofueradeella.Enestecaso,veremosmstardequela
gestindeesesubdominiosedicequeesdelegadaenotrazona.
El siguiente esquema muestra la implementacin de varias zonas para el dominio de segundo nivel, corporate.com.
Inicialmente,eldominiocorporate.comexistegraciasalazonacorporate.com.
Elconjuntodelespaciodenombresnecesitalaimplementacindevariossubdominios.Estossubdominiospuedena
continuacinserincluidosenlazonaodelegadosenotrazona.

Laconfiguracinilustradamuestra:

- 2-

La zona dedicada a la raz. Cuando esta zona se crea en un servidor DNS Windows 2000 Server, Windows
Server 2003 o Windows Server 2008, el fichero Root.dns se crea en el directorio %Systemroot%\system32
\dns\.
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

LazonadedicadaaldominioInternetdeprimernivel,.com.
La zona dedicada al dominio Internet de segundo nivel, corporate.com. Esta zona contiene nicamente este
dominio as como la informacin de delegacin indicando los servidores DNS que tienen autoridad sobre el
subdominiodelegadoeurope.corporate.com.
LazonadedicadaaldominioInterneteurope.corporate.com.Estazonacontienelainformacindeestedominio
as como la informacin de los subdominios be, de y nl.europe.corporate.com. El dominio europe.corporate.com
contiene tambin una delegacin indicando los servidores DNS que tienen autoridad sobre el subdominio
es.europe.corporate.com.
La zona dedicada al dominio Internet es.europe.corporate.com. Esta zona contiene la informacin de este
dominioascomolainformacindelossubdominiosapps,researchymadrid.es.europe.corporate.com.

Recuerdelossiguientespuntos:

Cuando un servidor DNS acta como servidor raz, es decir que gestiona la zona (.) a travs del fichero de
base de datos de zona Root.dns, el servidor no puede basarse en los redirectores, ni hacer llamadas a los
servidoresraz.
Laimplementacindeunnuevodominiodesegundonivelnecesitalacreacindeunnuevoficherodebasede
datosdezona.
Siunsubdominiodelazonaeurope.corporate.comnosedelega,todoslosdatosdelsubdominioseconservan
enlazonaeurope.corporate.com.
EnelsistemaDNS,sellamadominioatodorbolosubrbolqueseencuentraenelespaciodenombresde
dominio.

Existendostiposdezonas:
Laszonasdebsquedasdirectas
UnazonadebsquedasdirectasseempleaprincipalmentepararesolvernombresdeclienteendireccionesIP.Este
serelcasoqueseproduzcacuandounclienteDNSpreguntealservidorDNSporunadireccinIPdeunclientedela
red.Enlaszonas,losregistrosderecursosdetipoAproporcionandichafuncionalidad.Lazonadebsquedasdirectas
incluye los registros de recursos de tipo SOA y NS imprescindibles para el buen funcionamiento de la zona.
Opcionalmente, encontraremos tambin los registros necesarios para el funcionamiento de ciertos servicios CNAME
paralosalias,MXparalasconectoresSMTPdelosservidoresdecorreo,SRVparalosregistrosdeserviciosdeActive
Directoryocualquierotraaplicacin.
Laszonasdebsquedasinversas
Estetipodezonapermiteresolver,nounhostenIP,perosunadireccinIPencliente.Lapeticinderesolucines
inversa.EstetipodepeticinderesolucinslosepuedeejecutarsiseconocelaIPperonoelnombre.Comotodas
laszonas,estazonadisponedelosregistrosSOAyNSnecesarios.Porelcontrario,notienelosregistrosdetipoA,
pero s los equivalentes inversos. Estos registros llamados registros de tipo PTR (puntero), permiten apuntar de
ciertadireccinIPaciertonombreDNStotalmentecualificado.
Laszonasdebsquedasinversassedenominandeunamaneraespecial.Dehecho,elnombredelazonatieneque
relacionarseconlasdireccionesIPsolicitadas.Asque,dehecho,enelnombredelazonadeberaparecerelnmero
deredosubredIP.DesdeunpuntodevistadesuimplementacinenInternetperotambinenlasredesprivadas,el
nombre del dominio deber empezar obligatoriamente por inaddr.arpa. Se trata de un nombre especialmente
reservadoenelespacioDNSparaespecificarquelapeticinllevaaunazonadebsquedasinversasynoaunazona
debsquedasdirectas.
Acontinuacin,elnombredelazonasecompletaconladireccinderedperoalainversa.As,paralasdireccionesIP
quetienenqueverconlared192.168.1.0,sernecesariodeclararunazonadebsquedasinversasconelnombre
1.168.192.inaddr.arpa
LaconsoladeadministracinMMC(MicrosoftManagementConsole)delservicioDNSesmuyintuitiva.Enellaencontrar
todaslasfuncionesesencialesdeunservicioDNS.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Zonasdebsquedadirecta,inversa,sugerenciasderazyreenviadores

FicherosdeconfiguracindeunservidorDNS
LossiguientesficherosdansoportealaconfiguracindelosservidoresDNS.
Elficherodearranque
Este fichero se denomina Fichero de configuracin de arranque BIND y por defecto no se crea en la consola de
administracindelservicioDNS.Sinembargo,comounaopcindeconfiguracindelservicioServidorDNS,sepuede
copiarapartirdeotroservidorejecutandounaaplicacinDNSdetipoBIND(BerkeleyInternetNameDomain).

ConWindows,elmantenimientodeesteficheronotieneningunautilidadparaelfuncionamientonormaldel
servicio Servidor DNS. Slo tendr utilidad durante la fase de migracin de una configuracin DNS que
provengadeunsistemaDNSBIND.
Elficherocache.dns
Esteficherosellamaficherocach.Permite,alarrancarelservicioServidorDNS,lacargaderegistrosderecursosen
la cach del servidor DNS. Los servidores DNS utilizan este fichero para encontrar los servidores raz de su red o
directamente en Internet. Observe que, por defecto, este fichero contiene los registros de recursos DNS que
proporcionanlacachlocaldelservidorconlasdireccionesdelosservidoresrazenInternet.
ParalosservidoresDNSquefuncionanexclusivamenteensuredinterna,laconsolaDNSpuedetransferiryreemplazar
elcontenidodeesteficheroporlosservidoresrazinternosdesured.Estaoperacinserposibleconlacondicinde
queseanaccesiblesatravsdelaredcuandoinstaleyconfigurenuevosservidoresDNS.Suactualizacinesposible
graciasalaconsolaDNS,desdelapestaaSugerenciasRazsituadaenlaspropiedadesdelservidor.

Accesoaldominioraz(.)atravsdelficherocache.dnsyresoluciones:siseconsideraelcasodeInternet,se
sabequeelnmeroderesolucionesenlosservidoresrazesgrande.Sinembargo,estoesrelativoyaquelos
nombresdeclientesnoseresuelvengeneralmenteenestenivel.Lafuncinprincipaldelficherodesugerenciasde
servidores raz cache.dns es simplemente la de permitir la redireccin de resoluciones de nombres a otros
servidoresdereferenciaparalosdominiosysubdominiossituadosbajolaraz.
ElficherodelazonarazRoot.dns
EsteficheroesvisibleenunservidorDNScuandoestconfiguradocomorazdesured.Setratadeunficherodezona
clsico. Su nica particularidad es que administra la zona (.), que est situada en el lugar ms alto del espacio de
nombresDNS.
Losficherosdezonasnombre_zona.dns
Cadazonaestndarcreadanecesitarsupropioficherodezonaseacualseaeltipodezona(principalosecundaria).
Estos ficheros se encuentran en la carpeta \System32\dns del servidor. Por supuesto, este tipo de ficheros no se
creanniutilizanparalaszonasprincipalesintegradasenActiveDirectory,quesealmacenanenlabasededatos.

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Elhechoqueelficherodezonaexistaeneldirectorio\System32\dnssignificaquenosetratadeunazona
integrada en Active Directory. Por contra, una zona integrada en el directorio Active Directory no tendr
ningnficherodebasededatoseneldirectorio\System32\dns.
La consola MMC de administracin de DNS ofrece la posibilidad de cambiar a placer el tipo de zona. De este modo,
cuando una zona DNS integrada en Active Directory se convierte en una zona primaria estndar, la informacin
necesariaseextraedeldirectorioyseintegraenelnuevoficherodezona.Laoperacininversatendrcomoefecto
integrar en Active Directory todos los registros de recursos que estn en el fichero de zona y la supresin de este
ltimodeldirectorio\System32\dns.
Estructuradeunficherodezona
Acontinuacinsepuedevereldetalledelficherodebasededatosdezonaparalazonacorpnet.corporate.net.

Acontinuacinseexplicalaestructuradeunficherodezonaconlosdiferentestiposderegistrosnecesarios.
La lnea @ IN SOA booster2003.corp2003.corporate.net hostmaster.corp2003.corporate.net seguida de diferentes
frecuencias, permite fijar el comportamiento de la zona en trminos de replicacin. El carcter @ permite apuntar al
"dominio actual" sabiendo que el dominio o la zona en cuestin est tambin especificado en un comentario en el
iniciodelfichero.
El registro de recurso SOA (Start of Authority) es siempre el primer registro que se declara en una zona estndar.
PermiteespecificarelservidorDNSoriginaloelquejuegaactualmenteelpapeldeservidorprincipaldelazona.
Esteregistroderecursoseutilizaigualmenteparaalmacenarpropiedadesimportantescomolainformacindeversin
(eningls,elSerialNumber)ylosplazosqueafectanalarenovacinoexpiracindelosregistrosdelazonaydela
zona misma. Estas propiedades afectan a la frecuencia de las transferencias entre servidores que actan como
servidoresdenombresdelazona.

Losservidoresdenombresdeunazonasedenominantambinservidoresdereferenciadelazona.
ElregistroderecursoSOAcontienelasiguienteinformacin:
Servidorprincipal(propietario)
CampoquedesignaelnombredeclientedelservidorDNSprincipaldelazona.
Responsable
Campo que designa la direccin de correo del responsable de administracin de la zona. Observe que en esta
direccindecorreoseutilizaunpunto(.)enlugardelsmbolo(@).
Elnmerodeserie

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

Campoquedesignaelnmerodeversinoderevisindelficherodezona.Estevaloraumenta1automticamente
cada vez que un registro de recurso de la zona se modifica. Es indispensable que este valor cambie para que la
replicacindelasmodificacionesparcialesototalesdelazonasepuedanproducir.
Intervalodeactualizacin
Campoquedesignaelplazo(ensegundos)queunservidorDNSsecundariodeberespetarantesdepreguntarasu
fuentedelazonaparaintentarrenovarlazona.Cuandoexpiraelplazodeactualizacin,elservidorDNSsecundario
solicitaasufuenteunacopiadelregistroSOAactualdelazona.ElservidorDNSsecundariocomparaacontinuacinel
nmerodeseriedelregistroSOAactualdelservidorfuente(comoseindicaenlarespuesta)consupropioregistro
SOA local. Si los dos valores son diferentes, el servidor DNS secundario solicita una transferencia de zona para el
servidorDNSprincipal.
Observequeelvalorpredeterminadoesde900segundos,esdecir,15minutos.
Intervaloantesdeunnuevointento
Campoquedesignaelplazo(ensegundos)queunservidorsecundariodeberespetarantesdeintentarnuevamente
unatransferenciadezonatrasunintentofallido.Elvaloresengeneralmscortoqueelintervalodeactualizacin.
Observequeelvalorpredeterminadoesde600segundos,esdecir,10minutos.
Intervalodeexpiracin
Este campo es especialmente importante ya que designa el plazo (en segundos) que precede a la expiracin de la
zona de un servidor secundario y que sigue a un intervalo de actualizacin durante el cual la zona no ha sido
actualizada.
El paso de la zona al estado "expirado" se produce porque los datos pasan a considerarse no fiables. Entonces el
servidorDNSnorespondeporlazona.Elvalorpredeterminadoesde86.400segundos,esdecir,24horas.
Duracindevida(TTL,TimeToLive)mnimapordefecto
Campo que designa la duracin de vida por defecto de la zona y el valor del intervalo de puesta en cach de las
respuestasDNS.Elvalorpredeterminadoesde3.600segundos(1hora).

Si un valor TTL individual se atribuye y aplica a un registro de recurso especfico utilizado en la zona, ste
anulayremplazaelTTLmnimodefinidopordefectoenelregistroSOA.
ElregistroderecursoNScontienelasiguienteinformacin:
Elregistroderecursodetiposervidordenombres(NS)puedeutilizarsededosmanerasparadesignarservidoresde
referenciaparaunnombrededominioDNS:

Permite designar los servidores de referencia para el dominio de forma que stos sean comunicados a
aqullosquesolicitaninformacionesacercadeldominio.
PermitetambindesignarlosservidoresDNSdereferenciaparalossubdominios"delegadosalexteriordela
zona". En estos casos, el registro de NS desempea el papel de puntero hacia los servidores DNS que dan
soportealagestindesubdominioscuyagestinsedelegamsabajo.

ElregistrodeNSseutilizaportantoparamapearunnombrededominioDNShacianombredeloshostqueejecutan
servidoresDNS.ElregistrodeNSseutilizadeformamuysencilla,comoprecisamosenelejemplosiguiente.
Por ejemplo, la lnea dom1.company.com. IN NS srvdns1.dom1.company.com indica que el servidor DNS srv
dns1.dom1.company.comactuarcomoservidorDNSdereferenciaparaeldominiodom1.company.com.
Usodelcarcter@conlosregistrosdetipoNS:

- 6-

La
lnea
@
NS
booster2003.corp2003.corporate.net
significa
que
el
servidor
DNS
booster2003.corp2003.corporate.net acta como servidor DNS de referencia para el dominio en cuestin. En
esecaso,elvalordeldominioeselfijadomedianteuncomentarioenlapartesuperiordelarchivo,queesel
declaradoenelarchivodeinicioenunservidorDNSdetipoBINDoenelregistrodeunservidorDNSWindows
2000oWindowsServer2003.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

ElarchivoBOOTsedescribemsadelanteenlaseccinOpcionesdeiniciodelservidorDNS.

ApropsitodelosnombresdelosservidoresDNS
Elhechodequeelnombre"muestre"queelpropioservidorDNSformapartedelmismodominionotieneconsecuencia
alguna.Efectivamente,unservidorDNSdeterminadopuedegestionarmltipleszonasDNS.
ElnombredelservidorDNSseverinfluidoprincipalmenteporlaposicindedichoservidordentrodelaredIntraneto
Internet.EnelcasodeunproveedordeserviciosInternet,estclaroquenopuedehaberningunadependenciacon
respectoalaszonashospedadas,quepertenecenaterceros.
Porelcontrario,cuandoelservidorDNSestubicadodentrodelaempresa,esprobablequesunombrecompletose
derivedelespaciooespaciosdenombreexistentesenlaempresa.
Sea como fuere, un servidor DNS debe declararse dentro de una zona DNS con ayuda de un nombre de dominio
completamente cualificado (FQDN) para actuar en tanto que host designado como servidor de nombres para dicha
zona. Seguidamente, el nombre debe corresponder a un registro de recurso de host (A) vlido en el espacio de
nombresdedominioDNS.
ObservequelaconsolaMMCDNScreaautomticamentepordefectounregistroderecursoNSnicoparaelservidor
DNSlocalenelquesehacreadoinicialmentelazona.

3.NombresdedominioDNSynombresdedominioActiveDirectory
El espacio ofrecido a Active Directory puede derivarse del espacio Internet o estar completamente disociado. Por
ejemplo,laempresacorporate.compuededisponerdeundominioActiveDirectoryconelmismonombre,obiencrearla
ruptura de diferentes maneras. Los puntos detallados ms arriba trazan las grandes directivas referidas a los
nombres,peroveremosesospuntosdeformadetalladamsadelante.
Acontinuacin,presentamosbrevementelasdiferentesrupturasdeespacio:

privnet.corporate.com,paraimplementarunsubdominiodelespacioexistenteoficialmentedeclarado.
privnet.corp.com, para implementar un nuevo dominio derivado del nombre oficial Internet (corp) y un
subdominiodedicadoalarazActiveDirectory(privnet).
privnet.corporate.local, para implementar un nuevo dominio derivado del nombre oficial Internet (corp o
corporate), un subdominio dedicado a la raz Active Directory (privnet) y un espacio de resolucin privado
utilizandoeldominiolocalcomodominiodeprimernivel.

ApropsitodelosnombresdedominioDNSyActiveDirectory:aunquenosearecomendable,ActiveDirectory
no impone el uso de un dominio de nivel superior vlido como .com ou .net. Observe sin embargo que la
prcticarecomendadaesrespetarlosTLDs(TopLevelDomains)queyaconocemos.
LosnombresdedominiosDNSutilizadosparanombrarlosdominiosActiveDirectorynocoincidenforzosamenteconla
integridaddelespacioDNS.Dehecho,aunqueseparezcan,nodebenconfundirse.
Lasiguientetablamuestradichaconfiguracin.
NombrededominioDNS

DominioActiveDirectory

Dominio(.)

Norecomendado.

company.com

S.EstedominiopuededesempearelpapelderazActiveDirectory.

emea.company.com

S.(EuropeMiddleEastandAfrica).

asia.company.com

S.

us.partners.com

S.EstedominioestreservadoalosasociadosUS.

eu.partners.com

S.EstedominioestreservadoalosasociadosdelaUninEuropea.

Eldominiopartners.comexisteenelmbitoDNS,peronocomodominioActiveDirectory.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 7-


ElDNSofrecesusserviciosaActiveDirectoryparaotorgarlosnombresdedominioylosnombresdehost.
Por consiguiente, cualquier dominio Active Directory es forzosamente un dominio DNS, pero cualquier dominio
DNSnoesforzosamenteundominioActiveDirectory.

4.TiposdezonasyservidoresdenombresDNS
La configuracin de un servidor DNS depender del papel que desee asignar al servidor en funcin de mltiples
parmetros como pueden ser la topologa de la red y la estructura y el tamao del espacio DNS al que desea dar
soporte.
Seancualesfuerenlosrequisitos,loscomponentesbsicosdecualquierinfraestructuraDNSsebasarnenlostres
tiposdezonapresentadosacontinuacin:

laszonasprimarias

laszonassecundarias

laszonasdecdigoauxiliar(ozonasderutasinternas).

En funcin de los casos, el hecho de utilizar varias zonas facilitar la implantacin de una solucin que al principio
parecamuycompleja.Amododecomparacin,podemosimaginarlosgigantescosproblemasderivadosdelagestin
delosserviciosDNSdeInternet!
Afortunadamente, los millones de zonas que componen el espacio DNS de Internet y los conceptos de delegacin
hacenqueestagigantescaredseaadministrableyplenamenteoperacional...aescalaplanetaria!

a.Servidoresdenombresyzonasprimarias
Unservidorprimario(llamadoenocasionesprincipal)deunazonadeterminadaeselnicoservidorquecuentacon
una copia de la zona disponible en escritura. Esto significa que cualquier modificacin de la zona precisar de un
accesoalnicoservidorprimariodelamisma.
Una vez efectuadas las operaciones de modificacin, los datos se replicarn automticamente al servidor o
servidoresDNSqueactancomoservidoresdenombresDNSsecundariosdelazona.Niquedecirtienequeestas
operacionesdereplicacindezonassonfundamentalesparagarantizarladisponibilidaddeunazonaenmltiples
servidoresDNSlocalesytambinremotos.
Laszonasprincipalespuedenserdedostipos:
Zonasprincipalesestndar
En las zonas principales estndar un solo servidor podr alojar y cargar la copia principal de la zona. Ningn otro
servidorprincipalestarautorizadoenesazona.AdemssloelservidorDNSdelazonaestautorizadoaaceptar
actualizacionesdinmicasyatratarmodificacionesrelativasalazona.Sinembargo,estemodelopresentaunpunto
dbil, ya que la falta de disponibilidad del servidor encargado de la gestin de la zona principal har que no se

- 8-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

permitanactualizacionesdelazona,tantoatravsdelasfuncionesdeadministracincomoatravsdelprotocolo
de actualizacin dinmica de los registros DNS (DDNS, Dynamic DNS). No obstante, los dems servidores DNS
secundarios de la zona podrn continuar respondiendo a las demandas de los clientes hasta la expiracin de la
misma.

Msadelanteabordaremoslaexpiracindelaszonassecundarias.
ZonasprincipalesintegradasenActiveDirectory
EsposiblecrearunazonaprincipalcuyosdatosydemsparmetrossealmacenarneneldirectorioActiveDirectory.
Enelmismoordendeideas,podrtambinintegrarunazonaprimariaexistenteenActiveDirectorymodificandoel
tipodelazonaenelservidorprincipaldeorigen.

LapantallaanteriormuestracmocambiareltipodeunazonaDNS.Laszonasdetipozonaprincipalyzonacdigo
auxiliarpuedencrearsenormalmenteodentrodeActiveDirectory.Comoeslgico,noocurrelomismoconlaszonas
secundarias, ya que stas no tienen ninguna significacin con respecto a los mecanismos soportados por Active
Directory.
VentajamsimportantedelaintegracinActiveDirectory
Ms adelante veremos que los mecanismos soportados por el directorio Active Directory permiten a los servidores
DNS Windows 2000 Server, Windows Server 2003 y Windows Server 2008 resolver la prctica totalidad de los
problemaspropiosdelDNS.
Sin embargo, desde ahora podemos destacar que la integracin Active Directory nos permite disponer de varios
servidores principales para la misma zona. Esta configuracin es posible porque, por definicin, los controladores
ActiveDirectorysonigualesyestndisponiblesenmodolecturaytambinenmodoescritura.
Lo mismo ocurre con todos los servidores DNS que se benefician de ese mecanismo y que por tanto pueden dar
soportealmododeactualizacindinmicaDNSparaunazonadeterminada.
Deestaforma,elpuntodbilconstituidoporelservidorDNSprimarioparaunazonasesuprimegraciasaquetodos
loscontroladoresdedominioactancomomltiplesservidoresprimarios.
LainterfazgrficadelaconsoladeadministracindelDNSlepermiteconsultarymodificarlaszonasgestionadas.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 9-

Ejemplodepropiedadesdeunazona:estado,tipo,naturalezadelareplicacindelazonaysoportedelas
actualizacionesdinmicas
PodraadiracualquierservidorDNSunanuevazonaprincipalcadavezqueserequierandominiososubdominios
adicionalesensuespaciodenombresDNS.
Podrefectuarotrastareasdeconfiguracindelaszonasenfuncindelasnecesidades.
Recuerdelossiguientespuntos:

ElservidorDNSprincipaldeunazonadesempeaelpapeldepuntodeactualizacinparalazona.Cualquier
nuevazonacreadaesunazonaprincipal.
AlutilizarzonasprincipalesestndarnoserecomiendaqueotroservidorDNSestconfiguradoparaactuar
como servidor principal de una zona ya existente. Aunque pareciera que puede funcionar, dicho
funcionamiento no ser tolerado y podra generar errores o incoherencias entre los servidores que cargan
versionesdiferentesdelamismazona.
Existendostiposdezonasprincipales:laszonasprincipalesestndarylaszonasprincipalesintegradasen
ActiveDirectory.
Trataremos la integracin de las zonas en Active Directory en el captulo Integracin de las zonas DNS en
ActiveDirectory.

b.Servidoresdenombresyzonassecundarias
Unservidorsecundariodeunazonadeterminadaposeeunacopianomodificabledelarchivodebasededatosdela
zona.Lanicamaneradeactualizarlosdatoseinformacionesdezonaesrealizarunatransferenciadezonaapartir
deunodelosservidoresqueactancomofuenteparalazona.
Elservidordenombresecundariodeunazonadeterminadaconocelafuentedesucontenidoporladeclaracindela
direccinIPdelservidorDNSquedesempeaelpapeldeservidorDNSprincipal.
LospuntosabajodescritosresumenlasposibilidadesquepermitenalosservidoresDNSintercambiarinformacin:

Elservidorprincipalpuedeserelservidorprimario.

ElservidorprincipalpuedetambinsercualquierservidorDNSsecundariodelazona.

- 10 -

El servidor principal puede tambin ser cualquier servidor DNS con autoridad para una zona integrada en
ActiveDirectory.
Unservidorsecundariopuedeapoyarseenvariosservidorescentrales.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Latopologaestotalmentelibre.As,elservidorApuedeserprincipalparaelservidorB,queasuvezpuede
serprincipalparaelservidorCyassucesivamente.

Todas las operaciones de creacin, eliminacin, modificacin y replicacin de zonas pueden realizarse mediante el
comandodnscmd.exeoatravsdelaconsolaMMCdelDNS.
Una vez creada la zona secundaria, la ltima etapa consiste en declarar las direcciones IP de los servidores
principales,quepuedenconectarseparaobtenerinformacinderegistroactualizadareferidaalazona.Lazonade
listaslosemuestrasieltipodezonasedefinecomosecundarioodecdigoauxiliar.Cuandounazonadelservidor
debereplicarse,elservidorDNSutilizalalistaparacontactarconunservidorprincipalyobtenerunaactualizacinde
lazona.Silazonahasidomodificadayserequiereunaactualizacin,seefectaunatransferenciaparcialototalde
lazona.Observequeestalistatambinpermitecontrolarelordenenelquesesolicitarnlosservidorescentrales.
LasprimerasversionesdelosservidoresDNSrealizabantransferenciasdezonacompletas.
El RFC 1995, publicado en 1996, implementa un mecanismo ms eficaz de transferencia de zona. Se trata de la
transferencia de zona incremental mediante la cual slo las modificaciones se replican al servidor o servidores
secundariosdelazona.

AutorizacindetransferenciasdezonasloalosserviciosreferidosenlapestaaServidoresdenombresdela
zona_msdcs.booster.corpnet.corporate.net
Alcontrarioqueenlaszonasestndar,dondelasreferenciasdezonaseactivanenlosservidoresreferidosenla
pestaaServidoresdenombrespordefecto,enlaszonasintegradasenActiveDirectorynoestnautorizadaslas
transferenciasdezona.
Dehecho,estepuntoesnormalenlamedidaenquelaszonasintegradasenActiveDirectorysereplicangraciasala
replicacinActiveDirectory.
Si una zona Active Directory tuviese que estar disponible como zona secundaria en un servidor que no fuera
controladordedominio,sernecesarioautorizaraesosservidoresareplicarlazonaconcontroladoresdedominio
Windows 2000Server,WindowsServer 2003oWindowsServer2008.
El RFC 1996, publicado en 1996, implementa otra mejora del proceso de transferencia de zona. Describe un
mecanismo de notificaciones que permite al servidor primario avisar a los servidores secundarios cuando se han
realizadocambiosenlazona.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 11 -

Lapantallaquepresentamosacontinuacinmuestraqueesemtodopermitedaravisoaunooavariosservidores
DNS especificados a travs de una direccin IP o, simplemente, a todos los servidores DNS especificados como
servidoresdenombresdelazona.

Aligualqueconlastransferenciasdezona,lafuncindenotificacinseactivaentodoslosservidoresreferidosenla
pestaa Servidores de nombres cuando se trata de zonas primarias o secundarias. Recuerde que no ocurre lo
mismo cuando se trata de zonas integradas en Active Directory. Refirindonos nuevamente a las zonas estndar,
puedeoptimizarlascomunicacionesenlosenlacesderedsobrecargadosdeclarandoslolosservidoresquedesea
notificar.
Encasodesobrecargaenlasredes,lasolucinmsoptimizadaconsisteenutilizarlareplicacinActiveDirectory.
Encasodequedecidanoutilizarlafuncindenotificacinpresentadamsarriba,elservidorsecundarioslopodr
contarconlaspropiedadesdelregistroSOA.

ParmetrosdereplicacindeunazonagraciasalregistrodeSOA
Comoseespecificaenlapantallaprecedente,elservidorsecundarioentrarencontactoconelservidordenombre
primariodelazona:

- 12 -

Laprimeravezbasndoseenelintervalodeactualizacin,esdecir,alos15minutos.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Despus, basndose en el intervalo antes de un nuevo intento, es decir, cada 10 minutos durante un
mximodeunda,valordelperiododeexpiracindelazona.Observequeestosparmetrosdereplicacin
sedefinenenelregistroSOAaniveldecadazona.

Ladireccindecorreoelectrnicodelapersonaresponsablenodebecontenerelhabitualsmbolo@.DNS
consideraestecarctercomounsmbologenricoquerepresentalapropiazona.

LaduracindevidadelregistrodeSOA(valorpredeterminadode01H00)setransmiteautomticamentea
todoslosregistrosderecursosdelazonaamenosqueseasigneespecialmenteunvalorespecficoaun
registrodeterminado.
No olvide que cuando un servidor Windows 2000 Server, Windows Server 2003 o Windows Server 2008 gestiona
zonasDNSintegradasenActiveDirectory,elmotordereplicacindeActiveDirectoryseocupadelastransferencias
dezona.
ElcomponenteenquesebasanlasoperacionesdereplicacinentrecontroladoresdedominiosellamaDRA
(Directory Replication Agent).Estecomponenteesespecialementeimportanteypuederequerirsupervisin.
En la pestaa DirectoryServices del analizador de rendimiento, se pueden ver diferentes contadores de
rendimiento.
Porlotanto,losparmetrosdeSOAsonslotilesparalosservidoressecundariosdelazona.Enefecto,unazona
integrada en Active Directory deber ser replicada al mismo tiempo hacia servidores que soporten la integracin
Active Directory y tambin hacia servidores DNS estndar que nicamente soporten los mecanismos de replicacin
tradicionales(esdecir,completoseincrementales).

c.TiposdetransferenciadezonasDNS
AcabamosdeverquelaszonasDNSsemantienenenunestadoactualizadocoherentegraciasalregistrodeSOA
definidoenlazonaprincipal.
Los servidores DNS que disponen de una zona secundaria respetan los parmetros de regeneracin del SOA.
Adems,tambinpuedensernotificadosconayudadelprotocoloDNSNOTIFYdefinidoenelRFC1996"AMechanism
forPromptNotificationofZoneChanges(DNSNOTIFY)".
Msadelanteveremosquelastransferenciasdezonapuedenrealizarsedediferentesmaneras.
Transferenciadezonainicial
Cuando se declara un nuevo servidor DNS para que desempee un papel de servidor secundario para una zona
determinada, ste negocia una transferencia de zona completa (AXFR) para obtener una copia completa de los
registrosderecursosdelazona.
Las antiguas versiones de servidores DNS, como la implementacin con NT 4.0, daban soporte slo a las
transferenciasdezonascompletas.
TransferenciasdezonaincrementalesyservidoresBINDUnix
EnrelacinconlastransferenciasdezonaincrementalesenlaplataformaUnix,observequelasprimerasversiones
realmenteoperativasnecesitandeunaversindetipoBIND(BerkeleyInternetNameDomain)8.2.3.
Las versiones BIND 9.x y tambin las antiguas versiones BIND 8.2.3 funcionan correctamente con servidores
Windows2000,WindowsServer2003,WindowsServer2008.
EnlasplataformasUnixqueutilizanunservidorDNSdetipoBIND,serecomiendaquelasmodificacionesrealizadas
enlazonaserealicenenmodoactualizacindinmica.
EnestoscasoseselclienteDNSdinmicoquinefectalaoperacindecreacinodeactualizacindelregistrode
recurso. A continuacin, el servidor DNS asumir la gestin del nmero de versin de dicho registro para las
replicacionesyactualizacionesposteriores.Estosignificaqueparaaprovecharalmximolastransferenciasdezonas
incrementales(IXFR IncrementalTransfer),habrqueevitareditardirectamentelosarchivosdezonas.
EstaobservacinconciernesloalasimplementacionesalasimplementacionesBIND.LosservidoresDNSWindows
2000,WindowsServer2003yWindowsServer2008sebasanentransferenciasdezonasincrementalescuandolas
operaciones se realizan a partir de la consola de administracin MMC del DNS o bien aprovechando la replicacin
ActiveDirectoryque,pordefinicin,replicaobjetos,atributosyvalores.
Abordamos detalladamente el almacenamiento de las zonas DNS en el directorio Active Directory en el captulo
IntegracindelaszonasDNSenActiveDirectory.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 13 -

Verificacindelatransferenciadelazonaincremental
Seacualfuereelmtododetransferenciadelazonautilizada(AXFRoIXFR),laprimeracosaquerealizarelservidor
DNS ser verificar la necesidad de efectuar o no una transferencia de zona. Este control se realiza en funcin del
valor del intervalo de actualizacin en el registro de recurso de tipo SOA (Start of Authority), cuyo valor
predeterminadoestfijadoen15minutos.
Para determinar si es o no necesario iniciar una transferencia de zona, el servidor DNS secundario de la zona
considerada verifica el valor del nmero de serie a partir del registro de recurso SOA. En el caso de que las dos
versionesseanidnticasnoseefectuarningunatransferencia.
Si, por el contrario, el nmero de serie de la zona es ms elevado en el servidor principal que en el servidor
secundario, entonces se realizar la transferencia. Si el servidor principal dispone de un historial de cambios
incrementales, entonces se negocia el protocolo IXFR. Evidentemente, el proceso de transferencia incremental
definidoenelRFC1995generauntrficoderedmuchomenosabundante.Otraventajacorrespondealarapidezde
laoperacindereplicacin,yaqueentrelosdosservidoresnicamentetransitanlasmodificaciones.
Cundopuedeproducirseunatransferenciadezona?

Cuando el intervalo de actualizacin de la zona llega a su fin (es decir, cada 15 minutos de forma
predeterminada).
Cuando un servidor principal advierte al servidor secundario de que la zona ha cambiado. El RFC 1996
implementalasmodificaciones.
CuandoseiniciaelServidorDNSdesdeunservidorsecundariodelazona.
Cuando se utiliza la consola DNS en un servidor secundario de la zona para lanzar manualmente una
transferenciadezonaapartirdesuservidorprincipal.

Transferenciadezonas:puntosgeneralesypuertosTCP/IPytramas
Recuerdelospuntossiguientes:

Noesposibleconfigurarlistasdenotificacinparaunazonadecdigoauxiliar.Hablaremosdelaszonasde
cdigoauxiliarmsadelanteenestecaptulo,vasepuntoZonasdecdigoauxiliar.
La notificacin DNS debera usarse slo para advertir a los servidores que funcionan como servidores
secundarios de la zona. Efectivamente, las zonas integradas en Active Directory son replicadas por Active
Directory,quedisponedesuspropiosmecanismosdenotificacin.
La utilizacin de las notificaciones con zonas DNS integradas en Active Directory puede degradar el
rendimientodelsistemaalcrearpeticionesdetransferenciaadicionalesparalazonaactualizadacuandono
esnecesario.

Observe que el trfico vinculado a las resoluciones y replicaciones DNS es bajo en comparacin con el trfico
generadoporlosusuarios.
ElprotocoloDNSutilizadoporelpuerto53enTCPyUDP.Detallamosacontinuacinlasoperacionesrealizadasen
cadatransporte(TCPoUDP):
PuertofuenteUDP53haciaeldestinoenelmismopuerto
Elprotocolo"UserDatagramProtocol"(protocolodetiponoconectado)seutilizaprincipalmenteparalaspeticiones
deresolucinentreunclienteDNSyelservidorDNSsolicitado.Sinembargo,silarespuestasobrepasaciertoplazo,
elclienteDNS(laparteDNR)repetirsupeticinderesolucinvaTCP,siempreenelpuerto53.Pordefinicin,el
protocolo de transporte UDP es efectivamente rpido, pero no garantiza que los datos enviados se reciban
correctamente.
Elprotocolo"TransportControlProtocol"(protocolodetipoconectado)seutilizaparapeticionesmslargascomolas
transferencias de zonas. Al contrario que el protocolo UDP, el protocolo TCP garantiza que los datos enviados se
recibancorrectamente.
RecuerdeautorizarlostrficosUDPyTCP53alconfigurarelfirewall.Elhechodedeclararnicamenteunode
losdosprotocolosdetransporteprovocarunadisfuncinaleatoriadelosserviciosDNS.

d.ServidoresdecachyservidoresDNS

- 14 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Por definicin, un servidor de cach no controla ni administra ninguna zona. Se contenta con ocultar todas las
resoluciones de nombres que efecta. Un servidor de cach podr ser utilizado, por ejemplo, cuando el ancho de
bandaqueuneunsitioconotroesinsuficientecomoparaplantearselareplicacindeunaovariaszonas.
Dadoqueelservidordecachnodisponedeningunazona,estclaroquenoexistetrficodetransferenciadezona
DNS.Pordefecto,elservidordecachmemorizaduranteunahoratodaslasresolucioneslogradas.
Finalmente, un servidor DNS que administra zonas (primarias, secundarias, Active Directory) tambin es, por
naturaleza, un servidor de cach. De hecho, la nica diferencia es que los servidores de cach no disponen de
informacindezona.
LavisualizacindetalladapermiteverelcontenidodelacachdelservidorDNS.Seactivahaciendoclicconelbotn
derechodelratnsobreelobjetivoservidorDNSyacontinuacinsobreVer/Vistadetallada.
En caso de que una informacin oculta se convierta en no vlida, pero continuara estando activa en cach, ser
posible eliminar el registro. Observe que no se puede modificar una informacin oculta. La nica operacin
autorizadaeslaeliminacin.

5.Establecimientodelaszonasestndar:buenasprcticas
Seacualsealatecnologautilizada(Apple,IBM,Novell,Microsoft,sistemasUnix)elestablecimientodedominiosDNS
y con ms razn de dominios DNS en el marco de una infraestructura Active Directory! requiere que se respeten
ciertonmerodebuenasprcticas.
Acontinuacinencontrarlospuntosindispensablesybuenasprcticasqueesconvenienterespetar.
ConsideracionespropiasdelosservidoresyzonasDNS
UtilicecomomnimodosservidoresDNSparacadazonadelespacio.CadazonaDNSdispondrporlotantodeuna
zonaprincipalestndarydeunservidorsecundarioparalazonacomomnimo.
ParalaszonasprincipalesintegradaseneldirectorioActiveDirectory,podrapoyarseexclusivamenteenservidores
Windows que desempeen el papel de controladores de dominio Active Directory. Esta solucin se considera "la"
buenaprcticayaqueelservicioDNS,tannecesarioparalainfraestructuradedominios,sebeneficiaentoncesdelas
funcionesderedundanciaydetoleranciaalosfallosinherentesaloscontroladoresdedominioActiveDirectory.
LosservidoressecundariospermitirnrepartireltrficodedemandasDNSenalgunaspartesdelareddondelazona
seutiliceespecialmente.
Los servidores secundarios garantizan la disponibilidad total de la zona, aparte de la posibilidad de modificar su
contenido. En el caso de que el servidor primario de la zona no estuviera disponible de forma prolongada usted
podra,apesardetodo,"ascenderlazona"deunservidorsecundario,queactuaracomoprimarioalaesperadeque
elservidorprincipaloriginalestuvieranuevamentedisponible.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 15 -

Estadodelazona_msdcs.booster.corpnet.corporate.net(estadopausado)ymodificacindeltipodezona

Modificacindeltipodezonadesecundarioaprincipal

UnazonacuyoestadoesPausadohacequenoresponda.Elcambiodetipodezonasecundariaaprincipal,
permite hacer autnoma a la zona. De hecho, la zona pasar al estado Ejecutndose y ser de nuevo
operativa.

PosicionamientodelosservidoresDNS
Para optimizar los flujos generados por las resoluciones DNS, los servidores secundarios deben estar instalados lo
ms cerca posible de los clientes. En el caso de que un elemento de la red (enrutador, firewall, elementos activos)
constituyeraunpuntodefalloparacontactarconelservidorDNSpredeterminado,declareotroservidorDNS.Deesta
forma,elelementodefallonoperturbarlasresoluciones.
En el caso de Active Directory, es frecuente considerar los servicios de infraestructura como un elemento
constituyente de un todo. As, cada sitio debera disponer de "sus propios servicios de infraestructura", es
decir,deuncontroladordedominio,unservidorDNS,uncatlogoglobaly,porquno,unservidorquehicieralas
vecesdeDFS(DistributedFileSystem)raz,sienelsitioseutilizaelDFS.Porsupuesto,estalistadeserviciosnoes
exhaustiva,peroapartirdeahorapuedeconsiderarquelosserviciossonpordefinicinserviciosdeinfraestructura
y, de hecho, pueden fcilmente acumularse en el mismo servidor. El servidor se llamar entonces servidor de
infraestructura.

Influenciadelosemplazamientosenrelacinconlastransferenciasdezona
Losflujospodrnvariarconsiderablementeentreconfiguracionesqueestablezcantransferenciasdezonascompletas
(AXFRAllTransfer)eincrementales(IXFR).ObservequelastransferenciasIXFRpuedensalirmal.
ReplicacindelaszonasdebsquedainversaynmerodeservidoresDNS
La cuestin planteada se refiere al nmero de zonas y de registros por zona que habr que replicar en los N
servidoresDNS.Seacomofuere,podrverquehaytantosnombresinscritoscomodireccionesIPasociadas.Adems,
lasbuenasprcticasdelDNSnosinducenaestablecerzonasdebsquedainversa.
Portanto,losproblemassepuedenminimizarylacuestinsepuedereduciralosiguiente:esrazonablereplicarlas
zonasdebsquedainversaentodoslosservidoresquedisponendezonasdebsquedadirecta?
Elbalanceesquelosservidoressecundariosseusanprincipalmenteparazonasdebsquedadirecta.Pareceserque,
engeneral,losservidoressecundariosdeunazonadebsquedainversanoseutilizanfueradelaredylasubred
relativas a la zona indirecta. Esto se debe sobre todo a que la parte ms importante del trfico entre mquinas
clientesyservidorestienelugarenlamismaredosubredIP.
Labuenaprctica,portanto,podraserlimitarelnmerodeservidoressecundariosenlaszonasdebsquedainversa
o bien limitar el trfico utilizando zonas integradas Active Directory para aprovechar las replicaciones comprimidas,
incrementales,protegidasycontroladasporlatopologadereplicacinActiveDirectory.
Trataremos detalladamente el almacenamiento de zonas DNS en el directorio Active Directory en el captulo
- 16 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

IntegracindelaszonasDNSenActiveDirectory.

6.Delegacindelaszonas
Este potente mecanismo permite establecer espacios de dominio casi infinitos. El mejor ejemplo que podemos citar
queutilizaladelegacineslaredInternet.Cadadominiocompradoesunazonacuyagestinsedelegaauntercer
responsable.
As,ladelegacindezonasDNSimplicanecesariamenteunadivisindelespaciodenombresenunaovariaspartes
quepuedenalmacenarse,distribuirseyreplicarsedespusenotrosservidoresDNS.
A modo de recordatorio, antes hemos visto que el uso de zonas adicionales permita responder a las siguientes
necesidades:

Desviar la gestin de una parte del espacio de nombres a otra ubicacin geogrfica o a otra autoridad de
administracin.
Dividir una zona especialmente voluminosa en varias zonas ms pequeas para repartir el trfico entre las
diferentesregionesgeogrficasdelared.
Dividir un espacio compuesto de n dominios DNS en varias zonas para implementar una mejor tolerancia a
fallosencasodefallodelazona.

Elpuntomsimportanteparallevaracaboladelegacindeunazonaconsisteendeclararlosregistrosdedelegacin.
Estosregistrosdesempearnunpapelde"puntero"hacialosservidoresDNSautorizadospararesolverlosnombres
pertenecientesalossubdominiosdelegados.
Parailustrarestatcnica,podemosbasarnosenelejemplopresentadoacontinuacin.

Registrosdedelegacinenelarchivodezonacorporate.net.dns
En un principio, la empresa establece un dominio llamado corporate.net. Como ocurre siempre, el dominio se
implementaenformadeunazonaalojadaporunoovariosservidoresDNS.Estosservidorespuedenestarubicados
tanto en Internet como en la intranet de la empresa, sabiendo que el concepto de delegacin es rigurosamente
idnticoenesasdospartesdelared.
Generalmente se crear una zona de tipo primario y, de hecho, el archivo de base de datos de la zona llamado
corporate.net.dnssecolocareneldirectorio%Systemroot\system32\dns.
Acontinuacin,esconvenientedisponerlosregistrosquepermitirnlocalizarelsubdominioencuestin.Ennuestro
ejemplodebeserposiblehacerreferenciaalosservidoresconautoridadparaeldominioDNScorpnet.corporate.net.
Podrdeclararlosregistrosagregandolosregistrosnecesariosenelarchivodezonadelazonacorporate.nettaly
comoseespecificaacontinuacinoutilizarlosasistentesdelaconsoladeadministracindelservicioDNS.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 17 -

Localizacindelosservidoresdereferenciaparalazonacorpnet.corporate.netconayudadelosregistrosderecursos
detipoNSyA
Lasdeclaracionespresentesenelarchivomuestranqueelsubdominiocorpnet.corporate.netesgestionadoporcuatro
servidores DNS, situados en cuatro subredes diferentes. De esta forma es posible resolver el contenido del
subdominiocorpnet.corporate.netenloscuatropuntosgeogrficos.
Finalmente,sloquedaasegurarsedequeesposibleresolverlosnombresdelosservidoresDNS.
ResolucindelosnombresdeservidoresDNS
Al atribuir servidores con nombres de host en la misma zona, usamos de forma ideal los registros de recursos A
(direccinIP)correspondientes.
En los servidores especificados usando un registro de recurso como parte de una delegacin de zona a otro
subdominio o si, simplemente, el nombre completo fuera diferente, entonces los nombres de esas mquinas sern
llamadosnombresfueradezona.
ResolucindelosnombresdelosservidoresDNSfueradezona
Para la resolucin de los nombres fuera de zona sern obligatorios los registros de recursos A para los servidores
fueradezonaespecificados.
ObservequecuandolosregistrosdetipoNSyAfueradezonasonnecesariospararealizarunadelegacin,stosson
llamadosregistrosporpeticionessucesivas.Estecasoesrelativamenteclsicoyportantonotienenadadeatpico.

- 18 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Propiedadesdesubdominiocorp2003.corporate.net
La pantalla precedente muestra que el dominio corpnet.corporate.net est gestionado por cuatro servidores DNS
situadosendominiososubdominiosdiferentesaldominioquecontienelosregistrosdedelegacin.
ApropsitodelFQDNdelregistrodeNSydelosregistrosA,lainterfazgrficapuedeponerenevidencialas
direccionesIPrecuperadasatravsdeunapeticinDNS.Enesoscasosaparecerunaestrellaalladodela
direccinIP.
Acabamosdeverqueladelegacindezonaspermiteestablecerunespaciolgicofsicamentedistribuidoenmltiples
puntosdered.Lasdelegacionespermitenresolverdominiosdirectamenteinferioresy,portanto,hacerdescenderlas
peticiones de resolucin. Por el contrario, para cambiar o ascender las peticiones de resolucin ser necesario
ascenderalomsaltodelajerarqua,esdecir,hastaeldominioraz(.)usandolassugerenciasderaz.

7.Usodelosreenviadores
Generalmente,unreenviadoresunservidorDNSconfiguradopararedirigirlasconsultasDNSrelativasalosnombres
DNS externos hacia servidores DNS situados fuera de la red de la empresa. Sin embargo, observe que tambin es
posibleredirigirlasconsultasdeundominionosoportado,perosituadoenlaredprivadadelaempresa.
Para que un servidor DNS desempee el papel de reenviador, es preciso que el resto de servidores DNS de la red
redirijanlasconsultasquenopuedenresolverlocalmentehaciaeseservidorenconcreto.
De esta forma, el reenviador permitir gestionar la resolucin de los nombres situados fuera de la red, es decir,
principalmenteenInternet.Lasiguientefiguramuestracmoseseleccionanlosreenviadoresycmostostransmiten
lasconsultasdenombresexternoshaciaInternet.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 19 -

UtilizacindereenviadoresentrelasredesintraneteInternet
Comopuedever,elservidorDNSesespecialmenteimportante,yaquedesempeaunpapeltantoenelmbitodelas
resolucionesinternascomodelasexternas.LospuntossiguientestratansobrelaconectividaddeInternet,elbuen
usodelosreenviadoresascomodelaeventualdesactivacindelasconsultasrecursivas.
ExposicindelaredprivadaenInternet
CuandonoexisteunservidorDNSespecialmentedesignadocomoreenviador,todoslosservidoresDNSpuedenenviar
consultasalexteriordelaredusandosussugerenciasdeservidoresraz.
Sibienesverdadquelassugerenciaspermitenresolverlatotalidaddelespaciogestionado,elinconvenientedeeste
mtodo de resolucin ser generar un volumen de trfico adicional. En el caso de conexiones a Internet lentas o
saturadas,laconfiguracinserevelarineficazaltiempoquecostosaentrminosdeanchodebandaconsumido.
Atencin:laconsecuenciadelasdemandasderesolucinnosatisfechasencasodeunfalloenunservidor
DNSinterno,porejemplopodranserlaexposicinenInternetdeinformacionesDNSinternasconfidenciales.

UsocorrectodelosreenviadoresparaoptimizarlasresolucionesDNS
Si implanta un servidor DNS como reenviador, convertir dicho servidor en responsable de la gestin de las
resolucionesexternasypodrbeneficiarsedelasventajassiguientes:

La exposicin de la red se elimina ya que slo se dirigirn hacia el reenviador y despus a Internet las
resolucionesnoresueltasinternamente.
El reenviador desempear el papel de servidor de cach en la medida en que todas las consultas DNS
externasdelaredseresolvernatravsdel.Enpocotiempoelreenviadorsercapazderesolverlamayor
parte de las consultas DNS externas aprovechando directamente su cach, lo que reducir el trfico de
resolucinhaciaInternet.
EncasodeconexionesaInternetsobrecargadas,elusodelacachdelreenviadorpermitirtambinmejorar
eltiempoderespuestaparalosclientesDNS.

ComportamientodelosservidoresDNSconelusodeunreenviadorosinl
UnservidorDNSnosecomportadelamismamanerasiestconfiguradoparausarunreenviadorono.Cuandoun
servidorDNSestconfiguradoparausarunreenviadorsecomportacomosigue:

- 20 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Cuandorecibeunaconsulta,elservidorintentaresolverlaconayudadelaszonasprincipalesysecundarias
quealojaytambinbasndoseenlasresolucionesyapresentesensucach.

Sinoconsigueresolverlaconsultaconestosdatos,laenvaalservidorDNSdesignadocomoreenviador.Para
contar siempre con los reenviadores disponibles, puede declarar varios reenviadores y fijar el orden de
seleccinenunalistayelplazodeesperaqueprovocarelusodeotroreenviador.

El servidor DNS espera un momento la respuesta del reenviador antes de contactar con los servidores DNS
indicadosensussugerenciasderaz.

Comopuedeconstatarenlaetapa3,lasresolucionesquenohantenidoxitosedesvanalreenviadorantesdeser
reenviadasalassugerenciasderaz.Normalmente,lassugerenciasderazdeberanserservidoresinternos.
ReenviadoresytiposdeconsultasDNS
Habitualmente, cuando un servidor DNS transmite una demanda de resolucin a otro servidor DNS, hablamos de
consultaiterativa.
Porelcontrario,cuandounservidorDNStransmiteunaconsultaaunreenviador,secomportacomounsimpleclientey
transmiteaesteltimounaconsultarecursiva.Dehecho,elservidorquedesempeaelpapeldesimpleclienteDNS
esperaaqueseresuelvalaconsulta.
Cuandoseconfigurandelegacionesdezonas,lareferencianormalaunazonapuedesalirmalaleatoriamente
sielservidorDNStambinestconfiguradoparautilizarreenviadores.

8.Zonasdecdigoauxiliar
Una zona de cdigo auxiliar es una copia de una zona que contiene slo los registros de recursos necesarios para
identificarservidoresDNSautorizadosparadichazona.Estetipodezonaseutilizaparaverificarquelosservidores
DNSquealojandichaszonaspadresabenquservidoresestnautorizadosensuszonashijo.
Assemantienelaeficaciadelasresoluciones.
Observe que slo los servidores DNS Windows Server 2003, Windows Server 2008 y los servidores DNS BIND
modernosdansoportealaszonasdecdigoauxiliar.
LosservidoresDNSquefuncionanconWindowsNT4.0yWindows2000nodansoportealaszonasdecdigo
auxiliar.

a.Contenidodeunazonadecdigoauxiliar
Como hemos explicado antes, una zona de cdigo auxiliar contiene un subconjunto de datos de zona compuesto
nicamenteporelregistrodeSOA(StartofAuthority)ylosregistrosNS(NameServer)ydeA.Estosltimosregistros,
llamadosGluerecords,permitendeterminardirectamentedentrodelazonalasdireccionesIPdelosservidoresde
nombres(NS).
Dehecho,unazonadecdigoauxiliardesempeaunpapeldetabladepunterosquepermitelocalizardirectamente
elservidoroservidoresdenombresautorizadosparaunadeterminadazona.
La creacin de una zona de cdigo auxiliar requiere que se declaren las direcciones TCP/IP de uno o varios
servidoresprincipales.Estasdeclaracionesseusarn como ocurre con las zonas secundariasparaactualizarla
zonadecdigoauxiliar.
LosservidoresprincipalesasociadosaunazonadecdigoauxiliarsonunoovariosservidoresDNSautorizadospara
lazonahijo.Engeneral,setratadelservidorDNSquealbergalazonaprincipaldeldominiodelegado.

b.Ventajasdelaszonasdecdigoauxiliar
Laszonasdecdigoauxiliarofrecennumerosasventajas,sobretodoenloquerespectaalasdelegacionesdezona
tradicionales.Lospuntospresentadosacontinuacinleanimarnsindudaautilizarlaszonasdecdigoauxiliar:

La informacin relativa a las zonas delegadas se mantienen dinmicamente dentro de la zona de cdigo
auxiliar.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 21 -

La declaracin de los registros necesarios para delegar un subdominio es una informacin susceptible de
evolucionar en funcin de la poltica de administracin definida en la zona delegada. Por tanto, est claro
queresultarazonableplanificarlamodificacindelasdelegacionescomozonasdecdigoauxiliar.

Lasresolucionesdenombressemejorannetamente.

LaadministracindelaszonasDNSsesimplifica.

Atencin:laszonasdecdigoauxiliarnotienenelmismoobjetivoquelaszonassecundarias.Enefecto,una
zona secundaria contiene todos los registros mientras que una zona de cdigo auxiliar slo contiene los
registrosSOA,NSyAdetipoGluerecords.

Las zonas de cdigo auxiliar no deben utilizarse para reemplazar zonas secundarias, que permiten una
verdaderaredundanciaascomounareparticindelacargadelasresoluciones.

Eliminacindeladelegacinycreacindeunazonadecdigoauxiliar
El problema expuesto se resuelve creando en el servidor DNS con autoridad en la zona padre company.com, una
zona de cdigo auxiliar que corresponda al subdominio delegado, europe.company.com. De esta manera, los
administradoresdelazonapadrepodrnapoyarseenlosservidoresprincipalesdeclaradosparaserinformadosde
loseventualescambiosdeconfiguracinrelativosalosservidoresDNSconautoridadenlazonahijodelegadaosin
ella.

c.Actualizacindelaszonasdecdigoauxiliar
Lasactualizacionesdelaszonasdecdigoauxiliarfuncionansegnelmismoprincipioquelasactualizacionesdelas
zonasDNSsecundarias.
Alactualizarlazonadecdigoauxiliar
ElservidorDNSinterrogaalservidorprincipalparapedirregistrosdelosmismostiposquelossolicitadosenlaetapa
anterior. Al igual que en el caso de zonas DNS secundarias, el plazo de actualizacin del registro de recurso SOA
condiciona(ono)eliniciodelatransferenciadezonaqueprovocarlaactualizacin.
Expiracindelaszonasdecdigoauxiliar
Elfracasocontinuadodenuevosintentosdeactualizacinapartirdelservidorprincipalpuedealcanzarelvalordel
parmetrodeexpiracinespecificadoenelregistroSOA.Cuandosealcanceesteplazo,elestatutodelazonade
cdigoauxiliarpasaralestadocaducadoyelservidorDNSdejarderesponderalaspeticionesderesolucindela
zona.

d.Operacionesenlaszonasdecdigoauxiliar
Las operaciones relativas a las zonas de cdigo auxiliar son anlogas a las operaciones relativas a las zonas
secundarias. La gran diferencia radica en el almacenamiento. Por definicin, una zona secundaria no puede
almacenarsedentrodeldirectorioActiveDirectorymientrasqueunazonadecdigoauxiliarspuede.
Lasoperacionesdisponiblesenunazonadecdigoauxiliarserealizanconayudadelaconsoladeadministracin
MMCdelDNS:

- 22 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez


Volveracargar
LazonadecdigoauxiliarserecargarapartirdelalmacenajelocaldelservidorDNSconunacopiadelazonade
cdigoauxiliar.
Transferirapartirdelmaestro
EstaoperacinpermiteforzaralservidorDNSquealojaalazonadecdigoauxiliaraquecompruebesielnmerode
serie(onmerodeversin)delregistrodeSOAdelazonahacambiadoydespus,encasonecesario,aefectuar
unatransferenciadezonaapartirdelservidorprincipaldelazonadecdigoauxiliar.
Volveracargarapartirdelmaestro
Lazonadecdigoauxiliarserecargarconayudadeunatransferenciadezonaapartirdelservidorprincipalsea
cualseaelvalordelnmerodeserieindicadoenelregistrodeSOA.Porsupuesto,estaoperacinresultamuytilsi
unazonadecdigoauxiliarestensituacindefalloynosesincronizanormalmente.
UtilizacindelcomandoDNSCMDpararecargarunazonadefectuosa
El comando dnscmd dispone de todos los parmetros para realizar las operaciones disponibles en la consola de
administracin MMC del DNS. Ms abajo encontrar dos operaciones importantes realizadas con ayuda de dicho
comando. La primera operacin purga la cach de las resoluciones realizadas por el servidor DNS mientras que la
segundarecargalazonadefectuosa:

ElcomandoDNSCMDesuncomandodesistemadeWindowsServer2008.
Lainstalacindeestaherramientaserealizainstalandolasherramientasdesoporteapartirdeldirectorio\Support
ToolsdelCDRomdeWindowsServer2003.Paraobtenerayudasobreelusodeestaherramienta,tecleednscmd/?
enelsmbolodelsistemaoutilicelaayudadelasherramientasdesoportedeWindows.
Paraobtenermsinformacinacercadelcomandodnscmd,busque"Administracindelservidorconayuda
de Dnscmd" en la ayuda en lnea de Windows Server 2008. Encontrar numerosos ejemplos que le
permitirn escribir scripts para automatizar la administracin y la actualizacin de la configuracin de sus
servidoresDNS.

9.Reenviadores,zonadecdigoauxiliarydelegacin:buenasprcticas

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 23 -

Apesardequediferentessistemasymtodosparecenofrecerlosmismosresultados,existensutilesdiferenciasentre
ellos.Elusodeunmtodoenvezdeotrodependerdelascircunstancias.
Por este motivo es muy importante observar bien las diferencias que los caracterizan para usarlos de forma
apropiada.
TodosestosmecanismossonobjetodeRFCsestndares.Porconsiguiente,encontrarloslmites,ventajase
inconvenientesdelosdiferentesmtodosenlosservidoresDNSdeWindowsServer2003oWindowsServer
2008,yenlasdemsplataformasestndardelmercado.
Antesdehacersueleccin,puedeconsultarlatablapresentadaacontinuacin.stalepermitircomprendermejor
lasbuenasprcticasqueseocultantraselusodelosreenviadorescondicionales,laszonasdecdigoauxiliarylas
zonasdedelegacin.
CaractersticasdelosmecanismosderesolucinDNSentreespaciosdenombresdiferentes:
Reenviadores
condicionales

Zonasdecdigoauxiliar

Delegaciones

Espacioderesolucin

Cualquiernombresituado
enelmismoniveloenun
nivelsuperioralaszonas
locales.

Cualquiernombresituado Limitadoalos
enelmismonivel,enun
subdominiosdelaszonas
nivelinferiorosuperiora locales.
laszonaslocales.

ConsultasDNSutilizadas

Elservidorpruebalas
consultasiterativasy
despusrecursivas.

Elservidorresuelvelaconsultaopasaunareferencia
alclientepararealizarunaconsultaiterativa(en
funcindelademanda).

SeguridadyFirewall

Dasoportealosfirewall.

Puedeestarafectadoporlosfirewallqueimpidena
losclientescontactarconciertosservidoresDNS.

Niveldeconfiguracin

Adeclararentodoslos
servidoresDNS.

Replicacinautomtica
cuandoseutilizala
integracinActive
Directory.

Siemprereplicadaenlas
zonasNSdelazona
padre.

Actualizacinautomtica
cuandoseagreganNSa
lazonadedestino.

Debereconfigurarse
cuandoseagreganNSa
lazonadedestino.

Reconfiguracinnecesaria Debereconfigurarse
cuandoseagregan
servidoresdenombresa
losdominiosdedestino.
Soportealatoleranciaa
losfallos

Puedesertolerantealosfallos

Para obtener ms informacin sobre la eleccin a realizar, busque "Administracin de los servidores" en la
ayudaenlneadeWindowsServer2008.Encontrarenlaceshacialasreglasquedebenrespetarserelativas
a temas como el uso de servidores primarios y secundarios, la proteccin del servicio Servidor DNS, el uso de
servidoresdecach,lamodificacindelosparmetrospredeterminadosdelservidor,elusodelosreenviadores,el
envo de consultas con ayuda de reenviadores, la actualizacin de las sugerencias de raz y la administracin del
servidorconelcomandoDnscmddelasherramientasdesoporte.

- 24 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Gestindelosnombresmultihost
LagestindelosnombresmultihostseimplementagraciasalaactivacindelafuncinRoundRobinintegradaenel
DNS.
Puede controlar la activacin de la funcin Round Robin con ayuda de la consola de administracin del DNS o con el
comandodnscmd.

Desactivacin/activacindelafuncinRoundRobin

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

CaducidadyborradodelosregistrosDNS
LosservidoresDNSquefuncionanconWindowsServer2003yWindowsServer2008dansoportealasfuncionesde
caducidadyborrado.Estasfuncionespermiteneliminarregistrosderecursosanticuadosqueconeltiemposepueden
acumularenlaszonasDNS.
Conestasactualizacionesdinmicas,losregistrosderecursosseagreganautomticamentealaszonasaliniciarlos
ordenadores en la red. Sin embargo, no siempre se suprimen automticamente cuando los ordenadores salen de la
red.SiunordenadorquehainscritosupropioregistroderecursodetipoAsedesconectaposteriormentedelaredde
formaincorrecta,elregistroderecursonosiempresesuprime.
Adems,silaredestformadaporordenadoresporttilesestasituacinpuedeproducirseregularmenteycrearuna
corrupcinnadadesdeabledelaszonas.
Podemosconstatarlossiguientespuntosnegativos:

La presencia de registros recursos antiguos en las zonas puede acarrear problemas de falta de espacio en
discoysobrecargarlasreplicacionesyotrastransferenciasdezonas.
Los servidores DNS que cargan zonas con registros anticuados introducen el riesgo de utilizar informaciones
obsoletas,loquepodraprovocarproblemasderesolucindenombresenlared.
LaacumulacinderegistrosintilespuedetenerunimpactonegativoenlasprestacionesdelservidorDNS.

Importante: por defecto, el mecanismo de caducidad y borrado del servidor DNS est desactivado. Observe
queapartirdelmomentoenqueseactiveestafuncinesprobablequesedestruyanalgunosregistros.La
funcinslodeberaactivarseenlosservidoresDNSquealojenzonasconcientosdemilesregistrosparaprocedera
unadepuracindelosregistrosanticuados.
Siunregistrosesuprimeaccidentalmente,noslolosusuariosnoconseguirnresolverconsultasrelativasalmismo,
sinoqueademslaliberacindelregistroharquecualquierusuariopuedavolverloacrearydeclararsepropietario
suyo.Elservidorutilizaunvalordedatadoparacadaregistroderecurso.
CuandounservidorDNSiniciaunaoperacindelimpieza,determinalosregistrosderecursoscaducosyloseliminade
los datos de zona. Los servidores pueden funcionar para efectuar automticamente las operaciones, pero tambin
ustedpodriniciarlaoperacinactuandosobrelaspropiedadesdelservidor
ParaactivarlalimpiezadelaszonasDNS,utilicelaconsoladeadministracinMMCdelDNS.MarquelaopcinHabilitar
lalimpiezaautomticadelosregistrosobsoletosenlapestaaAvanzadasdelobjetoservidorDNS,yacontinuacin
hagalomismoenlazonaozonasDNSenlasquedeseeactivarlafuncin.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-


Estaoperacinespecificasilalimpiezapuedeonotenerlugarenelservidorseleccionado.Cuandolaoperacinest
desactivada,lalimpiezanopuedeefectuarseylosregistrosnosesuprimendelabasededatosDNS.Esteparmetro
seaplicaalalimpiezaautomticaytambinalamanual.
TodaslaszonasDNSdisponendelaposibilidaddeusarlasfuncionesdelimpiezacuandolosregistroshancaducado.
ElbotnPropiedadesdecaducidadpermiteaccederalosdiferentesajustes.

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Unavezms,lafuncinnoestactivadadeformapredeterminada.Attuloinformativo,lazonautilizadaennuestros
ejemploseslazona_msdcs.corp2003.corporate.net,queadministraloscontroladoresdeldominiorazdelbosque.Est
claroquelazonanodebeusarlasfuncionesdelimpiezadelosregistrosDNS.
Laeliminacinporerrordeunregistroderecursousadoporuncontroladordedominiopodrtenerefectosnegativos
enlasautenticacionesdeclientesActiveDirectoryotambin,locualesmuchomsgrave,enlasreplicacionesActive
Directory.
Para aprovechar las operaciones de caducidad y borrado, los registros deben estar agregados a las zonas DNS de
forma dinmica. La pantalla presentada a continuacin ilustra las diferentes acciones que se pueden iniciar en un
servidorDNSdeWindows2000Server,WindowsServer2003oWindowsServer2008.
Observe la accin Establecer caducidad/borrado para todas las zonas... y la accin Borrar registro de recursos
obsoletos:

PropiedadesdelservidorDNSyborradoderegistros
Tambintienelaposibilidaddeiniciarlaoperacindeborradoatravsdelainterfazdelaconsoladeadministracin
delDNSoconelcomandodnscmd/StartScavengin.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

OpcionesdeiniciodelservidorDNS
Un servidor DNS Windows 2000 Server, Windows Server 2003 o Windows Server 2008 permite especificar de qu
maneraelservicioservidorDNSdebecargarlosdatosdezonasaliniciarse.
Lasiguientepantallamuestracmoseleccionarlasopciones.

Opcindecarga:Desdeelregistro
Alelegirestaopcin,elservidorDNSsebasaenlosparmetrosdecargadelasdiferenteszonasalmacenadasenel
registrocomosemuestraacontinuacin.
Opcindecarga:Desdeelarchivo
AlelegirestaopcinelservidorDNSsebasaenlosparmetrosdecargadelasdiferenteszonasalmacenadasenel
registro,peroutilizatambinelarchivoBOOT,aligualqueenlasimplementacionesdeservidoresDNSdetipoBIND.
LasiguientefiguramuestraunarchivoBOOT.

ElarchivocontienelasdeclaracionesdelaszonasDNSconsutipo,ascomociertosparmetrosglobalesdelservidor
DNS.Explicamosacontinuacinlaspalabrasclavemsimportantes.
forwarders
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

ParmetroquedesignaladireccinodireccionesIPdelosservidoresDNSquedebenusarsecomoreenviadores.
cache
Parmetroquedesignaelnombredelarchivoquedeclaralosservidoresdeldominioraz.
primary
Parmetroquedesignaelnombredeunazonadetipoprimarioascomoelarchivodezonaasociadoaella.
secondary
Parmetroquedesignaelnombredeunazonadetiposecundarioascomoelarchivodezonaasociadoaella.
ObservequeparautilizarelmododeinicioDesdeelarchivo,ningunazonadebeestarintegradaeneldirectorioActive
Directory.
Si fuera imperativo usar el archivo BOOT y tuviera que enfrentarse a ese problema, deber marcar la casilla
Almacenar la zona en Active Directory en las propiedades de cada una de las zonas afectadas. Esta opcin est
disponibleatravsdelaspropiedadesdelazona,pestaaGeneralyacontinuacinelbotnquepermitemodificarel
tipodezona.

Laspropiedadesdeunazonapermitengestionarsusnumerosascaractersticas
Opcindecarga:DesdeActiveDirectoryyelregistro
Al elegir esta opcin, el servidor DNS se basa en los parmetros de carga situados en el registro sabiendo que el
contenidorealdelaszonasestaralmacenadoeneldirectorioActiveDirectory.
Esta opcin se selecciona automticamente cuando el servidor DNS es tambin un controlador de dominio. Como
hemosexplicadoanteriormente,losparmetrosdelaszonassealmacenansiempreenelregistro,peroestavez,el
archivoBOOTyanoesnecesario.Dehecho,sisteexistieraanteriormenteseradesplazadoaldirectoriodearchivado
\dns\backup.Unnuevoficherodeinformacinllamadoboot.txtloremplazareneldirectorio\dns.

Elficherodeinformacinboot.txtsituadoeneldirectorio\system32\dnsespecificaqueyanoseutilizaelarchivoBOOT
El registro contina desempeando su papel de base de datos de configuracin de los servicios y otros mdulos de
Windows. En nuestro caso podr constatar que la integracin Active Directory debe realizarse para la zona DNS
corporate.net.
Lasiguientefiguramuestradichaopcin.

ElparametrajeDsIntegratedespecificalaintegracinenActiveDirectory

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

RecursividaddelosservidoresDNSyproteccindelosservidores
Por defecto, un servidor DNS Windows 2000 Server, Windows Server 2003 o Windows Server 2008 soporta la
recursividad.LarecursividadesfundamentalenlamedidaenquepermiteaunservidorDNSresolvernombresparalos
quenodisponedearchivosdezona.Lapestaa ReenviadoresdelaspropiedadesdelservidorDNSlepermitirno
tener que utilizar la recursividad en cada uno de los dominios declarados como objeto de un redireccionamiento. En
ocasiones podr rechazar por completo el uso de la recursividad. La pestaa Avanzadas de las propiedades del
servidor le permitir hacerlo a travs de la opcin del servidor Deshabilitar recursividad (deshabilitar tambin los
reenviadores).

1.BloqueodelosataquesdetipoSpoofingDNS
LosservidoresDNSquedansoportealaresolucindeconsultasrecursivaspuedenservctimasdeataquesdeese
tipo. El objetivo de este tipo de ataques es el de contaminar la cach del servidor DNS. El ataque se basa en la
posibilidaddepredecirelnmerodesecuenciadelaconsultaDNS.As,elatacantepuedesometerunapeticinde
resolucin para la mquina www.microsoft.com y mientras el servidor determina la respuesta a la consulta, el
atacante engaa a su servidor con una "respuesta falsa". Esta "respuesta falsa" contendr, claro est, una
"direccinIPfalsa"y,porquno,unaduracindevida(TimeToLive)muyelevada.Unavezdetectadoelataque,la
solucinconsistirenpurgarelregistrooregistrosilcitosdelacachdelservidorDNS.
Claroquedesactivarlasconsultasrecursivasleprotegerdeesetipodeataques.Sinembargo,nopodrprescindir
delasconsultasrecursivassilosusuariosdelservidordebenresolverdominiosnogestionados.Enefecto,cuandola
recursividadesttotalmentedesactivada,elservidorDNSnoescapazderesolverlosnombresrelacionadosconlas
zonasDNSalojadas.

2.BloqueodelosataquesdetipoSpoofingDNSenservidoresdetipoInternet
Se recomienda desactivar la recursividad en los servidores DNS disponibles en Internet. De esta forma, el servidor
podr responder a las consultas de otros servidores DNS, pero impedir que los clientes de Internet utilicen el
servidor DNS para resolver otros nombres de dominio en Internet. A modo de recordatorio, tambin hemos visto
antes que un servidor DNS cuya recursividad estuviera totalmente desactivada en el servidor no poda utilizar los
reenviadores.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

SntesisdelasfuncionesdelosservidoresDNS
AcabamosdeverqueelservidorDNSpuedeconfigurarseparafuncionardediferentesmanerasyserutilizadoasen
diferentessituaciones.Resumimosacontinuacinlasdiferentesfunciones:
Servidordecach
Elefectodeunservidordecachsernicamentereducireltrficoenunaredextendida.Elservidordasoportealas
resolucionesdelosclientesylasresuelvesinposeerningunazona,portanto,sinqueseproduzcansobrecargasde
replicacin.
Servidorqueslotienelafuncindereenviador
Unservidorconfiguradoparausarreenviadoresintentaresolverelnombresolicitadobasndoseensucachlocal,en
laszonasalejadaslocalmenteyluegoconayudadelosreenviadoresespecificados.Siningunodeesosmediospermite
laresolucin,entoncesseusarlarecursividadestndar.Existelaposibilidaddedesactivarlasresolucionesrecursivas
para evitar las bsquedas una vez que los reenviadores han fracasado. En esos casos, el servidor DNS slo podr
contarconsucach,suszonasyelusodesusreenviadores.

El buen uso de los reenviadores consiste en permitir a los servidores DNS del espacio privado resolver el
espacioDNSdeInternet.ElijaunodelosservidoresDNSparausarlosreenviadores.Configureacontinuacin
elfirewallparaquesloeseservidorestautorizadoatransmitiryrecibireltrficoDNSdeInternet(puertosTCPy
UDP53).
Servidorreenviadorcondicional
Mientras que un servidor configurado para usar los reenviadores podr referirse a uno o varios reenviadores para
resolverelnombresolicitado,elreenviadorcondicionalredirigirlaspeticionesderesolucinenfuncindelnombrede
dominioDNSdelaconsulta.
Comohemosvistoanteriormente,laconfiguracinesmuysencilla,yaquebastacondeclararladireccinTCP/IPdelos
servidoresDNSquedarnsoportealdominioespecificadoparacadadominioderesolucinredirigido.

Declaracindereenviadoresespecficosenfuncindelosdominios
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

ComandosdegestindelservicioDNS
La estimacin de los costes de administracin y mantenimiento de los servidores DNS indispensables para el buen
funcionamientodeldirectorioActiveDirectoryesdifcildecuantificartericamente.Sinembargo,laexperienciamuestra
queelusodelservicioDNSnoprecisaderecursoshumanosymaterialesadicionales.
No obstante, esto no quiere decir que no sea indispensable disponer de los recursos, competencias y herramientas
necesarios para una correcta administracin y supervisin de este importante servicio. As, podr utilizar comandos y
herramientascomoNSLookup,DNSCmd,DNSLintyNetdiag.Acontinuacinpresentamosestasherramientas,ascomo
suformacorrectadeuso.

1.Elcomandoipconfig
a.AdministracindelacachdelclienteDNSydelosregistrosdinmicos
Encomparacinconlasversionesprecedentesdelcomando(versionesWindows 9xyNT),estautilidadincluyeahora
opcionesdelneadecomandoadicionalesdestinadasafacilitarlaresolucindeproblemasyelsoportedeclientes
DNS.As,ademsdelasfuncionesdeWindowsNT,desobrasconocidas,dispondrdelaposibilidaddeconsultary
reiniciar la cach de resolucin del mdulo cliente DNS y de renovar la inscripcin del cliente DNS. Presentamos a
continuacinunalistaconlasopcionesdelcomandoipconfigdeWindowsXPProfessionalyWindowsServer2003:
ipconfig/displaydns
Elcomandoipconfig/displaydnspermiteverlacachdelasresoluciones,implementadodentrodelservicioCliente
DNS.
El contenido de la cach del cliente DNS incluye las entradas precargadas a partir del archivo %Systemroot%
\System32\Drivers\etc\Hosts de la mquina local, as como cualquier registro de recurso recientemente obtenido a
traves de las consultas de nombre ya resueltas. A continuacin, el servicio cliente DNS usa esa informacin para
resolver directamente los nombres buscados frecuentemente antes de interrogar realmente a los servidores DNS
configurados.
Si ms adelante fuera necesario aadir entradas dentro del archivo Hosts local, stas se agregarn
instantneamentealacachDNS.
Visualizacindelacachyregistrosderesolucionesnegativas
NoolvidetampocoquelacachderesolucinDNSdasoportealapuestaencachnegativadelosnombresDNSno
resueltos.LasentradasnegativasseponenencachduranteunperiodocortodetiempoparaqueelservidorDNS
no sea interrogado de nuevo. El objeto de esta funcin es garantizar que los servidores DNS no reciban miles de
consultas por segundo por parte de una aplicacin simplemente mal escrita o malintencionada. De esta forma, las
resolucionesnegativaspuestasencachgarantizanalmximoladisponibilidaddetodoelservicioderesolucin.
La siguiente clave de registro permitir configurar el tiempo (en segundos) durante el cual las entradas
permanecernalmacenadasenlacachDNS:
HKLM\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters\NegativeCacheTime.
ValordetipoREG_DWORDcomprendidoentre0x00xFFFFFFFF.Elvalorpredeterminadoenproduccinenelsistema
sedefineen0x12C,esdecir,300segundoso5minutos.Unavezexpiraladuracinespecificada,elserviciocliente
DNSeliminaelregistrodelacach.
Apropsitodeladuracindevidadelasresolucionesnegativas,elvalorpredeterminadodeladuracinde
vida de los registros negativos no necesita ser modificado posteriormente. Adems, observe que ese
parmetronoseaplicaalosregistrostipoSOA.ElvalordelperiododetiempoparalosregistrosSOAnegativoses
determinado por el parmetro especfico NegativeSOACacheTime. Por defecto, el valor NegativecacheTime se
defineen0x78,esdecir120segundoso2minutos.

Noesnecesariodisponerdelestatusdeadministradorparaefectuarestaoperacin.Porconsiguiente,por
razonesdeseguridad,serecomiendaejecutarlatareacomosimpleusuario.

ipconfig/flushdns
Elcomandoipconfig/flushdnspermitevaciaryreiniciarlacachderesolucindelclienteDNS.
Cuando sea necesario, las investigaciones relativas a la resolucin de problemas DNS podrn llevarle a usar este

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

comandoparaexcluirlasentradasdecachnegativasymolestas.
Atencin! Esta operacin vaca la totalidad de la cach. De esta forma, todas las dems entradas
agregadasdinmicamentetambinsernsuprimidas.Porelcontrario,elreiniciodelacachnoeliminalas
entradasprecargadasapartirdelarchivoHosts.Paraeliminarestasentradasdebersuprimirlasdirectamentedel
archivoHosts.

En el comando ipconfig existe en las anteriores versiones de Windows, las opciones /displaydns
y /flushdns slo estn disponibles para los ordenadores que ejecuten los sistemas operativos Windows
2000,WindowsXP,WindowsServer2003ascomoWindowsVistayWindowsServer2008.

b.RenovacindelainscripcindelclienteDNS
ipconfig/registerdns
EstecomandoresultarmuytilpararenovarlainscripcindelclienteDNStrasuncambiodeconfiguracinopara
resolverelproblemadeunainscripcinerrneaounaactualizacindinmicaentreunclienteyunservidorDNSsin
reiniciarelequipo.Estaltimaobservacinafectasobretodoalosservidores.
En la medida en que un ordenador puede estar equipado de mltiples tarjetas de red, el hecho de no especificar
nada provocar el registro de las direcciones IP presentes en todas las tarjetas en el nombre declarado como
nombrecompletoprincipaldelequipo.Sidesearegistrarslounatarjetaenconcreto,podrintroducirelcomando
ipconfig /registerdns [tarjeta] dondetarjeta es el nombre de la tarjeta de red especfica instalada en el equipo
cuyasinscripcionesdesearenovaroactualizar.
Los nombres de todas las tarjetas que pueden utilizarse en un equipo determinado aparecen al teclear
directamenteelcomandoipconfig.

Elcomandoipconfig/registerdnsyloscontratosDHCP
Acabamos de ver que el comando ipconfig /registerdns permite lanzar manualmente la inscripcin dinmica de
nombresDNSydireccionesIP.Noobstante,sepaqueestecomandorestauratambintodosloscontratosDHCP.
En los equipos con sistemas operativos Windows 2000, Windows XP, Windows Server 2003, Windows Vista y
WindowsServer2008,elservicioclienteusadoparaefectuarinscripcionesyactualizacionesdinmicaseselDHCPy
ellosielequipoutilizaunservidorDHCPobienunaconfiguracinTCP/IPesttica.
EncasodetenerqueresolverunproblemadeinscripcindinmicaDNSincorrectaparaunordenadorysusnombres
DNS,debercomprobarquelacausadelproblemanoesunadelassiguientes:

La zona para la que se solicita la actualizacin o la inscripcin del cliente no acepta actualizaciones
dinmicas.
LosservidoresDNSconfiguradosenelclientenotoleranelprotocolodeactualizacindinmicaDNS.
ElservidorDNSprimariooconintegracinActiveDirectorydelazonarechazalapeticin.Generalmente,
losderechosdelclientesoninsuficientesynopermitenactualizarsupropionombre.
Elservidorolazonaalojadaporelservidornoestndisponibles.Ellopodrdeberseadiversosproblemas
comoporejemplolafaltadedisponibilidaddelsistemaodelared.

Acerca de los registros dinmicos DNS, actualizaciones de la cach y servicios cliente DHCP y cliente DNS
integradosenelsistema
El servicio Cliente DHCP es el responsable de la inscripcin y las actualizaciones de las direcciones IP y de los
registrosDNSdelequipo.Porestemotivo,inclusosiunequipoestdotadodeunaconfiguracinTCP/IPesttica,no
tomelainiciativadedetenerelservicio.Sielserviciofuerainterrumpidoelequiposufriradostiposdeproblemas.Por
unlado,siesperarecibirunaconfiguracinIPdinmica,nolarecibiryporotro,yanosercapazdellevaracabo
las actualizaciones DNS dinmicas necesarias. El comando tasklist muestra que los dos mdulos estn muy
relacionados.

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

ProcesoquecontienelosserviciosClienteDHCPyClienteDNS
En efecto, los servicios Cliente DHCP y Cliente DNS estn contenidos en el mismo proceso. La siguiente pantalla
muestraelproblema:alestarinterrumpidoelservicioClienteDHCP,elequiponoconsiguerealizarlaoperacinde
registrodinmicoenelDNS.

ElnofuncionamientodelservicioClienteDHCPimpidelasactualizacionesdinmicasDNS

c.Nuevasopcionesdelcomandoipconfig
Windows Vista y Windows Server 2008 conllevan nuevas funcionalidades IP que han necesitado modernizar el
conjuntodecomandosdesistemacomoipconfigoNetsh.
AcontinuacinsemuestranlosparmetrosrelativosalcomandoIpconfigysufuncin:

ipconfig/allcompartments:visualizainformacindetodosloscompartimentos.

ipconfig/release:liberaladireccinIPv4paralatarjetaespecificada.

ipconfig/release6:liberaladireccinIPv6paralatarjetaespecificada.

ipconfig/renew:renuevaladireccinIPv4paralatarjetaespecificada.

ipconfig/renew6:renuevaladireccinIPv6paralatarjetaespecificada.

AcercadeCompartimentosdeenrutamiento(Routingcompartments)
Windows Server 2008 y Windows Vista disponen de una nueva implementacin del protocolo TCP/IP (Next
GenerationTCP/IP).LapiladeprotocolosTCP/IPqueequipanteriormenteaWindowsXPyWindowsServer2003
fuedesarrolladaalprincipiodelosaos90yhasufridonumerosasmodificacionesparaseguirlasevolucionesdel
protocolo.ElprotocoloTCP/IPNextGenesunanuevaarquitecturayunnuevodesarrollocompletodelconjuntodela
pila IPv4 y IPv6. Una de las numerosas funcionalidades implementadas se llama compartimentos de
enrutamiento .

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Un compartimento de enrutamiento es una combinacin de un conjunto de interfaces asociadas a una


sesin de usuario dada que dispone de su propia tabla de enrutamiento privada. De este modo, un
ordenador puede tener mltiples compartimentos de enrutamiento, aislados unos de otros, sabiendo que una
interfaz no puede pertenecer ms que a un compartimento. Esta funcionalidad es muy potente, ya que permite
aislartrficosnodeseadosentreinterfacesvirtualescomolasVPN,lassesionesdetipoTerminalServer,etc.
Paramsinformacin,busque NextGenerationTCP/IPStack enelsitioMicrosoftTechnetoelsiguienteenlace:
http://technet.microsoft.com/enus/network/bb545475.aspx

2.ElcomandoNSLookup
UsodelcomandoNSlookupparaverificarlosregistrosdeloscontroladoresdedominioActiveDirectory
El comando NSLookup es un comando usado a menudo para diagnosticar posibles problemas de resolucin de
nombresdentrodelainfraestructuraDNS.EsespecialmentepotenteparaenviaraunservidorDNSuotrodemandas
deresolucinypresentarrespuestasdetalladasrelativasadichasdemandas.
ElcomandoNSLookuppresentalaparticularidaddefuncionarenmodointeractivooenmodonointeractivo.
Enmodointeractivo
Alusarestemodorecibirdirectamentelosresultadosrelativosasuscomandos.Porsupuesto,esteeselmodoms
prcticocuandosedebenteclearmltiplescomandospararealizarunaseriedeoperaciones.
Enmodonointeractivo
Al usar este modo podr pasar mltiples parmetros en la lnea de comandos y analizar as las operaciones que
podraninsertarseacontinuacinenunscriptdeadministracin.Esesoscasos,elretornorelacionadoconelcomando
pasadopodrredirigirseaunarchivo.
Porejemplo,podrusarelprocedimientoquemostramosacontinuacinparacontrolarlosregistrosdecontroladores
dedominios:

TecleeelcomandoNSLookupenelsmbolodelsistema.

Tecleesetq=srv.

Teclee_ldap._tcp.dc._msdcs.Nombre_Dominio_Active_Directory.

El retorno de este comando debe mostrar todos los registros de tipo SRV para el nombre solicitado
"_ldap._tcp.dc._msdcs.corp2003.corporate.net",esdecir,todosloscontroladoresdeldominiocontemplado.Enfuncin
delresultado,ustedmismodeterminarsiserequierealgunaaccinadicional.

FiltradoenlosregistrosdetipoSRV
Siesefueraelcaso,lasolucinconsistirencorregirlosregistroserrneosoausentes.Paraagregarlosregistrosde
recursos de tipo SRV necesarios para un controlador de dominio determinado, abra el archivo Netlogon.dns. El

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

asistenteparalainstalacindeActiveDirectorycreaautomticamenteestearchivoenelmomentoenqueelservidor
adopta el papel de controlador de dominio. Est situado en la ubicacin: \%SystemRoot%\System32\
Config\Netlogon.dns
Lasoperacionesrealizadassimplementehancomprobadoladisponibilidadonodelosregistrosbuscados.De
hecho se trata de una operacin normal que no precisa que disponga de un perfil administrador. La buena
prcticaconsiste,porlotanto,ennotomarprestadaesaidentidad.

Enalgunoscasoselprocedimientoanteriordevuelvevariosplazosdecaducidadsucesivos.Estoseproducir
cuandolasbsquedasindirectasnoestnconfiguradascorrectamente.

3.ElcomandoDNSCmd
Al igual que la mayora de herramientas utilizadas por el personal de asistencia tcnica, el comando DNSCmd se
incluyeenlasherramientasdesoportedeWindowsServer 2003.Estecomandodasoporte,directamenteenlalnea
decomando,alamayoradetareasdeadministracinincluidasenlaconsoladeadministracinMMCdelDNS.
Ahora,esteimportantecomandoseintegraenWindowsServer2008.
SeusapararealizaroperacionesespecialesenvariosservidoresDNS.Elmtodoes,portanto,especialmenteeficaz
parahacerscriptsdetareasdeadministracinrepetitivasenunoovariosservidoresDNS.Esepodraserelcaso,por
supuesto,deunproveedordeserviciosdeInternet.
El comando DNSCmd puede usarse de dos maneras: bien en administracin local o remota, o bien dentro de los
archivos batch genricos transferidos y ejecutados a distancia. De hecho, todos los escenarios de ejecucin son
posiblesystospermitirnadministrarlamayoradecasosquesepresenten.
El comando DNSCmd se usa de la siguiente forma: dnscmd Nombre_de_servidor Comando [Parmetros del
comando]
Por ejemplo, el comando dnscmd booster2003.corp2003.corporate.net /info devolver una pgina completa de
parmetros como pueden ser los parmetros relativos a la informacin general del servidor, la configuracin de los
mecanismosDNS,laconfiguracindelasopcionesdelimpiezadelosregistrosderecursos,elusodereenviadores,de
larecursividad,etc.
OtrocomandotileseldnscmdNombre_de_Servidor/clearcache.

VaciadodelacachDNSencasodecorrupcin
Elparmetro/clearcachepermitepurgarntegramenteelcontenidodelacachdelservidorDNSysuprimirastodos
losregistrosnovlidos.
NoconfundalacachdelservidorDNSconlacachdel"ClienteDNS".Lacachdelservidorpuedesepurgar
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

con el comando dnscmd /clearcache mientras que la cach del cliente se purgar con el comando
ipconfig/flushdns.
Enelmismoordendeideas,losprivilegiosnecesariosparaambasoperacionesnosonidnticos.
Para llevar a cabo el borrado de la cach del servidor DNS deber ser miembro del grupo de Administradores en el
ordenadorlocalohaberrecibido,pordelegacin,lasconfianzasnecesarias.Observequesielequipoesmiembrode
undominio,losmiembrosdelgrupoAdministradoresdeldominiopodrnefectuareseproceso.
Para llevar a cabo el borrado de la cach DNS del cliente DNS no es preciso que disponga de privilegios de
administracin.
LasiguientelistapresentalosparmetrosdelcomandoDNSCmdusadosconmayorfrecuencia:
/primary/secondary/stub/cache/autocreated
Filtradodeltipodezonaqueseadeseavisualizar.
/primary
MuestratodaslaszonasdetipoprincipaloActiveDirectory.
/secondary
Muestratodaslaszonasdetiposecundario.
/stub
Muestratodaslazonasdecdigoauxiliar.
/cache
MuestratodaslaszonaspresentesenlacachdelservidorDNS.
/autocreated
OfreceunlistadodelaszonascreadasautomticamentedurantelafasedeinstalacindelservidorDNS.
/forward/reverse
Permitefiltrarlavistadezonasdeuntipodeterminado
ParamostrarlosnumerososcomandosyparmetrosdeDNSCmd,tecleeenlalneadecomandosDNSCmd/?.

4.ElcomandoDNSLint
ElcomandoDNSLintesuncomandoincluidoenlasherramientasdesoportedeWindowsServer2003.DNSLintesuna
herramienta que permite diagnosticar problemas relacionados con la resolucin de nombres de host, dominios y
delegacionesdesubdominiosytambinaspectosrelativosaldirectorioActiveDirectory.
En efecto, el comando dispone de argumentos que le permitirn verificar los registros de recursos usados
especficamenteparalareplicacindecontroladoresdedominioActiveDirectory.
OtraventajaconrespectoalosdemscomandosesquepermiteproducirdirectamenteinformesenformatoHTML.De
estaforma,podrpresentaruncheckupcompletodelaimplementacindelsistemaderesolucinDNSdentrodeun
bosqueActiveDirectory.Todavams,DNSLintleayudarenlaresolucindeproblemasdeautenticacindeclientes
dentro de un dominio Active Directory verificando los registros de tipo SRV para los protocolos LDAP, Kerberos, as
comoparaloscatlogosglobales.
Por
ejemplo,
el
comando
que
deber
usar
para
crear
un
<direccin_IP_controlador_de_dominio>/s<direccin_IP_servidor_DNS>

informe

es:

dnslint

/ad

El parmetro /ad especifica que los registros del directorio Active Directory deben ser probados, el parmetro /s
permite solicitar el servidor DNS especificado. Observe que el parmetro /s es obligatorio para hacer un test Active
Directory con el parmetro /ad. Adems, el servidor DNS especificado a travs del parmetro /s deber estar
autorizadoparaelsubdominio_msdcs.<raz_del_bosque>.
SideseaprobarlosregistrosderecursosDNSnecesariosparaeldirectorioActiveDirectoryenelservidorlocal,puede
unirelparmetro/adconelparmetroespecfico/localhost.
- 6-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

EstetestcompruebaqueelservidorlocalescapazderesolverlosregistrosnecesariosparalasreplicacionesActive
Directory.
AdemsdelasfuncionesdetestActiveDirectory,DNSLinttambinescapazdeverificarelfuncionamientocorrectode
las delegaciones de dominio y de controlar un conjunto de registros de recursos DNS. Para realizar estas dos
operacionespodrusarlosparmetros/dy/qlrespectivamente.
Para obtener ms informacin acerca de los diferentes parmetros disponibles para el comando DNSLint, teclee
DNSLint /?.
Para descargar DNSLint u obtener ms informacin acerca de este comando, puede consultar el artculo
tcnico en la siguiente direccin: http://support.microsoft.com/kb/321045/enus. En un servidor Windows
Server2008,puedetambininstalarHerramientasdeSoportedeWindowsServer2003y,deestemodo,disponer
detodaslasherramientasdesoportehabituales.

5.ElcomandoNetdiag
El comando Netdiag, disponible con las Herramientas de Soporte de Windows Server 2003, le ayudar a aislar los
problemasderedydeconectividad.Netdiagescapazderealizarpruebasparadeterminarelestadoprecisodelas
comunicacionesentodoslostiposdeordenadoresclientesdelared.
ElcomandoNetdiagapareciconlasherramientasdesoportedeWindowsServer2000.ConWindowsServer
2008, la mayor parte de estas herramientas se han integrado, suprimiendo la necesidad de entregar un
conjunto de utilidades anexas. Observe sin embargo, que el comando Netdiag no ha sido integrado en estos
trminosyaqueelcomandoDcdiagincorporalasopcionesdetestderedequivalentes.
Atencin:lainstalacindeherramientasdesoportedeWindowsServer2003SP2oWindowsServer2003R2enun
servidor Windows Server 2008 provoca un mensaje de advertencia del mdulo "Asistente de compatibilidad de
programas". Esto significa que este programa presenta problemas de compatibilidad conocidos. Incluso si este
mensajedeadvertenciasepuedeignorarylainstalacindelasHerramientasdesoportedeWindowsServer2003se
realiza con xito, ser necesario asegurarse de que las diferentes herramientas funcionan correctamente (como
ocurreenlamayoradeloscasos,incluidoelcomandoNetdiag).
La sintaxis completa del comando Netdiag adopta la siguiente forma: netdiag [/q] [/v] [/l] [/debug] [/d:
Nombre_de_dominio][/fix][/dcaccountenum][/test:nombre_del_test][/skip:nombre_del_test]
Acontinuacinpresentamosunalistadelosparmetrosdetallados:
Elparmetro/q
Puedeusarseparaespecificarunasalidademensajessimplificadosomostrarslolosmensajesdeerror.
Elparmetro/v
PuedeusarseparaejecutarNetdiagenmododetallado(verbosemode)ymostrartodoslosdetallesrelativosalas
accionesrealizadas.
Elparmetro/l
PuedeusarsepararedirigirlasalidadelcomandoNetdiagaunarchivo.DichoarchivorecibeelnombredeNetdiag.log
ysecrearenelmismodirectorioqueaquelenelqueseejecutaelcomandoNetdiag.
Elparmetro/debug
Puede usarse para ejecutar el comando Netdiag en modo debug. Este parmetro permite disponer de un modo
detalladosuperioralmodoobtenidograciasalparmetro/v.
Elparmetro/d:domain_name
Puedeusarseparalocalizaruncontroladordedominioeneldominioespecificado.
Elparmetro/fix
PuedeusarseparaqueNetdiagsolucionedirectamenteproblemasmenores.
Elparmetro/dcaccountenum
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 7-

PuedeusarseparaenumerarlascuentasdeequipodetipoControladordeDominio.
Acontinuacinencontrarejemplosdeusodelpotentecomandodediagnstico:

ParausarNetdiagenmododetallado,tecleenetdiag/v.
ParautilizarNetdiagconelfindemostrarlainformacinrelativaauncontroladordedominiodesudominio,y
escribirlaeneldiarioNetdiag.log,tecleeelcomandonetdiag/v/l/test:dsgetdc.
Para usar Netdiag con el fin de mostrar la actividad avanzada del protocolo DNS, teclee el comando
netdiag/test:dns/debug.

Para obtener ms informacin sobre el comando Netdiag y su uso en diferentes escenarios puede remitirse a los
artculosdelaBasedeconocimientosdeMicrosoftcuyosnmerossemencionanacontinuacin:

Q265706:DCDiagandNetDiaginWindows2000FacilitateDomainJoinandDCCreation.

Q257225:BasicIPSecTroubleshootinginWindows2000.

Q216899:BestPracticeMethodsforWindows2000DomainControllerSetup.

Q250842:TroubleshootingGroupPolicyApplicationProblems.

Q219289:DescriptionoftheNetdiag/fixSwitch.

Netdiag/fix:alusarelparmetro/fix,lasrutinasdetestincluidasenelcomandoNetdiagcompruebanque
todaslasentradascontenidasenelarchivoNetlogon.dnsestnpresentesenlazonaDNS.Sialgunaentrada
es incorrecta, Netdiag corrige los errores. Cuando Netdiag ejecuta un test de controlador de dominio, el
parmetro /fix verifica el GUID del dominio oculto localmente en el ordenador, comparndolo con el GUID del
dominio disponible en un controlador de dominio. Este aspecto es muy interesante, ya que esos registros son
esenciales para el buen funcionamiento de las replicaciones Active Directory. No olvide que, por definicin, Active
Directory asigna a todos los elementos (objetos) que contiene y que lo componen un DN, un RON y tambin un
GUID. El GUID (Globally Unique IDentifier), del dominio referencia al objeto dominio mismo en el DIT (Directory
InformationTree)garantizandoassuunicidad.

ParaobtenermsinformacinsobreelcomandoNetdiag,puedebuscarenlaayudaenlneadeMicrosofto
instalardirectamentelasHerramientasdeSoportedeWindowsServer2003yasdisponerdelostodoslas
herramientasdesoportehabituales.

- 8-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

SupervisindelservicioDNS
ElservicioDNS,aligualquelosdemsserviciosimportantes,debeservigilado.Lasupervisinsebasaenlautilizacin
de la consola de administracin del rendimiento. Esta consola permite llamar a un conjunto de contadores de
rendimientoespecializadosenlasupervisindelservicioservidorDNS.DadoquelosservidoresDNSdesempeanun
papelcapitalenlamayoradeinfraestructuras,susupervisinpermitirreaccionardeformaproactivaconayudadelos
siguienteselementos:

Disponer de una base de rendimiento de referencia. A continuacin podr utilizar esa informacin para
identificarcadasenelrendimientoyestimarasposiblesactualizacionesdehardwareodesoftwareconelfin
demanteneromejorarelnivelderendimiento.
DisponerderegistrosespecializadosparaayudaralareparacinyoptimizacindelservicioservidorDNS.

Seguidamentetrataremosestosdosimportantespuntos:

1.Definicindeunabasedereferencia
Elsiguientecuadromuestraloscontadoresquepuedeodebeseleccionarparapodersupervisarcorrectamenteel
servicioservidorDNS.
Contadoresde
rendimiento

Tiposdedatos
recolectados

Evaluacin

Directivadecontrol

Actualizacionesdinmicas Nmerototalde
rechazadas
actualizacionesdinmicas
rechazadasporel
servidorDNS.

Unnmeroaltode
rechazosenunservidor
DNSseguropuedequerer
decirquealgnequipono
autorizadointentallevar
acaboactualizaciones
dinmicas.

Todoaumentodebe
provocarunanlisis
detalladodeestadudosa
actividad.

Consultasrecursivaspor
segundos

Estecontadorpermite
controlarlaactividaddel
servidorDNSentrminos
decargaderesoluciones
denombres.

Cualquiervariacin
importantedeberser
objetodeuncontroldela
actividad.

Elservidorsecundario
quealojaunazona
secundariasolicita
transferenciasdezona.
Cuandolacifraes
elevadaseefectaenla
zonaprimariaunnmero
elevadodecambios.

Sielcontadorevoluciona
demaneraimportanteen
relacinconlabase,
quizseanecesario
revisarelnmerode
modificaciones
autorizadasascomoel
mtodoutilizado.

Nmeromediode
consultasrecursivas
recibidasporelservidor
DNSenunsegundo.

PeticionesAXFRenviadas Nmerototalde
peticionesde
transferenciasdezona
completasenviadasporel
servidorDNSsecundario.

ContadoresdecontroldelDNSycuadrodeutilizacin
EstoscontadorespuedenusarseconloscomponentesdecontrolyregistrohabitualesdeWindows2000,Windows
Server2003yWindowsServer2008.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

VisordeloggingparaelcontroldelservicioDNS
Habr constatado que la consola MMC mostrada arriba tiene dos componentes. El componente System Monitor
Controlcorrespondealtradicional"monitorderendimiento"mientrasqueelcomponenteAdministracindelequipo
permiteadministrarlosregistrosyalertasderendimiento.
Enesteejemplo,elcomportamientodelamquinasecontrolaconayudadelregistropredeterminadoInformacin
generaldelsistemaascomodeunregistrodedicadoalcontroldelservicioservidorDNS.
Habitualmente,laconsolapreformateadaRendimientoesdirectamenteaccesibleatravsdelmenInicioTodoslos
programas Herramientas administrativas. Sin embargo, si desea insertar este programa conectable en una
consola personalizada se sorprender de no encontrarlo en la lista de componentes seleccionables. Ahora bien, el
componenteestdisponiblesipasaporlaopcinControlActiveX.
Estecomponenteesespecialmenteinteresanteparatenerunavistainstantneadelaactividadperosobretodopara
analizarlosregistrosenunperiododetiempoquesepuedeespecificar:

Seleccindelperiododeanlisisenelregistro

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Podrn aadirse otros interesantes contadores en funcin del uso del servidor DNS. De esta forma, por ejemplo,
podrinsertarensuregistrodecontrolloscontadoresderendimientodetalladosacontinuacin:

NtotaldepeticionesrecibidasyNtotaldepeticionesrecibidas/s

NtotalderepuestasenviadasyNtotalderespuestasenviadas/s

PeticionesrecursivasyPeticionesrecursivas/s

PlazosexpiradosdeenvosrecursivosyPlazosexpiradosdeenvosrecursivos/s

RechazosdepeticionesrecursivasyRechazosdepeticionesrecursivas/s

NotificacionesenviadasPeticionesdetransferenciasdezonarecibidas

Rechazosdetransferenciasdezona

PeticionesAXFRrecibidasAXFRcorrectosenviados

PeticionesIXFRrecibidasIXFRcorrectosenviadosNotificacionesrecibidas

PeticionesdetransferenciadezonaSOA

ActualizacionesdinmicasrecibidasyActualizacionesdinmicasrecibidas/s

Actualizacionesdinmicasrechazadas

Actualizacionesdinmicasenespera

ActualizacionesdinmicassegurasrecibidasyActualizacionesdinmicassegurasrecibidas/s

Rechazosdeactualizacionesseguras.

2.UsodelaconsolaAdministracindelservidor
Windows Server 2008 introduce la nueva consola de gestin de servidor MMC Administracin del servidor. Esta
consolafacilitaelconjuntodetareasdegestinydeseguridaddelasfuncionesdeservidorproporcionandounpunto
central para acceder a la informacin del sistema y a los diferentes estados de funcionamiento del servidor. A
continuacinsemuestransusgrandesfuncionalidades:

Visualizacinymodificacindefuncionalidadesinstaladasenelservidor.

Gestindeserviciosoperacionales.

Gestindefunciones.

Resumen de estados, eventos crticos y ayuda en el anlisis y resolucin de problemas con acceso a
diferentesfuentesdeinformacin(buenasprcticas,recomendaciones,artculosMicrosoftTechnet).

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Seguimientodelafuncin servidorDNS conlaayudadeAdministracindelservidor


La siguiente figura ilustra la consola Administracin del servidor para utilizar de la mejor manera posible los
servicios DNS de Windows Server 2008. Encontrar los mejores enlaces para aplicar las configuraciones
recomendadas,lasdiferentestareasdeadministracinodemantenimientoascomomejorasprcticasaobservar.

Mantenimientodelafuncin servidorDNS conlaayudadeAdministracindelservidor

3.Usodelosvisoresdesucesos
Pordefecto,losordenadoresquefuncionanconWindows2000oWindowsServer 2003guardanloseventosentres
tiposdevisores:

Aplicacin:contienelossucesosguardadosporlasaplicacionesoprogramas.
Seguridad:registrasucesostalescomointentosvlidosynovlidosdeiniciodesesin,ascomosucesos
vinculadosalusodeunrecurso.
Sistema: contiene los sucesos guardados por los componentes del sistema Windows. Los rechazos en la
cargadeunpilotouotrocomponentedelsistemaduranteelinicioseconsignanenelvisor.

Sin embargo, cuando el equipo est configurado para alojar ciertos servicios adicionales, se dispone de visores
- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

adicionales.As,sielequipoestconfiguradocomocontroladordedominiosecreandosvisoresadicionales:

Servicio de directorio: contiene los sucesos guardados por el servicio Active Directory de Windows 2000,
WindowsServer2003oWindowsServer 2008.
Servicio de replicacin de archivos: contiene los sucesos guardados por el servicio de replicacin de
archivosFRSoNTFRSdeWindows.

Cuando el equipo tambin est configurado para acoger la funcin de servidor DNS, los sucesos del servicio se
consignanenunvisoradicional.ElvisordelservidorDNScontienenicamentelossucesosregistradosporelservicio
DNS de Windows. La figura que presentamos ms adelante muestra dicho visor, accesible a travs de las
herramientasdegestindelosvisoresdesucesosdeWindows,perotambindirectamentemediantelaconsolade
administracinMMCdelDNS.
El visor Sucesos DNS est situado, al igual que el resto de visores, en el directorio %Systemroot%\system32
\config\ysellamadnsevent.evt.Lasiguientefigurailustraelniveldedetalledelosmensajesdelvisor.
En efecto, en este ejemplo, un registro de recuso no vlido se encuentra en la zona DNS corporate.net. Este
problemageneraunnmerodesuceso4011,perosobretodounaexplicacinmuyprecisadelproblema.

DeteccindeunregistroderecursoDNSnovlidoenlazona
Efectivamente, constatamos que el problema est en la lnea 31 del fichero de zona cuyo nombre es
corporate.net.dns.
Generalmente, los mensajes de Windows y de los componentes integrados en el sistema son relativamente
explcitos.Pordesgracia,nosiemprelosmensajessontanclaroscomoenelejemploanterior.Avecessernecesario
buscarmsdetallesreferentesalascircunstanciasenquelosmensajessehanproducido.
SepuedeaccederaladescripcindelosmensajesWindowsconlosrecursosespecificadosacontinuacin:

ConctesealsitioMicrosoftEventsandErrorsMessageCenterenladireccin:
http://www.microsoft.com/technet/support/eventserrors.mspx

InstaleelkitdeRecursosTcnicosdeWindows2000oWindowsServer 2003.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

Conctesealsitiohttp://www.EventID.net.

4.UsodelosregistrosdedepuracinDNS
Windows Server 2003 y Windows Server 2008 dan soporte a un nuevo modo de registro avanzado que permite
seleccionarlostiposdemensajesyoperacionesespecficosdelservicioDNS.
Al igual que ocurre con muchos productos, estos registros no se encuentran activados por defecto para evitar
posiblessobrecargasdelequipo.Seactivarnsloencasodenecesidad,porejemplo,cuandolosoliciteelsoporte
Microsoft.
La activacin de los visores de depuracin en un servidor DNS determinado, por ejemplo, tendr como efecto
consignarenelregistroDNS.loglostiposdeactividadqueustedhayaseleccionadopreviamente.
PuedeactivarelregistrodedepuracinapartirdelafichaDepurarregistroenlaspropiedadesdelobjetoServidor.
Por defecto, el registro DNS.log est almacenado en la particin sistema dentro de la carpeta %Systemroot%
\system32\dns. Este archivo, ciertamente muy til para ayudar en el diagnstico de los incidentes DNS, puede
consumir espacio en disco, por lo que el tamao mximo fijado por defecto es 500 Mb. Para esquivar posibles
problemasdeespacioendiscotambinsepuedecambiarelemplazamientofsicodelarchivoderegistrocolocndolo
enotrodiscofsicooenotraparticin.
Observe que el tamao predeterminado permite consignar bastante informacin en un periodo de tiempo
conveniente para poder ayudar en el diagnstico y en la resolucin del problema. No olvide que la
depuracin del registro slo se detendr si usted lo especifica o si el espacio de disco se hiciera insuficiente.
Mientras la funcin est activada, el registro de depuracin contina operativo y las entradas ms antiguas se
sobrescribirnslocuandosealcanceeltamaolmite.

LecturadelregistrodedepuracinDNS.log

El registro de depuracin no est activado por defecto. Esta funcionalidad slo debera estar activa para
diagnosticarproblemascomplejos.Noolvidequeestemododedepuracinconsumeabundantesrecursosy
acaba afectando al comportamiento general del equipo. Por consiguiente, utilcelo cuando resulte necesario
disponerdeinformacinmsdetallada.
ParaobtenermsinformacinsobreelcontroldelservicioDNS,busque"Supervisinyoptimizacindelosservidores
DNS"enlaayudaenlneadeWindowsServer2008.

- 6-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Restauracindelosparmetrospredeterminados
EsposiblequetrasconfigurarlosnumerososparmetrosdelservidorDNSdeWindowsServer2003oWindowsServer
2008,algunosparmetrosnosehayandefinidoconvenientemente.Pararestableceruncomportamientomsracional,
podrverseobligadoarestaurarlosparmetrospredeterminadosdesuservidorDNS.
PararealizarestaoperacinconlaconsoladeadministracinMMCdelDNS,hagaclicconelbotnderechodelratn
sobre el servidor DNS apropiado, haga clic en Propiedades y seleccione la pestaa Avanzadas. Haga clic en
Restablecervalorespredeterminados,ydespusenAceptar.

RestablecimientodelosvalorespredeterminadosdelservidorDNS
Losvaloresrestablecidosrespetarnlosvalorescorrespondientesalainstalacinpredeterminadadelservicioservidor
DNSenelequipo.Estosvaloressonlossiguientes:
Desactivarrecursividad
Noseleccionado.
Enlazarsecundarios
Seleccionado.
Errorencarga...
Noseleccionado.
HabilitarlafuncinRoundRobin
Seleccionado.
Habilitarordendemscaradered
Seleccionado.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Asegurarcachcontracorrupcin
Seleccionado.
Comprobacindenombre
Multibyte(UTF8).
Cargardatosdelazona...
DesdeActiveDirectoryyelregistro.
Habilitarlalimpiezaautomtica...
Noseleccionado.

Esta operacin requiere que usted sea miembro del grupo Administradores en el equipo local o que haya
recibidopordelegacinlasconfianzasnecesarias.Sielequipoestvinculadoaundominio,losmiembrosdel
grupoAdministradoresdeldominiopuedenefectuaresteprocedimiento.

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Interfaz NetBIOS y Configuracin DNS del cliente Windows XP


Professional
1.ApropsitodelainterfazNetBIOS
a.InterfazNetBIOSyconfiguracinDNSdelclienteWindowsXPProfessional
LossistemasoperativosMicrosoftdansoporteaTCP/IPdesdehacemsdequinceaos.Conlasprimerasversiones
de PC/LAN, posteriormente con Microsoft OS/2 Lan Manager y, finalmente, con Windows NT 3.1 en 1993, y en la
actualidad con todas las tecnologas que gravitan en torno al directorio Active Directory, los servicios TCP/IP han
adquiridocadavezmsimportanciadentrodelossistemasyaplicacionesWindows.
LapresenteseccinpresentalosconceptosybuenasprcticasrelativosalaconfiguracinTCP/IPdelaestacinde
trabajoWindowsXPProfessional,sabiendoqueustedpodraplicaresosprincipiosamquinasconWindows 2000,
WindowsServer2003oWindowsServer 2008.

b.Tiposdenombrestolerados
Paraempezar,convienerecordarque,pordefecto,lossistemasoperativosWindows2000,WindowsXP,Windows
Server 2003 y Windows Server 2008 utilizan un espacio de nombres y un sistema de resolucin de nombres para
asociar nombres de equipos, servicios y dominios a las direcciones IP. Es evidente que esos nombres sern ms
fcilesdeutilizarquelasdireccionesrealesdeesoselementos.
Aunquenoseanlosnicosparasistemasenred,existendosgrandestiposdenombres:

Los nombres de host: los nombres de host son usados por programas que utilizan la interfaz de
programacinWindowsSockets.Enlaactualidad,lamayoradeaplicacionesseapoyanenestainterfaz.Por
ejemplo, las aplicaciones como Microsoft Internet Explorer o las herramientas de gestin TCP/IP como el
comandotracertutilizanesainterfazdeprogramacinenred.
LosnombresNetBIOS:losnombresNetBIOSsonutilizadosporprogramasoserviciosenredqueutilizanla
interfaz de programacin NetBIOS. Por ejemplo, aplicaciones como "Cliente para redes Microsoft" y
"Compartir impresoras y archivos para redes Microsoft" son tambin programas que usan la interfaz
NetBIOS.Porsupuesto,lalistaeslarga,tambinpodemoscitarelservicio"Vermensajes"utilizadomediante
elcomandonet send.AntesdequeTCP/IPseimpusieragraciasalaeclosindeInternetylaadhesinde
lderescomoIBM,MicrosoftyNovell,lasredesusabanprotocolosdetransportecomoIPX/SPX,Decnet,SNA,
AppleTalk,cadaunodeellosconsuspropiasAPIdedesarrollodeaplicacionesdered.Fueentoncescuando
se defini NetBIOSNetworkBasicInputandOutputSystem,lainterfazllamadaadesempearelpapelde
interfazdeprogramacingenricaparaeldesarrollodeaplicacionesdered.

c.PosicionamientodelainterfazNetBIOSenrelacinconTCP/IP
ElprotocoloNetBIOSexisteentantoqueinterfazdetiposesin,esdecir,enelnivel5delmodeloOSI.Noobstante,
el protocolo existe tambin como transporte real en el nivel 4 del mismo modelo. La implementacin de Microsoft,
conocidaconelnombre"NetBEUINetBIOSExtendedUserInterface",eslamseficaz.Durantemuchosaosrivaliz
conNovellNetwareeIBMOS/2WarpServerconNetBIOS3.0.
Alnodisponerdeserviciosderedenelnivel3delmodeloOSI,estclaroqueelprotocoloNetBEUInoesenrutable.
Sinembargo,dichoprotocolodetransporteesenrutableenTokenRingypuedeatravesarlospuentesdenivel2.
RelacinentreelmodeloTCP/IPylasaplicaciones
Finalmente, la capa Aplicacin es la ms importante, ya que permitir usar o no los servicios de toda la pila de
protocolosTCP/IP.TCP/IPproponedosinterfacesquepermitenalasaplicacionesenredusaresosservicios.

La interfaz Windows Sockets: esta interfaz tambin llamada Winsock, desempea el papel de interfaz
estndarentreaplicacionesbasadasenlosSocketsylosprotocolosdeTCP/IP.Elconceptoeselsiguiente:
laaplicacinespecificaelprotocolo,ladireccinIPyelpuertoautilizarenlaaplicacinremota.Losservicios
delainterfazWindowsSocketspermitenrealizarestafuncinascomolaaperturaycierredelasconexiones
yelenvoyrecepcindedatos.
La interfaz NetBIOS over TCP/IP: esta interfaz, tambin llamada NetBT, desempea el papel de interfaz
estndarentrelasaplicacionesNetBIOS.Ofreceserviciosdenombrescompletos,serviciosdesuministrode
datosenmodoconectadoydesconectado(esdecirenTCPyUDP)yserviciosdegestindesesiones.
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

2.PlataformaWindowseinterfazWindows
a.ServiciosNetBIOSycdigosdeserviciosMicrosoft
En la medida en que muchas plataformas continan utilizando la interfaz NetBIOS, resulta importante conocer los
cdigosdeserviciosusadosporloscomponentesdelaredMicrosoft.Estoscdigosseregistranenlaredlocalen
formademensajesdetipo"limitedbroadcasts",esdecir,mensajesdedifusincuyadireccindedestinoselimitaa
laredoalasubredTCP/IPfuente.Porejemplo,enlared10.1.0.0conunprefijode16bits,esdecir,unamscarade
subreddeclaseB,ladireccindedestinodelosmensajesdepeticinderegistroser10.1.255.255.Claro,comolos
routersIPsloenrutanmensajesdirigidos(unicasts),losmensajesselimitanalasubredIPlocal.
Todaslasmquinasdelaredserninformadasasypodrneventualmentecontestaralapeticinderegistro.Eso
ocurrir si, inesperadamente, se inician en la misma red dos ordenadores con el mismo nombre NetBIOS. El
ordenadoriniciadoenltimolugarserexcluidodelaredNetBIOShastaqueseresuelvaelproblemadeconflicto.
Adems del registro de nombres NetBIOS a travs de los mensajes de difusin, la implementacin de NetBIOS en
TCP/IP prev el uso de servidores NBNS (NetBIOS Name Servers) como WINS Windows Internet Naming Service.
Estos servidores permiten centralizar todos los registros NetBIOS. Evidentemente, los servidores de registro de
nombresNetBIOSfuncionandeformadinmicaypermitendisminuirdeformasustancialelnmerodemensajesde
difusin. La siguiente figura muestra el uso del comando nbtstat, que muestra los cdigos de servicios de una
mquinadeterminada.

VistadelosnombresNetBIOSregistradosporlamquina192.168.0.47.Elcdigo[1B]muestraquelamquina
desempeaelpapeldecontroladordedominioprincipaldeexploracinparaeldominioNetBIOSCORP2003
ElcomandonbtstatesunantiguocomandoNetBIOS.ExistedesdelasprimerasimplementacionesdeMicrosoftOS/2
LAN Manager. Adems de controlar individualmente cada mquina, podr acceder al conjunto de registros del
espaciodenombreNetBIOSconsultandolasbasesdedatosdelosservidoresWINS.
Los tipos de nombres NetBIOS presentados a continuacin son los usados con mayor frecuencia en las redes
Microsoft.
nombre_equipo[00h]
NombreregistradoporelservicioEstacindetrabajoenelclienteWINS.
nombre_equipo[03h]
NombreregistradoporelservicioVistadelosmensajesenelclienteWINS.
nombre_equipo[06h]
NombreregistradoenelclienteWINSporelserviciodeenrutamientoyaccesoremotoaliniciardichoservicio.
nombre_dominio[1Bh]
NombreregistradoporcadacontroladordedominioWindowsNTServer4.0conlafuncindeexploradorprincipalde
dominio (Domain Master Browser). Este registro de nombre se usa para permitir la exploracin remota de los
dominios.

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

nombre_equipo[1Fh]
NombreregistradoporlosserviciosNetDDE(NetworkDynamicDataExchange).Sloseregistrasisehaniniciadolos
serviciosNetDDE.
nombre_equipo[20h]
NombreregistradoporelservicioServidorenelclienteWINS.
nombre_equipo[21h]
NombreregistradoenelclienteWINSporelservicioClienteRASaliniciardichoservicio.
nombre_equipo[BEh]
Nombreregistradoporelagentedesupervisindelared(AgentNetmon),sloaparecersisehainiciadoelservicio
clienteWINS.
nombre_equipo[BFh]
Nombre registrado por la utilidad de control de la red (Analizador de tramas suministrado con Microsoft Systems
ManagementServer2.0o2003).
nombre_usuario[03h]
Nombreregistradoporcadaunodelosusuariosconectados.Tengacuidado:sivariosusuariosseconectanconel
mismonombre,sloelprimerequiporegistradoenlaredpodrregistrarelnombre.
nombre_dominio[00h]
Se trata de un nombre de grupo NetBIOS registrado por el servicio Estacin de trabajo para poder recibir las
difusionesdeexploracinprocedentesdeequiposLANManager.
nombre_dominio[1Ch]
Se trata de un nombre de grupo NetBIOS usado por los controladores de dominio Windows NT en el mbito del
dominio.Puedecontenerhasta25direccionesIP.ObservequeesteregistronoesusadoporActiveDirectory.
nombre_dominio[1Dh]
SetratadeunnombredegrupoNetBIOSusadoporlosexploradoresprincipalesdecadasubred,sabiendoqueslo
puede haber un explorador principal por subred. Los exploradores de seguridad (Backup Browsers) usan ese
nombreparacomunicarseconelexploradorprincipal(MasterBrowser),extrayendolalistadeservidoresdisponibles
delexploradorprincipal.
nombre_grupo[1Eh]
Se trata de un nombre de grupo NetBIOS corriente. Cualquier equipo configurado como explorador de red puede
difundiraesenombreyescucharlasdifusioneshaciaesenombreparaescogerunexploradorprincipal.Unnombre
degrupomapeadoestticamenteutilizaesenombrepararegistrarseenlared.CuandounservidorWINSrecibeuna
demandadenombreterminadapor[1E],reenvasiempreladireccindedifusindelaredlocaldelclientequeha
emitidolademanda.
nombre_grupo[20h]
SetratadeunnombredegrupoNetBIOSespecialllamadogrupoInternet.SeregistraenlosservidoresWINSpara
identificarlosgruposdeordenadoresparanecesidadesadministrativas.
__MSBROWSE__[01h]
Se trata de un nombre de grupo NetBIOS registrado por el explorador principal para cada subred. Cuando un
servidorWINSrecibeunapeticinrelativaaesenombre,devuelvesiempreladireccindedifusindelaredlocaldel
clientequehaemitidolapeticin.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Loscdigosdelosserviciospresentadosanteriormentesoncdigosrelativosaloscomponentesderedde
Microsoft.MuchasaplicacionesquenosondeMicrosoftsiguenusandocdigosqueprecisandelainterfazde
programacinNetBIOS.Dehecho,siguesiendonecesariodarsoporteadichainterfazyalosservidoresWINS.
ParaobtenermsinformacinacercadelaconfiguracindelosservidoresWINS,consulteelKitderecursostcnicos
deWindowsServer2003.

b.ResolucindenombreNetBIOS
LaresolucindenombresNetBIOSquieredecirquesepuedeponerencorrespondenciaunnombreNetBIOSconla
direccinIPqueleestasociada.AmododerecordatoriodiremosqueunnombreNetBIOSesunadireccinde16
bytesusadaparaidentificarelrecursoNetBIOSdentrodelared.Dehecho,los15primerosbytesestndisponibles
para el nombre mientras que el ltimo, el nmero 16, se reserva al cdigo de servicio. Por definicin, el nombre
NetBIOSesunnombrenicodentrodelaredNetBIOS,obienunnombredegrupoutilizadoportodoslosmiembros
dedichogrupo.EnesteltimocasoelnombreNetBIOSrecibeelnombrede"NetBIOSnoexclusivo".
Finalmente, cuando un proceso NetBIOS se comunica con otro proceso NetBIOS situado en un equipo de la red,
entonces se utiliza el nombre nico. Por el contrario, en las comunicaciones de una aplicacin con varios procesos
situadosenvariosequipos,seusarunnombredegrupoNetBIOS.
RegistrodeequiposyserviciosenlaredNetBIOS
El servicio "Compartir impresoras y archivos para redes Microsoft" es un ejemplo de proceso en un equipo con
WindowsXPProfessional.Aliniciarseelequipo,elservicioregistraunnombreNetBIOSnicobasadoenelnombre
delequipo.Elnombreexactousadoporelservicioeselnombrelimitadoa15caracteres.Elcarcternmero16del
nombre (en hexadecimal, valor de 00 a FF) indicar siempre el tipo de recurso. En nuestro ejemplo, el servicio
servidordeclaraelcdigo0x20.Estemecanismoderegistroseproducirentodaslasaplicacionespertenecientesal
espaciodenombresNetBIOS.

c.OrdendelasresolucionesNetBIOS
ElmecanismoexactosegnelcuallosnombresNetBIOSseresuelvenendireccionesIPdependedeltipodenodo
NetBIOSconfiguradoenlamquina.ElRFC1001,"ProtocolStandardforaNetBIOSServiceonaTCP/UDPTransport:
ConceptsandMethods"definecuatrotipodenodosNetBIOS:
NododetipoBnodo(difusin)
El modo Bnodo (Broadcast node) usa las consultas de nombres NetBIOS de difusin para inscribir y resolver
nombres.ElBnodopresentadosproblemasprincipales:

lasdifusionesperturbanlosnodosdelaredlocal,
losroutersnotransmiten,pordefecto,losmensajesdedifusin.Porconsiguiente,losnicosnombresque
puedenresolversesonlosnombresNetBIOSdelaredlocal.

NododetipoPnodo(puntoapunto)
ElPnodo(PointtoPointnode)usaunservidordenombreNetBIOS(NBNS)comounservidorWINSpararesolverlos
nombresNetBIOS.ElPnodonousaenabsolutolasdifusiones.Todaslasresolucionessedirigenenunicasthaciael
servidordenombresWINS.Estetipodenodoseutilizaencontadasocasiones.
NododetipoMnodo(mixto)
ElMnodo(Mixednode)esunacombinacindeBnodoyPnodo.Pordefecto,unMnodofuncionaprimerocomoun
Bnodo.SiunMnodonopuedeusarsepararesolverunnombrepordifusin,stepideunNBNSatravsdePnodo.
Estetipodenodoseutilizaencontadasocasiones.
NododetipoHnodo(hbrido)
ElHnodo(Hybridnode)esunacombinacindePnodoyBnodo.Pordefecto,unHnodofuncionacomounPnodo.
Si un Hnodo no puede usarse para resolver un nombre a travs del NBNS, utiliza una difusin para resolver el
nombre.AlsereltipodenodorecomendadoporMicrosofteselusadoconmayorfrecuencia.Elhechodedeclararel
usodeunoovariosservidoresWINSparadisponerdebuenasresolucionesNetBIOSconfiguraautomticamenteel
tipoHnode.Sepuededeterminareltipodenodomedianteelcomandoipconfig/all.

d.OrdenderesolucindeunaestacindetrabajodetipoHnodo

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

LaresolucindenombresNetBIOSparalosclientesWINSdependedirectamentedelmduloNetBT,queimplementa
lainterfazNetBIOSenTCP/IP.Afortunadamente,elmtododeresolucindenombresparaaplicacionesyusuarios
estransparente.
En Windows 2000 y Windows XP Professional, los clientes WINS utilizan la secuencia siguiente para resolver
nombres:

Si el nombre solicitado comporta ms de 15 caracteres o si tiene la forma de un nombre plenamente


cualificado(FQDNconpuntos"."),entonceslaconsultasetransmitedirectamentealsistemaderesolucin
DNS.
Denoseras,elequipocontrolasielnombreseencuentraenlacachdenombresdistantesdelcliente.Se
puedeconsultarmedianteelcomandonbtstatc.

Denoseras,seenvaunapeticinderesolucindenombreNetBIOSalosservidoresWINSconfigurados.

Denoseras,seenvaunmensajededifusinaladireccinIPdelasubred.

De no ser as, se verifica el archivo LMHOSTS a condicin de que la opcin Habilitar la bsqueda de
LMHOSTSestactivadaenlaspropiedadesProtocolo Internet (TCP/IP)delaconexin,pestaaWINS.
Pordefecto,estaopcinestactivada.
DenoserasseverificaelarchivoHOSTS.
Porltimo,sellamaalasresolucionesDNS.Enunprimermomentoseconsultarlacachdelosnombres
DNS.Despus,enltimolugar,seinterrogaraunoovariosservidoresDNS.

Paraobtenermsinformacinacercadelasresolucionesdenombresascomounorganigramaprecisodelproceso
cuando el ordenador est equipado con varias tarjetas de red configuradas con parmetros TCP/IP especficos,
consulteelKitderecursostcnicosdeMicrosoftWindowsServer2003.
Declaracin de las direcciones de los servidores WINS, seleccin del tipo de nodo NetBIOS y nmero de
servidoresWINSdeclarados
Con las anteriores versiones de Windows (Windows NT y Windows 9x), era posible configurar manualmente los
clientesparaqueusaranunservidorWINSprincipalcomomnimoy,enelmejordeloscasos,unservidorsecundario
adicional.Esteltimoseutilizabaencasodequeelprimerofallara.LafigurasiguientemuestralapestaaWINS,
querenelosparmetrosrelativosalainterfazyalsoportedeNetBIOS.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

ParmetrosdeservidoresWINSyusodelabsquedaLMHOSTS
Unavezdeclaradas,lasdireccionesdelosservidoresWINSsernsolicitadasenelordenenqueaparecenenlalista.
Observequesepuedereorganizarlalistaconlasflechassituadasaladerechadelamisma.
En Windows 9x y Windows NT, los servidores WINS declarados eran dos (el servidor WINS principal y el
servidor WINS secundario) y figuraban en la ventana principal de la configuracin TCP/IP. En los sistemas
Windows2000yWindows XP,lainterfazNetBIOSsehacemenosobligatoria.Dehecho,losparmetrosWINShan
sidodesplazadoshaciaunnuevoemplazamiento.

Incluso si los sistemas operativos Windows 2000, Windows XP Professional, Windows Server 2003,
WindowsVistayWindowsServer2008yanorequierenlainterfazNetBIOSparasufuncionamientointerno,
estainterfazdeberaestarsiemprepresenteparagarantizarlainteroperabilidadconlossistemasyaplicaciones
anteriores.Porestemotivo,noserecomiendadesactivarlainterfazNetBIOS.
Con Windows Server 2003 y Windows Server 2008 puede configurar los clientes WINS para que usen hasta 12
servidoresWINS.Esposibleadministrarlalistadedosmaneras:

DemaneraestticaatravsdelaspropiedadesdelprotocoloTCP/IP.

DeclaracindelalistadeservidoresWINSatravsdelaconfiguracinTCP/IPydelapestaaWINS

- 6-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

DeformadinmicaatravsdelprotocoloDHCPconfigurandolaopcinDHCP44.

DeclaracindelalistadeservidoresWINSconlaopcin44delprotocoloDHCP
La declaracin de dos servidores WINS es necesaria y suficiente en la mayora de casos. Sin embargo, algunos
clienteshanpuestoderelieveestalimitacinenvariasocasiones.
Enefecto,noesinfrecuentetenerquedisponerdedosservidoresWINSporsitio.Encasodeproducirseunfalloen
los dos servidores WINS debido, por ejemplo, a la corrupcin en los servidores WINS locales o a la falta de
disponibilidaddeesapartedelared,seradeseablesersocorridoporunservidorWINSsituadoenunsitioremoto.
Este tipo de limitacin no existe en la configuracin de los servidores DNS. Por lo tanto, Microsoft ha procedido a
efectuarlamodificacin.Finalmente,unalistamsconsecuentedeservidoresWINSofrecealosclientesunamejor
toleranciaalosfalloscuandosusservidoresWINSprincipalysecundarionoestndisponibles.
Windows2000,WindowsXPProfessional,WindowsServer2003yWindowsServer 2008dansoportehasta
adoceservidoresWINSdeclarados.Sinembargo,observequeslolosdosprimerosservidoresdeclarados
podrnserusadospararegistrardinmicamentelosclientes.Losdosservidoressituadosenlapartemsaltade
lalistasonporlotantoequivalentesalservidorWINSprincipalyalservidorWINSsecundarioqueconocemosen
lasmquinasquefuncionanconWindows9xyWindows NT.
Tambinpodrusarelcomandoipconfig/all.DichocomandomuestracorrectamentelosparmetrosWINSprincipal
ysecundarioascomolosposiblesservidoresadicionales.

e.InterfazynombresNetBIOS,resolucionesWINSydominiosActiveDirectory
Aconsejamos encarecidamente que configure sus ordenadores Windows con la direccin IP de al menos dos
servidoresWINSparaqueseaposibleresolvernombresNetBIOSremotos.
Entrminosabsolutos,losordenadoresWindows2000oposteriores,miembrosdeundominioActiveDirectoryno
necesitan recurrir a los servicios de resolucin NetBIOS para interoperar con el directorio Active Directory. Sin
embargo, podra resultar necesario si las aplicaciones NetBIOS manipularan los nombres NetBIOS que los clientes
deban resolver. Con mayor motivo, ser indispensable configurar los ordenadores clientes Active Directory que
funcionanconWindows2000oWindowsXPProfessionalconladireccinIPdeunoovariosservidoresWINSencaso
dequedebancomunicarseconotrosordenadoresdecualquierotraversindeWindowsquenofueraenunentorno
ActiveDirectory.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 7-

3.ConfiguracindeunpuestoclienteActiveDirectory
a.ApropsitodelosclientesActiveDirectory
Los nicos clientes reales Active Directory son los sistemas que funcionan con Windows 2000, Windows XP
Professional, Windows Server 2003, Windows Vista y Windows Server 2008. Evidentemente, tambin lo sern las
prximasversionesdeWindows.
Losmdulosclientequedansoportealosprotocolosymecanismosfundamentalesestndirectamenteintegrados
enelsistemaoperativo.Amododerecordatoriodiremosqueesoscomponentesfundamentalessonelsistemade
localizacin principal basado en el DNS, los protocolos LDAP, NTP y Kerberos y los servicios de gestin de las
configuracionesofrecidosporlatecnologaMicrosoftIntelliMirror.As,nopodrrealizarseningunaaccinadicionalen
los ordenadores cliente "inteligentes" cuando un dominio Windows NT 4.0 se actualiza en el directorio Active
Directory. Durante el siguiente reinicio, las estaciones de trabajo activarn los mdulos necesarios para funcionar
coneldominioActiveDirectory.Comosiempre,lacondicinsinequanon,esquelasestacionesdetrabajopuedan
"descubrir"eldominioActiveDirectoryconayudadelosservidoresDNSdelaempresa.
PeronoporelloMicrosofthadejadototalmentedeladolosantiguossistemas.Poresemotivosehadesarrolladoel
clienteActiveDirectory.ElclienteActiveDirectoryes,porlotanto,unmduloadicionalquepuedeencontrarseenel
CDRom de Windows Server 2003 o descargndolo del sitio de Microsoft. As, muchas funcionalidades de Active
Directory reservadas a Windows 2000 o Windows XP Professional estn disponibles en ordenadores con antiguas
tecnologascomoaquellosquefuncionanconWindows 9xoWindowsNT4.0.
El cliente Active Directory no se entrega en el CDRom de Windows Server 2008. Para descargar este
componente adicional u obtener ms informacin tcnica consulte el artculo 288358 de la base de
conocimientosMicrosoftHowtoinstalltheActiveDirectoryClientExtension.
ElmduloClienteActiveDirectorydasoportealasfuncionalidadessiguientes:
SoportedelreconocimientodelossitiosActiveDirectory
ElmduloClienteActiveDirectorypermiteabrirunasesinapartirdelcontroladordedominiomscercanoalcliente.
Trataremoslaseleccindecontroladoresdedominiosedescribeenelsiguientecaptulo.
SoportedelainterfazADSI(ActiveDirectoryServiceInterfaces)
ElmduloClienteActiveDirectorypermiteelusodescriptseninteraccinconeldominioActiveDirectory.Elobjetivo
delainterfazADSIeseldeofreceralosdesarrolladoresunainterfazdeprogramacincomnparamanipulartodos
losserviciosdedirectorio.

LainterfazADSIpermiterealizaroperacionesensistemasdedirectoriocomoWindowsNT,laNDS(Netware
DirectoryServices)deNovell,ExchangeServer5.5y,porsupuesto,eldirectorioActiveDirectory.
SoportedelSistemadeficherosdistribuidosDFS(DistributedFileSystem)
El mdulo Cliente Active Directory permite a los usuarios acceder a los recursos alojados dentro de una raz DFS
autnoma o integrada en el directorio Active Directory y soportada por los servidores Windows 2000 o Windows
Server2003.
Apropsitodelservicio"Sistemadearchivosdistribuidos"
LosservidoresWindows2000yWindowsServer2003StandardEditionslotoleranunarazDFSporservidor.Este
requisito se ha suprimido en los servidores DFS que funcionan con Windows Server 2003 Enterprise Edition y
WindowsServer 2008.
SoportedelasautenticacionesdetipoNTLMversin2
ElmduloClienteActiveDirectorypermiteelevarelniveldelasautenticacionesaldominioWindows.Deestaforma,
las autenticaciones NTLM versin 2 hasta entonces reservadas a Windows NT estn tambin disponibles para
ordenadoresclientesconWindows 9x.
Modernizar una estructura antigua y pasarla al directorio Active Directory puede justificarse por la previsin de
nuevas necesidades o de nuevos requisitos a corto o medio plazo. Entre esos nuevos requisitos encontramos
nuevasexigenciasenmateriadeseguridadyautenticaciones.
Observeque:

- 8-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

LasestacionesWindows2000yposterioresdansoportealnivelmsaltodeautenticacinmedianteeluso
delprotocoloKerberosversin5yloscertificadosX.509v3paralasautenticacionesbasadasencertificadoso
atravsdeunatarjetainteligente(SmartLogon).

LasestacionesNTsoportanmejorlasautenticacionesNTLMversin1yversin2.

LasestacionesWindows9xsoportanmejorlasautenticacionesLM(LANManager).

AdiferenciadeWindows9x(esdecir,Windows95yWindows 98),lasestacionesWindowsME(Millennium
Edition)soportanlaautenticacinNTLMversin 2.
En los controladores de dominio Windows Server 2003 y Windows Server 2008, las autenticaciones de tipo Lan
Manager estn desactivadas por defecto. Por consiguiente, en caso de que un controlador de dominio Windows
Server 2003 diera soporte a una peticin de inicio de sesin de dominio, los clientes Windows 9x podran ser
rechazados al iniciarse la sesin. Para solucionar este problema causado por la nueva configuracin de seguridad
reforzadaesposibleoptarporunadelassiguientessoluciones:

ActualizarlosequiposWindows9xaWindowsXPProfessional.Setratasindudadelamejoralternativa.
Instalarelmdulo"ClientActiveDirectory"enlasestacionesWindows9x.Estaopcinpermiteplanificarla
renovacin del hardware posteriormente, a la vez que se avanza en trminos de control de acceso al
dominio.

Elhechodeinstalarelmdulo"ClientActiveDirectory"norefuerzalaseguridaddelaestacinWindows9xo
WindowsNT.Sinembargo,elusodelprotocolo NTLMversin2enlugardelasautenticacionesLanManager,
reforzar el nivel de seguridad de la operaciones de red entre el equipo cliente y el dominio Windows Active
Directoryensutotalidad.
Paraobtenermsinformacinacercadelaactivacindelasautenticaciones,consulteelartculodelabasededatos
deconocimientoMicrosoftQ239869.
ReactivarelsoportedelprotocolodeautenticacinLANManager
Noserecomiendaefectuarestaoperacin.Sinembargo,sielnmerodeestacionesWindows9xtodavaeselevado
puedeoptarporesperaralarenovacindelasmquinasy,portanto,noinstalarelmdulo"ClientActiveDirectory".
Puede configurar ese parmetro de seguridad abriendo la directiva de seguridad del controlador de dominio que
encontrarenelgrupodeprogramasHerramientasadministrativasdelcontroladordedominio:

Modificacindelaconfiguracindeseguridaddeuncontroladordedominio
Una vez cargada la directiva de seguridad, desarrolle el rbol de la consola y colquese en la ubicacin
Configuracindeseguridad\Directivaslocales\Opcionesdeseguridad\.
Eltiempodecargadelaconfiguracindelasdirectivasvienedeterminadoporlapotenciadelamquinay
de la informacin que se desea cargar. Por lo tanto, el tiempo vara mucho y puede oscilar entre algunos
segundosyunminuto.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 9-

ConfiguracinpredeterminadadelniveldeautenticacinLanManager
LapantallaanteriormuestraqueelcontroladordedominiosloadministrarespuestasdetipoNTLM.Dehecho,la
documentacinespecificaque,enesecaso,losclientesusarnslolaautenticacinNTLMylaseguridaddesesin
NTLMv2,sielservidorlasoporta.
Para obtener ms informacin sobre la configuracin de la directiva de seguridad, consulte "Descripcin de la
configuracindeseguridad"enlaayudaenlneadeWindowsServer2003.
Atencin con la manipulacin de las directivas de seguridad de los controladores de dominio Windows
Server 2003 y Windows Server 2008! Antes de hacer cualquier modificacin, se recomienda consultar el
artculo 823659 titulado Client,service,andprogramincompatibilitiesthatmayoccurwhenyoumodifysecurity
settings
and
user
rights
assignments
disponible
en
la
siguiente
direccin:
http://support.microsoft.com/kb/823659/enus
PropiedadesdelaLibretadedireccionesWindows(WAB,WindowsAddressBook)deActiveDirectory
El mdulo Client Active Directory permite a los usuarios autenticados en el dominio Active Directory acceder a su
informacin personal. El botn Propiedades permite al usuario consultar y eventualmente modificar la informacin
presentada.
Deestaforma,cualquierusuariopuedeaccederymodificarlaspropiedadesque"domina"bien,como,porejemplo,
sunmerodetelfonoosudireccinpersonal.

- 10 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

PropiedadesdelusuarioMiguelLpezSorianoeneldominioActiveDirectory
Sideseaqueunusuariodeterminadotengalaposibilidaddemodificarunatributodeotroobjetousuario,bastar
con asignar los permisos necesarios al objeto y al atributo en cuestin. Este principio, llamado "Principio de
delegacindederechos",esunaspectomuyimportanterelacionadoconeluso"general"quelasempresashacen
desudirectorioodirectorios.Msadelante,presentaremoselconceptodedelegacinylaadopcindeunadirectiva
dedelegacin.
BsquedaenActiveDirectory
El mdulo Client Active Directory extiende las opciones de bsqueda disponibles a travs del men Inicio. Los
usuariospuedenasbuscarimpresoras,personas,equiposenundominioActiveDirectory.
Apropsitodelasbsquedasdeobjetosdetipo"impresora",paraquelasimpresoraspuedanlocalizarse
deben estar publicadas. Si desea obtener ms informacin sobre la publicacin de impresoras en Active
Directory, consulte el artculo Q234619, "Publishing a Printer in Windows 2000 Active Directory", de la Base de
conocimientosMicrosoft.

FuncionesnosoportadasporelmduloClienteActiveDirectory
Los sistemas operativos Windows 2000 y Windows XP Professional disponen de funcionalidades de las que est
desprovistoelclienteActiveDirectorydeWindows9xyWindowsNT 4.0.
ElClienteActiveDirectorynodasoportealprotocolodeautenticacinKerberosv5(sloaNTLMversin2),nialas
directivas de grupo y la tecnologa IntelliMirror, ni a los sufijos UPN (User Principal Names) y SPN (Service Principal
Names), ni a la autenticacin mutua. La nica manera de beneficiarse de esas importantes funcionalidades es
haciendounaactualizacinaWindows2000,WindowsXPProfessionaloWindowsVista.

b. Estaciones de trabajo Windows XP y configuracin DNS necesaria para los entornos de dominios
ActiveDirectory
LosclientesActiveDirectorycomoWindows2000,WindowsXPProfessionaloWindowsServer2003o2008,utilizan
los servicios DNS como servicio de localizacin principal y exclusivo. Las detecciones realizadas gracias a las
resolucionesDNSpermitirnresolveraselementosimportantescomopuedenserlosnombresdedominios,sitiosy
serviciosActiveDirectory.
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 11 -

Durante la instalacin del directorio Active Directory, la zona DNS relativa al dominio Active Directory y la zona del
dominiorazdelbosqueseactualizandinmicamenteconlosregistrosderecursos(SRV,AyCNAME)delosnuevos
controladoresdedominio.
ElprocesodetalladodebsquedayseleccindecontroladoresdedominiosedetallaenelcaptuloLocalizacinde
serviciosActiveDirectoryyserviciosDNS.
Los parmetros relativos a la configuracin DNS implican, por lo tanto, una validacin tcnica por parte de los
equiposderedyActiveDirectory.Unavezvalidados,esosparmetrosdebernaplicarseconrigorparagarantizar
unfuncionamientonormaldelosordenadoresmiembrosdeldominiodentrodeste.
A continuacin, especificamos la lista de puntos relativos a la configuracin de las propiedades TCP/IP para cada
equipomiembrodeundominioActiveDirectory.
DefinicindeunnombredeequipoyhostDNSparacadaequipo
Por ejemplo, en el dominio DNS, cuyo nombre completo (FQDN) es eu.company.com, el nombre de equipo DNS
completopodrserpcmarketing1.eu.company.com.Laconsecuenciadeestenombredehostserqueelnombre
NetBIOSdelequipo,llamadodesdehacemuchosaos"computername",serPCMARKETING1.Estenombrede14
caracteresescorrectoporquenoalcanzaellmitede15caracteresautorizadosporlainterfazNetBIOS.

HerenciadeunnombredehostTCP/IPenelnombreNetBIOSdelequipo
Sin embargo, esta denominacin impedira usar un nombre como pcmarketing100. ste sera automticamente
truncadoeindexadoencasodeconflicto.Porconsiguiente,enesteejemploserarazonableponeralosequiposdel
departamentounnombremscortocomopcmarketxxx.

MicrosoftrecomiendaqueelnombredehostyelnombreNetBIOSseanidnticos.

DefinicindeunsufijoDNSprincipalparaelequipo
DeberdefiniryaprobarelnombrededominioDNSsituadodespusdelnombredeequipoodehost,queformarel
nombre completo del equipo (FQDN). En el ejemplo anterior, el sufijo DNS principal es eu.company.com. La casilla
Cambiar el sufijo principal DNS cuando cambie la pertenencia al dominiopermiteactualizarautomticamenteel
sufijoDNSprincipalenfuncindelapertenenciaaldominioActiveDirectory.
Aunque este valor no produzca ningn efecto sobre la pertenencia real del equipo al dominio, la modificacin del
sufijoDNSpodragenerarlossiguientesproblemas:

Los dems usuarios de la red podran tener dificultades para encontrar el equipo y realizar un control de
accesoreferidoal.
El equipo slo podr funcionar realmente en el dominio Active Directory si el dominio autoriza a los
ordenadoresmiembrosdeldominioausarunsufijoDNSprincipaldiferentedelosnombresdedominiosDNS
ActiveDirectory.

Por defecto, el sufijo DNS principal del equipo debe corresponder obligatoriamente al nombre del dominio Active
Directoryalqueperteneceelequipo.ParaautorizarunoovariossufijosDNSprincipalesdiferentes,eladministrador
del dominio debe declarar manualmente una lista de sufijos autorizados creando el atributo msDS
AllowedDNSSuffixesenelcontenedordeobjetodeldominio.

- 12 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

UsodeADSIEditparamodificarelatributomsDsAllowedDNSSuffixesenelobjetodeclasedomainDNScuyoDNes
DC=Corp2003,DC=Corporate,DC=net
UnnombredeequipocompletosecomponedelnombredelequipoydelsufijoDNSprincipal,cuyalongitudpuede
alcanzarlos255caracterescomomximo.Estelmitecomprendelospuntosnecesariosparadelimitarlosdiferentes
dominios as como el nombre de host. Observe que la longitud del nombre de host no puede exceder de 63
caracteres.MicrosoftrecomiendaqueseuseelsufijoDNSprincipalpredeterminado.
DefinicindeunalistadeservidoresDNS
AlresolverlosnombresDNStalescomoelservidorDNSpreferidoylosservidoresDNSsecundariosqueseutilizan
cuando el servidor principal no est disponible, deber definir cules son los servidores para los clientes en cada
sitiogeogrfico.

ServidorDNSpreferidoyalternativodeunequipoWindows2000,WindowsXP,WindowsServer2003oWindows
Server2008
La figura anterior muestra el caso particular de configuracin de un controlador de dominio Active Directory. En la
medidaenqueserecomiendaquecadasitiodispongadeuncontroladordedominioydeunservidorDNS,estclaro
queesasdosfuncionesmayoresquedarnaseguradasporlamismamquina.Porconsiguiente,elcontroladorde
dominio es muchas veces el propio cliente DNS. Tambin ser cliente de un servidor DNS auxiliar situado
preferentementeenelmismositio.EncasodequeslohubieraunservidorDNSenelsitio,sepodrseleccionarun
servidorDNSadicionalsituadoenunsitioremoto.
GenerarpeticionesderesolucinDNSesunaparteimportantedeltrabajoarealizarporelcliente.Porestemotivo,
la configuracin avanzada que permite determinar de qu manera la parte "cliente DNS" tratar los nombres no
plenamente cualificados, se encuentra en la pestaa DNS. Presentamos a continuacin la configuracin DNS que
deberdefinirse.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 13 -

ConfiguracinavanzadadelclienteDNS(DNR,DomainNameResolver)

DeclaracindemltiplesservidoresDNSyordendeseleccin
SiseintroducenvariosservidoresDNSyelclienteDNSnollegaarecibirrespuestaporpartedelservidorDNSactual
seseleccionaelsiguienteservidorDNS.Sinembargo,quocurreconlasconfiguracionesquetienenvariastarjetas
de red y varios servidores DNS por tarjeta? El esquema siguiente explica la manera en que el DNS selecciona y
distribuyelaspeticionesderesolucinDNScuandostasnoseresuelvenconxito.

DistribucindelasconsultasDNSenunequipomultitarjetasymultiservidoresDNS

- 14 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Lasecuenciadepeticionesderesolucinsecomponedelassiguientesetapas:
1LaconsultaDNSseenvaalservidorDNSpreferidodelaprimeratarjetadered.Silarespuestaalapeticines
negativasepasaalaetapa2.
2LaconsultaDNSseenvaalservidorDNSpreferidodecadaunadelastarjetas.Ennuestroejemplo,losprimeros
servidoresDNSdecadaunadelastarjetassesolicitandeformasimultnea.Silarespuestaalapeticinvuelvea
sernegativa,sepasaalaetapa3.
3LapeticinDNSseenvaatodoslosservidoresDNSdetodaslastarjetas.
Resolucindenombresnocualificados
La resolucin de nombres no cualificados es la resolucin hecha sobre la base de un nombre que no tiene forma
FQDN.PararesponderaestaproblemticaesposibleconfigurarlosparmetrosDNSparaqueelclienteDNSasuma
laclarificacindelaconsulta.Seproponenlassiguientesopciones:

agregarlossufijosDNSprincipalesyespecficosdelaconexinalnombrenocualificadoparalasconsultas
DNS

agregarunaseriedesufijosDNSconfiguradosalnombrenocualificadoparaconsultasDNS

sufijosDNSespecficosdelaconexin.

Cada conexin de red puede configurarse para que tenga su propio sufijo DNS adems del sufijo DNS principal
especificadoenlaspropiedadesdelequipo.
ComportamientodelasactualizacionesdinmicasDNS
Por defecto, todas las conexiones de red cuentan con una gestin completamente autnoma. De esta forma, es
posible conservar un gran control sobre el comportamiento de la mquina en entornos complejos compuestos de
mltiples interfaces de red. Si configura un sufijo DNS especfico para la conexin, tambin podr activar la
actualizacindinmicaDNSdelnombrededominioylasdireccionesIPdelaconexin.

ControldelosregistrosydelsufijoDNSdecadaconexin
LaprimeraopcinRegistrarestasdireccionesdeconexionesenDNSsignificaqueladireccinodireccionesIPdela
conexin estn registradas en relacin con el nombre completo del equipo, tal y como se especifica en las
propiedadesdeidentificacindelequipo.Ennuestroejemplo,estoquieredecirqueelregistroreferentealnombre
de host xpclientx se registrar en el dominio corp2003.corporate.net con las direcciones IP de la conexin en
cuestin. Esta opcin est activada por defecto y permite registrar el nombre del equipo considerando el sufijo
principaldelequipo,esdecir,elnombremssignificativo.
LasegundaopcinUtilizarestesufijoDNSdeconexinpararegistroDNSsignificaqueelregistrocorrespondiente
alnombredehostxpclientxseregistrareneldominioeni.es.Observequeestaopcinnoestactivadeforma
predeterminada.
SinodeseausarlasfuncionalidadesderegistrodinmicoDNS,puededesactivarporcompletolasactualizaciones.
Para ello, desactive las casillasRegistrar estas direcciones de conexiones en DNSyUtilizar este sufijo DNS de
conexinpararegistroDNSdetodaslasconexionesdereddelequipo.
ParallevaracaboelprocedimientodebersermiembrodelgrupoAdministradoresodelgrupoOperadores
deconfiguracinderedenelequipolocal.

DefinicindeunmtododegestindelossufijosDNS
Acabamos de ver que los sufijos DNS ayudan a obtener una mejor resolucin de nombres DNS cuando stos no
estn plenamente cualificados. Tambin hemos constatado que el orden de las declaraciones poda tener una
incidencianotableenlapertinenciadelasresoluciones.
Finalmente,estclaroqueresultarazonablegarantizarlauniformidaddelaconfiguracinentodalaempresaoen
los diferentes servicios que la componen. La mejor solucin consiste en implementar la configuracin definida
medianteunadirectivadegrupoadecuada.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 15 -

Espocofrecuentequeunaestacindetrabajodispongademsdeunainterfazdered,peroconlageneralizacin
de los ordenadores porttiles cada vez es ms usual disponer de una conexin integrada WiFio,porquno,de
una interfaz iEEE 1394 (Firewire). En los ordenadores de tipo servidor, las configuraciones multitarjetas son ms
habitualesydebernconfigurarseespecficamente.
Cuando una mquina est equipada con ms de una tarjeta de red hablamos de mquina de tipo
"multihomed". Este trmino significa que la mquina existe varias veces en la misma red o en diferentes
redes. Por el contrario, si las tarjetas de red estn conectadas en la misma red local, entonces hablaremos de
conexionesdetipo"multinet".
La siguiente figura ilustra la configuracin general especfica del servicio DNS, que presentamos brevemente a
continuacin:

Las direcciones de los servidores DNS se organizan en funcin de su orden. En el ejemplo, la direccin
192.168.0.1correspondealservidorDNSpreferido,mientrasqueladireccin192.168.0.2esladelservidor
auxiliar.
Talycomoseespecificaenlainterfaz,lostresparmetrossiguientesconcomunesalasconexionesdered
del equipo para las que el protocolo TCP/IP est activado. Dichos parmetros son Anexar sufijos DNS
principales y especficos para conexiones, que permiten especificar si los sufijos padre del sufijo DNS
principalseutilizanonolaltimaopcinserefierealaposibilidaddeespecificarlossufijospropiosgraciasa
laopcinAnexarestossufijosDNS(enesteorden).

LostresparmetrosserefierenatodaslastarjetasvinculadasalprotocoloTCP/IP.

La declaracin del parmetroSufijo DNS para esta conexin permite especificar otro nombre de dominio
DNSquepodrserregistradoencasonecesario.
La casilla Registrar en DNS las direcciones de esta conexin permite que las direcciones IP de esta
conexinestnregistradasparaelnombreDNScorrespondientealnombreprincipaldelequipo.Amodode
recordatorio diremos que el nombre principal del equipo puede verse usando el comando ipconfig /all y
depende directamente de la pertenencia al dominio Active Directory a travs del icono Estacin de
trabajo/Propiedades/Nombredelequipo.

El ltimo parmetro Utilizar este sufijo DNS de conexin para el registro en DNS permitir registrar en modo
dinmicoelnombreplenamentecualificadodelequiposobrelabasedelsufijodeconexin.
Enesecaso,lamquinaexistedosveces.Unaprimeravezenlazonaquecorrespondealnombrededominiode
pertenenciadelequipoyunasegundavezenlazonaespecificadacomosufijoparadichaconexin.Porsupuesto,es
precisoquelazonaexistaytambinqueautoricelasactualizacionesdinmicas.

- 16 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

GestinmanualdelossufijosDNS

ConfiguracindelosparmetrosdesufijosDNSmediantedirectivasdegrupo
La administracin de la configuracin TCP/IP puede resultar larga y fastidiosa y provocar inevitables errores
humanos. Esta circunstancia tuvo sin duda algo que ver en el fulminante desarrollo del protocolo DHCP (Dynamic
HostConfigurationProtocol)paraayudaralaconfiguracincorrectadeequiposdered.
Si bien es verdad que el protocolo DHCP soporta los parmetros indispensables para el protocolo IP y tambin la
parteclientedelservicioderesolucinDNS,lasdirectivasdegrupopermitencontrolarmsestrechamenteydistribuir
los"mejores"parmetrosenelconjuntodelared.
Encontrar los parmetros ms interesantes en la ubicacin siguiente: Configuracin del equipo\Plantillas
administrativas\Red\ClienteDNS
Acontinuacinofrecemosunalistadelosparmetrosmsimportantes:
SufijoDNSprincipal
EsteparmetroespecificaelsufijoDNSprincipaldetodoslosordenadoresalosqueafectaladirectiva.ElsufijoDNS
principal se usa para inscribir el nombre DNS y resolver el nombre DNS. Estos parmetros permiten especificar un
sufijo DNS principal para un grupo de ordenadores e impide a los usuarios, incluidos los administradores, los
modifiquen.Sidesactivaelparmetroonoloconfigura,cadaordenadorusarelsufijoDNSprincipallocal,quees
habitualmenteelnombreDNSdeldominioActiveDirectoryalcualestvinculado.Sinembargo,losadministradores
puedenusarelPaneldeconfiguracindelsistemaparamodificarelsufijoDNSprincipaldeunequipo.

Este parmetro no desactiva el cuadro de dilogo Sufijo DNS y nombre NetBIOS del equipo que los
administradores utilizan para modificar el sufijo DNS principal de un equipo. Sin embargo, si los
administradoresintroducenunsufijo,stesepasarporaltomientraselparmetroestactivado.

Paraquelasmodificacionesrealizadasenlaconfiguracinseanefectivasdeberreiniciarelsistema.
Actualizacindinmica
Esteparmetrodeterminasilaactualizacinautomticaestactivada.Losordenadoresconfiguradosparapermitir
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 17 -

la actualizacin automtica inscriben y actualizan sus registros de recursos DNS con un servidor DNS. Si activa el
parmetro, los ordenadores a los que ste se aplique podrn usar el registro DNS dinmico en cada una de las
conexionesdered,deacuerdoconlaconfiguracindecadaconexinderedindividual.ParaactivarelregistroDNS
dinmicoenunaconexinderedespecfica,esprecisoquelasconexionesespecficasdelaconexinydelequipo
autoricenelregistroDNSdinmico.
El parmetro controla la propiedad especfica del equipo supervisando el registro DNS dinmico. Si activa el
parmetropermitirquelaactualizacinautomticasedefinaindividualmenteencadaunadelasconexionesdered.
Si desactiva el parmetro, los ordenadores a los que ste se aplica no podrn usar el registro DNS dinmico en
todaslasconexionesdelared,seacualsealaconfiguracindelasconexionesderedindividuales.
ListadebsquedadesufijosDNS
EsteparmetrodeterminalossufijosDNSquedebenvincularseaunnombresimplenocualificadoantesdesometer
una peticin DNS para dicho nombre. El nombre simple no cualificado no contiene puntos, se trata pues de un
nombrecortoyporlotantodiferenteaunnombrededominioplenamentecualificadocomo"europe.corporate.com".
Si activa el parmetro, podr especificar los sufijos DNS que deben vincularse antes de someter la peticin de un
nombre simple no cualificado. Los valores de los sufijos DNS en el parmetro pueden definirse usando cadenas
separadasporcomas,talescomomicrosoft.com,office.microsoft.com.Acadapeticinrealizadasevinculaunsufijo
DNS.SiunapeticinnotienexitoseagregaunnuevosufijoDNSenlugardelsufijoerrneoysesometelanueva
peticin.Losvaloresseusanenelordenenelqueaparecenenlacadena,empezandoporelvalorsituadomsala
izquierdaycontinuandohacialaderecha.
Niveldeseguridaddelasactualizaciones
Este parmetro especifica si los ordenadores a los que se aplica utilizan la actualizacin dinmica segura o la
actualizacindinmicaestndarparainscribirregistrosDNS.Paraactivarelparmetro,hagaclicenActivaryescoja
unodelosvaloressiguientes:

Sin seguridad y con seguridad: si elije esta opcin, los ordenadores envan actualizaciones dinmicas
segurasslocuandoserechazanlasactualizacionesnoseguras.

Slosinseguridad:sielijeestaopcinlosordenadoresenvansloactualizacionesdinmicasnoseguras.

Sloconseguridad:sielijeestaopcinlosordenadoresenvansloactualizacionesdinmicasseguras.

Intervalo de actualizacin del registro:esteparmetroespecificaelintervalodeactualizacinderegistro


de los registros de recursos A y PTR pertenecientes los equipos a los que el parmetro se aplica. El
parmetropuedeaplicarsesloaequiposqueutilizanactualizacionesdinmicas.

Los equipos Windows 2000 Professional, Windows XP Professional y Windows Vista configurados para efectuar
registrosDNSdinmicosderegistrosderecursosAyPTR,registranperidicamentelosregistrosconservidoresDNS,
incluso aunque los datos de registro no hayan cambiado. Este nuevo registro es necesario para indicar a los
servidoresDNSconfiguradosparaeliminarautomticamentelosregistrosobsoletos,quelosregistrossonactualesy
debenconservarseenlabasededatos.
SilosregistrosderecursosDNSseregistranenzonasenlasquesehaactivadolalimpieza,elvalordelparmetro
no debera ser ms largo que el intervalo de actualizacin configurado en las zonas. Configurar el intervalo de
actualizacinderegistroparaqueseamslargoqueelintervalodeactualizacindelaszonasDNSpodraacarrear
la supresin no deseada de los registros de recursos A y PTR. Observe que el valor predeterminado es 1.800
segundos,osea,30minutos.

4.PeticionesderesolucinDNSyNetBIOS:Procesodeseleccindelmtodo
Cuando un equipo Windows XP Professional intenta resolver un nombre a direccin IP, el mdulo de resolucin
transmite prioritariamente la demanda de resolucin al sistema de resolucin DNS. Este aspecto es particularmente
importanteyaquesetratadeuncambioradicalenlossistemasWindows 2000,WindowsXPProfessionalyWindows
VistaconrespectoaWindowsNTyWindows9x.
EncasodequeserechacelapeticinderesolucinDNS,elmduloderesolucincontrolarlalongituddelnombre
solicitado. Si la longitud es superior a 15 bytes, es decir, 15 caracteres, sta no podr ser transmitida a la interfaz
NetBIOSylaresolucinnotendrxito.Siporelcontrario,elnombresolicitadoesdelongitudinferiora15caracteres,
el mdulo de resolucin verificar que la interfaz de resolucin NetBIOS est activa. Si se verifica este extremo, el
mduloderesolucintransmitirlapeticinalainterfazNetBIOS.
WindowsXPProfessionalyWindowsVistadasoporteamltiplesmtodosderesolucindenombretalescomoDNS,
WINS,archivosHostsyLmhostsymensajesdedifusin(broadcasts).Engeneral,unequipoWindowsXPllamaauna
combinacindeestosdiferentesmtodosderesolucin.

- 18 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

5.PruebadeintegracindelequipoeneldominioActiveDirectory
Puede usar DCdiag.exe y Netdiag.exe para resolver problemas de los equipos clientes que no pueden localizar un
controlador de dominio. Estas herramientas ayudan a determinar las configuraciones DNS defectuosas, tanto en el
ladoclientecomoenelladoservidor.
YapresentamosdetalladamenteelcomandoNetdiagenelmbitodeloscomandosdegestinydesupervisindelos
serviciosDNS.
EnloquerespectaalosentornosActiveDirectory,elcomandoDCdiagpermiteavanzaragrandespasosalahorade
diagnosticareventualesproblemasdefuncionamientodeordenadoresespecficoscomoloscontroladoresdedominio
ActiveDirectory.
ElcomandoDCdiagcompruebaelfuncionamientodefuncionesvitalesdeActiveDirectoryproponindolequemanipule
una serie de tests adecuados para cada situacin crtica. De esta forma, por ejemplo, tendr la posibilidad de
seleccionarloscontroladoresdedominioquedebenprobarseylosdiferentestiposdepruebas.
Laspruebasseclasificanenlastrescategorasenumeradasydetalladasacontinuacin:

pruebasobligatoriasdecontroladoresdedominioquenopuedenserdesactivados.

pruebasnoobligatoriasdecontroladoresdedominioquepuedeseleccionarsegnleconvenga.

pruebasdeequiposquenosoncontroladoresdedominio.

Las pruebas obligatorias del comando DCdiag abarcan el control de los registros DNS de los controladores, la
posibilidaddecontactarconellosylaverificacindelfuncionamientocorrectodelaconectividadLDAPyRPC.
Las pruebas especificadas ms arriba slo pueden realizarse en controladores de dominio Windows 2000,
WindowsServer2003oWindowsServer2008,exceptuandolaspruebasDcPromoyRegisterInDNS,queslo
puedenejecutarseenmquinasquenoseancontroladoresdedominio.
ParaobtenermsinformacinacercadelaintegracindelosequiposenlosdominiosActiveDirectoryylacreacinde
controladores de dominio, consulte el artculo F265706 "DCDiag y NetDiag para facilitar la unin de dominios y la
creacindecontroladoresdedominio"enlaBasedeconocimientosMicrosoft.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 19 -

NovedadesdelservicioDNSdeWindowsServer2008
1.Introduccin
Windows Server 2008 implementa ahora los servicios de resolucin y de gestin de dominios DNS bajo la forma de
una nueva funcionalidad de servidor. A continuacin mostramos las nuevas funcionalidades de los servicios DNS de
WindowsServer2008:

Cargadezonasensegundoplano:semejoraladisponibilidaddelosservidoresDNSdesdeelarranquedel
servicioDNScargandodatosdezonasdirectamenteensegundoplano.
SoportedelprotocoloIPv6:losserviciosDNSsoportantotalmentelasespecificacionesIPv6ylasdirecciones
de128bits.
SoportedelosRODC:losserviciosDNSdansoporteaunnuevoconceptoquepermitesoportarlosservicios
DNS dinmicos de los RODC. Estas zonas se denominan zonas primarias de slo lectura RODC Readonly
zones.
ZonasdetipoGNZ:estenuevotipodezonaDNSGNZ,GlobalNamingZone,aseguraelsoportedenombres
globalesGlobalsinglenames.LaszonasGNZpermitenlaresolucindenombresdetiposimplessinglelabel
name resolution, para las empresas que no deseen desplegar los servicios WINS Windows Internet Name
ServiceocuandonoesprcticoespecificarnombresDNScompletos.

Acontinuacindetallamosestasnuevasfuncionalidades.

2.Cargadezonasensegundoplano
LasgrandesempresasdebengestionarzonasDNSextremadamentevoluminosas.Cuandoestaszonassealmacenan
enActiveDirectoryelcontroladordedominiosedebereiniciar,eltiempodearranquedelosserviciosActiveDirectory
despusdelacargadedatosdelaszonaspuededejarnodisponibleslosserviciosDNSparalosclientesdelared
duranteuntiempodeentretreintaysesentaminutos.
Los servidores DNS Windows Server 2008 pueden ahora cargar los datos DNS en segundo plano en el siguiente
orden:

Sedeterminaelconjuntodezonasacargar.

LassugerenciasderazsecarganapartirdelficheroCache.dnsodeActiveDirectory.

Cargadedatosdezonasalmacenadasenlosficherosdezonas.

IniciodefuncionesderespuestasDNSydesoporteRPC.

PuestaenmarchadelasfuncionesdecargadezonasalmacenadasenlasparticionesActiveDirectory.

EnestemomentolaszonasDNSActiveDirectorysecarganenparalelograciasamltiplesthreadsdetalmaneraque
elservicioDNSpuederesponderalaspeticionesderesolucionesdurantelacarga.
Cuando las peticiones de resoluciones no se pueden resolver porque no estn presentes en memoria, el
servicio DNS busca directamente los datos en la base de datos Active Directory, mientras que la carga
prosigue.Estafuncionalidadaceleratodavamslacarga.

3.SoportededireccionesIPv6
Las direcciones IPv6, a diferencia de las direcciones IPv4 cuyo formato es de 32 bits, son de 128 bits. Ahora, los
serviciosDNSdeWindowsServer2008soportantotalmentelaespecificacinfinalIPv6ylasdireccionesde128bits.
Es igual para el comando dnscmd que acepta direcciones IP en los dos formatos. El servidor DNS puede utilizar
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

reenviadorescuyasdireccionesestnencualquieradelosdosformatos.
LaszonasdebsquedainversacondireccionesIPv6sesoportanatravsdelazonainversaip6.arpa.
ElsoportedelprotocoloIPv6porlosserviciosDNSdeWindowsServer2008noes,hoyda,degranimportancia.Pero
estclaroquesernecesarioenaosprximosenfuncindeldesarrollodeInternet.
A propsito del soporte IPv6: Como los servidores DNS pueden responder a las peticiones de clientes
utilizando direcciones IPv4 (A) pero tambin direcciones IPv6 (AAAA), hay que asegurar que la parte cliente
DNSdelasestacionesdetrabajosoporteestasrespuestas.

4.SoporteDNSdeloscontroladoresdedominiodeslolectura
Elobjetivoprincipaldeloscontroladoresdedominiodeslolecturaesreforzarlaseguridaddeestoscontroladoresde
dominio permitindoles recibir datos nicamente de otro controlador de dominio, nunca de forma directa. De esta
manera,seconocenycontrolanlasfuentesdeescritura,yelcontroladoresmuchomenosvulnerableaataques.
ParaasegurarunbuenfuncionamientodelosserviciosDNSesestosservidores,disponiblessloenlectura,Windows
Server2008introduceunnuevotipodezonasdenominadasZonasprimariasdeslolectura.

Estaszonassedenominanaveces BranchOfficeZones .
Cuandoseinstalauncontroladordedominiodeslolectura,elnuevocontroladorrecibeunareplicacincompletade
slolectura(RO)delaparticindedominio,delaparticindeesquema,delaparticindeconfiguracin,ydetodaslas
particiones ForestDNSZones/DomainDNSZones utilizadas por los servicios DNS. Entonces, los registros y otras
actualizacionesdinmicassesoportandelasiguientemanera:

ElservidorDNSnoaceptalaactualizacindelosclientesdirectamente.

LaspeticionesdeescrituraDNSdelosclientessereenvanaunservidorDNSconautorizacin.

LosdatosactualizadosserecibenatravsdelareplicacindesdeunDNSconautorizacin.

El soporte desviado de los registros y actualizaciones dinmicas en los controladores de tipo RODC es una
funcionalidad importante, ya que permite implementar este tipo de controladores sin debilitar la seguridad, ni
introducirlimitacionesfuncionalesenlainfraestructuraDNSdinmica.

5.SoportedezonasdetipoGlobalNames
La mayora de las redes Windows utilizan los sistemas de nomenclatura DNS pero tambin los mecanismos de
resolucinWINSWindowsInternetNamingService.
Actualmente, est comprobado que los nombres IPDNS estn ampliamente utilizados incluso en aplicaciones que
todavautilizanlainterfazNetBIOSylosmecanismosderesolucinDNSy/oWINS.
Atencin! No hay que confundir la interfaz NetBIOS, en el sentido de programacin del trmino, con un
sistemaderegistroyresolucindenombresNetBIOScomoelservicioWINS.
Por razones histricas y tambin por razones inherentes a las plataformas Windows NT que todava estn
funcionando,esfrecuentequelasempresascontinenimplementandoWINSensusredes.Enestoscasos,WINSse
consideracomosegundosistemaderesolucin,despusdelosserviciosDNS.
AdemsdelhechodequelainterfazNetBIOS,losnombresNetBIOSylosmecanismospropiosdelsistemade
resolucin WINS estn prximos a la obsolescencia, el hecho es que ciertos principios siguen siendo muy
populares entre los administradores de Windows, como la declaracin de nombres estticos simples y hacerlos
ampliamentedisponiblesenlaempresa.
Para responder a estos problemas, los servicios DNS de Windows Server 2008 permiten a las empresas considerar
unatransicintotaldelentornoWINSaunentornocompletamenteDNScontinuandoconelsoportedenombrestipo
"singlelabel"enlanuevazonaDNSGlobalNames.
Un nombre de tipo simple label contrasta con nombres compuestos de mltiples etiquetas. Por ejemplo,
- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

wssportalaccess es un nombre de etiqueta simple, mientras que wss2008portal1.corpx.xnet es un nombre


multilabels.

ContenidodelazonaGlobalNames
En general, los nombres simples de una zona de tipo GlobalNames deberan estar contenidos en una zona Active
Directory replicada en la estructura del bosque. De esta manera, se puede ofrecer un mbito nico de resolucin.
Observe que tambin es posible publicar un registro DNS de tipo SRV para declarar la existencia de ms zonas
GlobalNamescontenidasenotrosbosquesActiveDirectory.
A diferencia de los servicios WINS, las zonas DNS GlobalNames deberan utilizarse nicamente para permitir al DNS
resolver un conjunto limitado de nombres de tipo simple label. Puede tratarse de ciertos servidores cuyos nombres
songestionadosdemaneracentralizadaotambindeservidoresWebIntranet.
Atencin! Microsoft recomienda no utilizar la zona GlobalNames en lugar de las resoluciones habituales.
ObservetambinqueenlazonaGlobalNamenosesoportanlasactualizacionesdinmicas.Encomparacin
con operaciones de administracin WINS, la zona GlobalNames debera contener el equivalente de los registros
estticosWINS.
Cuando se despliega una zona de tipo GlobalNames, una resolucin de tipo simple label se realiza de la siguiente
manera:

Seiniciaunapeticinderesolucinbasadaenunnombrecorto,esdecirdetiposimplelabel.

SeaadeelsufijoprincipaldelaestacindetrabajoylapeticinsetransmitealservidorDNS.

Si la consulta basada en un FQDN falla, el cliente genera otras consultas basadas en los sufijos DNS
adicionales,declaradoslocalmenteoatravsdelasGPO.

Siestasconsultasfallan,elclienterealizaunaconsultabasadaenelnombrecorto.

SielnombrecortopedidoapareceenlazonaGlobalNames,elnombreestresuelto.

SielnombrecortopedidonoapareceenlazonaGlobalNames,lapeticinderesolucinsetransmiteaWINS.

ParaquelasestacionesclientepuedanresolverlosnombresdelazonaGlobalName,noserequiereninguna
actualizacin particular. El sufijo DNS principal, los sufijos DNS especficos de las conexiones y la lista de
bsquedadesufijosDNScontinanfuncionandonormalmente.
La zona GlobalNames no soporta las actualizaciones dinmicas. No obstante, cabe sealar que las actualizaciones
dinmicas enviadas a un servidor DNS se comparan primero con los datos de la zona GlobalNames antes de ser
comparados con los datos de la zona local. Este control permite garantizar la unicidad de nombres presentes en la
zonaGlobalNames.

6.EvolucionesdelaparteclienteDNSdeWindowsVistayWindowsServer2008
AcabamosdeverquelosserviciosDNSdeWindowsServer2008soportannuevasfuncionalidadespararespondera
nuevasproblemticas.Aunqueestonotieneconsecuenciasdirectasentrminosdeinfraestructura,convieneremarcar
queWindowsVistayWindowsServer2008incorporantambinalgunoscambiosaniveldelaparteclienteDNS.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

WindowsVistayWindowsServer2008soportanLLMNRLinkLocalMulticastNameResolution:enestaevolucindel
clienteDNS,esposibleresolvernombresDNSutilizandounmensajedereddetipopeticinderesolucinenmulticast
local.Estemtodo,denominadotambinmDNS,multicastDNS,permitealosclientesquesoportanestafuncionalidad,
resolvernombresDNSdeunaredlocalcuandoelolosservidoresDNShabitualesnoestndisponibles.Unavezlos
servicios DNS estn nuevamente disponibles, los mecanismos de resolucin habituales vuelven a funcionar con
normalidad.
ElsoportedelprotocoloLLMNRofreceunnuevomtodoparaminimizarlosefectossecundariosdeloserroresdelos
serviciosDNS.Observequesepuedetratardeunmtododeresolucinpararedesadhoccomolasdeloslocutorios,
zonasdelibreacceso,etc.

7.SeleccindecontroladoresdedominioconWindowsVistayWindowsServer2008
Windows Vista y Windows Server 2008 incorporan modificaciones respecto a la seleccin de los controladores de
dominiodemaneraqueelimpactoenelrendimientodelaredseamenor.
EnunsistemaquefuncioneconWindowsXPoWindowsServer2003,elsistemaconservaelcontroladordedominio
seleccionadohastaqueuneventolefuerceadescubrirunnuevocontroladordedominio.
Los sistemas Windows Vista o Windows Server 2008 refrescan regularmente la informacin relativa a los
controladoresdedominiodeldominioalquepertenecen.Estenuevomtodopermitehacerfrenteaproblemasque
pueden producirse cuando una estacin de trabajo intente localizar su controlador de dominio y la red o ciertas
circunstanciasnoselopermitan.Elhechoderenovarperidicamentelaasociacinpermitealaestacindetrabajo
minimizarlaprobabilidaddeestarasociadaauncontroladordedominioinadecuadodisponiendodelcontroladormejor
adaptadoalasituacin.
La siguiente figura ilustra la aplicacin de esta funcin con el parmetro Forzar intervalo de nueva deteccin
disponibleparalossistemasWindowsVistayWindowsServer 2008.

NuevoparmetroForzarelintervalodenuevadeteccin
Paraadaptarsealoscambiosdecondicionesdelared,ellocalizadordecontroladoresdedominioejecutapordefecto
unabsquedaforzadaenfuncindeunintervaloespecificado.Estoaseguratambinelequilibriodelacargadelos
clientes en el conjunto de los controladores disponibles en los dominios o bosques. El intervalo por defecto de la
bsqueda forzada por el localizador es de doce horas. La bsqueda forzada se puede lanzar igualmente si una
llamadaallocalizadordecontroladoresdedominioutilizaelindicadorDS_FORCE_REDISCOVERY.
Si este parmetro de poltica se activa, el localizador de controladores de dominio ejecuta una bsqueda forzada
regularmenteenfuncindelintervaloconfigurado.
Elintervalomnimoesde3.600segundos(1hora)paraevitareltrficoderedexcesivodebidoalabsqueda.
El intervalo mximo permitido es de 4.294.967.200 segundos, y todo valor superior a 4.294.967 segundos
(~49 das)setratacomounnmeroinfinito.Siesteparmetrodedirectivasedesactiva,laopcinForzarintervalo
de nueva deteccin se utiliza por defecto por el ordenador cada 12 horas. Si el parmetro de directiva no se
configura,laopcinForzarlabsquedaseutilizapordefectoporelordenadorcadadocehoras,salvosielvalordel
parmetrodelordenadorlocalenelRegistroesdiferente.

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

IntroduccinalaintegracindelaszonasDNSenActiveDirectory
El directorio Active Directory depende estrechamente de los servicios de resolucin de nombres DNS (Domain Name
System)paralocalizarsuspropiosservicios.Tampocodebemosolvidarloscomponentesoaplicacionesqueseapoyan
enlosmismosprincipios.
Amododeejemplo,ysinosreferimosaproductosMicrosoft,steserelcasodeproductoscomoExchangeServero
SystemsManagementServer2003,pornocitarmsquedosgrandesaplicaciones.
LamayoradeprincipiosutilizadosporlosserviciosdedirectorioActiveDirectoryposeenuncarctergenrico.
LaintegracindelasaplicacionesenActiveDirectorylellevaraconstatarqueestosmismosprincipiostambin
son utilizados de forma genrica por muchas otras aplicaciones. La idea es que los principales servicios de Active
Directoryestndisponiblesyutilizablesdeformaestndarycompleta.
EnloreferentealservicioDNSyasupapelbsicoparaelconjuntodeserviciosderedWindowsyparaelpropioActive
Directory,sehaceevidentelanecesidaddequeelservicioestsiempredisponible.
Elpresentecaptulointroducelosprincipios,funcionalidadesybuenasprcticasquegarantizanunbuenfuncionamiento
delosserviciosDNSenelmbitodelaintegracindelaszonasDNSdentrodeldirectorioActiveDirectory.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

AlmacenamientodelaszonasDNSyreplicacindeActiveDirectory
AcabamosdeverquelaszonasDNSestndarexistenenformadearchivos,habitualmentealmacenadosen\System32
\dns. La idea es sustituir este almacenamiento por el sistema de almacenamiento de Active Directory. Conviene
subrayarqueActiveDirectoryyelDNSmanipulannombres,quepuedenseridnticos,peroquenoobstantepertenecen
aespaciosdiferentes.
ElsiguientecuadromuestraelparalelismoexistenteentreloselementosquepertenecenalDNSylosquepertenecena
ActiveDirectory.
ElementosdelDNS

ElementosyobjetosdedirectorioActiveDirectory

Almacenamientodetipoarchivo

Almacenamientodetipobasededatos

Archivosdezonasen\System32\dns

ObjetoscontenedoresdetipodnsZone

Registrosderecursos

ObjetodetipodnsNode

Podemos decir que el espacio DNS se compone de zonas y de registros de recursos en las zonas, mientras que el
espacioActiveDirectorysecomponededominiosydeobjetosdentrodeesosdominios.
EnumeramosacontinuacinlosobjetosyatributosActiveDirectoryutilizadosenelmbitodelservicioDNS:
DnsZone
ObjetocontenedorcreadoenelmomentoenquesecreaunazonaenActiveDirectory.
DnsNode
Objetousadoparamapearunnombrehaciaunregistroquecontienemltiplesdatos.
DnsRecord
AtributodetipomultivalorasociadoalaclasedeobjetodsnNode.Seusaparaalmacenarlosregistrosderecursosenel
objetodsnNode.
DnsProperty
Atributo de tipo multivalor asociado a la clase de objeto dnsNode. Se usa para almacenar la informacin de
configuracindelazona.
Finalmente, las zonas integradas en el directorio se almacenarn en un objeto contenedor de tipo dnsZone que se
identificamedianteelnombreatribuidoalazonaenelmomentodesucreacin.

1.ObjetosordenadoresActiveDirectoryydenominaciones
TodoslosordenadoresmiembrosdeundominioWindowsActiveDirectoryexistenenformadeobjetotipoComputer.
LasiguientefiguramuestraunordenadorpertenecientealdominioatravsdelaherramientaADSIEdit.
El componente ADSI Edit se integra de base en Windows Server 2008. Puede acceder ejecutando
Adsiedit.msc. Observe que esta herramienta formaba parte de las herramientas de soporte del CDRom de
WindowsServer2003yWindows 2000Server.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

ElordenadorXP1enelcontenedorComputersdeldominioCorp2008.Corporate.net
EntantoqueelobjetoexistentedentrodeldirectorioActiveDirectory,laspropiedadesexistenenformadeatributos.
De esta forma, los atributos sern manipulados por el propio directorio o bien por cualquier otra entidad habilitada
parahacerlo.LasiguientefiguramuestralaventanaquepermiteveromodificarlosatributosdelobjetoconADSIEdit.

PropiedadesdelobjetoXP1yvalordelatributodNSHostName
La tabla presenta los diferentes atributos de un objeto perteneciente a la clase computer y relacionado con los
problemasdedenominacin.
AtributosdelobjetocomputerXP1

- 2-

Designacinyvalordelatributo

canonicalName

RepresentaelnombrecannicoActiveDirectorydelobjeto
Corp2003.Corporate.net/Computers/XP1.

cn

RepresentaelnombrecomnLDAPdelobjetoXP1.

displayName

RepresentaelnombredevisualizacinLDAPdelobjetoXP1$.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

distinguishedName

RepresentaelnombrediferenciadocompletoCN=XP1,CN=Computers,
DC=Corp2003,DC=Corporate,DC=net.

dNSHostName

RepresentaelnombreDNSenformadeunFQDN
xp1.Corp2003.Corporate.net.

name

RepresentaelnombreXP1.

sAMAccountName

RepresentaelnombreSAM(SecurityAccountManager)delordenador
XP1$.

servicePrincipalName

Representalosnombresdelasidentidades(SPN,SecurityPrincipal
Names)HOST/XP1HOST/xp1.Corp2003.Corporate.net.

Comohemosdichoantes,latablamuestraqueunordenadordentrodeldominioWindowsexisteenvariosespacios
de nombre diferenciados. Los atributos ms importantes en trminos de seguridad son el sAMAccountName y el
servicePrincipalName,quepuedecontrolarseademsatravsdelcomandoSetSPN.exe.
Por supuesto, otros muchos atributos enriquecen el directorio con informacin cuyo uso ser ms perceptible.
Presentamosacontinuacinalgunosejemplosdeatributos:
AtributosdelobjetocomputerXP1
objectCategory

Designacinyvalordelatributo
CN=Computer,CN=Schema,CN=Configuration,
DC=Corp2003,DC=Corporate,DC=net.

operatingSystem

WindowsXPProfessional.

operatingSystemServicePack

ServicePack2,v.2120.

operatingSystemVersion5.1

(2600).

2.VentajasdelaintegracindelaszonasDNSenActiveDirectory
LoscontroladoresdedominioWindows2000,WindowsServer2003yWindowsServer 2008permitenalservicioDNS
aprovecharlosnumerososavancestecnolgicosaportadosporActiveDirectory.Veamoscualessonesasventajas:

a.Actualizacinenmodomultimaestro
EnelmodelohabitualdealmacenamientodelaszonasDNS,lasactualizacionesslosonposibleshaciaelservidor
primariodelazona.Dehecho,unnicoservidorDNSdereferenciaparalazonaestdisponibleenmodolecturay
escritura.EstoconstituyeunaenormelimitacinsisedeseaemplearlasactualizacionesDNSenmdodinmico.
OtroinconvenienteimportantedelmodeloDNSesqueladisponibilidadenmodoescrituradelazonareposaenel
nicoservidorprincipal.Sidichoservidornoestdisponible,laspeticionesdeactualizacinformuladasporclientes
DNSnosetratarnparatodalazona.Adems,cuandolazonaalcanzasuperiododeexpiracinenfuncindelvalor
establecido en el registro de SOA, sta pasa al estatus de caducada y no se trata ninguna otra peticin de
resolucinDNS.
Por el contrario, cuando una zona DNS se integra en Active Directory y se configura para dar soporte a las
actualizacionesdinmicas,dichasactualizacionespuedentambinsersoportadasenmodomultimaestro.Dehecho,
cualquier servidor DNS de tipo NS y controlador de dominio se convierte en una fuente principal de la zona. Por
consiguiente, la zona puede ser actualizada por los servidores DNS que funcionan con cualquier controlador de
dominio del dominio. Este concepto permite ofrecer una disponibilidad total, siempre que se disponga de varios
controladoresdedominioquefuncionencomoservidoresDNS.

b.Seguridadavanzadadeloscontrolesdeaccesoenlazonayenlosregistros
Todos los registros de recurso DNS son objetos Active Directory de tipo dnsNode. En ese sentido existen y se
benefician, al igual que todos los objetos del directorio, de los servicios de seguridad Active Directory. En nuestro
casosetratardelasautenticacionesmutuasKerberosv5ydelusodelosSPN.Elsoportedelaslistasdecontroles
deaccesopermitircontrolarquinpuedehacerquencadaobjeto,esdecir,encadaregistroDNS.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Por ejemplo, es posible acceder a las funciones de las ACL (Access Control List) para proteger un contenedor
dnsZone en el rbol Active Directory. El granulado de administracin es muy fino porque en caso necesario usted
podradministrarcadazonaycadaregistrodentrodeunazona.
El grupo integrado Usuarios autentificados dispone de un derecho de tipo Crear todos los objetos hijo. El ACL
permite autentificar todos los ordenadores Windows 2000 Professional, Windows XP Professional, Windows Vista,
WindowsServer2003o2008.
El grupo de seguridad Usuarios autentificados considera todas las entidades susceptibles de ser
controladas,yasetratedeobjetosusuarioobiendegruposuobjetosdetipoordenador.
Unalistadecontroldeaccesopredeterminadaprotegecadanuevoregistro.Lafiguradeabajomuestralosderechos
sobreelregistroreferentealordenadorXP1,miembrodeldominioCorp2003.Corporate.net.

ElgrupoAdministradoresdeempresasdisponedederechosdeescriturasobreelobjetoxp1
Constatarporlotantoque,alprincipio,todaslasmquinasautenticadasatravsdelprotocoloKerberospodrn
crear dinmicamente su propio registro. Una vez creado el objeto, los controladores de dominio de la empresa
podrnmodificarelregistro,siempreporcuentadelcliente.
Enelcasodeentornosderedespecialmenteprotegidos,serposibleespecificarlospropiosderechosdeformaque
las actualizaciones dinmicas no se autoricen ms que para un ordenador cliente especfico. Esto podra ocurrir
tambin con un grupo de seguridad particular que contuviese usuarios y ordenadores. Observe tambin que las
listasdecontroldeaccesoqueustedespecificaenlosobjetosActiveDirectorymediantelaconsoladeadministracin
MMCdelDNSsloafectanalservicioclientedeDNS.
Las funcionalidades de control de acceso no estn disponibles para las zonas principales estndar, sino
nicamenteparazonasDNSintegradasenActiveDirectory.

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

SeleccindeactualizacionesdinmicassegurasparalazonaCorp2008.Corporate.net
Cuandounazonaseintegraeneldirectorio,elparmetropredeterminadodeactualizacindelazonasemodifica
paraqueseautoricenslolasactualizacionesseguras.
La tolerancia a fallos es mxima. Las zonas se replican automticamente y se sincronizan con los nuevos
controladoresdedominioencuantostosseagreganaundominioActiveDirectory.
Laszonasintegradaseneldirectoriosealmacenanpordefectoencadacontroladordedominio.Elalmacenamientoy
lagestindelazonanoconstituyenporlotantorecursosadicionales.Adems,losmtodosusadosparasincronizar
lainformacinalmacenadaeneldirectorioofrecenmejoresprestacionesencomparacinconlosmtodosestndar
deactualizacindelaszonas,queexigenunaconfiguracinmanualyenocasioneslatransferenciacompletadela
zona.
LasprestacionesdelasreplicacionesdelaszonasintegradasenActiveDirectoryestndirectamenterelacionadas
con el hecho de que el motor de replicacin del directorio replica con un granulado muy fino. En efecto, las
replicacionesserealizandeformaindependienteparacadaobjeto,paracadaatributodeobjetoyparacadavalor
deatributodeobjeto.
Lasreplicacionessecomprimenenlosvnculosintersitios.Porlotanto,integrandoelalmacenamientodelasbases
de datos de zonas DNS en Active Directory, podr simplificar la replicacin de las zonas DNS en toda la red de la
empresa.
LasupresindelservicioDNSdeuncontroladordedominionosuprimelosdatoscontenidosenlabasede
datosActiveDirectory.
SiutilizazonasDNSenmodoestndarytambinenmodointegradoenActiveDirectory,estosdostiposdezonasse
almacenarnyreplicarnobligatoriamentedeformaseparada.Enesoscasos,claroest,deberadministrarlaspor
separado. Ser necesario entonces implementar y gestionar dos tipologas de replicacin distintas. Se necesitar
unatopologadereplicacinparalosdatosalmacenadoseneldirectorioyotroparareplicarlosarchivosdezonas
entrelosservidoresDNSestndar.Aunquenopresentedificultadestcnicasespeciales,estaconfiguracinserms
complejademanteneryhastadehacerevolucionar.
Con la integracin de las zonas DNS en el directorio, todos los problemas de replicacin y de gestin del
almacenamientoqueseplanteanparaDNSyparaActiveDirectorysefusionanenunanicaentidadadministrativa.
La replicacin de directorio es ms rpida y eficaz que la replicacin DNS estndar y beneficia a las zonas DNS
especialmentevoluminosas.
En la medida en que la replicacin Active Directory slo afecta a los elementos agregados, suprimidos modificados
(objetos, atributos o valores de atributo) slo se propagan las modificaciones esenciales. Estas optimizaciones
permitenminimizarlasoperacionesLDAPylosflujosdereplicacinentreloscontroladoresdedominio.
Las zonas secundarias no pueden almacenarse en el directorio, slo pueden serlo las zonas principales
ActiveDirectory.DesdeelmomentoenquelosservidoresDNSsonservidoresWindowsquesebenefician
delmodelodereplicacinmultimaestroActiveDirectory,yanohayintersenconservarzonassecundarias.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

3.ParticionespredeterminadasdisponiblesconWindows2000
Los controladores de dominio Windows 2000 disponen de varios espacios llamados particiones. Una particin,
tambin llamada contexto de denominacin (naming context en ingls), es una estructura de almacenamiento de
datos situada dentro del directorio Active Directory. sta permite al directorio distinguir varias topologas de
replicacin. Dicho de forma ms simple, imagine que el directorio Active Directory existe en forma de base de datos
nicaqueestcompuestaporvariaspartesquepertenecenatopologasdereplicacindistintas.
EnelentornoWindows2000,labasededatosActiveDirectorycontienenicamentelastresparticionespresentadas
acontinuacinparanuestrodominiodepruebaCorp2003.Corporate.net:

LaparticindelDominio,cuyonombrecompletoes:DC=Corp2003,DC=Corporate,DC=net.
Estaparticincontienetodoslosobjetostipousuario,gruposdeusuarios,ordenadores,directivasdegrupo,
etc.

LaparticindelaConfiguracindelaEmpresa,cuyonombrecompletoes:
CN=Configuration,DC=Corp2003,DC=Corporate,DC=net.
Esta particin contiene todos los objetos de configuracin del directorio Active Directory y tambin algunas
aplicacionesintegradasenActiveDirectory.

LaparticindelEsquemadelaEmpresa,cuyonombrecompletoes:
CN=Schema,CN=Configuration,DC=Corp2003,DC=Corporate,DC=net.
Esta particin contiene todas las clases y atributos que formalizan los objetos que el directorio puede
gestionar.

LaconfiguracindeActiveDirectorymuestralastresparticiones
La figura de arriba muestra claramente las tres particiones predeterminadas creadas automticamente durante la
instalacin de Active Directory con ayuda del Asistente para instalacin DCPromo. El rbol presentado por ADSI Edit
muestraloscontextosdedenominacindeldominio,delaconfiguracinydelesquema.
Puede
asimismo
constatar
que
la
particin
de
configuracin,
cuyo
nombre
LDAP
es
CN=Configuration,DC=Corp2008,DC=Corporate,DC=netcontieneenelobjetoCN=Partitions,ladeclaracindelastres
particionespresentadas.
Ms adelante veremos que cuando un controlador de dominio hace las veces de catlogo global y la
infraestructuradebosquedeActiveDirectorycontienemsdeundominio,elcontroladordedominiocatlogo
globalalojartambinlasparticionesdedominiodelosdemsdominiosdelbosque.
Tambin podr manipular las particiones Active Directory a travs del comando NTDSutil. Esta herramienta se
suministraconelsistemaWindows2000oWindowsServer2003.
El comando NTDSutil es la herramienta Active Directory que le permitir realizar la mayor parte de tareas de
mantenimientoyconfiguracindeActiveDirectory.

- 6-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

4.IntegracindelaszonasDNSenActiveDirectoryconWindows2000
En lo que respecta a los controladores de dominio Windows 2000, la integracin de las zonas dentro del directorio
ActiveDirectoryconsisteenacogerdichaszonasdentrodelaparticindeldominio.Observequeslopuedeutilizarse
esta particin. La figura siguiente muestra que esta opcin se propone en un controlador Windows Server 2003
cuandoeldominiocomportaalavezcontroladoresWindows2000yWindowsServer2003.

ConfiguracindeTipoydeReplicacinparalazonaencurso
En funcion de sus necesidades, usted disfrutar de total libertad a la hora de escoger el tipo de las zonas y los
detallesrelativosalalmacenamientodelaszonasreplicadaseneldirectorioActiveDirectory.
LafigurapresentadaacontinuacinmuestraqueennuestroejemplolazonasealmacenaryreplicarenTodoslos
controladoresdedominiodeldominioActiveDirectory.
Comoseespecifica,estaopcinseescogersilazonadebesercargadaporservidoresDNSWindows2000quese
ejecutenencontroladoresdedominiodentrodelmismodominio.

LoscuatromodosdereplicacinpropuestosporWindowsServer2003
El siguiente esquema ilustra el caso descrito. El dominio est compuesto por controladores Windows 2000 y,
eventualmente, por controladores de dominio Windows Server 2003 y/o Windows Server 2008. Estos controladores
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 7-

dedominioejecutantambinelservicioservidorDNSdeWindowsquealojalazonaDNSdeldominioActiveDirectory
corp2003.corporate.netocualquierotrazonanecesariaparaelentornodeproduccin.

IntegracindetipoWindows2000delaszonasDNSenActiveDirectory
LaintegracindelaszonasDNSrepresentadasenelesquemaponedemanifiestolospuntossiguientes:

Los tres controladores de dominio Windows son tambin servidores DNS. Todos estn disponibles en modo
lecturayescrituraparacualquierzonaconactualizacionesdinmicas.
Los registros de recursos DNS existen como objetos Active Directory y, por lo tanto, se protegen y replican
comotales.

A propsito de la seguridad de los registros en las zonas DNS Active Directory, Microsoft recomienda
encarecidamentequelasactualizacionesdinmicasfuncionenenmodo"sloseguras".Deesaformaslolas
mquinas Windows miembros del dominio Active Directory y autenticadas con el protocolo Kerberos Versin 5.0
podrnrealizaractualizacionesdinmicas.

Los clientes DNS dinmicos como Windows 2000, Windows XP o Windows Vista tienen la posibilidad de
registrarseencualquieradelosservidoresDNSdinmicos.
Los antiguos servidores anteriores a la implantacin de los nuevos servidores de Windows Server 2003 o
Windows2008puedenseguirparticipandocomoservidoresDNSquealojanzonassecundariasdurantetodo
elperiododetransicin.Comolaszonassecundariasestndisponiblesnicamenteenmodoslolectura,los
servidoresnosoportarnlasactualizacionesdinmicas.

LaimplantacindeunaredWindowsActiveDirectoryserealizamuchasvecesdeformaprogresiva.Enesos
casos es importante casar lo mejor posible las estaciones de trabajo modernas con los nuevos servidores,
que desempean el papel de controladores de dominio y de servidores DNS. El objetivo consiste en que las
estacionesdetrabajomsmodernaspuedansacarprovecholomsrpidamenteposibledelosserviciosdeActive
Directory(localizacindecontroladores,autenticacionesdeKerberos,directivasdegrupo,serviciosdecertificados,
etc.).

5. Integracin de las zonas DNS en Active Directory con Windows Server 2003 y
WindowsServer2008
Paradesempearsupapeldecontroladordedominio,loscontroladoresdedominioWindowsServer2003yWindows
Server2008disponendelasmismasparticionesdedirectorioquelosserviciosquefuncionanconWindows2000.A
mododerecordatorio,nosreferimosalaparticindeesquema,laparticindeconfiguracin,laparticindeldominio
en curso y las particiones del resto de dominios del bosque cuando el controlador desempea tambin el papel de
catlogoglobal.
UnadelasnovedadesimportantesdeWindowsServer2003ydeWindowsServer2008afectaalasparticionesdel

- 8-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

directorio de aplicaciones. Una particin del directorio de aplicaciones es una particin Active Directory de un tipo
nuevo. Esta particin se replicar slo a uno o a varios controladores de Windows Server 2003 o Windows Server
2008.Deestemodo,uncontroladorqueparticipeenlareplicacindeunaparticinalojarunarplicadeesamisma
particin.
Lasaplicacionesylosserviciospodrnusarentonceselnuevotipodeparticionescomozonadealmacenamientode
datosespecficosdelasaplicaciones.
Parailustraresteprincipio,losserviciosTAPIdeWindowsServer2003(TelephonyApplicationProgrammingInterface)se
pueden configurar para almacenar datos especficos de las aplicaciones TAPI 3.1 en una particin del directorio de
aplicaciones.
A propsito de las particiones MSTAPI del directorio de aplicaciones: el asistente Configurar su servidor
proporcionaunaubicacincentralapartirdelacualustedpodrinstalarlosnumerososserviciosincluidosen
Windows Server 2003. Si instala el directorio Active Directory con la ayuda de dicho asistente, ste aprovechar
paracrearautomticamenteunaparticinpordefectollamadaMsTapi.nomdedominio.Encasodequeelcontrolador
de dominio se instalase sin pasar por el asistente, es decir, usando directamente el comando dcpromo.exe, se
podrinstalarlaparticindeldirectoriodeaplicacionesMSTAPIconelcomandotapicfg.exe.Estecomandopermite
realizar las operaciones de gestin especficas de los servicios TAPI. Los siguientes comandos permiten
respectivamente ver la configuracin TAPI y crear la particin del directorio de aplicaciones mencionado: tapicfg
showytapicfginstall/directory:mstapi31.Corp2003.Corporate.net.

La herramienta de lnea de comandos Ntdsutil permite asimismo manipular las particiones gestionadas por
ActiveDirectory.Noobstante,adiferenciadeherramientascomoelcomandotapicfg,especficamentecreado
pararealizarunaseriedeoperacionesdeconfiguracinespecficasdeTAPI,elcomandontdsutilslopermitirdar
soportealasoperacionesespecficasdeldirectorioActiveDirectory.
Observe sin embargo, que una particin del directorio de aplicaciones puede contener todo tipo de objetos,
exceptuandoobjetosconidentificadoresdeseguridad(SID).Laideaesquelaseguridadestsiemprealmacenadaen
lasparticiones"habituales"deActiveDirectoryynofueradeellas.Porlotanto,noesposiblecrearenellasninguno
delosprincipiosdeseguridadtalescomoobjetosdetipousuario,gruposdeseguridaduordenadores.
Desdeelpuntodevistadelagestindelasparticiones,convieneespecificarque,seacualseaeltipodelaparticin,
slolosmiembrosdelgrupoAdministradoresdeempresapuedencrearoadministrarmanualmentelasparticionesdel
directoriodeaplicaciones.
Desdeelpuntodevistadelalmacenamiento,laventajadealmacenardatosdeaplicacionescomolosrelativosalDNS
enunaparticindeldirectoriodeaplicacionesenlugardeenunaparticindeldirectoriodedominioesqueustedse
beneficiar de un mayor control del trnsito de replicacin. Efectivamente, los datos en cuestin se replicarn
nicamentealoscontroladoresdedominioescogidos.
LasiguientetabladescribelosalcancesdereplicacindezonadisponiblesparalosdatosdezonaDNSintegradosen
ActiveDirectory.
Alcancedereplicacin

ImplementacinWindows

TodoslosservidoresDNSenelbosque
ReplicalosdatosdelazonaatodoslosservidoresDNS
ActiveDirectory:enelbosquesecrear
ejecutadosenloscontroladoresdedominioenelbosqueActive
unaparticindeldirectoriodeaplicaciones. Directory.Generalmenteeslaextensindereplicacinms
importante.
TodoslosservidoresDNSeneldominio
ReplicalosdatosdelazonaatodoslosservidoresDNS
ActiveDirectory:eneldominiosecrear
ejecutadosenloscontroladoresdedominiodeldominioActive
unaparticindeldirectoriodeaplicaciones. Directory.Estaopcinconstituyeelparmetropordefectodela
replicacindezonaDNSintegradaenActiveDirectorydentrode
lafamiliaWindowsServer2003yWindowsServer2008.
TodoslosservidoresDNSeneldominio
ActiveDirectory:noesprecisocrearuna
particindeldirectoriodeaplicaciones.La
zonasecreardentrodelaparticin
existenteeneldominio.

Replicalosdatosdelazonaatodosloscontroladoresdedominio
deldominioActiveDirectory.Estaopcinesnecesariaparaque
losservidoresDNSWindows2000soportenlacargadezonas
ActiveDirectory.

Todosloscontroladoresdedominioenuna
particindedirectoriodeaplicaciones
especificada:unaparticindeldirectorio
deaplicacionesdebercrearse
especficamenteyreplicarsealos
servidoresespecficamentedesignados.

Replicalosdatosdelazonaenfuncindelaextensinde
replicacindelaparticindedirectoriodeaplicaciones
especificada.Paraqueunazonasealmaceneenlaparticinde
directoriodeaplicacionesespecificadaesprecisoqueelservidor
DNSquealojalazonaestinscritoenlaparticindedirectorio
deaplicacionesespecificada.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 9-

De esta forma, cuando se implanta un nuevo dominio Active Directory basndose en un controlador de dominio de
Windows Server 2003 o Windows Server 2008, el asistente de instalacin de Active Directory toma la iniciativa de
crearlaszonasrelativasaldominioActiveDirectoryenlasubicacionesespecificadasacontinuacin.

a.ForestDnsZones.NombreBosqueDns
Esta particin se crea por defecto y permite el almacenamiento en todo el bosque. Est disponible en todos los
servidores DNS que funcionan en los controladores de dominio del bosque. Por consiguiente, cualquier zona DNS
almacenadaenestaparticindeldirectoriodeaplicacionessereplicaratodoslosservidoresDNSejecutadosenlos
controladoresdedominiodelbosque.
Por supuesto, esta opcin es especialmente importante para garantizar una gran disponibilidad de los registros
crticos relativos a la propia infraestructura del bosque. Por defecto, el Asistente para la instalacin de Active
Directoryalmacenarenellalazonaquecontieneloscontroladoresdedominiodelbosque.
Esta zona, muy importante para todo
_msdcs.NombredeDominioDnsRaizdelBosque.
_msdcs.Corp2003.Corporate.net.

el bosque, se almacena en
En
nuestro
ejemplo

la siguiente
ser
el

ubicacin:
dominio

b.DomainDnsZones.NombredeDominioDns
Estaparticindeldirectoriodeaplicacionessecreapordefectoparaalojarlosdominiosdelbosque.LaszonasDNS
almacenadas en esta particin del directorio de aplicaciones se replican a todos los servidores DNS que funcionan
conloscontroladoresdedominiodeldominiomencionado.
Esta opcin es similar a lo que se realiza de forma predeterminada en los controladores de dominio
Windows2000.Sinembargo,existeunmatizimportante.EnloscontroladoresdedominioWindows2000,
laszonasalmacenadaseneldominioActiveDirectoryutilizanlapropiaparticindeldominio.EnunservidorDNS
controladordedominioWindowsServer2003oWindowsServer2008,unazonaalmacenadaeneldominiopodr
disponerdesupropiaparticinindependiente.
Adems de la creacin de zonas, si selecciona el Asistente para la instalacin de Active Directory para instalar y
configurar automticamente un servidor DNS en el controlador de dominio local, el servidor DNS se instalar en el
ordenador en el que se ejecute el asistente. Adems el parmetro del servidor DNS preferido del ordenador est
configurado para usar el nuevo servidor DNS local basndose en la direccin de bucle TCP/IP 127.0.0.1. De esta
forma,elprimercontroladordedominioesclientedesupropioservidorDNS.
El segundo controlador instalado en el dominio deber entonces usar al primero como servidor DNS preferido. Al
final, varios servidores DNS controladores de dominio alojarn las zonas del dominio Active Directory y los dems
ordenadores(clientesyservidores)queseunanaldominiodebernusaralmenosdosdeesosservidoreDNS.El
hechodequeunclienteDNSpuedadisponerdedosservidoresDNSofrecerunabuenatoleranciaalosfallosen
casodefuncionamientodefectuosodeunservidorDNS.

c.Utilizacindeotrasparticionesdeldirectoriodeaplicaciones
Tambin es posible usar las particiones propias del directorio de aplicaciones Active Directory. La siguiente figura
muestralaconsoladeadministracinMMCdelDNS,queofrecelaposibilidaddeseleccionarlaparticinquesedesea
utilizar.As,laparticinemeadns.Corp2008.netpodrusarsecomoespaciodealmacenamientoparalazonaEMEA
(EuropeMiddleEastandAfrica).

- 10 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Eleccindelaextensindelaparticindeldirectoriodeaplicaciones
Al escoger una opcin de replicacin, no olvide que cuanto mayor sea el alcance de replicacin, mayor ser la
densidaddeltrnsitoenlaredcausadoporlareplicacin.Porejemplo,sioptaporreplicarlosdatosdeunazona
DNSatodoslosservidoresDNSdelbosque,eltrnsitoderedproducidosermsdensoquesireplicalosdatosde
lazonaDNSatodoslosservidoresDNSdeunsolodominioActiveDirectorydelbosque.
Sean cuales fueran las opciones iniciales, siempre ser posible modificar a posteriori la manera en que debern
replicarselaszonas.Sinembargo,elcambiodeubicacinrequerirdeunareplicacincompletadelcontenidoalos
nuevosemplazamientos.

d.CreacindeunaparticineneldirectoriodeaplicacionesActiveDirectory
ParacrearunaparticincapazdeacogerunazonaDNS,deberutilizarelcomandontdsutildelasiguientemanera:
1.Introduzcantdsutilenlalneadecomandos.Aparecerntdsutilenelsmbolodelsistema.
2.Teclee:domainmanagement
3.Teclee:connections
4.Teclee:connecttoserverFQDNdesucontrolador
5.Teclee:quit
6. Para crear una particin del directorio de aplicaciones, teclee el comando siguiente: create nc DN
ParticionDirectorioApp FQDNControladorDominio. As, para nuestro dominio de prueba, habr que introducir el
siguientecomando:createncdc=emeadns,dc=corp2003,dc=corporate,dc=netbooster2003.
Elcomandontdsutildisponedeunaayudarudimentariaperobastanteclara.Comoocurreamenudo,losnombres
de objetos Active Directory debern formularse especificando el DN LDAP mientras que los nombres de servidores
usarnelFQDNoelhostname.
Unavezcreadalaparticindeldirectoriodeaplicacionesesprecisodeclararlosdiferentescontroladoresdedominio
como rplica de la nueva particin con ayuda del comando: add nc replica DNParticionDirectorioApp FQDN del
controladordedominioalcualafectalaoperacin.
AutomatizacindeloscomandosNtdsutil
A pesar que las funciones ofrecidas por Ntdsutil son en su mayora operaciones crticas, puede que desee
automatizar algunas tareas creando scripts que contengan una serie de comandos Ntdsutil. Muchas funciones
Ntdsutilqueejecutanmodificacionesabrenmensajesenlosquesepreguntaalusuariosideverdaddeseaejecutar
la operacin. Evidentemente, cuando aparecen esos mensajes, Ntdsutil espera a que el usuario teclee una
respuesta.
Los comandos popups off y popups on permiten respectivamente desactivar y activar los mensajes al ejecutar
Ntdsutilapartirdeunarchivodecomandosodeunscript.
Lasoperacionesalasquedasoportentdsutilpuedenresultarpeligrosasparaelbuenfuncionamientodel
directorioActiveDirectory.Serecomienda,porlotanto,desactivarlosmensajesdeconfirmacinsloenel
momentoenqueseestnrealizandodeterminadostiposdescripts.Unavezrealizadalaoperacinconlaayuda
deunscriptenmodopopupsoffnoolvidereactivarlasconfirmacionesutilizandoelcomandopopupson.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 11 -

Eliminar una particin de directorio de aplicaciones resulta tan sencillo como crearla. Otra vez con la ayuda de
ntdsutil,uselamismalgicaespecificandoelcomando:deletencDNParticionDirectorioAppFQDNdelcontrolador
dedominioalqueserefierelaoperacin.
Laeliminacindelaltimarplicadeunaparticindeldirectoriodeaplicacionesconllevalaprdidadefinitiva
detodoslosdatosalmacenadosenlaparticin.

Para efectuar estas operaciones deber ser miembro del grupo Admins. del dominio, del grupo
Administradores de organizacin en Active Directory, o haber recibido por delegacin los permisos
necesarios.

e.Replicacindelasparticionesdeldirectoriodeaplicacionesycasodeloscatlogosglobales
LosdatosdeunazonaDNSintegradaenActiveDirectoryalmacenadosenunaparticindedirectoriodeaplicaciones
nosereplicanenloscatlogosglobalesdelbosque.Sibienesverdadqueuncontroladordedominioquecontieneel
catlogoglobalpuedeasimismoalojarparticionesdedirectoriodeaplicaciones,observequestenoreplicaresos
datosenelcatlogoglobal.
Sin embargo, cuando los datos de una zona DNS integrada en Active Directory se almacenan en una particin de
dominio, una parte de ellos se almacena en el catlogo global. Esas informaciones mnimas son necesarias para
garantizarlatoleranciadelosservidoresDNSquefuncionanconWindows2000.

f.Almacenamientodelaszonas,particionesdeaplicacionesyreplicaciones
El alcance de replicacin de una particin de directorio de aplicaciones respeta la infraestructura de sitios Active
Directory.As,aligualqueocurreconWindows2000,losparmetrosdereplicacinseaplicanatodaslasparticiones
conocidas. Por consiguiente, la replicacin de esas particiones se producir con el mismo calendario de replicacin
intersitiosyadefinidoenlainfraestructuradesitios.

g.ZonasDNSintegradasenActiveDirectoryyparticionesdedirectorioADAM
Los servidores Windows Server 2003 pueden desempear la funcin de servidores de directorio LDAP v2 y v3
estndarsinporellorequerirqueseinstalelafuncindecontroladordedominioActiveDirectory.
Este componente adicional, llamado ADAM (Active Directory/Application Mode) puede descargarse de la web de
Microsoft,enlacategora"FeaturesPacks"deWindowsServer2003.ObservequeenlaliteraturainformticaADAM
tambinrecibeaveceselnombredeAD/AM.
EstecomponentepermitelaimplantacindemltiplesparticionesdedirectorioysoportavariasinstanciasADAMen
el mismo servidor. Esta funcin permite alojar varios esquemas en el mismo servidor, ya que cada instancia debe
disponerdesupropioesquema.
ADAMesespecialmenteinteresanteparalasaplicacionesquedebenapoyarseenLDAP,peroquenoprecisanuna
relacindirectaconeldirectorioActiveDirectory.Lafiguraquepresentamosacontinuacinmuestraquelosservicios
ydatosgeneralessealmacenanenActiveDirectory,mientrasquelosdatoslocalesespecficosdelasaplicacioneslo
hacenenparticionessoportadasporADAM,esdecir,enmquinasquenosoncontroladoresdedominio.
EnlosservidoresquefuncionanconWindowsServer2008,losserviciosADLDS(ActiveDirectoryLightweight
DirectoryServices)reemplazanalosserviciosalosserviciosADAMdeWindowsServer2003.Observequese
trata de una evolucin menor necesaria para asegurar el buen funcionamiento de estos servicios en las
plataformasWindowsServer2008.

- 12 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

DirectorioActiveDirectoryyparticionesdedirectoriodetipoADAM
PresentamosaqulascaractersticasprincipalesdeADAM:

Las particiones soportadas por ADAM son similares a las particiones del directorio de aplicaciones de
Windows Server 2003. No obstante, esas particiones no necesitan soportar la funcin de controlador de
dominio.
ADAM funciona con Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition y
WindowsServer2003DatacenterEdition.
ADAMnopuedeinstalarseenWindowsServer2003WebEdition.
ADAM funciona tambin con Windows XP Professional. Esta configuracin concierne en principio a los
desarrolladores, sabiendo que Microsoft recomienda desarrollar en una plataforma prxima al sistema de
produccin. La recomendacin es pues llevar a cabo los desarrollos en una plataforma de tipo Windows
Server2003.

UnainstanciaADAMpuedealbergarmsdeunaparticin.

ADAMsoportalosespaciosdenombresX500yDNS.

LareplicacindelasparticionesADAMrespetaelmismomodeloqueelutilizadoporActiveDirectory.Todas
lasinstanciasADAMdisponendesupropiaestrategiadereplicacin.
LasinstanciasADAMpuedenfuncionarenservidoresWindowsServer2003miembrosdeundominioActive
Directoryperotambinenservidoresautnomos.
Cada instancia dispone de sus propios ejecutables y de sus propios parmetros TCP/IP (direcciones,
puertos).Porlotanto,esposiblequeunservidoralojevariasinstanciasADAMdediferentesversiones.
AligualqueocurreconloscontroladoresdedominioActiveDirectory,lacopiadeseguridadylarestauracin
delasinstanciasADAMcorrendirectamenteacargodelasherramientasintegradasenelsistemaWindows
Server2003.
Se puede administrar y dar soporte a las instancias ADAM con ayuda de las mismas herramientas que las
utilizadasconeldirectorioActiveDirectory.SepuedecontinuarusandoLDP,ADSIEdit,Replmon,NTDSUtilyel
analizadorderendimientoparalamonitorizacindecadainstancia.
ADAMutilizalosserviciosdeseguridadofrecidosporlainfraestructuraWindowsdisponible.Deestaforma,
puede implementar controles de acceso basados en los principios de seguridad procedentes del directorio
Active Directory, de los dominios Windows NT 4.0 y de las cuentas del ordenador local. Tambin tiene la
posibilidad de crear usuarios directamente en ADAM. En ese caso slo se soportarn las autenticaciones
LDAPdetipo"SimpleBind".

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 13 -

La cuentas creadas dentro del directorio ADAM no son principios de seguridad Windows. Por tanto, no
poseenSID.
El servidor ADAM no es un servidor de autenticacin Windows que soporta el protocolo Kerberos v5. No
obstante, ADAM puede usar cuentas situadas en un dominio Active Directory y, en este caso, utilizar
autenticacionesbasadasenelprotocoloKerberos v5.
ADAM no se puede usar directamente con Exchange Server. Microsoft Exchange Server necesita
obligatoriamente los controles de seguridad basados en SID, as como del soporte del protocolo MAPI
(MessagingAPI).

Microsoft especifica que los conceptos usados por ADAM, en especial los referentes a aislamiento y
virtualizacin,soninteresantesendiferentesaspectos.Porejemplo,lafuncin"ServerEDGE"disponiblecon
Microsoft Exchange Server 2007 utiliza una instancia ADAM que desempea el papel de servidor LDAP para los
serviciosExchangeenunamquinaquenoformapartedelDominioActiveDirectory.Elservidor"aislado"dispone
deunniveldeseguridadmsalto.

El componente principal ADAM se implementa a travs de DSAMain.exe. En los controladores de dominio


Active Directory, el servidor LDAP, el motor de replicacin DRS (Directory Replication System), el centro de
distribucindeclavesKerberosyelsoportedelaSAMestnintegradosenelmduloLSASS(LocalSecurity
AuthoritySubSystem).

LasinstanciasvirtualesADAMseimplementanenformadeserviciosWindows.

ElmotorLDAPADAMreutilizalatotalidaddelcdigoActiveDirectory.

ADAMnoprecisaforzosamentedelusodelDNSparalocalizarlosservidoresADAM.Lasaplicacionespueden
estarconfiguradasparaatacarespecficamenteacualquierservidor.
ADAMnodasoportealasantiguasinterfacesdeMicrosoftcomolaSAM.
ADAM no da soporte a ninguna integracin con el servicio de replicacin de archivos FRS (File Replication
Service).
ADAMpuedesertilcuandosenecesitadisponerdeunservidorLDAPestndar.Estasolucinserasimismo
interesantesisedeseaimplementarunaaplicacinLDAP"alladodeundirectorioyapresente".

UnaparticinADAMnopuedealmacenarningnprincipiodeseguridad.Dehecho,elusodeldirectorioADAM
en un entorno Microsoft significa que el directorio Active Directory contina siendo el unificador de todo lo
referentealasautenticacionesKerberosyotrosserviciosglobalesrelativosalainfraestructura.

LasinstanciasADAMutilizanlaseguridaddeActiveDirectory.

ObservetambinquelasparticionesgestionadasporADAMnopermitenalmacenarzonasDNSdetipoActive
Directory.Comoveremosmsadelante,sloloscontroladoresdedominioWindows2000oWindowsServer
2003puedenalojarparticionescapacesdecontenerzonasDNSintegradaseneldirectorioActiveDirectory.
Enresumen,ADAMesunasolucincomplementariadeldirectorioActiveDirectoryqueresponderalasnecesidades
denumerososdesarrolladoresWindowsynoWindows.Noobstante,observequeeldirectorioADAMnoreducirla
necesidaddelasempresasdedisponerdeuna"InfraestructuradeserviciosdedirectorioActiveDirectory".
Para obtener ms informacin acerca de ADAM, consulte las direcciones de la Web de Microsoft:
http://www.microsoft.com/adamyhttp://www.microsoft.com/ad
En los sistemas que funcionan con Windows Server 2008, los servicios AD LDS sustituyen a los servicios
ADAM de Windows Server 2003. Las principales funcionalidades, posibilidades, lmites y recomendaciones
relativasalosserviciosADLDSsepresentanenelcaptuloConfiguracindelasfuncionesdeservidoresconlos
serviciosAD.

- 14 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

h.Condicionesnecesariaspararealizaruncambiodealmacenamiento
Parapodercambiarelalmacenamientodeunazonadelaparticindedominiohaciaunaparticindeldirectoriode
aplicaciones, el controlador de dominio que detenta la funcin de maestro de atribucin de nombres de dominio
(Domain Naming MasterFSMOeningls)debefuncionarconWindowsServer2003oWindowsServer2008.Deno
serasnopodrcrearparticionesdeldirectoriodeaplicacionesparaalojarlazonaDNS.
Transferencia de la funcin de "Maestro de atribucin de nombres de dominio". Para solucionar este
problema, bastar con transferir la funcin de maestro de atribucin de nombres de dominio a un
controladordedominioqueejecuteWindowsServer2003oWindowsServer2008ydespusrepetirlaoperacin.
EsteproblemapuededebersealaactualizacindeuncontroladordedominioWindows 2000existente.

i.Sugerenciasderaz
Cuandoelnivelfuncionaldedominioes"WindowsServer2003"o"WindowsServer 2008",lassugerenciasderaz
quepermitenalservidorDNShacerreferenciaalosservidoresDNSdeldominiorazdelespacioDNSsealmacenan
enlaparticindedirectoriodeaplicacionesdedominio.
Por el contrario, si el nivel funcional de dominio es de tipo "Windows 2000 modo mixto" o "Windows 2000 modo
nativo", las sugerencias de raz se almacenan en la particin del dominio. Observe que esto ya ocurra con los
controladoresdedominioquefuncionabanconWindows2000.
Lasiguientefiguramuestralassugerenciasderazpredeterminadasdentrodelaparticindedominiodeldominio
Corp2003.Corporate.net.

SugerenciasderazalmacenadasenelcontenedorSystemdelaparticindeldominioconWindows2000
El contenedor CN=MicrosoftDNS,CN=System,DC=Corp2003,DC=Corporate,DC=net contiene los diferentes
contenedoresquealojan,cadauno,elcontenidodeunazonadeterminada.LosregistrosdeAdelosservidoresraz
existenacontinuacinenformadeobjetosdetipodnsNodeenelcontenedorRootDNSServers.

j. Almacenamiento de las zonas en Active Directory y registros dinmicos de los controladores de


dominioWindows2000,WindowsServer2003yWindowsServer2008
Por defecto, el servicio "Inicio de sesin de red" en ingls "Net Logon", registra los registros de recursos DNS del
localizadordecontroladordedominioparalaparticipacindedirectoriodeaplicacionesalojadaenuncontroladorde
dominio, de la misma manera que registra los registros de recursos de un controlador de dominio para el dominio
alojadoenuncontroladordedominio.
Enlamedidaenqueesosregistrosderecursosresultancrticosparalasreplicaciones ActiveDirectoryascomopara
lalocalizacindeloscontroladoresdedominioporpartedeloscontroladoresclientes,elservicio"Iniciodesesinde
red"deuncontroladordedominioinscribecada24horas,losregistrosDNSnecesarios.Encasodeausenciadelos
registrosodeincoherenciasenellos,tambinsepuedeforzarlareinscripcindelosregistrosreiniciandoelservicio
"Iniciodesesindered".
Estaoperacinpuederealizarseconayudadelossiguientescomandos:

netstop"netlogon"

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 15 -

netstart"netlogon"

6.Protegerlasactualizacionesdinmicas
LaproteccindelaszonasDNSesunaspectoespecialmenteimportanteparagarantizarlaintegridaddelosregistros.
Estaobservacinesvlida,claroest,paratodotipoderegistros,sabiendoqueprestaremosespecialatencinalos
datosDNSnecesariosparagarantizarelfuncionamientocorrectodeldirectorioActiveDirectory.
Los servidores DNS que funcionan con Windows 2000, Windows Server 2003 y Windows Server 2008 permiten
declarar la manera de administrar la seguridad de las zonas, independientemente de ellas. De hecho, estos
parmetros tendrn forzosamente implicaciones en la seguridad de las zonas DNS estndar o directamente
integradasenActiveDirectory.

a.Configurarlasactualizacionesdinmicasseguras
Pordefecto,elparmetroActualizacionesdinmicasnoestconfiguradodeformapredeterminadaparaactualizar
lasactualizacionesdinmicas.EselparmetromsseguroyaquehaceimposiblelaactualizacindelaszonasDNS.

DatosregistradosenActiveDirectoryyactualizacionesdinmicasseguras
Elproblemaesqueestaopcinleimpedirbeneficiarsedelasnumerosasventajasqueofrecenlasactualizaciones
dinmicas.EntreesasventajaspodemoscitarlaposibilidaddedisponerderegistrosDNSactualizadosencualquier
circunstanciayunacargavinculadaalaadministracinderegistrosprcticamenteinexistente.
Parabeneficiarsedelainscripcinautomticacontotalseguridad,convienehacerquelosordenadoresactualicenlos
datosDNSdemanerasegura.EstopodrconseguirsealmacenandolaszonasDNSeneldirectorioActiveDirectoryy
usandolafuncionalidaddeactualizacindinmicaprotegida.
Esta opcin permite llevar a cabo actualizaciones dinmicas en la zona slo a los ordenadores autenticados y
pertenecientesalmismodominioActiveDirectoryqueelservidorDNS.
Tambin es posible gestionar especficamente la lista de controles de acceso en las zonas DNS almacenadas en
ActiveDirectory.EstospermisospermitencontrolarquusuariosygruposdeActiveDirectoryestnhabilitadospara
manipularlaszonasDNS.

- 16 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

GruposespecialesypermisospredeterminadosdeunazonaprotegidaintegradaenActiveDirectory
Por defecto, slo las entidades autenticadas pueden crear registros y actualizarlos posteriormente en caso de
cambio. La siguiente tabla enumera las confianzas definidas por defecto para las zonas DNS protegidas,
almacenadaseneldirectorioActiveDirectory.
DerechossobrelasZonas

ImplementacinWindows

Administradores

Autorizas:Leer,Escribir,Creartodoslosobjetoshijo,permisos
especiales

Usuariosautentificados

Autorizar:Creartodoslosobjetossecundarios

Propietariocreador

Permisosespeciales

DNSAdmins

Autorizar:Escrituracompleta,Leer,Escribir,Creartodoslosobjetos
secundarios,Suprimirlosobjetossecundarios,Permisosespeciales

Admin.deldominio

Autorizar:Escrituracompleta,Leer,Escribir,Creartodoslosobjetos
secundarios,Suprimirlosobjetossecundarios,Permisosespeciales

Administradoresdeempresas

Autorizar:Escrituracompleta,Leer,Escribir,Creartodoslosobjetos
secundarios,Suprimirlosobjetossecundarios,Permisosespeciales

ENTERPRISEDOMAINCONTROLLERS

Autorizar:Escrituracompleta,Leer,Escribir,Creartodoslosobjetos
secundarios,Suprimirlosobjetossecundarios,Permisosespeciales

Todos

Autorizar:Leer,Permisosespeciales

AccesocompatiblepreWindows2000

Autorizar:Permisosespeciales

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 17 -

SYSTEM

Autorizar:Escrituracompleta,Leer,Escribir,Creartodoslosobjetos
secundarios,Suprimirlosobjetossecundarios,Permisosespeciales

Algunos grupos disponen de permisos especiales directamente heredados del propio objeto servidor DNS. Estos
permisossonnecesariosparagarantizarunfuncionamientocorrectoyenlasmejorescondicionesdeseguridaddela
zona.Enresumen,losderechossobrelaszonasprotegidasdeDNSpuedenclasificarsedelsiguientemodo:

El grupo Todos dispone slo de derecho de lectura. Este derecho permite obtener slo acceso en modo
lecturaalcontenidodelazona.
Losgruposdecarcteradministrativopermitenadministrarlasdiferentesfuncionesdisponiblesenunobjeto
detipozonaDNS.
Elgrupo Usuariosautentificados permite realizar controles de acceso que permitirn o no la actualizacin
dinmicadelosregistrosderecursosDNS.

Estaslistasdecontrolesdeaccesopermitendisfrutardeunaltoniveldeseguridad.Dehecho,Microsoftrecomienda
manipularlospermisosconprecaucin.

7.ActualizacionessegurasyregistrosDNSrealizadosatravsdeDHCP
LosservidoresDHCPqueejecutanWindows2000,WindowsServer2003oWindowsServer 2008,puedenparticipar
enlasactualizacionesdinmicasdentrodelespaciodenombresDNSdecadaunodelosclientesencargadosdelas
operacionesdeactualizacionesdinmicas.
Dehecho,seplanteancuestionestalescomoloscontrolesdeaccesoalaszonasDNSylapropiedaddelosregistros
deesaszonas.
A continuacin describimos el funcionamiento del proceso de actualizacin de las zonas DNS por parte del servicio
servidorDHCP.Elprimerproblemaqueseplanteaesque,evidentemente,esprecisoqueelservidorDHCPconozcael
nombrecompletodelordenadorclienteDHCP.Porlotanto,paraqueseacapazdeinscribirydeactualizarlosregistros
derecursospuntero(PTR)yhost(A)paralacuentadesusclientesDHCP,sernecesarioconducirlainformacinde
losclienteshastaelservidorDHCP.
La opcin de nombre de dominio completo del cliente, llamada opcin 81, permite al cliente suministrar al servidor
DHCPsunombrededominiocompleto(FQDN,FullyQualifiedDomainName).Opcionalmente,elclientepodrespecificar
alservidorDHCPlaformaenquedeseaqueelservidortratelaoperacin.
As,cuandounclienteDHCPdetipoWindows 2000,Windows XPoWindowsVistaemitelaopcin81,elservidorDHCP
reaccionaydeterminalaoperacinquedeberrealizaronoprocediendocomosigue:

ElservidorDHCPactualizalosregistrosAyPTRDNSsilosclienteslosolicitanconayudadelaopcin81.

ParmetrosDNSdinmicosdeunclienteWindows2000oWindowsXP
LafiguradearribamuestraquelaestacindetrabajoefectuarsuregistroderecursodetipoAenelDNSusandosu
sufijoprincipal.Amododerecordatoriodiremosqueelsufijoprincipalderivadirectamentedelapertenenciaaldominio
ypuedecompletarsetambinconunsufijoDNSadicionalencadaconexindered:

ElservidorDHCPactualizalosregistrosAyPTRDNS,losoliciteonoelcliente.

Enestecaso,elservidorDNStomarlainiciativadeprocederalosregistrosporcuentadelosclientessabiendoque
lasoperacionesnecesariasestarnenfuncindelanaturalezadelosclientesDHCP.
El primer ejemplo se refiere al principio de las actualizaciones DHCP/DNS para los clientes DHCP modernos que
funcionan con Windows 2000, Windows XP o Windows Vista. En estos casos se llevan a cabo las siguientes
operaciones:

- 18 -

El cliente enva una peticin DHCP (DHCPREQUEST) al servidor, incluyendo en ella la opcin DHCP 81. Por
defecto, el cliente pide que el servidor DHCP inscriba el registro DNS de tipo PTR, mientras que el cliente
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

inscribelmismosupropioregistroDNSdetipoA.

El servidor enva al cliente un acuse de recibo DHCP (DHCPACK) atribuyendo un contrato de direccin IP e
incluyendolaopcinDHCP81.LosparmetrospredeterminadosdelservidorDHCP(Actualizardinmicamente
registrosDNSAyPTRslosilosclientesDHCPlosolicitan),utilizanlaopcin81queindicaalclientequeel
servidorDHCPasumirlaoperacinrelativaalregistroDNSdetipoPTRyqueelclienteinscribirelregistro
DNSdetipoA.

Lasoperacionesdeinscripcinrealizadasporelclienteporunlado,yporelservidorDHCPporotro,sellevan
acabodeformacompletamenteasncrona.As,elclienteinscribesuregistrodetipoAdeformaseparadadel
servidorDHCP,queseocupadelregistrodetipoPTR.
ElsegundoejemploataealprincipiodelasactualizacionesDHCP/DNSparalosclientesDHCPantiguosquefuncionan
con Windows NT 4.0 y versiones anteriores. Estas versiones de clientes DHCP/DNS no se ocupan directamente del
proceso de actualizacin dinmica DNS. De hecho, no es posible imaginar ningn tipo de comunicacin entre los
clientesyelservidorDNS.Paraesosclientesserealizanlasoperacionesdetalladasacontinuacin:

ElclienteDHCPenvaunapeticinDHCP(DHCPREQUEST)alservidor.Lapeticinnoincluyelaopcin81DHCP,
yaquelosclientesantiguosnolasoportan.
ElservidorDHCPenvaalclienteunacusedereciboDHCP(DHCPACK),asignandouncontratodedireccinIP,
sinlaopcinDHCP81.
ElservidorDHCPenvaalservidorDNSlasactualizacionesdinmicasdelregistroderecursosdehosttipoA.El
servidorenvatambinactualizacionesderegistrosderecursodetipopuntero(PTR).

ValorespredeterminadosdelaconfiguracindelasactualizacionesautomticasderegistrosdetipoAyPTRazonas
DNSdinmicasparaunmbitoDHCP
LosparmetrosdelafiguradearribaestndisponiblesglobalmenteenelpropioobjetoservidorDHCPytambinde
formaindependiente,encadaextensinDHCP.Elcomportamientodelosregistrosdinmicospuedeconfigurarsepor
tantodeformamuyprecisa.
AhoraquesabemosculessonlasoperacionesrealizadasporlosclientesDNSylosservidoresDHCPparaactualizar
los registros de recursos DNS, debemos considerar los problemas de las actualizaciones realizadas por poderes a
travsdelosservidoresDHCPWindows2000,WindowsServer2003oWindowsServer2008.
De hecho, si un servidor DHCP realiza la primera operacin de actualizacin dinmica para un registro de recursos
determinado,elservidorDHCPseconvierteenelpropietariodelregistro.Dehechoeselnicoquepuedemantenerel
registro.
Evidentemente,estopuedeplantearproblemasenalgunoscasos.Elcasomstradicionalserefierealaposibilidad
que tendra un servidor DHCP de reserva de poder mantener los registros en caso de fallo del servidor DHCP
predeterminado.Comoacabamosdever,sielprimerservidorDHCPeselnicopropietariodelosregistros,estclaro
queeselnicoquepuedemodificarlos.
Otro efecto secundario se refiere a la puesta al da de clientes antiguos a Windows 2000, Windows XP o Windows
Vista.SabemosqueparagarantizarquesedasoportealasestacionesWindows NT,sernecesarioqueelservidor

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 19 -

DHCPrealicelaactualizacinenmododinmicoaunservidorDNS.Porconsiguiente,tambinserelnicoendisponer
delosderechosnecesariossobrelosregistrosyharimposiblecualquieractualizacinposterior,sobretododespus
dequelosordenadoresWindowsNThayansidoactualizadosaWindows XPoWindowsVista.

a.UsodelgrupoespecialDNSUpdateProxypararealizarlasactualizacionesdinmicasdelaszonasDNS
seguras
Para que uno o varios servidores DHCP sean autorizados a actualizar registros DNS contenidos en una zona
protegidaparalaquenodisponendelosderechosnecesarios,esposibleagregarlosservidoresquesdisponende
dichosderechosalgrupoDNSUpdateProxy.
Enesecaso,elobjetosiguientequeinscribaelmismoregistrodenombresenlazonaDNSseconvertirenelnuevo
propietariodelregistro.
Observe que los objetos creados por los miembros del grupo DnsUpdate Proxy no estn protegidos por
defecto. As, el primer usuario no miembro del grupo DnsUpdateProxy que realice una operacin de
modificacinenunodeesosregistrosseconvertirensunuevopropietario.As,cuandolosclientesWindowsNT
oWindows9xseactualicenaunaversinposterior,podrnapropiarsedesupropioregistroenelservidorDNS.El
grupoDNSUpdateProxypermitepuesresolverlosproblemasanteriormentepresentados.

b.ProteccindelosregistrosalusarelgrupoDnsUpdateProxy
El hecho de que los registros DNS creados por los miembros del grupo DnsUpdateProxy no estn protegidos los
exponeatodotipodeataques.Adems,estegrupoesdifcilmenteutilizabledeformaeficazcuandolasoperaciones
de registro se refieren a zonas integradas en Active Directory que funcionan en modo "Solo actualizaciones
dinmicas".
Dehecho,habrqueagregarobligatoriamentelospermisosadecuadosparaautorizarlaproteccindelosregistros
creadosporlosmiembrosdelgrupo.
ParaprotegerlosregistrosnosegurosoautorizaralosmiembrosdelgrupoDnsUpdateProxyainscribirregistrosen
zonas que slo autorizan actualizaciones dinmicas seguras, puede crear una cuenta de usuario especial y
configurar los servidores DHCP para que efecten las actualizaciones dinmicas DNS basndose en esa
identificacin.
En funcin de los requisitos de seguridad establecidos tambin podr usar una o varias cuentas de usuario para
controlarlosaccesosaunoovariosservidoresDHCP.
La cuenta de usuario especfica es una cuenta cuyo nico objetivo es proporcionar a los servidores DHCP la
informacindeautenticacinmnimanecesariapararealizarconxitoactualizacionesDNSenmododinmico.Alcrear
una cuenta de usuario reservada a este uso y configurar los servidores DHCP con ella, los servidores DHCP
proporcionarn esa informacin al registrar nombres por cuenta de los clientes DHCP. Una vez realizada la
operacin, el elemento siguiente que inscriba el mismo registro de nombre en la zona DNS se convertir, como
hemosexplicadomsarriba,enelpropietariodelregistro.
A propsito de la ubicacin de la cuenta de identificacin DHCP: la cuenta de usuario usada para la
autenticacindelservidorDHCPdebecrearseenelbosqueenelqueresideelservidorDNSprincipaldela
zonaquesedeseaactualizar.Lacuentapuedeubicarsetambinenotrobosque,acondicindequeposeauna
confianzadebosqueestablecidaconelbosquequecontieneelservidorDNSprincipaldelazonaquesedesea
actualizar.Observequenopuedetratarsedeundominioautorizadosituadoenotrobosque,sinonicamentede
un dominio de un bosque autorizado. Para ello es preciso que los dos bosques funcionen en modo "Bosque
WindowsServer2003"oposterior.

c.ProteccindelaszonasDNSypoderdelservicioservidorDHCPsobreloscontroladoresdedominio
ActiveDirectory
CuandoelservicioServidorDHCPseinstalaenuncontroladordedominio,elservicioservidorDHCPposeeyutilizala
autoridaddelcontroladordedominioparaactualizaroeliminarcualquierregistroDNSinscritoenunazonaintegrada
enActiveDirectory.ParaimpedirqueelservidorDHCPhagaunusoincorrectooilcitodelospoderesdelcontrolador
dedominio,puedeconfigurarelservidorDHCPparaquesteseautentiquedeformaespecfica.

- 20 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

CredencialesdelservidorDHCPWindowsServer2003
Observe que esta opcin slo est disponible en los servidores DHCP que funcionan con Windows Server 2003 o
WindowsServer2008aniveldelobjetoservidorDHCP.Porconsiguiente,puedeserunabuenaraznparajustificar
laactualizacindeservidoresDHCPWindows 2000aWindowsServer2003oWindowsServer2008esperandoque
todaslasmquinasWindowsNTyWindows9xseactualicenaWindowsXPoWindowsVista.
Este importante problema afecta a todos los registros, incluidos los registros inscritos de forma segura por
ordenadorescontroladoresdedominioquefuncionanconWindows2000,WindowsServer 2003oWindowsServer
2008.LaposibilidaddelosservidoresDHCPdemanipularaqulloquenodeberantenerderechoamanipularesun
temaespecialmentepreocupantequepuedesolucionarsededosmaneras:

La recomendacin ms evidente es evitar instalar el servicio servidor DHCP en un controlador de dominio


Windows2000,WindowsServer2003oWindowsServer 2008.

ElartculoQ255134delabasededatosdeconocimientoMicrosoftTechnettitulado"InstallingDynamicHost
ConfigurationProtocol(DHCP)andDomainNameSystem(DNS)onaDomainController"tieneencuentaeste
problema.

En caso de que no fuera posible aplicar esta primera recomendacin, siempre se podr implementar la
autenticacin del servidor DHCP disponible con los servidores Windows Server 2003 y los servidores
WindowsServer2008.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 21 -

DeclaracindelascredencialesenelservidorDHCPWindowsServer
Porsupuesto,lasolucinidealconsisteenacelerarelprocesodemigracindelosantiguosordenadoresaWindows
2000,WindowsXPoWindowsVista.Esteltimaalternativaeslamejorrecomendacinquepodemoshacer.
Efectivamente,enesoscasos,cadaordenadorseautenticaconayudadelprotocoloKerberosV5parapodercreary
mantenersupropioregistroenlosucesivo.LosservidoresDHCPnoseimplicanpues,porcuentadelcliente.

d.ComandoNetshydeclaracindelaautenticacindelservidorDHCP
EsposibleconfigurarlosservidoresDHCPconlainformacindelacuentadeidentificacinquedeseautilizargracias
a la consola MMC de gestin del servicio DHCP. En caso de que desee automatizar la operacin puede usar el
comando de contexto Netsh. Este comando puede manipularse en modo shell, tal y como especificamos a
continuacin:

Paraentrarenelshelldered,teclee:netsh

ParaentrarencontextoDHCP,teclee:dhcp

Paraaccederasuservidorlocal,teclee:server

Para declarar los parmetros de autenticacin del servidor DHCP, teclee el comando: set dnscredentials
NombreUsuarioNombreDominioContrasea

Encasodequefueranecesariomodificarladeclaracinenmuchosservidores,tambinesposibleusarlapasando
todoslosparmetrosnecesariosenlamismalneadeinstruccionesoatravsdeunarchivodescript.

DeclaracinconnetshdelacuentaDHCPAccessdeldominioCorp2003paraelservidorDHCPencurso
Elcarcter*permitedeclararlacontraseaalejecutarelcomando.Sielscriptcontuvieselacontrasea,compruebe
queelscriptestcontenidoenundirectorioencriptado.
ParaobtenermsinformacinsobrelaconfiguracindelainformacindeidentificacinconlaconsolaDHCP,consulte
elKitderecursosTcnicosdeWindowsServer 2003.

- 22 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

8.ConflictosdegestindelasconfianzasenlaszonasDNS
ElservicioservidorDNSejecutadoenuncontroladordedominioconzonasalmacenadasenActiveDirectoryalmacena
susdatosdezonabasndoseenlosobjetossuministradosporelpropiodirectorio,esdecir,losobjetosyatributos
ActiveDirectory.ConfigurarlalistadeconfianzasdeaccesosobrelosobjetosActiveDirectorydetipoDNSvieneaser,
porlotanto,configurarlalistadederechossobrelaszonasDNSusandolaconsoladeadministracindelDNS.
EnlamedidaenqueestosdatosespecficosdelDNSfinalmentenosonmsquedatosActiveDirectory,seraprudente
hacerquelosadministradoresdelaseguridaddelosobjetosActiveDirectoryylosadministradoresdelaseguridadde
los objetos de tipo DNS estn en contacto, con el fin de evitar cualquier error de configuracin o de aplicacin de
parmetrosdeseguridadcontradictorios.
AcontinuacindescribimoslosobjetosyatributosActiveDirectoryusadosporlosdatosdelaszonasDNS:

El elemento DnsZone es un objeto de tipo contenedor creado cuando una zona se almacena en Active
Directory.
ElelementoDnsNodeesunobjetodetiponodousadoparamapearyasociarunnombredentrodelazonaa
datosderecursos.
El elemento DnsRecord es un atributo de valores mltiples de un objeto de tipo dnsNode. Se utiliza para
almacenarregistrosderecursosasociadosalobjetodenodoconnombre.
ElelementoDnsPropertyesunatributodevaloresmltiplesdeunobjetodnsZoneusadoparaalmacenarla
informacindeconfiguracindelazona.

ParaobtenermsinformacinsobrelasclasesyatributosdeobjetosdeActiveDirectory,consulteelsitiodeMicrosoft
MSDN en la direccin http://msdn.microsoft.com y busque la informacin que describe el contenido del esquema del
directorioActiveDirectory.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 23 -

IntegracindelosservidoresDNSWindowsconelservidorexistente
Comoconsecuencia,lasfamiliasdesistemasoperativosderedWindows 2000,WindowsServer2003yWindowsServer
2008disponendeunservicioservidorDNSqueinteroperatotalmenteconlosdemsservidoresDNSdetipoBIND.Los
servidoresDNSqueejecutanWindowsServer 2003soncompatiblesconlamayoradeespecificacionesRFC(Requestfor
Comments) usadas para definir la implementacin y el buen funcionamiento de los servicios DNS. Esto ofrece
importantesventajasparausarservidoresDNSenentornosmixtosoheterogneos.

1. A propsito de los RFC soportados por el servicio DNS de Windows Server 2003 y
WindowsServer2008
Los documentos RFC (Request for Comments) son una serie de informes, proposiciones y normas de protocolos en
procesodeevolucinusadosporlacomunidaddeInternet.LasespecificacionesdelosserviciosDNS(DomainName
System)sebasanenRFCaprobadosypublicadosporelIETF(InternetEngineeringTaskForce)enlosqueparticipan
tambinotrosgruposdetrabajo.
Los RFC que mostramos a continuacin contienen las especificaciones usadas para concebir e implementar los
serviciosServidoryClienteDNSenunentornoWindowsServer 2003.
RFC

Ttulo

1034

DomainNamesConceptsandFacilities

1035

DomainNamesImplementationandSpecification

1123

RequirementsforInternetHostsApplicationandSupport

1886

DNSExtensionstoSupportIPVersion6

1995

IncrementalZoneTransferinDNS

1996

AMechanismforPromptNotificationofZoneChanges(DNSNOTIFY)

2136

DynamicUpdatesintheDomainNameSystem(DNSUPDATE)

2181

ClarificationstotheDNSspecification

2308

NegativeCachingofDNSQueries(DNSNCACHE)

2535

DomainNameSystemSecurityExtensions(DNSSEC)

2671

ExtensionMechanismsforDNS(EDNS0)

2782

ADNSRRforspecifyingthelocationofservices(DNSSRV)

2.ApropsitodelosRFC1034y1035
EstosdosRFCdescribenelprotocoloestndaroriginalDNSparadarsoportealosserviciosdenombresdedominioen
unentornoTCP/IP.Estainformacinexplicalosprotocolosdemaneradetallada,poniendoderelievelasideastcnicas
subyacentesusadasenlamayoradeimplementacionesDNS.
Tambin podr buscar en la Web los documentos especificados a continuacin. Esos documentos contienen las
especificacionesusadasparaconcebireimplementarlosserviciosServidoryClienteDNS:
Nombredelfichero(en
ingls)

Ttulo

Draftskwanutf8dns02.txt UsingtheUTF8CharacterSetintheDomainName
System

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Draftietfdhcdhcpdns
08.txt

InteractionbetweenDHCPandDNS

Draftietfdnsindtsig11.txt

SecretKeyTransactionSignaturesforDNS(TSIG)

Draftietfdnsindtkey00.txt SecretKeyEstablishmentforDNS(TKEYRR)
Draftskwangsstsig04.txt

GSSAlgorithmforTSIG(GSSTSIG)

afsaa0069.000.doc

ATMNameSystemSpecificationversion1.0

3.ConsultadelosRFCenlaWeb
PodrobtenerelconjuntodelosRFCapartirdelsitioWebRFCEditor(eningls).LosRFCestnordenadosenfuncin
delossiguientescriterios:normasdeInternetaprobadas,normasdeInternetpropuestas(proposicionesencursode
examen), mtodos aconsejados para Internet o documentos de tipo FYI (For Your Information). Tambin encontrar
otros documentos de asistencia "online". Esos documentos proponen nuevas especificaciones an en el estadio de
proposiciones.Dehecho,losdocumentosnoposeennmeroRFC.
http://www.rfceditor.org/

4.InteroperabilidaddelosserviciosDNSdeWindowsServer2003y2008
EnlamedidaenqueInternetdescansantegramenteenelsistemadedenominacinyderesolucindenombresDNS
y que el directorio Active Directory lo usa tambin de forma natural y sofisticada, est claro que no pueden existir
grandes incompatibilidades entre el espacio privado de dominios Active Directory y el espacio pblico Internet para
unaempresadeterminada.
Lasprincipalesventajasdeestainteroperabilidadsonlassiguientes:

InteroperabilidadcompletaconotrosservidoresDNSquerespetanlosRFCenmateriadeserviciosdenombre
DNSyviceversa.
UsodeservidoresDNSWindows2000,WindowsServer2003oWindowsServer 2008enInternet.

ParaprobarlainteroperabilidaddelosdiferentesservidoresDNSentres,Microsofthasometidoapruebaelservicio
Servidor y Cliente DNS de Windows Server 2003 (y Windows 2000) con las implementaciones siguientes de BIND
(BerkeleyInternetNameDomain):

BIND4.9.7

BIND8.1.2yBIND8.2

BIND9.1.0.

Presentamos seguidamente los posibles problemas de compatibilidad y configuracin vinculados al uso del servicio
DNSdeWindowsServer2003enentornosparticulares,oconservidoresDNSenInternet.

5.ProblemasdecompatibilidadybsquedasdirectaeindirectaWINS
Desde NT 4.0, el servicio servidor DNS permite transmitir peticiones de resolucin no satisfechas hacia un servidor
WINS. Esta operacin de bsqueda complementaria, llamada "WINS Forwarding", es asumida por las zonas de
bsquedadirectaeindirectaypuedeactivarseonoencadazona.
EsimportanteapuntarquelaactivacindelasbsquedasWINSenunazonaDNScrearunregistroderecursode
tipo WINS en la zona DNS. De hecho, esta opcin no deber usarse si la zona debe ser replicada en servidores
dotadosdeotrasimplementacionesDNSquenoreconozcanlosregistrosderecursosWINS.

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

6. Especificidad del DNS de Windows 2000 Server, Windows Server 2003 y Windows
Server2008eintegracindinmicaenlosservidoresDHCP
En el DNS Windows Server 2003 y Windows Server 2008, el servicio DHCP ofrece el soporte predeterminado del
registroyactualizacindelainformacinparalosclientesDHCPheredadosenlaszonasDNS.Losclientesheredados
incluyen generalmente otros ordenadores cliente Microsoft TCP/IP anteriores a Windows 2000. La integracin entre
DNS y DHCP proporcionada por Windows Server 2003 y Windows Server 2008 permite al cliente DHCP, incapaz de
actualizardeformadinmicalosregistrosderecursosDNS,disponerdeinformacionesactualizadasenlaszonasde
bsquedadirectaeindirectaDNSatravsdelservidorDHCP.
LaintegracindinmicaenelservicioDHCPsloestdisponibleenlosservidoresDNSqueejecutanWindows
2000 Server, Windows Server 2003 y Windows Server 2008 y no en los servidores DHCP NT 4.0 o en
versionesanteriores.

7.Autorizacionesdelastransferenciasdezona
Pordefecto,losaccesosalaszonasestnprotegidos.As,unservidorDNSWindowsServer 2003oWindowsServer
2008 slo autoriza las transferencias de zona a los servidores DNS especificados como servidores de nombres
(registrosdetipoNS)enlapestaaServidoresdenombres.Acontinuacinlastransferenciasdebernautorizarseen
lapestaaTransferenciasdezona.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Introduccin
LosprincipaleselementosimplicadosenunainfraestructuradeserviciosdistribuidosydeserviciosdeseguridadActive
DirectorynecesitanunaconfiguracindeserviciosDNSapropiada.
Conunaconfiguracinefectuadadeacuerdoconlasbuenasprcticas,losordenadoresconWindows2000,Windows
XP,WindowsVistaounaversinposteriorserncapacesdeinterrogaralsistemaderesolucinDNSparalocalizara
los ordenadores que desempean el papel de controladores de dominio dentro de la infraestructura de servicios
distribuidosActiveDirectory.
Estacircunstanciasignificatambinque,porelcontrario,eldirectorioActiveDirectorynopodrfuncionarnormalmente
niofrecerconvenientementesusserviciossinodisponedeunaconfiguracinDNSadecuada.
Los mtodos cambian por completo. Efectivamente, en los entornos de dominio Windows NT, basados en la
interfaz de programacin y los nombres NetBIOS, el dominio registra su nombre en el cdigo de servicio
NetBIOS [1C]. Este registro de grupo es usado por los clientes Windows 9x, Windows ME y Windows NT para
localizarloscontroladoresdedominioWindows NT.Laentradapuedecontenerveinticincocontroladoresdedominios
NT a travs de sus direcciones IP respectivas y se refiere tambin a los controladores de dominio Active Directory
porquestossoncompatiblesconNTconrespectoalosantiguossistemasoperativos.Porconsiguiente,elregistro
de grupo [1C] podr contener controladores de dominio que funcionen tanto con Windows NT como con Windows
2000Server,WindowsServer2003oWindowsServer2008.ObservequepuedevisualizaresteregistroNetBIOSen
unservidorWindowsServer2003conlaayudadelcomandonbtstatn.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Servicio de Localizacin DNS y seleccin de los controladores de


dominio
ElprocesodeiniciodesesinintegradoenlosordenadoresconWindows2000,WindowsXPoWindowsVistaseutiliza
paralocalizarelcontroladordedominiomscercanoalordenador.
Este servicio de sistema llamado Inicio de sesin de red, "Net Logon" en ingls, funciona de idntica forma en
ordenadores Windows 9x y Windows NT equipados con el cliente Active Directory. Observe que en caso de que los
ordenadores Windows 9x o Windows NT no dispusieran del programa "Client Active Directory" no usaran los
mecanismos de localizacin basados en DNS, sino el antiguo sistema de seleccin basado en la interfaz NetBIOS, el
cdigodeservicio[1C]yelservicioderesolucinWINSWindowsInternetNamingSystem.
NetBIOSylosregistrosdedominio[1C]y[1D]:convienenoconfundirelregistrodenombrededominioNetBIOS[1C]
con el registro de nombre de dominio [1D]. En efecto, el cdigo [1D] est dirigido al buen funcionamiento de las
funciones de explotacin de red. Se registra para los exploradores principales. A modo de recordatorio diremos que
existeunexploradorprincipal,MasterBrowser,porsubredTCP/IP.Losexploradoresdereserva,BackupBrowsers,usan
este nombre para comunicarse con el explorador principal recuperando la lista de los servidores disponibles de este
explorador principal. Adems, observe que los servidores WINS han sido concebidos para devolver una respuesta de
registropositivaparaelnombrenombre_dominio[1D]aunqueelservidorWINSnoregistredichonombreensubasede
datos.Laconsecuenciadeestoesquesefuerzaunapeticindetipodifusinporpartedelcliente.ComoelnombreD
no se ha registrado en la base WINS, si se pide al servidor WINS el nombre_dominio[1D], ste ltimo devuelve una
respuestanegativa.Dehecho,esarespuestanegativaforzaralclienteaenviarunmensajededifusinalasubred
local.
ApropsitodelservicioExploradordeordenadoresenlosservidoresWindowsServer2008:elregistroNetBIOS
<1D>esunregistroqueutilizanlasestacionesdetrabajoparaaccederalMasterBrowser,sabiendoqueno
existemsqueunMasterBrowserporsubredIP.ElregistroNetBIOS<1E>esunregistrodetipoNormalGroupque
losexploradoresdeordenadorespuedenresolveratravsdedifusinosobreelquepuedenestaralaescuchapara
participarenlaeleccindelamquinaMasterBrowser.EnlosservidoresWindowsServer2008,elservicioExplorador
deordenadoresestdesactivado.EsteservicionoesnecesarioenlamedidaenqueWindowsServer2009puede
utilizarparaladeteccinotromtodomsmodernonoNetBiosllamadoWSD(WebServiceDiscoveryprotocol).Para
desactivarelservicioExploradordeordenadoresnosenecesitaladeclaracindelosregistrosNetBIOS<1D>y<1E>.

Apropsitodelosmtodosdedeteccin :WindowsVistayWindowsServer2008disponendeunapiladered
totalmentereescrita.Integranumerosasmejorasenelmbitodeladeteccinderedydeladeteccindelas
ubicacionesdered.LadeteccinderedsehamejoradoenWindowsVistayWindowsServer2008atravsdelos
protocolosLLTD(LinkLayerTopologyDiscovery),FD(FunctionDiscovery)yWSD(WebServicesforDevices).
No es preciso declarar un controlador de dominio preferido para que un ordenador Windows 2000 o Windows XP
Professionalseacapazdeescoger"bien"uncontroladordedominio.Sidisponedeunaredextendidaydeseaquelos
ordenadoresclienteseleccionenuncontroladordedominiocercanoaellos,deberestructurarsuinfraestructurafsica
ActiveDirectorybasndoseenvariaszonasgeogrficas,conocidascomo"sitiosActiveDirectory".
El concepto de sitio Active Directory permite a los clientes Active Directory localizar la ubicacin de los servicios
buscador,yaloscontroladoresdominioreplicarmejorlainformacinquelesatae.Engeneral,lossitiosseestablecen
cuandoelloresultanecesario,esdecir,principalmentecuandovariaszonasgeogrficasestnunidasporvnculoslentos
decomunicacindered.
Observe que si, a pesar de tener una conexin rpida, desea disponer de una buena seleccin de
controladoresdedominio,debercrearsitiosActiveDirectory.
DelamismaformaqueuncontroladordedominioWindowsNTregistrasufuncinconayudadecdigosdeservicios
NetBIOS,loscontroladoresdedominioWindows 2000Server,WindowsServer2003yWindowsServer2008registran
tambinserviciosdetipoSRVbasndoseenlainfraestructurafsicaActiveDirectoryysurespectivositiodepertenencia.
LosserviciosDNS,disponiblesenloscontroladoresdedominio,jueganunpapelimportanteretornandoalosclientes
referencias que les permitirn seleccionar un controlador de dominio local que se utilizar para las autenticaciones
Kerberos y las bsquedas LDAP. Dado que todos los sitios Active Directory estn asociados a una o varias redes o
subredes IP, los controladores de dominio pueden usar fcilmente la direccin IP fuente de los ordenadores clientes
para determinar cul es el mejor sitio para dirigir sus bsquedas DNS. El escenario presentado a continuacin toma
comoejemploelcasodeunordenadorporttilusadoenunsitioquenoessusitiohabitual:
1.ElclienteobtieneunaconfiguracinTCP/IPvlidaapartirdeunservidorDHCP.Enesemomentoelordenadorcliente
utilizasuantiguositiodepertenenciay,dehecho,envapeticionesDNSparabuscaruncontroladordedominiodelsitio
antiguo.
El hecho de que el ordenador utilice el protocolo DHCP para obtener su configuracin IP no es una condicin
necesaria.Simplemente,elprotocoloDHCPseusahoyenmsdel80%deloscasosy,naturalmente,resultar

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

especialmenteinteresanteenelcasodeordenadoresporttiles.
2. El servidor DNS responde con los registros de recursos de tipo SRV. El ordenador cliente utiliza entonces estas
respuestasparadirigirunaseriede"pingLDP"aloscontroladoresdedominiodesuantiguositiodepertenencia.
3.ElprimercontroladordedominiosituadoenelantiguositiodepertenenciadelclientecomparaladireccinIPfuente
delclienteconlasuyayconstataqueelclienteseencuentraenunsitioActiveDirectorydiferente.Estaoperacines
muyfcilderealizarparaelcontroladorsolicitado,yaquetodoslossitiosgestionadossonconocidosytodaslasredesy
subredesIPestndeclaradasyasociadasrespectivamentealsitioActiveDirectoryadecuado.
4.Elcontroladorinformaentoncesalclientedequeyanoseencuentraenelsitioantiguoyletransmiteunareferencia
quelepermitesaberque,apartirdeesemomento,seencuentraenotrositio.
5. El cliente dirige entonces sus peticiones DNS a registros de tipo SRV para buscar un controlador de dominio
pertenecientealnuevositioconocido.
6.Seseleccionauncontroladordedominiodelnuevositiodepertenenciayrespondealcliente.Apartirdeentonces,el
clienteajustasuinformacindelocalizacinyconsideraelnuevositiocomosusitiodepertenencia.
Cuandoelusuariovuelvaasusitiodeorigeno,porquno,aotrositio,sedesarrollarnuevamenteelprocesoconel
findeactualizarlainformacindelocalizacindelordenadorcliente.
LosclientesActiveDirectoryWindows2000,WindowsXPProfessional,ylossistemasoperativosdelafamilia
Windows Server 2003 y Windows Server 2008 ocultan su informacin de sitio en el registro dotado de la
siguiente clave: HKLM \ System \ CurrentControlSet \ Services \ Netlogon \ Parameters, Valor: DynamicSiteName,
Dato:Declareelnombrecortodelcontroladordedominio,porejemplo,boosterparis,quehaautenticadoelcliente
enelsitio.
Elmtododebsquedadecontroladoresdedominioporpartedelosordenadoresclientespartedelprincipiodequese
conocentantolossitiosgeogrficoscomosusredesIPasociadas.Acontinuacin,sesuponequeelsitiodeberalojara
unoovarioscontroladoresdedominio.
UsodelosregistrosSRVyprocesodeseleccinrelacionadoconlabsquedadeservidoresdedirectorioLDAP
CuandounusuarioiniciaunaaccinqueprecisadeunabsquedaActiveDirectory,elclienteActiveDirectoryenvauna
peticin DNS sobre un registro de tipo SRV correspondiente a los servidores activos en el puerto LDAP TCP 389. La
primera peticin se dirige siempre al sitio Active Directory local del cliente en la medida en que el cliente haya
conseguido determinar su sitio de pertenencia con el mtodo explicado anteriormente. Est claro que la principal
ventajadeesteprincipioesevitareltrnsitoatravsdelaredextendida.
En cambio, si en el sitio del cliente no se encuentra ningn controlador disponible, entonces el cliente inicia, con
independenciadelsitiodepertenencia,unasolicitudderesolucinentodoslosregistrosSRV.
CoberturadelossitiosActiveDirectoryquenotienencontroladordedominioActiveDirectory
Los sitios sin controlador o con un controlador que no responde sern automticamente socorridos por la
infraestructura Active Directory a travs del KCC Knowledge Consistency Checker, y el ISTG Inter Site Topology
Generator.Dehecho,elprimercontroladordedominioinstaladoenunsitiodesempeaelpapeldeISTGytomaasu
cargolacreacindelosobjetosconexionesenotrossitios.ElISTGtambinsevigiladebidoasuimportantepapelenla
construccindelatopologadereplicaciny,portanto,delascomunicacionesentresitios.
Cada 30 minutos, el ISTG demostrar su existencia actualizando el atributo InterSiteTopologyGenerator del objeto
"NTDS Settings". Luego el atributo y su valor se replicarn y los controladores podrn verificar cada 60 minutos la
presenciacorrectadelISTGdecadaunodelossitios.Laoperacinconsistirenayudaralsitiohurfanoactualizando
laszonasDNSdelsitioconlosregistrosderecursosdecontroladoresdelsitioms"cercano".
De esta forma, los controladores del sitio A pueden ocuparse de las peticiones de autenticacin del sitio B cuando el
sitioBnodisponedealmenosuncontroladordedominiooperativo.

Explicaremosdetalladamenteestecomportamientomsadelante.

Compatibilidad entre ordenadores Cliente y dominios Windows 2000, Windows Server 2003 y Windows Server
2008
LosdominiosActiveDirectoryqueutilizancontroladoresdedominioWindowsServer 2003oWindows2000Serverson
compatiblesal100%contodoslostiposdeclientesWindows.Estacompatibilidadsedatambinconlossistemasque
usanlaversin3.0(osuperior)deSamba.
SambaesunconjuntodeserviciosyutilidadesquepermitealosordenadoresquefuncionanconLinux,Unix,
Apple u otros sistemas, conectarse y compartir recursos tales como archivos e impresoras. Las versiones
recientes de Samba pueden desempear asimismo el papel de controlador de dominio principal NT4, pero suelen

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

estar ms bien integradas dentro de un dominio como servidores miembro. Existen muchas configuraciones que
permitendarsoportealasconfiguracionesdescritasacontinuacin:losusuariosWindowspuedendisponercontoda
transparencia de archivos compartidos por ordenadores que funcionan con sistemas diferentes de Windows, como
puede ser Linux. Lo contrario puede darse tambin. Los usuarios de Windows pueden acceder con toda
transparencia a las impresoras compartidas por ordenadores que funcionan con sistemas diferentes de Windows,
comopuedeserLinux.Locontrariopuededarsetambin.

La ltima versin de Samba publicada en junio de 2010 es la versin 3.5.4. Las novedades de esta nueva
versinsepresentanbrevementeacontinuacin:laimplementacindelosprotocolosnecesariosparaActive
Directory (Kerberos y DNS), la eliminacin de nmbd que ahora se integra en smbd, la introduccin de una base de
datos tipo LDAP para el almacenamiento de datos permanentes, la integracin del centro de distribucin de claves
Kerberos(KDC)parasoportarlasconexionesActiveDirectory,lagestinbsicadelosObjetosdirectivasdegrupo,la
gestin de la consola MMC Usuarios y ordenadores Active Directory y la implementacin de Winbind (autenticacin
UnixenActiveDirectory).

SambaTeamReceivesMicrosoftProtocolDocs:El20dediciembrede2007,elorganismoPFIF(ProtocolFreedom
InformationFoundation),unaorganizacinsinnimodelucrocreadaporlaSoftwareFreedomLawCenter,firm
unacuerdoconMicrosoftCorp.conelfinderecibirladocumentacintcnicadelosprotocolosnecesariosparauna
totalinteroperabilidadentrelosservidoresMicrosoftWindowsServeryelsoftwarelibrecomoSamba.Estanoticiaes
estratgicaparaasegurarenelfuturounaperfectainteroperabilidadentrelossistemasWindowsylossistemasno
Windows.SepuedeconsultarenelsitiodeSambaenlasiguientedireccin:http://samba.org/samba/PFIF/

LosderechosdeaccesoseespecificanenfuncindelapertenenciaalosgruposalojadosenlamquinaLinuxy
viceversa.
La compatibilidad inversa es asimismo real. As, los ordenadores Windows Server 2003 o Windows XP Professional
puedenfuncionarentodoslosesquemasdeinfraestructuraqueconocemosdesdehaceaos.Porejemplolossistemas
puedenfuncionarendominiosWindowsNT,Windows2000oWindows2003ytambinengruposdetrabajo.
Slo las versiones Microsoft Windows XP Family Edition, Windows XP MediaCenter Edition o las ediciones
FamiliaresdeWindowsVista,nopuedensermiembrodeningndominio.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

EstructuraDNSeintegracineneldirectorioActiveDirectory
LalocalizacindelosserviciosActiveDirectoryporpartedelosclientesinteligentesdependedeladisponibilidaddela
zona. Por ese motivo Windows Server 2003 y Windows Server 2008 dispone de medios ms sofisticados para
garantizarunagrandisponibilidaddetodoslostiposdezonasy,enparticular,delazonaDNScorrespondienteala
razdelbosqueActiveDirectory.
Sabemos que el directorio Active Directory puede integrar zonas y registros de recursos (RR) como objetos del
directorio(objetosdnsZoneydnsNode).Enefecto,lainformacinDNSquedebeprotegersenopuedecontentarsecon
un simple almacenamiento de tipo archivo de texto. Este punto es especialmente importante en lo referente a la
proteccin de las zonas DNS dinmicas y, de hecho, se recomienda llegar a una integracin de las zonas dentro del
directorioActiveDirectory.
Las zonas DNS almacenadas en el directorio Active Directory se replican en los controladores de dominio Active
Directoryenfuncindediferentesmbitos.LosservidoresDNSquefuncionanconWindows2000Serverreplicansus
zonas usando la replicacin Active Directory dentro del mismo dominio. Esto significa que la zona se crea dentro del
contextodedenominacin(NC,NamingContext)deldominio,enelcontenedorSystemdeldominioactual.
ElusodeWindowsServer2003oWindowsServer2008permiteutilizarlasparticionesdeldirectoriodeaplicacionesy
as, poder almacenar cualquier zona DNS en mbitos de replicacin diferentes. A continuacin presentamos los
diferentesmbitosdereplicacin:

mbitosdereplicacindeunazonaconWindowsServer2003
ParatodoslosservidoresDNSenestebosque:
EstaopcinpermitealmacenarlazonaDNSenunaparticindeldirectoriodeaplicaciones.Lazonaserreplicadaen
todoslosservidoresDNSquefuncionanconcontroladoresdedominioWindowsServer2003oWindowsServer2008
entodoelbosque.

LaparticindeldirectoriodeaplicacionessecreaalinstalarelservicioservidorDNSenelprimercontroladorde
dominioWindowsServer2003delbosque.
ParatodoslosserviciosDNSenestedominio:
Esta opcin permite almacenar las zonas DNS en los servidores DNS que funcionan con controladores de dominio
WindowsServer2003oWindowsServer2008entodoeldominio.

Enelcasodeldominiorazdelbosque,laparticindeldirectoriodeaplicacionessecreaalinstalarelservicio
servidorDNSenelprimercontroladordedominioWindowsServer2003oWindowsServer2008delbosque.
Luegosecreaunanuevaparticindeldirectoriodeaplicacionesparacadanuevodominioestablecidoenelbosque
alinstalarelservicioservidorDNSenuncontroladordedominioWindowsServer2003oWindowsServer2008.
Paratodosloscontroladoresdedominioenestedominio(paracompatibilidadconWindows2000)
EsteopcinpermitealmacenarlaszonasDNSenlaparticindeldominioparacadadominiodelbosque.Enestecaso
laszonasDNSsereplicanentodosloscontroladoresdedominiodeldominio.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Observe que es la nica opcin de almacenamiento posible cuando se dispone de controladores de dominio
quefuncionanconWindows2000Server.
Paratodosloscontroladoresdedominioespecificadosenelmbitodeestaparticindedirectorio
EstaopcinpermitealmacenarlaszonasDNSenunaparticindeldirectoriodeaplicacionescreadapreviamente.Las
zonas DNS almacenadas en una particin del directorio de aplicaciones se replican en todos los servidores DNS que
funcionanconloscontroladoresdedominiocorrespondientesalaparticin.
Antes vimos que los registros de recursos usados por el servicio de localizacin principal para un dominio Active
Directorydeterminadosealmacenanenelsubdominio_msdcs.NombredeDominioDns.ConWindowsServer2003,al
crear el dominio raz del bosque, se implanta automticamente una zona DNS para el dominio _msdcs.
NombredeBosque en la particin del directorio de aplicaciones dedicada a las zonas DNS de tipo bosque. Estas
particiones disponen de un almacenamiento que se aplica a todo el alcance del bosque y se replican en todos los
controladores de dominio Windows Server 2003 o Windows Server 2008 del bosque que ejecuta el servicio DNS de
WindowsServer.
LoscontroladoresWindows2000ServernopuedenaccederalaszonasDNSalmacenadasenlasparticiones
deldirectoriodeaplicaciones.EstoeslgicoyaqueloscontroladoresWindows2000Serversloreconocenlas
particionesdeesquema,deconfiguracinydedominio.Dadoquelasparticionesdeldirectoriodeaplicacionesslo
sonreconocidasporWindowsServer2003yWindowsServer2008,uncontroladorWindows 2000Servernopuede
aceptarreplicarestecontextodedenominacin.

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

RegistrosDNS"Ubicacindeservicio"deloscontroladoresdedominio
Los clientes Active Directory usan exclusivamente el sistema de resolucin DNS para localizar a los controladores de
dominioActiveDirectory.Elclienteiniciaestaimportanteoperacinatravsdelaspeticionesderesolucinderegistro
derecursosdetipoSRV(ServiceLocatorResourceRecord)definidosenelRFC2782,sucesordelRFC 2052.
Estos registros se usan para localizar la ubicacin de los servicios correspondiente a los ordenadores, puertos y
protocolosbuscadosporelcliente.Entrelosservicioslocalizadosniquedecirtienequeencontraremoslosserviciosde
directorioLDAP,losserviciosdeautenticacinKerberosylosserviciosdecatlogoofrecidosporloscontroladoresde
dominiodetipocatlogoglobal.Laideaesqueloscontroladoresdedominioorganicenlosregistrosderecursosdetipo
SRV de manera estructurada para que los clientes Active Directory puedan localizar el controlador que suministra el
serviciobuscadodentrodeundominiooenunsitioActiveDirectorydeterminado.

1.EstructuradeacogidadelazonaDNSparalosregistrosderecursosdetipoSRV
La estructura DNS utilizada para alojar los registros necesarios para el servicio de localizacin de controladores de
dominioestbasadaenunajerarquadecarpetas(deberamosllamarlossubdominios).

LafiguramuestralaestructuradeloscuatrosubdominiostcnicosDNSenrelacinconundominioActiveDirectory
Tal y como presentamos a continuacin, los diferentes subdominios reagrupan los registros en funcin de la
naturalezadelasbsquedasquesedeseanrealizar:
_MSDCS
Subdominio que contiene un conjunto de registros de tipo SRV. Estos registros son funciones de estatuto de
controladores de dominio, del tipo de solicitudes y tambin de las funciones de catlogo global y controlador de
dominio primario. Los controladores de dominio y catlogos globales se reparten a continuacin por sitios. De esta
forma,losclientesActiveDirectorysoncapacesdelocalizarcasideformainstantnealosservicios"prximos"aellos.
_SITES
SubdominioquecontienelossitiosActiveDirectorydeclaradosenlainfraestructurafsicabasndoseenlassubredes
IPasociadas.Elhechodeenumerarloscontroladoresdedominioenfuncindesupertenenciaalossitiospermitea
losclientesActiveDirectorylocalizarfcilmenteloscontroladoresdedominioenfuncindelosserviciosdelosquese
ocupanydesuubicacin.EstemtodopermiteevitarmltiplesbsquedasLDAPatravsdeenlaceslentos.Observe
queloscontroladoresdispuestosenlossitiosusanelpuertoTCP389paralaspeticionesestndarLDAP,mientras
quelasmquinasdetipocatlogoglobalusanelpuerto TCP3268.
_TCP
Subdominio que contiene todos los controladores de dominio de la zona DNS. El hecho de reagrupar todos los
controladoresdedominioporprotocoloresultartilalosclientesquenoconsiganlocalizaruncontroladordisponible
en su sitio local. En esos casos, los clientes Active Directory seleccionarn un controlador de dominio en cualquier
ubicacindelared.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

_UDP
Subdominio que enumera los servicios Kerberos v5 disponibles en modo no conectado a travs del protocolo de
transporteUDP.LasoperacionesserealizandelamismamaneraqueconeltransporteTCP.As,lasoperacionesde
peticinticketsutilizanelpuertoUDP88,mientrasquelasoperacionesdecambiodecontraseausanelpuertoUDP
464.

a.ApropsitodelregistroderecursosDNSdetipoSRV
ElregistroderecursosdetipoSRV(ServiceLocatorResourceRecord)sedefinetalycomosedescribeenelRFC2782
ycontienelainformacinespecialqueapareceenlasiguientefigura:

RegistrodeSRVparaespecificarqueelservidorbooster2008.Corp2008.Corporate.netdesempealafuncinde
servidorKerberos(V5)enelpuertoTCP88
EnlasiguientetablapresentamoslosdiferentesparmetrosdeunregistroderecursosdetipoSRV.
Componentesdel
registroSRV
Servicio

Ejemplosdevalores

_gc
_kerberos

Comentarios

Identificaelservicioquesedesealocalizardentrodel
espaciodenombreDNS.

_ldap
Protocolo

_tcp

Declaracindelprotocolodetransporteautilizar.

_udp

- 2-

Nombre

Corporate.net

RepresentaelnombredeldominioDNSquecontiene
elregistro.

TTL

10minutos

Representaladuracindevidadelregistroen
segundos(600segundos)

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Clase

IN

Declaraeltipoderegistrocomoregistroestndarde
tipoDNSInternet.

Registroderecurso

SRV

Declaraeltipoderegistrocomoregistroderecurso
detipolocalizacindeservicios"SRV".

Prioridad

Identificalaprioridaddelregistro.Cuandoexisten
variosregistrosparaelmismoservicio,elcliente
seleccionaelregistroconelvalordeprioridadms
bajo.

Peso

100

Permitegestionarlasfuncionesdereparticinde
carga.SiexistenvariosregistrosdeSRVdeprioridad
similarparaelmismoservicio,losclientesseleccionan
elregistrooregistrosdemayorpeso.

Puerto

3268para_gc

Identificaelnmerodepuertoenelqueest
disponibleelserviciosolicitado.

88para_kerberos
389para_ldap
Target

Booster2003.Corporate.net

Representaelnombrecompletodelamquinaque
suministraelservicioidentificadoporelregistro.

Utilizacindecaracteres"underscore"
Constatar que el formato de los registros de recursos SRV recurre a menudo al carcter underscore (_).
Efectivamente,elRFC2782consideraelusodelcarcter (_)pararesolverproblemasocasionadosporeventuales
colisionesconnombressimilares.
En1996,RFC2052,en2000,RFC2782:lasprimerasimplementacionesdelservicioDNSparalocalizarlos
serviciosActiveDirectoryserealizaroninmediatamentedespusdelosprimerosbuildsBetadeNT5.0,enel
ao1997.MicrosoftseapoyenlasprimerasrecomendacionespublicadasenelRFC2052quedatande1996.
Fuebastantemstarde,enfebrerode2000,fechadelasalidaoficialdeWindows2000,cuandoelRFCpasdel
estatus de "Draft" al estatus de "Proposed Standard". Entonces fue objeto de un nuevo registro por parte del
IETF,conelnmero2782,ypasaremplazaralRFC2052.ElSr.LevonESIBOV,ProgramManagerenMicrosoft
Corp,participenesteRFC,esencialparalabsquedaylocalizacindeserviciosActiveDirectory.

Para saber ms acerca del contenido de estos RFC, consulte la pgina http://www.rfceditor.org. En
Internet,muchossitioscontienenlosRFC,peropocosdeellosestnactualizados.Esteesunsitiooficialde
InternetSociety.SuobjetivoesmantenerlosdocumentosRFCparalacomunidaddeInternet.
Msadelantedescribimoslosregistrosderecursosregistradosporloscontroladoresdedominio.Antesdepasara
detallarlos,recuerdequelosregistrosdeSRVydeAsonvitales.ElcomandoDNSLintresultarunaayudavaliosa
paraverificarlos.
Observe tambin que un controlador de dominio registra al menos quince registros de recursos, y veinte cuando
hacelasfuncionesdeCatlogoGlobal.
En caso de necesidad, consulte el archivo %SystemRoot%\system32\config\Netlogon.dns. Este fichero est
mantenido por cada controlador de dominio y se actualiza automticamente para reflejar la estructura fsica del
bosque.
MicrosoftrecomiendaquelosservidoresDNSconautoridadenlaszonastcnicasnecesariasparaelbuen
funcionamientodeldirectorioActiveDirectoryfuncionenconWindowsServer2003oWindowsServer2008.
Deestaforma,ActiveDirectorymantendrdinmicamentelaszonasconelmximodeseguridadysuprimiendo
porcompletolosposibleserroresdeadministracin.

b.RegistrosSRVinscritosenelservicio"Iniciodesesindered"
PararesponderalosproblemasdelocalizacindeunserviciodentrodeunainfraestructuraActiveDirectory,sern
necesariosmltiplesregistrosdetipoSRV.
Enumeramos a continuacin los registros DNS de tipo SRV correspondientes a los diferentes servicios Active
Directoryysumbitodeuso:
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

_ldap._tcp.NombredeDominio.
Permite a un cliente localizar un servidor LDAP en el dominio NombredeDominio. Observe que el servidor no es
necesariamenteuncontroladordedominio.Dehecho,elelementoimportanteesquesoportalasAPILDAP.Todos
loscontroladoresdedominioregistranesteregistro.
_ldap._tcp.NombredeSitio.y_sitios.NombredeDominio.
Permite a un cliente localizar un servidor LDAP en el dominio NombredeDominio y en el sitio NombredeSitio.
NombredeSitio corresponde al RDN (Relative Distinguished Name) del objeto sitio almacenado en la configuracin
ActiveDirectory.Todosloscontroladoresdedominioregistranesteregistro.
_ldap._tcp.dc._msdcs.NombredeDominio.
Permite a un cliente localizar un controlador de dominio (dc) del dominio NombredeDominio. Todos los
controladoresdedominioregistranesteregistro.
_ldap._tcp.NombredeSitio.y_sitios.dc._msdcs.NombredeDominio.
Permite a un cliente localizar un controlador de dominio en el dominio NombredeDominio y en el sitio
NombredeSitio.Todosloscontroladoresdedominioregistranesteregistro.
_ldap._tcp.pdc._msdcs.NombredeDominio.
PermiteaunclientelocalizarelservidorPDCEmulatoreneldominioNombrededominioquefuncionaenmodomixto.
SloelPDCEFSMO(FlexibleSingleMasterOperations)registraesteregistro.
_ldap._tcp.gc._msdcs.NombredeBosque.
Permiteaunclientelocalizaruncatlogoglobal(gc)paraelbosque.Sloloscontroladoresdedominioqueactan
comoGCregistranesteregistro.
_ldap._tcp.NombredeSitio.y_sitios.gc._msdcs.NombredeBosque.
Permite a un cliente localizar un catlogo global (gc) dentro del bosque. Slo los controladores de dominio que
actancomoGCregistranesteregistro.
_gc._tcp.NombredeBosque.
Permite a un cliente localizar un catlogo global (gc) en el dominio raz del bosque. Este servidor no es
necesariamenteuncontroladordedominio.BastaconqueelprotocoloLDAPestoperativoyqueelservidorest
operativoentantoqueGC.Otrasimplementacionesdeserviciosdedirectoriopuedenregistrartambinservidores
deregistroentantoqueGC.
_gc._tcp.NombredeSitio.y_sitios.NombredeBosque.
Permiteaunclientelocalizaruncatlogoglobal(gc)paraelbosqueenelsitioNombredeSitio.Elservidornotiene
porquseruncontroladordedominio.SlolosservidoresqueactancomoservidoresLDAPyGCregistraneste
registro.
_ldap._tcp.DomainGuid.ydomains._msdcs.NombredeBosque.
PermiteaunclientelocalizaruncontroladordedominioenundominioconayudadelGUID(GloballyUniqueIDentifier)
de este ltimo. El GUID es un valor de 128 bits generado automticamente durante la creacin del dominio y
raramenteutilizado.Dehecho,estainformacinsloseusacuandoelnombrededominiocambiaperoeldominio
razsiguesiendoconocido.Todosloscontroladoresdedominioregistranesteregistro.
_kerberos._tcp.NombredeDominio.
PermiteaunclientelocalizarunKDCKerberoseneldominioNombredeDominio.Elservidornotieneporquserun
controlador de dominio. Todos los servidores que funcionan con Windows Server (2000, 2003 o 2008) y que
desempeanelpapeldeKDCKerberosquerespetaelRFC1510registranesteregistroderecurso.
_kerberos._udp.NombredeDominio.

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Esteregistropermiteelmismotratamientoque_kerberos._tcp.NombredeDominio,perobasndoseenelprotocolo
UDP.
_kerberos._tcp.NombredeSitio.y_sitios.NombredeDominio.
PermiteaunclientelocalizarunKDCKerberosparaeldominioNombredeDominiodentrodelsitioNombredeSitio.El
servidornotieneporquseruncontroladordedominio.TodoslosservidoresquefuncionanconWindowsServer
(2000,2003o2008)yquedesempeanelpapeldeKDCKerberosquerespetaelRFC1510registranesteregistro
derecurso.
_kerberos._tcp.dc._msdcs.NombredeDominio.
Permite a un cliente localizar un controlador de dominio con la implementacin Windows Server 2003 del servicio
KDCKerberoseneldominioNombredeDominio.TodosloscontroladoresdedominioWindowsServer(2000,2003o
2008) que ejecutan el servicio KDC registran este registro de recurso SRV. Esos servidores implementan una
extensin de tipo "clave pblica" con el protocolo Kerberos v5, llamado subprotocolo "Authentication Service
Exchange"(subprotocol),yregistranesteregistrodeSRV.
_kerberos.tcp.NombredeSitio.y_sitios.dc._msdcs.NombredeDominio.
PermiteaunclientelocalizaruncontroladordedominioconlaimplementacinWindowsServer(2000,2003o2008)
delservicioKDCKerberoseneldominioNombredeDominioyenelsitioNombredeSitio.Todosloscontroladoresde
dominioWindowsServer(2000,2003o2008)queejecutanelservicioKDCregistranesteregistroderecursoSRV.
Estos servidores implementan una extensin de tipo "clave pblica" con el protocolo Kerberos v5, llamado
subprotocolo"AuthenticationServiceExchange"(subprotocol)yregistranesteregistrodeSRV.
_kpasswd._tcp.NombredeDominio.
PermiteaunclientelocalizarunservidordecambiodecontraseaKerberosparaeldominioespecificado.Todoslos
controladoresdedominioWindowsregistranesteregistro.Elservidordebedarsoportealprotocolodecambiode
contrasea Kerberos. El servidor no tiene por qu ser un controlador de dominio. Todos los controladores de
dominio Windows Server (2000, 2003 o 2008) que ejecutan el servicio KDC Kerberos que respeta el RFC 1510
registranesteregistroderecurso.
_kpasswd._udp.NombredeDominio.
Esteregistropermiteelmismotratamientoque_kpasswd._tcp.NombredeDominio,perobasadoenelprotocolode
transporteUDP.
DsaGuid._msdcs.NombredeBosque
Elserviciodeaccesored(NetLogon)registratambinunalias(CNAME)usadoparalareplicacinActiveDirectory.El
sistemadelocalizacindecontroladoresnousadirectamenteesteregistroesencialparalainfraestructura.Todos
los controladores de dominio de todos los dominios del bosque se registran directamente en el dominio raz del
bosqueen_msdcs.NombredeBosque.

c.ApropsitodelregistroDsaGuid._msdcs.NombredeBosque
El registro de recursos DsaGuid._msdcs.NombredeBosque permite localizar cualquier controlador de dominio
miembrodelbosque.CorrespondealvalordelGUIDdelcontroladordedominio,queesfinalmenteelvalordelobjeto
DSA(DirectorySystemAgent).
Seutilizaenelmarcodelareplicacindecontroladoresdedominiobasndoseenlaconfiguracindelatopologade
replicacin.Microsoftespecificaqueesteregistroseusatambinparalasoperacionesdenuevadenominacinde
losordenadorescontroladoresdedominioendominiosnativosenmodoWindowsServer2003oWindowsServer
2008.
El valor de DSAGuid es igual al valor del atributo objectDSA del contenedor NTDS Settings del objeto servidor
correspondientealcontroladordedominio.

d.RegistrosderecursosparalosclientesnocompatiblesconlosregistrosSRV
Elservicio"NetLogonServiciodeiniciodesesindered"registraregistrosdetipoAparalosclientesLDAPqueno
dansoportealosregistrosSRVconformesalRFC2782.Porconsiguiente,estosregistrosnoafectanalmtodode
seleccinpresentadoanteriormente.
ElregistroAcorrespondientealNombredeDominiopermiteaunclientenocompatibleconlosregistrosSRVlocalizar
uncontroladordedominioeneldominiobasndoseendichoregistro.
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

El registro A correspondiente a gc._msdcs.NombredeBosque permite a un cliente no compatible con los registros


SRVlocalizaruncontroladordedominiocatlogoglobalenelbosque.

2.ServidoresDNSnodinmicosyregistrosdinmicosdeloscontroladoresdedominio
Habitualmente, las zonas DNS usadas dentro del directorio Active Directory son soportadas por servidores DNS de
Windows2000Server,WindowsServer2003oWindowsServer2008conlaayudadezonasDNSquefuncionanen
mododinmicoseguro.
Noobstante,sifueranecesariousarservidoresDNSnoWindowsydecidierautilizarzonasDNSnodinmicas,ser
posibleprohibirelregistrodetodosopartedelosregistrosdetipoSRVregistradosporloscontroladoresdedominio.
Estaconfiguracinpuederealizarsedirectamenteconayudadeunadirectivadegrupoenlaubicacinespecificadaa
continuacin:
Configuracin del equipo/Plantillas administrativas/Sistema/Inicio de sesin de red/Registros DNS del servicio de
ubicacindecontroladoresdedominio/RegistrosDNSdelserviciodeubicacindecontroladoresdedominionoinscrito
porloscontroladoresdedominio.
Paraactivarelparmetro,seleccionelaopcinyespecifiqueunalistadeinstruccionesdelimitadasporespaciospara
los registros DNS del servicio de ubicacin de controladores de dominio que no sern registrados por los
controladoresdedominioalqueseaplicaelparmetro.
Detallamos a continuacin la lista de palabras clave que puede usar siguiendo el formato Palabra Clave / Tipo de
registro/Nombre

Este parmetro est desactivado por defecto. De hecho, los controladores de dominio, configurados para efectuar
unainscripcindinmicadelosregistrosDNSdelserviciodeubicacindecontroladoresdedominio,registrantodos
losregistrosderecursosDNSdelserviciodeubicacindecontroladordedominioenunazonaDNSdinmica.

3.ApropsitodelazonaDNSdeldominiorazdelbosque
Enunbosquecompuestoporvariosdominios,esimportanteprestarespecialatencinaldominiorazdelbosque.Los
puntossiguientespodrnservirdeguaparailustraresanecesidad:

Entreloserroresaevitar,noconfundaeldominiorazdelbosqueconeldominiorazdeunrboldelbosque.
Recuerdequeeldominiorazdelbosqueessiempreelprimerdominiocreado.
Eldominiorazdelbosque"enlaza"losdemsdominiosDNSconeldominioraz.Porsupuesto,sloelprimer
dominiodeunbosquepodrdesempearesepapel.Encasodequedentrodelbosqueexistieraundominio
adicional,losequiposquehicierandeCatlogoGlobalcontinuarnregistrandosusregistrosderecursosSRV
enlazona_msdcs.root.dns.

TodoslosregistrosnecesariosparalalocalizacindeloscontroladoresdedominioconelpapeldeCatlogo
Global se registran en el dominio raz del bosque. Esto es muy lgico porque, si bien es verdad que un
controladordedominiodeundominiodeterminadoofrecelosserviciosaesedominio,anloesmsquelafuncin
deunCatlogoGlobalconsisteenofrecersusserviciosatodoelbosque.
- 6-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 7-

Restriccionesyproblemaspotenciales
La necesidad de disponer de servicios DNS correctamente configurados es tal que, ya ahora, podemos sealar dos
tiposderestriccionesyproblemaspotenciales:

El primer tipo de restricciones se refiere al directorio Active Directory, los controladores de dominio y otros
componentes o aplicaciones vinculadas al uso del directorio, tal y como especificamos a continuacin. Si los
servicios DNS no permiten ayudar a resolver las bsquedas necesarias para los controladores de dominio,
podr producirse una disfuncin grave e incluso completa de las replicaciones Active Directory entre
controladoresdedominio.EnlamismalneapodemoscitaraplicacionesdeempresacomoMicrosoftExchangeo
MicrosoftSystemsManagementServer2003.Dadoqueestasaplicacionesdisponendeunnivelimportantede
integracineneldirectorioActiveDirectory,podranversetambinmsomenosafectadasencasodefallode
losservidoresDNS.
El segundo tipo de restricciones DNS se refiere a las estaciones de trabajo y a los servidores miembros de
dominio.Enelcasodelosordenadores"clientesActiveDirectory"deundominioActiveDirectory,losposibles
fallosdelosserviciosDNSpodrnsermenosdramticos.Efectivamente,elefectoprincipaldelaausenciade
serviciosDNSserelaumentodeltiempodebsquedadeuncontroladorWindowsServer(2000,2003o2008)
para,finalmente,escogerunantiguocontroladordedominioWindowsNT4.0,encasodequetodavaexistiera
unodentrodeldominio.

ObservequeslolosordenadoresWindows2000,WindowsXPProfessional,WindowsVistaolasestacionesWindows
9xquedisponendelclienteActiveDirectoryutilizanelsistemaderesolucionesDNSparalocalizarloscontroladoresde
dominiodeundominioActiveDirectory.
En caso de que se produjera una situacin de repliegue hacia un controlador Windows NT se usaran los "antiguos
mecanismos de tipo resoluciones WINS/interfaz NetBIOS et autenticaciones NTLM" en detrimento de los nuevos
mecanismosofrecidosporeldirectorioActiveDirectory.
Infraestructura Windows Active Directory y fallos DNS: el sistema DNS es hoy el sistema de resolucin y
localizacinpreferido,tantoporlapropiainfraestructuraWindowscomoporlasaplicacionesalojadasenella.
Por consiguiente, sea consciente de que un fallo o un error de configuracin en los servicios DNS tendr
consecuenciassobretodalainfraestructuraWindowsytambinsobrelasaplicacionesalojadasenella.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Controlrpidodelosregistrosderecursos
La deteccin de un problema de localizacin de uno o varios controladores de dominio ser en general bastante
rpido. En efecto, la falta de disponibilidad de un controlador de dominio en un sitio determinado es a menudo
sinnimo de ralentizaciones en la velocidad de las conexiones a la red e incluso de falta de disponibilidad de una
aplicacinimportante.
Porconsiguiente,sielincidentegeneraunproblemarpidamenteesindispensablequereaccionetodavamsrpido
parasolucionarlo.

1.PruebasderegistrosDNS
Paraprobarlaconfiguracindelosregistrospuedenusarselasherramientassiguientes:
NSLookup
Es posible, por ejemplo, comprobar el registro correcto de los registros de Catlogo Global. El primer comandoset
type=SRVpermitesolicitardetallesrelativosaregistrosderecursosdetipoSRVRR.
C:\Documents and Settings\Administrador.CORP2003>nslookup
Servidor por defecto: booster2003.corp2003.corporate.net
Direccin: 192.168.0.222
> set type=SRV
> _gc._tcp.corp2003.corporate.net
Servidor: booster2003.corp2003.corporate.net
Direccin: 192.168.0.222
_gc._tcp.corp2003.corporate.net SRV service location:
priority
= 0
weight
= 100
port
= 3268
svr hostname
= booster2003.corp2003.corporate.net
booster2003.corp2003.corporate.net
internet address = 192.168.0.222
>
DCDiag
ElcomandoDCDiag(DomainControllerDiagnostics)puedeusarseparacontrolarlosregistrosDNSdelasparejasde
replicacin.
NetDiag
ElcomandoNetDiagpuedeusarseparacomprobarlosregistrosDNSrelativosauncontroladordedominioespecfico.
Paraello,enelcontroladordedominioquesedeseaprobar,sepuedeutilizarelcomando:Netdiag/test:DNS/v
NLTests
El comando NLTest (Net Logon Test) puede usarse para probar las funciones asumidas por el servicio "Inicio de
sesin de red/Net Logon". Este comando es muy completo, ya que integra la verificacin de los canales seguros
(Secure Channel), la seleccin de los controladores, de los servidores de tiempo, de los sitios Active Directory y la
verificacinyelresetdelasrelacionesdeconfianzaentredominios.Tambinpuedeusarseparaprobarlosregistros
DNSconayudadelcomandoNLTest/DSQUERYDNS.

NLTestesuncomandodelasherramientasdesoportedeWindowsServer 2003.Comoyahemosprecisado
es importante que todo servidor Windows 2000 Server o Windows Server 2003 disponga de las
herramientasdesoporte.ObservequeenlosservidoresWindowsServer2008,estecomandoestdisponiblepor
defecto.

ObservequeestecomandopruebalaszonasimplicadasenelfuncionamientodeActiveDirectory,peronolas
relativasalasparticionesdeldirectoriodeaplicaciones.

NuevosregistrosdelosregistrosdetipoSRVdeloscontroladoresdedominio

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Es posible usar los comandos siguientes para forzar la reinscripcin de los registros DNS necesarios para el buen
funcionamientodelosordenadorescontroladoresdedominio.
IPConfig
UseelcomandoIPConfig/registerdns.Observequeestecomandonodasoportealasparticionesdeldirectoriode
aplicaciones:
NetDiag
UtiliceelcomandoNetDiag/fix.
Servicio"Iniciodesesindered"
Reinicieelservicio"Iniciodesesindered"enelcontroladordedominiodondedebenreinscribirselosregistrosDNS.
NLTest
UseelcomandoNLTest/dsregdnsparaforzarelnuevoregistrodetodoslosregistrosderecursosnecesariospara
elcontroladordedominio.Estecomandofuncionatambinatravsdelared.Asparaforzarlareinscripcindelos
registros
de
un
servidor
remoto,
es
posible
introducir
el
comando
NLTest/server:nombre_del_servidor/DSREGDNS.

Observe que el comando NL Test, muy completo, permite tambin reiniciar un servidor remoto y anular un
procedimientodeparadaremotaencursodetratamiento.Paraelloesposibleusarlossiguientescomandos:
NLTest
/server :nombre_del_servidor
/SHUTDOWN:<Razon>
[<nb_de_segundos>]
y
NLTest/server :nombre_del_servidor/SHUTDOWN_ABORT

EliminacindelosregistrosdetipoSRVdeloscontroladoresdedominio
Es posible que desee eliminar los registros de recurso de tipo SRV relativos a antiguos controladores de dominio.
Estaoperacinesloableyaqueevitarinfructuososintentosdeconexinauncontroladordedominioinexistente.
Para realizar esta operacin puede usar una vez ms el comando NLTest con los parmetros especificados a
continuacin:
NLTest/DSDEREGDNS:FQDN_del_servidor
Tambin puede especificar el tipo o tipos de registros Active Directory que desea eliminar especificando los
parmetros/DOM:,/DOMGUID:,/DSAGUID:.
/DOM
El parmetro /DOM:nombre_del_dominio_DNS especifica el nombre DNS del dominio a utilizar para buscar el
registro.Sinoseespecificaelparmetro,seusarelsufijoutilizadoconelparmetro/DSDEREGDNS.
/DOMGUID
EsteparmetropermiteeliminarlosregistrosDNSbasadosenGUID.
/DSAGUID
EsteparmetropermiteeliminarlosregistrosDNSdetipoDSAbasadosenGUID.
LimpiezadelascachsdelsistemaderesolucinDNS
Las diferentes herramientas que acabamos de ver le permitirn identificar rpidamente y resolver los problemas
relativosalosregistrosderecursosnecesariosparaloscontroladoresdedominiodeunbosqueActiveDirectory.
Observesinembargoqueestasherramientasrespetanlosmecanismosderesolucionesymtodosconfigurados.
Estosignificaquedeberasegurarsedeque:

- 2-

La cach del servidor o servidores DNS implicados no contenga antiguos registros inadecuados. Para ello
deberutilizar,porejemplo,elcomandoDNSCmdnombre_del_servidor/clearcache.
La cach de la parte cliente DNS (es decir, el mdulo DNR Domain Name Resolver) no contenga registros
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

puestosencachnegativamente.Paraellodeberusar,porejemplo,elcomandoIPConfig/flushdns.

LaszonasDNSaactualizarautorizanlasactualizacionesdinmicasdelosregistros.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Gestindelproblemadelatransicindeloscontroladoresdedominio
NTaActiveDirectory
ElperiododetransicindeundominioWindowsNTaldirectorioActiveDirectoryesunafasequepuedevariarconel
tiempoenfuncindelentornotcnicoydelasrestriccionesdetiempoypresupuesto.Engenerallasmigracionesse
desarrollan rpidamente. Sin embargo, en algunos casos, el periodo de transicin puede hacer que surjan algunos
problemas,comoelmencionadoacontinuacin.
CuandolosordenadoresfuncionanconWindows2000oversionesposterioresseautenticanenundominioWindows
NT, usan autenticaciones Windows NT de tipo NTLM Challenge Response (v1 o v2) porque, evidentemente, no es
posibleusarlaautenticacinKerberosv5disponiblegraciasaloscontroladoresdedominioActiveDirectory.
Esto significa, claro est, que las estaciones de trabajo pueden conectarse a la red solicitando los controladores de
dominiosecundarioquefuncionanconWindows NT 4.0.
Sinembargo,cuandoundominioesobjetodeunaactualizacinaldirectorioActiveDirectory,unclienteKerberoscomo
Windows 2000, Windows XP o Windows Vista desactiva automticamente la autenticacin NTLM para dejar de ser
capazdellevaracaboautenticacionesKerberos.Desdeunpuntodevistadelacalidaddelaseguridadofrecidaesto
resultaclaramentepositivo.
No obstante, qu ocurrira si el dominio Windows NT contuviera varios cientos de miles de ordenadores que
funcionaranconWindows2000,justodespusdelamigracindelPDCNTaWindowsServer2003oWindows 2000
Server?
La respuesta es clara: todos esos ordenadores dependern de un nico controlador de dominio Active Directory.
Adems,inclusoencasodeausenciadelcontroladorocontroladoresdedominioActiveDirectory,losordenadoresno
seleccionarncontroladoresWindowsNT.Enlugardeesousarnlainformacindecuentapuestaencach.
Es posible configurar el valor del nmero de informaciones de puesta en cach modificando el parmetro de
seguridadenladirectivadeseguridadcorrespondiente.Puedetratarsedeunadirectivalocalobiendeuna
directiva de grupo en Active Directory. Una vez abierto, despliegue el men desplegable de la consola tal y como
indicamos: vaya a Configuracin del ordenador\Configuracin de Windows\Configuracin de
seguridad\Directivaslocales\Opcionesdeseguridad\ymodifiqueelvalordelparmetroInformacindepuesta
en cach. Por defecto, el valor es igual a 10. Un valor de 0 desactiva la puesta en cach del inicio de sesin,
sabiendoqueelnmeromximodeinformacionesdesesionesabiertaspuestasencachnopuedeexcederde50.
Aparte de posibles problemas con los controles de acceso a los recursos de la red, tambin podrn producirse
problemasderendimientosielcontroladorocontroladoresActiveDirectoryslofuncionanconconexioneslentas.
ForzadodeloscontroladoresActiveDirectoryapseudocontroladoresNT
La solucin del problema se integra a partir de Windows 2000 SP2 y viene ya incluida en Windows Server 2003 y
WindowsServer2008.Elconceptoeselsiguiente.
Para resolver el problema hay que engaar a los ordenadores "inteligentes" que funcionan con Windows 2000 o
versionesposterioreshacindolescreerqueelcontroladorWindowsNT4.0migradoaWindowsServer(2000,2003o
2008)esdehechouncontroladorNT4.
Cuando un nmero suficiente de controladores NT 4.0 hayan sido actualizados a Windows Server 2003 o Windows
2000 Server para poder dar soporte a las peticiones de inicio de sesiones, ser posible retirar el parmetro. Los
"ordenadoresinteligentes"quefuncionanconWindows2000oWindows XPProfessionalescogernentonceselmejor
controladorActiveDirectoryyusarnlasautenticacionesKerberos.
LaideaesqueuncontroladorActiveDirectoryactualizadorecientementesecomportecomounsimplecontroladorNT,
almenosentrminosdeautenticaciones.Ustedpodrcontrolarladisposicindeesteexcepcionalcomportamientocon
ayudadelasiguienteclavederegistro:
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters,Nombredelaclave:NT4EmulatoryValor
detipoREG_DWORDiguala1
EsprimordialquelaclaveseaintroducidaenelcontroladorocontroladoresdedominioNTantesdeprocedera
laactualizacindelosordenadoresaWindowsServer(2000,2003,2008).Silaclavesedeclaraantesdela
actualizacin,alreiniciar,loscontroladoresdedominiosevernforzadosaresponderconelprotocoloNTLMenlugar
deconelprotocoloKerberos.

ObservequeelparmetronointerfiereenmodoalgunoconlasdemsfuncionalidadesActiveDirectory,quese
siguenencontrandoactivasyoperativas.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

mbitodeutilizacindelparmetroNT4Emulatoryrestricciones
ElparmetroesparticularmentetilencasodequeelnmerodeestacionesdetrabajoWindows2000,WindowsXPo
Windows Vista sea elevado y cuando se prevea que el periodo de actualizacin de los controladores NT a Active
Directoryvaaserrelativamentelargo.
En el periodo de transicin durante el cual el parmetro NT4Emulator est operativo, los ordenadores no usarn el
protocoloKerberosv5.Sedebernconsiderarportantolaslimitacionessiguientes:

LosclientesWindows2000,WindowsXPoWindowsVistanopodrnaccederalosparmetrosalmacenados
enlasdirectivasdegruponiimplementarlos.Estepuntoesespecialmenteimportanteyponedemanifiestola
recomendacin de disponer bastante rpido de un mnimo de controladores Active Directory, para acortar al
mximolafasedeusodelparmetroNT4Emulator.
NoserposibleusarlasherramientasdeadministracinActiveDirectoryenesosordenadores.Enefecto,para
poderaccederalosdatosalmacenadoseneldirectorioActiveDirectory,esprecisoquelasherramientascomo
"Usuarios y ordenadores Active Directory" establezcan una conexin LDAP segura, la cual exige el protocolo
Kerberos.
Porelmismomotivo,tampocopodrascenderunservidormiembroacontroladordedominio,nicrearunnuevo
dominioenelbosque.EstaltimalimitacinsloserciertasisehaactivadoelparmetroNT4Emulatorenlos
controladoresdedominiodeldominiorazdelbosque.

LimitacindelalcancedelparmetroNT4Emulator
VerqueelhechodequeelparmetroNT4Emulatorresidaenloscontroladoresdedominiohacedelunparmetro
global.Dehecho,afectaatodoslosordenadoresclientesdeldominioencuestin.
En caso de que fuera necesario que algunos ordenadores no respetasen la consigna fijada con el parmetro
NT4Emulator,sepodraforzaralasestacionescorrespondientesautilizarelprotocoloKerberosapesardetodo.
Estavezdeberdeclararelparmetroenelordenadoruordenadoresclienteconlasiguienteclavederegistro:
HKLM \ System \ CurrentControlSet \ Services \ Netlogon \ Parameters, Nombre de la clave:
NeutralizeNT4EmulatoryValordetipoREG_DWORDiguala1
NeutralizeNT4Emulatoresunparmetrosoportadodinmicamenteduranteeliniciodesesin.Paraestarseguroque
la autenticacin Kerberos se ha usado correctamente, puede consultar los visores de sucesos y verificar si las
directivasdegruposehanaplicadobienduranteeliniciodesesin.Sepodrusarelcomandogpupdate/forcepara
forzardinmicamentelarestauracinylaaplicacindelosparmetrosdelordenadorydelusuario.
TambinpuedeusarselaherramientaKerberosKerbtraydisponibleenelkitdeRecursosTcnicosdeWindowsServer
2003puedeserutilizadoenlosservidoresWindows2000Server,WindowsServer2003oWindowsServer2008.Esta
herramienta permite visualizar los tickets Kerberos actualmente disponibles. De esa forma estar seguro de que el
ordenador utiliza el protocolo Kerberos a pesar de la presencia del parmetro NT4Emulator, fijado en el controlador
dominio.
RegresoalfuncionamientonormaldeloscontroladoresActiveDirectory
UnavezquehayadesplegadounnmerosuficientedecontroladoresdedominioActiveDirectoryparadarsoporteal
volumendeautenticacindeseadoyaladisposicindedirectivasdegrupo,podranularlaactivacindelparmetro
NT4Emulator fijando su valor en 0. Una vez fijado el valor, proceda a reiniciar los controladores de dominio
correspondientes.
Apartirdeeseinstante,elcontroladorusarpreferentementeelprotocoloKerberosyNTLM v2,encasonecesario.
ParaestarsegurodequetodaslasestacionessebeneficiandelaautenticacinseguraKerberosv5ydela
aplicacin de las directivas de grupo, asegrese de que el parmetro se ha eliminado de todos los
controladoresActiveDirectory.

Paramsdetallessobreestosparmetros,consulteelartculo298713 Howtopreventoverloadingonthe
firstdomaincontrollerduringdomainupgrade enladireccin:http://support.microsoft.com/kb/298713/enus.

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Introduccinaloscomponentesdelaestructuralgica
El directorio Active Directory depende directamente de elementos tcnicos que permiten disponer de una estructura
global y, por supuesto, de tecnologas de almacenamiento. La estructura lgica de Active Directory se compone de
dominiosybosquesquerepresentandeformalgicaelespaciodeldirectorio.
Esteespaciolgico,estamoshablandodelainfraestructuralgicaActiveDirectory,permitealosadministradoreshacer
abstraccinconrespectoalaestructuratcnica,yentonceshablamosdeinfraestructurafsicadeActiveDirectory.Esta
diferenciacinpermitemejorarconsiderablementelaorganizacindeloselementosquecomponenlaredenfuncinde
lanaturalezadelosobjetosqueformanpartedeellao,porquno,enfuncindelaorganizacindelaempresa.
ElpresentecaptulolepermitirestudiarelusodelosdominiosybosquesparaquelosserviciosdedirectorioActive
Directorydesempeenelpapelcentraldeconsolidacin.Deestaforma,lainformacinylosserviciosofrecidosatravs
deldirectorioActiveDirectorypodrnserlocalizadosencualquierpuntodelaredporlosusuariosyaplicacionesdela
empresa.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Losdominios
El dominio es un componente fundamental de la estructura lgica Active Directory. Por definicin, se trata de un
conjuntodeordenadoresquecompartenunabasededatosdedirectoriocomn.Losordenadoresinteractanconel
dominio en funcin de sus respectivos papeles como, por ejemplo, controladores de dominio o, simplemente,
ordenadoresmiembrosdedichodominio.
Eldominiopuedeestablecerseparaimplementardentrodelaempresaunazonadeadministracin.Deestaforma,es
posibleestablecerunadelegacineficazdelaadministracinolograrunmejorcontroldelosflujosdereplicacin.
Con respecto a las infraestructuras Active Directory, podemos decir que el criterio de eleccin utilizado con mayor
frecuenciaalahoradecrearonounnuevodominio,sereferiralaseparacindelosflujosdereplicacinentrevarios
dominiosy,porlotanto,aunmejorcontroldelostrficosdentrodeunbosque.
Aunque en cierta medida las jerarquas de dominios sean aptas para ello, las unidades organizativas (OU
OrganizationalUnits)sonparticularmenteadecuadasparacrearestructurasjerrquicasenlasqueesposibledelegar
todasopartedelasoperacionesdeadministracinapersonashabilitadasparaesatareaespecfica.
Adems de esas consideraciones de eleccin, el objeto dominio permite dividir el bosque Active Directory en tantas
particiones como dominios haya. Por ese motivo se dice que un dominio es una particin dentro de un bosque
determinado. Imaginemos, por ejemplo, una empresa que posee un bosque compuesto por tres dominios que dan
soporteausuariosyordenadoressituadosenCanad,EstadosUnidosyEuropa.
Esaarquitecturapermitequeelbosqueevolucionefcilmenteamedidaquelostres"grandes"dominiossehacenms
voluminosos.
Portodoello,losdominiosActiveDirectoryconstituyenelementosqueconvienecreardeformaplenamenteconsciente
y, por consiguiente, ser necesario en todo momento justificar dicha creacin remitindose a los temas o funciones
siguientes:

Undominioesuncontenedordentrodelbosque.

Undominioesunaunidaddereplicacin.

Undominioesunaunidadquecontienedirectivasdeseguridad.

Undominioesunazonadeautenticacinydeconfianza.

Undominioesmiembrodeunbosquey,porello,mantienerelacionesconlosdemsdominiosdelbosque.

Cada dominio posee su propia autonoma de administracin y, debido a ello, los miembros del grupo
Administradoresdeldominiodeundominiodeterminadonotienenningnderechosobrelosdemsdominios
delbosqueamenos,claroest,quesehayaestablecidolocontrario.
Lafiguradeabajomuestraqueeldominioesmiembrodeunbosqueyofrecesusserviciosdeautenticacinycontrol
deaccesoalosclientesyservidoresmiembrosdeldominio.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

RelacionesentrelosmiembrosdeldominioActiveDirectory
EldominiopuedecontenercualquierequipodotadodelastecnologasWindowsNT,Windows2000Server,Windows
Server2003oWindowsServer2008.
Porejemplo,unatorredelectoresdeCDRomaccesibleatravsdeunenlaceUNC(UniversalNamingConvention)oun
servidor LAN Manager for Unix (LMU) o un servidor Samba con Linux pueden formar parte de un dominio Active
Directory.
Eldominioexisteatravsdecadaunodeloscontroladoresdedominiodeldominio.Ascadacontroladordedominio
posee su propia copia y versin de la base de datos del directorio. En caso de que un controlador no estuviera
disponible, los usuarios, equipos y servicios siempre podrn continuar accediendo a Active Directory solicitando otro
controlador.Porlotanto,loscontroladoresdedominioparticipanactivamenteenladisponibilidaddeldirectorioyde
susservicios.
Porsupuesto,eldirectorioActiveDirectoryestinstaladonicamenteenequiposllamadoscontroladoresdedominio
que funcionan con Windows 2000 Server, Windows Server 2003 o Windows Server 2008. En la medida en que el
dominioestcompuestopormsdeuncontroladordedominio,lasoperacionesdecreacinymodificacindeobjetosy
otros atributos de objetos debern replicarse de manera uniforme en todos los controladores de dominio. Los
mecanismosdereplicacin,indispensablesparalacoherenciadelainformacinofrecidaporeldirectorio,sontambin
fundamentalesparaqueelpropiodirectoriofuncionecorrectamente.

1.Contenedor(container)dentrodelbosque
El bosque desempea el papel de contenedor para albergar los dominios que a su vez desempean el papel de
contenedorparamltiplesclasesdeobjetos.Enotrostrminos,elbosqueeselelementoquefederaouneentresa
variosdominios.
Esto significa que los objetos dominio se otorgan mutuamente confianza. As, todo nuevo dominio creado en el
bosquegenerarautomticamenteunarelacindeconfianzabidireccionaltransitivaentreelnuevodominiocreadoy
eldominiosituadoenelnivelinmediatamentesuperior.
Lasrelacionesdeconfianzaentredominioslespermitendarsoportealaspeticionesdeautenticacindelosdominios
deconfianza.Anteshemosvistoquecadadominiodisponadeunarelacindeconfianzaconsudominiopadre.Dado
que por naturaleza las relaciones entre dominios son transitivas y bidireccionales, est claro que los objetos
contenidosenundominioxdelbosquepuedenbeneficiarsedelasACL(AccessControlList)quecontienenusuarios
decualquierdominiodelbosque.

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Bosque,dominios,OUyconfianzas
Tomemos ahora un ejemplo relativo al almacenamiento propiamente dicho de los objetos del directorio. Las zonas
DNS pueden considerarse como objetos (objetos procedentes de la clase dnsZone) y por ello, resulta posible
almacenarlos en Active Directory. En funcin de las necesidades, algunas zonas residirn en un dominio particular
mientrasqueotrasseencontrarnentodoelbosque.
Este ejemplo muestra hasta qu punto los objetos dominio (clase domainDNS) y bosque pueden contener objetos
diversosyvariadostalescomolosobjetosunidadorganizativa(OUclaseorganizationalUnit)olosobjetosusuario
(claseuseroinetOrgPerson).
BosqueyRootDSE:apropsitodelpuntodeentrada...ElprotocoloLDAPversin 3.0permiteaccederalas
propiedadesdeunobjetoparticularllamadoRootDSE.ElRootDSEsedefinecomorazdelrboldeldirectorio
almacenado en un servidor de directorio determinado. De hecho, este punto de acceso no pertenece a ningn
espaciodedenominacin(NCodominioWindows) enparticular.Permitesimplementeobtenerinformacinrelativa
alservidordedirectoriopropiamentedichoy,porlotanto,nodebeconfundirseconunpuntocualquieradeentrada
albosque.

ParaobtenermsinformacinsobreelobjetoRootDSE,consultelaayudaenlneadelSDKActiveDirectory,
disponible en la siguiente direccin: http://msdn.microsoft.com/library/default.asp?url= /library/en
us/adschema/adschema/rootdse.asp

2.Nivelesfuncionalesdelosdominios
Vamos a descubrir que un dominio Active Directory puede funcionar en diferentes modos o niveles funcionales. La
nocin de nivel funcional, especfica de un dominio Active Directory, se definir con ayuda del atributo
domainFunctionality.
EsteatributoindicaelnivelfuncionaldeundominioActiveDirectorydeterminado:
"0"DominioWindows2000enmodomixto.
"1"DominioWindows2000enmodonativo.
"2"DominioWindowsServer2003.
"3"DominioWindowsServer2008.
ElnivelfuncionaldedominiopermiteactivarciertasfuncionalidadesespecficasdeldominioActiveDirectory.Comoha
podido observarse con el atributo domainFunctionality mencionado ms arriba, existen cuatro niveles de
funcionamientodiferentes.
DominioWindows2000mixto
Modo de funcionamiento que permite una interoperabilidad total, ya que el dominio podr contener de manere
indiferentecontroladoresdedominioWindowsServer2003,Windows 2000Servery/oWindowsNTServer4.0.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

DominioWindows2000nativo
Modo de funcionamiento que permite una interoperabilidad limitada ya que el dominio podr contener slo
controladoresdedominioWindowsServer 2003y/oWindows2000Server.
DominioWindowsServer2003versinpreliminar(modoespecfico)
Modo de funcionamiento que permite una interoperabilidad limitada ya que el dominio podr contener slo
controladoresdedominioWindowsServer 2003y/oWindowsNTServer4.0.
DominioWindowsServer2003
Modo de funcionamiento que permite una interoperabilidad limitada ya que el dominio podr contener slo
controladoresdedominioWindowsServer 2003yversionesposteriores,peronoanteriores.

EnWindows2000,losnivelesfuncionalesdedominioseconocencomo"dominioenmodomixto"o"dominio
enmodonativo".
DominioWindowsServer2008
Modo de funcionamiento que permite una interoperabilidad limitada ya que el dominio podr contener slo
controladoresdedominioWindowsServer2008,peronoanteriores.
Elevacindelosnivelesfuncionalesdelosdominios
CuandounservidorWindowsServer2008seinstalacomocontroladordedominio,seactivapordefectounconjunto
de funcionalidades Active Directory. Antes de pasar a detallarlas, podemos precisar que la mayor parte de las
novedades introducidas por los servicios de directorio de Active Directory est disponible independientemente del
nivelfuncionaldeldominio.Noobstante,ademsdelasfuncionalidadesActiveDirectorybsicas,encasonecesario
podrbeneficiarsedenuevasfuncionalidadesActiveDirectoryactualizandolosantiguoscontroladoresNTaWindows
Server2003omejoranaWindowsServer2008.
Porsupuesto,lostrmitesquedebernadoptarseson"implacables".

- 4-

ParaalcanzarelnivelfuncionalWindows2000mixto,tendrqueactualizareldominioNTaActiveDirectory.
ParaalcanzarelnivelfuncionalWindows2000nativo,tendrqueactualizarlosantiguoscontroladoresNTa
Windows 2000Server,WindowsServer2003,WindowsServer2008oeliminarlos.
Para alcanzar el nivel funcional Windows Server 2003, tendr que actualizar todos los controladores a
WindowsServer 2003,oeliminarloscontroladoresdenivelesinferiores.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

VistadelaopcinElevarelnivelfuncionaldeldominio
CuandotodosloscontroladoresdedominiofuncionenenlaversinrequeridadeWindows,podroptar,enfuncin
desusnecesidades,porelevarelnivelfuncionalalnivelinmediatamentesuperior,omsarribaansilatecnologalo
permite.
Apropsitodelaelevacindelnivelfuncional:observarquenosetratadeunparmetroqueafecteaun
controladordedominioenparticularsinoalpropiodominioensutotalidad.Esmuyimportantesubrayarque
estaoperacinesirreversibleynopodrporlotantoanularsedeningunamanera,amenosqueserestaureel
directorioActiveDirectory.

El modo que caracteriza al dominio slo tiene incidencia en los controladores de dicho dominio. Los
servidores miembros y estaciones de trabajo del dominio continan funcionando, pero pasan a tener en
cuentalasnuevascaractersticasdeldominiocuandosoncapacesdeello.Estoquieredecirqueundominioque
funcioneennivelfuncionalWindowsServer2008,WindowsServer2003oWindows2000mixtoonativotambin
esvistocomounsimpledominioNT4.0porloscontroladoresmiembrosdeldominioquefuncionaconWindows9xo
WindowsNT.
Ennuestroejemplo,paraactivarlasnuevasfuncionalidadesdisponiblesenelnivelWindowsServer2003entodoel
dominio,todosloscontroladoresdedominiodeldominiodebenejecutarWindowsServer2003.
Lasiguientepantallamuestraquealprincipioeldominio corp2003.corporate.netestoperativoenelnivelfuncional
WindowsServer2003.

Seleccindelniveldeseadocuandoserenenlascondicionesrequeridas
Como todos los controladores de dominio son controladores Windows Server 2003, la consola de gestin MMC
Usuarios y ordenadores Active Directory autoriza a los miembros del grupo Admins del dominio o del grupo
Administradores de organizacin a que eleven el nivel funcional Windows 2000 nativo al nivel Windows
Server 2003.
SidisponeocuentacondisponerdecontroladoresdedominioenWindowsNT4.0yversionesanteriores,no
aumente el nivel funcional de dominio a Windows 2000 nativo, Windows Server 2003 o Windows Server
2008.Unavezquesehaelevadoelnivelfuncionaldeldominio,nopuedemodificarseparavolveralnivelanterior.

Slopodrconseguirunnivelfuncionaldeterminadositodosloscontroladoresdedominiodedichodominio
funcionanconlaversindeWindowsrequerida.

Para obtener ms informacin sobre la elevacin del nivel funcional de un dominio, busquePara elevar el
nivelfuncionaldeldominio,enlaayudaenlneadeWindowsServer2008.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

3.Gestindelasdirectivasenlosdominios
En tanto que contenedor, un dominio puede albergar numerosos objetos y ofrecer sus servicios fundamentales
(autenticacin,catlogoybsquedadeserviciosglobales)alosusuarios,equiposyaplicacionesdelaempresa.
ComoyaocurraconWindowsNT,losdominiosposeendirectivasdeseguridad,sabiendoqueeldominiodelimitael
mbitodeadministracindelasmismas.As,algunosparmetrossloseaplicansobreunobjetodetipodominio.Por
ejemplo, la directiva de cuentas del dominio existe a nivel de dominio y de esa manera se aplica uniformemente a
todoslosusuariosdeldominio.
ApesardenoserelcontenedormspequeodentrodeldirectorioActiveDirectory(comorecordatorio,disponemos
de una jerarqua de contenedores de tipo Bosque/Dominios/Unidades organizativas), el dominio se usa con
frecuencia para aplicar directivas de seguridad globales. Esto se justifica sobre todo en organizaciones con
ubicacionesgeogrficasozonasdeadministracindiferentes.
En tanto que zona de seguridad particular, un dominio Active Directory que funciona en el nivel funcional Windows
2000mixtoonativo,oenelnivelfuncionalWindowsServer2003,permiteestablecerpolticasdeadministracinde
cuentasdistintasdentrodelmismobosque.AunqueesposibleespecificardirectivasdecuentasenlasOU,observar
quedichasdirectivassoninoperantes,anoserlocalmenteenelordenadoruordenadoresafectados,peronoenel
dominio.Dehecho,estoescompletamentenormal.
Atencin!VeremosmsadelantequelosdominiosquefuncionanenelnivelfuncionalWindowsServer2008
soportan ahora mltiples directivas de cuentas en el mismo dominio. Esta nueva funcionalidad, disponible
sloenestemodo,sedagraciasalosobjetosPSOPasswordSettingsObject.Enefecto,convienerecordarqueun
usuarionoseautentificaenunaOU,sinoenundominio.LaentidaddedominioWindowsseutilizayesutilizable
por el protocolo Kerberos versin 5 en un dominio Kerberos versin 5 mapeado sobre un dominio Windows,
mientrasquelasOUpertenecenalespacioLDAPyalasconvencionesdenombres X.500.
Si desea disponer de configuraciones diferentes en funcin de ciertas regiones de la red o de departamentos que
requieranreglasespecficas,yenlamedidaenquedichasconfiguracionesafectenatododominioActiveDirectory,
podrentoncesdecidirseacrearundominionuevo.

4.Delegacindelaadministracindedominiosycontroldelosparmetrosespecficos
dedominio
Los servicios de seguridad integrados en el directorio Active Directory permiten que los administradores elaboren
planes de delegacin de la administracin. Tras esta explicacin resultar ms sencillo administrar entornos que
comprendanungrannmerodeobjetosaldisponerdevariasentidadesdistintas.
El concepto de delegacin permite a los poseedores de objetos transferir todo el control o una parte del mismo a
otrosusuariosogruposdeusuarioscuidadosamenteescogidos.
Elprincipiodedelegacinesunprincipiomuyimportanteyaquepermitedistribuirlaadministracindelosobjetosa
tercerosconconfianzadentrodeunaentidadmsamplia.Amododerecordatorio:enWindowsNTelniconivelde
delegacineraeldominio.Luego,eladministradordeldominiopodaapoyarseengrupospredeterminadoscomolos
Administradores del dominio o los diferentes grupos de tipo operadores. Hoy, el concepto de delegacin del
directorio Active Directory permite trabajar en el bosque, en los dominios, en las unidades organizativas, en los
objetosytambinpuededescenderhastaelatributoconcretodeunobjetoentremillones.
Lospuntospresentadosacontinuacinpermitirncomprenderbienaquelloquecaracterizadeformaespecialaun
objetodetipodominiodentrodeunbosque:
Eldominioylasdirectivasdecuentas
Pordefinicin,lasdirectivasdecuentasylasdirectivasdeclavepblicaydeinscripcinautomticaseadministrany
aplicanglobalmentesobreelobjetodominioconayudadeunadirectivadegrupo(GPOGroupPolicyObject).
Eldominioylasdirectivasdecontrasea
Las directivas de contrasea permiten determinar de qu manera se administran las contraseas en trminos de
extensin,historizacinyduracindevida.
Eldominioylasdirectivasdebloqueodecuentas
Lasdirectivasdebloqueodecuentaspermitendeterminardequmaneraseasumenloserroresdeiniciodesesin
eneldominioalutilizarunacontraseaincorrecta.Elobjetivoesdetectarposiblesintrusionesypoderbloquearla
cuentadeusuarioduranteunperiododetiempodeterminado.

- 6-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

EldominioylasdirectivasdeticketsKerberos
LasdirectivasdeadministracindelosticketsKerberospermitendeterminarladuracindevidadelasestructurasde
seguridadimportantes.Paraunservidoroserviciodeterminado,unticketKerberosseentregaalsolicitantedespus
dequestesehayaidentificadoenelAS AuthenticationService.Estecomponentedelsistemadeseguridadforma
parteintegrantedelservidorquedesempealafuncindeCentrodedistribucindeclavesKerberos.Dichafuncin
siempreesejercidaporunamquinadetipo"controladordedominioActiveDirectory".

ComponentesActiveDirectoryyconceptosdedelegacin
La anterior figura muestra una infraestructura compuesta de varios dominios. Cada uno de ellos dispone de sus
propiosobjetosyexisteentantoquezonadeseguridaddistinta.Porconsiguiente,porsunaturaleza,cadadominio
dispone de una directiva de cuentas y de seguridad que habr que adaptar en funcin de la poltica de seguridad
generaldelaempresa,encasodequedichadirectivaexista,claroest.
Esaltamenteaconsejabledefinirconprecisinlosdetallesdeladirectivadeadministracindecuentasdelos
dominiosdelaempresa.Deestaforma,podrimponerglobalmenteunapolticauniformecapazdereforzar
eficazmenteelniveldeseguridadgeneraldetodalared.Recordemosqueunacajafuertenopuededesempear
plenamentesufuncindeespacioprotegidosilasllavesquelaabrennoestnabuenrecaudo!
Luego, en funcin de la poltica de gestin de cada dominio, se podr establecer o no un plan de delegacin. El
principal objetivo de dicho plan ser definir quien ser el encargado de controlar o de modificar los objetos
determinados.Msadelantedescubriremosquelosmecanismosdeseguridad,dedelegacinydeaplicacindelos
objetosdedirectivadegruposeaplicanaloscomponentesprincipalesdelainfraestructuraActiveDirectory,esdecir,
alossitios,losdominiosylasunidadesorganizativas.
CreacindeconsolasMMCpersonalizadas
Para que la delegacin de la administracin quede completamente garantizada, es posible crear consolas MMC
personalizadas que podrn distribuirse a los usuarios o grupos de usuarios escogidos para efectuar las tareas de
delegacin. La consola MMC permite crear versiones limitadas de un componente de software particular.
Evidentemente hablamos del componente Usuarios y ordenadores Active Directory, que es la herramienta que
contienemsfuncionalidadesdeadministracin.Deestamanera,losadministradorespuedencontrolarlasopciones
propuestasalaspersonasresponsablesdetalocualtarea.
Usodelasdirectivasdegrupoparapublicaroatribuirconsolaspersonalizadas
PuedeusarlosobjetosDirectivasdegrupoparadistribuirconsolasdeadministracinpersonalizadasadeterminados
usuariosogruposdedosmanerasdistintas.
Porpublicacin
Mtodo que permite publicar el elemento en la lista de programas disponibles en la herramienta Agregar o quitar
programas.Acontinuacin,losusuarioshabilitadospodrninstalarlanuevaconsola.Elusuario,porlotanto,iniciala
instalacincuandoestimaquenecesitalaaplicacin.
Poratribucin
Contrariamentealapublicacin,laatribucindeunaaplicacinconayudadeunadirectivadegrupoautomatizala
instalacin de la aplicacin en todas las cuentas especificadas. En esos casos, la instalacin se realiza
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 7-

automticamentesinqueelusuarioseimpliqueenella.

Paraobtenermsinformacinsobrelosconceptosdedelegacin,busqueParadelegarelcontrolyVistade
conjuntodelaseguridadenlaayudaenlneadeWindowsServer 2003.Estudiaremoslosobjetosdirectivas
degrupo(GPO)enelcaptuloGrupos,OUsydelegacin.

5.Usodeldominiocomounidaddereplicacinelemental
Sabemos que el objeto dominio es un elemento de la estructura lgica del directorio Active Directory. En efecto,
cualquierdominiodeActiveDirectoryexisteenelbosqueconayudadeunnombreDNSy,porello,laestructuralgica
deldirectorioseverampliamentemodificada.
Sinembargo,enalgunosaspectosdebemosconsiderareldominiocomounelementofsicodebidoasuenormegrado
de implicacin en los mecanismos de replicacin del directorio. En efecto, desde MS OS/2 LAN Manager, con los
dominiosWindowsNTyhoyconlosdominiosActiveDirectory,eldominiosiguesiendolaunidadbsicadereplicacin.
De hecho, el dominio es la unidad ms pequea de replicacin controlable dentro del bosque. No se trata de una
crticaodeunalimitacintcnicacualquiera,sinosimplementedeunaconstatacin.Pordefinicin,losobjetosdeun
dominiosealmacenaneneldominioy,dehecho,debernreplicarseenelcontroladoroloscontroladoresdedominio
deldominio.
Observar que el grupo Controladores de dominio posee el derecho de replicacin Replicacin de todos los
cambiosdeldirectorio.
Puede utilizar la consola de gestin MMC Usuarios y ordenadores Active Directory para consultar la pestaa
Seguridaddeunobjetocontroladordedominio.
Esta informacin puede parecer elemental pero, de hecho, reviste una importancia capital para comprender los
elementosquecomponeneldirectorioActiveDirectory.Ciertamente,undominioexisteatravsdesuscontroladores,
pero mucho antes de eso el bosque, con su funcin de autoridad de ms alto nivel, existe gracias al primer
controlador del primer dominio del bosque. De hecho, los controladores, antes de serlo de cualquier dominio del
bosque,losondealgunamaneradelbosque.
La unidad de replicacin menor no es el propio dominio a travs de la particin de dominio, sino las
particionesdeldirectoriodeaplicaciones.

HemosvistoesasparticionesenelapartadodealmacenamientodelaszonasDNSenActiveDirectory.Los
miembrosdelgrupoAdministradoresdeorganizacintienenaslaposibilidaddecrearunaparticincuyas
rplicaspuedensituarseenaquelloscontroladoresqueelijan.Elhechodequenoconsideremoslasparticionesdel
directorio de aplicaciones se debe a que esas particiones no pueden almacenar SID, necesarios para crear los
objetosusuariosyequipos.

6.LmitesdeldominioActiveDirectoryydelegacinobligatoria
Microsoft especifica que los dominios no son "realmente" fronteras de seguridad a escala de Active Directory.
Efectivamente,lasinstanciasActiveDirectoryserepresentanmedianteelbosque,queesasuvezrepresentadopor
eldominiorazdelbosque,esdecir,porelprimerdominiodelbosque.
En la medida en que la entidad ms elevada es el bosque, Microsoft especifica que el dominio no proporciona un
aislamiento total a pesar de que exista en su propia particin y detente sus propios SID y sus propias cuentas
integradas (Administradores, Operadores, etc.). Sera potencialmente posible obtener acceso pleno a cualquier
dominio o a cualquier equipo de cualquier dominio del bosque frente a ataques por parte de servicios
malintencionadosquelograranusurparlaidentidaddeladministracindeldominioraz.
Definir una poltica de seguridad a escala del Sistema de Informacin: este problema, aunque exista
realmente,deberairsediluyendoconeltiempo,permitiendoasunadisminucindelosriesgos.Elprotocolo
Kerberosversin5esunmtododeautenticacinderedmuypotenteylossistemaspuedenasimismoalcanzar
niveles de resistencia elevados contra los ataques. Para ello es preciso definir reglas de uso, efectuar el
mantenimientodelossistemasyaplicacionesdeformaregular,disponerdeunadirectivadeseguridadautorizada
portodosyevaluadaconregularidad.
Latransmisibilidadoposibletransmisindeprivilegiosesunaspectofundamentaldelaseguridaddelossistemas.
Observe, sin embargo, que el bosque no toma ninguna iniciativa en trminos de herencia o de transmisin de

- 8-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

privilegios.LosprivilegiosdeadministracinnosetransmitenenabsolutoenlajerarquadedominiosActiveDirectory
o incluso entre dominios externos de confianza. Por consiguiente, para que un usuario de un dominio obtenga
derechosoprivilegiosenotrodominiosernecesarioqueunaautoridadhabilitadaselosotorgue.
EsteconceptoexistedesdesiempreenWindowsNTconlasrelacionesdeconfianzaentredominios.Larelacinde
confianzapropiamentedichanoesmsqueuntuboquecreaconfianzadeformaunidireccionalentredoscontextos
deseguridaddiferentes:aunodelosdominiosseleotorgalaconfianza(thetrustingdomain),mientrasqueelotro
es quien otorga la confianza (the trusting domain). Despus compete al administrador del dominio que otorga la
confianza dar el visto bueno para que un usuario o un grupo global del dominio autorizado realice una operacin
basndoseenlospermisosyprivilegiosacordados.
DelegacinWindows2000Server,WindowsServer2003yWindowsServer2008
Sin embargo, los equipos dotados de Windows 2000 Server y Windows Server 2003 pueden sacar partido de
funcionalidades de seguridad mejoradas. Esto pone de relieve el hecho de que el bosque, los dominios, los
servidoresylasaplicacionesformanuntodoquerequierefuncionalidadesmuyavanzadasparaofrecerunamnima
interoperabilidad,unaadministracincentralizadayunmarcodedelegacincontrolado.
Ladelegacinrestringidaesunanuevaopcinqueslopuedeusarseenservidoresquefuncionanporlomenoscon
WindowsServer2003.Graciasaella,eladministradorpuedeespecificarlosnombresprincipalesdelosservicios(SPN,
ServicePrincipalNames)alosquesepuededelegarlacuenta.Procediendodeestaforma,unserviciopuederecibir
confianzaparaladelegacinsabiendoquedichaconfianzapuedelimitarseaungrupodeserviciosseleccionado.Esta
operacindedelegacin,claroest,esdeclaradaexplcitamenteporunadministradordedominio.
Paraconfiarenunequipooservicioespecficoparaladelegacin,opteporunadelastresopcionespresentadasa
continuacin:
Noconfiarenesteequipoparaladelegacin
Estaopcin,disponibleconWindows2000Server,WindowsServer 2003yWindowsServer2008,eslaconfiguracin
predeterminada.Conellanoesposiblequeseproduzcaningunausurpacindeidentidadmedianteprocesoalguno.
Confiarenesteequipoparaladelegacinacualquierservicio(sloKerberos)
Laseguridaddeestaopcin,yadisponibleconWindows2000,esunafuncindelservicioydelasaccionesdetodos
sus administradores. Al seleccionarla en un equipo, todos los servicios que usan el contexto de seguridad de la
cuenta"sistemalocal"delordenadorsernautorizadosparaladelegacin.Porconsiguiente,enlosucesivoelequipo
autorizado podr acceder a cualquier recurso de red realizando una usurpacin de identidad que represente, por
ejemplo,aunusuario.Dehecho,losserviciosdeunordenadoractanporcuentadelsolicitante.
Confiarenesteequipoparaladelegacinsloalosserviciosespecificados
Esta nueva funcionalidad slo est disponible en servidores que funcionan con Windows Server 2003 y Windows
Server2008,yrecibeelnombrededelegacinrestringida.Permitealcanzarunmayorgranuladodeladelegacinya
quenoseotorgaconfianzaalequipogeneral,sinosloalosserviciosespecificados.
As, gracias a la delegacin restringida, el administrador puede especificar los nombres principales de los servicios
(SPN,ServicePrincipalNames)alosquelacuentapuededelegar.Evidentemente,setratadelaopcinmssegura.
Ladelegacinparaserviciosespecficadospermiteaunadministradorseleccionarlosserviciosenlaredalaquese
delega escogiendo un servicio especfico o una cuenta de equipo. Autorizando la delegacin slo a servicios
especficos, el administrador controla los recursos de red que pueden ser usados por el servicio o el equipo. La
siguientepantallamuestralaactivacindeladelegacinenunequipoconcreto.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 9-

Activacindeladelegacinparatodoslosserviciosquefuncionanconlaautoridad"sistemalocal"

Para obtener ms informacin acerca de la delegacin restringida, consulte la ayuda en lnea de Windows
Server2003oWindowsServer2008.

LosdominiosActiveDirectorysonunidadesdeconfianza
ComocontenedordeldirectorioActiveDirectory,elobjetodominioeselelementomspequeoutilizableenelmarco
deunarelacindeconfianza.Pordefinicin,todoslosdominiospertenecientesalmismobosqueestnvinculadospor
relacionesdeconfianzaKerberosversin 5.Lasrelacionesdeconfianzaqueunendentrodelbosquealosdominios
entressonpordefinicinbidireccionalesytransitivasysemantienenautomticamentegraciasaloscontroladores
dedominio.
Deestaforma,esposiblequecualquierdominiodelbosqueautentiqueacualquierusuariooequipodelmismo.
BasndoseenlosnombresDNSquerigenlosdominiosActiveDirectoryyelespaciodenombresdelbosque,elprimer
dominio situado en la parte ms alta del espacio, desempear el papel de raz del bosque y servir de punto de
pasoobligadoparadarsoportealasautenticacionesentredominiossituadosenlosdemsrboles.
EnlaseccinLosbosquesdelpresentecaptulodetallamoslaestructuradelbosque.

- 10 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Controladoresdedominioyestructuralgica
Los controladores de dominio de un dominio Active Directory son, por definicin, iguales entre s. De esta forma, los
objetosyserviciosqueeldominioponeadisposicinestndisponiblesatravsdetodosloscontroladoresdedominio.
As,loscontroladoresdedominioWindows2000Server,WindowsServer 2003yWindowsServer2008usanunmodelo
de replicacin en el que todos los controladores estn disponibles en modo lectura y escritura. Este modelo, llamado
modelo de replicacin multimaestro (Multi Master Replication), permite no depender de un nico controlador en
particularcomoantesocurraenelentornoWindowsNTconelcontroladordedominioprincipal.
Deestaforma,cualquierobjetodeldominioActiveDirectorypuedesercreadoencualquiercontroladordedominiode
dicho dominio y cualquier propiedad de un objeto puede tambin ser modificada en cualquier controlador de dominio
que posea el objeto. El directorio Active Directory permite, por lo tanto, una disponibilidad total de directorio en
cualquierpuntodelared.Efectivamente,laideaeshacerqueseaposiblemodificarelobjetolomscercaposibledela
administracino,mejoran,lomscercaposibledelosusuarios,equiposoaplicacionesqueprecisandeunvalorlo
msactualizadoposible.
A modo de recordatorio diremos que en los dominios Windows NT, todas las modificaciones deben realizarse y se
realizan en el controlador de dominio primario porque dicho controlador es el nico disponible en modo lectura y
escritura.
AesterespectohemosvistoqueunodelosnivelesfuncionalesdisponibleseselnivelWindows2000mixto.Estemodo
eselmodopredeterminadodecualquierdominioActiveDirectory,yaestcompuestoporcontroladoresqueejecutan
Windows 2000 Server, Windows Server 2003, Windows Server 2008 o un combinado de los tres. Permite una gran
compatibilidaddeloselementosexistentesyaquemantienesincronizadoslosposiblescontroladoresWindowsNT4.0.
Los controladores de dominio se ocupan tambin de la replicacin de datos relativos al bosque o las particiones del
directorio de aplicaciones usadas por el servicio DNS. As, los controladores de dominio replican las particiones
especificadasacontinuacin:

laparticindeldominiodelpropiocontrolador

laparticindeesquemadelbosqueActiveDirectory

laparticindeconfiguracindelbosqueActiveDirectory

la particin o particiones de los dems dominios del bosque, si el controlador tambin hace las veces de
catlogoglobal.

SabemosquetodosloscontroladoresdedominioActiveDirectoryestndisponiblesenmodolecturayescritura.
Observe, sin embargo, que esto no afecta en ningn caso a las particiones usadas por los servidores de
catlogos globales. Los datos contenidos en las particiones slo son utilizables con fines de bsqueda y no en el
mbito de las modificaciones que un administrador del dominio tuviera hipotticamente que efectuar. Por
consiguiente,lasparticionesrplicascontenidasenloscontroladoresdedominioqueejercendecatlogosglobales
sloestndisponiblesenmodolecturaynicamentepuedensermodificadaseneldominiodeorigen.
LaparticindeldirectoriodeaplicacionesquecontienelazonaDNSintegradaenActiveDirectorydeldominioencursoy
la particin del directorio de aplicaciones que contiene la zona DNS integrada Active Directory del dominio
_msdcs.NombredeDominioDnsRaizdelBosquesondosespaciosdealmacenamientocrticos.
Estos ltimos puntos muestran claramente que el controlador de dominio de un dominio no slo debe mantener
actualizadoslosdatosdesudominio,sinotambinlosdatosquenoleafectandirectamente,peroqueafectanalas
aplicacionesoalaestructuramismadelbosque.
As,adiferenciadelasparticionesdeesquemaydeconfiguracin,lasparticionesdeldirectoriodeaplicacionesnose
almacenan en todos los controladores de dominio del bosque, sino slo en los controladores seleccionados por un
administrador en tanto que rplicas. El hecho de particionar tcnicamente el directorio Active Directory en varias
particiones albergadas por un controlador de dominio permite controlar mejor la replicacin en un controlador o
compaerodereplicacin.Deestaforma,eldirectorioActiveDirectorypuededesplegarseglobalmenteenentornoscon
unanchodebandalimitado.
Para obtener ms informacin sobre la replicacin Active Directory, busqueFuncionamiento de la replicacin
en la ayuda en lnea de Windows Server 2003 o visite el sitio Web de Microsoft y acceda a la pginaActive
Directory Replication Topology Technical Reference que se encuentra en la siguiente direccin:
http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/techref/enus/Default.asp?
url=/Resources/Documentation/windowsserv/2003/all/techref/enus/W2K3TR_ad_rep_over.asp

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

MaestrosdeoperacionesdedominioActiveDirectory
Sin duda, la replicacin multimaestro a la que da soporte Active Directory resulta indispensable para establecer
infraestructurasdedirectoriocapacesdeasumirempresasconmillonesdeobjetos.
Sinembargo,algunasoperacionesdemodificacinnopuedenrealizarsedeesaformay,dehecho,esasoperacionesde
carcterconflictivoopeligrososedirigenauncontroladorespecficollamadomaestrodeoperaciones.
TododominioActiveDirectorydeberdisponerdelassiguientesfunciones:

elmaestrodeIDrelativos(RID,RelativeIDMaster)

elmaestrodeemuladordecontroladorprincipaldedominio(PDCEmulator)

elmaestrodeinfraestructura(InfrastructureMaster).

Estas funciones deben ser nicas dentro de cada dominio. En otros trminos, slo puede existir un maestro RID, un
maestrodeemuladorPDCyunmaestrodeinfraestructuraencadadominiodelbosque.
La siguiente figura se obtiene accediendo a las propiedades del dominio Active Directory con ayuda de la consola de
administracinMMCUsuariosyequiposActiveDirectory.

LostresmaestrosdeoperacionesdeundominioActiveDirectory
Losmaestrosdeoperacionesdesempeanunpapelimportanteenlasoperacionesdeactualizacinrelacionadascon
ciertastareasdeadministracinydecambiodeconfiguracindeldirectorioActiveDirectory.
El hecho de asignar ciertas operaciones especficas a ciertos controladores de dominio entre un nmero n de ellos
protegeaActiveDirectorydealgunosconflictosygarantizaladisponibilidadoperativadeldirectorio.
Resumimosacontinuacinlasoperacionesalasquedasoporteelmaestrodeoperaciones(eningls,FSMOFlexible
SingleMasterOperations):

- 2-

ElmaestrodeIDrelativos(RID,RelativeIDMaster)aseguralagestindelrellenadodelpooldeRIDparacada
controladordedominiodeldominio.
El maestro emulador del controlador principal de dominio (PDC Emulator) asegura el papel de PDC para
garantizar la compatibilidad de los controladores de dominio Windows NT, la gestin de las contraseas
incorrectasylosmecanismosdesincronizacinhorarianecesariosparalosrelojesincorporadosenlospaquetes
deautenticacinKerberosversin5.
El maestro de infraestructura (Infrastructure Master) asegura la actualizacin de las referencias relativas a

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

objetossituadosenotrosdominios.
Veremosqueexistendosmaestrosdeoperacionesadicionalesaniveldebosque.Lasoperacionessoportadasporlos
maestros de operaciones de bosque se refieren a la proteccin de operaciones que modifican el esquema y a las
operaciones que modifican el DIT (Directory Information Tree). El objetivo principal de este ltimo maestro de
operaciones es verificar el carcter nico de las operaciones de aadir y quitar objetos de tipo dominio dentro del
bosque.
Losmaestrosdeoperacionesasegurantambinlainteroperabilidadnecesariaentrecontroladoresdedominio
quefuncionanconWindowsServer2008,WindowsServer2003,Windows2000ServeryWindowsNTServer
4.0ascomoelcontroldelasreferenciasdelosgruposyusuariosentremltiplesdominios.

ObservetambinqueeldirectorioActiveDirectoryofrecelaposibilidaddetransferiroderetomarelcontrolde
losdiferentesmaestrosdeoperaciones.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Lasunidadesorganizativas(OU)
Lasunidadesorganizativas(OUOrganizationalUnit)sonlosobjetoscontenedoresusadosconmayorfrecuenciadentro
de un dominio Active Directory. Cuanto ms rgida y compleja es la estructura de dominios y bosques (DIT Directory
InformationTree),msfcilesdecrear,modificar,desplazaryeliminarsonlasOU.
Estecontenedorpuedealbergarmltiplesobjetoscomopuedenserusuarios,contactos,equipos,impresoras,archivos
compartidosy,porsupuesto,otrasunidadesorganizativas.
El hecho de que el contenedor de clase OU nos ayude a organizar el espacio de almacenamiento de objetos de un
dominioconcretodelbosqueesinteresanteenmsdeunsentido.Lospuntosenumeradosacontinuacincaracterizan
unusocorrectodelasunidadesorganizativas:

Desde el punto de vista del contenido, la unidad organizativa puede acoger los objetos usados con mayor
frecuencia(objetosusuarios,grupos,equipos,carpetascompartidas,impresoras).
Desde el punto de vista de las funcionalidades de gestin de los cambios de configuracin, la unidad
organizativaeselcontenedormspequeoquepuedeserobjetodelaaplicacindedirectivasdegrupo.
Desdeelpuntodevistadelestablecimientodeprivilegiosdeadministracin,launidadorganizativapuedeser
objetodemltiplesdelegaciones.
Desde el punto de vista de la modelizacin de un espacio organizado, las unidades organizativas pueden
combinarsecmodamenteparareflejarelmodelodeadministracinodeorganizacin,seacualseaeltamaoy
elnmerodeobjetoscontenidos.

EsposibleusarlasOUindividualmenteodentrodeunajerarquadeOUanidadas.Eneseltimocasopodrdecidirsi
aprovecha o no los mecanismos de herencia. De hecho, el comportamiento de una OU se parece como una gota de
agua al de un directorio NTFS. La diferencia ms notable radica en la naturaleza de los objetos soportados.
Evidentemente,undirectorioNTFSslopuedecontenerarchivosyotrosdirectoriosconlosderechosqueyaconocemos.
En lo que respecta a las posibles analogas entre la OU y un simple directorio, el hecho es que la naturaleza de los
objetoscontenidosenunaOUesmuchomsricaqueloqueconocemosenlosarchivos.Lasiguientepantallailustrala
posibilidad que tiene el administrador de jugar con las autorizaciones de las unidades de organizacin Consultants.
ObservequeestaventanaseparecemuchoaunaventanadeautorizacionesNTFS.

Autorizacionesdeunaunidadorganizativa

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Laventanadeseleccindepermisospermitedeclararlosderechosmsconocidosygenricos.Sinembargo,teniendo
en cuenta la variada naturaleza de los objetos que podemos encontrar en ella, la mayor parte de las veces el
administradorutilizarelbotnOpcionesavanzadas.

PuedeconsultarlaventanadeseleccindelostiposdeobjetossobrelosqueseaplicanautorizacionesenunaOU.
Esta ventana puede sugerir que es posible manejar los objetos en una unidad organizativa de los objetos
instanciadosapartirdetodaslasclasesdeclaradasenelesquemadeldirectorioActiveDirectory.Dehecho,no
esas,yaqueesunaventanadeseleccingenrica.

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Asignacindepermisosenfuncindelaclasedelobjeto
Lapantallaanteriormuestraquelasautorizacionesdelostiposdeobjetodependendelanaturalezadelosobjetos.
ModeladodeunajerarquadeOU
EnentornoscompuestosdevariosdominiosActiveDirectory,serconvenientedeterminarsielmodelodejerarquade
OU definido es idntico o, por el contrario, es objeto de especificidades para cada uno de los dominos. En trminos
absolutos, si la naturaleza de la estructura jerrquica de las OU en varios dominios afecta a algunos usuarios, sera
razonable hacer que los dos o tres primeros niveles de OU fueran comunes para todos los dominios en cuestin. De
estaforma,losusuariosencontraranunajerarquadeOUestandarizadaenlosdiferentesdominios.
Seacomofuere,noolvidequeunajerarquadeOUenundominioconcretonotieneningunarelacinconunajerarqua
deOUdefinidaenotrodominio.
ElnicopuntocomnquepodraexistirentreOUsituadasendominiosdiferentesodentrodelmismodominioserasu
RDN(RelativeDistinguishedName),yaquepuedeserelmismo.
De esta manera, es posible tener varias OU con el mismo nombre. En nuestro ejemplo, otras OU que tienen el RDN
"OU=Consultants"puedenexistireneldominiooenotrosdominiosdelbosque.Estetipodeoperacinesposibleya
quetodoslosobjetossonnicosgraciasalusodeGUID(GloballyUniversalIdentifierDescriptor).
La siguiente figura muestra un primer esbozo de una estructura de OU. En trminos absolutos, la definicin de la
estructuratieneunarelacindirectaconlasoperacionesdeadministracindeloselementoscontenidosenlasOU,as
comoconlaposibilidaddehaceronousodelosserviciosdedelegacinenfuncindeladirectivadelaempresa.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Delegacinyposeedoresdeunidadesorganizativas
En un principio el administrador tiene el poder de delegar en algunas OU o jerarquas de OU todas o parte de las
operaciones de administracin a simples usuarios del dominio o de cualquier dominio autorizado. De acuerdo con las
buenasprcticaspodemosdefinirtrestiposdeadministradores:
Losposeedoresdeservicios
Sonlascuentasdeadministracinhabitualesque,pordefinicin,poseentodoslosderechos,incluidoeldeapropiarse
deobjetosquenolespertenecen.
Losposeedoresdecuentas
Son cuentas que son objeto de una o varias delegaciones. Pueden administrar todas o parte de las cuentas de un
departamentoounaunidadconcretadelaempresa.Enfuncindelasdelegacionesquesedesearealizarquizsea
necesariotenervariosposeedoresdecuentas,cuyasconfianzasseadaptarnenfuncindelasnecesidades.
Losposeedoresderecursos
Son cuentas que son objeto de una o varias delegaciones. Pueden administrar todas o parte de las cuentas de un
departamentoodeunaunidadconcretadelaempresa.Enfuncindelasdelegacionesarealizarquizseanecesario
tenervariosposeedoresderecursos,cuyasconfianzasseadaptarnenfuncindelosrecursosacontrolar.

En este ejemplo, las cuentas de recursos son objeto de la delegacin de la gestin de algunos recursos por
parte de los poseedores de servicios y de los poseedores de cuentas. La estrategia de delegacin deber
determinarydespusformalizarelplanmsadecuadoparalasprcticasylapolticadelaempresa.
Siseusanlastecnologasymtodospropuestos,losequiposinformticossecentrarnensuverdaderocometido,es
decir,losserviciosdeinfraestructuraygestindelainformacinenelsentidoestratgicodeltrmino.Enelmarcodel
Plan de delegacin, cada departamento de la empresa se ocupar de administrar sus propios objetos dentro de su
propiazonadeautoridad.
Parasabermsacercadelestablecimientodeunaarquitecturadeunidadesorganizativas,consulteWindows
Server 2003 Technical Reference disponible en el sitio Web de Microsoft en la direccin
http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/techref/enus/default.asp.Puedetambin
consultar Microsoft Windows Server 2003 Deployment Kit Designing and Deploying Directory and Security
ServicesyremitirsealcaptulotituladoDesigningtheActiveDirectoryLogicalStructure.

Unidadesorganizativasyunicidaddelascuentasdeusuario
Alcrearunacuentadeusuario,ActiveDirectorygeneraunSID(SecurityIdentifierDescriptor)yunGUID.Esteltimose
usa para identificar la entidad de seguridad. Active Directory crea asimismo un nombre LDAP (RDN Relative
DistinguishedName)nicorelativobasadoenelnombredelaentidaddeseguridad.Estenombrenicoytambinun
nombre cannico Active Directory se generan en funcin del nombre nico relativo LDAP, de los nombres de los
contextosdeldominioydeloscontenedoresdondesehacreadoelobjetoentidaddeseguridad.
Si la empresa se compone de varios dominios es posible usar el mismo nombre de usuario (o nombre de equipo) en
- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

dominios diferentes. El ID de seguridad, el identificador universal nico (GUID), el nombre nico LDAP y el nombre
cannicogeneradosporActiveDirectoryidentificarndeformanicaacadausuario,equipoogrupodentrodelbosque.
Sisedaunnuevonombrealobjetoentidaddeseguridadoseledesplazaaotrodominio,elIDdeseguridad,elnombre
nico relativo LDAP, el nombre nico LDAP y el nombre cannico se modificarn automticamente. Por el contrario, el
identificadoruniversalnicogeneradoporActiveDirectorycontinuarsiendoelmismoyaquesetratadelmismoobjeto.
EncasodequeintentecrearunasegundacuentadeusuarioconelmismonombreenlamismaOU,recibirunmensaje
deerrorenelqueseindicaqueelnombreyaexiste.
Para disponer de dos objetos usuario con el mismo "nombre detallado" en el mismo dominio deber hacer que se
almacenenenunidadesorganizativasdiferentes.
Unaunidadorganizativaslopuedecontenerobjetosprocedentesdesupropiodominio,seacualseaeltipo
deobjetos.Portanto,noresultaposibleinsertarobjetosprocedentesdeldominioBenunaOUdeldominioA.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

Losrboles
Un rbol de dominio(s) es un conjunto de dominios agrupados para formar una estructura jerrquica. Por definicin,
cuandoseaadeundominiodentrodeunbosque,puedenpresentarsedossituaciones:

Eldominioseinsertacomonuevodominiohijoenunrboldedominioyaexistente.

Eldominiocreaunnuevorbolenunbosqueyaexistente.

Apropsitodelprimerdominiodelbosque:laopcinquepermitecrearunnuevodominioenunnuevobosque
corresponde a la creacin inicial del bosque. Ese dominio particular recibe el nombre de dominio raz del
bosqueytambindesempeaelpapeldedominiorazdelprimerrbol.Msadelantetrataremoslaimportanciadela
funcindedominioraz.
Apartirdelmomentoenqueustedagregaunnuevodominioaunrbolexistente,steseconvierteenundominiohijo
deldominiorazdelrbol.Enesteejemploeldominiorazdelrboleseldominiopadre.
Sinembargo,undominiohijopuedetambintenerunoovariosdominioshijo.Estaestructuracompuestademltiples
dominiosformarunajerarquadedominiocuyonombreestarbasadoeneldominiorazdelrbol.As,elnombrede
undominiohijoenunrbolessimplementesunombreDNS.Estenombreesunacombinacindelnombredecadauno
delosdominioshastaeldominiorazdelrbolcomo,porejemplo,eldominioActiveDirectoryresponsabledelazona
EMEA(Europe,MiddleEastandAfrica)cuyonombreDNSsera,porejemplo,emea.corpnet.corporate.net.
Por definicin, un rbol Active Directory es un espacio de nombres DNS perfectamente contiguo y, por tanto,
cualquier nuevo espacio de nombres DNS ser objeto de la creacin de una nueva arborescencia dentro del
bosqueActiveDirectory.
Apesardequeeldominiosealaunidaddeadministracin,seguridadyreplicacinbsica,esprobableque,enfuncin
delmodelodeadministracinodeorganizacindelaempresa,seanecesariocrearunoovariosdominiosadicionales.
Porejemplo,sepodratenerqueagregardominiosdentrodeunbosqueexistenteenlossiguientescasos:

Permitirelestablecimientodeunmodelodeadministracindescentralizado.

Usardirectivasyparmetrosdeseguridaddiferentesparacadadominio.

Aumentarelrendimientodelasreplicacionesyobtenerasunmejorcontrolsobreellas.

Eliminarciertoslmitestcnicoscomoelnmerodeobjetossoportadosoelnmerodecontroladoresdedominio
pordominio.

La creacin de una arborescencia puede estar justificada cuando una empresa posee varias oficinas en diferentes
pases.Silareddelaempresasecomponeslodeundominio,serprecisodisponer,comomnimo,deuncontrolador
de dominio por sitio para poder garantizar los servicios generales. Se tratar principalmente de servicios de
autenticacindelosusuariosyquiztambindelagestinyconfiguracindelosequiposconayudadelatecnologa
IntelliMirrorylasdirectivasdegrupo.
LatecnologaIntelliMirrorpermitecombinarlasventajasdelainformticacentralizadaconlasprestacionesyla
flexibilidaddelainformticadistribuida.Estatecnologagarantizaladisponibilidaddelosdatosdeusuario,la
disponibilidaddelosprogramasydelosparmetrospersonalesascomosupermanenciacuandolosusuariosabren
una sesin en un dominio Active Directory y, todo ello, desde cualquier equipo del dominio o de un dominio
autorizado.
Imaginemos una empresa compuesta por un nico dominio Active Directory que gestiona diez sitios geogrficos en 5
pases.Unosmesesmstardelaempresaestenplenaexpansinypasaacontarconcuarentasitiosenochopases.
Esta notable evolucin de la topologa fsica de la empresa deber traducirse en una evolucin del modelo original
compuestoporunnicodominiohaciaunaarquitecturamultidominio.
Lasiguientefigurailustradichaevolucin.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

EvolucindelDIT(DirectoryInformationTree)
Laevolucindeberestartcnicayeconmicamentejustificada.Esposiblequesedeseeunciertoniveldeautonomao
bienquelosflujosdereplicacindemandenunciertoniveldeaislamiento.Dividirlaredenvariaspartespermitiraal
equipoinformticodisponerdeundominioActiveDirectoryporpasenlugardeunnicodominio.
Inclusosilasolucinperfecta, entrminosdesencillezdeimplementacin,mantenimientoyevolucin,esladisponerde
unbosquecompuestoporundominioquecomprendieraasuvezunsolocontador,nohayqueexagerarlacomplejidad
delasinfraestructurascompuestaspormltiplesdominios.Elhechodeposeervariosdominiosnosignificadeninguna
maneraquesuadministracinresultemspesadaocompleja.
Losdominiosdeunbosquecompartenloselementosesenciales,esdecir,elesquema,laconfiguracin,loscatlogos
globalesylosespaciosdenombresDNSofrecidosporlasdiferentesarborescenciasdelbosqueActiveDirectory.
Finalmente,especificamosacontinuacinlospuntosmsimportantesquecaracterizanunaarborescenciadedominios:

Una arborescencia es un nuevo espacio de denominacin distinto a todos los dems. Por ejemplo, se podra
crearunnuevoespaciodenombresDNS(partners.netopartners.corporate.com,etc.)yunnuevodominioActive
Directory para alojar a los socios de confianza dentro del bosque Active Directory corpnet.corporate.com. Esta
configuracin necesita de una nueva arborescencia ya que el espacio de nombre inicial, corpnet.corporate.com
estfraccionado.
Los nombres creados por debajo de un dominio raz de rbol son siempre contiguos o forman un espacio
continuo.
Los nombres DNS usados pueden reflejar una entidad particular, la organizacin de la empresa de forma
geogrfica,deformaorganizacionalounacombinacindeambas.

La implementacin de una nueva arborescencia de dominio permite a la empresa disponer de varios espacios de
nombres. Este aspecto es especialmente importante cuando la empresa es objeto de una compra y su nombre debe
preservarseimperativamente.
Peseatodo,presteatencinalhechodequelacreacindeunanuevaarborescenciavacanopermitelaintegracin
natural de un bosque A en un bosque B. Para poder recuperar realmente los objetos del bosque B en el bosque A
deber efectuar una operacin de importacin/exportacin o, mejor an, un clonado de objetos. El destino de la
operacin ser un dominio existente o un dominio nuevo que funcione en modo nativo Windows 2000 o Windows
Server 2003 dentro del bosque y, en tanto que dominio fuente, el dominio que contiene los objetos que desea
recuperar.
La operacin de recuperacin consistir en clonar los objetos con ayuda de la herramienta ADMT 2.0. Los nuevos
objetosdeseguridadcreadoseneldominiodestinousarnelatributosIDHistorydisponiblesloenmodonativo.

MsadelanteenestaseccinpresentaremosbrevementeelprincipiodelatributosIDHistory.

HerramientademigracinparaActiveDirectoryADMTVersin3.0

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

La herramienta de migracin para Active Directory (ADMT, Active Directory Migration Tool) puede ayudarle a migrar las
cuentas de usuario, los grupos y las cuentas de equipo de dominios Windows NT 4.0 a dominios Active Directory
(dominios cuyos controladores de dominio ejecutan Windows 2000 Server, Windows Server 2003 o Windows Server
2008). La herramienta ADMT Versin 2.0 se suministr en el CDRom de Windows Server 2003 en el directorio \I386
\ADMT.
ADMT versin 3.0 aporta las siguientes mejoras: la ejecucin simultnea de diferentes operaciones ADMT, el
soporte de Microsoft SQL Server para el almacenamiento de datos de migracin, la posibilidad de modificar
directamente el nombre de las cuentas, los nombres relativos (RDN), los nombres de cuentas SAM y nombres
principalesuniversales(UPN).EstasopcionessonposiblesatravsdelanuevapginallamadaOpcindeseleccin
de objetos, aadida en los Asistentes de Migracin de cuentas de usuario, de ordenadores y cuentas de grupos.
ADMTversin3.0mejoraigualmenteelservidordeexportacindecontraseas(PasswordExportationService)quese
ejecutaahoracomounservicio.Deestemodo,esposiblelanzarloatravsdelainformacindeautenticacindeun
usuarioautenticadoenundominiomigrado.Porltimo,elconjuntodelosficherosderegistrosealmacenaahoraen
la base de datos SQL de ADMT para una consulta posterior. Para descargar ADMT Versin 3.0, busque Active
DirectoryMigrationToolv3.0enelsitiodeMicrosoft.

Paraobtenermsinformacin,consulteHerramientasdesoporteActiveDirectoryyDiseoydesplieguede
los servicios de directorios y de seguridad en la pgina Web de Kits de recursos tcnicos de Microsoft
Windowsenladireccin:http://www.microsoft.com/reskit.
LaversinADMT1.0suministradaenelCDdeWindows2000Server,nopermitamigrarlascontraseas.Lasversiones
2.0 y 3.0 permiten ahora la migracin de contraseas. Para ello es necesario instalar un servidor de exportacin de
contraseas.EstaoperacinpuederealizarsefcilmenteinstalandoelcomponentedeexportacinenunBDC(Backup
DomainController)NT4.0oenuncontroladordedominioWindows2000ServeroWindowsServer2003.Sisuservidor
deexportacindecontraseaejecutaWindowsNTServer4.0,deberdisponerdecifradode128 bits.
Adems, para maximizar el nivel de seguridad de las operaciones de recuperacin de las contraseas, Microsoft
recomiendaqueelservidordeexportacindecontraseadeldominiofuenteseauncontroladorsecundariodedominio
"dedicado"aestatareayubicadoenunlugarespecialmenteseguro.
La herramienta ADMT "clona" los objetos de seguridad entre los dominios fuente y destino situados en bosques
diferentes. Observe que, sin embargo, tambin puede usarse en la reorganizacin de un bosque para desplazar los
objetosentrelosdominiosActiveDirectorydelbosque.
ApropsitodesIDHistorydatosdehistricodelSID
Unobjetodeseguridad"clonado"esunacuentasituadaenundominioActiveDirectoryquefuncionaenmodonativo
Windows 2000, en modo Windows Server 2003 o en modo Windows Server 2008, de la que se han copiado las
propiedadesdeorigenNT4.0apartirdelacuentafuente.ApesardetratarsedeunnuevoobjetoeneldominioActive
DirectoryydedisponerobligatoriamenteporellodeunnuevoSID,elantiguoSIDdelacuentafuentesecopiarenel
atributoActiveDirectorysIDHistorydelnuevoobjeto.ElhechodecargarelantiguoSIDpermitealobjetoclonadopoder
continuaraccediendoalosrecursosderedsobrelosquelacuentafuentedisponadederechos.
Tcnicamente,losaccesosalosrecursosderedsereservanatravsdelsIDHistoryyaque,enmodonativo,eliniciode
sesincreaunticketdeaccesoAccessTokenquecontendrelSIDprincipaldelusuarioytambinelsIDHistorydel
usuarioylossIDHistorydelosgruposalosqueperteneceelusuarioenelantiguodominiofuente.
Estasbreveslneaspermitencomprenderqueunnuevorboldentrodeunbosqueexistentepermitedisponerdeun
nuevo espacio de nombres DNS distinto y de un nuevo dominio Active Directory virgen. Por lo tanto, no es posible
"conectar"unrboldeunbosqueXcomonuevorboldeunbosquediferente.
Ubicacindelanuevaarborescencia
Este punto permite ahora plantearnos establecer una nueva arborescencia de dominios en el bosque o quiz en un
bosquediferente.Esimportanteplantearseestacuestinparaoptarporlamejoropcindecaraafuturasevoluciones
acortoymedioplazo.
Antesdecrearunanuevaarborescenciaparaestablecerunnuevoespaciodedenominacinserarazonableevaluarla
posibilidaddecrearunanuevaarborescenciaenunnuevobosque.Estaopcinpermitiraalaempresabeneficiarsede
unaautonomatotalconrespectoalaentidaddeadministracin,deunesquemaydeunaconfiguracindiferentesas
comodeunaseparacintotalentrelasinfraestructurastcnicas.Deestaforma,sepodraplantearunaseparacino
cesindelaactividaddeunafilialdelaempresa.
Lasiguientefiguramuestralasdiferentesposibilidades.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Arborescenciaenelmismobosqueyenbosquesdistintos
Unaempresaimplementaunainfraestructuracompuestaportresarborescencias.Losdosprimerosseimplementanen
el primer bosque, permitiendo a la empresa utilizar dos espacios de nombres diferentes en el mismo espacio de
seguridadylamismainfraestructuratcnicaActiveDirectory.
Laterceraarborescenciaseimplementa,estavez,enunbosquediferente.Estaposibilidadesunamuybuenasolucin
sisetienequeconsiderarunazonadeseguridaddistintaolaposibilidaddeunacesindeesaentidaddelaempresa.
Laseccinconsagradaalafuncindelbosquepresentalosconceptosdebosqueylanocindeconfianzadebosques.
DCPromo, el Asistente para la instalacin de Active Directory, se ocupa de las operaciones de construccin de las
arborescencias. Dicho asistente se encargar de crear una relacin de confianza Kerberos versin 5 bidireccional
transitivaentreeldominiorazdelnuevorbolyconelmismotipodeconfianzaaldominiorazdelbosque.Delmismo
modo,lasotrasarborescenciasdedominiosdelbosquese conectarnaldominiorazdelbosque,conelmismotipo
deconfianza.
La pantalla siguiente muestra que los dominios corp2003.corporate.net y Partners.corporate.net poseen confianzas
bidireccionalestransitivasdetipoRazdelrbol.

Eldominiobooster2008.Corp2008.Corporate.netyPartners.Corporate.netseautorizanmutuamente

Disponibilidaddeldominiorazdelbosque

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Como hemos precisado ms arriba, estas complejas operaciones son realizadas automticamente por DCPromo. Sin
embargo,Microsoftsugierequesehagatodoloprecisoparagarantizarladisponibilidaddeldominiorazdelbosquecon
respectoalosdominiosrazdelasarborescencias.
Debenconsiderarsedosaspectosfundamentales:
1.Lasconfianzassontransitivas:latransitividaddelasrelacionesdeconfianzaKerberosversin5requierecontactar
con el dominio raz del bosque. Por consiguiente, se deber asegurar la posibilidad de contactar con al menos un
controladordedominiodeesedominio.
2. Los paquetes de autenticacin Kerberos estn marcados con un reloj: Conocemos bien la potencia del protocolo
Kerberosversin5.LasfuncionalidadesdeantireplayintegradasenelprotocoloKerberosprecisandelmarcadodela
horadelospaquetesdeautenticacin.Dehecho,elsistemadesincronizacinhorariadebefuncionaraniveldebosque.
Lareferenciaglobalsedefineeneldominiorazdelbosqueydespussetransmitealosdemsdominiosdelbosque
atravesandolasdiferentesarborescencias.
Elsistemadesincronizacinhorariaseimplementaenloscontroladoresdedominioconlafuncindemaestros
deoperacionesPDCEmulator.Esosequiposson,porlotanto,especialmenteimportantesenloqueserefiere
al funcionamiento del protocolo de autenticacin Kerberos versin 5, y ello aparte del resto de funciones que
pudierandesempeardentrodelbosque.
El controlador en cuestin dispone de las funciones de maestro de operaciones FSMO PDC Emulator, catlogo global,
controlador de dominio Active Directory en el sentido LDAP del trmino, centro de distribucin de claves Kerberos y
servidordetiempoatravsdelservicioRelojWindowsoW32Time.
Apropsitodelosnombresdedominiohijo
Unavezcreadoeldominioodominiosrazdelaarborescencia,enfuncindelnombredelaempresaodeunadivisin
particular, ser conveniente definir la poltica de denominacin de los dominios hijo dentro de una arborescencia de
dominioconcreto.
LasmodificacionesquedebernaplicarseenlainfraestructuradedominiosdeunbosqueActiveDirectorysonsinnimos
de complejidad, riesgo potencial de falta de disponibilidad y, en muchos casos, de imposibilidad. Desde los primeros
modelos de arquitectura definidos por Microsoft con algunos grandes clientes, Microsoft siempre ha prevenido de las
limitacionesquesiguenexistiendoinclusocincoaosdespus.
Los dominios hijo de un dominio raz de arborescencia pueden representar fcilmente a entidades conocidas por los
usuariosy,portanto,autorizadasglobalmente.Eseseraelcasodelossiguientestiposdeentidades:

regionesgeogrficas,pases,sitiosdepartamentales

entidadesadministrativas,departamentosdeempresa

entidadesespecficasdeunaactividadparticular.

UnabuenaprcticaquenospermitiraprovecharplenamentedelaarquitecturadedominiosActiveDirectory,relativaa
la denominacin de nombres de dominio hijo de un dominio raz de arborescencia, consiste en apoyarse en los sitios
geogrficos.
LadefinicindeunespaciodenombreparaeldirectorioActiveDirectorydebeconsiderarlaprobabilidaddeque
seproduzcaunareorganizacinimprevistaconelimpactomslimitadoposiblesobrelajerarquaojerarquas
dedominio.

CreacindeunaarborescenciaycontrolesrealizadosporDCPromo
Cuandoseimplementaunnuevodominioparacrearunaarborescenciadedominio,elasistenteparalainstalacindel
directorioActiveDirectoryefectaunaseriedeoperacionesdecontrol:

Comprobacin del nombre DNS declarado. El nombre declarado debe crear una ruptura del espacio DNS
existenteenelbosqueyelnombreNetBIOSdeldominiodebesernico.

Bsquedadeuncontroladordedominiooperativoparaeldominiorazdelbosque.

Replicacindelasparticionesdeesquemaydeconfiguracin.

Creacindelanuevaparticinnecesariaparaelnuevodominioydelosnuevosobjetospredeterminadosdela
misma.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

GeneracindelSIDdelnuevodominioydeladirectivadeseguridad.
Creacin de un objeto TDO (Trusted Domain Object) en el dominio raz para el nuevo dominio de la nueva
arborescencia.
CreacindeunobjetoTDO(TrustedDomainObject)eneldominiodelanuevaarborescenciaparaeldominioraz
delbosque.

Creacindeunarelacindeconfianzabidireccionalentrelosdosdominios.

Creacindeladirectivadegrupodeldominio.

Definicin de la seguridad en el controlador de dominio, de los archivos Active Directory y de las claves del
registro.

Aunquelainterfazgrficaylosmanualestcnicosnosexpliquenquelasconfianzascreadaspordcpromoson
relacionesbidireccionales,observeque,enrealidad,setratatcnicamentededosrelacionesunidireccionales.
Para obtener ms detalles sobre las operaciones realizadas por DCPromo, consulte los registros de instalacin del
directorioActiveDirectoryen\%Systemroot%\debug.LosficherosDCPromo.logyDCpromoUI.logconsignantodaslas
operaciones del proceso de instalacin del directorio Active Directory en el equipo, mientras que los archivos
NtFrsApi.logyNtFrs_000x.logconsignanlasoperacionesdeinstalacindelvolumendesistemacompartidoSysvol.
Los servidores Windows Server 2003 y Windows Server 2008 que utilizan la carpeta %Systemroot%\debug
para almacenar los ficheros de seguimiento de instalacin y desinstalacin. En lo que respecta a Windows
Server2008,seencontrarnuevosregistrosconlasoperacionesrelativasalasnuevasfuncionessoportadasporel
Administradordelservidor.

- 6-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Losbosques
UnbosqueesunainstanciacompletadeldirectorioActiveDirectory.EnprimerlugarparecequeActiveDirectoryexiste
sloapartirdelmomentoenquesecreaunnuevodominio.Sinembargo,lacreacindeeseprimerdominioslopodr
hacersehabiendoespecificadopreviamentequeeldominioestincorporadoaunnuevobosque.
Dichodeformamssimple,paraqueelbosqueexista,esnecesariounaarborescenciaquecontengaundominioActive
Directoryy,porlotanto,comomnimoundominio.
Cadabosqueexistegraciasalconjuntodeloscontroladoresdetodoslosdominiosdelbosque.Estosignificatambin
que,finalmente,uncontroladordeundominioconcretoes"antesquenada"uncontroladordelbosque.
Evidentemente,elbosquesloesoperativoatravsdelprimerdominioinstalado.Luego,enfuncindelasnecesidades
odelasrestriccionesdecadaorganizacin,serposibleagregarleotrosdominios.Esosdominiospodrnformarparte
delespaciodenombresinicialodeunnuevoespaciodenombresatravsdeunanuevaarborescencia.
Pordefinicin,todoslosdominiosdeunbosquecomparten:

unesquemacomn

unaconfiguracincomn

unalcancedebsquedaglobalatravsdeloscontroladoresdedominioconlafuncindecatlogoglobal

relacionesdeconfianzabidireccionalestransitivasquerepresentanlaestructuralgicadelbosque.

ElsiguienteesquemamuestraunainstanciaActiveDirectory.

EstructuradeunbosqueActiveDirectory
Comopuedeconstatarenestafigura,elbosqueposeeundominioparticularsituadoenlapartemsaltadelespacio:
eldominiorazdelbosque.
El dominio raz del bosque es el primer dominio instalado. De hecho, el establecimiento del bosque requiere del
establecimientodeunaarborescenciaque,asuvez,requieredelestablecimientodeundominioque,asuvez,requiere
delainstalacindeunequipoconelestatusdecontroladordedominioydecatlogoglobalActiveDirectory.
HemosvistoantesculeseranlasoperacionesdeconstruccindeunanuevaarborescenciarealizadasporDCPromo.
Uno de los puntos importantes es la creacin de los objetos TDO Trusted Domain Object y de las confianzas de
dominio.
Ahora,simiramoslapartecorrespondientealbosque,elpuntomsimportanteser,porsupuesto,eldominioraz.Este
dominiodesempealafuncindepuntodecontrolydepasoobligadoparanumerosasoperacionesdecarcterglobal.
Entre esas operaciones podemos citar todas las referentes a la gestin de derechos y a la configuracin a nivel del
bosqueytambinlatransitividaddelasautenticacionesentrelosdominiosdelbosquemedianteelprotocoloKerberos
versin5.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

1.Criterios,funcinybuenusodelosbosques
La finalidad de la presente seccin es ayudarle a optar por las mejores opciones en funcin de los diferentes
contextosoescenariosconlosquesepuedeencontrar.Lapreguntaes"Cundoesrealmentenecesariocrearun
nuevobosque?".
Aunque sea cierto que un bosque es una instancia completa del directorio Active Directory, y a pesar de que hace
variosaosMicrosoftproclamaqueunbosquerepresentaaunaempresa"entera"oaunaorganizacinenelsentido
Exchange del trmino, Microsoft siempre ha dado a entender que, en el futuro, sera posible imaginar una mayor
interoperabilidadenlosentornoscompuestosdemsdeunbosque.
Lgicamente, e incluso si lo que se recomienda es construir infraestructuras fciles de mantener, el hecho de crear
varios bosques permite a las empresas disponer de varias zonas de autoridades francas. Despus ser posible
conectarlascreandoconfianzasexternasoconfianzasdebosques.Estaevolucinenlaestrategiapermiteconstruir
solucionesenlasquelosbosquesdelaempresaseconectanconlosdemsbosquesdeesaempresaoinclusocon
bosquespertenecientesasociosexternos.
Este planteamiento permite concebir todas las posibilidades asociadas a los bosques de Active Directory, que se
enumeranacontinuacin:

El bosque Active Directory es un conjunto de dominios Active Directory. A ttulo informativo diremos que los
objetos de tipo "dominio" son tcnicamente contenedores basados en las clases dominio, dominioDNS y
samDominio.
ElbosqueActiveDirectoryesunconjuntodeunidadesdereplicacin.Dichasunidadesdereplicacinproceden
directamentedelasparticionessoportadasporcadaunodelosdominiosdelbosque.
ElbosqueActiveDirectoryesunafronteradeseguridadytambinpuedeserunaopcindecontenedorpara
plantearunadelegacindeautoridadenelmbitodelbosque.

2.Configuracindelbosqueydeldominioraz
En entornos Windows 2000 Active Directory, no se pueden efectuar operaciones de cambio importantes como la
eliminacin,lamodificacinoelcambiodenombredeldominiodelarazdelbosque.Esaslimitacioneseranconocidas
desdelaBeta3deWindows2000yMicrosoftyapreveaentoncesqueestasoperacionespodranrealizarseconla
versinprincipalsiguientedeActiveDirectory.
Anlogamente a Windows 2000 Server, Windows Server 2003 est disponible como una versin "menor 5.2" y, por
consiguiente,sloestndisponiblesalgunasfuncionalidades.LosserviciosdedirectorioActiveDirectorydeWindows
Server2003soportanqueeldominiorazserenombreoreestructure,peronopodrsereliminado.
A propsito del renombrado de dominios Active Directory: la herramienta de renombrado de dominios
Windows Server 2003 Active Directory Domain Rename Tool, proporciona una metodologa para cambiar el
nombreDNSyelnombreNetBIOSdeundominioActiveDirectory.Tengacuidadoconlasnumerosaslimitacionesque
existen.Porejemplo,estaherramientanosedebeutilizarenbosquesquetienenservidoresExchangeServerque
no utilizan como mnimo Exchange Server 2003 SP1. Para obtener informacin relativa a estas delicadas
operaciones, puede consultar el Webcast Microsoft titulado "Microsoft Windows Server 2003: Implementing an
ActiveDirectoryDomainRenameOperation"consultandoelartculo819145.

LosdominiosquefuncionanenelnivelWindowsServer2008estnsometidosalasmismaslimitaciones.Por
ejemplo, la instalacin de servicios AD CS Active Directory Certificate Services, impide las operaciones de
renombradoenlosservidoresWindowsServer2008.
Particionesdelbosque
Eldominiorazdelbosqueesmuyimportanteyaqueseusaparadarnombreylocalizarlaparticindeconfiguraciny
laparticindeesquemadelbosque.As,paraeldominiorazcorpnet.corporate.com,ActiveDirectorymuestralos"DN"
delasdosparticionesdelamanerasiguiente:
Paralaparticindeconfiguracin:
cn=configuration,dc=corpnet,dc=corporate,dc=com
Paralaparticindeesquema:
cn=schema,cn=configuration,dc=corpnet,dc=corporate,dc=com

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Dehecho,esosobjetosnoexistenrealmenteentantoquehijosdeldominiorazdelbosque,Deigualmodo,podra
parecerquelaparticindeesquemaestcontenidaenlaparticindeconfiguracin,peronoesasenabsoluto!
Dehecho,laideaeshacerque,seacualseaeldominiodelbosque,estasimportantesparticionesestnreferenciadas
conlosmismosnombres.As,todosloscontroladoresdedominiodecualquieradelosdominiosdelbosque"detentan"
lasparticiones:

cn=configuration,DNdeldominioRazdelBosque

cn=schema,cn=configuration,DNdeldominioRazdelBosque.

Los nombres comunes (DN Distinguished Names) de las particiones de configuracin y de esquema
suministran slo una visin lgica de esos contenedores y no una representacin fsica de su "ubicacin"
ActiveDirectory.

Creacindeldominiorazdelbosque
LaimplementacindeldominiorazdelbosquepermitecrearelDIT(Directory Information Tree)inicialqueservirde
"esqueleto"paralainfraestructuradelosserviciosdedirectorioActiveDirectory.
As,esAsistenteparalainstalacindeActiveDirectoryDcpromo,realizalassiguientesoperaciones:

Secreanloscontenedoresdelasparticionesdeesquemayconfiguracin.
Se asignan las funciones de maestro de operaciones PDC Emulator, RID, Domain Naming, Schema e
Infrastructure. Al tratarse del primer dominio instalado, el primer controlador del primer dominio del bosque
poseetodoslosmaestrosdeoperaciones.
SecreanenesedominiolosgruposAdministradoresdeorganizacinyAdministradoresdeesquema.Esta
operacinesmuyimportanteporqueestosdosgruposgestionantodalainfraestructuraActiveDirectory,que
debeconsiderarsecomounazonadeseguridadnicamentevinculadaaesainstanciadeActiveDirectory.

3.ActivacindelasnuevasfuncionalidadesdebosquedeWindowsServer2003yde
WindowsServer2008
Para activar las nuevas funcionalidades disponibles en el bosque, todos los controladores de dominio del bosque
deben funcionar con Windows Server 2003 y despus se deber elevar el nivel funcional del bosque hasta el nivel
WindowsServer2003.
ParapoderelevarelnivelfuncionaldelbosquealnivelWindowsServer 2003,todoslosdominiosdelbosquedebern
funcionarpreviamenteenelnivelfuncionaldedominioWindowsServer2003oWindowsServer2008.Despus,una
vezquetodoslosdominiosdelbosquefuncionanenesemodo,tendrlaposibilidaddealcanzarelnivelfuncionalde
bosqueWindowsServer2003.
Es posible aumentar el nivel funcional del bosque al nivel Windows Server 2003 aunque algunos dominios
Active Directory funcionen en modo Windows 2000 nativo. En estos casos, los dominios que funcionen en
modo Windows 2000 nativo sern automticamente elevados al nivel Windows Server 2003 sin que usted se de
cuentadeello.Lainiciativasetomar"espontneamente"sinoexistencontroladoresdedominioWindows2000
Serverenningndominiodelbosque.

ElpasodeundominiodelmodonativoWindows2000almodoWindowsServer 2003slopuedeefectuarsesi
todosloscontroladoresdedominiofuncionanconWindowsServer2003.Elpasodeundominioquefunciona
en modo Windows Server 2003 al nivel funcional Windows Server 2008 no se puede realizar si todos los
controladoresdedominionofuncionanconWindowsServer2008.AligualqueocurreconWindows2000parapasar
delmodomixtoalmodonativo,laoperacinencursoesimposiblededetenery,porconsiguiente,elaumentode
losnivelesfuncionalesdelosdominiosydelosbosquesesirreversible.

ModosdelosbosquesyfuncionalidadessoportadasporWindowsServer2008
Los bosques que funcionan con Windows Server 2008 soportan todas las funcionalidades del nivel funcional de
bosque Windows Server 2003, adems de funcionalidades suplementarias. Sin embargo, todos los dominios que se
aadenposteriormentealbosquefuncionarnpordefectoenelnivelfuncionaldedominioWindowsServer2008.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Para simplificar la administracin, y si tiene previsto incluir controladores de dominio que ejecuten Windows
Server2008entodoelbosque,puedeelegirelnivelfuncionaldelbosque.Procediendodeestamanera,no
sernecesarioaumentarelnivelfuncionaldelosdominiosquecreeenelbosque.

MododelosbosquesyfuncionalidadessoportadasporWindowsServer2003
LasfuncionalidadesreservadasalosbosquesWindowsServer2003sonlassiguientes:
Mejorasenlareplicacindelcatlogoglobal

Funcin desactivada en modo Windows 2000, excepto cuando los catlogos globales, directamente asociados a las
replicaciones,funcionanconWindowsServer2003.
FuncindisponibleenmodoWindowsServer2003.
Objetosdeesquemainactivos

FuncindesactivadaenmodoWindows2000.
FuncindisponibleenmodoWindowsServer2003.
SielnivelfuncionaldelbosquesehaelevadoaWindowsServer2003,serposibleredefinirunaclaseounatributo
despusdehaberlosdesactivado.Amododerecordatoriodiremosque,conWindows2000,lasclasesylosatributos
agregadosalesquemabsicopuedendesactivarsesinaumentarelnivelfuncionaldelbosque,sinembargo,sloes
posiblemodificarlossielnivelfuncionaldelbosqueesWindowsServer 2003(osuperior).
Confianzasdebosques

FuncindesactivadaenmodoWindows2000.
FuncindisponibleenmodoWindowsServer2003.
Si el nivel funcional del bosque se ha elevado a Windows Server 2003, podr conectar o vincular dos bosques
WindowsServer2003diferentesconayudadeunarelacindeconfianzatransitivaunidireccionalobidireccional.En
caso de que la confianza creada sea bidireccional, es posible que los dominios de cada uno de los dos bosques se
autoricen.Lasconfianzasdebosquesoninteresantesyaqueaportanlasventajassiguientes:

Gestinsimplificadareduciendoelnmerodeconfianzasexternasnecesarias.

Relacionesbidireccionalescompletasentretodoslosdominiosdecadabosque.

SoportedeliniciodesesinatravsdelUPN(UserPrincipalName)entredosbosques.

SoportedelosprotocolosKerberosversin5yNTLM.

Flexibilidaddeadministracinyaquecadabosqueesunazonadepoder.

Replicacindelosvaloresvinculados

FuncindesactivadaenmodoWindows2000.
FuncindisponibleenmodoWindowsServer2003.
La replicacin de los valores vinculados (LVR Listed Values Replication) permite replicar de forma separada los
diferentes valores de un atributo compuesto por mltiples valores. Por ejemplo, en los controladores de dominio
Windows 2000, cuando se efecta una modificacin de un miembro de un grupo debe replicarse el atributo
correspondiente. La replicacin LVR permite replicar de manera independiente los valores modificados y no el
contenido del grupo entero. Al igual que para las funcionalidades descritas ms arriba, se deber elevar el nivel
funcionaldelbosquehastaWindowsServer2003.
Cambiodenombredeundominio

FuncindesactivadaenmodoWindows2000.
FuncindisponibleenmodoWindowsServer2003.
MientrasquesiemprehabasidoposiblecambiarelnombredelosdominiosWindowsNT,yqueWindows2000yel
directorioActiveDirectoryaportabanmultituddenuevasfuncionalidades,laasignacindenombresDNSalosdominios
Windows2000debaplanificarsecorrectamentedebidoalaimposibilidaddecambiarelnombredetodaopartedela
estructuradedominios.LosservidoresWindowsServer2003soportanenlaactualidadestafuncionalidadsiemprey

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

cuandotodosloscontroladoresdedominiodelbosquefuncionenconWindowsServer2003,quetodoslosdominios
funcionenenmodoWindowsServer2003yqueelbosquefuncionetambinenelnivelfuncionaldebosqueWindows
Server2003.
Lafuncionalidaddecambiodenombredeundominioserespecialmentetilsilaempresarealizalacompradeotra,o
por qu no, cambia de razn social. De hecho, el cambio de nombres de dominio permite efectuar las operaciones
siguientes:

cambiarlosnombresDNSylosnombresNetBIOSdecualquierdominiodeunbosque,incluidoeldominioraz
delmismo
reestructurar la posicin de cualquier dominio de un bosque, excepto del dominio raz del bosque, que
permaneceobligatoriamenteenlapartemsaltadelmismo
reestructurar la jerarqua de dominios para que un dominio situado en una arborescencia X pueda ser
desplazadoaunaarborescenciaY.

La herramienta de cambio de nombres de dominio Rendom.exe, permite las operaciones de cambio de


nombre de un dominio cuando el dominio funciona en modo Windows Server 2003. Encontrar esta
herramientaenelCDRomdeWindowsServer 2003enlacarpetaValueadd\Msft\Mgmt\Domren.

Atencin al hecho de que el cambio de nombre de un dominio tiene importantes efectos en todos los
controladores de dicho dominio. Antes de usar esta herramienta es indispensable que consulte la
documentacin relativa a Microsoft Domain Rename Tool en el sitio web de Microsoft en la siguiente direccin:
http://www.microsoft.com/windowsserver2003/downloads/domainrename.mspx

AlgoritmosdereplicacinActiveDirectorymejorados

FuncindesactivadaenmodoWindows2000.
FuncindisponibleenmodoWindowsServer2003.
LoscontroladoresdedominioquefuncionanconWindowsServer2003mejorandemanerasignificativalasnumerosas
funcionalidades de Windows 2000. As, Windows Server 2003 mejora la utilizacin de la memoria y dispone de un
nuevoalgoritmodeadministracindelossitiosActiveDirectory.
Estas mejoras permiten especialmente a las grandes empresas dar soporte a infraestructuras compuestas de un
nmerodedominiosysitiosmsimportante.MsadelanteveremosquetodoslossitiosActiveDirectorydisponende
uncontroladordedominioquedesempeaelpapeldegeneradordelatopologaintersitios(ISTGInterSitesTopology
Generator).LaactualizacindeloscontroladoresdeesetipoaWindowsServer2003mejorarlasreplicacionesincluso
silossitiosylosdominioscontienenancontroladoresdedominioWindows2000.
Microsoft recomienda posicionar en cada sitio un controlador de dominio que funcione con Windows Server
2003yquedesempeelafuncindecatlogoglobalyISTG.Estclaroquelosclientesquedisponendeun
nicocontroladordedominioporsitiotendranqueactualizartodosloscontroladores.

Como la mayora de nuevas funcionalidades aportadas por Windows Server 2003 apuntan a mejorar y a
optimizarelfuncionamiento,podraacordarsehacerlasactualizacionessloenlossitiosquesebeneficiarn
delasmejoras.
Atencin, algunas funcionalidades slo podrn activarse si el bosque se declara para funcionar en el nivel funcional
Windows Server 2003. Eso ocurrir con el nuevo algoritmo de gestin de conexiones intersitios. En los bosques
Windows 2000, el ISTG est limitado a una topologa de unas centenas de sitios como mximo, 300 sitios Active
Directory. Los controladores Windows Server 2003 que funcionan en bosques Windows Server 2003 generan una
topologadereplicacinquepuedealcanzarlos3000sitios.
Adems de esta nueva capacidad, el ISTG de cada sitio debera ser capaz de realizar una seleccin aleatoria del
servidoroservidorescabezadepuentedelsitiopararepartirmsequitativamentelacargadereplicacinintersitios
conayudadelaherramientaActiveDirectoryLoadBalancingadlb.exe,suministradaconelKitderecursostcnicosde
Microsoft Windows Server 2003. Evidentemente, esta posibilidad es especialmente interesante cuando un sitio se
comunicaconmuchosotrosenformadeestrella.
A propsito del ISTG, del KCC, de los BHS y de ADLB (Active Directory Load Balancing): el KCC Knowledge
ConsistencyChecker,esuncomponentedisponibleenWindows 2000ServeryWindowsServer2003.Supapel
consiste en mantener la topologa de replicacin intra e intersitios. Creando objetos de tipo conexin se puede
ajustar la topologa fsica en funcin de la disponibilidad de los controladores de dominio, de los costes de
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

replicacinydelashorasdeaperturadelosenlacesdesitio.ElKCCrealizauncontroldelatopologadereplicacin
cada15minutosyaplicaautomticamenteloscambiosnecesarios.Pordefinicin,cadasitioActiveDirectoryposee
(almenos)uncontroladordedominioconlafuncindeISTG,KCCytambindeservidordecabezadepuenteoBHS
paraBridgeHeadServer.ConWindows2000,elKCCslopuededisponerdeunnicoBHSporsitioyporparticin.
Con Windows Server 2003, el KCC puede distribuir las replicaciones entre varios servidores BHS creando o
modificando los objetos de conexin existentes. Luego puede utilizar la herramienta ADLB (Active Directory Load
Balancing Tool) para reequilibrar la carga entre los diferentes BHS. Observe que en caso de que uno de los
servidores BHS no estuviera disponible, el KCC podr modificar los objetos de conexin modificados por ADLB,
excepto si los objetos de conexin disponen de calendarios para que la carga de replicacin saliente de cada
servidorsedistribuyaregularmenteeneltiempo.

Para obtener ms informacin acerca de la replicacin Active Directory y sus mejoras con Windows Server
2003,vayaalaWebdelKitderecursostcnicosdeMicrosoftenladireccinhttp://www.microsoft.com/reskits
oconsultelapginasobrereplicacinActiveDirectoryenladireccinhttp://go.microsoft.com/fwlink/?LinkId=1646

Clasesauxiliaresdinmicas

FuncindesactivadaenmodoWindows2000.
FuncindisponibleenmodoWindowsServer2003.
Elsoportedelasclasesauxiliaresdinmicasquieredecirqueesasclasessepuedenvincularaobjetosconcretosyno
aclasesenterasdeobjetos.Observequetambinpuedensuprimirsedespusdelainstancia.
ModificacindelaclasedeobjetosinetOrgPerson

FuncindesactivadaenmodoWindows2000.
FuncindisponibleenmodoWindowsServer2003.
EldirectorioActiveDirectorysoportalaclasedeobjetosinetOrgPersonysusatributos,talycomoseespecificaenel
RFC 2798. Microsoft ha implementado esa clase, que no estaba en el esquema de Windows 2000 para ofrecer una
mejorinteroperabilidaddeldirectorioActiveDirectoryconotrosserviciosdedirectorioLDAPyX.500noMicrosoft,sobre
todo en lo que se refiere a la migracin de los objetos de esos directorios a Active Directory. De hecho la clase
inetOrgPerson se deriva de la claseuser y se puede usar tambin como entidad de seguridad. Cuando el dominio
funciona en el nivel funcional Windows Server 2003, el atributo userPassword puede usarse con la clase
inetOrgPerson y tambin con la clase de objetosuser. Observe que hasta ahora la contrasea de un objeto de la
claseusersegestionabaconlaayudadelatributounicodePwd.
Las clases user y inetOrgPerson disponen de los atributos userPassword y unicodePwd. El atributo
userPasswordseheredadirectamentedelaclasePersonmientrasqueelatributounicodePwdseheredade
laclaseuser.

Conjuntodedominiosconconfianzasmutuas
EnelentornoWindows2000,Microsoft"idealiza"alasempresasconunsolobosqueActiveDirectory,explicandoque
los entornos multibosque presentan restricciones y una menor "plusvala" en comparacin con los entornos
compuestosdeunnicobosque.
Por este motivo, en las organizaciones compuestas por varias zonas de poder, puede resultar razonable crear un
bosqueporzonadeadministracin.
Actualmente, las nuevas posibilidades de Windows Server 2003 permiten proponer soluciones ms sutiles.
Efectivamente, aparte de las tradicionales confianzas existentes, hoy es posible crear confianzas de bosque que
permitirnconstruirunasolucinmsabiertaalasempresasquenecesitenvariosbosques.
PosibilidaddedesplieguedeuncontroladordedominiodeslolecturaejecutandoWindowsServer2008
UncontroladordedominiodeslolecturaesunnuevotipodecontroladordedominioWindowsServer2008.Acoge
dos particiones Active Directory de slo lectura. Los RODC, Read Only Domain Controllers, permiten desplegar un
controladordedominiocuandolaseguridadfsicanosepuedegarantizaryesnecesariounaltoniveldeseguridad.
Antesdepoderinstalaruncontroladordedominiodeslolectura,elnivelfuncionaldelbosquesetienequedefinir
como Windows Server 2003 o Windows Server 2008. Cuando se trate de un bosque Windows Server 2003, el
esquemadelbosquesetienequeactualizar.

4.Unidadesdereplicacinyfuncindelosbosques
Un bosque es la unidad de replicacin ms extensa que puede existir dentro de una instancia del directorio Active

- 6-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Directory.Losdatossincronizadosenlosdiferentescontroladoresdedominiodelbosquesereplicarnysincronizarn
basndoseenlasparticionesdeldirectorioActiveDirectory.
En el captulo donde tratbamos la integracin de las zonas DNS en Active Directory, vimos que existan varias
particiones.Lafinalidaddeestasparticionesesorganizareldirectorioenvariasregionesypodercontrolarmejorde
qumaneratienenlugarlasreplicacionesdentrodelbosque.
EldirectorioActiveDirectorysecomponedecuatrograndestiposdedatos.Dehecho,existencuatrograndestiposde
particionesqueseusarnparaalbergarenellaslossiguientesdatos:

Losdatosrelativosalpropiodominiosealmacenanenlaparticindeldominio.
Losdatosrelativosatodoelbosquesealmacenanenlaparticindeconfiguracinylaparticindeesquema.
EnloscontroladoresdedominioquefuncionanconWindowsServer2003,elbosquetambinpodralojarun
nuevotipodeparticionesdedicadasalasaplicaciones:lasparticionesdeldirectoriodeaplicaciones.

Claroest,losobjetosdeundominioActiveDirectorysealmacenarnyreplicarnenlaparticindeldominioatodos
los controladores de dominio del dominio, mientras que los datos relativos a objetos de la configuracin o del
esquema se replicarn en las particiones de configuracin o de esquema a todos los controladores de dominio del
bosque.
Describimosacontinuacinlasdiferentesparticionesyelimpactovinculadoalareplicacinaniveldebosque:
Particindelesquema
CadainstanciaActiveDirectoryesunnicobosqueActiveDirectory,quecontieneunasolaversindelesquemadel
directorio de manera que slo puede existir una nica definicin a escala del bosque. El esquema contiene las
definiciones de cada clase de objeto sabiendo que ste podr extenderse en funcin de las necesidades de la
empresa. Al igual que todos los objetos de los sistemas NT que estn protegidos por ACL, lo mismo ocurre con las
clasesdeobjetodeclaradasenelesquema.
Particindeconfiguracin
Cada instancia Active Directory contiene una sola configuracin del directorio a escala del bosque. La configuracin
describelatopologayotrosparmetrosdelbosquecomopuedenserlalistadedominios,rboles,bosques,ascomo
laubicacindeloscontroladoresdedominioyloscatlogosglobalesenrelacinconlossitiosActiveDirectory.Aligual
queocurreconlaparticindeesquema,laparticindeconfiguracinsereplicaentodosloscontroladoresdedominio
delbosque.
Particionesdeldirectoriodeaplicaciones
LosdatosespecificadosdelasaplicacionespuedenalmacenarseenparticionesdeldirectoriodeaplicacionesdeActive
Directory. Al contrario de las aplicaciones de empresa como Microsoft Exchange Server o Microsoft Systems
Management Server que modifican el esquema y luego se integran en las particiones de configuracin y/o dominio,
algunasaplicacionesalmacenarnenesasnuevasaplicacionesdedatosdecarcter"menosglobal".Deestaforma,
es posible crear particiones especficas que slo repliquen en los controladores que usted elija, sea cual sea su
ubicacin dentro del bosque. Una de las principales ventajas de este nuevo tipo de particin es que ofrece a las
aplicaciones un espacio de almacenamiento altamente tolerante y globalmente disponible en la estructura de la
empresa.
Funcionalmente hablando, el motor de replicacin del directorio Active Directory es multimaestro. Esto significa que
cualquierobjetopuedesercreadoytambinmodificadoencualquiercontroladordedominiodelbosque.Setrata,por
supuesto, de un concepto general, pero fundamental porque permite que el directorio Active Directory sea
globalmente extensible, administrable y que est disponible en cualquier punto de la red sin depender de un nico
maestrocomohastaahoraocurraconLANManageryWindowsNT.
Elgranuladodereplicacinseaplicaalosobjetos,atributosdeobjetoytambinalosvalores"mltiples"propiosde
ciertos atributos. Este ltimo aspecto afecta a la replicacin de una lista de valores, llamada LVR Listed Values
Replication.
A modo de ejemplo, diremos que cuando se efecta una modificacin en un grupo por ejemplo, el agregado o
eliminacin de un miembro todo el grupo debe replicarse en los controladores de dominio que funcionan con
Windows2000.CuandoeldominioseelevaalnivelWindowsServer2003,lareplicacinLVRseactivayslosereplica
el miembro modificado. De esta forma ya no es necesario replicar ese atributo particularmente pesado en los
diferentescontroladoresdedominio.
Preste atencin, sin embargo, al hecho de que las operaciones de carcter nico controladas por los maestros de
operaciones a nivel del bosque hacen que no sea posible realizar ciertas operaciones sobre cualquiera de los
controladores de dominio del bosque sino nicamente sobre los controladores de dominio con la funcin concreta
FSMO.
Cuidado:lareplicacinActiveDirectoryrespetalasexcepcionesvinculadasalascincofuncionesFSMO,quesonlostres
FSMOdecadadominioalqueserconvenienteagregarlosdosFSMOdedicadosalasoperacionesdebosque.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 7-

Por consiguiente, para que la replicacin sea plenamente operativa a escala del bosque, deber considerar que
finalmente es preciso que los controladores de dominio, los cinco maestros de operaciones simples (FSMO, Flexible
SingleMasterOperations),latopologaintersitiosylosequiposconfuncindecatlogosglobalesestncorrectamente
configurados y, si es posible, operativos. En caso de que uno de esos mltiples elementos sufriera un fallo, los
serviciosofrecidosporelelementoencuestinyanoestarndisponiblesypodrnproducirselossiguientescasos:

Siestausenteuncontroladordedominiodelsitio,sesolicitarotrocontroladordelsitio.
Siestausenteelnicocontroladordelsitio,serecurriraotrocontroladordeotrositiodeldominioparaque
"socorra"alsitio.Luegoserseleccionadoporlosclientesdelsitio.
Si no estn disponibles los maestros de operaciones de bosque, no estarn disponibles las funciones de
esquemaydecreacinyeliminacindedominiodentrodelbosque,sinqueporelloelfuncionamientodelos
dominiosdelbosquequedeperjudicado.
Sinoestdisponibleelcatlogoglobaldeunsitio,seescogeryseleccionarotrocatlogosituadoenotro
sitio.Sinohubieraningncatlogodisponible,losiniciosdesesindelosusuariosseguirnteniendolugar,
excepto para los usuarios que no hayan iniciado nunca una sesin de dominio a partir del controlador de
dominio escogido, a menos que se haya desactivado el uso de los GC para las autenticaciones cuando el
dominiofuncionaenmodoWindows2000nativo,enmodoWindowsServer2003oenmodoWindowsServer
2008.

Cuidado: los miembros del grupoAdministradores del dominiosiguenteniendolaposibilidaddeautenticarseenel


dominio cuando los controladores GC no estn disponibles. Esta posibilidad permite que los administradores del
dominioseconectenal,inclusoenmodofuncionalidadreducida,parapoderinvestigarelproblema.

5.MaestrosdeoperacionesFSMOdebosques
AnteshemosvistoquecadadominioActiveDirectorydisponadetresmaestrosdeoperacionesatravsdelosPDC
Emulator,RIDMasterylaInfrastructureMasterparaadministrarlasoperacionesdecarcternico.
Elmismoproblemaseplanteaenelbosque,queposeedosfuncionesdemaestrodeoperacionessimple.Aligualque
lasfuncionesFSMOdedominiosonnicasencadadominio,lasfuncionesFSMOdebosquelosondentrodelbosque.
Enotrostrminos,slopuedeexistirunnicocontroladordeesquemayunnicomaestrodeatribucindenombres
dedominioentodoelbosque.
ElmaestrodeoperacionesControladordeesquema
Elcontroladordedominioconlafuncindecontroladordeesquemacontrolatodaslasoperacionesdeactualizaciny
modificacindelesquemadeldirectorioActiveDirectory.Porconsiguiente,paraactualizarelesquemadeunbosquees
obligatoriocontactarconelequipocontroladordeesquema.Comohemosexplicadoanteriormente,slopuedeexistir
uncontroladordeesquemaparaunbosqueconcreto.
ElmaestrodeoperacionesMaestrodeatribucindenombresdedominio
El controlador de dominio con la funcin de maestro de atribucin de nombres de dominio controla todas las
operaciones de agregado o eliminacin de dominios dentro del bosque. Al igual que ocurre con el controlador de
esquema,nopuedeexistirmsqueunmaestrodeatribucindenombresdedominioparaunbosquedeterminado.

6.ElbosqueylainfraestructurafsicaActiveDirectory
Acabamos de ver que el bosque Active Directory desempea un papel fundamental en tanto que el elemento de la
estructuratcnicadelainstanciaActiveDirectory.Paraimplementarelaspectofsicodelainfraestructuratcnicadel
bosqueActiveDirectory,nosquedanpordescubrirdoselementosfundamentales:
LosobjetossitiosActiveDirectory
Por definicin, los sitios representan la estructura fsica de la red fsica. En el mbito del bosque, los objetos sitios
permiten representar la topologa real de la red en trminos de zonas de conectividad. As, los controladores de
dominio,servidoresyequiposclientesmiembrosdelmismositioActiveDirectorysecomunicarnmsrpidoyconms
frecuenciaquesilosasociadosestnsituadosendiferentessitios.Lossitiossonmuyimportantesparaoptimizarel
usodelanchodebandaentrecontroladoressituadosensitiosgeogrficamentedistantesyconectadosporenlaces
conunanchodebandabajo.
Loscontroladoresdedominiocatlogoglobal

- 8-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Por definicin, los controladores de dominio con la funcin de catlogo global (o GC, de Global Catalog) poseen una
copia de todos los objetos de todos los dominios del bosque. Sin embargo, cuando un controlador de dominio
determinadoejercelafuncindecatlogoglobaldelbosque,"conoce"naturalmentetodoslosobjetosdesupropio
dominio,perosloposeeunacopiaparcialdelosobjetosprocedentesdeotrosdominiosdelbosque.Estosignifica
quetodoslosobjetosprocedentesdeotrosdominiosdelbosque.Estosignificaqueseconocentodoslosobjetossin
excepcin,peronolosontodoslosatributosdedichosobjetos.

Las particiones presentadas en los GC procedentes de otros dominios del bosque reciben el nombre de
conjuntosdeatributosparcialesPAS(PartialAttributesSet).
Ni los usuarios, ni las aplicaciones tienen necesidad de conocer los "detalles" de la estructura de dominios y de los
rboles del bosque. Les basta con llamar a uno de los catlogos globales del bosque para encontrar y localizar el
objeto buscado basndose en los atributos ms interesantes incluidos en los catlogos globales. Por defecto, el
primercontroladordedominiodelprimerdominiodelbosqueeselprimercatlogoglobal.Laventanasiguiente,por
ejemplo,dirigeunapeticinLDAPaloscatlogosglobalesparaquebusqueenTodoActiveDirectoryunaimpresora
quesoportelaimpresinencoloresyenunformatodepapelA4.

LadefinicindelaszonasDNSdeActiveDirectorypermitelocalizarlosdiferentesserviciosofrecidosdentrodelbosque
como, por ejemplo, un controlador de dominio GC para un sitio determinado a travs del registro de recurso de
servicio DNS _gc._tcp.NombredeSitio._sitios.NombredeBosque. Evidentemente, "NombredeBosque" corresponde al
nombredeldominiorazdelbosqueyelprotocolodetransportedeclaradoenelregistrodeservicioDNSdeclarael
uso del servicio _gc en TCP en el puerto 3268, puerto usado por los controladores de dominio con la funcin de
catlogoglobal.Porlotanto,loscatlogosglobalesrespondenporsudominioenelpuertoTCP389yporelbosque
engeneralenelpuertoTCP 3268.
Sin duda podr y tendr que declarar otros catlogos globales para ofrecer los servicios de bsqueda globales a
todoslosusuariosyaplicacionesqueseencuentrenenlosdiferentessitiosgeogrficosdelaempresa.Deestaforma,
stospodrn:

Buscar"localmente"objetosentodoeldirectorioActiveDirectory.
Resolver los sufijos de nombres principales cuando un controlador de dominio debe autenticar a un usuario
basndoseensuUPNUserPrincipalName,comoporejemploBDurand@eu.corpnet.corporate.net.
Resolver los miembros de los grupos universales. A modo de recordatorio, diremos que los grupos de
distribucinydeseguridaddetipouniversalsealmacenennicamenteenloscontroladoresdedominioconla
funcindecatlogoglobal.
Resolverlasreferenciasenobjetossituadosenotrosdominiosdelbosque.

7.Fronterasdeseguridadyfuncindelosbosques
Sabemos que en un entorno compuesto por varios dominios Windows NT, la autoridad de gestin, administracin y
control ms alta es el dominio. Efectivamente, el administrador de un dominio determinado puede, por naturaleza
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 9-

misma,optarportomarposesindetodoobjetocontroladoenelmarcodedichodominio.
En referencia al directorio Active Directory, la pregunta que debemos formularnos es: "Existe en el bosque una
autoridad superior que pueda apropiarse de los objetos situados en otros dominios del bosque?". La respuesta es
"S!"lapersonaencarnadaporunusuariomiembrodelgrupoAdministradoresdeorganizacin.
Atencin: los miembros del grupoAdministradores de organizacin pueden controlar todos los objetos de
todoslosdominiosdelbosque.Laproteccindelosmiembrosdeestegrupoesmuyimportanteydepende
esencialmentedelaadministracindeldominiorazdelbosque.ObservetambinqueelgrupoAdministradoresde
organizacinyelgrupoAdministradoresdelesquemasloexistenenlarazdelbosque.
Dado que el contenedor situado en el nivel ms elevado del espacio controlado es el bosque, parece claro que los
administradores de un bosque X no puedan tomar el control de un objeto situado en un dominio de otro bosque,
excepto,claroest,cuandoaslodeseeunadministradordelbosquequeposeaelobjeto.
Elesquemapresentadoacontinuacinmuestralaseparacindepoderesenelbosque.Cadabosquedisponedesu
grupoAdministradores de organizacinycadabosqueespordefinicinunafronteradeseguridad.Hayaonouna
confianza de dominio o de bosque entre los dominios raz de los dos bosques, los miembros del grupo
Administradoresdeorganizacindeunbosquenopodrntomarposesindelosobjetossituadosenelotrobosque.

Aislamientodelaseguridaddeloscontrolesdeaccesoenlaentidaddebosque

Delegacinenlosbosques
Debido a que el bosque es una verdadera unidad aislada y autnoma, los arquitectos de Active Directory pueden
proponer el bosque como un elemento capaz de desempear el papel de frontera de seguridad y de zona de
administracin y de poderes. Acabamos de ver que los miembros del grupo Administradores de organizacin no
puedentomarelcontroldelosobjetossituadosencualquierdominiodelbosque.Porelcontrario,losAdministradores
deorganizacintienentodoslospoderessobretodoslosdominiosmiembrosdelbosqueinclusoenelcasodequese
leshayanretiradociertospoderes.
Atencin: debido a su estatus, los Administradores de organizacin tendrn siempre, por definicin, la
oportunidaddeotorgarsedenuevolosficherosquelesfaltan.
Sirealmenteresultanecesariocrearotrazonadeseguridadparadisponerdeunaislamientoreal,lanicasolucin
ser crear un nuevo bosque y declarar manualmente las confianzas necesarias en funcin de las necesidades y
restriccionesdeseadas.
Encasodequedebanestablecersedoszonasdepoderesdistintos,creedosbosques.Encasodequecadadominio
precisedeunaislamientototal,entoncescreeunbosqueparacadaunodelosdominiosqueprecisenunaislamiento
delaseguridad.Porsupuesto,esteprocedernodejarderecordarnosloquesehacaenelpasadoenlosentornos
Windows NT,peroasituacionesexcepcionales,solucionesexcepcionales.Msadelanteveremos,sinembargo,quelas
confianzasdebosquesonmuchomsricasyeficacesquelasantiguasrelacionesdeconfianzaNT.
Laimplementacindelaislamientosejustificarenlossiguientescasos:

- 10 -

Debehacerseguroelaccesoalosdatosparalosusuariosdeunbosquedeterminadodeformaexclusiva.

Debedisponerdeunaislamientodelesquemadeldirectorio.

Debeescindirlaparticindeconfiguracinenvariasentidadesparaaislarlasevolucionesenlaconfiguracin.
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Deestaforma,losimpactosvinculadosaloscambiosdeconfiguracindeActiveDirectorysecontrolanmejor.

8.ConfianzasdentrodelosbosquesActiveDirectory
Por definicin, los cambios relativos a las autenticaciones y a la seguridad de los controles de acceso dentro de un
bosquesonasumidosporlasconfianzasinternasdelbosque.EsasconfianzascreadasporDCPromodurantelafase
depromocin,sonconfianzastransitivasbidireccionalescapacesdedarsoportealasrelacionesdetipo"Padrehijo"y
tambin"Razdearborescencia"enmodobidireccionalyquesoportanlatransitividad:

ElmodobidireccionalpermitealdominioXautorizareldominioYyviceversa.
LatransitividadimplicaquecuandolosdominiosXeYylosdominiosYyZseautorizan,entoncestambinlos
dominiosXyZlohacen.

Unaconfianza(orelacindeconfianza)esunarelacinestablecidaentredominios.Permiteunaautenticacin
directa durante la cual un dominio autorizado para otorgar confianzas se ocupa de las autenticaciones de
inicio de sesin de un dominio autorizado. Las cuentas de usuario y los grupos globales definidos en un dominio
autorizado pueden recibir derechos y confianzas de acceso a un dominio autorizador, incluso si esas cuentas no
existenmsqueeneldominioautorizadoaotorgarconfianzas.

a.Beneficiosdelatransitividadenlasconfianzas
La transitividad de las confianzas dentro de los bosques Active Directory permite un acceso interdominios
simplificado.Esteprincipiopermitealosusuariosdelbosqueuniniciodesesinnico.Elprincipiodeiniciodesesin
nica apareci en 1993 con Windows NT 3.1. Esta funcionalidad esencial, que permite a contextos de seguridad
diferentesconfiarlosunosenlosotros,simplificalagestindelascuentasdeusuarioylosgruposquesloprecisan
sercreadosunavez.Esteesunodelosconceptosfundamentalesquepermitenunacentralizacindelasgestinde
lasidentidades.
Elmodobidireccionaldaservicioalainfraestructuratcnicayrepresentaunafacilidadparalosadministradores.
Estosdosgrandesprincipiospermitenquetodoslosdominiosdelbosqueseautoricenmutuamente.Enesoscasos,
lasautenticacionesvalidadasenundominiodeterminadoseconviertenenpotencialmenteaceptablesentodoslos
demsdominiosdelbosque,siempregraciasalatransitividadyalaspectobidireccionaldelasconfianzasinternas.
En la medida en que cualquier nuevo dominio del bosque es objeto de una confianza, el nmero de confianzas
necesariaspara"conectar"ndominiosdeunbosqueesigualan1.
UnbosqueActiveDirectoryescomparableaunentornodedominiosNTconstruidosobreunmodelodetipo
Modelodeconfianzatotal.Encomparacin,observarqueconWindowsNT,unmodelocompuestodediez
dominios precisa crear y mantener n x n1 dominios, es decir, 90 relaciones de confianza unidireccionales no
transitivas.EnunentornoActiveDirectory,elmismomodelonecesitaslo9relacionesdeconfianzabidireccionales
transitivascreadasautomticamente,esdecir,10vecesmenos!
Las confianzas disponibles dentro de un bosque Active Directory tienen la misma finalidad que en el entorno
WindowsNT.Creanunarelacinentredosdominiosquepermitealosusuariosdeundominioaccederarecursos
situadosenelotrodominioyalosadministradoresdeundominiocontrolarlosrecursosdeotrodominioyviceversa,
encasonecesario.
Las confianzas no dan ningn derecho ni ningn permiso. Slo permiten que dos contextos de seguridad
distintos participen "de igual a igual" en una negociacin de seguridad. Es nicamente en un segundo
tiempocuandoeladministradordeundominiodeterminadoautorizaraunusuariooaungrupodeotrodominio
amanipulardetalocualmaneraunrecursodeterminado.

b.Estructuradelbosqueyconfianzas
Desde el punto de vista de la estructura del bosque, cada vez que se agrega un nuevo dominio, DCPromo crea
automticamenteunanuevaconfianzainternabidireccionaltransitivaentreeldominiopadreyeldominiohijo.
LomismoocurriralcrearunanuevaarborescenciagraciasalestablecimientodeunanuevaconfianzadetipoRaz
derbol.
La pantalla siguiente muestra las propiedades del dominio booster2008.Corp2008.Corporate.net. Este dominio
disponedeunaconfianzadetipoRazderbolymuestraclaramentesunaturalezatransitiva.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 11 -

ConfianzainternadetipoRazderboltransitivaybidireccional

c.ConfianzasyobjetosTDOenlosbosquesActiveDirectory
Esinteresanteconstatarquesiendoelbosquelaentidaddeseguridadautnomams"alta",continuamospudiendo
apoyarnos en las relaciones de confianza para "crear e implementar la confianza" entre espacios de seguridad
distintos.
Lasconfianzaslepermitirnrealizartodaslas"conexionesrealesytecnolgicas"quesevieraobligadoarealizar.El
conceptomismodebosquereposaenlasconfianzas.ApartedesuusodentrodelbosqueWindows2000,Windows
Server 2003 o Windows Server 2008, las confianzas permitirn la conexin de los dominios Windows NT,
Windows 2000Server,WindowsServer2003yWindowsServer 2008,delosbosquesActiveDirectoryytambinde
losdominiosKerberosV5noWindows,esdecir,quefuncionanprincipalmenteconUnix.
Tecnologas,ProtocolosdeconfianzayobjetosTDO:

- 12 -

Los controladores de dominio que funcionan con Windows Server 2008, Windows Server 2003 y
Windows 2000ServerusanlosprotocolosKerberosv5yNTLMparaautenticaralosusuariosyaplicaciones.
Por defecto, los ordenadores Windows 2000, Windows XP Professional y Windows Vista miembros de un
dominioWindows2000,WindowsServer 2003oWindowsServer2008utilizanelprotocoloKerberosv5.En
casodequeunordenadornofueracapazdenegociarelprotocolodeautenticacinKerberosv5,seusarel
protocoloWindowsNTNTLM.
ElprotocoloKerberosv5esunprotocolomodernoenlamedidaenquelaautenticacininicialpermitealos
clientes solicitar un ticket de demanda de tickets. Los tickets obtenidos de esta forma sern vlidos para
servicios determinados alojados por servidores concretos. La autenticacin Kerberos v5 es asumida por el
controladordedominioActiveDirectoryporelmduloAS(AuthenticationService)mientrasquelaexpedicin
de los tickets de servicio est asegurada por el mdulo TGS (Ticket Granting Services). De hecho, el
controlador de dominio desempea la funcin de autoridad autorizada entre el cliente y el servidor.
Finalmente,elclientepresentaelticketdeservicioaprobadoalservidoreneldominiodeconfianzaparasu
autenticacin.
Alainversa,elprotocoloWindowsNTNTLMnecesitaqueelservidorquecontienelosrecursoscontactecon
uncontroladordedominiodecuentadelclienteparacompararlainformacindeidentificacindelacuenta
conaquellascontenidasenelvaledeaccesodelcliente.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Objetos del dominio de confianza: las relaciones de confianza de cada dominio se representan dentro de
ActiveDirectorymedianteobjetosdetipodominiodeconfianza(TDO,TrustedDomainObjects).Cadavezque
seestableceunarelacindeconfianza,secreayalmacenaenelcontenedordesistemadesudominioun
objetoTDOnico.

Los objetos TDO son objetos especialmente importantes en la medida en que sus atributos describen todas las
caractersticas de la confianza existente entre dos dominios. Como antes hemos explicado, los objetos TDO de un
dominioresidenenelcontenedorSystemdedichodominio.

ObjetodelaclasetrustedDomainparaeldominiocorp2003.corporate.netdelbosquecorp2003.corporate.net
En funcin de las circunstancias en que se crearon las confianzas, los objetos TDO procedentes de la clase
trustedDomain sern creados por DCpromo, por la consola de gestin MMC Dominios y confianzas Active
Directory o manualmente a travs del comando Netdom, incluido en las herramientas de soporte de Windows
Server2003.
LosatributosdecadaobjetoTDOcontienenlainformacinsobreeltipodeconfianza,sunaturaleza,latransitividad
de la confianza as como los nombres de los dominios recprocos. En las confianzas de bosque, los objetos TDO
almacenan tambin atributos adicionales para identificar todos los espacios de nombres que cuentan con la
confianzadelbosquedesuasociado.
A continuacin encontrar los detalles relativos a los atributos ms importantes de una confianza a travs de un
objetoTDO:
flatName
DesignaelnombreNetBIOSdeldominioasociadoalaconfianza.
trustDirection
Designaelsentidodelarelacindeconfianza.
0Laconfianzaestdesactivada.
1Laconfianzaes"entrante".Estosignificaqueeldominioestautorizadoparaconfiar.
2Laconfianzaes"saliente".Estosignificaqueeldominiocuentaconlaconfianza.
3Laconfianzaesentranteysalientealavez.Estoquieredecirqueeldominiocuentaconlaconfianzaytambin
estautorizadoparaconfiar.
trustPartner
EsteatributorepresentaelnombredeformatoDNSasociadoaldominiosisetratadeundominioActiveDirectoryo
elnombreNetBIOSdeldominio,sisetratadeunaconfianzadenivelbajo,esdecir,Windows NTocompatibleNT.
trustType
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 13 -

Esteatributodeclaraeltipoderelacindeconfianzaestablecidaconeldominio.
1ConfianzadebajonivelNTocompatible.
2ConfianzaWindows2000.
3MIT.
4DCE.

Los tipos de confianzas MIT (Massachusetts Institute of Technology) y DCE (Distributed Computing
Environment) permiten dar soporte a diferentes implementaciones Kerberos disponibles en entornos Unix.
LasimplementacionesMITyDCEdelprotocoloKerberossonampliamentedistribuidasensistemasUnixcomoAIX,
Solaris,HPUXymuchosotros.

ElatributosecurityIdentifierdeunobjetoTDOdeclaraelSIDdelobjeto
Con ayuda de ADSI Edit, la pantalla precedente muestra los atributos de un objeto TDO que representa una
confianza de rbol. Estos atributos comprenden los nombres de diferentes rboles, los sufijos de nombres de
usuarios principales (UPN, User Principal Name), los sufijos de nombre principal de servicio (SPN, Service Principal
Name)ylosespaciosdenombresIDdeseguridad(SID,SecurityID).

d.Tiposdeconfianzasoportadas
Acabamosderecordarquelasconfianzaspermitenlacomunicacinentredominios.As,lasconfianzasdesempean
elpapeldecanalesdeautenticacinnecesariosparalosusuariosdeundominioXparaaccederalosrecursosdeun
dominio Y. Cuando se aade un nuevo dominio a un bosque existente, elAsistente para la instalacin de Active
Directorycreadosconfianzas.Describimosacontinuacinlosdiferentestiposdeconfianzaquepuedencrearsecon
elAsistenteparanuevaconfianzaolaherramientadelneadecomandoNetdom.
ConfianzasinternascreadasporDCPromo
CuandoseaadeunnuevodominioaldominiorazdelbosqueocomonuevaarborescenciaatravsdelAsistente
para la instalacin de Active Directory, se crean automticamente confianzas transitivas bidireccionales. Esas
- 14 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

confianzaspuedenserdedostiposdiferentes:
ConfianzasdetipoPadreHijo
Cuando se agrega un nuevo dominio hijo a un rbol de dominio existente, se establece una nueva relacin de
confianza padrehijo transitiva bidireccional. Las peticiones de autenticacin efectuadas a partir de dominios que
gozandeconfianzaescalanalapartesuperiordelajerarquadedominios,pasandoporsupadre,hastallegaral
dominioconautoridadparaotorgarlaconfianza.
ConfianzasdetipoRazderbol
Cuandosecreaunrboldedominioenunbosqueexistente,seestablecepordefectounanuevaconfianzaderaz
dearborescenciatransitivabidireccional.

Las confianzas creadas por DCPromo son indestructibles. Por tanto no se destruyen durante un error de
administracin.

LosdemstiposdeconfianzasdeActiveDirectory
Active Directory soporta otros cuatro tipos de confianza. Podr crearlas con ayuda del Asistente para nueva
confianzaoatravsdelcomandoNetdom.Estasconfianzassonlasconfianzasexternas,lasconfianzasdedominio
Kerberos,lasconfianzasdebosqueylasconfianzasabreviadas.

DeclaracindeunaconfianzaatravsdelaconsolaDominiosyconfianzasActiveDirectory
Las confianzas externas son por definicin no transitivas y pueden ser unidireccionales o bidireccionales. Una
confianzaexternaseusaparaaccederalosrecursossituadosenundominioWindowsNT4.0oenundominioque
seencuentreenotrobosque(novinculadoporunaconfianzadebosque).
LasconfianzasdedominioKerberosv5sonpordefinicintransitivasonotransitivasypuedenserunidireccionales
obidireccionales.UnaconfianzadedominioKerberosv5permiteinteroperaraundominioWindowsActiveDirectoryy
undominioKerberosnoWindows.
Las confianzasabreviadas son transitivas y pueden ser unidireccionales o bidireccionales. Las confianzas de ese
tipo permiten acortar el camino de las autenticaciones Kerberos dentro de un bosque. Este aspecto ser
especialmenteinteresanteparamejorarlosiniciosdesesinentredosdominioscuandoambosestnsituadosen
arborescenciasdiferentes.
Las confianzas de bosque son por definicin transitivas y pueden ser unidireccionales o bidireccionales. Una
autorizacindebosquepermite"casar"dosbosques.Deestamanera,resultaposiblecompartirlosrecursosentre
ambosbosques,esdecir,entretodoslosdominiosdecadabosque.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 15 -

e.BosquesWindowsServer(2003o2008)yconfianzasdebosques
LasconfianzasdebosquesonunanuevafuncionalidaddelosserviciosdedirectoriodeWindowsServer2003que
siguenpudiendoserutilizadasenlosbosqueWindowsServer2008.Elprincipiofundamentalsebasaenelusodela
transitividaddelasconfianzasKerberosv5.
Efectivamente, los dominios Windows NT y los dominios Active Directory que funcionan con Windows 2000 no
permitenalosusuariosdeunbosqueaccederalosrecursossituadosenotrobosque.Estepuntoseexplicaporel
hechodeque,enunbosquequefuncionaenmodoWindows 2000,latransitividaddelasconfianzasKerberosslo
estdisponibleenelcasodelasconfianzasinternasdelbosque.
As,debidoaquelasconfianzasexternassonpordefinicinunidireccionalesynotransitivas,noserposiblequeel
caminodelaconfianzaseextiendaalosdemsdominiosdelbosquededestino.
Enlaactualidad,cuandoelentornosecomponededosbosquesquefuncionanenelnivelfuncionalWindowsServer
2003y/oWindowsServer2008yexisteunaconfianzaentrelosdosdominiosrazdelosrespectivosbosques,las
autenticaciones pueden enrutarse entre todos los dominios de los dos bosques. La confianza de bosque permite
entoncesquelosusuariosdelbosquequegozadelaconfianzaaccedanatodoslosrecursosdelareddelbosque
queotorgalaconfianza,conlacondicin,claroest,dequelosusuariosdispongandelospermisosadecuados.
Lasempresasquedisponendemsdeunbloquepodrnentoncesbeneficiarsedelasventajassiguientes:
Unnuevoelementodeestructura
Elbosquepuedeconvertirseenuncontroladorutilizableenelmbitodelapolticadedelegacindelaempresa.De
estaforma,podrplantearselaescisindelaadministracinenvariaspartes.
Unaadministracinmssencilla
La transitividad de las confianzas de bosque permite limitar el nmero de confianzas externas necesarias para
compartirlosrecursosentrelosdominiosdelosdosbosques.
Los usuarios de los dos bosques pueden usar las autenticaciones basadas en los UPN, tales como
BDuran@eu.corpnet.corporate.com.
ElprotocoloKerberosytambinNTLMpuedenusarsedentrodecadabosqueperotambinentreambosbosques.
Confianzasdebosqueynivelfuncionaldelosbosques
Lasconfianzasdebosquenecesitanobligatoriamentequelosdosbosquesasociadosfuncionenenelnivelfuncional
WindowsServer2003y/oWindowsServer2008.Porlotanto,todoslosdominiosdebenusarelnivelfuncionalde
dominio Windows Server 2003 o posterior, que necesita que todos los controladores de dominio funcionen con
Windows Server 2003 o posterior. Aunque el protocolo Kerberos sea el nico protocolo capaz de soportar la
transitividaddentrodelbosqueytambinentredosbosques,losservidoresWindowsNTServer4.0miembrosde
dominiosWindowsServer2003oWindowsServer2008podrndarsoportealoscontrolesdeaccesoprocedentede
otro bosque. Los controladores de dominio Windows Server (2003 o 2008) con la funcin de pasarelas de
autenticacinentrelosprotocolosKerberosyNTLMllevanacaboestaposibilidad.
ObservequeestafuncionalidadyaestabapresenteenloscontroladoresdedominioWindows 2000.As,unusuario
autenticado con el protocolo Kerberos puede, sin ningn problema, ser controlado en NTLM para acceder a un
recursocontroladoporunservidorWindowsNTServer4.0.

Posibilidades,lmitesymarcodeusodelasconfianzasdebosque
- 16 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

f.Enrutamientodelossufijosdenombresyconfianzasenelbosque
El enrutamiento de los sufijos de nombres permite administrar la forma en que se transmiten y distribuyen las
peticionesdeautenticacinentrebosquesWindowsServer2003conconfianzasdebosque.
Enlamedidaenquelaprimeranecesidadconsisteenaprovecharlatransitividaddelasconfianzasdebosque,todos
lossufijosdenombrenicosseenrutanpordefecto.Deestaforma,laadministracindelosdosbosquesasociados
puede simplificarse enormemente y todos los usuarios de un bosque determinado pueden quiz acceder a los
recursossituadosencualquieradelosdominiosdelotrobosque.
Esta configuracin inicial podr sin embargo personalizarse para permitir controlar "mejor" las peticiones de
autenticacinautorizadasporunodelosdosbosques.Efectivamente,dosbosquespuedenestarasociadosgracias
aunaconfianzadebosqueexcluyendociertosdominios.
Pordefinicin,unbosqueesunespaciodenombresnicosmaterializadoporsufijosdenombresnicos.Unsufijode
nombre nico es un nombre dentro de un bosque como puede ser un UPN (User Principal Name) un SPN (Service
PrincipalName),oelnombreDNSdeldominiorazdelbosqueodeunrboldedominio.Losnombespresentadosa
continuacinsonejemplosdesufijosdenombrenicos:

Rootcorp.corporate.com

Emea.rootcorp.corporate.com

Partners.net

BDuran@extranet.rootcorp.corporate.com

Svc1$@rootcorp.corporate.com.

Desdeelpuntodevistadelfuncionamientodelaconfianzadelbosque,todosloshijosdetodoslossufijosconocidos
del bosque se enrutan de forma natural hacia el otro bosque. Por ese motivo la interfaz grfica de la consola de
administracinMMCDominiosyconfianzasActiveDirectorymuestratodoslossufijosdenombresconocidosconel
carcterasterisco(*).
Por ejemplo, si el bosque utiliza como sufijo de nombre *.rootcorp.corporate.com, todas las peticiones de
autenticacin relativas a los dominios hijo de rootcorp.corporate.com como *.emea.rootcorp.corporate.com, se
enrutarnatravsdelaconfianzadebosque.
Atencin:lgicamente,cualquiersufijodenombrehijoheredalaconfiguracindeenrutamientodelsufijode
nombrenicoalquepertenece.Sinembargo,elenrutamientodelosnuevossufijosaparecidosdespusde
lacreacindelaconfianzadebosqueestardesactivadopordefecto.Estaeslaformadeprocedermssegurade
todas.Efectivamente,noseranormalqueunnuevodominiodeunbosquefueraautomticamenteautorizadosin
quehubiesetenidolugarningunavalidacin.Porlotanto,enunsegundotrminosepodrnvisualizarlosnuevos
sufijos de nombre procedentes de los nuevos dominios integrados tras el establecimiento de la confianza de
bosqueysloentoncesoptarporactivaronoelenrutamientodelasautenticaciones.
ParavisualizaromodificarelenrutamientodelosnombresdesufijosepuedeusarelcuadrodedilogoPropiedades
delaconfianzadelbosque.Seleccionarsufijosdenombreespecficospermitiractivarodesactivarelenrutamiento
delasautenticacioneshaciaelbosqueasociado.
Deteccindesufijosduplicados,administracindeconflictosydesactivacinautomtica
No es imposible que existan nombres de dominios idnticos en dos bosques diferentes. Esto podra ocurrir, por
ejemplo,endominiosqueusannombresgenricoscomopartners.netoextranet.privnet.net.Esprecisoportantoque
laconfianzadebosquepuedaadministrarestaexcepcin.
En caso de que se detectara este problema, el enrutamiento del sufijo de nombre ms reciente sera
automticamentedesactivado.
Microsoftrecomiendanoagregarelcarcter@alsufijoUPNdeclarado,nitampoconombresdeusuario.En
efecto,eltratamientodelaspeticionesdeautenticacinenrutadashaciaunbosqueconconfianzaconsidera
que los caracteres situados a la izquierda del carcter @ son el nombre DNS del dominio. La autoridad de
seguridad local LSASS, desactiva el enrutamiento de todo sufijo UPN que no respete el formato DSN, lo que
ocurrirasiincluyramoselcarcter@enelnombre.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 17 -

Observe que slo deben declararse los nombres que respeten la denominacin DNS. Por consiguiente, cualquier
nombreincompatibleserdesactivadoautomticamente.
Las operaciones de conflictos propiamente dichas se conocen como colisiones. Las colisiones pueden producirse
cuandoelmismonombreDNS,elmismonombreNetBIOSoelSIDdeundominioestenconflictoconotroSIDde
sufijodenombre.
Estospuntosparecenevidentes,porsupuesto.Sinembargo,convieneprestarespecialatencinalosproblemasde
nombresdedominioDNS.Enefecto,comocualquierconflictoprovocarladesactivacindelnombreenelmbitode
laconfianzadelbosque,convieneanticiparloantesposiblelasconsecuenciasdeloserroresdedenominacin.
Ejemplodeconflicto:sabemosquelosdominioscorpnet.corporate.comycorporate.comsondominiosDNSdiferentes.
Estos dos dominios DNS forman una arborescencia de dominios dentro del bosque cuyo dominio raz es
corporate.com.Siconsideramosquelosdosdominiospertenecenadosbosquesdistintos,nohabrningnproblema
mientrasquenohayaconfianzaonoconfianzadebosque.Estaobservacinsignificaqueesperfectamenteposible
crearunaconfianzaexternaentrelosdosdominios.Porelcontrario,seproducirunconflictosielbosquellamado
corporate.com y el bosque llamadocorpnet.corporate.com se renen mediante una confianza de bosque. En efecto,
como los dos dominios pertenecen al mismo espacio DNS, el enrutamiento entre los dos sufijos de nombre se
desactivar. Observe sin embargo que el enrutamiento continuar funcionando en los dems sufijos de nombres
nicosquenoestnenconflicto.
LasiguientepantallamuestralossufijosdenombreUPNdeclaradosenelbosquecorp2003.corporate.net.

LadeteccindeconflictosdelasconfianzasdebosqueafectatambinalossufijosUPN
Cuando se detecta un conflicto de la naturaleza que sea los controles de acceso a ese dominio se rechazarn
desdeelexteriordelbosque.Noobstante,sepreservarelfuncionamientonormaldentrodelbosques,cosaquees
completamentenormalyaqueelconflictosloseproduceentrelosdosbosquesynoentrelosdominiosdelbosque
depertenencia.
La pestaa Enrutamiento de los sufijos de nombre, disponible en la consola de administracin MMC Dominios y
confianzasActiveDirectorydentrodelaspropiedadesdelasconfianzasdebosque,permitirregistrarunarchivo
visor de conflictos de los sufijos de nombres. Dicho archivo podr crearse durante o despus de la creacin de la
confianzadebosque.
Para obtener ms informacin sobre las confianzas y el funcionamiento de los bosques y dominios Active
Directory,
consulte
la
pgina:
http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/techref/enus/default.asp
o
la
documentacin Active Directory Technical Reference disponible en el sitio del Kit de recursos tcnicos en la
direccinhttp://www.microsoft.com/reskits.

g.UsodelcomandoNetdomparacrearyadministrarconfianzas
Generalmente,lasconfianzasinternas,externasydebosquesedeclarandirectamentemediantelainterfazgrfica.
Sin embargo, tambin es posible usar el comando Netdom.exe disponible con las herramientas de soporte de
WindowsServer2003paracrear,comprobar,reinicializaryeliminarobjetosdeconfianza.
OperacionessoportadasporNetdomrelativasalasconfianzas:

- 18 -

Implementacin de confianzas unidireccionales o bidireccionales entre dominios Windows NT 4.0, Windows


2000yWindowsServer 2003.
Implementacin de confianzas unidireccionales o bidireccionales entre dominios Windows 2000 Server,
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

WindowsServer2003oWindowsServer2008,situadosenorganizacionesdiferentes.

Implementacin de confianzas abreviadas entre dominios Windows 2000 Server, Windows Server 2003 o
WindowsServer2008situadosenlamismaorganizacin.

ImplementacindeunaconfianzaaundominioKerberosnoWindows.

Enumeracindelasconfianzasdirectaseindirectas.

Vistadelosparmetrosycambiosdeparmetrosdelasconfianzas.

Porejemplo,podrusarelcomandoNetdom:

Para comprobar una confianza unidireccional entre el dominio DomA y el dominio DomB: netdom
trust/d:DomADomB/verify
Paracomprobarunaconfianzabidireccional:netdomtrust/d:DomADomB/verify/twoway

Elobjetivodelaoperacindecomprobacinescontrolarelfuncionamientocorrectodelaconfianzaylascontraseas
declaradasentrelosdosdominiosalestablecerlaconfianza.

ParacomprobarqueelprotocoloKerberosv5estplenamenteoperativoentreunordenadorysudominio
depertenenciadom1.corporate.com:netdomtrust/d:dom1.corporate.com/verify/KERBEROS.Elusode
losparmetros/verifyet/kerberosnecesitalaobtencindeunticketdesesinparacontactarconelservicio
de administracin Kerberos del controlador de dominio (servicio KDC) en el dominio destino. En cuanto la
operacintengaxitopodrconsiderarquetodaslasoperacionesKerberosentreelordenadorclienteyel
dominiodedestinofuncionancorrectamente.

Esta operacin de comprobacin de las funciones Kerberos slo puede realizarse localmente en el
ordenadorquesedeseacomprobar.EnestoscasospodrusarlasfuncionesdeOficinaremota.
El comando Netdom permite administrar las autorizaciones, pero permite tambin administrar las siguientes
operaciones:

Introducir un ordenador Windows XP Professional en un dominio de cualquier tipo con la posibilidad de


especificarlaunidadorganizativaygenerarlacontraseadelacuentadelequipoaleatoriamente.
Gestionar las operaciones de administracin de las cuentas de equipos como pueden ser aadir, eliminar,
interrogarodesplazarcuentasdeequipodeundominioaotropreservandoelSIDdelequipo.

ComprobarlosSC(SecureChannel)entrelasestacionesdetrabajo,losservidoresylosBDCNT 4.0.

RenombrarydesplazarlosBDCNT4.0aotrosdominios.

Por supuesto, todas estas funciones son muy tiles para el mantenimiento de las cuentas de equipo, ya sean
simplesequiposdeoficinaoservidoresdedominio.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 19 -

xito del proceso de actualizacin de Active Directory a los servicios


dedominioActiveDirectorydeWindowsServer2008
Windows Server 2008 es un lanzamiento importante en ms de un sentido y, de hecho, se podra pensar que la
instalacindenuevoscontroladoresdedominioActiveDirectoryolaactualizacindeservidoresWindowsServer2003
aWindowsServer2008sontareascomplejasquenecesitandeunagranpreparacin.
Verqueconunmnimodepreparacin,eldesplieguedenuevoscontroladoresdedominioActiveDirectorysersimple
yconpocoriesgo.
El objetivo principal de la actualizacin a Windows Server 2008 es permitir una transicin suave del entorno
actualmenteenproduccinaundestinocompuestodealmenosdoscontroladoresdedominio(oms)enfuncindela
arquitectura,quefuncionenconWindowsServer2008.
ElprocesodemigracinalosserviciosdedominioActiveDirectorydeWindowsServer2008debetenercomo
objetivo final la posibilidad de mejorar el nivel funcional de dominio o dominios al nivel funcional Windows
Server2008,sinolvidarnaturalmentedehacerlomismorespectoalnivelfuncionaldelbosque.

1.Comprobacionesygestindelosriesgos
Antes de empezar las diferentes operaciones propias de la integracin de controladores de dominio con Windows
Server2008enunaredWindowsServer 2003,serecomiendarealizarlassiguientesoperaciones:

Hacerunainventariadoprecisodeloscontroladoresdedominioimportantes,elposicionamientodelascinco
funciones FSMO, de los catlogos globales as como de los SP (Services Packs) instalados en cada uno de
ellos.

HacerunacopiadeseguridaddetipoSystemStatedeunoomscontroladoresdedominiooperacionales.

Determinarelmejorescenariodevueltaatrs,enprevisindeunaeventualcatstrofe.

2.PreparacindelainfraestructuraActiveDirectoryparaWindowsServer2008
ComofueenelcasodelasmigracionesdedominioWindowsNT4.0alosserviciosdedirectorioActiveDirectoryde
Windows2000ServeryluegoalosserviciosdedirectorioActiveDirectorydeWindowsServer2003,lainfraestructura
ActiveDirectorydebepreparaseparaacogerlosnuevosservidoresWindowsServer2008quealberganlosnuevos
serviciosADDS.Serecomiendarealizarlassiguientesoperaciones:

Asegrese que dispone de una cuenta de administracin de dominio que forme parte de los grupos
Administradores del dominio, Administradores de empresa y Administracin de esquema. Todas las
operaciones que tienen lugar en un servidor que se va a promover necesitarn disponer de privilegios de
Administradordelamquinalocal.
RealicelaoperacindeactualizacindelesquemaActiveDirectoryatravsdelcomandoadprep/foresprep.
Para lograrlo, copie el contenido de la carpeta \Sources\adprep del CDRom de instalacin de Windows
Server2008enunacarpetaconelnombre\adprepenelservidor.Apartirdeestacarpeta,enelcontrolador
de dominio que tiene la funcin de maestro de operacin de Esquema, invoque el comando
adprep /forestprep. Para que la actualizacin funcione correctamente ejecutando este comando, el
administradordeberformarpartedelosgruposAdministradordelesquema,Administradoresdeempresay
Administradoresdeldominio.
Realice la operacin de preparacin del dominio Active Directory a travs del comando
adprep/domainprep/gpprep.Paralograrlo,copieelcontenidodelacarpeta\Sources\adprepdelCDRom
deinstalacindeWindowsServer2008enunacarpetaconelnombre\adprepenelservidor.Apartirdeesta
carpeta,enelcontroladordedominioquetienelafuncindemaestrodeinfraestructura,invoqueelcomando
adprep/domainprep/gpprep.Paraejecutarestecomando,eladministradordeberformarpartedelgrupo
Administradordeldominioenaquelenqueseejecutelaoperacin.
Atencin!Despusdehaberrealizadoestaoperacin,evitelainstalacinenlarazdelprimercontroladorde
dominio. Se recomienda esperar a que se replique la nueva informacin del dominio. Por supuesto, puede

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

forzarlareplicacinconlaayudadelasherramientashabitualesReplmonoatravsdelcomandoRepadmin.

Atencin a los problemas de coherencia al actualizar el esquema con Microsoft Exchange 2000 Server! No
deberatenerningnproblemaimportantepararealizarlasetapaspreparatoriascomosonlaactualizacin
del esquema as como la actualizacin de los objetos del dominio, para la integracin de los controladores
que funcionan con Windows Server 2008. El problema ms comn, es un problema ya conocido por los
ingenieros de sistemas que han llevado a cabo el mismo tipo de migracin hace unos aos, cuando la
problemticaconsistaenintroducirlosprimeroscontroladoresdedominioWindowsServer2003,enbosques
Windows2000ServerquecontenanExchange2000Server.Enefecto,lafasedepreparacindelbosque
realizada a travs de Adprep, puede fallar cuando el esquema fue previamente actualizado por Exchange
2000. El problema relativo a los atributos de la clase inetOrgPerson attributes Secretary, labeledURI, y
houseIdentifier,quesonconflictivosconlosdeExchangemsantiguosyquenorespetanlosRFCdeesta
nueva clase inetOrgPerson. Para resolver este problema, que puede estar resuelto si el esquema se ha
actualizado con Windows Server 2003, puede corregir manualmente el esquema utilizando el fichero
Inetorgpersonfix.ldf localizado en el fichero Support.cab de la carpeta Support\Tools del CDRom de
WindowsServer2003.Acontinuacin,apartirdelaconsoladelmaestrodeoperacionesdeesquema,puede
importarelficheroLDFquecontienelascorreccionesconlaayudadelcomandoLDIFDE.Paramsinformacin
sobre este procedimineto, puede consultar el artculo Technet con la ayuda del siguiente enlace:
http://support.microsoft.com/kb/314649

Atencin a los problemas de coherencia en la actualizacin del esquema cuando el esquema del bosque
soporte los servicios para Unix 2.0! Puede producirse un conflicto de replicacin del atributo CN= uid
respetando el RFC 2307, cuando el esquema soporta los servicios SFU 2.0. Para resolver este problema, puede
actualizar SFU 2.0 a Windows Services for UNIX 3.0 o bien instalar el parche Q293783. Para obtener ms
informacin sobre este proceso, puede consultar el artculo Technet con la ayuda del siguiente enlace:
http://go.microsoft.com/fwlink/?LinkId=106317

3.ImplementacindeunnuevocontroladorWindowsServer2008ADDS
El entorno de produccin que funciona con Windows 2000 Server y/o Windows Server 2003 puede actualizarse a
WindowsServer2008utilizandounodeestosdosescenarios:

La insercin de un nuevo servidor Windows Server 2008 en el dominio Active Directory de produccin.
Proceda a la promocin del nuevo servidor para que sea un nuevo controlador de dominio en el dominio
existente. Suprima los antiguos controladores de dominio que funcionan con Windows 2000 Server o
WindowsServer2003obien,procedaasuactualizacinaWindowsServer2008.Laoperacindepromocin
podr realizarse con la ayuda de la interfaz grfica o a travs de un fichero de respuesta creado
anteriormente. La interfaz de Windows Server 2008 propone dos asistentes. El primero es directamente
accesibleatravsdelnuevoAdministradordelservidorFuncionesAgregarfunciones.Elsegundoesel
tradicionalasistentedeinstalacindeserviciosdedominioActiveDirectory,disponibledesdeWindows2000
Server,ytambinconWindowsServer2008,Dcpromo.exe.
LaactualizacindetodosloscontroladoresexistentesaWindowsServer2008,comenzandoporelquesea
elmejorcandidatoparainiciarelprocesodemigracin.

4.ReasignacindefuncionesFSMO
Una vez terminado el proceso de actualizacin del primer controlador, ser necesario actualizar los siguientes
elementosdeinfraestructuraActiveDirectory:

- 2-

Reasignacin de la funcin de maestro de operaciones de nombres de dominio a nivel de dominio raz del
bosque: esta operacin no es obligatoria, pero es necesaria para garantizar la creacin de particiones del
directoriodeaplicacionesutilizadoporlaszonasDNSActiveDirectory.Sinodeseaactualizarelcontroladorde
dominio que tiene esta funcin, es suficiente con transferir la funcin a un controlador de dominio ya
actualizadoaWindowsServer2008.Estaoperacinpuedesernecesariayaqueduranteelprimerreinicio,el
servicioservidorDNSintentalocalizarlasparticionesnecesariasparalaactualizacindelaszonas.Adems,
sinolasencuentra,lascrear.Paragarantizarlacorrectacreacindeestasparticiones,esobligatorioqueel
maestronombresdedominioestenuncontroladordedominoWindowsServer2008.
ReasignacindelafuncindemaestrodeoperacionesEmuladordecontroladordedominioprincipalanivel
de dominio raz del bosque: esta operacin garantiza que la creacin de nuevas cuentas adicionales
necesarias en los dominios Windows Server 2008 se crearn correctamente a nivel del dominio raz del
bosque.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

ReasignacindelafuncindemaestrodeoperacionesEmuladordecontroladordedominioprincipalenotros
dominiosdelbosque:estaoperacinaseguraquelosnuevosgruposqueaportaWindowsServer2008as
comosucontenidosecrearncorrectamenteentodoslosdominiosdelbosque.
Atencin! No se puede actualizar Windows 2000 Server a Windows Server 2008. Si debe realizar esta
operacin, primero debe realizar una actualizacin intermedia de Windows 2000 Server a Windows Server
2003.
A partir del momento en que el esquema Active Directory se actualiza a travs del comando
adprep/foresprepyenqueeldominiodestinosehapreparadoatravsdelcomandoadprep/domainprep,
puederealizarselainsercindelprimercontroladordedominionuevoenelbosqueActiveDirectoryexistente.
Aunque es posible instalar ese primer controlador de dominio nuevo Windows Server 2008 en cualquier
dominiodelbosque,serecomiendaposicionaresteprimercontroladordedominioWindowsServer2008enel
dominiorazdelbosque.Porsupuesto,estaproblemticanosepresentaenlosentornosdebosquedeun
solodominio.

5.OperacionesdefinalizacinPostMigracin
a.Modificacindelasdirectivasdeseguridaddeloscontroladoresdedominio
Con el fin de aumentar el nivel de seguridad ms crtico de las plataformas de empresas, los controladores de
dominioWindowsServer2008exigenque,pordefecto,lasautenticacionesdeclientesutilicenlafirmadepaquetes
SMB(ServerMessageBlock),ascomolafirmadelcanaldeautenticacinsegura(SecureChannel).
EnelcasoenquelareddelaempresacontengasistemasquefuncionanconWindowsNT4.0SP2(nosoportala
firmadepaquetesSMB)oinclusoSP3(nosoportalafirmadelcanaldeautenticacinsegura),debermodificarla
directivadeseguridaddeloscontroladoresdedominio.

Parmetrosdeseguridadamodificarencasodeextremanecesidad.

Unabuenaprcticaseraactualizarlosantiguossistemas,comomnimoaSP6adeWindowsNT4.0.

Encasodequefueranecesariomodificarladirectivadeseguridaddeloscontroladoresdedominio,antes
dehacercualquiermodificacinrealiceunacopiadeseguridaddeladirectivautilizandolafuncindecopia
deseguridaddisponibleenlaconsoladedirectivasdegrupo,GPMC.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

LasventanasdeconfiguracindeWindowsServer2008muestranlosefectosdelosparmetrosyelenlaceal
artculotcnicoMicrosoft

ParaobtenermsinformacinsobrelafirmadepaquetesSMBylafirmadelcanaldeautenticacinsegura,
puede buscar en la pgina del sitio Microsoft Technet Background Information for Upgrading Active
DirectoryDomainstoWindowsServer 2008ADDSDomains .

b.ActualizacindelasautorizacionesdeobjetosGPOparalosdominiosmigradosapartirdeWindows
2000
CuandoundominioWindows2000hasidoobjetodeunamigracinaWindowsServer 2008,elgrupoENTERPRISE
DOMAINCONTROLLERSnodisponedeautorizacionesdelecturadelosobjetosdirectivasdegrupodisponiblesen
todoslosdominiosdelared.EstoesasparatodoslosobjetosGPOquesehayancreadoantesdelaactualizacin
aWindowsServer2008.
Enestefueraelcaso,lafuncindemodelizacinincluidaenlaconsoladeadministracindedirectivasdegrupo
(GPMC),estarinoperativa.Enefecto,cuandoseinvocaestaopcin,sesolicitauncomponentedelcontroladorde
dominio para leer y abrir los objetos GPO implicados en la simulacin en que se puedan encontrar dentro del
bosque.

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

ComprobacindepermisosdelecturadeunobjetoGPO
Para corregir este problema realizando la actualizacin de las autorizaciones de todos los objetos directiva de
grupo,puedeutilizarelscriptGrantPermissionOnAllGPOs.wsf.Estescriptformapartedelosscriptsanteriormente
incluidosconlaconsoladeadministracindedirectivasdegrupoquesepuededescargarparaWindowsXPSP2y
WindowsServer2003.Enefecto,enWindowsServer2008,estosscripts,consideradosdemasiadopeligrosos,se
retirarondelsistemaoperativo,yahoraestndisponiblesatravsdeunadescargadelsitiodeMicrosoft.
EnelsitiodeMicrosoftestdisponibleunpaquetequecontienetodoslosscriptsdeautomatizacindelas
operaciones de mantenimiento de objetos GPO. Busque Group Policy Management Console Sample
Scriptsovayaalsiguienteenlace:http://go.microsoft.com/fwlink/?LinkId=106342.Unavezinstalados,losscripts
seubicarnenlacarpeta%programfiles%\MicrosoftGroupPolicy\GPMCSampleScripts,igualqueocurraen
WindowsServer 2003.Observequelamodificacindelasautorizacionesdeobjetosdedirectivasdegrupoque
son almacenadas en la particin de dominio y en la carpeta SYSVOL, necesita de la pertenencia al grupo de
Adminsdeldominio.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

Introduccinalosgrupos,OUsydelegacin
El objetivo del presente captulo es estudiar el uso correcto de los diferentes grupos dentro de una infraestructura
Active Directory. Una vez tratados los grupos, abordaremos el caso de las unidades organizativas y tambin su
correctouso.Estonospermitirutilizardelamejormaneraposiblelasfuncionalidadesdedelegacinintegradasenel
directorioActiveDirectorycuandoseanecesario.
Losconceptosymtodosquevamosapresentarlepermitirnverlacoherenciaexistenteentrelaadministracinde
gruposdeseguridad,ladefinicindeestructurasdeunidadesorganizativasusadasconlatecnologaIntelliMirror(es
decir,lasdirectivasdegrupo)ylosserviciosdedelegacin.
DescubriremoslosaspectosdelosdiferentesmodelosdeOUhaciendohincapienmodelossimplesquepodrmezclar
segnleconvengaenfuncindesusnecesidades.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

UsodelosgruposenelentornoActiveDirectory
1.LosdiferentestiposdegruposWindows
Lacasitotalidaddesistemasoperativosimplementalanocindegrupoconelfindesimplificarlaadministracinde
sistemasylaadministracindelosaccesosalosrecursoscompartidosporesossistemas.Reuniendoengruposlas
diferentes categoras de usuarios resulta ms sencillo asignar permisos y asegurar el posterior seguimiento de los
mismos.
La administracin de los permisos concedidos de forma especfica a ciertos usuarios debe ser una operacin de
carcterpuntualydeberaserobjetomsbiendeunaoperacinbasadaenungrupo.
DesdeOS/2LANManagerylasprimersimasversionesdeWindowsNT,lanocindegruposehausadomuchopara
administrar privilegios de administracin y accesos a los recursos compartidos. Sin embargo, adems del mbito del
dominio, conviene recordar que los grupos tambin estn disponibles en todos los equipos que funcionan con
WindowsNT,Windows2000,WindowsXP,WindowsServer 2003yporsupuesto,WindowsVistayWindowsServer
2008.
Enlaactualidad,losserviciosdedirectorioActiveDirectoryofrecenmltiplesgrupospredefinidosydiferentestiposde
gruposquesedestinanausosdiversos.Lasiguientepantallailustraesteltimoaspectoymuestralasdosgrandes
categorasdegruposqueproponeActiveDirectory:losgruposdeseguridadylosgruposdedistribucin.

a.Losgruposdeseguridad
Comosunombreindica,losgruposdeseguridadhansidoideadosparaserutilizadosenoperacionesqueprecisan
deuncontroldeacceso.Paraquedichasoperacionesopeticionesdeaccesopuedancontrolarse,esevidenteque
losgruposdeseguridaddeberndisponerdeunSIDnico (SecurityIdentifierDescriptor),aligualqueocurreconlos
objetosdelasclasesuser,inetOrgPersonocomputer.
Por supuesto, cuando los usuarios son miembros de uno o ms grupos, stos heredan los permisos asignados a
cadaunodelosgruposalosquepertenecen.
Puedecomprobarmuyfcilmenteesteextremoprocediendocomosigue:

Abraunasesinconunacuentadeusuariodeldominio.

Abraelsmbolodelsistemayescribaelcomandowhoami/all.

Analicelainformacinqueaparece.Descubrirsunombredeiniciodesesin,laspertenenciasalosgrupos,los
SIDrespectivosylalistadeprivilegios.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

En la medida en que la funcin principal del grupo es la de agrupar usuarios y grupos anidados, los grupos de
seguridad tambin pueden usarse para aplicaciones como lista de distribucin, funcin que trataremos
posteriormente.

b.Losgruposdedistribucin
LasaplicacionespuedenrequerirelusodelosserviciosqueofrecelainfraestructuraActiveDirectory.Porejemplo,ya
hemos estudiado los mecanismos de localizacin de servicios del directorio Active Directory, disponibles para
cualquieraplicacin.Losgruposdedistribucintambinpuedenactuarenestesentido.
Elcorrectousodelosgruposdedistribucinestdirectamenterelacionadoconlasexperienciasdelasaplicaciones,
quepuedenusarlosparafinesdiferentesalosdeadministracindelaseguridadycontroldeaccesodeWindows.
Finalmente,comosunombreindica,losgruposdedistribucinsirvennicamenteparareunirausuariosogruposy
nopuedenusarsenuncaparaloscontrolesdeacceso.
Ventajasdelosgruposdedistribucin

Al no disponer de SID, los grupos de distribucin no se incluyen en el ticket de acceso del usuario que ha
iniciadounasesin.Estopuedeconsiderarseunaventaja,yaquepermiteminimizareltamaodelostickets
y,comoconsecuencia,eltamaodealgunosflujosdered.
Por otro lado, la seguridad se refuerza porque, al no haberse emitido ningn SID para el grupo, no se
puedenproducircontrolesdeacceso.

Inconvenientesdelosgruposdedistribucin

AlnotenerSID,losgruposdedistribucinnosepuedenusarpararealizarcontrolesdeacceso,anoserde
formaempricaenaplicacionesquenoutilicenlosserviciosdeseguridaddeActiveDirectory.

Msadelanteveremosquelosgrupospuedencambiarsedegrupodeseguridadagrupodedistribuciny
viceversacuandoeldominiofuncionaenelnivelfuncionalWindows 2000nativooWindowsServer2003.

2.mbitodelosgrupos
LosgruposdisponiblesenentornosdedominiosWindows NT,Windows 2000ServeryWindowsServer2003pueden
adoptardiferentesformas.Estosgrupospermitencontrolarelmbitodelosgruposylanaturalezadelosobjetosque
puedenalojarseenellos.

a.Losgruposglobales
Los grupos globales son, por definicin, de uso global. Esto quiere decir que pueden usarse directamente en
cualquier equipo del dominio local, pero tambin en cualquier dominio del bosque. En un sentido ms amplio, los
grupos globales pueden usarse en todos los dominios con confianza, ya sean dominios Active Directory de un
bosquedeterminado,dominiosWindowsNTexternosodominiosActiveDirectorysituadosenotrobosque.
Los grupos globales slo pueden contener cuentas del dominio local, ya sean cuentas de usuario o cuentas de
equipo.Efectivamente,enlamedidaenquelosgruposglobalespuedenusarseentodoslosdominiosconconfianza,
sifueraposiblealojarenelloscuentasdeotrodominio,estointroduciraunatransitividadinducidanodeseable.
CuandoeldominioActiveDirectoryfuncionaenmodoWindows2000nativooenelnivelfuncionalWindowsServer
2003,losgruposglobalespuedencontenertambingruposglobalesdedominiolocal.

b.Losgruposlocalesdedominio
Pordefinicin,losgruposlocalesslopuedenusarseeneldominiolocalenelqueresiden.
CuandoelnivelfuncionaldeldominioesWindows2000enmodonativo,WindowsServer2003oWindowsServer
2008,losmiembrosdelosgruposdedominiolocalpuedencontenercuentasygruposglobalesdecualquierdominio,
gruposuniversalesdecualquierdominioygruposdedominiolocaldelmismodominio.
Tambin existe la posibilidad de agregar grupos locales a otros grupos locales y asignarles autorizaciones

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

nicamenteparaesedominio.
A diferencia de los grupos locales de los dominios Windows NT, los de dominio Active Directory pueden usarse en
cualquierequipomiembrodeldominio.EnentornosWindowsNT,losgruposlocalescreadoseneldominioNTslo
podanusarseenloscontroladoresdedominioWindowsNT,limitandosuusoalosnicoscontroladoresdedominio.

c.Losgruposuniversales
Pordefinicin,losgruposuniversalespuedencontenermiembrosdecualquieradelosdominiosdelbosque.
Comoyaocurraconlosgruposglobales,tambinpuedenusarseencualquierdominiodelbosque.
Losgruposuniversalessealmacenanfsicamenteenloscontroladoresdedominiocatlogoglobal.Porconsiguiente,
esaparticularidadslopuedeserautorizadacuandoeldominioActiveDirectoryfuncionaenmodonativoWindows
2000 o en el nivel funcional Windows Server 2003. Observe que esto slo afecta a los grupos universales de
seguridad y no a los grupos universales de distribucin. En efecto, slo los grupos de seguridad, y no los de
distribucin tienen un significado NT. Por consiguiente, existe la posibilidad de crear grupos universales de
distribucinenundominioActiveDirectoryquefuncioneenmodomixtoWindows2000.Estedominiopodrcontener
controladores Windows Server 2008, Windows Server 2003, controladores Windows 2000 Server y tambin
controladoressecundariosquefuncionenconWindowsNT.
Seescribeamenudoquelosgruposuniversalessloestndisponiblesenmodonativo.Dehecho,enesos
casosseconsideraquesetratadegruposdeseguridad.Comoanteshemosexplicado,undominioActive
DirectoryqueopereenmodomixtoycontengacontroladoresWindowsNTpuedealbergargruposuniversalesde
tipodistribucin.

3.Reglasgeneralesrelativasalosobjetosgrupos
Al igual que ocurre con muchos objetos del directorio Active Directory, se pueden realizar con ellos numerosas
operaciones. Los siguientes puntos precisan las operaciones y recomendaciones de uso destinadas a los
administradoresdeActiveDirectory.

a.Usocorrectodelascuentasdegrupo
Eviteasignarpermisosdirectamenteacuentasdeusuarioodeequipo.Elusodelosgruposdeseguridadesmucho
ms flexible y sencillo de administrar. Para lograr esa simplificacin y racionalizacin tendr que haber estudiado
previamente la mejor manera de usar los grupos dentro de su empresa, en funcin de los propios problemas de
administracinydelegacindelaadministracin.
Creeunaconvencindedenominacinparalosgruposdeseguridadydistribucindeformaquelosgestoresdela
cuentasdeseguridadpuedanidentificarfcilmentesufuncinymbitodeuso.
ObservequelosgruposdeentornosActiveDirectorypuedencontenermsquesimplesusuarios.Enefecto,pueden
contenercuentasdetipousuario,grupo,contacto,inetOrgPersonyequipo.
En redes "antiguas", no era habitual crear grupos de equipos. Los sistemas que funcionan con Windows 2000,
WindowsXPProfessional,WindowsVistayWindowsServer2008endominiosActiveDirectoryutilizanelprotocolo
KerberosymecanismosdedelegacinpotentesytienelaposibilidaddeautorizarlosserviciosbasndoseenSPN.
Porconsiguiente,esposiblequesevealanecesidaddecreargruposquecontengannicamentecuentasdeequipo.
Esosgruposnecesitarndesupropiaconvencindedenominacin.
Puedecreargruposlocalesdedominioparacontrolarlosaccesosalosrecursosuoperacionesquedeseecontrolar.
En los servidores miembros y en otras estaciones de red miembros de dominios Active Directory, es posible usar
grupos locales de equipo o bien grupos locales de dominio. La regla dice que en los equipos locales que deben
controlar los accesos a sus propios recursos, la prctica correcta es usar una cuenta de grupo local, local a la
mquina.Noobstante,estemtodocreaunadependenciadelosACLconrespectoalsistemaoperativolocal.Esto
quieredecirquelaposteriorconsolidacindelosdatosenotroservidorprovocarlaprdidadetodoslospermisos
locales. De hecho, cuando varias mquinas son susceptibles de controlar los mismos discos o recursos, se
recomiendaque,sobretodo,noseusengruposlocalesdeequipo.Esecasotpicopodrasereldemquinasque
funcionancomoclusteryquepuedencontrolarporturnoslosdiscosorecursos.
Laformulamgica
Enresumen,desdehacemuchosaos,esdecir,desdeWindowsNT 3.1,conocemoslareglaAGLP Accounts/Global
groups/Local groups/Permissions. Esta frmula ha sido adaptada a Active Directory bajo la forma AGUDLP, es decir,
Accounts/Globalgroups/Universalgroups/DomainLocalgroups/Permissions.Porlotanto,resultaconvenienterespetar
elsiguientemtodo:

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Coloquelascuentasdeusuarioengruposglobales.

Coloquelosgruposglobalesengruposuniversales.

Coloquelosgruposuniversalesengruposlocalesdedominio.

Concedalospermisosalosgruposlocalesdedominio.

b.Usocorrectodelosgruposuniversales
Losgruposuniversalesslodeberanusarseparaconsolidargruposqueseextiendenavariosdominios.Elmtodo
clsico consiste en agregar las cuentas a grupos globales y despus anidar esos grupos dentro de grupos
universales.Deestaforma,lasmodificacionesdelosmiembrosdeungrupoglobalnotendrnningnefectosobre
losgruposuniversalesqueloscontienen.
La pertenencia a un grupo universal debe modificarse con prudencia. Cualquier modificacin en un grupo
universalprovocalareplicacindelapertenenciadelgrupoentodosloscatlogosglobalesdelbosque.En
la medida en que los grupos universales pueden contener un nmero importante de miembros, una sola
modificacinpuedegenerarreplicacionesbastantemsconsecuentes.Porestemotivoserecomiendaqueseevite
colocarcuentasdeusuarioengruposuniversalesyquesehagamsbienengruposdetipoglobal.Deestaforma
losflujosdereplicacinhaciayentreloscatlogosglobalessernlimitados.
Cuando el bosque Active Directory est operativo en el nivel funcional Windows Server 2003, la replicacin LVR
(ListedValueReplication)seactivaautomticamenteynosetienenencuentalasobservacioneshechasmsabajo.
Efectivamente, la replicacin de las listas de valores permite no tener que replicar todo el atributo con todos sus
valores,sinosloindependientementecadavalordelatributomodificado.

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Definicindeunaestructuradeunidadesorganizativas
1.Funcindelosobjetosunidadesorganizativas
Una unidad organizativa es un objeto del directorio Active Directory. Dicho objeto, de tipo contenedor, es
fundamental para todos los sistemas de directorios. De hecho, muy a menudo se usa como contenedor de la
estructuralgica.
Sepuedecolocarenlunnmerocasiilimitadodeobjetosdelasclasesusuario,inetOrgPerson,grupos,equipos,y
tambinotrasunidadesorganizativas.
Observe que las unidades organizativas, por definicin, slo pueden contener objetos de su propio dominio y en
modoalgunoobjetosprocedentesdeotrosdominiosActiveDirectory.
Adems,entantoquecontenedorprivilegiado,launidadorganizativapodrusarsefcilmenteparadarsoportealas
operacionesenumeradasacontinuacin:

Lasunidadesorganizativaspermitenestablecerunmodeloorganizado.
Lasunidadesorganizativaspuedencontenerobjetosquesesometernalapolticadedelegacinaplicadaa
la unidad organizativa, pero tambin de forma especfica gracias a las diferentes autorizaciones aplicables
directamentealosobjetos.
LasunidadesorganizativaspermitenelusodelatecnologaIntelliMirrorgraciasalaaplicacindedirectivas
degrupo.

Enlamedidaenquelosserviciosdedelegacinyelenlacedelosobjetosdedirectivadegrupopuedenusarseenun
mbito de tipo sitio, dominio y unidades organizativas, vemos que estas unidades son los "contenedores ms
pequeos"utilizables.
LoscontenedoresBuiltin,Computers,ForeignSecurityPrincipals,LostAndFound,NTDSQuotas,ProgramData,
SystemsyUsersnosoncontenedoresdetipounidadorganizativa,sinoobjetoscontenedorpertenecientesa
otras clases especficas. Por consiguiente, no es posible vincular una directiva de grupo a este tipo de objetos.
Comodijimosanteriormente,losobjetosdirectivadegruposloseaplicanaobjetosequipoyusuariosituadosen
sitios,dominiosyunidadesorganizativas.
Podrdescubrirlanaturalezadelasclasesrepresentadasanteriormente,activandoelmodoFuncionesavanzadasy
consultandolapestaaObjetodecadaunodeloscontenedores.
Enresumen,puedeconsiderarlafuncindelasunidadesorganizativasdelasiguientemanera:

LasOUrepresentanunidadesdeadministracinseparadas,yaqueesposibledelegarlospermisosenlaOU
ylosobjetosquecontiene.
Las OU representan configuraciones de usuario y equipo particulares, ya que es posible vincular a ellas
objetosdedirectivadegrupo.
Adems de estos dos aspectos fundamentales, las OU son un buen medio para establecer un modelo de
organizacinyaqueesposibleusarlasparaelaborarconsultasLDAP.

2.Usodelasunidadesorganizativasyrelacinconlaorganizacindelaempresa
Elposicionamientodelastecnologasdedirectoriodentrodelasempresasesuntemasensible.Efectivamente,la
funcin central de esas tecnologas tiende a complicar su implementacin "real" dentro del sistema de informacin.
Sin embargo, la necesidad de gestionar y encontrar mejor la informacin impone poco a poco su uso. Adems,
algunasaplicacionesyserviciosdeempresacomopuedenserlamensajeraelectrnicaolosserviciosdecertificados
precisandeundirectoriocomoActiveDirectory.
Por este motivo los servicios de directorio Active Directory y el uso de las unidades organizativas pueden tener un
lugardentrodelasempresasdedosgrandesmaneras:

Para empezar, el directorio puede desempear un papel tcnico. Esto significa que los ordenadores,

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

servidores,usuariosyotrasaplicacionesdeWindowspertenecientesalainfraestructuradeActiveDirectory
puedanusarlosserviciosdelmismo.

Por ltimo, el directorio puede desempear un papel ms cercano a la organizacin. Ese planteamiento lo
har completamente dependiente de las eventuales evoluciones de la estructura de la empresa, con el
peligrodehacermsfrgilsuexplotacinylimitarsuuso.

As,siintentaestablecerunaestructuradeunidadesorganizativasquerepresentelaestructuraorganizacionaldela
empresa,esmuyprobablequeelmodelonopermitausardelamejormaneraposibleladelegacinyeldespliegue
dedirectivasdegrupo.
Enunprincipio,esdeciren1998/1999,lasrecomendacionesdelprogramaBetadeWindows2000tendanarespetar
el modelo organizacional. Los primeros grandes estudios realizados por MCS (Microsoft Consulting Services)
empezaronamostrarqueelprincipalinconvenientedeesemtodoeraqueralentizabaelprocesodedefinicindela
organizacindeldirectorioy,porlotanto,eldesplieguedeActiveDirectory.
En efecto, un modelo basado en la organizacin de la empresa precisa de muchas reuniones y de interminables
discusiones.Adems,laorganizacingeneraldelaempresanomuestranecesariamentelasdisparidadesexistentes
dentrodelamismay,porconsiguiente,laszonasdesombrapodranperdurar.
Desde entonces el planteamiento de Microsoft ha evolucionado y ya no se tiene en cuenta el modelo de
funcionamientointernodelaempresa,amenosqueseaparadeterminarelnmerodebosquesydominiosdentrode
cadaunidadorganizativa.
Recuerde que las unidades organizativas de Active Directory deben simplificar las operaciones realizadas por los
administradoresynodeberanusarseparasimplificarelaccesousuariooorganizar"mejor"laempresa.
Un aspecto importante que corrobora este planteamiento se ve directamente en la interfaz grfica de
WindowsXPProfessionalyWindowsServer2003.SloWindows2000escapazderecorrerdirectamenteel
directoriopasandoporExploradordeWindowsMissitiosderedTodalaredActiveDirectory.Lossistemas
quefuncionanconWindowsXPProfessionalyWindowsServer2003notienenestaposibilidad.Porconsiguiente,
enestossistemasnoesposible"ver"ningunaunidadorganizativa.

Para obtener ms informacin acerca de la delegacin de la administracin, consulte Active Directory


PlanningandDeployment,enlaWebdeMicrosoft(http://www.microsoft.com/).

3.Delegacindelaautoridaddeadministracinyusodelasunidadesorganizativas
La delegacin de la administracin permitir atribuir cierto nmero de tareas administrativas a usuarios y grupos
seleccionadosdeformaapropiada.Deestamanera,algunasoperacionesbsicasosimplespodrnserrealizadaspor
usuariosogrupossinprivilegiosdetipoadministrador.
Al proceder de esta forma, los verdaderos administradores pueden realmente dedicarse a administrar servicios de
empresaincluidosenActiveDirectoryoenlaperiferiadelainfraestructura.
Otro aspecto importante se refiere a la "gestin correcta" de los recursos. En efecto, quin conoce mejor los
permisos que deben acordarse a los recursos que aqul que los ha creado directamente? El propio usuario, por
supuesto!
Losserviciosdedelegacin,porlotanto,permitenliberaralosadministradoresdeciertastareasyquelaspersonas
directamenteresponsablesdeciertosrecursosadministrenmejorlosaccesosalosmismos.Finalmente,ladelegacin
delaadministracinpuedeservistacomounaespeciede"descentralizacin"delpoderyporlotantobeneficiara
todoelmundo.
Entrelasgrandesoperacionesrelativasaladelegacindelaautoridaddeadministracindeobjetosdeldirectorio
ActiveDirectory,deber:

- 2-

Delegar el control administrativo dentro de un dominio del bosque creando una jerarqua de unidades
organizativasdentrodedichobosqueydelegandoelcontroladministrativodeciertasunidadesorganizativas
ausuariosogruposdeusuariosaptosparadesempearlastareas.
Tener en cuenta la estructura de la organizacin para decidir bien qu unidades organizativas deben o
puedendelegarse.
Personalizar las consolas de administracin MMC para crear una versin personalizada y limitada de un
componente de software enchufable como Usuarios y equipos de Active Directory o Administracin de
equipos.LapersonalizacindelasconsolasMMCpasaporelasistenteNueva lista de la lista de tareas...

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

quepermitecontrolarlasopcionespropuestasalaspersonasenlasquesehadelegadolaadministracin.
Documentarlasdelegacionesrealizadasyasegurarsedequelosusuariosalosquesehaatribuidoelcontrol
delosobjetosdisponendelmnimodeconocimientosparallevaracabolasoperaciones.

a.Estructurabasadaenlanaturalezadelosobjetosadministrados
Una estructura basada en las diferentes naturalezas de los objetos se adapta especialmente bien para delegar
tareas administrativas en funcin de los tipos de objeto. Usted podr, por ejemplo, proceder de la manera
siguiente:

Creeunoovariosgruposdeseguridadparaalbergaralosusuariosogruposobjetodeladelegacin.

Creeunajerarquadeunidadesorganizativasadecuadaalajerarquadeadministracin.

Encadaunidadorganizativainsertelosdiferentestiposdeobjetosquedeseadelegar.

Deleguelastareasdeadministracinsobrelasunidadesorganizativasalosgruposquedebendisponerde
lospermisos.

b.Estructurabasadaenlastareasdeadministracin
Unaestructurabasadaenlastareasdelegadasquedebenllevarseacabosedefineenfuncindelasdiferentes
tareasdeadministracin.Enmodelosas,podrprocederdelamanerasiguiente:

Creeunoovariosgruposdeseguridadparaalbergaralosusuariosogruposqueserndelegados.
Cree una jerarqua de unidades organizativas adecuada para la jerarqua de administracin. En este
modelo, la jerarqua de unidades organizativas slo se ver influida por las tareas de administracin. Sin
embargo, esto no es obligatorio y la estructura puede considerar otros criterios (organizacin de los
objetos, ubicaciones geogrficas, organizacin de la empresa, tipos de objeto, tipos de tareas de
administracin).
Encadaunidadorganizativainsertelosdiferentestiposdeobjetoquedeseadelegar.
Deleguelastareasdeadministracinsobrelasunidadesorganizativasalosgruposquedebendisponerde
delegaciones,enfuncindelanaturalezadelosobjetosydelastareasasociadasaesostiposdeobjeto.
Parallevaracaboesetipodedelegacinpuedeprocederdelasiguientemanera:

Enel Asistente para delegacin de control,enlaetapa Tareas que se delegarn, seleccione la opcinCrear
unatareapersonalizadaparadelegar.
En la pantalla Tipo de objeto de Active Directory, seleccione la opcin Slo los siguientes objetos en la
carpeta,yacontinuacinseleccionelaclaseoclasesdeseadas.
Finalmente,enlapantallaPermisos,seleccionelospermisosquedesee.

c.Factoresaintegrarenladefinicindeunajerarquadeunidadesorganizativas
Antes de definir de forma precisa la estructura de una jerarqua de unidades organizativas, resulta interesante
analizar la situacin de los contenedores predeterminados. A continuacin, identificaremos los factores de
estructura ms convenientes que nos permitirn estudiar una estructura de unidades organizativas basada en
diferentesmodelos.
Apropsitodeloscontenedorespredeterminados
Todo dominio Active Directory contiene un conjunto genrico de objetos unidades organizativas y otros
contenedores.As,encadadominioActiveDirectory,encontrarlossiguienteselementos:
Builtin

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Contenedorquealbergalosobjetosquedefinenlosgruposdeadministracinpredefinidospordefecto.Encontrar,
por ejemplo, los grupos Administradores, Operadores de cuenta,Operadores de impresin o el grupo Acceso
compatibleconversionesanterioresaWindows 2000.
Computers
ContenedorquealbergalosobjetosequiposWindowsNT,Windows2000,Windows XP,WindowsVista,Windows
Server2003y2008,incluyendocuentasdeequipocreadasenunprincipioporlasantiguasAPINTquenoconocan
ActiveDirectory.EstecontenedorseusatambincuandolosdominiosWindowsNTseactualizanaWindows2000,
Windows Server 2003 o Windows Server 2008. Tras la migracin de un dominio NT a Active Directory, todos los
equiposmiembrosdeldominioseordenanenestecontenedor.Estecontenedornopuederecibirunnuevonombre.
DomainControllers
Esta unidad organizativa contiene objetos equipo destinados a los controladores de dominio que funcionan con
Windows 2000 Server, Windows Server 2003 o Windows Server 2008. Las cuentas de equipo de los antiguos
controladoresdedominiosecundariosNTaparecerntambinenesaubicacin.
Users
EstecontenedoralbergacuentasdeusuariosygruposcreadosenunprincipioporantiguasAPINTquenoconocen
ActiveDirectory.EstecontenedorseusatambincuandolosdominiosWindowsNTseactualizanaWindows 2000
Server,WindowsServer2003oWindowsServer2008.TraslamigracindeundominioNTaActiveDirectory,todos
los usuarios miembros del dominio se ordenan en este contenedor. Este contenedor no puede recibir un nuevo
nombre.
LostAndFound
EsteobjetodelaclaseLostAndFoundcontieneobjetoscuyoscontenedoreshansidoeliminadosalcrearelobjeto.
Cuandounobjetosehacreadoenunaubicacindeterminadaosehadesplazadohastaellaytraslareplicacinse
observa su ausencia, el objeto perdido se agrega al contenedor LostAndFound. El contenedor
LostAndFoundConfig situado en la particin de directorio de configuracin desempea el mismo papel para los
objetosdelbosque.
System
La carpeta System es un contenedor que alberga informacin crtica para todo el dominio Active Directory. Por
ejemplo,contienelainformacinrelativaaladirectivalocaldeseguridad,losparmetrosdeFile Link Tracking,los
objetos TDO que representan las confianzas interdominios as como los puntos de conexin TCP y Windows
Sockets.Enlencontrarlossubcontenedoressiguientes:AdminSDHolder,DefaultDomainPolicy,DfsConfiguration,
FileReplicationService,FileLinks,IPSecurity,Meetings,MicrosoftDNS,Policies,RpcServices,WinsockServices.
La prxima parte de este captulo nos permitir elaborar una reflexin destinada a definir una estructura de
unidadesorganizativasadecuada.
Criteriosdelasubicaciones,operacionesytiposdeobjetos
Anteriormente hemos visto que el planteamiento correcto para definir una buena jerarqua de unidades
organizativas dependa estrechamente de la relacin existente entre el modelo a definir y la organizacin de la
empresa, precisando que era altamente recomendable desprenderse de ese tipo de restriccin para poder
aprovechartotalmentelosserviciosdeseguridad,delegacinygestinIntelliMirror.
Una jerarqua de unidades organizativas bien construida, por lo tanto, debe permitir que los administradores
construyan un plan de delegacin de la autoridad lo ms simple posible. Para lograrlo debern tener, ya en un
principio, una buena percepcin de las operaciones que desean delegar y tambin a quin y para qu tipos de
objetos.
Por regla general, debern garantizar un buen nivel de estabilidad de los primeros niveles de la jerarqua de
unidades organizativas. Para lograrlo, defina los niveles basndose en criterios fiables, estticos y, si es posible,
independientes de los parmetros de empresa. Respetando en lo posible estas restricciones se proteger de
posiblesefectosnegativosocasionadosporreorganizacionesinternasdelaempresa.
Puede considerar los criterios descritos ms abajo como criterios estables, utilizables para construir los primeros
nivelesdelajerarquadeunidadesorganizativas:

- 4-

Considerelossitiosgeogrficos,edificios,plantasozonasparticularesdelaredrespetandolosplanesde
denominacin ya definidos y, por lo tanto, por todos conocidos. El hecho de construir la jerarqua de
unidades organizativas en funcin de las diferentes ubicaciones significa usar el modelo basado en las
tareasdeadministracinenfuncindelasubicaciones.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Considerelanaturalezadelasoperacionesquedeseadelegarcomo,porejemplo,lacreacin,eliminacino
modificacindelascuentasdeusuario,elcontroldelosmiembrosdelosgruposolascuentasdeequipos.
Tambin se trata de tareas como la creacin de objetos directiva de grupo, filtros WMI, o nicamente
vnculos de directivas de grupo. Este tipo de modelo es muy atrayente porque es independiente de la
organizacindelaempresayporquelastareasgenricassiempresernlasmismas.
Considerelanaturalezadelosobjetos.Esteplanteamientoesparecidoalmodeloprecedente,basadoen
lostiposdeoperacionesdelegadas.

Las tres grandes familias de criterios permitirn definir los primeros niveles de una jerarqua de unidades
organizativas.Ademsdeesoscriteriosdeestructura,puedeseguirlossiguientesconsejos:

SilaempresaestcompuestaporvariosdominiosActiveDirectory,hagaquelosprimerosnivelesdefinidossean
lomsreutilizablesposible.Deestaformagarantizarunabuenacoherenciaadministrativadelosobjetos.
Pordebajodelosprimerosniveles,quedebenserlomsgenricosposible,lasunidadesorganizativasdelos
nivelesinferioresdebenrepresentarnivelesprecisosrelacionadosconlasoperacionesdelegadas.Esasunidades
organizativaspodrnusarsetambinparaocultarobjetosoparaaplicarlesdirectivasdegrupo.
Para beneficiarse ms eficazmente de los servicios de delegacin no complique en exceso la estructura. Podr
aprovecharycontrolarmejorlosmecanismosdeherenciaenunajerarquasimplequenocomportemsdeuna
decenadeniveles.

Para poner en prctica estos principios vamos a imaginar la estructura de unidades organizativas de la empresa
corporate.net,talycomoseespecificaacontinuacin:
@Corporate
Unidadorganizativaquecontieneunajerarquaadaptadaalasnecesidadesdelacasamadre.
@ExtranetNetwork
Unidad organizativa que contiene una jerarqua adaptada a las necesidades de la red Extranet. En caso de
externalizacindelosservicios,lagestindelaExtranetdelaempresapuededelegarseaunproveedordeservicio
"conconfianza"quesebeneficiedeunadelegacindelaadministracin.
@Groups
Unidadorganizativaquecontienetodoslosgruposclsicos.Elhechodeordenartodoslosgruposclsicoseneste
contenedorpermitelocalizarlosconsumafacilidadytenerunavisibilidadtotaldelosobjetossensiblesusadospara
asignarpermisos.Adems,comonoesposibleaplicardirectivasdegrupoagrupos,estemtodonotieneningn
efectonegativo.
Managers&ExternalServices
Unidadorganizativaquecontieneslolascuentasdeserviciousadasporlasaplicacionesylascuentastemporales
quedisponendedelegaciones.Esteplanteamientopermitelocalizarconsumafacilidadlascuentasusadasporlas
aplicaciones y las cuentas externas que disponen temporalmente de permisos obtenidos a travs de una
delegacindelaadministracin.
Subsidiary
Unidad organizativa que contiene los puntos de partida de la jerarqua dedicados a las diferentes filiales de la
empresa.Explicamosesteplanteamientomsadelante.
ApropsitodeTheBostonCompany
UnidadorganizativaquecontieneunajerarquaadaptadaalasnecesidadesdelafilialdeBoston.Estapartedel
dominio Active Directory usa un modelo basado en la naturaleza de las tareas de administracin delegadas. De
hecho,losmodelosquereagrupanlosobjetosporsunaturalezaseadaptanespecialmentebien.
ApropsitodeTheLondonCompany
UnidadorganizativaquecontieneunajerarquaadaptadaalasnecesidadesdelafilialdeLondres.Estapartedel
dominio Active Directory usa un modelo basado en la organizacin de la empresa y en los tipos de objetos. Los
modelos de este tipo permiten remitirse a los diferentes departamentos de la empresa usando los servicios de
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

delegacinenfuncindelosdiferentestiposdeobjetos.
ApropsitodeTheMonacoCompany
UnidadorganizativaquecontieneunajerarquaadaptadaalasnecesidadesdelafilialdeMnaco.Estapartedel
dominioActiveDirectoryusaunmodelobasadoenlasubicacionesyenlostiposdeobjetos.Losmodelosdeeste
tipopermitenmostrarclaramentelosdiferentessitiosgeogrficosylascategorasdeobjetosenlosqueseusala
delegacinyquiztambinlasdirectivasdegrupo.
La siguiente pantalla muestra una estructura de unidades organizativas que respeta esos principios
fundamentales.

Jerarquadeunidadesorganizativasbasadaendiferentescriteriosymodelos
ApropsitodeDispatchInProgress
Estaunidadorganizativadesempealafuncindezonatemporalcuandohayquecrearobjetosdeformaurgente,
perosuunidadorganizativadeacogidanoestandefinida.Posteriormentepodrdesplazarelequipo,usuarioo
grupodeseadoalaunidadorganizativaapropiada.

4.Usodelasunidadesorganizativasparalasdirectivasdegrupo
Ms adelante estudiaremos detalladamente el funcionamiento de las directivas de grupo. Sin embargo, la relacin
existenteentreloscontenedoresdetipounidadorganizativaylosobjetosdirectivadegrupoestalquenopodemos
dejardemencionarlasbuenasprcticasquedebenrespetarseparadefinirunajerarquadeunidadesorganizativas
yusarcorrectamentelasdirectivasdegrupodentrodelamisma.
LosobjetosdirectivadegruposonobjetosdeldirectorioActiveDirectoryquepermitenestableceryusarlatecnologa
IntelliMirror.GraciasaestosobjetosserposibledarsoportealossiguientesserviciosatravsdeActiveDirectory:
todos los parmetros de registro, parmetros de seguridad, scripts de inicio y cierre de sesin, la instalacin y
gestin de aplicaciones, el redireccionamiento de las carpetas, la gestin de las cuotas de disco, la gestin de los
parmetros WiFi, las directivas de restriccin de software, los parmetros de clave pblica, los parmetros de
directivaIPSec,losparmetrosdeInternetExplorer,losparmetrosdelosserviciosRIS(RemoteInstallationServices)
y,finalmente,losparmetrosdeQoS(QualityofServices).
Sabemosque,porconcepto,lasdirectivasdegruposeaplicandeacuerdoconelesquemaL,S,D,OUs.Esteesquema
significaqueenunprimermomentoseaplicanlosparmetroslocalesdelequiposeguidosdelosparmetrosdelas
directivasdegrupodelsitio,seguidosdelosparmetrosdelasdirectivasdegrupodedominio,seguidos,finalmente,
delosparmetrosdelasdirectivasdegrupodelajerarquadeunidadesdeorganizacin.
Este principio de funcionamiento sper potente muestra hasta qu punto es importante la estructura de unidades
organizativas. Las directivas de grupo se aplican de arriba a abajo descendiendo en la jerarqua gracias a las
- 6-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

posibilidadesdeherenciadelosserviciosdedirectorioActiveDirectory.
Para obtener ms detalles acerca del funcionamiento y la delegacin de directivas de grupo o de las operaciones
relativasaellas,remtasealcaptuloquetratasobredirectivasdegrupo.

5.Reglasgeneralesybuenasprcticas
AprovechelasfuncionalidadesdeherenciadeldirectorioActiveDirectoryybloqueelaherenciadeloscontenedores
slocuandoseanecesario.
Use un modelo basado en la organizacin cuando desee que los primeros niveles representen a las diferentes
entidades,direccionesocentrosdebeneficiodelaempresa.Cuandolaempresaestmuyestructurada,estemodelo
permite construir con suma facilidad un plan de delegacin de la administracin que reflejar la organizacin de la
empresadeformamuyprecisa.
Sinembargo,estemodelopuedepresentarelsiguienteinconveniente:

Estatcnicadependedelaorganizacinyseverafectadacuandolaempresasesometaareorganizaciones
internas.
Por el contrario, el hecho de que la estructura sea ya conocida al estar basada en la organizacin de la
empresa, cuenta generalmente con la confianza de todos. Este aspecto puede considerarse como una
notableventaja.

Useunmodelobasadoenlasdiferentesactividadesdelaempresacuandolasactividadessebastanaellasmismas
y, por tanto, poseen una gran autonoma. Si la empresa parece estar compuesta por varias entidades muy
autnomas,esdecirindependientes,losmodelosdeestetiporesistirnengenerallasreorganizaciones.
Procurequelosprimerosnivelesdeestructuradelajerarquanoseveansometidosacambiosfrecuentes.Laidea
serqueenunbosquecompuestoporvariosdominios,losdosotresprimerosnivelesrespetanlasmismasreglasde
estructura,seancualesseanlosdominios.
Use los objetos unidades organizativas con prudencia. Es razonable crear una unidad organizativa al presentarse
algunodelostrescasossiguientes:

Esprecisoestablecerunadelegacindelaautoridaddeadministracin.

Deseaocultarlavisibilidaddeciertosobjetos.

DeseacontrolarlaaplicacindelasdirectivasdegrupoconayudadelafrmulaL,S,D,OUs.

Para obtener ms informacin acerca de la delegacin de la administracin, remtase al documento Active


Directory Planning and Deployment, que puede descargarse en la Web de Microsoft
(http://www.microsoft.com/).

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 7-

TecnologaIntelliMirror
1.Introduccin
LatecnologadeadministracinIntelliMirrorenunconjuntodepotentesfuncionesdesarrolladasparaincrementarla
disponibilidad de los sistemas Windows y reducir el coste total de posesin de los equipos que funcionan con
Windows2000,WindowsXPProfessional,WindowsVistaylasfamiliasdesistemasWindowsServer2003y2008.
IntelliMirrorrecurreadirectivasparaimplementarlosmecanismosdeadministracindelasmodificacionesycambios
de configuracin. De esta forma, la tecnologa permite que los usuarios interacten con una red cada vez ms
dinmica. Los usuarios pueden encontrar fcilmente sus datos, programas y configuraciones dentro de un entorno
informticodistribuido,estnconectadosono.LatecnologaIntelliMirrorseintegradirectamenteenWindows 2000y
versionesposteriores.
Para aprovechar las nuevas funcionalidades de esta tecnologa, es obligatorio disponer de un entorno de
dominio Active Directory y de estaciones de trabajo que funcionen con Windows 2000, Windows XP
Professional o Windows Vista. Las estaciones de trabajo de versiones anteriores a Windows 2000, es decir,
Windows9xyWindows NT,nopuedenusarlatecnologaIntelliMirroraunquedispongandelclienteActiveDirectory.
IntelliMirrorsearticulaentornoatresfuncionesprincipales:

administracindelosdatosdelosusuarios

administracindelasconfiguracionesdelosusuariosylosequipos

instalacinymantenimientodelosprogramasparalosusuariosytambinparalosequipos.

Por supuesto, podr usar todos esos servicios, o parte de ellos, en funcin de las necesidades del personal de la
empresa.

2.Aportacinparalaempresa
Como las funciones IntelliMirror se implementan a travs de los componentes integrados en el sistema operativo
WindowsydentrodelosserviciosdedirectorioActiveDirectory,latecnologapuedeusarseentodaslasredes,dela
menor a la mayor. De esta forma, si los mtodos de gestin y administracin de los cambios de configuracin
evolucionan,serposibledisponerdeunentornoseguroaltiempoquecontrolado.
Enefecto,desdeelmomentoenquelosparmetrosdeadministracinyconfiguracinnoestnubicadosdirectamente
enlosequiposclientesdelared,sinoenlasdirectivasqueeldirectorioActiveDirectory,poneanuestradisposicin,
laestacindetrabajopesadapasaaserunaestacincontrolada,yaqueesinteligente.
LatecnologaIntelliMirroresunasolucindistribuidaenlaquelosclientesinteligentesdelaredinteractan
conlosserviciosdeinfraestructuradeActiveDirectorypuestosasudisposicin.Aunqueseaposibleintegrar
en Active Directory terminales de tipo Windows XP Embedded, estos clientes slo disponen de funcionalidades
IntelliMirrorlimitadas.

En el mismo orden de ideas, Windows XP Edition Family y Windows Vista Edition Family no soporta las
directivasdegrupoporlasimplerazndequeesetipodeclientesnopuedeintegrarsedentrodeldominio.
IntelliMirror permite administrar las modificaciones y cambios de configuracin apoyndose en dos grandes tipos de
directivas:

Las directivas locales: todos los equipos que funcionan con Windows 2000, Windows XP Professional,
Windows Server 2003, Windows Vista o incluso Windows Server 2008 poseen una directiva local, ya sean
mquinasmiembrosdeundominioomquinasautnomas.Msadelanteveremosquecuandoelequipoes
miembrodeundominioActiveDirectory,ladirectivaodirectivasdeldominioseimponensobreladirectivalocal.

EnlossistemasWindowsServer2003yWindowsServer2008,ladirectivalocalsealmacenalocalmenteenel
directorio%Systemroot%\System32\GroupPolicy.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Lasestrategiasdegrupo:permitenaplicardeformacentralizadayuniformelasrestriccionesdeadministracin
y las normas en vigor dentro de la empresa a grupos de usuarios y equipos. Un grupo corresponde a un
conjunto de objetos almacenados en el directorio Active Directory. La administracin centralizada de varios
usuariosyequiposreduceconsiderablementeeltiempoyelesfuerzodegestindeunadministrador.Unavez
establecidaladirectivadegrupo,elsistemapuedeaplicarsedeformacclicaycasicompletamentedinmicasin
necesidaddeintervencionesposteriores.

Directivas locales o directivas de grupo? El objetivo de la tecnologa de administracin y cambio de las


configuracionesesgestionarelciclodevidadelosequiposylosusuarios.Enfuncindelasnecesidades,la
administracinusarunasvecesdirectivaslocalesyotrasdirectivasdegrupo.Tambinesposibleutilizarunhbrido
deambostiposdedirectivaydefinirlosparmetrosyposibilidadesqueseasignarnalosusuariosoalosequipos.
Lasdirectivaslocalessedefinenenequiposlocales,mientrasquelasdirectivasdegruposeconfiguranyaplicana
grupos de usuarios o equipos a travs de Active Directory. Las directivas de grupo permiten que IntelliMirror
centraliceysimplifiquelaadministracindelasmodificacionesylaconfiguracin.

LasdirectivasdegruposeconoceneninglscomoGPOGroupPolicyObject,trminoutilizadoregularmente
enlostextossobreActiveDirectory.
Los equipos pueden usarse en modo conectado o en modo no conectado. Este es un caso clsico de uso de los
ordenadores porttiles. A lo largo del da, los usuarios pueden pasar de un modo al otro en funcin de sus
actividades.
Ventajasparalaempresa
Unodelosprincipalesbeneficiosparalaempresaesunaproductividaddelosusuariosclaramentemayor.Laideaes
que el equipo debe estar lo ms disponible posible y ser lo ms eficaz y autnomo posible con respecto a la
infraestructuradelaqueformaparte.ConlainiciativaZAW(ZeroAdministrationforWindows)presentadaporMicrosoft
en 1996 con NT 4.0 y el ZAK (Zero Administration Kit), que era un conjunto de herramientas de administracin y
procedimientos,hoyendaIntelliMirrorpermitemejorarsobremaneralacalidaddelosserviciosalosquedasoportela
infraestructuraWindows.
Ventajasparalosusuarios
Elusuariopuedesacarmejorpartidodesuequipo.Elequipoestdisponibleporqueesfiable,tantodesdeelpunto
de vista del hardware como del software incorporado. La configuracin del ordenador y los datos del usuario le
acompaansiempre,trabajeenmodoconectadoodesconectado.Estospequeosavancesprestangrandesservicios
ya que mejoran la disponibilidad de los datos y del entorno de trabajo. Por si fuera poco, como las funciones son
fciles de utilizar, resultan transparentes para los usuarios. Los usuarios pueden iniciar una sesin en cualquier
ordenadoryaccederasuspropiosdatosyaplicacionessinsaberrealmentedndeseencuentranenlaprcticauso
delservicioDFS,accesoalascarpetasdesconectadas,usodelosperfilesdeusuario,instalacinymantenimientode
los programas a travs de los servicios de gestin de programas, instalacin de las actualizaciones y parches
WindowsatravsdelosserviciosWSUSWindowsServerUpdateServices).

3.ModificacionesrealizadasalasGPOporlosclientesWindowsVista
WindowsVistaincorporanovedadesfuncionalesquehacenprogresarlosmecanismosvinculadosalainfraestructura
de directivas de grupo, mejorando la deteccin de la red y permitiendo una mejor gestin por parte de los
administradores.
Visto desde fuera, los grandes principios aportados por Windows 2000 Server siguen siendo vlidos pero Windows
Vista ofrece una importante evolucin de la infraestructura de directivas de grupo. Con Windows 2000 Server,
WindowsXPProfessionalyWindowsServer2003,eltratamientodelasdirectivasdegruposedesarrollaatravsdel
procesoWinlogon.
Enestasplataformas,Winlogonesuncomponenteresponsabledenumerosasfuncionescomoeliniciodesesinlocal
y las operaciones relativas a las directivas de grupo. En Windows Vista, las directivas de grupo disponen de un
servicio de tratamiento especfico. Adems el tratamiento y aplicacin de las directivas de grupo se fortalece de
maneraqueesimposiblepararlasoqueunadministradorpuedatomarposesindelasautorizacionesdefinidasenla
directivadegrupoparadesactivarlas.Estasmodificacionesmejoranlafiabilidadglobaldelmotordelasdirectivasde
grupo.

a.Mejoradeladeteccindered(NetworkLocationAwareness)
En Windows 2000, Windows XP Professional y Windows Server 2003, los mecanismos de tratamiento de las

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

directivasdegrupointentandeterminarlanaturalezadelaconexindered(conexinlentaorpida).Enfuncinde
la conexin, se seleccionan los parmetros de directiva a aplicar. Este mtodo sigue siendo vlido con Windows
Vista,sinembargoelmtododeclculopermitedeterminarsielanchodebandasehamodificadoradicalmente.En
las antiguas plataformas, la determinacin de la velocidad utilizando el envo de paquetes ICMP (Internet Control
MessageProtocol) a los controladores de dominio. Si inicialmente, la idea es buena, en la prctica aparecieron ms
problemasyaquefuemuyfrecuentequesedesactivaraelsoportedelosmensajesICMPparapararlasrespuestas
deping.Cuandolaconexinseestablecaatravsdeconexionesdelatenciaalta,comolasconexionesvasatlite,
los clculos podan estar equivocados. En estas situaciones, no era posible garantizar que la conexin fuera lo
suficientementerpida.
Otro problema de los sistemas Windows XP Professional afecta al no reconocimiento del modo suspensin e
hibernacin. Evidentemente, era necesario actualizar las directivas de grupo despus de suspender, hibernar, o
simplementecuandoelordenadorseconectadespusdeunaausenciaprolongada.
Los sistemas que funcionan con Windows Vista actualizan los parmetros de conexin de red en tiempo real. La
principal modificacin afecta al motor de directivas de grupo, que utiliza ahora el administrador NLA 2.0 (Network
Location Awareness 2.0).LoscomponentesdelservicioNLAavisanalmotordedirectivascuandouncontroladorde
dominioestdisponibleeinician,siesnecesario,unaactualizacindelasdirectivasdegrupo.

b.Directivaslocalesmltiples(LGPO)
A menudo, las directivas locales se utilizan para permitir a los administradores de mquinas Windows 2000,
Windows XP, Windows Server 2003 o Windows Vista configurar los parmetros de seguridad o de registro de los
equipos, cuando no hay disponible ninguna infraestructura GPO. En general, esto se produce en equipos de tipo
"Kiosco"(equiposdelibreutilizacin),delasmquinassituadasenentornospblicosoinclusoequiposdepruebao
dedemostracin.
LoslmitesdedirectivaslocalesresidenenelhechodequelasplataformasWindows2000,WindowsXPyWindows
Server 2003 no soportan una sola directiva local, esto es particularmente problemtico cuando es necesario
administrarparmetrosdiferentesparadiferentesusuarios.
WindowsVistacorrigeestalimitacinpermitiendolacreacindemltiplesdirectivasdegrupolocales LGPO,Local
GroupPoliciesObjects,aplicablesenlassiguientesentidades:

Cualquierusuariolocaldelamquina,especificadoporsunombre.

LosusuariosmiembrosdelgrupoAdministradordelamquinalocal.

LosusuariosnomiembrosdelgrupoAdministradordelamquinalocal.

Atencin! Un usuario determinado slo est afectado por una nica directiva de las mencionadas a
continuacin,enfuncindecmosehayandeclarado.Adems,convienerecordarquecuandoelordenador
WindowsVistaformapartedeundominioActiveDirectory,lasdirectivasdegruposeaplican,comodecostumbre,
respetandoelordenSitio/Dominio/OUs,siendoprioritariassobrelasdeclaradaslocalmente.
Tenga en cuenta que en el caso de que no quiera utilizar esta nueva funcionalidad, los administradores tienen la
posibilidaddedesactivarlasLGPOenlosequiposWindowsVista.

Desactivacindeltratamientodeobjetosdedirectivasdegrupolocales.
Lafiguraanteriormuestralaposibilidaddedesactivarestanuevafuncionalidadcuandonodeseeutilizarla.
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

c.Mejorgestindelosmensajesdeeventos
WindowsVistaestequipadodeunnuevosistemaderegistrodeeventos.Elmotordedirectivasdegrupoopera
conelnuevosistemaderegistro,WindowsEventing6.0dividiendoloseventosendospartes.Lapartequeutilizael
registro de sistema registra los problemas de directivas de grupo, mientras que la parte que utiliza el registro de
aplicaciones es especfica de las diferentes directivas de de grupo, y almacena los eventos de operaciones. Este
nuevosistemareemplazaelvoluminosoficherodeerroresuserenv.log.

d.AntiguosADMynuevosADMX
EnlasversionesdeWindowsanterioresaWindowsVista,lacreacindeunnuevoobjetoGPOgeneraunconjunto
de ficheros ADM que representa ms o menos 5 MB. De hecho, un nmero importante de objetos GPO conlleva la
creacindeungrannmerodeficherosidnticosenelSYSVOLsernnecesariamentereplicadosenlosdiferentes
controladoresdedominiodeldominio.
Las nuevas directivas de grupo de Windows Vista aportan una respuesta a esta problemtica introduciendo un
nuevo formato basado en XML para los ficheros de definicin de directiva: los ficheros ADMX. Adems, los ficheros
ADMX (nuevo formato de ficheros para las plantillas administrativas de Windows Vista y Windows Server 2008
basado en XML) no dependen del idioma y se acompaan de un fichero ADML (nuevo formato de ficheros que
contienelosdatosespecficosdelosidiomasutilizadosporlanuevaconsoladeadministracindedirectivasdegrupo
de Windows Vista SP1 (via RSAT Remote Server Administration Tools) o Windows Server 2008 que se puede
descargar de la web de Microsoft) especfica de cada idioma. Puede aadir fcilmente idiomas simplemente
aadiendolosficherosDMLquevanconelficheroADMX.
Ademsdelcambiodeestructuradeficheros,elnuevoformatoADMXsoportaelalmacncentral.Estenuevoespacio
dealmacenamientoevitalareplicacindeinformacinduplicadayfacilitalaactualizacindeunficheroADMXenun
punto nico. Los administradores que definen las directivas de grupo a partir de una estacin de administracin
WindowsVistatienenaccesoautomticoalosnuevosficherosADMXactualizadosenelalmacncentral.
WindowsVistaofrecemsde130ficherosADMXWindowsServer2008ofrecemsde140parareemplazaralos
6u8ficherosADMproporcionadosenlasanterioresversionesdeWindows.
Estos ficheros se almacenan en el directorio C:\Windows\PolicyDefinitions, mientras que los ficheros de
idiomaADMLsealmacenanenunsubdirectorioespecficoparacadaidioma (porejemploesESparaEspaa
yenUSparaelidiomaingls/americano).
Es importante tener en cuenta que los sistemas que funcionan con Windows Vista y Windows Server 2008
almacenan los parmetros de directivas de grupo de forma diferente. Los nuevos ficheros ADMX sustituyen a los
antiguos ficheros ADM ofreciendo numerosas posibilidades, como la carga dinmica, el soporte de mltiples idioma
ascomolaposibilidaddecentralizarlosmodelosenloscontroladoresdedominio.
Importante! Las plataformas Windows Vista y Windows Server 2008 continan dando soporte a los
antiguos formatos de modelos basados en ficheros ADM. Sin embargo, Microsoft recomienda la conversin
de los ficheros ADM al nuevo formato ADMX utilizando la herramienta ADMX Migrator disponible en la Web de
Microsoft. Esta herramienta gratuita funciona en Windows Server 2008, Windows Vista, Windows XP SP2,
Windows Server 2003 SP1 o superior y necesita la consola MMC 3.0 y la instalacin previa de Microsoft .NET
version2.0.

e.WindowsVistasoportanumerosasnuevascategoras
En comparacin con Windows XP Professional SP2, Windows Vista aade en torno a 800 nuevos parmetros de
directivas.Perolomsdestacableesqueestasnuevascategorasonoexistanotenanunaactuacinpordefecto.
Entreestosnuevosdesarrollos,losmsinteresantesconciernenalosparmetrosderedatravsdecableoWiFi,
los parmetros del cortafuegos de Windows en modo avanzado, los parmetros IPSec, los parmetros de
administracindeimpresin,ascomolosdeDesktopShell,laAsistenciaremotayotrasfuncionesTabletPC.Tenga
encuentatambin,laadministracindelasunidadesdealmacenamientoextrables,laadministracindeenerga,el
controldelascuentasdeusuario,lagestindeinformesdeerroresWindows,laproteccindelaccesoderedesylos
parmetrosdeWindowsDefender.
Atencin! Para crear o modificar las GPO que utilizan los parmetros de Windows Vista, debe utilizar
obligatoriamente un ordenador con Windows Vista, o un servidor Windows Server 2008. Observe que la
administracindeciertasnovedadesfuncionalesnecesitarelSP1deWindowsVistaascomoelmduloadicional
RSAT(RemoteServerAdministrationTool).EstoesparticularmenteciertoparalasnuevasPreferenciasdedirectivas
degrupo.

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Como puede constatar, Windows Vista moderniza de forma importante los objetos GPO y la manera de
administrarlas.Integranungrannmerodeparmetrosconfigurablesparaaumentarelcontrolylaseguridaddelos
sistemas.

4. Novedades aportadas en las estaciones cliente gracias a los cambios en las


directivasdegrupodeWindowsServer2008
Windows Server 2008 permite un soporte mejorado en relacin a la gestin y la configuracin de sistemas que
funcionan con Windows Vista. As, las nuevas categoras aparecen para permitir a la empresa aprovechar estos
avancesyprogresosrealizadosenlossistemasoperativosclientes.
Entreellas,podemosdestacar:

a.Laadministracincentralizadadelosparmetrosdegestindeenerga
Estafuncionalidadpermitir,sinduda,lograrahorrossustancialesenlasredesdecualquiertamao.

LosparmetrosdegestindeenergasesoportanatravsdelasdirectivasdegrupodeWindowsServer2008.
Decenas de parmetros permiten una administracin totalmente centralizada, gracias a las directivas de grupo.
Estos parmetros se sitan en la siguiente ubicacin: Configuracin del equipo Directivas Plantillas
administrativasSistemaAdministracindeenerga.
Atencin!EstosparmetrossloafectanalasestacionesdetrabajoquefuncionanconWindowsVistayno
alasquefuncionanconWindowsXPProfessional.

LaposibilidaddegestionarlainstalacindeperifricosUSBnoautorizadosascomoladelegacindela
instalacindecontroladoresdeimpresoraaciertosusuarios.

Configuracinderestriccionesdeinstalacindedispositivos

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

La gestin centralizada de restricciones de funcionamiento de perifricos USB permite crear polticas


adaptadasparalosdiferentestiposdeperifricoscomolosdiscosyllavesUSB,loslectoresygrabadoresde
CD y DVDRW. Estos parmetros estn ubicados en el siguiente emplazamiento: Configuracin del equipo
Directivas Plantillas administrativas Sistema Instalacin de dispositivos Restriccin de instalacin de
dispositivos.

Atencin!EstosparmetrossloafectanalasestacionesdetrabajoquefuncionanconWindowsVistayno
alasquefuncionanconWindowsXPProfessional.

b.Mejorasaportadasalosparmetrosdeseguridad
Las directivas de seguridad de Windows Server 2008 renen ahora el conjunto de parmetros IPSec y de
cortafuegos.Estaracionalizacindelainterfazesmscoherenteconlamayorpartedeescenariosdedespliegue.

ElcortafuegosdeWindowsconfuncionesavanzadasintegralareglasdecortafuegosentrantesysalientesascomo
lasreglasdeseguridadIPSecenunslopunto.
Adems,losnuevosasistentespermitenunaimplementacinmsrpidadelasconfiguracionesdetipoaislamiento
enundominioActiveDirectory.

c.MejoradelagestindelosparmetrosvinculadosaInternetExplorer
En las plataformas que funcionan con Windows XP Professional o Windows Server 2003, podra ocurrir que los
parmetrosutilizadosenlamquinalocaltenganprioridadsobrelosparmetroscontenidosenunobjetoGPO.Este
tipodeproblemapodraproducirsealmodificarlosparmetrosdeconfiguracindeInternetExplorercontenidosen
unobjetoGPO.Ahora,WindowsServer2008nopermiteestetipodemodificacindelosparmetros.

d.AsignacindeimpresorasenfuncindelsitioActiveDirectory
Las directivas de grupo de Windows Server 2008 permiten ahora soportar la problemtica de las conexiones a
impresoras en los entornos en los que los usuarios se desplazan. Ponga atencin al hecho de que una nueva
ubicacinnoseconocehastaquenoseproduceelciclodeactualizacindelobjetodirectivadegrupo.
Estos parmetros estn disponibles como parmetros de equipo y usuario. Se sitan en la siguiente
ubicacin:DirectivasPlantillasadministrativasImpresoras.

e.DelegacindelainstalacindecontroladoresdeimpresoraatravsdelasGPO
Losadministradorestienenahoralaposibilidaddedelegaralosusuarioslaposibilidaddeinstalarloscontroladores
de impresora. Esta funcionalidad reduce la necesidad de dar a los usuarios privilegios de tipo "administrador".
ConvienesinembargoobservarqueestafuncionalidadsloessoportadaapartirdeWindowsVista.

- 6-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Delegacindelainstalacindedispositivosconcontroladores

Atencin! Esta directiva necesita que los controladores de perifricos en cuestin sean controladores
firmados.Loscontroladoresnofirmadosnoestnincluidosenesteparmetroydeberaninstalarse,como
se acostumbra, por los administradores. Estos parmetros estn situados en la siguiente ubicacin:
ConfiguracindelequipoDirectivasPlantillasadministrativasSistemaInstalacindecontroladores.

f.Nuevosobjetos"GPOdeinicio"
WindowsServer2008mejoralagestindelosobjetosdirectivasdegrupopermitiendolacreacindemodelosde
directivasdegrupollamadasobjetos"GPOdeinicio".As,esposiblecrearunabibliotecadeGPO,queservirncomo
puntodepartida.

Creacindelalmacneneldominiolaprimeravez
Unavezcreadoelalmacn,esposiblecrearlosnuevosobjetos"GPOdeinicio",sabiendoquesunicocometidoes
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 7-

servirdemodelodedirectivasdegrupo.

Creacindenuevosobjetos"GPOStarter".
Una vez su coleccin de modelos creada en funcin de sus necesidades, no queda ms que crear los objetos
directivasdegruposobrelabasedeestosmodelosconlaayudadelaopcinNuevoGPOapartirdeGPOdeinicio.
Por ltimo, observe que es posible utilizar la opcin Guardar como archivo .CAB para llevar un objeto "GPO de
inicio" a otro entorno Active Directory. La importacin/exportacin se facilita al incluir en un solo fichero CAB el
conjuntodeficherosqueconstituyenelobjetodirectivadegrupo.

Exportacindeunobjeto"GPOStarter".

g.ParmetrosdelprotocoloNAPNetworkAccessProtection
El protocolo NAP es una tecnologa que permite a los administradores definir determinadas condiciones en que se
garantizaronoelaccesoalaredinternadelaempresa.Puede,porejemplo,tratarsedelcasodeunordenador
porttilenqueelantivirus,elantispywareoelcortafuegostenganerroresdeconfiguracinconsideradospeligrosos.
El cliente NAP, habiendo detectado defectos de configuracin, podr tomar la iniciativa permitiendo al ordenador
conectar con un servidor de "reparacin" para corregir los problemas detectados. Las directivas de grupo de
WindowsServer2008integranelconjuntodeparmetrosdeconfiguracinNAPdelaestacindetrabajoWindows
Vistapermitiendoespecificarlosdiferentesparmetrosdeencriptacinalosservidoresdetipo"HealthRegistration
Authority".

- 8-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

InterfazdegestindelasfuncionesNAP

5.NuevaspreferenciasdedirectivasdegrupodeWindowsServer2008
Los servidores Windows Server 2008 aportan un nuevo espacio de gestin en las directivas de grupo. Este nuevo
espaciollamado"Preferencias"permitealosadministradoresconfigurar,desplegar,administrarygestionartodoslos
parmetros de sistema y aplicaciones que no eran capaces de gestionar utilizando las directivas de grupo. Era
necesarioentonces,crearscriptsdearranqueoiniciodesesin.Graciasalasnuevas"Preferenciasdedirectivasde
grupo",noesnecesariocrearscriptscomplejospararealizarfuncionessimplesyelementalescomolasconexionesde
redoimpresoras,laplanificacindetareasdemantenimientooinclusoconfigurarlosdetallesoelcontenidodelmen
Inicioocualquierotroparmetrodelentorno.
Enlugardeincorporarlosparmetrosdirectamenteenlaimagendereferenciaodecrearlasatravsdeun
script, no siempre fcil de mantener, Microsoft recomienda utilizar las nuevas "Preferencias". Los scripts se
utilizarncomoltimorecurso,cuandonoseaposible,niporlasdirectivasdegrupo,niporlasnuevasopcionesde
Preferencias,realizarunaoperacindeconfiguracinconcreta.

a.Preferenciasodirectivasdegrupo?
Laspreferenciasdedirectivasdegruposoncomplementariasalasdirectivasdegrupo.Lacomprensindelconcepto
decomplementariedadescrucialparaaprovecharlaspreferenciasdedirectivasdegrupo.Lasiguientetablacoloca
frenteafrentelasdostecnologas.
Preferenciasdedirectivas
degrupo
Aplicacin

Nosevuelvenaaplicar.No
desactivanlainterfaz

Objetosdirectivasdegrupo

Seaplican.Desactivanlainterfaz.Atravsdela
actualizacin.

Aplicadasunvezoatravs
delaactualizacin.
Flexibilidad

Creacinsimpledeitems
Elaadidodeunparmetronecesitaquelaaplicacin
paraelregistro,losficheros, utiliceelregistro,ademsdelacreacindeplantillas

administrativas.
Importacindeparmetros
deregistroenlocaloa
distancia

Nopuedenadministrarelcontenidodelosficheros,de
lascarpetas,...

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 9-

Directivalocal

Notienepreferenciasobre
lasdirectivaslocales.

Dependencias

Soportalasaplicacionesque NecesitaaplicacionesquesoportenlasGPO.
noestnpreparadaspara
utilizarlasGPO.

Almacenamiento

Sobreescriturade
parmetrosoriginales.
Noserestaurala
configuracinencasode
eliminacindelas
preferencias.

Seleccinyfiltrado

Soportadosatravsdeunadirectivalocal(localGPO).

Nosemodificanlosparmetrosoriginales.
Losparmetrosestnsubordinadosala
clave/directiva.
Laeliminacindeunadirectivadegruporestaurala
configuracinoriginal.

Laseleccinesmuyprecisa ElfiltradoestbasadoenconsultasWMIquehayque
enfuncindecriterios
escribir,ydespusasociaralobjetoGPO.
seleccionablesatravsde
ElfiltradoseaplicaaniveldecadaGPO.
unainterfazgrfica.
Laseleccinesposiblea
niveldecadatem
administradoporlas
preferencias.

Interfazdeusuario

Lainterfazpermitedefinir
todoslosparmetrosde
maneramuyintuitiva.

Lainterfazpermitecontrolarlosparmetrosms
importantes.

Alapregunta"CmoelegirentredesplegarunparmetrodeconfiguracinatravsdeunobjetoGPOoatravsde
lasPreferenciasdelasGPO?",lareflexinquesepuedatenerdeberapoyarseenlasiguientelgica:

Quiereforzarelparmetro?Siesas,utiliceunobjetoGPO.Sino,utilicelasPreferencias.
LosparmetrosdelaaplicacinodelcomponenteaconfigurarsoportanunagestindetipoGPOyquiere
forzarlaenlaaplicacin?Siesas,utiliceunaobjetoGPO.Sino,utilicelasPreferenciasydesactivelaopcin
Aplicarunavezynovolveraaplicar.

Atencin!CuandounparmetrodeterminadosedeclaraenunobjetoGPOytambincomounelementode
tipo Preferencia de directiva de grupo, el parmetro declarado en el objeto GPO se aplicar siempre. Los
objetosGPOsetratandemaneraprioritariaalcontrarioquelasPreferenciasdedirectivasdegrupo.

- 10 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

ConfiguracindelaopcinAplicarunavezynovolveraaplicar
Losparmetrosdeloselementoscontenidosenlaspreferenciasseaplicandurantelaactualizacindelosobjetos
directivas de grupo. Por defecto, las preferencias se vuelven a aplicar, es decir, a reescribirse, al arrancar el
ordenador o al inicio de sesin. Este modo de funcionar asegura que los elementos soportados a travs de las
Preferencias estn en un estado conocido, de la misma manera que ocurre con los parmetros declarados
habitualmenteenlosobjetosdirectivasdegrupo.
Atencin!SiseseleccionalaopcinAplicarunavezynovolveraaplicar,lasPreferenciasseaplicanenel
ordenadoroelusuarionicamentelaprimeravez.Estemododefuncionarinteresaalosadministradores
que desean ofrecer a ciertos usuarios un entorno de inicio que los mismos usuarios pueden modificar si fuera
necesario.
Estemododefuncionamientopuedetambinayudarapersonalizarelentornopordefectopuestoadisposicinde
losusuarios,sinporello,modificarelperfilutilizadopordefectoparacrearelperfildelusuarioensuprimeriniciode
sesin.

b.DespliegueeimplementacindePreferenciasdedirectivasdegrupo
La implementacin de las Preferencias de directivas de grupo es el resultado de la adquisicin del producto
PolicyMakerStandardEditiondelaempresaDesktopStandard.MicrosofttambinhaadquiridoelproductoGPOVault
quehasidoadaptadoparaconvertirseenAdvancedGroupPolicyManagement(AGPM),ydistribuidocomoelementode
MicrosoftDesktopOptimizationPackforSoftwareAssurance.
As,actualmente,lasPreferenciasdelasGPOestndisponiblesdedosmaneras:

UsodelasnuevasherramientasdeadministracinintegradasenWindowsServer2008.
UsodeRSAT(RemoteServerAdministrationToolsforWindowsVista),queestardisponibleparadescargarse
algunas semanas despus de que est disponible Windows Server 2008 as como SP1 de Windows Vista.
Esta segunda solucin permite a los entornos de dominio basados en Windows Server 2003 soportar las
nuevasPreferenciasdedirectivasdegrupo.

Desdeelpuntodevistadelasestacionesdetrabajo,laimplementacindelasopcionesyparmetrosdefinidosen
laspreferencias,seaseguraenlossiguientessistemas:

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 11 -

WindowsVistaRTMoposterior.

WindowsServer2003SP1oposterior.

WindowsXPSP2oposterior.

Atencin! El soporte de las Preferencias de las GPO necesita la instalacin de las CSE (ClientSide
Extensions) necesarias. Este componente estar disponible para la descarga en la web de Microsoft,
sabiendo que estar incluido en la versin final de Windows Server 2008. Observe que el uso de las nuevas
funcionalidadesofrecidasporlasPreferenciasnonecesitanningunalicenciaadicional.Lasiguientefigurailustrala
aplicacindeestaactualizacinenelcasodeWindowsVista.

Instalacindelpaquetedeactualizacin"Windows6.0KB943729x86" paraunequipoWindowsVistaUS32bits.

Instalacindelmdulo"PreferencesCSE"apartirdelpaqueteKB943729(versinRC)
La instalacin del componente asegura la implementacin de las diferentes operaciones soportadas por las
preferenciasenlaformadediferentesDDL(DynamicLinkLibrary)integradascomocomponentesdetipoGPE(Group
PolicyExtensions).

- 12 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

LaDLLGpprefcl.dllsoportalasfuncionesde"GroupPolicyDriveMaps"enlaclaveGPExtensions.

c.FamiliasdeparmetrossoportadasporlasPreferenciasdedirectivasdegrupo
Gracias a la utilizacin de las Preferencias de directivas de grupo, podr soportar las siguientes familias de
parmetros:
ConfiguracindeWindows:

Aplicaciones:estenododeconfiguracinpermitealosdesarrolladoresdeaplicacionesinsertarconjuntosde
parmetrosadaptadosasusaplicaciones.
Asignaciones de unidades: este nodo de configuracin permite a los administradores crear, modificar o
eliminar las conexiones de red. Tambin es posible administrar la visibilidad de cada unidad. Este nueva
extensin permite administrar todas las conexiones de red sin implementar scripts. Es posible declarar
mltipleselementosdetipo"Asignacionesdeunidades"enfuncionesmltiplescomolaspertenenciasalos
grupos, consultas LDAP puras a cualquier atributo disponible en los servicios de dominio Active Directory o
inclusolainformacinrelacionadaconelequipo.
Entorno:estenododeconfiguracinpermitealosadministradorescrear,modificaroeliminarlasvariablesde
entorno usuario o sistema. Este nueva extensin es muy interesante para administrar de manera
centralizadaelconjuntodelasvariablesdeentornoautilizar.
Archivos: este nodo de configuracin permite a los administradores crear, modificar o eliminar archivos.
Tambinesposibleadministrarelconjuntodelosatributos.Estanuevaextensinesmuyinteresantepara
copiar archivos de configuracin en las carpetas de perfil de los usuarios. Este puede ser el caso de los
archivosnecesariosparalapersonalizacindealgunasaplicacionesatravsdelacarpetaAppData.
Carpetas: este nodo de configuracin permite a los administradores crear, modificar o eliminar carpetas.
Tambinesposibleadministraralgunosatributosdecarpetas.Estenuevaextensinesmuyinteresanteen
el mbito del mantenimiento de carpetas temporales. Puede tambin decidir la supresin de algunas
carpetascomolascreadasenlarazdeldiscodesistemaoeliminarelcontenidodelacarpetatemporalde
Windowsdemaneraregular.
Archivos.Ini:estenododeconfiguracinpermitealosadministradorescrear,modificaroeliminarsecciones
opropiedadesenlosarchivosdeconfiguracindetipoarchivo.Ini.
Registro:estenododeconfiguracinpermitealosadministradorescrear,modificaroeliminarlosparmetros
delregistro.
Recursos compartidos de red disponible en las Preferencias de equipo: este nodo de configuracin
permitealosadministradorescrear,modificaroeliminarlosrecursoscompartidosdered.Observequeesta
extensinpermiteactivaronolautilizacindelmodoABE(AccessBasedEnumeration).
Accesos directos: este nodo de configuracin permite a los administradores crear, modificar o eliminar
objetos Accesos directos. Esta nueva extensin permite manipular los objetos de tipo FSO (File System

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 13 -

Object), las URL as como la casi totalidad de los objetos de entorno Windows (Shell Objects) como las
extensionesdelpaneldecontrol,lapapelera,elexplorador,etc.
Configuracindelpaneldecontrol:

- 14 -

Orgenesdedatos:estenododeconfiguracinpermitealosadministradorescrear,modificaroeliminarlos
DSN(DataSourceNames)ODBC(OpenDataBaseConnectivity).
Dispositivos:estenododeconfiguracinpermitealosadministradoresforzarlaactivacinoladesactivacin
delfuncionamientodealgunoscontroladoresdedispositivosodealgunasclasesdecontroladores.
Opciones de carpeta: este nodo de configuracin permite a los administradores controlar las diferentes
opcionespropiasdelascarpetasdeWindows.Tambinesposibleadministrarlasasociacionesdearchivos.
ConfiguracindeInternet:estenododeconfiguracinpermitealosadministradorescontrolarelconjunto
deparmetrosdeInternetExplorerparaInternetExplorer5y6ytambinInternetExplorer7.Engeneral,
estosparmetrossesoportanconunobjetodedirectivadegrupo,conelfindeprohibirlamodificacinde
estos parmetros. La utilizacin de las Preferencias permite definir una configuracin de Internet Explorer
pordefectoquelosusuariospuedencambiar,siloconsiderannecesario.Observequealgunosparmetros
sepuedencontrolarcompletamenteatravsdeunobjetoGPO,mientrasqueotrossepuedenproponera
travsdeunelementodeclaradocomoPreferencia.
Usuario y grupos locales: este nodo de configuracin permite a los administradores crear, modificar o
eliminar usuarios y/o grupos de usuarios localmente en los ordenadores. Esta funcionalidad es muy
interesanteparagarantizarunbuenniveldecoherenciadelascuentaslocalesdelosequipos.Asesmuy
fcilgestionarelcontenidodelosgruposimportantescomolosgruposUsuariosyAdministradoreslocalesde
losequipos.
Opciones de red: este nodo de configuracin permite a los administradores crear, modificar o eliminar
elementos de conexiones de tipo VPN (Virtual Private Network) o DialUp. Esta nueva extensin es muy
interesanteparaconfigurarloselementosdeconexionesdelosusuariosremotosensuordenadorporttil
de manera regular. De este modo, puede fcilmente mantener el conjunto de los parmetros de manera
centralizada,yesto,enfuncindemltiplescriterios.
Opciones de energa: este nodo de configuracin permite a los administradores crear, modificar y eliminar
losperfilesdegestindelaenerga.
Impresoras:estenododeconfiguracinpermitealosadministradorescrear,modificaryeliminarimpresoras
locales,deredoconectadasenTCP/IP.LadirectivasdegrupodeWindowsVistasoportanenmodonativoel
despliegue de impresoras. Sin embargo, esto no afecta a las impresoras compartidas y necesita una
extensindeesquemaActiveDirectory.LautilizacindelasPreferenciaslepermitirdesplegarimpresoras
locales,compartidasoconectadasenTCP/IPenlosequiposquefuncionanconWindowsVistaytambincon
WindowsXPSP2.Estaextensinpermitetambindeclararlaimpresorapordefecto.
Configuracinregional:estenododeconfiguracinpermitealosadministradorescontrolarlosparmetros
regionales.
Tareasprogramadas: este nodo de configuracin permite a los administradores crear, modificar o eliminar
tareas programadas. Tambin es posible crear tareas inmediatas, pero slo para los ordenadores que
funcionanconWindowsXP.Estanuevaextensinesmuyinteresantepara,porejemplo,declarartareasde
mantenimientoperidicas.
Servicios:estenododeconfiguracinpermitealosadministradorescontrolarlasdiferentesopcionesdelos
servicios Windows. Es posible administrar las opciones de inicio, de desencadenar acciones de tipo
"Start/Stop/Restart",deconfigurarlacuentaasociadaalaejecucindeunservicioascomolaspropiedades
derecuperacinencasodeerror.
Men Inicio: este nodo de configuracin permite a los administradores controlar las opciones del men
InicioparalosequiposWindowsXPyWindowsVista.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

LasdiferentesfamiliasdeparmetrossoportadosporlasPreferenciasdeobjetosdirectivasdegrupodeWindows
Server2008.

d.OperacionesyAccionesenlosElementosdelasPreferencias
LamayoradelasextensionesincluidasenlasnuevasPreferenciasdeWindowsServer2008soportanlasacciones
decontroldetipo"Creacin,Eliminacin,ReemplazaroActualizar".
Finalmente,encadaelemento,lapestaaComunespermitepersonalizarelcomportamientoeneltratamientodelas
Preferencias.Lasiguientefigurailustraestasnumerosasopciones.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 15 -

ConfiguracindelcomportamientodeunelementodetipoPreferencias.

e.Parareltratamientodeloselementosdeestaextensinsiseproduceunerror
Por defecto, cualquier error de interpretacin o de ejecucin se ignora. De esta manera, puede continuar el
tratamiento de los elementos de Preferencias de la misma extensin. Puede decidir parar el tratamiento de
elementos suplementarios de esta extensin activando esta opcin. Observe que este parmetro se gestiona de
manera independiente para cada objeto directiva de grupo. El resto de objetos GPO no estn afectados por la
activacindeestaopcin.

f.Ejecutarenelcontextodeseguridaddelusuarioconectado(opcindedirectivadeusuario)
Esta opcin, que no est seleccionada por defecto, permite especificar si es necesario tratar el elemento en el
contextodeusuarioensesin.Pordefecto,seutilizalacuentaSystemLocal,permitiendoalasPreferenciasacceder
alasvariablesdeentornodelsistemayalosrecursoslocalesdelequipo.Paraaccederalasvariablesdeusuario,es
pues,necesarioactivarestaopcin.

g.Eliminarelelementocuandonoseaplica
A diferencia de los parmetros de directivas de grupo que se suprimen cuando un objeto GPO no se aplica, los
parmetros de Preferencias no se eliminan. En el caso en que se desee eliminar los elementos aplicados
anteriormente,sedeberactivarestaopcinenelelementoaeliminar.

h.Aplicarunavezynovolveraaplicar
Sabemos que las directivas de grupo se aplican de manera regular en los ordenadores y los usuarios. Conviene
recordarquelosobjetosGPOseaplicanalarrancarelordenador,eneliniciodesesindelusuario,ascomoenun
intervalodetiempoquesefijapordefectoen90minutosmsunperiodocomprendidoentre0y30minutos.Esta
actualizacinperidicapuede,dehecho,provocarelrestablecimientodeparmetrosqueestnenlasPreferencias,
incluso si el usuario actual ha efectuado cambios en los elementos en su entorno de trabajo. Para evitar la
actualizacindeestoselementosylaaplicacinsistemticadelosparmetrosoriginales,sernecesarioactivaresta
opcin.

- 16 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

i.SeleccinaniveldelelementodePreferencias
Esta funcionalidad es, sin duda, la ms potente. En efecto, es posible, a nivel de cada elemento de Preferencias
declarado,definirlosusuariosy/olosequiposqueestnafectados.SabemosquedesdeWindows2000,laseleccin
de los objetos directiva de grupo se basa en la naturaleza de SOM (Scope of Management), es decir, la estructura
SDOU,Sitio/Dominio/OUs,enlaqueseaplicanlosobjetosdirectivasdegrupo.WindowsXPProfessionalaportaalos
administradoreslaposibilidaddeaplicarlosfiltrosWMI,estosfiltrosWMIdesempeanlafuncindecontrolartoda
condicinarespetarparaaplicarestaoaquellaGPOdelmbitodegestin.
AdiferenciadelfiltradoWMIdelosobjetosdirectivasdegrupoquetratalatotalidaddelosparmetroscontenidos
enelobjetoGPO,loselementosdelasPreferenciasdeestrategiasdegruposoportanunaseleccinnaturalanivel
decadaelemento.
Graciasalaspreferenciasyalacapacidaddeseleccindisponibleencadaelemento,esposiblecrearunsoloobjeto
GPO que contenga miles de condiciones para aplicar tal o cual parmetro en tal o cual seleccin especfica de
objetivos.
Lasiguientefigurailustralacreacindeunanuevaseleccinbasadaenlapertenenciadelordenadoraunsitioya
undominioActiveDirectorydeterminadoascomolapertenenciadelordenadoraungrupodeseguridad.

UtilizacindeeditordeseleccinenunelementodePreferencias

j.Utilizacindevariableseneleditordeseleccin
Durante la declaracin de las diferentes condiciones de aplicacin de un elemento, el administrador tiene la
posibilidad de utilizar las numerosas variables de sistema soportadas por las extensiones de Preferencias de
directivasdegrupo.Latotalidaddeestasvariablessepuedeutilizaraniveldetodaslaspropiedadesdefiniblesa
nivel de los elementos o de seleccin especfica de cada elemento. Aunque es posible teclear directamente los
valoresdeestasnumerosasvariables,serecomiendautilizarlatecla[F3]afindeaccederalselectordevariable.
Estaherramientaevitarlosinevitableserroresdesintaxisylepermitirfcilmenteutilizarcombinacionescomplejas
devariablesdeentornoenladefinicindereglasdeseleccinaltamentedinmicas.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 17 -

Utilizacindelselectordevariablesconlaayudadelatecla[F3].

k.SeguimientodelaejecucindelasPreferenciasdedirectivasdegrupo
LasPreferenciasdedirectivasdegruposoportantotalmentelosanlisisRSoPrespaldadosporlanuevaconsolade
administracin de directivas de grupo versin 6.0.0.1. La siguiente figura ilustra un anlisis realizado con la ayuda
delGPMCdeWindowsServer2008,queincluyeeltratamientodelasnuevasPreferencias.

- 18 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

ComprobacindelbuenfuncionamientodelasextensionesCSEdelasPreferenciasdedirectivasdegrupo.

Vistadelosparmetrosaplicadosencadaelementodeclarado.
LaanteriorfiguramuestralosparmetrosaplicadoalobjetoMenInicio[WindowsVista].
Observe que la interfaz del informe RSoP (Resultant Set of Policy) precisa que en la categoria mostrada, los
parmetrosmsprximosalnivelsuperiordelinformeseutilizanprioritariamenteparalaresolucindeconflictos.En
esteejemplo,losparmetrosdelobjetodirectivadegrupo"ExpertsPreferencesv1"seaplicanconxito(Resultado:
Operacin correcta). Por ltimo, entre los numerosos parmetros definidos, el parmetro General "Nmero de
programasenelmenuInicio"tomaelvalor12.
En lo que respecta al anlisis de la aplicacin de los objetos directivas de grupo en las mquinas Windows XP
Professional,lanuevaconsoladeadministracindelasdirectivasdegruposerlaherramientaelegidaparaanalizar
lasimulacindelaaplicacindelosparmetroscontenidosenlosobjetosGPOylasPreferenciasdelosobjetosGPO.
ParaobtenermsinformacinsobrelasnuevasPreferenciasdedirectivasdegrupo,puedeconsultarlaweb
de Microsoft y buscar Group Policy Preferences. Puede tambin consultar la web de Microsoft Technet
dedicada a las directivas de grupo, en el siguiente enlace: http://technet.microsoft.com/en
us/windowsserver/grouppolicy/default.aspx

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 19 -

- 20 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Creacinyconfiguracindeobjetosdedirectivadegrupo
1.Introduccin
Losobjetosdedirectivadegruposecaracterizanporlossiguientesaspectos:

SonobjetospertenecientesalosserviciosdedirectorioActiveDirectorycuyoprincipalobjetivoescontribuira
que los administradores de la red Windows ofrezcan a los usuarios herramientas y entornos de trabajo
adecuadosanmsfiables,segurosy,porlotanto,demayorrendimiento.
Las directivas de grupo simplifican la administracin centralizado la configuracin en el directorio Active
Directoryy,porlotanto,enelexteriordelosordenadores.

Laadministracinesmsprecisa,mseficaz,msrica,perotambinmssencilla!

Laconfiguracindelosusuariosseaplicaindependientementedelosequipos.

Ms adelante veremos el modo de procesamiento mediante bucle invertido. Este modo permite gestionar
algunas situaciones y hace que, en esos casos concretos, la configuracin de usuario no sea "tenida en
cuenta"enlosequiposqueimplementandichomododefuncionamiento.

Laconfiguracindelosequiposseaplicaindependientementedelosusuarios.

2.Directivasdegrupoyrelacinconlastecnologas
Las directivas de grupo integran un nmero importante de tecnologas. Es indispensable saber "quien hace cada
cosa".Latablasiguienteenumeralastecnologasquedebenusarseparaprestarelmejorservicio.
Funcionalidades

Tecnologasusadasparaimplementarelservicio

Administracindelosdatosdeusuario
ActiveDirectory

ActiveDirectory,Directivadegrupo,Archivossinconexin,Gestor
desincronizacin,Cuotasdedisco,Perfilesdeusuarioitinerantes

Instalacinymantenimientodelos
programasActiveDirectory

ActiveDirectory,Directivadegrupo,WindowsInstaller

Administracindelaconfiguracindel
usuario

ActiveDirectory,Perfilesdeusuariositinerantes

Administracindelaconfiguracindel
equipo

CuentasdeusuarioydeordenadoresActiveDirectory

Serviciosdeinstalacinremotos (RIS)

ActiveDirectory,Directivadegrupo,Serviciosdeinstalacin
remota

EstatablamuestrahastaqupuntolosserviciosdedirectorioActiveDirectorysonindispensablesparalatecnologa
IntelliMirror.
Enloquequedadecaptuloseintroducenlosdetallesdelosobjetosdirectivadegrupodelosserviciosde
directorioActiveDirectory.

3.Qucontieneunadirectivadegrupo?
Una directiva de grupo est compuesta de diferentes tipos o familias de parmetros, los cuales presentamos a

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

continuacin. Una vez que conozcamos bien las posibilidades intrnsecas de los objetos de directiva de grupo,
pasaremosadetallarlaimplementacindeesosobjetosdeunainfraestructuraActiveDirectory.

a.Plantillasadministrativas
Un objeto de directiva de grupo integra plantillas que dan soporte a los parmetros del registro situados en las
siguientes ubicaciones: clave HKEY_CURRENT_USER, para los parmetros de usuario, y clave HKEY_LOCAL_
MACHINE,paralosequipos.Estasplantillasseimplementanenformadearchivos.adm,situadosenunprincipioen
el directorio %Systemroot\inf. Gracias a estas plantillas y a las suministradas con el Kit de recursos tcnicos de
Microsoft Office (versiones 2000, XP, 2003 y 2007), ser posible configurar de forma muy precisa los detalles
burocrticos. Tambin ser posible, claro est, crear plantillas propias e integrarlas en los objetos de directiva de
grupoconelfindedifundirlaconfiguracinatodalareddelaempresaoapartedeella.
EstasplantillasrecibenelnombredePlantillasadministrativas,oAdministrativeTemplateseningls.La
informacinderegistro"equipo"almacenadaenlaclavederegistroHKEY_LOCAL_MACHINE,estnsituadas
fsicamente en GPT\Machine\Registry.pol, mientras que la informacin de registro "usuario" almacenados en la
clave HKEY_CURRENT_USER est situada fsicamente en GPT\User\Registry.pol. No es posible modificar
directamentelosarchivos.polqueadoptanunformatobinariocomprimido.Estosarchivosbinariosnosonmsque
elresultadodelasmanipulacionesrealizadasconlaconsoladeadministracinMMC"Editordeobjetosdedirectiva
degrupo".
Lasplantillasadministrativaspermitencontrolarelcomportamientoylapresentacindelescritorio,laadministracin
de las funciones de bsqueda de impresoras as como, por ejemplo, la posibilidad de bloquear el acceso a las
herramientasdeedicinderegistro.
La siguiente tabla enumera las diferentes plantillas presentes en los sistemas Windows 2000, Windows XP
ProfessionalysistemasdelafamiliaWindowsServer 2003.
Nombredelaplantillaen%
Systemroot%\inf

Funcin/descripcin

System.adm

Configuracindesistema.

Inetres.adm

ConfiguracindeInternetExplorer.

Wmplayer.adm

ConfiguracindeWindowsMediaPlayer.Estafuncinnoestdisponibleen
WindowsXP64bitsEditionnienWindowsServer200364bitsEdition.

Conf.adm

ConfiguracindeNetMeeting.EstafuncinnoestdisponibleenWindows
XP 64bitsEditionnienWindowsServer200364bitsEdition.

Wuau.adm

ConfiguracindelosserviciosWindowsUpdate.

Plantillasespecficasdelosantiguossistemas
Eneldirectorio%Systemroot%\infencontrartodoslosarchivosdelostiposdeplantillas,entreelloslasplantillas
administrativas usadas por las directivas locales y de grupo. Las plantillas especificadas a continuacin estn
disponiblesenelsistemaparapermitirlacompatibilidadconlasantiguasdirectivasdesistemautilizablesenequipos
conWindowsNTyWindows9x.
Common.adm:plantillaespecficadelossistemasoperativosNT/Win95/98,seusaatravsdePoledit,eleditorde
directivasdesistemadeWindows9xyWindowsNT.
La herramienta de directivas de sistema de Windows 9x y Windows NT se inclua en los sistemas Windows 2000.
EstoyanoesasconWindows XPProfessionalyWindowsServer2003.
Windows.adm:especficadeWindows9x.
Winnt.adm:especficadeWindowsNT4.0.
Inetset.ADM:configuracindeInternetExplorerdetipoInternetespecficadelossistemasWindows2000.
Inetcorp.ADM:configuracindeInternetExplorerdetipoCorporateespecficadelossistemasanterioresaWindows
2000.

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Objetodirectivadegrupoquecontienelasplantillasnosoportadas
LafiguraanteriormuestraunadirectivadegrupopersonalizadaquecontienelasplantillasadicionalesdeMicrosoft
Office2003parotambinlasplantillasnosoportadas.Enefecto,estasplantillasestnprevistasparaquelasutilice
Poledit,eleditordedirectivasdesistemadeWindowsNT4.0yWindows 9x.
El hecho de que ciertas plantillas incompatibles se ordenen en el nodo "Plantillas de administracin no
soportadas" no significa que el objeto directiva de grupo no sea vlido. El objeto sigue siendo operativo
para todo lo que es vlido. Se trata slo de una informacin para advertir al administrador de un problema
potencialdeadministracin.

b.Reglasdeseguridadparalosordenadoresyplantillasdeseguridad
Lasdirectivasdegrupopermiterealizarnumerosastareaspesadasdeformahomogneaparaprotegerlosrecursos
del ordenador de posibles agresiones de la red. As, podr integrar sus propias plantillas de seguridad en las
directivasdegrupo,yaquelaspropiasplantillasseconstruyenconayudadelaconsoladeadministracinPlantillas
deseguridad.Unavezcreadalaplantilla,stapuedeintegrarseenladirectivadegrupoparaqueestdisponibleen
losequiposdeseados.Lasreglasdeseguridadincluyenlossiguienteselementosdeconfiguracin:

configuracindeautenticacionesderedyaccesoarecursos,

configuracindelosajustesdemensajesdeauditoraenlosregistrosdeseguridad,

verificacindelapertenenciaagruposdeseguridadespecficos.

La figura presentada ms adelante muestra perfectamente las clases de elementos que pueden controlarse
mediantelasdirectivasdegrupo.Enumeramosacontinuacindichasclases:

configuracin de las directivas de cuentas del dominio, pero tambin de las mquinas locales cuando es
precisoadministrarlaconfiguracindelasdirectivasdecuentalocales,
directivas locales de seguridad, es decir, directivas de auditora, de atribucin de derechos de sistema as
comolasnumerosasopcionesdeseguridad,
configuracindelosregistrosdeeventos,
administracin de los grupos restringidos. Esta funcionalidad permite garantizar que los grupos
importantes contienen efectivamente los miembros que deberan y no contienen a nadie que no est
habilitado.
configuracindelaseguridaddelosservicios.Porejemplo,podrdelegaraunusuarioconcretoelderecho

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

dedetener,ponerenpausaeiniciarunservicioenconcreto.

configuracindeseguridaddelasclavesderegistroydelosdirectoriosdediscodelequipo,

configuracindeclavepblica,derestriccindesoftwareydedirectivasIPSecenActiveDirectory.

Directivadegrupoyfamiliadeconfiguracindeseguridad

Las plantillas de seguridad se ubican en el directorio %Systemroot%\Security\Templates y pueden


importarseaunobjetodirectivadegrupo.
Las plantillas de seguridad predefinidas se suministran a modo de punto de partida. Podrn servir para crear
directivasdeseguridadpropiasconayudadelaconsoladeadministracinMMC"Plantillasdeseguridad".Unavez
ultimadas las plantillas podr configurar decenas, centenas o miles de equipos importndolas a las directivas de
grupo.
Lasplantillastambinpuedenusarsecomoreferenciaparaanalizarposiblesfallosdeseguridadconayuda
delaconsoladeadministracinMMCConfiguracinyanlisisdelaseguridad.
DescribimosacontinuacinlasdiferentesplantillassuministradasconlosservidoresWindowsServer2003:
Plantillas"Setupsecurity.inf",Seguridadpredeterminada
Estaplantillasecreadurantelainstalacindelordenadorycontienelaconfiguracindeseguridadpredeterminada.
Puedeusarseenservidoresyestacionesdetrabajo.
Serecomiendaencarecidamentenoaplicarestaplantillamedianteunadirectivadegrupo.Considerandoel
volumendeinformacincontenidoenella(702Kb),elrendimientopodradisminuirseriamente.Adems,la
plantilla no debe aplicarse a servidores de tipo controlador de dominio. Por el contrario, s ser posible aplicar
todos los parmetros contenidos en la plantilla, o bien una parte de ellos, para efectuar recuperaciones de
urgencia.Paraaplicartodalaplantillaounapartedelamisma,useelcomandoSecedit.

Seguridadpredeterminadadelcontroladordedominio(DCsecurity.inf)
Plantilla creada automticamente cuando un servidor pasa a ser controlador de dominio. Contiene todos los
parmetrosdeseguridadpredeterminadosdelosdirectorios,archivos,registrosyotrosserviciosdelsistema.Puede
aplicarseconlaconsoladeadministracinMMCConfiguracinyanlisisdelaseguridadoconelcomandoSecedit.
PlantillaCompatible:Compatws.inf
PlantillaquecontienelasautorizacionesconcedidasinicialmentealosgruposlocalesAdministradores,Usuarioscon

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

privilegiosyUsuarios.Normalmente,losmiembrosdelgrupolocalUsuariosdebensercapacesdehacerfuncionarlas
aplicaciones con el logo Windows 2000 o Windows XP Compatible. Sin embargo, es posible que los usuarios no
puedanejecutaraplicacionesincompatibles.
Enesoscasospodroptarporunadeestassoluciones:

autorizaralosmiembrosdelgrupoUsuariosaconvertirseenmiembrosdelgrupoUsuariosconprivilegios,

darmsderechosalgrupoUsuarios.

La plantilla Compatible est destinada a evitar que escoja la primera opcin. En efecto, la segunda opcin
modificar las autorizaciones predeterminadas de los archivos y de ciertas claves del registro concedidas al grupo
Usuario.

NoapliquelaplantillaCompatibleenloscontroladoresdedominio.

PlantillasSegura:Secure*.inf
Plantillaquedefineunaconfiguracindeseguridadmejorquelaobtenidatraslainstalacindelsistema.Entrelos
parmetrosmodificadosencontrarparmetrosmsdetalladosdecontrasea,bloqueodecuentayanlisis.Conla
mismafinalidadsehadesactivadoelusodelprotocolodeautenticacinLANManageryNTLM.Dehecho,losclientes
seconfiguranparaenviarslorespuestasdetipoNTLMv2mientrasquelosservidoresrechazanlasrespuestasLAN
Manager.
La plantillas de seguridad Securews.inf obliga a que todos los controladores de dominio con cuentas de
usuariosqueseconectenalclientedebenejecutarWindowsNT4.0ServicePack4oversionesposteriores.

LosequiposdetipoWindowsforWorkgroups3.11,Windows95yWindows 98quenoestnequipadoscon
elClienteActiveDirectoryslosoportanLANManager.Porlotanto,nodansoportealaautenticacinNTLM.
Observe tambin que la plantilla Segura activa la firma de paquetes SMB (Server Message Block) en el servidor,
generalmentedesactivadapordefecto.
WindowsMe(MillenniumEdition)noprecisadelclienteActiveDirectoryparaautenticarseyaquedasoporte
aNTLMv2sinmodificacionesadicionales.

PlantillaAltamentesegura:hisec*.inf
Plantillaanmsseguraquelaprecedenteyque,porlotanto,imponerestriccionesadicionalesenelcifradoyenlas
firmas necesarias para la autenticacin y los datos que circulan en los canales seguros y entre los clientes y los
servidoresSMB.Porejemplo,mientrasquelaplantillaSeguraobligaaquelosservidoresrechacenlasrespuestasde
LAN Manager, la plantilla Altamente Segura obliga a que rechacen las repuestas de LAN Manager y tambin las
respuestasdeNTLM.Enlamismalnea,mientrasquelaplantillaSeguraactivalafirmadelospaquetesSMBenel
servidor,elmodeloAltamenteSeguraloexige.Adems,elmodeloAltamenteSeguraexigeuncifradoreforzadoyla
firmaenlosdatosdecanalessegurosconrelacionesdeconfianzadedominioamiembroydedominioadominio.
PlantillaSeguridaddelarazdelsistema:Rootsec.inf
Plantillaqueespecificalasautorizacionesenlarazdelosdiscos.Pordefecto,Rootsec.infdefinelasautorizaciones
para la raz del lector de sistema. La plantilla puede usarse para volver a aplicar las autorizaciones de acceso al
directoriorazsistashansidomodificadaspordescuidoobienpuedemodificarlaplantillaparaaplicarlasmismas
autorizacionesdeaccesoalarazdeotrosvolmenes.
La plantilla Seguridad de la raz del sistema no sustituye las autorizaciones explcitas definidas en los
objetoshijo.Slopropagalasautorizacionesquesehanheredadoynuncalospermisosexplcitos.

PlantillaNingnSIDusuarioTerminalServer:Notssid.inf
Losderechospredeterminadosenlosdiscosylaslistasdecontroldeaccesodelregistro,situadasenlosservidores,
concedenautorizacionesaunidentificadordeseguridad(SID)especficoenTerminalServer.ElSIDTerminalServer
sloseusacuandoseejecutaTerminalServerenmododecompatibilidaddeaplicaciones.SiTerminalServernoest
operativoenelservidorencuestin,puedeaplicarselaplantillaparaeliminarlosSIDTerminalServerintiles.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

Recomendacionesrelativasalusodelasplantillas
Las plantillas de seguridad han sido concebidas para ser usadas en equipos que cuenten en un principio con
parmetrosdeseguridadpredeterminados.Dehecho,lasplantillasseimplementandeformaincrementalporencima
delosparmetrosdeseguridadpredeterminados,encasodequestosestnpresentesenelequipo.Hayqueser
consciente, por lo tanto, de que las plantillas no instalan los parmetros de seguridad predeterminados antes de
efectuarlasmodificaciones.
Las plantillas de seguridad predefinidas no deben aplicarse a sistemas de produccin sin haber sido validadas
previamente.
NopodrprotegersistemasWindows2000,WindowsXPoWindowsVistainstaladosensistemasdearchivosFAT
(FileAllocationTable).
LasiguientefiguramuestralosarchivosdetipoplantilladeseguridadpresentesensistemasconWindowsServer
2003.

EnlapginadeMicrosoftsepuededescargarnumerosasplantillasdeseguridad
Encontrar
Windows
Server
2003
Security
Guide
en
la
http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C106854D89B655
521EA6C7B4DB&displaylang=en

siguiente

direccin:

y Windows XP Security with SP2" en la siguiente direccin: http://www.microsoft.com/downloads/details.aspx?


FamilyId=2D3E25BCF4344CC6A5A709A8A229F118&displaylang=en
Existen guas de seguridad, publicadas en la pgina de Microsoft, para los sistemas de la familia Windows 2000,
Windows XP Professional y la familia Windows Server 2003 y tambin para Microsoft Exchange 2000 y Microsoft
ExchangeServer2003.Esasguasdescribenlasfuncionalidadesydetallesdelosparmetrosdeconfiguracinyel
mejormarcodeusodelosmismosascomolosefectosnegativosquestospodrangenerar.Porejemplo,laguade
Windows XP Professional SP2 describe las plantillas de seguridad que dan soporte a la nueva configuracin del
firewallWindows,queremplazaalprecedenteICF(InternetConnectionFirewall),eincluyenumerosasinformaciones
acercadelaproteccindelospuertosTCP/IP,elprotocoloRPC(Remote Procedure Call),lasnuevasfuncionalidades
deproteccindelamemoriaylosserviciosdeInternet(InternetExplorer,OutlookExpress,etc.).
Seguridad de Windows Vista: encontrar disponible para descargar en la web de Microsoft la Gua de
seguridaddeWindowsVista.Proporcionacentenaresderecomendacionesyprocedimientosparareforzaral
mximo el nivel de seguridad del sistema. Se proponen mltiples configuraciones aunque la configuracin ms
recomendadaeslaqueseconocecomoEnterpriseClient.Estaguaproponetambinunaconfiguracinconocida
como SSLF (Specialized Security Limited Functionality), que limita de manera considerable las funcionalidades
integradas en Windows Vista. Esta gua que se puede descargar en la direccin consignada a continuacin,
contiene tambin el fichero Windows Vista Security Guide Settings.xls, y la herramientaGPOAccelerator tool
para proporcionar ayuda al implementar las diferentes recomendaciones. http://go.microsoft.com/fwlink/?
LinkId=74028
LaGuadeseguridadWindowsVistatambinestdisponibleenlneaenlawebdeMicrosoftTechnetenladireccin:
http://technet.microsoft.com/enus/bb629420.aspx

- 6-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

c.Administracindelasaplicaciones
El servicio de administracin del software es uno de los elementos ms importantes. Los problemas vinculados al
funcionamientodelasaplicacioneshanrequeridoqueseestablezcansistemasoperativospesadoscomoWindows
NT o las diferentes versiones de ncleos basados en Unix. Para convencerse de ello, basta con ver que en Apple
ocurre lo mismo. En efecto, la ltima versin de Mac OSX (ncleo Darwin) se basa en un derivado de Nextstep,
basadoasuvezenunUNIXdetipoBSD.
Lacomplejidad,tantodelossistemascomodelasaplicaciones,nohadejadodeprovocarnumerososproblemasde
funcionamientopostdespliegue. Enefecto,seacualseaelsistemaoperativo(Windows,Unix,MacOS),desdeel
momentoenquelaconfiguracincambiaelsistemasevuelvefrgil.Resultaindispensable,porlotanto,progresar
eneseaspectoparahacerquelasestacionesdetrabajoseanmsdinmicas.
Los componentes de administracin y mantenimiento de los programas integrados en Windows 2000 y versiones
posteriores a travs del motor de instalacin Windows Installer son elementos esenciales. Ms adelante, usted
tendrlaposibilidaddeusarestatecnologaparaintegrarlasaplicacionesquedeseadesplegarconayudadeuna
directivadegrupo.
Lasiguientefigurailustraesteprincipio.

SeasignalaaplicacinAdobeAcrobatReaderalosequiposafectadosporestadirectivadegrupo
Ms adelante veremos que las aplicaciones se pueden desplegar, eliminar y actualizar en la misma familia de
producto o en otras, pero que tambin es posible parchear cualquier aplicacin desplegada a travs de
IntelliMirror,esdecir,medianteActiveDirectoryylasdirectivasdegrupo.
Losserviciosdeinstalacinpermitirndesplegarlasaplicacionesenlosequipos.Deestaforma,todoslosusuarios
delosequipospodrnusarlasaplicaciones.Lasaplicacionespuedendesplegarsetambinalosusuariosdeforma
queslopuedanaccederaellaslosusuarioselegidos,independientementedelamquinadesdelaquelohagan.
Enelcaptulosiguientetrataremoseldesplieguedeprogramasmediantedirectivasdegrupo.
Para saber ms acerca de las caractersticas del servicio Windows Installer, sus diferentes versiones y
principios generales de funcionamiento, remtase al captulo siguiente o al sitio MSDN (Microsoft Developer
Network)
ubicado
en
la
direccin:
http://msdn.microsoft.com/library/default.asp?url
= /library/en
us/msi/setup/about_windows_installer.asp
WSUS 3.0 y SCCM 2007: a propsito del resto de tecnologas y herramientas Microsoft para parchear
programasysistemasoperativos.
Latecnologadeadministracinymantenimientodelosprogramasdependedirectamentedeloquepermitahacerel
motor Windows Installer. Dicho motor ha sido concebido para dar soporte a las aplicaciones conformes con las
especificaciones Windows 2000 y versiones posteriores. As, al menos por el momento, no se contempla que el
servicioWindowsInstallerdesoporteaactualizacionespropiasdelossistemasoperativos.
La estrategia de Microsoft es muy clara: los sistemas operativos deben evolucionar a su ritmo y los programas
tambin. As, la estrategia quiere que haya dos tecnologas de administracin de los patchs para dos problemas
diferentes:unaparalossistemasyotraparalasaplicaciones.LossistemasusanlosserviciosWindowsUpdatea
travsdehttp(yelprotocolodetransferenciainteligentedeficherosBITS)olaversinWSUS3.0.
Los servicios WSUS permiten controlar mejor el paso de los patchs dentro de la red de la empresa, sabiendo que
SCCM 2007 (System Center Configuration Manager 2007)tambinintegraunaadministracinmuysofisticadadelas
actualizacionesconseguimientoavanzadoatravsdeinformesmuydetallados.
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 7-

Adems de los mtodos descritos anteriormente, siempre es posible obtener los parches y otras
actualizacionesatravsdeInternetendossitiosdistintos :losparchesdeWindowsestndisponiblesenla
web de Windows Update en la direccin: http://windowsupdate.microsoft.com los parches de Office estn
disponiblesenlawebdeOfficeUpdateenladireccin:http://office.microsoft.com/officeupdate

WSUS ser capaz de escanear los equipos de la red y detectar las actualizaciones no finalizadas o
inexistentes.
WSUS permitir eliminar actualizaciones y definir la frecuencia con la cual los equipos de la red deben
comprobarsiestnactualizados.
Enlasinstalacionesquenoprecisanquesereinicieelequipo,lasactualizacionespodrnllevarseacabode
formacompletamentesilenciosay,porlotanto,transparenteparalosusuarios.
Lo servidores WSUS podrn estar encadenados entre s con independencia de los privilegios de
administracin.
Las actualizaciones se transfieren mediante la tecnologa BITS Background Intelligent Transfer Service, y el
motorWindowsInstallerparanoseragresivoconelanchodebandadisponibleenlared.
LasdescargasdisponendeunaadministracindelospuntosdeparadayelmotorBITSpuedetrabajaren
mododeltadeficherosbinarioscomprimidos.
WSUS proporciona a los administradores la posibilidad de utilizar nuevos informes para realizar todas las
estadsticastilesreferentesalpasodeactualizaciones.
WSUSesunaplataformacentraldeadministracindelasmodificaciones.

ParaobtenermsinformacindeWUS,consultelossiguientesvnculos:
http://www.microsoft.com/windowsserversystem/wus/default.mspxy
http://www.microsoft.com/technet/security/topics/patch/default.mspx
ParapoderinstalarlosserviciosWSUS3.0debedisponerdelossiguienteselementos:

WindowsServer2003SP1oSP2

IIS6.0

Microsoft.NETFramework2.0

MicrosoftManagementConsole3.0

MicrosoftReportViewer

La instalacin Microsoft SQL Server 2005 SP1 no es obligatoria. Cuando sea el caso, el programa de
instalacindeWSUSinstalarunabaseMSDE(WindowsInternalDatabase).

ApropsitodelsoportedelosserviciosWSUS3.0yWindowsServer2008
Microsoftpublicainiciosdelmesdemarzode2008laversinSP1delosserviciosWSUS3.0ensuversinx86y
tambinx64.EstaversindeWSUSsoportalassiguientesfuncionalidades:

- 8-

SoportedeWindowsServer2008.

IntegracindeWSUSenelAdministradordeservidordeWindowsServer2008.

NovedadesenlaAPIcliente.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

SoportedelosmecanismosdedistribucinparalasplataformasnoWindows.

Mejoradelregistrodelosclientes.

FiltradodelasactualizacionesporCategorasyClasificacin.

Informedeestadodeactualizacionesparacadacliente.

PublicacinavanzadadelosdriversatravsdelasAPIdeadministracinexistentesyloscatlogosofrecidos
porlosproveedoresdedrivers.

Soportedelconcepto"bundles"(conjuntodeparches).

Soportedecondicionesdeaplicaciones(prerrequisitos).

ElSP1deWSUS3.0estdisponibleenlawebdeMicrosoftConnectenversinRC.LaversinfinaldeSP1se
entreg un poco despus del lanzamiento oficial de Windows Server 2008 y as permiti una integracin
perfectadeWindowsServer2008.Microsofthaanunciadorecientementequelaprximaversinprincipaldelos
servicios WSUS estar directemente integrada en la prxima versin principal de Windows Server (Windows 7
Server).

d.Administracindelaejecucindearchivosdecomandos
Las directivas de grupo permiten declarar diferentes niveles de scripts. As es posible declarar los scripts en los
siguientesmomentos:

Scriptsaliniciarelordenador,

Scriptsaliniciodesesindeusuario,

Scriptsalcerrarlasesindeusuario,

Scriptsaldetenerelordenador.

Lasdirectivasdegrupopermitendarmejorsoportealaejecucindescripts
Ademsdeadministrarlaejecucindelosscriptsenesosimportantesmomentos,tambinpodrdeclararmltiples
scripts unos tras otros. Los scripts declarados se almacenan directamente en el volumen de sistema en una
ubicacin como esta: %Systemroot%\Windows\SYSVOL\sysvol\Corp2003.Corporate.net\Policies\{C8C119A61426
44EE849F324A3B76820C}\Machine\Scripts\Startup.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 9-

Losscriptsqueutilizapuedenescribirsesobrelabasedetecnologasdescriptsincluidosdeserie,esdecir,conlos
scriptsVBScriptyJScriptatravsdeWSH WindowsScriptingHost.

e.AdministracindelosserviciosdeinstalacinremotaRIS
LosserviciosdeinstalacinremotaRIS(RemoteInstallationServices)permitendesplegarunsistemaoperativoenlos
equipos.SoportanunmecanismoquepermitequelosequiposdelaredseconectenconelservidorRIScuantola
estacindetrabajollamaaunBoot from networkpulsandolatecla[F12]delordenador.LosservidoresRISque
funcionan con Windows Server 2003 pueden instalar y desplegar imgenes RIS de tipos Windows Server 2003,
EditionStandardyEntreprise,Windows2000ServeryAdvancedServer,Windows 2000yWindowsXPProfessional.
LosserviciosRISpuedenusarseparainstalarunsistemaoperativoenunanuevamquinaobienpararestauraruna
configuracinconcretaenunsistemaqueestdandofallos.

Opcionesqueseofrecenalosusuariosquellamanalservicio
Lafiguramuestralasopcionesusuarioquepuedeadministrar.

Listadelasoperacionesautorizadasynoautorizadasparalosusuariosdelosserviciosdeinstalacinremota

- 10 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Los nicos parmetros destinados a los usuarios que soliciten un servidor RIS se declaran en esta ventana. Los
parmetrosganadoresseaplicarnenfuncindeladirectivaodirectivasdegruporelativasaunusuarioconcreto.
LosserviciosWDSreemplazanRIS
ApartirdeWindowsServer2003SP1,esposiblereemplazarlautilizacindelosserviciosRISporlosserviciosWDS
(WindowsDeploymentServices),atravsdeWAIK(WindowsAutomatedInstallationKit).Estepaqueteexisteenuna
imagen ISO (archivo .img) de alrededor de un 1 GB. Utilizando Windows AIK, puede realizar instalaciones
automatizadasdeWindowsVista,capturarimgenesWindowsatravsdeImageXycrearsuspropiasimgenesde
WindowsPE2.0.
ParadescargarWAIK(queincluyelosserviciosWDS),busqueenlawebdeMicrosofteltrmino"Windows
AutomatedInstallationKit(AIK)".ObservequelosserviciosWDSincluidosenWAIKseintegranenelSP2de
WindowsServer2003yqueWindowsServer2008disponedeunaversinmssofisticadadelosserviciosWDS,
sobretodoparaelsoportededesplieguedeimgenesenmodomulticast.

f.AdministracindelosparmetrosdeconfiguracinyseguridaddeInternetExplorer
La configuracin es especialmente rica. Internet Explorer es un componente muy importante de la plataforma
Windows,aligualquepuedeserloelshell(elescritorio)deWindows.DadoqueIEysuscomponentessesolicitana
menudo,protegerIEsignificaengranmedidaprotegerelsistema.DequserviraprotegerelSOsilasaplicaciones
noestnprotegidasyviceversa?QuienhayautilizadoIEAK InternetExplorerAdministrationKit,parapersonalizar
InternetExplorer4.0,5.0o6.0,encontrartodosesosparmetrosenlasdirectivasdegrupo.

ConfiguracinUsuariodetipoconfiguracingeneral

ConfiguracinUsuariodecarcteradministrativo

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 11 -

LaconfiguracindeInternetExplorerseclasificaentresgrandesapartados:

En la parte Equipo en la ubicacin Configuracin del equipo/Plantillas administrativas/Componentes


Windows/Internet Explorer para todo lo relativo a zonas de seguridad Internet y parmetros de proxy
paraelordenador,deformaquelosusuariosnopodrnalteraresevalornilosparmetrosdeactualizacin
deInternetExplorer,nisuscomponentesnitampococomponentesterceros.
EnlaparteUsuarioenlaubicacinConfiguracindelusuario/ConfiguracindeWindows/Mantenimiento
de Internet Explorer para todo lo relativo a la personalizacin de la interfaz, conexiones, URL principales,
favoritos, configuracin de seguridad y Authenticode y configuracin de programas predeterminados de
Internet.
EnlaparteUsuarioenlaubicacinConfiguracindeusuario/Plantillasadministrativas/Componentesde
Windows/InternetExplorerparatodolorelativoaopcionesdelpaneldeconfiguracindeInternet,pginas
sinconexin,mensdelnavegador,barrasdeherramientasycontrolesautorizados.

g.Redireccionamientodelascarpetasdeusuario(carpetasespeciales)
Las directivas de grupo ofrecen la posibilidad de redirigir algunas carpetas especiales a ubicaciones de red con
ayudadeunaextensinintegradaenlasdirectivasdegrupo.Estaextensin,queestambinunprincipio,seconoce
como"Redireccionamientodecarpetas".
ElredireccionamientodecarpetasesunadirectivadegrupodetipoUsuario.Estosignificaqueelusuarioparaelque
seconfiguraelredireccionamientodecarpetasdeberserobjetodelaaplicacindeunadirectivadegrupo.
Despus de haber creado la directiva de grupo y de haberla asociado al contenedor adecuado, el administrador
puede designar las carpetas que se deben redirigir y las ubicaciones locales o de red a las que redirigirlas. Esta
opcin est situada en el objeto directiva de grupo en la ubicacin siguiente: Configuracin de
usuario\ConfiguracindeWindows\Redireccionamientodecarpetas.
Lascarpetasespecialessoncuatro:

Datosdeprograma,

Escritorio,

Misdocumentos,

MenInicio.

ElnodoRedireccionamientodecarpetasafectasloaestascarpetas,llamadasEspeciales.Noesposible
aadirotrascarpetasalredireccionamientodecarpetas.
Sonposiblesvariosnivelesderedireccionamiento.Enelapartadopropiedadesdelacarpetaquedesearedireccionar
podrescogerentrelosdosgrandesmodospresentadosacontinuacin:

El primer modo recibe el nombre de redireccionamientobsico. Es relativamente eficaz porque permite al


administrador:

Redirigirlasiguienteubicacin:permiteredirigirlacarpetaalaubicacinqueprefiera.Elusodela
variable%username%permitirusarundirectorioparacadausuario.
Redirigir la ubicacin local de perfil usuario: es el comportamiento predeterminado para elegir la
ubicacin de la carpeta en ausencia de indicaciones de redireccionamiento por parte del
administrador.

Losadministradoresamenudousarnestafuncionalidadpararedirigirautomticamentelascarpetasdeunusuario
aunacarpetacreadanuevamenteparacadausuario.
Lavariable%username%puedeutilizarseenlarutaderedireccionamiento,permitiendoalsistemacreardeforma
dinmica una carpeta redirigida nuevamente para cada usuario al que se aplique el objeto de directiva. El
redireccionamientodecarpetasespecialesesparticularmenteinteresanteyaquehasidoconcebidopararesponder
alasnecesidadesdelosusuarios,conlaventajadequeesfcildeinstaurarynodemandaapenasmantenimiento
porpartedelosadministradores.
- 12 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Lasiguientepantallamuestraestaprimeraposibilidad.

RedireccionamientodelacarpetaenmodoBsico

Elsegundomododefuncionamientorecibeelnombrede redireccionamientoAvanzado.Adiferenciadela
configuracin Bsica, permite que el administrador especifique distintas ubicaciones para las carpetas
redirigidas en funcin de la adhesin de los usuarios a un grupo de seguridad. La configuracin No
especificar ninguna directiva administrativa permite que el perfil usuario, y no la directiva de grupo,
determine la ubicacin de la carpeta. En esos casos la pestaa Configuracin no est disponible. Si
selecciona el parmetro Hacer de Mis imgenes una subcarpeta de Mis documentos, la carpeta Mis
imgenesseguirsiendounasubcarpetadeMisdocumentosindependientementedelaubicacinalaque
seredirijaMisdocumentos.

Estemododefuncionamientoresultamuyprcticoyaqueesposibledeclararcentenaresdegruposcuyosmiembros
seredirigirnaundestinouotro.Bastaconusarunanicadirectivadegrupoparamilesdeusuarios.
Puedeescogerlaubicacindelacarpetadelasiguientemanera:

Crearunacarpetaparacadausuarioenlarutaraz:estaopcinaadealarutaunacarpetaconnombre
enfuncindelavariabledeentorno%username%.
Redirigir la ubicacin siguiente: esta opcin permite especificar una ruta de red de tipo UNC o una ruta
vlidalocalmentecomoC:\Nombre_Carpeta.
Redirigiralaubicacinlocaldeperfilusuario:estaopcinretornaalcomportamientopredeterminadopara
elegir la ubicacin de la carpeta en ausencia de indicaciones de redireccionamiento por parte del
administrador.
Redirigir al directorio particular del usuario: esta opcin resulta muy interesante si ya ha desplegado
carpetasdeusuario(homedirectories)ydeseausarlascomoMisdocumentos.Evidentemente,estaopcin
estdisponibleparalacarpetaMisDocumentos.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 13 -

RedireccionamientoavanzadodelacarpetaMisdocumentos
Lasiguientepantallamuestralasdiferentesopcionesparaseleccionareldestino.

Seleccinautomticadeldestino

h.Quesunadirectivadegrupo?
En el contexto de administracin de sistemas y poltica general de seguridad, los servicios de directorio Active
Directoryponenadisposicindelosadministradoreslosobjetosllamadosdirectivasdegrupo.
Graciasaestosobjetos,elementosfundamentalesdelatecnologaIntelliMirror,elpersonalencargadodelastareas
deconfiguracinyadministracindesistemas,aplicacionesyserviciosdeseguridadpuededefiniryadministrarde
formacentralizadaodescentralizadatodoslostiposdeconfiguracindestinadosaadministrarequiposyusuarios.

- 14 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Lasdirectivasdegruporespetanlosprincipiossiguientes:

Sealmacenanenundominioysereplicanentodosloscontroladoresdedominiodedichodominio.

SloestndisponiblesenunentornoActiveDirectory.

Se aplican a los usuarios y equipos de un sitio, dominio o unidad organizativa a los que est vinculada la
directivadegrupo.Eselprincipalmecanismomedianteelcuallasdirectivasdegruposeusanenunentorno
enActiveDirectory.

i.Quesunadirectivalocal?
En cada equipo se almacena un solo objeto de tipo directiva de grupo local. Los objetos de directiva de grupo
localessonlosmenosinfluyentesenunentornoActiveDirectory.
Por aadidura, slo poseen un subconjunto de los parmetros presentes en los objetos de directiva de grupo
basadosenActiveDirectory.Sepuedeabrirladirectivalocaldeunequipoodetodoslosusuarioslocalesusandola
consola de administracin MMCEditor de objetos de directiva de grupo.La consola puede abrirse ejecutando el
archivodeconsolaGpedit.msc.
Losarchivosrelativosalalmacenamientodeladirectivasesitanenlossiguientesemplazamientos:

Lapartedelequiposeencuentraenlaubicacin:%Systemroot%\System32\GroupPolicy\User\Registry.pol
La
parte
del
usuario
se
\GroupPolicy\Machine\Registry.pol

encuentra

en

la

ubicacin:

%Systemroot%\System32

Todos los sistemas Windows 2000 y posteriores poseen un objeto de directiva de grupo local. Esto es as,
pertenezcanlosordenadoresonoaunentornodedominioActiveDirectory.
Lasiguientepantallamuestracmoprocederparaabrirymodificarladirectivadelequipolocal.

Aperturadeunadirectivaenelequipolocal

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 15 -

Ladirectivalocalseaplicaalamquinayatodoslosusuariosqueinicienunasesinlocalaliniciarelordenador.En
casodeiniciarunasesindereddedominio,estclaroque,unavezqueeldominiohaautenticadoalusuario,se
iniciaparastelasesinlocalenelordenador.
Limitacionesdelobjetodedirectivadegrupolocal
Los objetos de directiva de grupo locales no dan soporte a ciertas extensiones como pueden ser el
Redireccionamientodecarpetas olaInstalacindesoftwarededirectivadegrupo.Losobjetosdedirectivade
grupolocalesdansoporteanumerososparmetrosdeseguridad,perolaextensinConfiguracindeseguridaddel
Editor de objetos de directiva de grupo no da soporte a la administracin remota de los objetos de directiva de
gruposlocales.
Por ejemplo, el comandogpedit.msc /gpcomputer:"PCMarketing01" permite modificar el objeto de directiva de
grupolocalenPCMarketing01,peroelnodoConfiguracindeseguridadnoaparecer.
Sibienlosobjetosdedirectivadegrupolocalesseprocesansiempre,sonlosmenosinfluyentesenentornosActive
Directory,porquelosobjetosdedirectivadegrupobasadosenActiveDirectorytienensiempreprioridad.
Enestemomento,denoexistirdirectivasdegrupoespecficasdefinidasdentrodeldominioActiveDirectory,slose
aplica la directiva de grupo del dominio Active Directory (ms adelante trataremos las directivas de grupo en
entornosActiveDirectory).
Si desea que la directiva local se aplique a todos los usuarios, salvo a los administradores, de los equipos no
miembros de un dominio, cosa que no ocurre de forma predeterminada, puede consultar el artculo 293655 de la
Base de datos de conocimientos de Microsoft en la siguiente direccin: http://support.microsoft.com/default.aspx?
scid=kbfr293655

4.Estructurafsicadeunadirectivadegrupo
Lainformacinrelativaalosobjetosdedirectivadegruposealmacenanendosimportantesubicaciones:

elcontenedorDirectivadegrupooGPC(GroupPolicyContainer),

laplantillaDirectivadegrupooGPT(GroupPolicyTemplate).

a.Objetocontenedordedirectivadegrupo
ElobjetocontenedorDirectivadegrupoesunobjetodeldirectorioquecontienenicamenteelestadodelobjetode
directivadegrupo,lainformacindeversin,lainformacindefiltroWMIdelaquestepudieradisponeryunalista
deloscomponentescuyaconfiguracinfiguraenelobjetodedirectivadegrupo.

UbicacindelcontenedordeobjetosdedirectivadegrupoActiveDirectory
Como puede comprobar, la ubicacin de este contenedor se sita dentro de la particin del dominio, en el
contenedor System/Policies. Los ordenadores del dominio pueden acceder al contenedor Directiva de grupo para
localizarlasplantillasDirectivasdegrupo.Loscontroladoresdedominioaccedernal,cuandoseanecesario,para
obtener informacin de versin. Este parmetro es muy importante para garantizar una replicacin correcta de la
ltimaversindelobjetoDirectivadegrupo.

- 16 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Propiedadesdeunobjetodirectivadegrupo
LapantallaquepresentamosacontinuacinmuestralaspropiedadesdelobjetoGPOcuyoGUIDes0E531984BC90
49BFA7907E665B6CCE04ycorrespondeaunadirectivadegrupocuyonombreesUsersCertAutoEnroll.

Informacinsobreunobjetodedirectivadegrupo
El atributo gPCUserExtensionNames declara las extensiones CSE (Client Side Extensions) usadas para aplicar y
establecer la configuracin contenida en la directiva de grupo. Por ejemplo, para implementar la configuracin de
seguridad IPSec, se invocar al objeto referenciado con el GUID E437BC1CAA7D11D2A38200C04F991E27 y se
realizarnlasoperacionesnecesarias.
Estasdiferentesextensiones,declaradasenelpropioobjetoaseguranlasfuncionessiguientes:

redireccionamientodecarpetas

configuracinderegistroincluidaenlasplantillasadministrativas

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 17 -

configuracindecuotasdedisco

configuracindeQoS

aplicacindearchivosdecomandos

aplicacindelaconfiguracindeseguridad

configuracindemantenimientodeInternetExplorer

configuracinderecuperacinEFS(EncryptedFileSystem)

instalacinymantenimientodelasaplicaciones

aplicacindelaconfiguracindeseguridadIP(IPSec).

Lafiguramuestraclaramentequeunobjetodedirectivadegruposealmacenaenunaubicacinderedtradicional
basadaenunaconexinUNC.Ennuestroejemplo,elvalordelatributogPCFileSysPathsealalarutaDFS:
\\Corp2003.Corporate.net\SysVol\Corp2003.Corporate.net\Policies\{0E531984BC9049BFA7907E665B6CCE04}

b.Plantilladeladirectivadegrupo
AcabamosdeverquelosatributosdeunobjetodedirectivadegruposituadoenelcontenedorSystem/Policiesdel
dominiopermitanescribirlascaractersticasmsnecesariasyfundamentales.
Peroquocurreconelcontenidorealdeladirectiva?
Dehecho,lasdirectivasdegruposebasanenunaplantillasinicial.Esaplantillaesunaarborescenciadecarpetas
situada en la carpeta SYSVOL de un controlador de dominio. Cada vez que usted crea un nuevo objeto, el
controlador de dominio solicitado crea la plantilla de directiva de grupo correspondiente. sta contiene todos los
parmetros e informacin de la directiva de grupo, incluidas las plantillas administrativas, los parmetros de
seguridad,lainstalacinymantenimientodelsoftware,etc.
Los ordenadores clientes del dominio se conectarn a la carpeta SYSVOL a travs de una ruta similar a la
especificadaacontinuacin:
\\Corp2003.Corporate.net\SysVol\Corp2003.Corporate.net\Policies\{0E531984BC9049BFA7907E665B6CCE04}
Este directorio contendr la plantilla GTP del GPO que se desea aplicar. El nombre de la carpeta de la plantilla
correspondealidentificadornicoglobal(GUID)delobjetodedirectivadegrupo.Setratadelmismonmeroqueel
usadoporActiveDirectoryparaidentificaralobjetodentrodelcontendordedirectivadegrupo.
ParaqueunordenadorclientedeldirectorioActiveDirectorypuedaaccederalasdirectivasdegrupo,deber
sercapazdeaccederalvolumendesistemacompartidoSysvol.Paraello,esindispensablequeelservicio
Sistemadearchivosdistribuidosestoperativoentodosloscontroladoresdedominio.

LaparteclienteDFSestintegradaenelredireccionadorMicrosoft,peropuededesactivarseconunaclave
deregistro.Enesoscasos,elclientenopodrrecorrerelvolumen\\DomainAD.com\Sysvoly,porlotanto,no
podrimplementarlosparmetroscontenidosenlasdirectivasdegrupo.

c.Componentesdeunadirectivadegrupo
La directiva de grupo contiene mltiples parmetros muy especficos. Por lo tanto, ser preciso que el ordenador
dispongadeunaciertacapacidadparaprocesarmltiplescategorasdeparmetros,todosdiferentesentres.
La siguiente figura muestra que los parmetros de las directivas de grupo son soportados por las siguientes
plantillas.

- 18 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Componentesdelmotordeprocesamientodedirectivasdegrupo
ProcesoWinlogon.exe
Es un componente capital del sistema operativo que suministra los servicios de inicio de sesin interactiva. El
proceso Winlogon es el componente en cuyo seno funciona el GPE. Winlogon es el nico componente del sistema
queinteractaconelGPE.
Userenv.dll
Userenv.dllfuncionadentrodeWinlogonyalbergaelGPEascomolaadministracindelasplantillasadministrativas.
GPEGroupPolicyEngine
Eselmdulocentraldeadministracindelasdirectivasdegrupo.Dasoporteatodaslasfuncionalidadesgraciasa
losmltiplesCSE.ElGPEfuncionadentrodeUserenv.dll.
CSEClientSideExtensions
Sonextensionesespecializadascapacesdedarsoportealosdiferentesparmetrosaimplementar.
Los componentes de tipo CSE se declaran en el registro con la clave HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\GPExtensions.
Cuandomsadelantetratemoslacomprobacindelacorrectaejecucindelasdirectivasdegrupoveremos
queesimportanteconocerestasextensiones.Efectivamente,lasdirectivasdegrupopuedensufriralgunos
problemas especficos relativos a parmetros muy concretos que ponen en entredicho la integridad del
componenteodelaextensinCSE.
A medida que los sistemas Windows incorporan nuevas funcionalidades, los componentes CSE mencionados se
modificanparatenerlasencuenta.Engeneral,lasnuevasfuncionalidadesyparmetrosasociadosseimplementan
connuevasversionesdesistemasyconlosservicespacks.
DadoqueelmotordeadministracindelasdirectivasdegrupoGPE GroupPolicyEngine,esextensible,esprobable
queenelfuturoMicrosoftincorporenuevasextensionesCSE.

d.PlantillasdedirectivasdegrupoADMXparaWindowsVista
Aunque los principios fundamentales relativos a las directivas de grupo son una parte inmutable desde Windows
2000hastaWindowsVistapasandoporWindowsXP,debetenerseencuentaqueWindowsVistayWindowsServer
2008traensunuevoconjuntodenovedades.Anteriormentehemosvistoqueelcontenidodelosobjetosdirectiva
degrupodeWindowsVistasehaenriquecidodemanerasignificativaconmsdedosmilcuatrocientosparmetros
deayuda,msdeochocientosparmetroscomparadoconWindowsXP.
Hemospresentadoquenuevasfamiliasdeparmetrosvanapareciendo.LasplantillasdeWindowsVistasoportanla
administracin de la energa, el control de la instalacin de dispositivos con controladores, una gestin uniforme y
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 19 -

centralizadadeparmetrosdeseguridaddelcortafuegosyreglasIPSec,ascomoeldesplieguedeimpresorasen
funcindelossitios.
Respecto a las particularidades de la implementacin de Windows Vista, las plantillas de directivas de grupo
evolucionan y ahora se estructuran a travs de XML. Que esto no asuste a nadie, actualmente, todo fichero de
configuracin se implementa en XML. Segn Microsoft, el uso de XML estructura el fichero ms claramente de tal
maneraquelosadministradorespodrncrearmsfcilmentenuevasplantillas.
Conviene comprender los efectos que tendr este nuevo formato de plantilla en el resto de la infraestructura. A
continuacinseenumeranestospuntos:

LosnuevosficherosADMXdeWindowsVistaoWindowsServer2008nosepuedenutilizarenWindowsXPo
WindowsServer2003.
Aunque los objetos GPO construidos a partir de Windows Vista o Windows Server 2008 puedan residir en
controladores de dominio Windows 2000 Server o Windows Server 2003, no es posible editarlas en estas
plataformas.
Las directivas de grupo creadas en Windows Vista o Windows Server 2008 slo pueden editarse en
WindowsServer2008oWindowsVista.
Porelcontrario,lasherramientasdeWindowsVistaoWindowsServer2008soportan,sinningnproblema,
laaperturaylaedicindelosobjetosdirectivadegrupodeWindowsXPoWindowsServer2003.

Nota:Microsoftrecomiendaquelosadministradoresutilicensiemprelasherramientasdeadministracinms
recientes. En efecto, conviene recordar que estas herramientas son las que "hacen" las operaciones para
lasqueselassolicita.Portanto,esimportantelimitarelusodeherramientasantiguasenplataformasmodernas.
Respectoalasdirectivasdegrupo,larecomendacines,pues,usarobligatoriamenteWindowsVistaylaconsola
de administracin de directivas de grupo de Windows Vista para administrar los objetos GPO basados en las
nuevas plantillas ADMX. El mismo equipo se utilizar tambin para administrar los objetos directiva de grupo de
sistemasmsantiguoscomoWindows2000,WindowsXPyWindowsServer2003.
La siguiente figura ilustra la utilizacin de una plantilla de tipo ADM en la consola de Windows Server 2008 o de
WindowsVista.

ImportacindelaplantillaADMconlaconsoladeWindowsVista

- 20 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

LosparmetrossepuedenverenlaseccinPlantillasadministrativasclsicas(ADM).

Los ficheros ADM reemplazados por los nuevos ficheros ADMX, se ignoran. Esto slo afecta a los ficheros
centrales como System.adm, los ficheros adicionales Inetres.adm, Conf.adm, Wmplayer.adm y Wuau.adm.
LasmodificacionesenestosficherosADMsetransmitirnasusnuevoshomlogosenelformatoADMX.
AdiferenciadelosficherosADMqueexistenenmltiplesidiomas,losADMXson,comoWindowsVista,Office
2007 y Windows Server 2008, es decir "idioma neutral". De hecho, los ficheros ADMX no tienen ninguna
referencia al idioma, nicamente los datos de estructura. Este punto significa que en los ficheros de tipo
ADMX no se almacena ninguna informacin de descripcin de parmetros de directivas de grupo. Esta
informacinsealmacenaenlosficherosdedescripcinseparadosquetienenextensinADML.

Ficheros ADMX y ADML: esta nueva funcionalidad permite utilizar una sola y nica versin de un mismo
ficheroADMXdisponiendodemltiplesversionesdeficherosADML.Deestamanera,esfcildisponerden
ficheros de idiomas diferentes, sabiendo que la consola de edicin de directivas de grupo cargar
automticamente el fichero de idioma en funcin del idioma del sistema operativo. Esta nueva funcionalidad es
muyinteresanteparalosadministradoresquepuedentrabajarconunamismaplantillaADMX,perodispondrnde
unficheroADMLadaptadoasuidioma.

Lacarpeta\systemroot\PolicyDefinitions\esESylosficherosADML

Paradisponerdediversosidiomasenelmismoordenador,essuficienteconcopiarenlacarpetadeidioma
adecuada,porejemplo,enUSparaidiomaingls/estadosunidos,losficherosdeidiomanecesarios.

Apropsitodelosficheros.POL:comofueelcasodelosarchivosADMdeWindows 2000oWindowsXP,los
ficheros ADMX de Windows Vista y Windows Server 2008 no son ms que plantillas. De hecho, los
parmetros configurados en base a estas plantillas se codifican en el fichero Registry.Pol. As, cuando las
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 21 -

modificacionesdeparmetrossebasanenficherosdeplantillasADMoADMX,losdatossecombinanenun
ficherominsculo.POLdealgunosKB.

Atencin!InclusosilosparmetrosqueexistananteriormenteenWindowsXPbasadosenplantillasADM
seaplicanamenudoenWindowsVista,losnuevosparmetrosdedirectivasdegrupodeWindowsVista,
(ms de 800), necesitan la creacin de un nuevo objeto GPO creado en una mquina Windows Vista. Esta
observacinseaplicasloalosparmetrosdeWindowsVistayaquesloseimplementanatravsdeplantillas
ADMX. Como hemos visto anteriormente, los antiguos ADM son utilizables por todas las mquinas que los
soportan,incluidoWindowsVista.
Creacinde"CentralStore":AlmacenamientodeplantillasdeGPO
En las versiones anteriores de Windows, cuando se crea un nuevo objeto directiva de grupo, todos las plantillas
incluidaspordefectoenelobjetoGPOsealmacenabanenelGPO.EnfuncindelasversionesdeWindows,unsolo
GPOpodaocuparfcilmente4o5Mb.
Algunas operaciones de infraestructura, como, por ejemplo, la actualizacin de controladores de dominio de
Windows2000ServeraWindowsServer2003,puedenprovocarpicosdereplicacinimportantes,sobretodocuando
lasplantillasGPOficherosADM,sedebanreplicarentodosloscontroladoresdedominio.
LossistemasquefuncionanconWindowsVistayWindowsServer2008permitenminimizarlareplicacindetodas
lasplantillascopiadasencadaobjetoGPOimplementandounpuntodealmacenamientocentralizadoenSYSVOLque
contieneelconjuntodelosnuevosficherosADMX.Ademsdeestaposibleoptimizacin,convieneresaltarquetodas
lasGPOcreadasconWindowsVistanocontienenmsplantillas.

EstructurafsicadeunGPOenuncontroladordedominioWindowsServer2008.LosvoluminososficherosADM
handesaparecido!

ElhechodecrearlasGPOapartirdeunaestacindeadministracinWindowsVistahaceahorraralmenos4
MbporGPO,puestoquenoseincluyeningnADMniADMX.Porltimo,ensegundolugar,laimplementacin
de DFSR (Distributed File System Replication) para la replicacin de SYSVOL permitir replicar nicamente las
diferencias(deltabinarias)delosficheros.
Lasiguientetablaresumelasdiferentesoperacionesposiblesenfuncindelaestacindetrabajoutilizada,asaber,
la consola GPMC disponible para ser descargada para Windows XP SP2 y Windows Server 2003 o bien la consola
GPMCdisponibledeinicioenWindowsServer2008oWindowsVista.
Funcionalidadessoportadas

- 22 -

GPMCWindows
Vista

GPMCWindowsXP
SP2

PuedeadministrarWindows Server 2003,Windows XPy


Windows 2000.

Si

Si

PuedeadministrarWindows VistayWindows Server2008.

Si

No

Soportemultiidioma

Si

No

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

LecturadeficherosADMpersonalizados.

Si

Si

Utilizacinpordefectodelasplantillas.

Enlocal

GPO

Utilizacinde"Centralstore".

Si

No

EvitalosficherosduplicadosenSYSVOL.

Si

No

Posibilidaddeaadirplantillasespecficas.

SloficherosADM

SloficherosADM

Mtododecomparacindeficheros.

Nmerodeversin

Timestamp

e.Creacinde"CentralStore"enSYSVOL
La creacin del almacn centralizado de las plantillas de GPO en formato ADMX de Windows Vista es un proceso
manual. La estructura se crea directamente en el volumen de sistema SYSVOL en uno de los controladores de
dominiodeldominio.Acontinuacin,elmotordereplicacinFRS(FileReplicationService),realizarlareplicacindela
nuevacarpetaentodosloscontroladoresdedominio.
Una buena prctica consiste en crear el "Central Store" en el controlador de dominio que desempea el
papeldeFSMOPDCE(PrimaryDomainControllerEmulator).Efectivamente,pordefecto,lasherramientasde
administracin como la GPMC o el editor de directivas de grupo seleccionan siempre el PDC de forma
predeterminada.

Cuandonoexisteningn"CentralStore",laconsoladeedicindeobjetosdedirectivadegrupoutilizalos
ficherosADMXyADMLubicadosenlacarpetalocaldeWindowsVista\systemroot\PolicyDefinitions.

EstructuradeSYSVOLpreparadaconel"CentralStore".
Paracrearelalmacncentralizado,sigalossiguientespasos:

Creelacarpetarazdelalmacncentralizado:%systemroot%\sysvol\domain\policies\PolicyDefinitions
Creeunasubcarpetaparacadaidiomaquevayaasoportar.Porejemplo,paraEspaayFrancia,creelascarpetas
esESyfrFR.
CargueelalmacncentralizadoconlosficherosADMXyADML.Estaoperacinesmuysencillayaqueessuficiente
copiartodoslosficherosADMXcontenidosenlacarpeta%systemroot%\PolicyDefinitionsdeunequipoWindows
Vista a la carpeta creada en el primer punto en SYSVOL, es decir: %systemroot%
\sysvol\domain\policies\PolicyDefinitions

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 23 -

f.RecomendacionessobrelaadministracindelasGPOenWindowsVista
Hemos visto que las estaciones de trabajo Windows Vista soportan un nmero importante de nuevos parmetros
controlablesconayudadelasGPO.Lassiguientesrecomendacionestienencomoobjetofacilitarlaaplicacindelos
parmetrosdeconfiguracindetipoWindowsXPaWindowsVistayrespetarlasbuenasprcticasparaexplotaral
mximolosaspectosmsinteresantesdeWindowsVistayWindowsServer2008.

Convierta las estaciones de administracin Windows XP a Windows Vista. Utilice la nueva consola de
administracin de directivas de grupo integrada en Windows Vista para todas las operaciones de
administracindelasGPO.
CreeunalmacncentralizadoyadministredemaneracentralizadaelconjuntodeplantillasVista/Windows
Server2008.
Cree nuevas GPO, o actualice las antiguas, para incluir las nuevas posibilidades de Windows Vista y
WindowsServer2008.

ParaobtenermsinformacinsobrelasnuevasplantillasADMXascomodelaimplementacindeCentral
Store", puede buscar el documento titulado "Managing Group Policy ADMX Files StepbyStep Guide"
disponibleenlawebdeMicrosoftenladireccin:http://go.microsoft.com/fwlink/?LinkId=75124

5.AplicacindelasdirectivasdegrupoenelentornoActiveDirectory
a.AplicacinconlaplantillaS,D,OUyordendeprocesamiento
La aplicacin de las directivas de grupo es un proceso asumido ntegramente por el ordenador cliente. Active
Directorynoinicianingnprocesoenlaestacindetrabajo.
Las directivas de grupo que se aplican a un usuario, a un equipo o a los dos, no tienen la misma prioridad no
obstante, el orden en el cual se aplican respecta la frmula L,S,D,OU. Esta frmula quiere decir directiva Local,
directivasdel Sitio, directivas deDominio, y por ltimo las directivas deUnidades organizativasquecontienenel
objetoequipoyusuarioconcretos.
Laconfiguracindeladirectivadegruposetrataenelordensiguiente:

- 24 -

Objeto de directiva de grupo local: todos los equipos disponen de un objeto de directiva de grupo
almacenadolocalmente.stesirveparaprocesarlaconfiguracinpredeterminadadelequipoydelusuario,
estonolamquinaenundominioActiveDirectory.
Sitio: a continuacin se tratan los objetos de directiva de grupo vinculados al sitio al que pertenece el
ordenador. El procesamiento de ms de una directiva se efecta en el orden especificado por el
administrador en la pestaa Objetos de directiva de grupo vinculados al sitio de la consola de
administracin de GPMC (Group Policy Management Console), sabiendo que el objeto de directiva de grupo
situadoenlapartemsaltaserelquetengaprioridad.
Dominio: la aplicacin de varias directivas de grupo vinculadas al dominio se efecta de acuerdo con el
mismoprincipiodeadministracindelasprioridades.
Unidades de organizacin: finalmente, se trata primero los objetos de directiva de grupo vinculados a la
unidadorganizativamsaltaenlajerarquaActiveDirectory,seguidosporlosobjetosdedirectivadegrupo
vinculadosaunaunidadorganizativahijayassucesivamente.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

mbitodeadministracinActiveDirectoryyrestauracindelasdirectivasdegrupo
LaanteriorpantallamuestraelmbitodeadministracindelainfraestructuraActiveDirectory.Podemosverquelos
contenedoresSitios,DominioyUnidadesOrganizativascontienenunequipoyunusuario.
Lasecuenciaqueexplicamosacontinuacinexplicaelprocesocompletodeprocesamientodelasdirectivasdegrupo
equipoyusuarioempezandoporelenrutamientodelequipoyterminandoporeliniciodesesindeunusuarioenel
equipo:
1. Se inicia la red. Se inician el servicio RPCSS (Remote Procedure Call System Service) y el proveedor MUP (Multiple
UniversalNamingConventionProvider).
A propsito del modo sncrono y asncrono: las estaciones de trabajo que funcionan con Windows XP o
WindowsVistaseiniciandeformaasncronay,porlotanto,nonecesitanesperaraqueloscomponentesde
red estn completamente inicializados. Contrariamente a Windows XP o Windows Vista, Windows 2000 usa la
misma secuencia pero de manera totalmente sncrona. La instauracin del modo asncrono permite acelerar
notablemente el inicio del sistema operativo. Las mquinas Windows 2000 no soportan el modo asncrono, sin
embargolasmquinasWindowsXPProfessionaloWindowsVistasepuedenconfiguraratravsdeunparmetro
dedirectivasdegrupoparafuncionardeformasncronacomolosordenadoresWindows2000.
2. Se obtiene una lista correctamente ordenada de los objetos de directiva de grupo para el equipo. En la
composicindelalistapuedenincidirlosfactoressiguientes:

El ordenador es miembro de un dominio Active Directory? En caso afirmativo, deber tener en cuenta el
procesodedescubrimientodelasdirectivasdegrupoyaplicaraquellasqueleafecten.
EnqusitioActiveDirectoryestubicadoelordenador?
Conrespectoalaltimavezqueelordenadorapliclasdirectivasdegrupo,hahabidomodificacionesenla
lista de directivas a aplicar? Se han modificado las directivas de grupo? En caso afirmativo se prosigue el
proceso,delocontrariono.

ApropsitodelmodoAplicarlasdirectivasinclusosinohancambiado...Laconfiguracindelasdirectivas
degrupopermitecambiarelcomportamientopredeterminadodelasmismasparavolveraaplicarlasincluso
cuandonohancambiado.Eseparmetrogarantizaelestadocorrectodelasconfiguracionesymantieneunnivel
muyaltodeseguridad.

Disponen algunas directivas del modo obligatorio? Esta operacin permite aplicar las directivas que
disponen de dicho modo a pesar de que las unidades organizativas hijo utilicen la opcin Bloquear la
herenciadedirectivas.EnWindows2000,estemodoseconocacomonoreemplazar.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 25 -

3. En esta fase las directivas de grupo se conocen y aplican al equipo. Para obtener informacin ms detallada
acercadelaaplicacindelasdirectivasde"equipo",puedeactivarlosregistrosdetalladosmedianteunadirectiva.
4.Losscriptsdeinicioseejecutandeformaocultayenmodoasncrono,unostrasotros.Pordefecto,cadascript
debe terminar para que el siguiente pueda iniciarse. En caso de que se bloqueara algn script, se aplicara un
retrasodeejecucinde10minutos(600segundos)comomximoantesdeproseguirconelsiguientescript,sifuera
necesario.Hayvariosparmetrosdedirectivaparaajustarestecomportamiento.
Atencinconelprocesamientoenmodoasncronoensegundoplano:Windows XPProfessionalnoesperaa
queseiniciecompletamentelaredparainiciarse.Traseliniciodesesin,encuantolaredestdisponible,la
directiva se procesa en segundo plano. Esto quiere decir que el ordenador contina usando los parmetros de
directivaanterioresalarranqueyaliniciodesesin.Porconsiguiente,podrasernecesarioyobligatoriorealizar
varios inicios de sesin sucesivos despus de modificar una directiva para que los parmetros estn realmente
operativos.EstecomportamientosecontrolamedianteelparmetrosituadoenConfiguracindelequipo\Plantillas
administrativas\Sistema\Inicio de sesin\Esperar siempre la deteccin de red al inicio del equipo y de sesin.
Observe que esta funcionalidad slo se refiere a Windows XP y no est disponible en Windows 2000 ni en
WindowsServer2003.
5.ElusuarioinicialasesinenundominioActiveDirectory.
6. Despus de la autenticacin del usuario, se carga el perfil de usuario de acuerdo con la configuracin de la
directivaenvigor.Seobtieneunalistacorrectamenteordenadadelosobjetosdedirectivadegrupoparaelusuario
en sesin. No obstante, al igual que ocurra al iniciar la mquina, una serie de factores podran incidir en la
composicindelalistaaaplicar:

El usuario pertenece a un dominio? Si es as, est sometido a la directiva de grupo a travs de Active
Directory.
Estactivadoelbucleinvertido?Encasoafirmativo,estconfiguradoesemodoparafuncionarenmodo
fusinoenmodoreemplazo?

Elbucleinvertido,eninglsLoopbackProcessingMode,permitegestionarlaconfiguracindelasmquinasen
libreservicio.Detallamosesteparticularcomportamientounpocomsadelante.

Cul es la ubicacin del usuario en Active Directory? En qu sitio, en qu dominio y qu jerarqua de


unidadesorganizativasseencuentra?
Algunas directivas disponen del modo obligatorio? Esta operacin permite aplicar las directivas que
disponendeesemodoapesardequelasunidadesorganizativashijousenlaopcinBloquearlaherencia
dedirectivas.

7.Porltimosedeterminanlasdirectivasdegrupoyseaplicanalusuarioensesin.
8.Losscriptsdeiniciodesesinseejecutanconlosmismosprincipiosrelativosalosequipos.
9.Finalmente,lacargadelainterfazdeusuariotienelugarenfuncindelosparmetrosdeclaradosenlasdirectivas
degrupo.

b.DominiosActiveDirectoryydominiosNT:L,S,D,OUy4,L,S,D,OU
EsposiblequeelentornodeproduccincomprendatodavadominiosWindowsNTautorizados.Esosdominios,que
incluyenausuariosdedominiosWindowsNT,puedenestarautorizadosparatrabajarenequiposmiembrosdeun
dominio Active Directory. stos pueden, en funcin de sus derechos, claro est, acceder a cualquier recurso del
dominioodelosdemsdominiosWindowsmiembrosdelbosque.
Debernconsiderarsetresgrandescasos:

- 26 -

Sielequipo(Windows2000osuperior)seencuentraenundominioWindowsNTyelusuarioestubicado
enActiveDirectory,sloseprocesaladirectivadelsistemadelequipo(ynoladelusuario)cuandoelusuario
inicialasesin.Luegoseprocesasloladirectivadegrupodeusuario.
Si el equipo se encuentra en Active Directory y el usuario est ubicado en un dominio Windows NT, la
directivadegrupodeequipo(ynoladeusuario)seprocesaaliniciarelequipo.Cuandoelusuarioiniciala
sesin,slosetrataladirectivadelsistemadelusuario.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

SilascuentasequipoyusuariopertenecenaundominioWindowsNT,sloseaplicaladirectivadelsistema
cuandoelusuarioinicialasesin.

No confundaDirectivas del sistema yDirectivas de grupo.Las directivas del sistema, en ingls System
Policy,seinstalabanenentornosdedominioNTparaequiposquefuncionabanconWindows9xyWindows
NT 4.0. La herramienta de configuracin Poledit, permita crear dos archivos especficos. El primero, Config.pol,
estabadedicadoalosequiposquefuncionabanconWindows 9x,mientrasqueelsegundo,elficheroNTconfig.pol,
se dedicaba a los ordenadores que funcionaban con Windows NT 4.0. Estos dos ficheros deban colocarse
despus en el directorio habitual de los comandos Netlogon (antiguamente \System32\Repl\Import\ Scripts). La
herramienta de configuracin de las directivas de sistema se suministraba en el sistema Windows NT 4.0 y
tambin Windows 2000. Dicha herramienta ya no se incluye en Windows XP Professional ni en versiones
posteriores,peroanpuedeusarseencasonecesario.

c.VnculosdelasdirectivasdegrupoalosobjetosSitios,DominioyUnidadesOrganizativasyherencia
Talycomoacabamosdever,unadirectivadegrupopuedeestarvinculadaamuchoscontenedoresdetipoS,D,OU
dentrodeunajerarquaActiveDirectory.
Deestaforma,tienelaposibilidaddevincularmltiplesdirectivasdegrupoalmismodominiooalamismaOU,ode
novincularlasaningunodeellos.Enesecasosebeneficiardelosmecanismosdeherencia.Sivariosobjetosde
directiva de grupo estn vinculados a una organizativa, podr controlar su orden de aplicacin manipulando la
pestaaObjetosdedirectivadegrupovinculadosdelaunidadorganizativadentrodelaconsolaGPMC.

AdministracindelordendeprocesamientoenuncontenedorActiveDirectorydeterminado
El objeto de directiva de grupo con el orden de vnculos ms bajo se trata en ltimo lugar y recibe la mayor
preferencia. La anterior figura representa la informacin que es preciso manipular y percibir correctamente para
comprenderporquunadirectivadegruposetendrmsencuentaqueotra.
La informacin presentada a continuacin permite comprender mejor la importancia de la configuracin de las
directivasdegrupovinculadasauncontenedordeterminado.
Ordendevnculos
Este parmetro le permitir administrar el orden de procesamiento de las directivas mediante GPE, Group Policy
Engine.Comohemosexplicadoanteriormente,ladirectivadegrupoconelordendevnculosmsbajosetrataen
ltimolugaryesportantolademayorprioridad.
Forzado
Elvnculodeunobjetodedirectivadegrupopuedeestarforzado,deshabilitadooambos.Pordefectoelvnculode
unobjetodedirectivadegruponoestforzadonideshabilitado.Desconfedeestaopcin.Cuandoelvnculoest
habilitado, la directiva de grupo est vinculada al contenedor. Cuando el vnculo est Forzado, la directiva de
grupo tiene prioridad sobre el parmetro Bloquear la herencia en un dominio o en una unidad organizativa.
Adems,siactivaForzadoydesactivaVnculohabilitado,elobjetodedirectivadegruponoseaplica.
Bloquearlaherencia
Estaopcinprotegealcontenedordelaherenciaprocedentedeotroscontenedoresdenivelessuperiores.Observe
sinembargoquelaactivacindelaopcinBloquearlaherencianodesvalosparmetrosdedirectivadegrupode
losobjetosdedirectivadegrupodirectamentevinculadosaldominio.Observequeelbloqueodelaherenciaaplicado
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 27 -

aunaunidadorganizativasesimbolizaconunsignodeexclamacindecolorazulenlaOU.

d.VnculosyatributogPLink
Los objetos contenedores de tipo Sitios, Dominios y Unidades organizativas son las nicas clases de objetos del
directorioquedisponendelusodelatributogPLink.
Dicho atributo es fundamental, ya que permite que diferentes tipos de contenedores se enlacen a objetos de
directivadegrupo.Enefecto,elatributogPLinkcuyoOIDes1.2.840.113556.1.4.891esunatributousadoporlas
clasesSite,OrganizationalUnitySamDomain.AttuloinformativodiremosquelaversinWindowsServer2003del
esquemaActiveDirectoryprevqueelatributogPLinkesttambindisponibleparaelcontenedorConfiguracin
quealbergalaparticinActiveDirectorydeconfiguracin.

e.Seleccindelcontroladordedominiopreferido
La consola de administracin de directivas de grupo usa el controlador de dominio que ejerce de maestro de
operaciones de PDC Emulator de cada dominio emulador de controlador principal de dominio, como controlador de
dominiopredeterminadoparalasoperacionesdecreacinymodificacindedirectivasdegrupo.
Paraevitarconflictosdereplicacin,serecomiendaescogeruncontroladorfavoritoentretodosparalasoperaciones
relativas a la administracin de directivas de grupo. En efecto, antes hemos visto que los objetos de directiva de
grupo se componan de dos partes distintas: la parte contenedor de directiva de grupo, dentro de la particin de
dominoActiveDirectory,ylapartedelaplantilladedirectivadegrupo,dentrodelvolumencompartidoSYSVOL.Estos
dos espacios de almacenamiento usan mecanismos de replicacin independientes. Por consiguiente, si dos
administradores modifican un mismo objeto de directiva de grupo durante el mismo ciclo de replicacin en
controladores de dominio diferentes, las modificaciones efectuadas por uno de los dos administradores pueden
perderse.
Por defecto, la consola de administracin de directivas de grupo usa el emulador PDC del dominio para garantizar
que todos los administradores utilicen el mismo controlador de dominio. Sin embargo, podra ocurrir que desee
solicitarpuntualmenteuncontroladordedominioconcretosituadoenunsitioremoto.
Si varios administradores administran la misma directiva de grupo en el mismo momento, se recomienda que
seleccionenelmismocontroladordedominio.Laseleccinpermitirevitarconflictosdereplicacinaniveldeservicio
dereplicacindearchivosFRS(FileReplicationService).
Laconsoladeadministracindedirectivasdegrupopermitecambiarelcontroladoractivoqueseharcargodelas
modificaciones.
En nuestro ejemplo, esta operacin es una tarea manual que se llevar a cabo en funcin de las necesidades de
administracin.
No obstante, tendr la posibilidad de cambiar la manera en que se selecciona el controlador de dominio
predeterminado. Por ejemplo, podr crear una nueva directiva de grupo para uso de los administradores
ejecutando: Configuracin de usuario/Plantillas administrativas/Sistema/Directiva de grupo/Seleccin del
controladordedominiodeladirectivadegrupo.Activelaopcinyseleccioneaqullaquemsleconvengaentre
lastrespropuestas.

- 28 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Seleccinautomticadelcontroladordedominioparalasoperacionesdemodificacindelosobjetosdedirectivade
grupo
Usarelcontroladordedominioprincipal
Es la opcin por defecto e indica que el componente Editor de objetos de directiva de grupo lee y escribe las
modificacionesenelcontroladordedominiodesignadocomomaestrodeoperacionesPDCEmulatorparaeldominio
enelqueserealizalaoperacin.
HeredarcomplementosdeActiveDirectory
EstaopcinindicaqueelcomponenteEditordeobjetosdedirectivadegrupoleeyescribelasmodificacionesenel
controlador de dominio que las consolas de administracin MMC Usuarios y equipos Active Directory o Sitios y
serviciosActiveDirectoryusan.
Usarcualquiercontroladordedominiodisponible
Esta opcin indica que el Editor de objetos de directiva de grupo puede usar cualquier controlador de dominio
disponible.

Sidesactivaesteparmetroonoloconfigura,elEditordeobjetosdedirectivadegrupoutilizaelcontrolador
dedominiodesignadocomomaestrodeoperacionesdecontroladorprincipaldedominioparaeldominio.

6.CreacindeunadirectivadegrupoconlasherramientasdeActiveDirectory
Lasdirectivasdegrupopuedencrearsededosmaneras.Elprimermtodousalasherramientasincluidasdeserieen
Windows 2000 Server o Windows Server 2003. Sern las herramientas de administracin MMC como Usuarios y
equipos de Active Directory y Sitios y servicios Active Directory. El segundo mtodo utiliza la consola
AdministracindedirectivasdegrupollamadaeninglsGPMC(GroupPolicyManagementConsole).
EstaherramientanoseincluyedeserieconWindowsServer2003yaqueenabrilde2003,momentodelasalidade
WindowsServer2003,noestabadisponible.Esuncomponentedeadministracinvaliosoyusndolo,casipodramos
decirqueadministrardirectivasdegrupoessencillo!
La consola de administracin GPMC puede descargarse gratuitamente en la Web de Microsoft en la direccin:
http://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C248CBD4B359272
DD3CBFC81887&displaylang=en

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 29 -

La consola de administracin de directivas de grupo requiere un ordenador que funcione con Windows XP
ProfessionalSP1equipadoconFramework.Net.
Al principio, la consola de administracin de directivas de grupo se reservaba a los poseedores de una licencia
WindowsServer2003.ElacuerdodelicenciadelaversinGPMCSP1permitequetodoslosposeedoresdelicencias
WindowsServer2003ydeWindows2000Server,usenlanuevaconsola.

a.UsodelaconsoladeadministracinMMCUsuariosyequiposActiveDirectory
La siguiente figura muestra la lista de vnculos a los objetos de directiva de grupo de la unidad organizativa
Consultores.

Usodelaventanaoriginaldeadministracindedirectivasdegrupo
ObservelarecomendacinintegradaenlainterfazgrficadelaconsolaUsuariosyequiposdeActiveDirectory.En
ladireccindelawebdeMicrosofthttp://www.microsoft.com/windowsserver2003/gpmc/default.mspx.encontrarla
informacinnecesariayunvnculoparadescargarlaGPMC.
Paraaccederaesaventanaycrearunadirectivadegrupo,procedadelsiguientemodo:

InicielaconsoladeadministracinMMCUsuariosyordenadoresActiveDirectory.
Colquese sobre el dominio o sobre el contenedor de tipo Unidad organizativa. Acceda a la ventana de
propiedades.

HagaclicenlapestaaDirectivadegrupo.

HagaclicenNueva.

Elobjetocreadosevinculaalcontenedorseleccionado.
Encasodequeelobjetodedirectivadegrupoyahubiesesidocreado,puedeseleccionarloatravsdelaventana
deseleccinpresentadaacontinuacin:

- 30 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Seleccindelasdirectivasquesedeseanvincularauncontenedorapartirdelosdiferentesdominiosdelbosque
En nuestro ejemplo es posible acceder a los objetos de directiva de grupo del dominio Corp2003.Corporate.net y
partners.corporate.net.

b.UtilizacindelaconsoladeadministracinMMCSitiosyserviciosActiveDirectory
La consola de administracin MMC Sitios y servicios Active Directory permite administrar las directivas de grupo
asociadas a los sitios Active Directory. El mtodo es exactamente el mismo que para las directivas de grupo
vinculadasacontenedoresdetipodominioyunidadorganizativa.

InicielaconsoladeadministracinMMCSitiosyserviciosActiveDirectory.

Colqueseenelsitiodeseado.Accedaalaventanadepropiedades.

HagaclicenlapestaaDirectivadegrupoycreeomodifiqueunanuevadirectiva.

7.CreacindeunadirectivadegrupoconlaGPMC
Microsoft recomienda en prcticamente todos los casos que los administradores usen las ltimas versiones de
herramientasadministrativas.Enlamedidaenqueesasherramientas"hacen"loquelespedimos,esbuenocontar
con las ms eficaces, tanto desde el punto de vista de la estabilidad como de la facultad para simplificar algunas
tareascomplejaseinclusoimposibles.RecordemosquelasherramientasdeadministracindeWindowsServer 2003
(Adminpak.msi)puedendescargarseenlaWebdeMicrosoftdesdelaversinBeta3deWindowsServer2003,yque
lomismoocurreconlaconsoladeadministracindedirectivasdegrupodesdequeestdisponiblelaversinfinal.
LasoperacionessiguientesserefierenalaconsoladeadministracindedirectivasdegrupoGPMC.

a.Creacindeunadirectivadegruponovinculada
Enelrboldelaconsola:

HagaclicconelbotnderechoenlaopcinObjetosdirectivasdegruposituadaenelbosqueyeldominioenel
quequierecrearelobjetodedirectivadegrupo(GPO,GroupPolicyObject).ParallegarhastaahejecuteNombre
delbosque/Dominios/Nombredeldominio/Objetosdedirectivadegrupo.
HagaclicenNuevo.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 31 -

IndiqueunnombreparaelnuevoobjetodeladirectivadegrupoenelcuadrodedilogoNuevo objeto GPO,y


hagaclicenAceptar.

b.Creacindeunadirectivadegrupovinculada
Enelrboldelaconsola:

Haga clic con el botn derecho en el nombre del dominio situado en el bosque dentro del cual desea crear y
vincularladirectivadegrupo.ParaposicionarseeneselugarejecuteNombredelbosque/Dominios/Nombrede
dominioydirjasealcontenedordeseado.
HagaclicenCrearyvincularunGPOaqu.
IndiqueunnombreparaelnuevoobjetodeladirectivadegrupoenelcuadrodedilogoNuevo objeto GPO,y
hagaclicenAceptar.

c.Administracindelosvnculosdedirectivadegrupo
La administracin de los vnculos es una operacin sencilla tcnicamente, pero de consecuencias pesadas para la
infraestructuradeadministracindeActiveDirectory.Efectivamente,lacreacindeunvnculopuedeprestargrandes
serviciosaalgunosordenadoresyusuarios,perotambinpuedeprovocarmolestiaseinclusodisfuncionesenotros.
PoresemotivosehaconcebidolaconsoladeadministracinGPMC.Msadelantepresentaremoslasfuncionalidades
de modelacin y de anlisis indispensables para una administracin ms sencilla y menos arriesgada de las
directivasdegrupo.
Vnculodeunadirectivadegrupoexistente

Paravincularunobjetodedirectivadegrupoexistente,hagaclicenelbotnderechosobreeldominioolaunidad
organizativadeldominioyhagaclicenVincularunobjetodedirectivadegrupoexistente.
En el cuadro de dilogo Seleccionar un objeto GPO, haga clic en la directiva de grupo que desee vincular y a
continuacinenAceptar.

Desactivacindeunvnculodedirectivadegrupo

Siteseenelbosquequealbergaeldominio,elsitiooIaunidadorganizativadondeseencuentraelvnculodel
objetodedirectivadegrupoquedeseadeshabilitar.
Haga clic con el botn derecho en el vnculo del objeto de directiva del grupo deseado: una seal al lado de
Vnculohabilitadoindicaqueelvnculoestactivado.
HagaclicenVnculohabilitadoparaeliminarlamarcaydesactivarelvnculo.

Paraefectuarestaoperacindebedisponerdelaautorizacin Vincular los objetos GPOparaeldominio,


sitioounidadorganizativaquealbergueelvnculodelobjetodedirectivadegrupo.Delocontrariolaopcin
Vnculohabilitadonoestardisponible.

d.Eliminacindeunadirectivadegrupo

- 32 -

Colqueseenlaarborescenciadelaconsoladeadministracindedirectivasdegrupo,hagadobleclicenlaopcin
Objetosdedirectivadegruposituadaenelbosqueyeldominioquecontienenladirectivadegrupoquedesea
eliminar.

HagaclicconelbotnderechoenelobjetodeladirectivadegrupoydespushagaclicenEliminar.

Cuandoselepreguntesideseaconfirmarlaeliminacin,hagaclicenAceptar.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Para crear un objeto de directiva de grupo, deber disponer de privilegios de creacin de objetos de
directivadegrupo.Pordefecto,slolosadministradoresdeldominio,losadministradoresdeorganizaciny
los miembros del grupo propietarios del creador de directivas de grupo pueden crear objetos de directivas de
grupo.

Para eliminar un objeto de directiva de grupo o parte de ella, deber disponer de las autorizaciones
Modificarlaconfiguracin,EliminaryModificarlaseguridadparaelobjetodedirectivadegrupo.

e.Desactivacindeunadirectivadegrupo

Para desactivar toda la directiva de grupo o parte de ella, colquese sobre el objeto directiva de grupo que
contiene los parmetros usuario o equipo que desea desactivar, seale Estado GPO, y efecte una de las
accionessiguientes:

Haga clic en Configuracin de usuario deshabilitada para desactivar la configuracin de usuario de


objeto. Una marca al lado de Configuracin de usuario deshabilitada indica que la configuracin de
usuarioestdesactivada.
Haga clic en Configuracin del equipo deshabilitada para desactivar la configuracin del equipo del
objeto. Una marca al lado de Configuracin del equipo deshabilitada indica que la configuracin del
equipoestdesactivada.

Para desactivar un objeto de directiva de grupo debe disponer de la autorizacin Modificar sobre dicho
objeto.

TambinpuedemodificarelestadodeunobjetodedirectivadegrupoapartirdelapestaaDetallesdel
objetodedirectivadegrupo.

8.Administracindeldespliegue
a.Administracindelosconflictosdeprocesamientodelasdirectivasdegrupo
Conflictosentrelosparmetros
AligualqueocurraconlasdirectivasdelsistemaWindowsNT,losparmetroscontroladosporunadirectivapueden
posicionarsedediferentesmaneras.
Noconfigurado
Este estado significa que el parmetro no se administra. No hay por lo tanto ningn procesamiento especial que
realizar.
Habilitado
Esteestadosignificaqueelparmetroestactivado.Sivariasdirectivasdegrupoafectanalmismoparmetropara
elmismoobjetodeequipoousuario,ganarelltimoparmetroaplicado,esdecir,aqulquedisponedelamayor
prioridad.
Desactivado
Esteestadosignificaqueelparmetroestdesactivado.Sivariasdirectivasdegrupoafectanalmismoparmetro
paraelmismoobjetodeequipoousuario,ganarelltimoparmetroaplicado,esdecir,aqulquedisponedela
mayorprioridad.
Noreemplazar
El administrador puede definir las directivas a un nivel ms elevado para que stas se apliquen siempre. Este
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 33 -

proceso, llamado control obligatorio con la GPMC, se designaba antes con el trmino "No reemplazar". El
administradortambinpuededefiniruncontenedorparabloquearlaaplicacindedirectivasdenivelessuperiores.
Unadirectivadefinidaporeladministradoraunnivelsuperiorparaseraplicadacontinuarsindoloaunque
sehayadefinidounbloqueodenivelsuperior.
LapantallasiguientemuestralaopcinhabitualNoreemplazar.

LaopcinNoreemplazaryBloquearlaherenciadedirectivasdelaconsoladeadministracinMMCUsuariosy
equipoActiveDirectory

Bloquearlaherencia
Esposiblebloquearlaherenciadeladirectivaenundominiooenunaunidadorganizativa.Elusodelbloqueodela
herencia impide que los objetos de directiva de grupo vinculados a sitios, dominios o unidades organizativas de
nivelessuperioresseanautomticamenteheredadosporelniveloniveleshijo.Pordefecto,loscontenedoreshijo
heredan el conjunto de objetos de directiva del grupo padre, pero en ocasiones puede resultar til bloquear la
herencia.
Porejemplo,sideseaaplicarunconjuntonicodedirectivasatodoundominioexceptoaunaunidadorganizativa,
puedevincularlosobjetosdedirectivadegruporequeridosaniveldeldominio(apartirdelcualtodaslasunidades
organizativasheredandirectivaspordefecto),yacontinuacinbloquearlaherenciasloenlaunidadorganizativa
enlaquelasdirectivasnodebenaplicarse.
Enlafiguraprecedentesemuestraestaposibilidad.
ParallevaracaboestaoperacinconayudadelaconsoladeadministracindedirectivasdegrupoGPMC,proceda
delasiguientemanera:

Colqueseeneldominioosobreunaunidadorganizativa.

Hagaclicconelbotnderechosobreelcontenedorseleccionado.

EscojalaopcinBloquearlaherencia.

b.Administracindelfiltradodeldesplieguededirectivasdegrupo

- 34 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Elfiltradodeseguridadpermiteredefiniralosusuariosyequiposquevanarecibiryaplicarlosparmetrosdeun
objetodedirectivadegrupo.
Con ayuda del filtrado de seguridad, puede especificar que nicamente algunas entidades de seguridad del
contenedor al cual est vinculado el objeto de directiva de grupo apliquen dicho objeto. El filtrado de grupo de
seguridaddeterminasielobjetodedirectivadegruposeaplicaensuconjuntoagrupos,usuariosoequipos.
Paraqueladirectivadegruposeapliqueaunusuariooaunequipodeterminado,stosdebenposeerdosderechos
indispensables:

debenpoderabriryporlotantoLeerladirectivadegrupo,
debendisponerasimismodelderechoAplicardirectivadegrupossobreelobjetodedirectivadegrupo,ya
seademaneraexplcitaomediantelapertenenciaaungrupo.

Derechos predeterminados sobre los objetos de directiva de grupo: por defecto, el valor de las
autorizacionesLeer yAplicar directiva de grupossedefineen Permitirparatodoslosobjetosdirectivas
de grupo del grupo Usuarios autenticados. Observe que los derechos predeterminados de los grupos
"Administradores de organizacin" y "Administradores del dominio" no son suficientes para que los
administradores puedan aplicar una directiva de grupo. Por lo tanto, en esos casos ser preciso agregar el
derechoAplicardirectivadegruposalgrupo"Adminsdeldominio".
ElsiguienteejemploilustraunaoperacindefiltradorealizadaconlaconsolaGPMC.

Usodelfiltradoparalaaplicacindelasdirectivasdegrupo
El grupo Usuarios autentificados incluye a usuarios y equipos. De esta forma, todos los usuarios autentificados
recibenlosparmetrosdeunnuevoobjetodedirectivadegrupocuandostaseaplicaaunaunidadorganizativa,a
un dominio o a un sitio. Como muestra la figura precedente, es posible modificar las autorizaciones para limitar el
mbitoaunconjuntoespecficodeusuarios,gruposoequiposenlaunidadorganizativa,eldominiooelsitio.
La figura precedente muestra tambin que la consola MMC Administracin de directivas de grupo gestiona las
autorizacionescomounasolaunidad.Graciasaello,ladeclaracinarealizaresmsfcil.Paramodificarelfiltradode
seguridad es posible agregar o eliminar grupos en la seccinFiltrado de seguridad en la pestaambito de un
objeto de directiva de grupo.Enlaprctica,noesnecesariocrearlasdosentradas(Leer yAplicar directiva de
grupos)yaquelaconsolaGPMClasdefineautomticamente.
Porelcontrario,siempreesposibleeditarymodificarlospermisosenmodoavanzado.Paraello,abraeleditorde
lista de control de acceso haciendo clic en el botn Avanzado en la pestaa Delegacin del objeto directiva de
grupo.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 35 -

Vistadelaventanadeadministracindelosderechosavanzados

c.Puntosimportantes

Losobjetosdedirectivasdegruposlopuedenestarvinculadosasitios,dominiosyunidadesorganizativas.
Dentro del mbito de la tecnologa IntelliMirror, los objetos de directiva de grupo no pueden estar
directamentevinculadosausuarios,equiposogruposdeseguridad.
El filtrado de seguridad permitir limitar el alcance de un objeto de directiva de grupo para que ste se
apliquesloaungrupo,usuariooequiponico.
Los permisos Leer y Aplicar directiva de grupos no bastan para garantizar que la directiva de grupo se
aplique slo a un usuario o un equipo determinado. El objeto directiva de grupo debe estar asimismo
vinculado a un sitio, dominio o a una unidad organizativa que contenga el usuario o al equipo ya sea
directamenteoatravsdelosmecanismosdeherencia.
LaubicacindelosgruposdeseguridadenActiveDirectorynotienenadaqueverconelfiltradomediante
grupos de seguridad. Los grupos no tienen una relacin directa con el procesamiento de las directivas de
grupo. Los grupos slo son un medio para administrar los derechos de los objetos. Permiten obtener el
derechoLeeryAplicarladirectivadegrupo.
FiltradomediantelainterfazWMI.

PresteatencinalosconflictosentreparmetrosyalasopcionesNoreemplazaryBloquearlaherenciade
losobjetosdirectivasdegrupoenloscontenedoresdetipounidadesorganizativas.

d.DefinicindelosfiltrosWMI
FuncionamientodelosfiltrosWMI

- 36 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

PuedeusarlosfiltrosWMIparadeterminardeformadinmicaelalcancedelasdirectivasdegrupoapartirdelos
atributosconocidosdetipousuarioyequipo.Deestaformapuedeampliarlacapacidaddefiltradodelosobjetosde
directivadegrupomsalldelosmecanismosdefiltradodeseguridadpresentadosanteriormente.
Los filtros WMI se asocian a objetos de directivas de grupo. Cuando se aplica un objeto de directiva de grupo al
equipodedestino,ActiveDirectoryevalaelfiltroenelequipodedestino.LosfiltrosWMIsecomponendeunaode
varias consultas evaluadas por Active Directory en funcin del espacio de almacenamiento WMI del equipo de
destino.Sielvalortotaldelasconsultasesfalso(false),ActiveDirectorynoaplicaelobjetodedirectivadegrupo.
Sitodaslasconsultassonverdaderas(true),ActiveDirectoryaplicaladirectivadegrupo.
LaconsultasWMIseescribenconayudadellenguajeWQL WMIQueryLanguage.Estelenguajeestmuyprximoal
lenguajeSQLypermitepreguntaratodoelespaciodealmacenamientoWMI.
Los objetos de directiva de grupo slo pueden tener un filtro WMI que puede contener mltiples condiciones. En
cambio, es posible vincular un filtro WMI a mltiples objetos de directiva de grupo. La interfaz de consola de
administracin de directivas de grupo permite crear, importar, exportar, copiar y pegar filtros WMI de forma muy
sencilla.
ComocrearunfiltroWMI?

AbralaconsolaAdministracindedirectivasdegrupo.
En el rbol de la consola, haga clic con el botn derecho en Filtros WMI en el bosque y el dominio en los que
desea crear el filtro WMI. Para llegar hasta ah, colquese en Nombre del bosque/Dominios/Nombre del
dominio/FiltrosWMI.
HagaclicenNuevo.
EnelcuadrodedilogoNuevofiltroWMI,introduzcaunnombreparaelnuevofiltroydespusunadescripcinen
lazonaDescripcin.
HagaclicenAgregar.
En el cuadro de dilogo Consulta de WMI, seleccione el Espacio de nombres o deje el espacio de nombres
predeterminado,root\CIMv2.

EnlazonaConsulta,introduzcaunaconsultaWMI,yhagaclicenAceptar.

Paraagregarotrasconsultas,repitalosltimostrespuntosparacadanuevaconsulta.

DespusdeagregartodaslasconsultashagaclicenGuardar.

Creacin de filtros WMI y privilegios necesarios: para poder crear filtros WMI, debe disponer de los
privilegios necesarios para la operacin. Los grupos Administradores del dominio, Administradores de
organizacinyPropietariosdelcreadordedirectivasdegrupogozan,pordefecto,dedichopermiso.
Lafiguramuestralosdetallesrelativosalacreacindelfiltro.Comohemosexplicadomsarriba,deberdeclararel
nombredelfiltro,unadescripcin,elespacioWMIalqueserefierelaconsultaascomoelcontenidodelamisma.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 37 -

GuardadodelaconsultaWMIenelfiltro
UnavezcreadoslosfiltrosWMIyaslonosquedaasociarunfiltroaladirectivadegrupoquedeseamosfiltrar.
CmoasociarunfiltroWMIaunobjetodeunadirectivadegrupoconcreta?

AbralaconsoladeAdministracindedirectivasdegrupo.
Enelrboldelaconsola,colquesesobreelobjetodeladirectivadegrupoalaquedeseavincularunfiltroWMI.
Paraello,siteseenNombredelbosque/Dominios/Nombredeldominio/Objetosdedirectivadegrupo,yhaga
clicenelobjetodedirectivadegrupo.
En la ventana de resultados, pestaa mbito, Filtrado WMI, seleccione un filtro WMI en la zona de lista
desplegable.
CuandoselepreguntasideseacambiarelfiltrohagaclicenS.

Lasiguientepantallamuestralaoperacin,realizadaconayudadelaconsoladeadministracindedirectivas.

AsociacindelfiltroOSWin2000STDandASaladirectivaParmetrosDNSglobales

- 38 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Tambin puede colocarse sobre el nodo Filtros WMI y seleccionar directamente el objeto filtro WMI que le
intereseparacontrolarlosvnculosalosqueestunido,losderechosrelativosaladelegacindecontrolenlos
filtrosWMIyelcontenidodelcdigodelfiltro.
TambinpuedevincularunfiltroWMIaunobjetodedirectivadegrupoaplicandoelsiguientemtodo:enelrbol
delaconsola,hagaclicydesplaceelfiltroWMIhastaelobjetodedirectivadegrupoalquedeseavincularlo.Para
vincularunfiltroWMIaunobjetodedirectivadegrupo,debedisponerdelospermisosdemodificacinsobrelos
objetosdirectivadegrupo.SlopuedevincularseunfiltroWMIporobjetodedirectivadegrupo.Siintentavincular
un filtro WMI a un objeto de directiva de grupo al que ya se ha vinculado un filtro WMI, el sistema le pedir si
desea reemplazar el antiguo filtro por el nuevo. Slo puede vincular un filtro WMI por el objeto de directiva de
grupodelmismodominio.
ParaeliminarunfiltroWMI,enelrboldelaconsola,hagaclicconelbotnderechosobreelfiltroWMIyhagaclic
en Eliminar. Haga clic en el botn S del cuadro de dilogo en el que se le pregunta si desea confirmar la
eliminacin.

LosordenadoresclientesconWindows2000ignoranlosfiltrosWMIycontinanaplicandolasdirectivasde
grupoenfuncindelmbitodeadministracinydelfiltradodeseguridad.Adems,paradarsoportealos
filtrosWMI,losordenadoresclientesconWindowsXPProfessionaldebenhaberinstaladoelSP2.

Los filtros WMI estn disponibles slo en los dominios que poseen al menos un controlador de dominio
WindowsServer2003.Encasodequeestonofueraas,laconsoladeadministracindedirectivasdegrupo
GPMCnomostrarlasopcionesWMI.
AcontinuacinencontraralgunosejemplosdecomandosWMI.

FiltradoWMIenlaversindelsistemaoperativoRoot\CimV2Select*fromWin32_OperatingSystemwhere
Caption=MicrosoftWindows2000AdvancedServerORCaption=MicrosoftWindows2000Server
FiltradoWMIenlaversindeuntipofijoQFERoot\cimv2select*fromWin32_QuickFixEngineeringwhere
HotFixID=q147222
Filtrado WMI en un parmetro de configuracin de red (Multicast) Select * from Win32_NetworkProtocol
whereSupportsMulticasting=true
Filtrado WMI en la plantilla del ordenador Root\CimV2 Select * from Win32_ComputerSystem where
manufacturer="Toshiba"andModel=Tecra8000"ORModel=Tecra8100"

ParaobtenermsinformacinsobrelainterfazWMI,puederemitirsealassiguientesdirecciones:

WindowsServer2003ManagementServices:
http://www.microsoft.com/windowsserver2003/technologies/management/default.mspx

MicrosoftManagementWebsite:http://www.microsoft.com/management
Windows Management Instrumentation Web
url=/library/enus/dnanchor/html/anch_wmi.asp

site:

http://msdn.microsoft.com/library/default.asp?

MicrosoftTechnetScriptCenter:http://www.microsoft.com/technet/scriptcenter
Remtasealdirectoriodeprogramadelaconsoladeadministracindedirectivasdegrupo(GPMC),esdecir,
al directorio %programfiles%\gpmc\scripts. Este directorio contiene numerosos comandos WMI para
automatizarciertasoperacionesrelativasalasdirectivasdegrupo.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 39 -

Configuracin de los parmetros de actualizacin de las directivas de


grupo
1.Restauracindelasdirectivasdegrupo
a.Restauracindedirectivasensegundoplano
Adems del procesamiento realizado durante la fase de inicio del equipo y de inicio de sesin del usuario, las
directivasdegruposeaplicanensegundoplanodeformaperidica.
Losdiferentescomponentesdelasextensionesvuelvenaaplicarlosparmetrosslocuandoesnecesario,obien
cuandoladirectivaobligaavolveraaplicarlossistemticamente,quizpormotivosdeseguridadodeestadodela
configuracin.
Los componentes clientes especializados en la instalacin del software o redireccionamiento de carpetas slo
vuelvenaaplicarlosparmetrosaliniciarelequipoylasesindelosusuarios.

b.Cicloderestauracin
Por defecto, la directivas de grupo se comprueban cada 90 minutos, a los que se aade un valor aleatorio
comprendidoentre0y30minutos.Finalmente,eltiempomximoderestauracinpuedealcanzarlos120minutos.
Ms adelante veremos que es posible controlar cada CSE Client Side Extensions, de forma que algunas
extensiones,comoporejemplolosparmetrosdeseguridaddeInternetExplorerseapliquensiempreaunquelas
directivasnosemodifiquen.
Este modo de funcionamiento permite garantizar el estado y la conformidad de la configuracin de la
mquina.

c.Restauracinapeticin
Es posible evitar el reinicio del equipo y de la sesin usando el comando Gpupdate. Observe que los usuarios
disponendeestaposibilidadpordefecto,queevidentemente,noespeligrosa,peropuedegenerarunflujodered
considerable.
ElcomandoGpupdate.exeseiniciaenlapartecliente.Nosepuedeiniciardeformaremotalarestauracin
delasdirectivasdegrupofuncionandoenmodonotifydesdeelservidorhastaelcliente.

2.Configuracindelafrecuenciaderestauracindelasdirectivasdegrupo
Puedepersonalizarlafrecuenciadeactualizacindelasdirectivasdegrupodetipousuarioyequipoenfuncinde
susnecesidades.Paraefectuarestaoperacin,procedacomoespecificamosacontinuacin:

Seleccione y abra el objeto de directiva de grupo apropiado. Colquese en la parteConfiguracin de usuarioo


Configuracindeequipoenfuncindesusnecesidades,ydespusenPlantillasadministrativas/Sistema.Haga
clicenDirectivadegrupo,ydobleclicenunodelossiguientesparmetros:
Intervalo de actualizacin de la directiva de grupo para usuarios(el valor por defecto es 90 minutos, ms un
valorcomprendidoentre0y30minutos).
Intervalo de actualizacin de la directiva de grupo para equipos (el valor por defecto es 90 minutos, ms un
valorcomprendidoentre0y30minutos).
Intervalodeactualizacindeladirectivadegrupoparaloscontroladoresdedominio(elvalorpordefectoesde
5minutos).

SeleccioneHabilitada.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Definaelintervalodeactualizacinenminutos.

Defina el intervalo aleatorio y haga clic en Aceptar. Si ha desactivado la configuracin, la directiva de grupo se
actualiza de forma predeterminada cada 90 minutos. Para especificar que la directiva de grupo no debe
actualizarse nunca cuando se est utilizando el equipo, seleccione la opcin Deshabilitar la actualizacin en
segundoplanodelasdirectivasdegrupo.

Siselecciona0minutos,elequipointentaactualizarladirectivadeusuarioscada7segundos.Estemodode
pruebaodedemostracinnodebeusarsesobrecentenaresdemquinas.

3.RestauracinconGpupdate.exe
Elcomando Gpupdate.exepermitellamaralprocesodedescubrimientoyactualizacindedirectivasdegrupopara
actualizarlainformacinenvigor.
Dicho comando est presente en Windows XP Professional y Windows Server 2003, pero no en sistemas con
Windows2000.AmododeinformacindiremosquelasmquinasconWindows2000usanelcomandoSecedit.exe,
queasumelasmismasfuncionalidadesderestauracin.
MsabajodamosunejemplodesintaxisdelcomandoSecedit.Porejemplo,paraforzaralosusuariosyequiposa
reaplicarsuconfiguracindeformainmediata,puedeusarlossiguientescomandos:

Paralapartedeequipo,utilice:Secedit /RefreshPolicy MACHINE_POLICY /Enforce

Paralapartedeusuario,utilice:Secedit /RefreshPolicy USER_POLICY /Enforce

ElhechodequeelcomandoSeceditsehayareemplazadoporelcomandoGpupdatenosignificaqueSecedit
haya
desaparecido.
La
configuracin
de
Secedit
[/configure, /analyze, /import, /export, /validate, /generaterollback] sigue estando disponible. Slo se ha
eliminado/RefreshPolicyquehasidodesplazadoporelcomandoGpupdate.exe.

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

En lo que se refiere a los equipos con Windows Server 2003 o Windows XP Professional, la sintaxis del comando
Gpupdateeslasiguiente.
gpupdate [/target:{ordenador|usuario}] [/force]
[/wait:valor] [/logoff] [/boot]

4. Procesamiento de los componentes de las directivas de grupo en los vnculos de


bajavelocidad
Cuando el componente GPE (Group Policy Engine), detecta un vnculo de baja velocidad dispone un parmetro para
preveniralosdiferentescomponentesdeextensincliente(CSEClientSideExtensions)dequedeberarealizarse
unprocesamientodedirectivadegrupoenunvnculodetipolento.
Losvalorespredeterminadosdelosdiferentescomponentessecomportanpordefectodelasiguienteforma:

Se aplica la configuracin de seguridad: por razones de seguridad no es posible puntualizar que los
parmetros de seguridad no se apliquen so pretexto que el rendimiento de la red en un momento
determinadoeslento.
Plantillasadministrativas:porrazonesnecesariasparaelbuenfuncionamientodelasdirectivasdegrupo,las
plantillasadministrativasnosepuedendesactivar.
Instalacin y mantenimiento del software: cuando se considera que la red es lenta, se desactivan los
componentesdeinstalacinymantenimientodelsoftware.Deestaformalarednosesobrecargadebidoa
untrficodemasiadovoluminoso.

Sedeshabilitalaejecucindescripts.

Sedeshabilitaelredireccionamientodecarpetas.

a.Procesamientodelaconfiguracindedirectivasdegruponomodificadas
Pordefecto,lasextensionesespecializadasdelladocliente(conexcepcindelaextensinServiciodeinstalacin
remota),aplicanslolaconfiguracindedirectivadegrupomodificadadesdelaltimaaplicacindeladirectivade
grupo.Porconsiguiente,elprocesamientoestmuyoptimizadoyengeneralnosernecesariomodificarlaforma
enquelasdirectivasdegruposeevalanyaplican.
Sinembargo,esposibleque,pormotivosdeseguridad,deseegarantizarlaaplicacincorrectadelosparmetros
especificadosenlasdirectivasdegrupo.
Quocurreconlamodificacindelaconfiguracinlocal?
Encasodequeunparmetrocontroladoporunadirectivadegruposemodificaraenliveduranteunasesinyla
directivadegruponofueramodificada,entoncesseconservaralamodificacinhechaporelusuario.
Paraayudararesolverestefenmeno,existelaposibilidaddeconfigurarcadaextensinclienteconelfindetratar
la aplicacin sistemtica de todos los parmetros contenidos en la directiva, hayan sido modificados o no. La
configuracin puede llevarse a cabo con ayuda de los parmetros de las directivas de grupo incluidos en las
plantillasadministrativas.

b.Activacindeladeteccindevnculoslentos
La deteccin de vnculos de baja velocidad puede activarse de forma muy sencilla accediendo a la ventana de
configuracin en la siguiente ubicacin: Configuracin del equipo/Plantillas administrativas\Sistema\Directiva
degrupo/Deteccindevnculodebajavelocidaddeladirectivadegrupo.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Activacindeladeteccindevnculosdebajavelocidad
Alactivarestafuncinseseleccionaautomticamenteelvalorde500Kbp/s.

c.Forzadodelaaplicacindelaconfiguracindeladirectivainclusocuandostanohacambiado
LasiguientefiguramuestralaactivacindelaopcinProcesarinclusosilosobjetosdedirectivadegruponohan
cambiadoenlaextensinCSEespecializadaenprocesarelmantenimientodeInternetExplorer.

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Observequelalistadeextensionesdeclientepuedecontrolarseconayudadelasplantillasadministrativas.
HabrconstatadolaopcinNoaplicarduranteelprocesamientoperidicoensegundoplano.Estaopcinimpide
que el sistema actualice las directivas en segundo plano cuando se est usando el equipo. No se recomienda
efectuaractualizacionesensegundoplanocuandoelusuarioesttrabajando.Esposiblequeellopuedaperturbar
alusuario,provocarladetencindeunprogramaoincluso,enrarasocasiones,daarlosdatos.
Loscomponentescuyoprocesamientopuedecontrolarsecuandolainformacinnohacambiandoson:

ladirectivadeprocesamientodelregistro

ladirectivademantenimientodeInternetExplorer

ladirectivadeinstalacindelsoftware

ladirectivaderedireccionamientodecarpetas

ladirectivadescripts

ladirectivadeseguridad

ladirectivadeseguridadIP

ladirectivaWiFi

ladirectivaderecuperacinEFS

ladirectivadecuotasdediscos.

5.Prohibicindelarestauracinparausuarios

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

Por defecto, los usuarios tienen la posibilidad de iniciar el comandoGpupdate. De esta forma, pueden restaurar la
informacindeconfiguracinobtenidaconayudadelasdirectivasdegruposinreiniciarcompletamenteelequipo.
El parmetro Quitar la capacidad de usuario para invocar la actualizacin de directivas de equipo situado en
Configuracin del equipo/Plantillas administrativas/Sistema/Directiva de grupo, permite controlar la posibilidad
delusuarioparainvocarunaactualizacindeladirectivadegrupo.
Si activa este parmetro, los usuarios no podrn invocar actualizaciones de directivas de equipo. La directiva de
equiposeguiraplicndosealiniciarocuandoseproduzcaalgunaactualizacinoficialdeladirectiva.Sidesactivao
noaplicaelparmetroseaplicarelcomportamientopredeterminado.
La directiva de equipo se aplica por defecto al iniciar el equipo. Se aplica tambin a un intervalo de actualizacin
especificadoocuandoelusuariolainvocamanualmente.
El parmetro no se aplica a los administradores, que pueden solicitar una actualizacin de la directiva de
equipo en cualquier momento, sea cual sea la configuracin de la directiva. El parmetro requiere que se
reinicieelordenador.

6.Procesamientoporbucleinvertido(Loopback)
Elprocesamientoporbucleinvertidoesunafuncinespecialdestinadaaequiposcomopuedeserequiposdelibre
servicio ubicados en lugares pblicos como aeropuertos o estaciones. Por defecto, las directivas de grupo de un
usuariodeterminanlosparmetrosaaplicarcuandoelusuarioiniciaunasesinencualquierequipodelared.
En el caso de los equipos de libre servicio, no se trata del ordenador habitual del usuario y, por lo tanto, no es
deseablequeelentornodeproduccindelusuariosedesplieguedeesaforma.
Paralograrlo,deberconfigurarelmododeProcesamientodebucleinvertidoeninglsLoopbackProcessingModeen
losequiposdelibreservicio.Paraellopodrcrearunadirectivadegrupoquepermitirdeterminarlapartedeusuario
delentornodelusuariodeunaformaparticular.Eseimportanteparmetrodeconfiguracinestsituadoenlaparte
de equipo: Configuracin del equipo/Plantillas administrativas/Sistema/Directiva de grupo/Modo de
procesamientodebucleinvertidodeladirectivadegrupo.
Como puede constatar, se trata de un parmetro de tipo equipo. Por consiguiente, el modo de funcionamiento se
aplicaratodoslosusuariosqueiniciensesionesenelequipoalqueseapliqueelmododefuncionamiento.

Declaracindelprocesamientodebucleinvertido

- 6-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Elprocesamientoporbucleinvertidopuedeejecutarseendosmodosdiferentes:

Modosustituir:modoquereemplazalosparmetrosdeusuariodefinidosenlosobjetosdeDirectivadegrupo
delusuarioporlosparmetrosdeusuariocontenidosenladirectivaaplicadaalequipo.
Modocombinar:modoquecombinalosparmetrosdeusuariodefinidosenlosobjetosdedirectivadegrupo
del equipo con los parmetros de usuario aplicados habitualmente al usuario. En caso de que existan
parmetros en conflicto, los parmetros de usuario de los objetos de directiva de grupo del equipo tienen
evidentementepreferenciasobrelosparmetroshabitualesdelusuario.

Como puede constatar, los parmetros de usuario de la directiva de grupo correspondiente al equipo se
aplicanreemplazandoocombinandoloshabitualesparmetrosdeusuariodeladirectivarelativaalusuario.
Deestaforma,lamquinatienepreferenciasobreelusuario.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 7-

AdministracindelasdirectivasdegrupoconlaconsolaGPMC
1.Operacindecopiadeseguridadyrestauracindelasdirectivasdegrupo
Hastalaaparicindelaconsoladeadministracindedirectivasdegrupo,lacopiadeseguridaddelasdirectivasera
unaoperacinreservadaalasherramientasdecopiadeseguridadyrestauracinActiveDirectory.
Ahora puede usar la consola de administracin de directivas de grupo para hacer copias de seguridad de las
directivasdegrupo,yaseubiquenstasendominios2000oendominiosWindowsServer2003.Paraefectuaresta
operacinprocedadelasiguientemanera:

AbraAdministracindedirectivasdegrupo.
EnelrboldelaconsolahagadobleclicenlaopcinObjetosdedirectivasdegruposituadadentrodelbosquey
eldominioquecontienelasdirectivasdegrupoquedeseaguardar.
Paraguardarunsoloobjetodedirectivadegrupo,hagaclicconelbotnderechosobrelydespushagaclicen
Hacer copia de seguridad. Para hacer una copia de seguridad de todos los objetos de directiva de grupo del
dominio, haga clic con el botn derecho en Objetos de directiva de grupo, y haga clic en Hacer copia de
seguridaddetodos.
EnlazonaUbicacindelcuadrodedilogoCopiadeseguridaddeobjetodirectivadegrupo,introduzcalaruta
deaccesoalaubicacinenlaquedeseaalmacenarlascopiasdeseguridadyhagaclicenAceptar.
En la zonaDescripcin,introduzcaunadescripcindelosobjetosdedirectivadegrupodelosquedeseehacer
unacopiadeseguridadyhagaclicenHacercopiadeseguridad.Sihacecopiadeseguridaddevariosobjetosde
directivadegrupo,ladescripcinseaplicaratodoslosobjetosdeloscualessehagaunacopiadeseguridad.
Unavezterminadalaoperacin,hagaclicenAceptar.

Los objetos directiva de grupo contienen muchos parmetros de configuracin. Por lo tanto, es importante
pensarenprotegerlasdirectivasdegrupodelasquesehahechocopiadeseguridad.Asegresedeque
slolosadministradoresautorizadostienenaccesoalacarpetaalaqueseexportaelobjetodirectivadegrupo.

Para ejecutar este procedimiento deber disponer de los permisos de lectura para el objeto directiva de
grupoydelospermisosdeescrituraparalacarpetaquecontienelacopiadeseguridaddelobjetodirectiva
degrupo.

Paraejecutarunacopiadeseguridaddelasdirectivasdegrupoenlalneadecomandos,useunodelosscripts
incluidoseneldirectorio%Programfiles%\gpmc\Scripts.Colqueseeneldirectorioquecontienelosscriptsyuseel
siguientecomando:BackupAllGPOs C:\Backup-AllGPOs /comment:"ALL GPOs"

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

CopiadeseguridaddedirectivasdegrupoatravsdelscriptBackupAllGPOs.wsf
Larestauracindelosobjetosdedirectivadegrupoestansencillacomolasoperacionesdecopiadeseguridad.

HagaclicconelbotnderechoenObjetosdedirectivadegrupo,yseleccioneAdministrarcopiasdeseguridad.
EnlazonaUbicacindelacopiadeseguridaddelcuadrodedilogoAdministrarcopiasdeseguridad,introduzca
larutadeaccesoalacarpetadelacopiadeseguridad.ParaaccederaellatambinpuedehacerclicenExaminar.

Puede disponer de mltiples directorios de copia de seguridad. Cada directorio contiene un archivo llamado
Manifest.xmlquecontieneunadescripcindeloselementosdelosquesehahechounacopiadeseguridad.

EnlazonaObjetosGPOconcopiadeseguridad,seleccioneelobjetodedirectivadegrupoquedesearestaurar
enlalistadecopiasdeseguridaddeobjetosdedirectivadegrupoquesemuestra,yluegohagaclicenRestaurar.
CuandoselepreguntesidesearestaurarlacopiadeseguridadseleccionadahagaclicenAceptar.

Parapoderrestaurarunobjetodedirectivadegrupoexistente,deberdisponerdelospermisosmodificarla
configuracin,eliminarymodificarlaseguridadparaelobjetodedirectivadegrupoylospermisosdelectura
paralacarpetaquecontienelacopiadeseguridaddelobjetodirectivadegrupo.

Para restaurar un objeto de directiva de grupo eliminado, deber disfrutar de los privilegios que permiten
crearobjetosdedirectivadegrupoeneldominioydelospermisosdelecturaenlaubicacindelsistemade
archivosdelobjetodedirectivadegrupoconcopiadeseguridad.

Tambin puede restaurar los objetos de directiva de grupo existentes o eliminados mediante la funcin
Administrar las copias de seguridad, haciendo clic con el botn derecho en Dominios o en Objetos de
directivadegrupo.
Atencin:losscriptsincluidosinicialmenteconlaGPMCSP1(previstaparaWindowsXPSP2oWindowsServer2003)
noseincluyenenlosservidoresWindowsServer2008.Sinembargo,sepuedendescargarenlasiguientedireccin:
http://go.microsoft.com/fwlink/?LinkId=106342

2.Operacindecopiadedirectivasdegrupo
Lasoperacionesdecopiapermitentransferirlosparmetrosdeunobjetodedirectivadegrupoexistenteaunnuevo
objetodedirectivadegrupo.
PorquusarlafuncincopiadelaGPMC?

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Lasoperacionesdecopiaseadaptanaldesplazamientodeunadirectivadegrupoentreentornosdeproduccin,as
como entre un dominio de pruebas y un entorno de produccin. Para efectuar dichas operaciones es preciso que
existaunarelacindeconfianzaentrelosdominiosfuenteydestino.
El nuevo objeto de directiva de grupo creado durante la operacin de copia se le atribuye un nuevo identificador
globalnico(GUID,GloballyUniqueIdentifier)yseeliminansusposiblesvnculos.
Puede usar las operaciones de copia para transferir los parmetros a un nuevo objeto de directiva de grupo
pertenecientealmismodominio,aotrodominiooaundominiodeotrobosque.
LasoperacionesdecopiausancomofuenteobjetosdedirectivadegrupoexistentesenActiveDirectory.Porlotanto,
seprecisaunaconfianzaentrelosdominiosfuenteydestino.
La copia es similar a la copia de seguridad seguida de una importacin, pero no comporta etapas intermedias de
sistemadearchivos.Enlaoperacindecopiasecreaunnuevoobjetodedirectivadegrupo.

3.Operacindeimportacindelaconfiguracin
La operacin de importacin transfiere los parmetros de un objeto de directiva de grupo existente usando como
fuenteunobjetodedirectivadegrupoconcopiadeseguridadenelsistemadearchivos.

a.PorquusarlafuncionalidaddeimportacindelaGPMC?
Las operaciones de importacin pueden usarse para transferir parmetros de un objeto de directiva de grupo a
otrosituadoenelmismodominio,enotrodominiodelmismobosqueoenundominiodeotrobosque.
Laoperacindeimportacincolocasiemprelosparmetrosconcopiadeseguridadenunobjetodirectivadegrupo
existente.
Presteatencinalhechodequeestaoperacinborralosparmetrosqueexistanenelobjetodedirectiva
degrupodedestino.

Sidisponedebosquedepruebaydeproduccinseparados,conosinconfianza,seaconsejaprobarlos
objetosdedirectivadegrupoenelbosquedepruebaantesdeimportarlosalbosquedeproduccin.
Laimportacinnorequieredeningunarelacindeconfianzaentreeldominiofuenteyeldominiodedestino.
Porlotanto,laoperacinpuederesultartilparatransferirparmetrosentrebosquesydominiossinrelacinde
confianza.
La importacin de parmetros en un objeto de directiva de grupo no afecta a la lista de control de acceso
discrecional(DACL, DiscretionaryAccessControlList),nialosvnculosconeseobjetodedirectivadegrupoenlos
sitios,dominiosounidadesorganizativas,nialvnculoconfiltrosWMI.

b.Usodeunatabladecorrespondenciasentrelosobjetosdediferentesdominiosobosques
Siusalaoperacindeimportacinparatransferirlosparmetrosdeunobjetodedirectivadegrupoaunobjetode
directivadegrupoenotrodominiooenotrobosquepuedeusarunatablademigracinjuntoconlaoperacinde
importacin. Las tablas de migracin facilitan la transferencia de referencias a grupos de seguridad, usuarios,
equipos y rutas de acceso UNC del objeto de directiva de grupo fuente hacia los nuevos valores del objeto de
directivadegrupodedestino.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Comprobacin y resolucin de problemas relativos a las directivas de


grupoconRsoP
Esposiblesimulareldesplieguededirectivasdegrupoparalosusuariosyequiposantesdedesplegarlasrealmente
enelentornodeproduccin.
Esta funcionalidad de la consola Administracin de directivas de grupo se conoce como Conjunto de directivas
resultante(RSoP,ResultantSetofPolicies)enmododeplanificacin.
RequierealmenosdeuncontroladordedominioqueejecuteWindowsServer 2003oWindowsServer2008
enelbosque.
ParacomprobarlosparmetrosdedirectivadegrupomedianteelAsistenteparaModelacindedirectivasdegrupo,
debercrearprimerounaconsultademodelacindedirectivadegrupoymostrarla.Paracrearunanuevaconsultade
modelacindedirectivadegrupo,procedadelamanerasiguiente:

AbralaconsolaAdministracindedirectivasdegrupo,naveguehastaelbosqueenelquedeseacrearlaconsulta
de modelacin de directiva de grupo, haga clic con el botn derecho en Modelacin de directivas de grupo, y
despusenelAsistenteparaModelacindedirectivasdegrupo.
En la pginaAsistente para Modelacin de directivas de grupo,hagaclicenSiguiente,introduzcalainformacin
requeridaenlaspginasdelasistenteyhagaclicenFinalizar.

Paramostrarlaconsultademodelacindedirectivadegrupo,procedadelasiguientemanera:

AbralaconsolaAdministracindedirectivasdegrupo.
Navegue hasta el bosque que contiene la consulta de modelacin de directiva de grupo, abra Modelacin de
directivasdegrupo,hagaclicconelbotnderechoenlaconsultayhagaclicenVistaavanzada.

Yasloquedacomprobarquelosresultadospresentadosenelinformegeneradoalfinalizarlasimulacinseacercana
losesperados.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Delegacindelcontroladministrativodedirectivasdegrupo
La consola de administracin de directivas de grupo permite administrar las operaciones de delegacin con suma
facilidad.Deestaformasermuysencillorealizarlassiguientesoperaciones:

crearobjetosdedirectivasdegrupoenundominio,

definirpermisosparaunobjetodedirectivadegrupo,

definirlospermisosdedirectivaparaunsitio,dominioounidadorganizativa,

vincularobjetosdedirectivadegrupoaunsitio,dominioounidadorganizativadeterminados,

efectuaranlisisdemodelacindedirectivasdegrupoenundominiooenunaunidadorganizativa,peronoen
unsitio.
leer los datos de los resultados de la directiva de grupo para los objetos de un dominio o de una unidad
organizativadeterminados,peronodeunsitio.

crearfiltrosWMIenundominio,

definirlospermisosparaunfiltroWMI.

LapestaaDelegacinestdisponibleentodosloscontenedoresqueaparecenenlaconsoladeadministracinde
directivasdegrupo
Laconsoladeadministracindedirectivasdegruposimplificamucholadelegacinadministrandolasdiversasentradas
de control de acceso (ACE, Access Control Entry) necesarias para una tarea como nico grupo de permisos para la
misma. No obstante, como ya hemos visto en el filtrado de las directivas de grupo mediante los permisos Leer y
Aplicar directivas de grupo, sigue siendo posible acceder a los detalles de la lista de control de acceso usando el
botnAvanzadodelapestaaDelegacin.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

1.ConcederunadelegacinatravsdelgrupoPropietariosdelcreadordedirectivas
degrupo
Elprocedimientodescritoacontinuacinpermitedelegarobjetosdedirectivadegrupo.Procedapasoapaso:

AbraAdministracindedirectivasdegrupo.
Enelrboldelaconsola,hagaclicenlosObjetosdedirectivadegrupoparalosquedeseadelegarlosderechos
decreacindeobjetosdedirectivadegrupo.ParaellocolqueseenNombredelbosque/Dominios//Nombredel
dominio/Objetosdedirectivadegrupo.
Enlaventanaderesultados,hagaclicenlapestaaDelegacin.
ParaagregarunnuevogrupoousuarioconayudadelgrupoPropietariosdelcreadordedirectivasdegrupo:enla
zonadelistaGruposyusuarios,hagadobleclicenPropietariosdelcreadordedirectivasdegrupo.
ObservequeelgrupoPropiedadesdelcreadordedirectivasdegrupotienetodoslospoderessobrelosobjetos
dedirectivasdegrupo.

EnelcuadrodedilogoPropiedadesdePropietariosdelcreadordedirectivasdegrupo,seleccionelapestaa
MiembrosyhagaclicenAgregar.
Enelcuadrodedilogo,seleccioneUsuario, Equipo o Grupo,hagaclicenTiposdeobjeto,seleccioneeltipode
objetoparaelquedeseadelegarlosderechosdecreacinyhagaclicenAceptar.
HagaclicenUbicaciones,seleccioneTodoeldirectorio,obieneldominioolaunidadorganizativaquecontieneel
objetoparaelquedeseadelegarlosderechosdecreacinyhagaclicenAceptar.
EnlazonaEscribalosnombresdeobjetoquedeseaseleccionar,introduzcaelnombredelobjetoalquedesea
delegarlosderechosdecreacin.

Los miembros de este grupo pueden modificar la directiva de grupo del dominio. Por defecto, la cuenta
Administrador forma parte de ese grupo. Dado que el grupo dispone de un poder amplio en el dominio es
aconsejableserprecavidoalahoradeagregarusuarios.

Para llevar a cabo este procedimiento deber ser miembro del grupo Administradores del dominio o
Administradoresdeorganizacin.

Tambinpuedeeliminarungrupoousuariodelalistadepermisoshaciendoclicconelbotnderechoensu
nombre,dentrodelazonadelistaGruposyusuariosenlapestaaDelegacin,yhaciendoclicenQuitar.

Si desea delegar permisos a grupos y usuarios del mismo dominio que el de los objetos de directiva de
grupo,serecomiendaagregarlosalgrupoPropietariosdelcreadordedirectivasdegrupo,enlamedidaen
quesetratadeunmtododeorigenyadisponibleconWindows 2000.Noobstante,observequenoesposible
agregargruposousuariosdeotrodominioalgrupoPropietariosdelcreadordedirectivasdegrupo.

Para delegar permisos de creacin de objetos de directiva de grupo a grupos o usuarios de otro dominio,
debe conceder de forma explcita permisos de creacin de objetos de directiva de grupo a ese grupo (sin
usarelgrupoPropietariosdelcreadordedirectivasdegrupo).Tambinpuedecrearungrupolocaldeldominioen
el dominio en el que desea delegar el permiso de creacin de objetos de directiva de grupo y conceder a dicho
grupoelpermisoparacrearlos.Despus,agreguemiembrosalgrupolocaldeldominioapartirdeotrosdominios
deacuerdoconsusnecesidades.

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

2.ConcederunadelegacinconayudadelaconsoladeadministracinGPMC
LaconsoladeadministracindedirectivasdegrupoGPMCpermiteagregaryeliminargrupos,usuariosyequipospara
usarloscomofiltrodeseguridadparacadaobjetodedirectivadegrupo.
Por otro lado, las entidades de seguridad usadas para el filtrado de seguridad tambin aparecen en la pestaa
DelegacindelosobjetosdedirectivadegrupoconelpermisodeLecturayaquedisponendeunaccesodemodo
lectura.

a.Concederladelegacindelosvnculosdelasdirectivasdegrupo
Paradelegarlospermisosdedirectivaparaundominio,unidadorganizativaoinclusounsitioquepermitavincular
objetosdedirectivadegrupo,procedacomoseindicaacontinuacin:

AbralaconsolaAdministracindedirectivasdegrupo.
Paradelegarunpermisoquepermitavincularobjetosdedirectivadegrupoaundominioounidadorganizativa,
hagacliceneldominiooenlaunidadorganizativa.
Enlaventanaderesultados,hagaclicenlapestaaDelegacin.
Enlazonadelistadesplegable Permiso,seleccione Vincular los objetos GPO,yespecifiquelospermisosque
permiten vincular los objetos de directiva de grupo para un grupo o usuario: para agregar un nuevo grupo o
usuarioalalistadepermisosdedominiosounidadesorganizativas,hagaclicenelbotnAgregardelapestaa
Delegacin.

Paradelegarlospermisosquepermitenvincularobjetosdedirectivadegrupoaunsitio,dominioounidad
organizativa, deber disponer del permiso Modificar los permisos para este sitio, dominio o unidad
organizativa.Pordefecto,slolosadministradoresdedominiosylosadministradoresdeorganizacindisfrutan
deestepermiso.

Losusuariosygruposconpermisoparavincularobjetosdedirectivadegrupoaunsitio,dominioounidad
organizativaespecficospuedenvincularobjetosdedirectivadegrupo,modificarelordendelosvnculosy
definirelbloqueodelaherenciadelsitio,dominioounidadorganizativa.

Noesposibleeliminargruposousuariosqueheredenlospermisosdeuncontenedorpadre.

Algunas entradas de la zona de listaGrupos y usuarios, comoSistema, no tienen cuadro de dilogo de


propiedadesasociado,porlotantoPropiedadesnoestdisponibleparadichasentradas.

b.Concederunpermisodemodelacindedirectivasdegrupo
Paradelegarlospermisosdemodelacindedirectiva,procedacomoindicamosacontinuacin:

AbralaconsolaAdministracindedirectivasdegrupo.
En el rbol de la consola, haga clic en el dominio o en la unidad organizativa en el que desea delegar los
permisosdemodelacindedirectivadegrupo.
Enlaventanaderesultados,hagaclicenlapestaaDelegacin.
EnlazonaPermisos,seleccioneIniciaranlisisdemodelacindedirectivasdegrupoparaagregarunnuevo
grupoousuarioalalistadepermisos,hagaclicenelbotnAgregardelapestaaDelegacin.

Para delegar los permisos que permiten efectuar anlisis de modelacin de directivas de grupo para los
objetosdeundominioodeunaunidadorganizativa,debedisponerdelpermisoModificarlospermisospara
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

esedominioounidadorganizativa.

Por defecto, slo los administradores del dominio y los administradores de organizacin gozan de dicho
permiso.

Nopuededelegarelpermisoparaefectuaranlisisdemodelacindedirectivasdegrupoenlossitios.

Enlasanterioresversionesdeladirectivadegrupo,elanlisisdemodelacindedirectivasdegrupoera
llamadoenmodoplanificacinRSoP(Conjuntodedirectivasresultante).

c.ConcederunadelegacindecreacindefiltrosWMI
ParadelegarlacreacindefiltrosWMI,procedadelasiguientemanera:

AbralaconsolaAdministracindedirectivasdegrupo.
Enelrboldelaconsola,hagaclicFiltrosWMIsituadoenelbosqueyeldominioenlosquedeseadelegarlos
permisosdeadministracinparatodoslosfiltrosWMI.
EnlaventanaderesultadoshagaclicsobrelapestaaDelegacinparaqueunnuevogrupoousuariodisponga
depermisosparalaadministracindetodoslosfiltrosWMI,hagaclicenAgregar.

ParadelegarlospermisossobretodoslosfiltrosWMIdeundominiodeberseradministradordeldominioo
administradordeorganizacin.

LosusuariosquedisponendepermisosControltotalpuedencrearycontrolartodoslosfiltrosWMIdeun
dominio, incluidos los filtros WMI creados por otros usuarios. Los usuarios que disponen de permisos
CreadorpropietariopuedencrearfiltrosWMI,peroslopuedencontrolarlosfiltroscreadosporellosmismos.

SieliminaPropietariosdelcreadordedirectivasdegrupodelalistadepermisos,losusuariosquecreen
objetosdedirectivadegrupoyanopodrncrearfiltrosWMIexceptosiselesconcedeelpermisodeforma
explcitaatravsdesupertenenciaaotrogrupo.

Todos los usuarios deben tener acceso en lectura a todos los filtros WMI. De lo contrario, la directiva de
grupointerrumpeelprocesamientocuandoencuentraunfiltroWMIquenopuedeleer.Noesposibleusar
laadministracindedirectivasdegrupoparaeliminarlospermisosdelecturadelosfiltrosWMI.

Filtros WMI est disponible slo si al menos un controlador de dominio ejecuta Windows Server 2003 o
Windows Server 2008. Lo mismo ocurre con Filtrado WMI en la pestaa mbito para los objetos de
directivadegrupo.

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Recomendacionesparaladefinicindeunadirectivadegrupoparala
empresa
LaplanificacindeunainfraestructuraActiveDirectoryrequierelacreacindeunplanquetengaencuentalasbuenas
prcticasparalaempresaenrelacinalostemaspresentadosacontinuacin:

herenciadelasdirectivasdegrupo,
administracin y despliegue lo mejor adaptados posible con respecto a la administracin de directivas de
grupo.

Hagaloqueestensumanoparaquelatecnologaseaunlogroynounimpedimento.Paraconseguirlo,reflexione
sobrelosmodosenquesepuedenimplementarlasdirectivasdegrupodentrodelaempresa.
Al final, no debe olvidar pensar en la delegacin de permisos a partir de un clculo que deber contemplar las
diferentestareasdeadministracin,laeleccindeunaplantillaadministrativaylafacilidaddeconcepcinypuestaen
marcha.
Lospuntospresentadosacontinuacinrepresentanlasreglasquedebernrespetarseenlamedidadeloposible:

Aplique los parmetros de directiva de grupo en el nivel ms alto para beneficiarse de los mecanismos de
herencia.
Determinelosparmetroscomunesdelosobjetosdedirectivadegrupoparaelmayorcontenedor,esdecir,el
objetodedominioActiveDirectory.
Vinculeladirectivadegrupoaldominio,
Disminuyaelnmerodedirectivasdegrupo.Reduzcaelnmerousandovariosenlacesenlugardecrearvarios
objetosdedirectivadegrupoidnticos.Intentevincularunobjetodedirectivadegrupoalmayorcontenedor
posibleparaevitarcrearvariosvnculosdelmismoobjetoanivelesmsbajos.

Este mtodo reduce el nmero de directivas de grupo, pero tambin limita las posibilidades de delegar la
administracin.

Cree objetos de directiva de grupo especializados. Utilice las directivas de grupo para aplicar parmetros
nicosencasonecesario.
Losobjetosdedirectivadegrupoaunnivelsuperiornoaplicarnlosparmetrosdelosobjetosdedirectivade
grupoespecializados.
Desactivelosparmetrosdeconfiguracindelordenadorodelusuario.Cuandocreeunobjetodedirectivade
grupodestinadoacontenerlosparmetrosdeunodeesosdosniveles(usuariooequipo),desactivelaotra
zona.Estopermitemejorarelrendimientodeaplicacindelosobjetosdedirectivadegrupoalconectarseel
usuarioeimpidelaaplicacinaccidentaldelosparmetrosalaotrazona.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Introduccinalaadministracindelsoftware
1.IntelliMirrorylaadministracindelsoftware
La tecnologa de instalacin y de mantenimiento de los programas integrada en Windows 2000, Windows XP
Professional, Windows Vista y los sistemas de las familias Windows Server 2003 y 2008, permite que los
administradores puedan solucionar uno de los puntos ms problemticos de las infraestructuras Windows.
Efectivamente,laadministracindelosequiposnoselimitaahacerinventarioygestionarbienelsistemaoperativo.
Tambin,yquizsobretodo,hayquesercapazdegarantizarlosserviciosdeadministracindesoftwaredesuficiente
nivelconelfindequelosusuariosdispongandelosprogramasnecesariosparapoderdesarrollarcorrectamentesus
respectivasactividades.
Pero la gestin del problema sobrepasa de largo el mbito de la simple fase de despliegue. Esta tecnologa nos
ayudar a ocuparnos de las operaciones implicadas en el ciclo de vida del software. De esta forma, los usuarios
dispondrnsiempredel"mejorsoftware"paradesempearsutrabajo.
Evidentemente, las funcionalidades IntelliMirror de administracin del software se encuentran en el centro de los
servicios globales. Antes de iniciar el aprendizaje de la tecnologa de instalacin y administracin de software, los
puntos presentados a continuacin recuerdan las ventajas asociadas a la tecnologa IntelliMirror integrada en las
infraestructurasWindowsActiveDirectory.
IntelliMirrorseocupadelossiguientestresproblemasdeadministracin:
1. La administracin de los datos de usuario: esas funcionalidades permiten que los usuarios accedan a los datos
necesariosparasusactividades,estnconectadosonoalareddelaempresa.
2.Laadministracindelainstalacinyelmantenimientodelsoftware:losusuariosdisponendelosprogramasque
necesitan para realizar sus tareas cotidianas. Los programas pueden instalarse en el ltimo momento. Una vez
desplegadosconlatecnologaIntelliMirror,losprogramasdisponendefuncionesdeautoreparacin.Ademsdesdeel
momentoenquelosprogramasestnbajocontroldelasdirectivasdegrupodefinidaseneldirectorioActiveDirectory,
todaslasfuncionesdeadministracindelasactualizacionesascomodeeliminacinsonposibles.Deestaforma,el
costedeadministracindesoftwaresereducirconsiderablemente,haciendobajarelTCO TotalCostofOwnership
asociadoalainfraestructura.
ApropsitodelTCO
El TCO es igual a la suma de todos los costes asociados a los diferentes elementos que componen el sistema de
informacin en un periodo de tiempo determinado: coste de los servidores, estaciones de trabajo, accesorios,
contratosdemantenimientodemateriales,licenciasdelossistemasoperativosydelsoftware,mantenimientodelos
serviciosdeinfraestructuraylasestacionesdetrabajo,operacionesdeactualizacinmenores(pasodelosQFE(Quick
Fix Engineering) y SP (Service Pack) y evoluciones mayores como puede ser el despliegue o la actualizacin de una
aplicacin,costesdedesarrollodeaplicacionesespecficasamenudonecesarias,costesasociadosalaadministracin
delaseguridaddelpermetrodelared,delossistemasservidores,delosordenadoresclientesydelasaplicaciones
decarcterestratgico.
Loscostesmsimportantesnosonlosrelativosalacompraoadquisicindelicenciasnialosordenadoresclientes,
sinoaloscostesdedesplieguevinculadosconlaadministracindelossistemasylasaplicaciones.Endiezaoslos
preciosdelosordenadoressehandivididoporseis,peroaunquetambinesverdadque,porotrolado,unalicencia
de Windows XP es mucho ms cara que una licencia de Windows 3.x, lo cierto es que los servicios incluidos en los
sistemas modernos no tienen nada que ver con los de sus ilustres antepasados. Est claro que es en este eje de
funcionalidadesdondeseapoyanlosserviciosdedirectorioActiveDirectory,losserviciosdistribuidosylosserviciosde
seguridadasociadosparahacerdescenderampliamenteelTCOysubirelRCI,rendimientodecapitalinvertido.
Estudiosrealizadosporgrandessociedadeshanpuestodemanifiestoquelasempresasquehabaninvertidoenla
tecnologa Active Directory haban rentabilizado la inversin al ao siguiente y haban progresado en todos los
campos.
ParaobtenermsdetallessobrelosmtodosdeclculodelTCO,consultelawebdeMicrosoftybusqueREJ Rapid
EconomicJustification.
3. La administracin de la configuracin de usuario: la configuracin del usuario sigue a ste all donde vaya. Esta
funcinpermiteque,seacualseaelordenadorenelqueelusuarioabrelasesin,dispongadelosparmetrosde
entornomnimosparapoderejercersusactividadesigualqueloharaensuordenadorprincipal.
ChangeandConfigurationManagement=IntelliMirrormsWDS
DesdeelpuntodevistadelaestrategiadeMicrosoft,IntelliMirrorsloesunelementodelosserviciosdeGestinde
cambios y configuracin. En efecto, para que el ordenador pueda considerarse como un elemento desechablees
preciso tambin que sea fcilmente regenerable. Para ello, para llevar a cabo la instalacin, pueden usarse los
serviciosdedespliegueWindowsWDS(WindowsDeploymentServices),uotrosproductos.
Finalmente,lasustitucinoinstalacindeunnuevoordenadorpuedenrealizarseinstalandounaimagenpredefinida
adaptadaalusuarioprincipaldelordenador.Luego,latecnologaIntelliMirrorAD+GPO+WDSimplementaralvuelo
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

elentornodeproduccinoperativomsreciente.

2.Elciclodevidadelsoftware
El ciclo de vida del software describe los principios de las operaciones que los administradores asumirn durante el
tiempoenquelaaplicacinestdisponibleenlareddelaempresa.
Por lo tanto, los administradores responsables de las operaciones de asistencia y mantenimiento de los programas
debernadministrarelsoftwareenfuncindelmodelodeciclodevidaquevamosapresentar.
Laideaesidentificarlosgrandesmomentosquelosadministradoresdebenasumirparagestionarlaevaluacin,la
viabilidad de una transicin y finalmente el proceso concreto de actualizacin entre las diferentes versiones del
software.LatecnologaIntelliMirrordeAdministracinyMantenimientodelsoftwarepermitirquelosadministradores
asumantodoelciclodevidadelasaplicacionesdesplegadas,yporlotantocontroladas,porestatecnologa.Deesta
forma,elservicioresponsabledelasoperacionesdedespliegueymantenimientodesoftwarepodrllevaracabolas
operacionesenuntiempoenormementereducidoyconunagarantadexitocercanaalcienporcien.
Lasiguientefiguramuestralasdiferentesetapasdevidadeunprograma.

Elciclodevidadelprogramaysusdiferentesetapasyoperacionesasociadas
Lospuntosquepresentamosacontinuacindescribenestasgrandesetapas,queserntratadasmsadelantejunto
conlasdirectivasdegrupoylatecnologadeAdministracinyMantenimientodeaplicaciones.
1.AplicacinenV1.0:fasededespliegueyusodelaaplicacin
Evidentemente, el ciclo de vida empieza cuando el administrador despliega la primera versin de la aplicacin. Los
usuariosrecibenlaaplicacinylautilizan.
2.AplicacinenV2.0:sedisponedeunanuevaversinyseprocedeaevaluarlapreviamente
A consecuencia de las demandas de un servicio o de un departamento de la empresa, se plantea responder a las
nuevasnecesidadesconunanuevaversindelaaplicacin.stapuedeserunanuevaversindelamismaaplicacin
obienunaaplicacinprocedentedeotroproveedor.Elconceptoeselmismo,latecnologanospermitirrealizaruna
actualizacintcnicadelaversin1.0alaversin2.0,obienunaactualizacincompetitiva.Enesteltimocasose
eliminarlaprimeraaplicacin,quesersustituidaporlanueva.
Antes de desplegar la nueva aplicacin ser preciso llevar a cabo una fase de pruebas con el fin de validar el
funcionamientocorrectodelprograma.Estafasedepruebasdebeserlomsrealistaposible.Paraello,desplieguela
nueva aplicacin a un nmero reducido de usuarios representativos y confirme que la aplicacin es plenamente
funcionaltantotcnicacomofuncionalmente.
Lafasedevalidacin,llamadaamenudofasepiloto,debeserlomsrealistaposible.Seraaconsejableque
participaranenellalosusuariosmsexigentes.Deestaformaelpilotosermstilyeficaz,losproblemas
sedetectarnysesolucionarnantessinnecesidaddequeperjudiquenalamayoradeusuarios.

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Tampocoolvideintroducirpuntosdecontrolcomopuedenserlacompatibilidaddelanuevaversindelaaplicacincon
laversinprecedentequeseseguirusandoenlaempresa,yconlasdemsaplicaciones.
3.AplicacinenV2.0:administrarlatransicin
Lamejorsolucines,porsupuesto,hacerunamigracintotallomsrpidamenteposible.Deestaforma,todoslos
usuariosusarnlamismaversinconlasmismasventajasytambinconlosmismoslmitesorestricciones.
Pordesgracia,espocoprobablequetaloperacinpuedarealizarseenunareddegrantamao(excepto,quiz,enel
casodeunnuevodesplieguegeneraldelosequipos)enuncortoperiododetiempo.
Elmtodomscomnesquelosusuariosseactualicenprogresivamentealaversinposterior.Sepodroptar,por
ejemplo,pornomigrarlosserviciosespecialmentesobrecargados.Deestaforma,losusuarioscontinuarntrabajando
normalmente con la aplicacin V1.0 y dispondrn de un periodo ms tranquilo para migrar a la nueva versin ms
adelante.
Pero la tecnologa no es la panacea. Resulta primordial preservar la productividad y la comodidad de los
usuarios,sobretodosiseencuentranenperiodosdesobrecarga.Unpequeoproblemacuandolasituacin
estensaacabaconvirtindosesiempreenungranproblema.

4.EstadodelaaplicacinV1.0
Una vez que se ha decidido a migrar a la nueva aplicacin, los administradores deben considerar tambin lo que
ocurrirconlaversinantigua.Lafiguraprecedentemuestravariasalternativas:

losusuariossernobligadosaactualizarsealanuevaversindelaaplicacin.Setratasindudadelasolucin
msdeseableyaqueslosedarsoporteaunaversin.
se permite que la versin 1.0 no se actualice a la versin posterior. En ese caso, est claro que dicho
permisonodebecausarproblemasdeincompatibilidad.Generalmente,cuandoseleofreceaunusuarioesa
posibilidad, se acuerda no dar soporte a la aplicacin antigua. Por lo tanto, y a pesar de todo, es
recomendablellevaracabolaactualizacinalmenosamedioplazo.Nosepermitequelosnuevosusuariosse
acojanaestaposibilidad,ellos,pordefinicin,debernusarlaversinmsmodernadelaaplicacin.

5.AplicacinenV2.0:fasededespliegue
Amedidaqueeldespliegueprogresanosacercamosalobjetivoylosusuariosdisponen,pocoapoco,delaaplicacin
quenecesitan.
Las aplicaciones desplegadas con los servicios de administracin y mantenimiento del software afectan a los
ordenadores o a los usuarios, en funcin de las opciones definidas por el administrador, y se benefician de la
tecnologaWindowsInstaller(instalacinautomtica,reparacindecomponentesyeliminacinpropia).
6.AplicacinV1.0:operacindeeliminacin
La ltima etapa es la relativa a la eliminacin de la antigua aplicacin. La ltima recomendacin se refiere a la
recuperacin o realizacin de operaciones que precisan de la versin 1.0. Puede y debe conservar los archivos y
procedimientos de instalacin. Tambin puede conservar un clon de la configuracin de tipo (Image Ghost o
configuracindetipoMicrosoftVirtualPC2004)parafacilitarelaccesoalamismaencualquiermomento.
7.ActualizacionesdeServicesPacksyFixes
Ademsdelasactualizacionesprincipalesdelsoftware,elciclodevidadelsoftwaredebetenerencuentatambinlas
operaciones de actualizacin de componentes y otros Services Packs. En trminos absolutos se trata de
actualizaciones un tanto especiales, ya que la versin del producto no vara, si exceptuamos el nivel de SP, o slo
cambianalgunoscomponentes.
ArchivosMSI(MicrosoftInstaller)yMSP(MicrosoftPatchs)
SibienesposibledesplegarlosServicesPacksdeWindows(comoelSP2oelSP3deWindowsXPProfessional)ylas
actualizaciones de aplicaciones como los productos de Microsoft Office, la tecnologa de administracin y
mantenimientodelsoftwarenoeslamsflexibleparallevaracaboestatarea.
Aplicarlospatchsylasactualizacionescrticasrequieremecanismosdeurgenciaascomolaposibilidaddegestionaral
detalle la aplicacin de los patchs no implementados en el planteamiento IntelliMirror. Por este motivo desde las
primerasversionesdeSMS(SystemsManagementServer2003),sehadadosoportealaaplicacindelospatchs.Enla
actualidad,SystemCenterConfigurationManager2007(antiguoSMS2003),SystemCenterEssentials2007(paralas
empresasconhastatreintaservidoresyquinientosclientes)yWSUS3.0sonlassolucionesmsadecuadasparaesas
operaciones.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Desplieguedesoftware
1.Lasdiferentesetapas
Los administradores responsables del despliegue de las aplicaciones debern gestionar varias etapas,
independientesentres,perotodasnecesariasparallevaracaboeldesplieguedeunanuevaaplicacinenlaredde
laempresa.
Paradesplegarunanuevaaplicacin,losadministradoresdebernrealizarlastareassiguientespreparatorias:

fasedepreparacindelsoftware,

fasededistribucindelsoftware,

fasededesplieguerealdelsoftware,

procesodeinstalacindelaaplicacinduranteelperiododedesplieguedelamisma.

a.DisponerdeunpaqueteMSI
Fasedepreparacindeldespliegue
La fase de preparacin requiere que se disponga de un software compatible con los archivos de instalacin MSI
necesariosparaelservicioWindowsInstaller.
Windows Installer es un servicio instalado de serie en los sistemas operativos Windows 2000, Windows XP
Professional, Windows Vista y los sistemas de las familias Windows Server 2003 y Windows Server 2008. Ms
adelante hablaremos de las diferentes versiones de Windows Installer y descubriremos que tambin es posible
implementarelservicioWindowsInstaller(enunaversinfuncionallimitadaenordenadoresconWindowsNT4.0).
Una vez que disponga de un paquete en formato MSI compatible con la plataforma de destino, puede plantearse
utilizarunobjetodedirectivadegrupoexistenteobiencrearunnuevoobjetodedirectivadegrupoparadesplegar
elprograma.
DeberconsiderartambinlaestructuraS,D,OUexistenteeidentificarlosposiblesriesgosvinculadosaella.Quiz
seanecesariocrearunanuevaunidadorganizativaparaapuntarmejoraciertosequiposousuariosdeldirectorio
ActiveDirectory.
Coloquelosarchivosnecesariosparalainstalacinenunacarpetacompartidadeunservidorcercanoalosequipos
enlosqueserealizareldespliegue.SinodisponedeunarchivoMSIsuministradoporeleditordelprograma,cree
uno con la herramienta de reempaquetado WinINSTALL LE suministrada con Windows 2000 Server o Windows
Server 2003oconotroprogramaadecuado.
Lasoperacionesdereempaquetadosonavecestediosasporquesoncomplejas.Lainstalacindeservicios,
componentes, de actualizaciones pueden complicar el proceso de creacin y desarrollo del paquete MSI.
Para simplificar estas tareas, se recomienda adquirir un producto profesional como Wise Package Studio o
InstallShield 2008. Para obtener ms informacin o descargar la versin de evaluacin de alguno de estos
productos,visitelassiguientespginasweb:http://www.wisesolutions.com/yhttp://www.macrovision.com/

b.Desplegarelsoftware:Distribucinyseleccindeobjetivos
Fasededistribucin
La fase de distribucin del software no debe confundirse con la fase de instalacin propiamente dicha. Esta
observacin es especialmente cierta en lo que respecta a productos de administracin de aplicaciones como SMS,
SCCM 2007 Tivoli u otras, que pretenden instalar aplicaciones. Estos productos suelen ser muy eficaces para
distribuirarchivos(esdecir,paracopiar)enmltiplessitios,perodisponendefuncionalidadeslimitadasparallevara
cabo la automatizacin de la instalacin de los programas de sistemas. Microsoft SMS mostr el camino con el
antepasado de Windows Installer (SMS Installer) que permita reempaquetar los antiguos programas de
instalacin manuales en paquetes automatizados, sin ofrecer por ello funcionalidades ms avanzadas que las
actualmentedisponiblesconWindowsInstaller 3.0y3.1,incluidoenWindows XPServicePack2.Porlotanto,esel
propio sistema el que instala y hace el trabajo y no cualquier mdulo externo. Esto explica el carcter
extremadamentedinmicodelainstalacindeprogramasenlasestacionesdetrabajoWindows 2000yposteriores.
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Para ms informacin de las diferentes versiones de Windows Installer en las diferentes versiones de
Windows,consultelaseccin"LasdiferentesversionesdeWindowsInstaller"msadelanteenestemismo
captulo.
La fase de distribucin es pues importante, ya que consiste en poner a disposicin de los equipos y usuarios los
archivos necesarios para el buen desarrollo de la instalacin y las funciones de reparacin cuando ello se revela
necesario.
Recomendacin:establezcaunarazDFSintegradaenActiveDirectory.
LatecnologaWindowsInstallerpermiterepararprogramasocultandolocalmenteelarchivoMSIdecadaaplicacin
(directorio%Systemroot%\yrecordandolaubicacinorigendelosarchivos.
Porconsiguiente,paraaprovecharplenamentelasfuncionalidadesdereparacinautomtica,esobligatoriodisponer
de un origen de red fiable como la que ofrecen las races DFS integradas en Active Directory. Tambin puede
apoyarseenserviciosdedistribucinmuyeficaces,comopuedenserlosincluidosenSMS2003ycontrolaraldetalle
el enrutamiento de las replicaciones, la planificacin horaria y el respeto de ciertos mnimos de ancho de banda
disponibleenlared.
Attuloinformativo,MicrosoftOffice2003proponequeseconservenencach,dentrodeldirectorio\Msocache,todos
losarchivostilesparaunareparacinurgentedelaaplicacincuandoelordenadorestdesconectadodelared.
Microsoft Systems Management Server propone tambin esta nueva opcin mediante la cach de las aplicaciones.
As, SMS 2003 permite hacer que una aplicacin estratgica particular se oculte localmente para reparar las
aplicacionescuando,porejemplo,seproduceunproblemayelusuariotrabajaenunsitionoconectadoalaredde
laempresa.
Lasiguientefiguramuestralaubicacinylosdiferentestiposdearchivoscontenidoseneldirectorio%Systemroot%
\Installer.

Almacenamientodelosarchivosparalareparacindeaplicaciones
ObservequeparavisualizarestedirectoriodebedesactivarlaopcindevisualizacinOcultararchivosprotegidos
delsistemaoperativo.
AdemsdelosarchivosMSIdecadaaplicacin,encontrartambinlosarchivosMST(MicrosoftTransformsfiles)ylos
archivos que contienen patchs, es decir, archivos MSP. Constatar tambin la presencia de un directorio con el
nombreGUIDdelaaplicacin.Paracadaaplicacinestndisponiblesalgunosarchivosdeconfiguracindelentorno
de la aplicacin, pero nunca los archivos con los programas y otros componentes necesarios para el buen
funcionamientodelaaplicacin.Comoyahemosprecisado,esnecesariodisponerdeunservidordedistribucincon
todoslosarchivosdeinstalacin.
Por definicin, el archivo compartido de red utilizable en el mbito de la administracin y el mantenimiento de las
aplicacionesdebercontenerlossiguienteselementos:

todoslosarchivosdedistribucindelaaplicacin,

todoslosarchivosdetransformacinusadosparaprximosdespliegues,

losservicespacksyotroscorrectivosquedeseedesplegaralmismotiempoquelainstalacin.

En el caso de productos que disponen de una clave de instalacin, debe disponer de una distribucin
adecuadacomolasdistribucionesdetipoMicrosoftSelectdeclavesdeproductodetipoVLK(VolumeLicense
Key).Enestecaso,procedaaunainstalacinadministrativadelproducto.

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Fase de definicin del objetivo en funcin del mbito de administracin (SOM Scope Of Management) Sitio,
DominioyUnidadesorganizativas
Lafasededefinicindelobjetivosirveparadeterminar,enfuncindeunasnecesidadesespecficas,quprogramas
debenponerseadisposicindelosusuariosyculessonlosusuariosquepuedendisponerdeellos.
LasfuncionalidadesdeAdministracinyMantenimientodelsoftwareseapoyanal100%enlasdirectivasdegrupoy
losserviciosdedirectorioActiveDirectory.Losconceptosquehemosaprendidosobrelosprincipiosfundamentales
delasdirectivasdegruposeaplicanntegramentealnodoInstalacindesoftware(usuarios)y(equipos)quees
unaextensinnaturaldelasfuncionesdelasdirectivasdegrupo.As,lasfuncionesdedesplieguedelosprogramas
podrn apoyarse en un mbito de administracin (Scope Of Management) de tipo Sitios, Dominio y Unidad es
organizativas.
Comoeshabitual,deberprocederdelasiguientemanera:

crear o modificar un objeto de directiva de grupo cuidando de darle un nombre basado en una poltica de
denominacinadecuada,
definirunposiblefiltradodeseguridadbasadoenlospermisosLecturayAplicarladirectivadegrupopara
seleccionarequiposyusuariosespecficos,

vincularelobjetodedirectivadegrupoaunoovarioscontenedoresActiveDirectoryS,D,OU,apropiados,

asociaruneventualfiltroWMIparafiltrarlaaplicacindeladirectivadegrupo.

encasodequeladirectivadegrupoestdesactivadapordefecto,activarelvnculodeladirectivadegrupo.
Esta operacin podr realizarse manualmente o a travs de un script. Esta ltima opcin resultar
interesanteparaescogerelmejormomentodeponerlaaplicacinadisposicindelosusuarios.

Finalmente,elprogramaseinstalaraliniciarelequipoobiencuandoelusuarioinicielaaplicacin.
Apropsitodeladenominacindeobjetosdedirectivadegrupoylaactivacinpredeterminada
Esposibledefinirdosparmetros,interesantesparasimplificaralgunastareasdeadministracindelasdirectivasde
grupo,sobretodoreferentesalaadministracinymantenimientodelsoftware.

Crear nuevos de objetos de directiva de grupo deshabilitados por defecto:crealosnuevosvnculoscon


objetos de directiva de grupo desactivados por defecto. Cuando haya configurado y probado los nuevos
vnculosalosobjetosusandoelcomponenteSitiosyserviciosActiveDirectory,puedeactivarlosvnculosa
losobjetosparaqueestnoperativos.

Serecomiendausaresteparmetroparaevitarefectosnefastosprovocadosporerroresdeenlaceenlos
posiblesdestinosdelmbitodeadministracinS,D,OU.

Nombre predeterminado de los objetos de directiva de grupo: permite especificar el nombre


predeterminado de los nuevos objetos de directiva de grupo creados a partir de herramientas como la
consola de administracin MMC Directiva de grupo en las herramientas Active Directory y el navegador de
objetosdedirectivadegrupo.Elnombrecompletopuedecontenervariablesdeentornoeincluirhasta255
caracterescomomximo.

Esteparmetroresultatilparaayudararespetarunesquemadedenominacinestndarparalosobjetos
dedirectivadegrupodefinidoseneldirectorioActiveDirectory.Enefecto,esposiblequeexistancentenase
inclusomilesdedirectivasdegrupoparadefinirelconjuntodeparmetrosespecficosdelosequiposyusuarios
delaempresa.

c.Asegurarelmantenimientodelsoftware
Podr actualizar programas con nuevas versiones, desplegar de nuevo aplicaciones equipadas de nuevos Service
Packoprocederaunaactualizacinimportantedelsoftware.
Graciasaestaoperacin,yenfuncindelasopcionesiniciales,laaplicacinseactualizarodesplegardenuevo
automticamentealiniciarelordenadorocuandoelusuarioinicielaaplicacin.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

d.Eliminarelsoftware
Puede eliminar las aplicaciones cuyo ciclo de vida ha llegado a su trmino. Para ello elimine la declaracin del
programaoprogramasenelobjetodedirectivadegrupo.
Graciasaestaoperacin,yenfuncindelasopcionesiniciales,laaplicacinseeliminarautomticamentealiniciar
elordenadorocuandoelusuarioinicieunasesin.

2.TecnologaWindowsInstallerytiposdepaquetes
a.ProgramasconformatoMicrosoftWindowsInstaller
WindowsServer2003usaWindowsInstallerparaqueladirectivadegrupodespliegueyadministrelosprogramas.
Este componente automatiza la instalacin y eliminacin de aplicaciones aplicando un conjunto de reglas de
configuracin definidas de forma centralizada durante el proceso de instalacin. Windows Installer contiene dos
componentes:

El servicio Windows Installer: servicio para el cliente que automatiza ntegramente el proceso de
instalacinyconfiguracindelsoftware.ElservicioWindowsInstallerpuedetambinmodificarorepararuna
aplicacin instalada existente. Instala las aplicaciones directamente a partir del CDRom o mediante la
directivadegrupo.Parainstalaraplicaciones,elservicioWindowsInstallerprecisadeunpaqueteWindows
Installer.
ElpaqueteWindowsInstaller:archivodepaquetequecontienetodalainformacinqueelservicioWindows
Installernecesitaparainstalarodesinstalarprogramas:

unarchivoWindowsInstallerconunaextensin.msi,

cualquierficherofuenteexternorequeridoparainstalarodesinstalarelprograma,

unresumendelainformacinestndarrelativaalprogramayalpaquete,

losarchivosdelproductoounareferenciaaunpuntodeinstalacindondestosseencuentran.

LasventajasdeusarlatecnologaWindowsInstallersonlassiguientes:

Instalaciones personalizadas: hay funcionalidades opcionales de las aplicaciones, como pueden ser las
imgenesclipartotesauros,quepuedenestarvisiblessinquelafuncinestinstalada.Sibienesposible
acceder a los comandos de men, la funcin no se instala hasta que el usuario accede al comando en el
men. Este mtodo de instalacin contribuye a reducir la complejidad de la aplicacin y la cantidad de
espacioocupadoeneldiscoduro.
Aplicaciones tolerantes a fallos: si se elimina o daa un archivo crtico, la aplicacin recupera
automticamenteunanuevacopiadelarchivoapartirdelafuentedeinstalacinsinqueelusuariotenga
queintervenir.
Eliminacinpropia:WindowsInstallerdesinstalalasaplicacionessindejararchivoshurfanosnidaarotras
aplicacionespordescuidocuando,porejemplo,elusuarioeliminaunarchivocompartidoqueotraaplicacin
necesitaparafuncionar.Adems,WindowsInstallereliminatodoslosparmetrosderegistrovinculadosala
aplicacin y almacena en una base de datos las transacciones de instalacin y los archivos de registro
derivados. Cuando no es viable usar un programa de reacondicionamiento para reacondicionar las
aplicaciones o bien cuando un archivo del paquete Windows Installer no est disponible, use los
archivos.zap(paquetesdiferentesdeWindowsInstaller)parapublicarlasaplicaciones.

LasdiferentesversionesdeWindowsInstaller
EnlamedidaenquelatecnologaWindowsInstallerestdisponibleendiferentesplataformasdelossistemases
precisodisponerdeunaversinadecuadaacadaunodeellos.
Acontinuacinofrecemosunalistadelasdiferentesversiones:
WindowsInstaller1.0:primeraversinincluidaconOffice 2000.

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

WindowsInstaller1.1:versinincluidadentrodelafamiliadesistemasoperativosWindows2000.
WindowsInstallerversin2.0:versinincluidaenWindowsXPProfessionalysoportadaporlossistemasWindows
XP,Windows2000,WindowsNT4.0SP6yWindowsMe.
WindowsInstallerversin3.0:versinincluidaenWindowsXPProfessionalSP2.ElmotorWindowsInstaller3.0es
compatible con los sistemas que funcionan con Windows 2000 Service Pack 3, Windows 2000 Service Pack 4,
WindowsServer2003,WindowsXPyWindowsXPServicePack1.Estanuevaversinprincipalpuededescargarse
delaWebdeMicrosoftenlasiguientedireccin:
http://www.microsoft.com/downloads/details.aspx?familyid=5FBC5470B2594733A914
A956122E08E8&displaylang=es
ParaobtenermsinformacinsobrelasnovedadesdeWindowsInstallerversin 3.0,puedeconsultarlapginade
Microsoft
en
la
siguiente
direccin:
http://msdn.microsoft.com/library/default.asp?url
= /library/en
us/msi/setup/what_s_new_in_windows_installer_version_3_0.asp
Latecnologadisponedeunacompatibilidadascendentetotal.As,unpaquetecreadoporlaversin1.1(Windows
2000)funcionasinningnproblemaenWindowsXP.
WindowsInstaller3.1:versinquenecesitaWindowsServer2003,WindowsXPoWindows2000SP3.
WindowsInstaller4.0:versinquenecesitaWindowsVistaoWindowsServer2008.Nohayversionesinstalables
para poder instalar Windows Installer 4.0 en otras versiones de Windows. Una versin actualizada de Windows
Installer4.0,quenotendrningunanuevafuncionalidad,seadaptarysepondradisposicinparaWindowsVista
SP1yWindowsServer2008.
WindowsInstaller4.5:versinqueestardisponiblecomoversininstalableparaWindowsServer2008,Windows
Vista,WindowsXPSP1yposteriores,ascomoparaWindowsServer2003SP1yposteriores.
El desarrollador del paquete puede decidir que el paquete MSI en cuestin funcione slo en mquinas
WindowsXPSP2oSP1ynoconWindows 2000Professional.Siapareceunmensajequeleinformadeun
problemadeestetipo,estonoquieredecirquehayaunprogramadeincompatibilidaddeWindowsInstaller,sino
queeldesarrolladordelpaquetehaoptadoporqueassea.

b.AplicacionesreempaquetadasenformatoMSI
SinodisponedeprogramasconarchivosMSIydeseausarlatecnologadeinstalacinyadministracindesoftware,
tienelaposibilidaddecrearustedmismoelarchivoMSInecesarioeindispensable.
Enelmomentoenquetransformeunaaplicacinqueseinstalaconprogramasdeinstalacinespecficos,enuna
aplicacinqueutilizalatecnologaWindowsInstaller,podrdesplegar,manteneroeliminarlaaplicacinusandola
tecnologadeadministracinymantenimientodelosprogramasconayudadelasdirectivasdegrupoylosservicios
dedirectorioActiveDirectory.
LospaquetesMSIdisponendefuncionalidadesavanzadascomopuedenserlareparacinautomticadelos
componentesylainstalacindefuncionessegndemanda.ComolasaplicacionesreempaquetadasenMSI
nohansidointeligentementeconcebidasparadarsoportealasnocionesdefeatures/components/resources,
stasseinstalarnorepararnntegramente,ynoenfuncindelasopcionesdefuncionalidadesapeticin.
Microsoft suministra con el CDRom de Windows 2000 Server y Windows Server 2003, la versin light de la
herramienta de reempaquetamiento desarrollada por Microsoft y Seagate Software. Dicha herramienta, conocida
comoWinINSTALLLE(LEdeLimitedEdition)permitellevaracabooperacionesfundamentalesdeformamuysencilla
y,portanto,muyrpida.
Observesinembargoqueslosetratadeunaherramientabsicaparallevaracaboreconstruccionessimplesde
aplicaciones simples. Para disponer de una herramienta con todas las opciones de construccin de archivos
WindowsInstaller,deberadquirirunproductoprofesional.
LapginaInstallsite.orgencontrarunacomparativafuncionaldealgunosproductosprofesionales.
LosproductosquenousanlatecnologadeinstalacinWindowsInstallernopuedenobtenerlaconformidad
Windows 2000 Compatible, Windows XP Compatible Certified for Windows Vista o Works with Windows
VistavisiblegraciasallogoDesignedforWindows.

Ms adelante trataremos la creacin de archivos MIS con ayuda de WinINSTALL LE para reempaquetar
aplicaciones.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

c.Archivos.Zap
Eselltimotipodearchivossoportadoscapacesdeusarlatecnologadeinstalacinymantenimientodelsoftware.
EncasodenoexistirningunaotrasolucinparadisponerdeunarchivoMSIesposiblecreararchivos.zapconlas
instrucciones necesarias para la publicacin correcta del programa. Sin embargo, esta solucin debe considerarse
como un ltimo recurso ya que, en estos casos, no sern instalaciones efectuadas por el servicio del sistema a
travsdeWindowsInstaller,sinollevadasacaboporelshellenelcontextodelusuario.Esteltimodeberdisponer
puesdelderechodeadministradorsobrelamquinalocalparaqueelprogramapuedainstalarsefinalmente.
El archivo Zap se puede crear con un procesador de texto como el Bloc de notas. El archivo se compone de dos
secciones:

laseccindedicadaalaaplicacin[Application],

laseccindedicadaalasextensionesdelosarchivosdelaaplicacin[Ext].

Configuracindelaseccin[Application]
Estaseccincontieneinformacinrelativaalamaneradeinstalarlaaplicacineinformacinquesepresentaralos
usuarios dentro del apartado del panel de configuracin Agregar/Eliminar programas. El archivo Zap deber
contener tambin el nombre de la aplicacin, llamado FriendlyName, y los parmetros de instalacin gracias al
parmetroSetupCommand.Lasiguientetablaofreceunadescripcindedichosparmetros:
FriendlyName
Daunadescripcindelaaplicacin.Porejemplo,paralaaplicacinMicrosoftOffice 98,declareMicrosoftOffice98".
SetupCommand
Contienelarutarelativaapartirdelpuntodeaccesoalarchivo.Sielarchivodecomandoquedebeejecutarseest
situadoenelmismodirectorioqueelpropioarchivoZap,especifiquesloelnombredelcomandoacompaadode
suseventualesparmetros.
DisplayVersion
Especificaelnmerodeversindelaaplicacin.
Publisher
Especificaeleditordelaaplicacin.
URL
EspecificalaubicacindeunaURLquepermitaobtenerinformacinsobrelaaplicacin.
Configuracindelaseccin[Ext]
Esta seccin no es obligatoria, pero, en caso necesario, permite publicar en Active Directory la naturaleza de las
extensionesdelosarchivosgestionadosporlaaplicacin.Paradeclararlasextensionesdelosarchivoscompatibles
conlaaplicacindeclarelaseccin[Ext]yagreguelasdiferentesextensionestalycomoseespecificaenelejemplo
deabajo.
[Ext]
XLS=
XLC=
La siguiente pantalla muestra un ejemplo de archivo Zap para desplegar el visor Microsoft Powerpoint 97 como
aplicacinpublicada.

- 6-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

LosdosparmetrosindispensablesdentrodeunarchivoZAP
Unavezconectado,elusuariopuederecorrerelalmacndeaplicacionesadministradoporActiveDirectorygraciasa
losdiferentesdesplieguesquehayarealizado.

AccesodelosusuariosalasaplicacionespublicadasconunarchivoZAP
En nuestro ejemplo, para utilizar la aplicacin, el usuario podr hacer doble clic en un archivo o bien iniciar la
instalacin automticamente. Para lograrlo, bastar con ir a Panel de control/Agregar/Eliminar
programas/Agregar nuevos programas.Unavezsevisualicelalistadeprogramaspublicados,bastarconhacer
clicenelbotnAgregar.

d.Observacionesgeneralessobrelosdiferentestiposdeformatosdeinstalacin
Los siguientes puntos permitirn comprender bien las diferencias de fondo relativas a los diferentes mtodos de
instalacin:

Cuando los programas se despliegan con un archivo MSI, que es lo propio en toda aplicacinCompatible
Windows 2000, Windows XP Professional o Windows Vista, estn disponibles todas las funcionalidades
ofrecidasporelmotordeinstalacinWindowsInstaller,esdecir,lasfuncionesdeinstalacinsegnpeticin,
reparacinautomticayeliminacinlimpiaytotaldelprograma.
LasinstalacionesrealizadasconelservicioWindowsInstallerutilizanlacuentadelsistemalocalydisfrutan
porlotantodetodoslosprivilegiosnecesariosparainstalarelprogramaenelordenadorlocal.
LosaccesosderedqueelservicioWindowsInstallerusaparaaccederalosarchivosfuentedelaaplicacin
utilizan una autenticacin de red que usa el contexto del ordenador tanto si se trata de una instalacin
relativaalequipo,comosisetratadeunainstalacinrelativaalusuario.Nopuedetratarsedelacuentadel
sistemayaquedichacuentadebedisfrutardelosprivilegiosdeaccesovlidosatravsdelared.
Los archivos Zap no ofrecen ninguna de las funcionalidades del servicio Windows Installer. Slo permiten
ejecutarelprogramadeinstalacinoriginaldelaaplicacin.
Una aplicacin desplegada con ayuda de una directiva de grupo y un archivo Zap slo se publicar en el
paneldecontrolenlacategoraAgregar/Eliminarprogramas.
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 7-

- 8-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Configuracindeldesplieguedelsoftware
1.Creacindeunnuevodesplieguedeaplicaciones
a.Creacinomodificacindeunadirectivadegrupo
Unavezquedispongadeunprogramaquepuededesplegarsecondirectivasdegrupo,elprocedimientoconsiste
enponerloadisposicindelosusuariosenunoovariospuntosdedistribucin.
Puede usar uno o varios archivos compartidos de red o una raz DFS con tolerancia a fallos integrada en Active
Directoryparaofrecerunaccesogeneralyaltamentedisponible.UnarazDFSdedominiopermitetenerencuenta
lainfraestructuradesitiosActiveDirectory.
Puederealizar,porejemplo,lasoperacionessiguientes:

crearunarazDFSdedominiocuyarazdispondrderplicassituadasenvarioscontroladoresdedominio
ubicadosenvariossitios,
crearunoovariosvnculosdentrodelaestructuraDFS,
creardestinosadicionalesparacadaunodelosvnculosconelfindeapuntaraservidoresdisponiblesen
cadaunodelossitios,
replicarmanualmentelosdatosenlosdiferentesvnculosdecadaunodelossitios.

Lasiguientefiguramuestralaopcinquepermiteagregarmuchosdestinosaunvnculodeterminadoenelmbito
deunarazDFS.Amododeinformacindiremosque,encomparacinconsuspredecesoresdeWindows2000,los
servidores DFS Windows Server 2003 y tambin Windows Server 2008 ofrecen la posibilidad de albergar varias
races DFS por servidor as como una localizacin de los destinos en funcin de los costes de replicacin de la
topologafsicadeActiveDirectory.
ElnmerodedestinosadicionalesporvnculoDFSpuedealcanzarlos32.ParasoportarmltiplesracesDFS
conWindowsServer2003deberusarWindowsServer 2003EditionEntreprise.LaversinStandardslo
soportaunarazDFSporservidorDFS.EstepuntosiguesiendovlidoenWindowsServer2008.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

UtilizacindelaconsoladeadministracinMMCparaadministrarlosdestinosDFS
Una vez preparados y alimentados los puntos de distribucin, es posible declarar el programa dentro de una
directivadegrupoprocediendotalycomoseespecificaacontinuacin:

SeleccioneelnodoConfiguracindelequipooConfiguracindeusuario.

DeclareelnuevoprogramaespecificandolarutadeaccesoalarchivoMSI.

Laventanadeseleccinpropondrexclusivamentedostiposdearchivos:

paradesplieguesdeaplicacionesaequiposslopodrseleccionararchivosdetipoMSI,

paradesplieguesdeaplicacionesausuariospodrseleccionararchivosdetipoMSIodetipoZap.

Lasiguientefiguramuestraesteltimocaso.Laraznporlacualseproduceestefenmenoesquelosarchivos
ZapsloafectanalasaplicacionesqueseinstalanenelcontextodelusuarioynoatravsdelservicioWindows
Installer. Tales aplicaciones slo pueden aparecer en el Panel de Control en Agregar/Eliminar programas como
aplicacionespublicadas.

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

SeleccindearchivosZapparalasaplicacionespublicadasalosusuarios

Porltimo,seleccioneelmtododedespliegueadecuado.

Las aplicaciones pueden publicarse o asignarse. Pero es posible optar por el modo avanzado, que permite
configurarlosdetallesdedespliegue.

Seleccindeltipodedespliegue

b.Configuracindelasopcionesdedespliegue
Las directivas de grupo pueden contener mltiples aplicaciones. Cada aplicacin dispondr de sus propios
parmetros de despliegue en los que se especifica la manera en que se instalar, actualizar o eliminar la
aplicacin.Losparmetrospuedendeclararsealdeclararelprogramadentrodeladirectivadegrupoobienms
tarde,editandoladirectiva.
Comomuestralafiguraanteriorexistendosmodosdedespliegue.
Asignacindeaplicaciones
Cuandoasignaaplicacionesausuariosoaordenadores,stasseinstalanautomticamenteenelequipoaliniciar
la sesin, en el caso de aplicaciones asignadas a los usuarios, o bien al iniciar el equipo en el de aplicaciones
asignadasalosequipos.
Cuandoasignaunaaplicacinaunusuarioelcomportamientopredeterminadoestablecequestaseanuncieenel
equipolasiguientevezqueelusuarioiniciaunasesin.
EstoquieredecirqueelaccesodirectodelaaplicacinapareceenelmenInicioyqueelregistroseactualizacon
lainformacinrelativaalaaplicacin,enespeciallaubicacindepaquetesdelasaplicacionesyladelosarchivos
fuente de la instalacin. Una vez publicada esta informacin en el equipo del usuario, la aplicacin se instala la
primeravezqueelusuariointentautilizarla,esdecir,enelltimomomento.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Ademsdeesecomportamientopredeterminado,losclientesWindowsXPProfessionalyWindowsServer
2003 incluyen una opcin que permite instalar por completo el paquete al iniciar la sesin en lugar de
hacerloenelmomentodelaprimerautilizacin.

Observe que en caso de que esta opcin estuviera definida sera ignorada por los ordenadores que
ejecutan Windows 2000, los cuales continuarn instalando las aplicaciones asignadas a un usuario en el
momentodelaprimerautilizacin.
Al asignar una aplicacin a un ordenador, sta se instala la siguiente vez que se inicia el ordenador. Las
aplicacionesasignadasaordenadoresnoseanunciansinoqueseinstalanconlasfuncionalidadespredeterminadas
configuradasparaelpaquete.
LaasignacindeaplicacionesmediantedirectivasdegruporequiereelusoexclusivodearchivosMSI.Losarchivos
Zapslopuedenusarsecomoltimorecursoparadesplieguesdetipousuarioynodetipoequipo.
Publicacindeaplicaciones
Tambinpuedepublicaraplicacionesparalosusuariosque,deestaforma,podrninstalarlas.
Para instalar una aplicacin publicada, los usuarios pueden utilizar Agregar o quitar programas en el Panel de
control.stemuestraunalistadelasaplicacionespublicadasaccesiblesparaelusuarioousuariosencuestin.
SieladministradorhaseleccionadolafuncinInstalarautomticamenteesteprogramaactivandolaextensinde
archivo,losusuariostambinpodrnabrirunarchivodocumentoasociadoalaaplicacinpublicada.
Por ejemplo, si un usuario abre un archivo Zip, y el programa no est instalado, se activar la instalacin de la
aplicacinasociadaalaextensin.
Observe que el modo Publicar programas slo se aplica a directivas de usuario. Puede no publicar
aplicacionesparaunequipoconcreto.

La figura anterior muestra las diferentes opciones de despliegue disponibles. Observe que las aplicaciones
asignadasseinstalanautomticamenteatravsdelaextensindelaaplicacin.Delmismomodo,unaaplicacin
asignada a un usuario es, por defecto, automticamente publicada en el panel de control, en la categora
Agregar/Quitarprogramas.Laopcin NomostrarestepaqueteenAgregaroquitarprogramasenelPanelde
controlpermitirocultarestapublicacinnatural.
ParmetrosdelnodoInstalacindesoftware

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez


Estaventanalepermitirdeclararlasopcionespredeterminadasdetodoslosnuevospaquetesdeclaradosenuna
directivadegrupo.Resultaprcticaenlamedidaenquepermitedeclararlosvaloresenfuncindesuspreferencias.

Lapestaa Opcionesavanzadaspermiteadministraralgunoscomportamientosespecialescomolacompatibilidad
delasaplicacionesde32bitsenordenadoresWindowsx64.

c.Asociacindelasextensionesdearchivos
Esposiblecontrolarquaplicacionesseasocianacadaextensin.Porejemplo,laaplicacinWinzip,perotambinla
aplicacinWinrarpuedendesplegarseparaelmismogrupodeequipoodeusuarios.
En lo que se refiere al despliegue de esas aplicaciones a equipos, no hay ningn problema, ya que ambas se
instalarnunadespusdeotraaliniciarelordenador.
Porelcontrario,quocurreconeldesplieguealosusuarios?
De hecho, el problema radica en la seleccin de la aplicacin que se desea instalar. En efecto, qu aplicacin
debemosinstalaralabrirunarchivoZipsisabemosqueambasaplicacionesgestionanestetipodearchivos?Puede
declararelordenpreferidodeinstalacindelaaplicacinencasodequeunusuarioinvoquelaextensinconflictiva
accediendoalaspropiedadesdelnodoInstalacindesoftware.LosbotonesSubiryBajarpermitengestionarla
prioridaddeinstalacindelaaplicacinconrespectoalasdems.
Ennuestroprimerejemplo,silaaplicacinpreferidaparalosarchivosZipesWinZip,seinstalarautomticamente
la aplicacin Winzip. No obstante, el usuario podr activar tambin la instalacin del programa que elija pasando
por la opcin del Panel de control Agregar/Quitar programas, o bien haciendo clic directamente en el icono del
programaanunciandoenelescritoriooenelmenInicio.

d.Creacindecategorasdelasaplicacionespblicas
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

Publicarmuchasaplicacionesrequieredeunciertogradodeorganizacin.Puedeorganizartodaslasaplicaciones
publicadasenmltiplescategorasparafacilitarsuseleccinalosusuariosdelaredActiveDirectory.
Lacreacindelascategoraspuedeplantearseenfuncindeloscriteriosespecificadosacontinuacin:

Lanaturalezadelsoftware:estemodelodeorganizacinesmuyprcticocuandolaempresadisponede
mltiplesaplicacionesdeunmismotipo.Puede,porejemplo,reagrupartodaslasaplicacionesdeoficinaen
la categora Aplicaciones de oficina y todas la aplicaciones financieras en la categora Aplicaciones
financieras.
El modelo organizativo: tambin puede reagrupar las aplicaciones en funcin de los diferentes servicios.
Por ejemplo, todas las aplicaciones necesarias para los usuarios del servicio Contabilidad podran
agruparseenunacategorallamadaAplicacionesContables.
Los tipos de actividades de los usuarios de la empresa: tambin puede reagrupar las aplicaciones en
funcindelasfuncionesdesempeadasenlaempresa.Porejemplo,todaslasaplicacionesnecesariaspara
laactividaddelosdirectorespodranagruparseenunacategorallamadaAplicacionesdelosdirectores.

Creacindecategorasdeprogramas
Una vez creadas las categoras en funcin de los criterios que se juzguen oportunos asocie cada aplicacin
desplegadaenlacategoracorrecta.

Asignacindeunaaplicacinaunaomscategoras

- 6-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Mantenimientodelosprogramasdesplegados
1.Actualizacindelasaplicaciones
Una aplicacin desplegada con la tecnologa de Administracin y mantenimiento del software puede ser objeto de
actualizacionesopcionalesuobligatorias.
Lasactualizacionesopcionalespermitenquelosusuariosescojansideseanonoprocederalaactualizacindedicha
aplicacin.Porelcontrario,lasactualizacionesobligatoriasactualizanautomticamentelasaplicaciones.
Enlasactualizacionesopcionaleselusuariotienesiemprelaposibilidaddeinstalarlanuevaversinpasando
porlaopcindelPaneldecontrolAgregar/Quitarprogramas.

Silaaplicacinseactualizaobligatoriamente,lanuevaversinseinstalardeformaautomticadurantela
siguienteejecucin.

Cuandoseactualizaunaaplicacinreempaquetada,elprocesodeactualizacinnoesrealmentetal,yaque,
enprimerlugar,seeliminalaaplicacindesplegadaprecedentementeydespusseinstalalanueva.
Elinconvenientedeestemtodo,ademsdelosefectosquetieneentrminosdetrficoenlaredserlaprdidade
todoslosparmetrosypreferenciasdelusuario.
Estefenmenonoseproducirenlasactualizacionesdeproductospertenecientesalamismafamilia.Enesoscasos,
elcdigodeactualizacinseincluyeenelpropioarchivoMSIdemaneraquesetieneencuentaelestadoinicialantes
delaactualizacin.
Paracrearunprogramaquedesempeelafuncindeactualizacin,procedadelasiguientemanera:

Creeunanuevadirectivadegrupooagregueelnuevoprogramaconlafuncindeactualizacinaunadirectivaya
existente.
EnlapestaaActualizaciones,declareelpaqueteopaquetesquesernactualizadosporladirectivaqueacaba
dedeclarar.

ElpaqueteMSPowerPointViewereslaactualizacindeMsPowerPointViewermsantiguo

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Sielusuariolodesea,laaplicacinMSPowerPointViewer2003reemplazarMSPowerPointViewer97
Las dos pantallas anteriores muestran que la aplicacin MSPowerPoint Viewer 2003 reemplazar, de manera
opcional,laversinMSPowerPointViewer.
Observe que la consola de administracin es capaz de determinar automticamente cundo dos aplicaciones son
capacesderealizarunaverdaderaactualizacin.
El paquete que se debe actualizar se selecciona desde una directiva de grupo diferente a la que contiene la
actualizacin. Esto significa que cualquier programa de cualquier directiva puede contemplarse como una aplicacin
susceptibledeseractualizada.Enotraspalabras,aunquenoseaobligatorio,losprogramasslodeberandeclararse
unavez.

2.DesplieguedelosServicesPacksyactualizaciones
El despliegue de un Service Pack o de una actualizacin de la aplicacin provocar un nuevo despliegue de la
aplicacindemaneraquelosequiposylosusuariosqueyadispongandelaaplicacinpuedandisponerdelanueva
versin.
Losnuevosequiposousuariosinstalarndirectamentelaversinmsactualizada.Lasiguientepantallamuestraque
la obligacin de prevenir a la infraestructura de que el programaha cambiado es de la incumbencia del usuario.
EstaoperacinseconocecomoNuevodesplieguedeaplicaciones.
ParallevaracabounaoperacindedesplieguedeunServicePackodeunaactualizacindelsoftwareprocedadela
siguientemanera:

- 2-

ObtengaelServicePackolaactualizacinsuministradosporeleditordelsistemaodelaaplicacin.
Coloque los archivos del Service Pack en la misma ubicacin que los archivos fuente iniciales. Entre los archivos
suministrados deber disponer al menos de archivos .MSP y de un nuevo archivo MSI. Los archivos con formato
MSP son archivos estndar definidos en las especificaciones Windows Installer. Dichos archivos describen las
operacionesquedebenrealizarsecomolosficherosareemplazarylaseventualesmodificacionesdeparmetros
quedebenefectuarseenelregistrodelsistema.
InicielatareaVolveraimplementarlaaplicacin.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez


Aparecerunmensajeenelqueseleadviertedelaimportanciadelaoperacin.
En efecto, en funcin de la importancia de la actualizacin podemos considerarla casi como una verdadera nueva
instalacin,salvoqueserecuperarntodoslosparmetros.
SialdescargarunServicePack,ounaactualizacin,losarchivosMSPyMSInoestn"alavista",esprobable
queelarchivodescargadoseaunarchivoejecutableautodescomprimible.

Infrmesesobreloseventualesswitchsquedebeusarparaextraerlosarchivoseintegrarloseneldirectorio
de la aplicacin (habitualmente, la extraccin se obtiene con el parmetro /X). Este procedimiento podr
documentarsegeneralmenteenlaWebdelproveedordelaaplicacinylepermitirprepararcomoesdebidoasu
servidordedistribucinenprevisindeunprximoRedespliegue.

LosServicesPacksrelativosalossistemasoperativosslopuedendesplegarseaequipos.Porejemplo,no
es posible desplegar el SP4 de Windows 2000 o el SP2 de Windows XP Professional basndose en un
desplieguedetipousuario.

Enelsentidoamplio,lasactualizacionesdesoftwarepuedenserobjetodedesplieguesdetipoequipoy/o
usuarioenfuncindelprograma.

3.Eliminacindelsoftware
Laeliminacindeunprogramapuedeserforzada.Enesoscasos,alverificarseladirectivadegrupo,elprogramase
elimina por completo en el momento de iniciar el ordenador en el caso de una directiva de grupo aplicada en el
equipo,oaliniciarlasesin,enlasdirectivasaplicadasausuarios.
Lasiguientepantallamuestralasencillezdelaoperacinytambinelefectocatastrficoquepodratenerencasode
errordemanipulacin.Observeque,porotrolado,noesposibleaccederaestaoperacinpulsandolatecla[Del].

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Eliminacinopcionalnodeunsoftware
Sinodeseaeliminarlaaplicacinopteporlasegundaopcin:Permitiralosusuariosseguirutilizandoelsoftware
peroimpedirnuevasinstalacionesquepermitequelosusuariosconservenlaaplicacin.
Esposibleobtenerelmismoefectopreservandoelprogramaenladirectivadegrupo,perodeshabilitandola
directivadegrupoquepermitieldespliegueinicial.

Observeelnombredeladirectivadegrupoutilizadaparalaoperacindeeliminacin.Enefecto,cuandoen
unadirectivadegrupodeterminadasedeclaraquedebeeliminarseunprograma,stenoapareceenlalista
deaplicacionesyyanoesposiblevisualizarlaoperacintodavaencurso.
Apropsitodelasoperacionesdeeliminacin:dadoquelasoperacionesdeeliminacinpuedenserpeligrosas,seha
prestadoespecialatencinalainterfazgrficadelasdiferentesherramientasadministrativasdeActiveDirectory.A
continuacinexplicamosconbrevedadlosdiferentespuntos:

casodelaeliminacindeunaaplicacindentrodeunadirectivadegrupo:laoperacinnopuederealizarse
conlatecla[Del].DeberusarobligatoriamenteelmenTodaslastareas.../Eliminar....
casodelaeliminacindeunvnculodedirectivadegrupoenlaconsoladeadministracinMMCdedirectivas
degrupo:laoperacinpuederealizarseconlatecla[Del].Noobstante,losdaoscausadossonlimitadosya
quesiempreesfcildeclarardenuevoelvnculoeliminadoporerror.

- 4-

casodelaeliminacindeunobjetodedirectivadegrupoenlaconsoladeadministracinMMCdedirectivas
de grupo: la operacin puede realizarse con la tecla [Del]. Sin embargo, los daos causados son tan
limitados,comoenelcasoprecedente,sisehaefectuadounacopiadeseguridaddelosobjetosdedirectiva
de grupo, por ejemplo, con ayuda de una de las secuencias de comandos suministrados con la consola de
administracin.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Introduccin
LosserviciosdedirectorioActiveDirectoryysusdiferentescomponentescentralesformanelncleodelossistemasde
informacinimplementadosconayudadelaplataformaWindowsServer.DesdesuaparicinconWindows2000Server,
los servicios de directorio Active Directory se imponen rpidamente como plataforma central capaz de acoger los
serviciosdeseguridadavanzadaydenumerosasaplicacionesquehacenreferenciaalosmismos.Unodelospuntos
msimportantesquecontribuyeaestexitoeslagrancompatibilidaddelconjuntodeprotocolosentrelasdiferentes
versiones de controladores de dominio Windows y los sistemas operativos cliente. De hecho, es frecuente tener que
operar y soportar infraestructuras compuestas de servidores y controladores de dominio que funcionan con Windows
Server2003,Windows2000ServeryavecestodavaWindowsNTconestacionesdetrabajoWindows2000,Windows
XP,WindowsVistaeinclusodistribucionesLinux.Todoelloconlamximasimplicidad,fiabilidadyseguridad!
EstexitohapermitidoalosequiposdedesarrollodeMicrosoftampliardemanerasignificativalosserviciosintegrados
enActiveDirectoryparaqueestosserviciosseanelsoportedeunaplataformacompletadegestindeidentidadesyde
administracinalaestructuradelaempresa.

1.ServiciosdedirectoriodeWindows2000Serveryserviciosasociados
Los servicios fundamentales de los servicios Active Directory fueron introducidos con Windows 2000 Server.
Inicialmente, se puso el acento en la adopcin de estndares de la industria. En efecto, se eligieron los protocolos
LDAPv2yv3,Kerberosv4yv5,losserviciosDNSmodernizadosyelserviciohorarioNTP(NetworkTimeProtocol).Los
mecanismos de replicacin son potentes y permiten desplegar infraestructuras de dominio que pueden contener
algunas centenas de controladores. En este punto, se puso el acento en la administracin de los objetos ms
importantes como los objetos equipos, grupos, usuarios, impresoras y otras carpetas compartidas. Uno de los
objetivosprincipalesespermitir,atravsdeuniniciodesesinnico,elaccesoatodoslosrecursosdelaempresa.
Deestamanera,losusuariospuedenlocalizarfcilmentelosrecursosnecesariospararealizarsutrabajo.Asuvez,el
personalacargodelaadministracindisponedeunainfraestructuradedirectoriocoherenteeintuitivabasadaenun
modelo organizado y jerrquico de la red y de los elementos que la componen. Desde este punto de vista, lo ms
remarcable ha sido la tecnologa IntelliMirror que se basa en el modelo de administracin basado en los sitios, los
dominiosylasunidadesorganizativas(modeloS,D,OUs)ylasdirectivasdegrupo(objetosGPO).
UnaversinexitosadelosServiciosdecertificados
EncomparacinconsupredecesorWindowsNT,losserviciosdecertificadosdeWindows2000Serverparticipandelos
serviciosdeinfraestructuraActiveDirectory.Esposible,pues,instalarunaautoridaddecertificacin(CA,Certification
Authority),paraemitiryadministrarcertificadosdigitales.Estoscertificadospodrnserutilizadosparalaautenticacin
delosusuariosydelosequiposyparaelusodeaplicacionescomolosaccesosasitiosWebsegurosconSSL(Secure
SocketLayer)oelcorreoelectrnico.SibienesciertoquelasautoridadesdecertificacinquefuncionanenWindows
2000 Server no estn estrechamente integradas en los servicios de directorio Active Directory, las autoridades de
certificacindetipoRazdeempresa,puestoqueestnintegradasenlaconfiguracindeActiveDirectory,soportan
funcionalidades modernas como la inscripcin automtica de certificados para los equipos y la autenticacin Active
Directoryatravsdeunatarjetainteligente(SmartLogon).

2.ServiciosdedirectoriodeWindowsServer2003yserviciosasociados
Despusdeunpocomsdetresaosdebuenosylealesserviciosydecuatroservicespacks,elsucesordeWindows
2000 Server poda y deba hacer su aparicin. Windows Server 2003 es un producto que cumple todas las
espectativas.ElproductoesunaevolucinoptimizadadeWindows2000Serveraunquesehayanecesitadoeltrabajo
de casi cinco mil desarrolladores. La llegada de Windows Server 2003 es una versin que llega al mercado en el
momentojustoensintonaconlaspreocupacionesdelasempresasproyectosdeconsolidacinydevirtualizacin.
AlmacnyadministradordepermisosyParticionesdeldirectoriodeaplicaciones
Encuantoalosserviciosdedirectorio,MicrosoftcontinasutrabajodeampliacinenlaplataformaWindowsServer
2003. La idea es ampliar los servicios de seguridad de Active Directory para que las aplicaciones puedan realizar
llamadas ms eficazmente. Para conseguirlo se implementan dos grandes novedades: el administrador de permisos
(AuthorizationManager)ylasparticionesdeldirectoriodeaplicaciones.Elprimercomponenteofreceunconjuntode
interfaces de programacin COM (Component Object Model) que permiten a una aplicacin gestionar y controlar las
peticionesrealizadasporlosusuariosenbaseaunagestin"aplicativa"delasfunciones.Elsegundocomponentese
integradirectamenteenActiveDirectory.Dehecho,loscontroladoresdedominioWindowsServer2003yposteriores,
soportan las particiones del directorio de aplicaciones. Los datos almacenados en la particin de aplicaciones estn
pensados para los casos en que la informacin deba ser replicada, pero no necesariamente en la estructura de la
empresa.Es,pues,posiblecrearparticionesdedirectorioreplicadassloenloscontroladoresespecficosdelbosque
ActiveDirectory.
SololoscontroladoresdedominioqueejecutanWindowsServer2003puedenalbergarunarplicadeunaparticin
deldirectoriodeaplicaciones.Porejemplo,laszonasDNSintegradasenActiveDirectorysepuedenalmacenarenlas
particiones de este tipo, como es el caso de los servicios TAPI (Telephony API) que almacena sus datos especficos.
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

ActiveDirectorypermiteproporcionarredundanciaaalgunascategorasdeaplicacionesydisponedeunaltonivelde
toleranciaaerrores.Adems,elhechodeaislarelalmacenamientodelosdatosdeaplicacionesenunaparticindel
directorio de aplicaciones en lugar de en una particin del directorio de tipo dominio tiene la ventaja de reducir el
trficodereplicacindeestosdatos.Estanovedadaportatambinotraventaja.Lasaplicacionesoserviciosutilizanel
protocoloLDAPylasautenticacionesKerberoscomomtodosestndarparaaccederasuinformacindeaplicacin.
Deestemodo,losserviciosdedirectorioActiveDirectorydesempeantotalmenteunafuncinunificadora.
ServiciosdeadministracindederechosdigitalesRMS
Windows Server 2003 introduce otro componente asociado a Active Directory. Los servicios de administracin de
derechosdigitalesWindowsRMSparaWindowsServer2003.Aseguranlaproteccindelainformacinyfuncionancon
aplicacionesynavegadorescompatiblesconRMS.As,loscontenidosdigitalesseprotegendeusosnoautorizados.En
efecto,lafugadeinformacinconfidencialpuedecausarprdidadeingresosycomprometerlacompetitividaddelas
empresa,entreotrascosas.Losmtodosdeseguridadcomoloscortafuegosylaslistasdecontroldeacceso(ACLs)
impidenaccesosnoautorizadosalainformacinenlazonadelosdatosalmacenados.
SecurizacindelainformacinconRMS
Elcifradodelosdatosprotegelainformacinmientrascirculaporlared.Pero,quocurrecuandoundocumentose
copiaenunallaveUSBoseenvaporcorreoelectrnicoaunapersonaubicadaenelexteriordelazonadeseguridad
delaempresa?
RMSprotegelainformacinconfidencialdeusosnoautorizados,yaseaonlineuoffline,dentroofueradelareddela
empresa. En la prctica, los desarrolladores definen las condiciones de utilizacin en las que el destinatario puede
utilizartalocualtipodedatos,mientrasqueelautordeundocumentopodrutilizarestasmismascondiciones.Por
ejemplo, la gestin de los derechos digitales en Microsoft Office Professional 2003 y 2007 soporta las operaciones
"abrir, modificar, imprimir y enviar". As, es posible que un usuario de correo que utilice Microsoft Outlook reciba un
mensajeconfidencialensudireccinynodispongadelospermisosquelepermitanimprimir,copiareinclusoenviarlo
aotrodestinatario!
Tcnicamente,laplataformaRMSasociafunciones,herramientasdedesarrolloytecnologasdeseguridadincluidasen
Windows Server 2003, como los servicios de cifrado, los certificados XrML (Extensible Rights MarkupLanguage) y los
mecanismos de autenticacin capaces de garantizar la implementacin de una solucin fiable de proteccin de la
informacin.ParadesplegarunasolucinRMS,hayquedisponerdeserviciosdedirectorioActiveDirectory,servicios
IIS6.0conASP.NET1.1,serviciosMessageQueuingydeMicrosoftSQLServer2000oSQLServer2005.
AdministracindeIdentidadesconMIIS
Las empresas disponen casi siempre de mltiples fuentes de datos representativas de los mismos elementos. Por
ejemplo,unobjetousuarioexistenteenActiveDirectoryexistirenunamquinaIBMAS/400oenunsistemaUnix.El
objeto(enesteejemplounusuario)puedeexistirtambinenunasimplebasededatosoenunaaplicacinvertical
autnoma.
As,laadministracinylapuestaenserviciodenuevascuentasendiferentesespaciosdedatosnecesitanmltiples
accionessiempreredundantes.Adems,esevidentequeelproblemaocasionadoporelusodemltiplesnombresde
usuarioycontraseasparalosdiferentessistemasyaplicacionesesrealyafectaalaproductividaddeestosmismos
usuarios. Cuanto mayor sea la organizacin, mayor es el nmero de espacios de datos y mayor es el esfuerzo
requeridoparasuactualizacin.
Las funcionalidades implementadas por MIIS 2003 permiten, pues, la centralizacin de la informacin de identidad,
reagrupandolosdatosdeunapersonaodeunrecursoespecfico,enformadeunanicaentradaquecontengatoda
opartedelainformacindeidentificacinprocedentedecadaunadelasfuentesoriginales.MIISgarantizatambinla
coherenciaglobal,detectandocualquiermodificacindelainformacindeidentificacin,cualquieraqueseaelorigen,
propagando automticamente las modificaciones, inserciones, eliminaciones y suspensiones de usuarios a todas las
fuentesdedatossoportadasporlaconfiguracin.
EntornossoportadosporeltndemActiveDirectoryyMIIS
Graciasaestaimportantecapacidaddeconectividad,MIIS2003esunproductoadaptadoatodotipodeempresas.El
hecho de que disponga de numerosos conectores preparados para utilizarse con la mayora de los sistemas
operativos de red, los sistemas de mensajera electrnica, los motores de bases de datos, los directorios, las
aplicaciones e incluso simples ficheros planos, permite unificar numerosas fuentes de informacin de identificacin
disparesdelaempresa,yesto,sinqueseanecesarioinstalarnadaenlossistemasdedestino.
Los sistemas soportados por MIIS son: Windows NT, Active Directory, Active Directory Application Mode, IBM Tivoli
DirectoryServer,NovelleDirectory,losdirectoriosSun,lossistemasX.500estndar,LotusNotesyDomino,Microsoft
Exchange,PeopleSoft,SAP,lascentralitastelefnicasbasadasenXMLyDSML(DirectoryServiceMarkupLanguage),los
sistemasdebasesdedatosMicrosoftSQLServer,Oracle,Informix,dBase,IBMDB2ascomolosficherosDSMLv2,LDIF
(LDAP Interchange Format), CSV (Comma Separated Values), formateados en texto delimitado, con longitud fija o con
paresatributovalor.
UnavistaunificadadelosdatosdeIdentificacin
Por ltimo, el objetivo del directorio se puede lograr presentando una sola vista unificada de todos o parte de los
atributosprovenientesdediferentesfuentes.Seofreceunaubicacinnicaapartirdelacual,losadministradores,las
- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

aplicacionesylosusuariospuedenaccederalainformacindeidentificacin.ParadesplegarunasolucinMIIS,ser
necesariodisponerdeserviciosdedirectorioActiveDirectory,deWindowsServer2003EditionEntreprise,deservicios
IIS6.0conASP.NET,ydeMicrosoftSQLServer2000.

3.ServiciosdedirectoriodeWindowsServer2003R2yserviciosasociados
Windows Server 2003 R2 introduce a su vez dos servicios relacionados con los servicios de directorio y la
administracindelasidentidades.EstosserviciossepodandescargaranteriormenteenelsitiodeMicrosoft.Setrata
deADAMydeADFS.
ADAM,undirectoriodedicadoalasaplicacionesparapreservarActiveDirectory
Active Directory Application Mode es una versin ligera de los servicios de directorio Active Directory. Puede
desplegarseyutilizarsemuyfcilmenteporcualquieraplicacincompatibleconserviciosdedirectoriobasadosenel
protocolo LDAP. ADAM no depende en ningn modo de Active Directory y no contiene generalmente ms que
informacinnecesariaparalasaplicaciones.Desdeestaperspectiva,ADAMescomplementarioconlosserviciosActive
Directory.Enefecto,elhechoqueADAMnoseauncomponentedeinfraestructurapermiteacogermltiplesinstancias
ADAMenlamismamquina,yaseacontroladordedominio,miembrodedominioosimplementeunservidorautnomo.
ElhechodepoderdisponerdeninstanciasdeADAMenelmismoordenador,permitesoportarciertasespecificaciones
de aplicaciones, como por ejemplo, parmetros LDAP, puertos SSL y sobretodo esquemas diferentes adaptados a
cada aplicacin. Conviene remarcar que incluso si ADAM no necesita ni depende de los servicios de directorio Active
Directory, es fcil hacerlos comunicar a travs de LDAP. Observe que, como en el caso de RMS, ADAM tambin se
puededescargarenelsitiodeMicrosoftparaWindowsServer2003.
OfreceruniniciodesesinunificadodetipoSSOenaplicacionesWebatravsdeADFS
Los servicios de federacin Active Directory (ADFS) se incluyen inicialmente en Windows Server 2003 R2. Permiten
implementarescenariosdeautenticacinenempresasqueamplansusaplicacionesWebinternasasociosexternoso
ubicados en Internet. Por consiguiente, para ofrecer accesos seguros y medios de gestin coherentes, la
administracindelosserviciosdefederacinseconvierte,pocoapoco,enunelementoclavedelaimplementacinde
serviciosWeb.
Los servicios de federacin Active Directory se basan en la especificacin Web Services Architecture (o WS*) y
permitenelaccesoalosserviciosdeseguridadActiveDirectory.Deestamaneralosmecanismosdeautenticacinse
pueden utilizar, a travs de ADFS, con otras organizaciones, permitiendo as una ampliacin de la infraestructura
ActiveDirectoryexistenteconmecanismosdeiniciodesesinnicodetipoSSO(SingleSignOn).
De este modo, el acceso es posible para los usuarios aprobados declarados una sola y nica vez. Este principio
fundamental permite reducir el nmero de ubicaciones donde se deber crear una cuenta y as simplificar la
administracin.Otroaspectoimportanteconciernealaseguridadpuestoquelaunicidaddelaidentidaddelusuario
reducelosriesgosdeerrorescausadosporeventualesconflictosdecuentas.
Por ltimo, la arquitectura ADFS al estar basada en los estndares WS*, puede soportar comunicaciones con
sistemas diferentes. ADFS se integra con los servicios de directorio Active Directory, y tambin con ADAM, de tal
maneraqueesfcilaccederalosatributosdeusuariosyprocederalaautenticacindelosusuariosenlosdominios
Active Directory o instancias de tipo ADAM. Si se utilizan estos ltimos, la autenticacin ser de tipo LDAP Bind,
mientras que en los casos de dominios Active Directory, ADFS utilizar el conjunto de mtodos soportados, como
Kerberos,loscertificadosdigitalesX.509v3ylasautenticacionescontarjetasinteligentesdetipoSmartLogon.
ActiveDirectoryylaadministracindeIdentidades:lavisin
Por ltimo, Active Directory est ciertamente en el ncleo de la administracin de identidades. Una buena
administracin de los servicios Active Directory debe permitir de estandarizar y racionalizar todo lo que afecta a los
usuariosylascontraseas.LosservidoresdeaplicacionesnoWindowsdebentenderaunusodelprotocoloKerberos
para unificar mejor la administracin de las identidades. MIIS puede participar en la sincronizacin de los mltiples
espaciosdealmacenamientodecuentasdeusuario.

4.ServiciosdedirectoriodeWindowsServer2008yserviciosasociados
WindowsServer2008reimplementatodosestosserviciosqueacabamosdedescubrir,haciendounareingenierade
todos estos servicios por encima de los servicios Active Directory. Esta nueva versin principal de Windows Server
mejorasignificativamenteelconjuntodeestaspiezas,quepresentamosacontinuacin:

Los servicios AD DS, Active Directory Domain Services, y los servicios AD LDS, Active Directory Lightweight
DirectoryServices,ofrecenlosserviciosycomponentesfundamentalesdetipodominioydetipoautnomo.
Los servicios AD CS, Active Directory Certificate Services, proporcionan los certificados digitales X.509 v3
necesariosparalaimplementacindetodoslosmecanismoscriptogrficosactuales,ascomoelconjuntode

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

serviciosofrecidosporuninfraestructuradeclavespblicas,PKI(PublicKeyInfrastructure).

- 4-

Los servicios AD RMS, Active Directory Rights Management Services, proporcionan la infraestructura capaz de
protegerlainformacincrticayconfidencialcontenidaendocumentosyotrosmensajeselectrnicos.
Los servicios AD FS, Active Directory Federation Services, proporcionan la infraestructura y los mecanismos
capacesdeofreceruniniciodesesinnicodetipoSSOparalasaplicacionesWeb,eliminandolanecesidadde
creardiferentesidentidadesparaelmismousuario.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

ActiveDirectoryCertificateServices(ADCS)
1.Introduccinalasinfraestructurasdeclavespblicas(PKI)
Las infraestructuras de claves pblicas (PKI, Public Key Infrastructure) permiten a empresas de cualquier tamao
disponer de elementos tcnicos que permiten hacer seguras las comunicaciones de red, as como las transacciones
electrnicas.
Una infraestructura de claves pblicas implica el uso de certificados digitales, el uso de mecanismos criptogrficos
basados en la utilizacin de claves pblicas y pone a disposicin una o ms autoridades de certificacin para los
equipos,lasaplicacionesylosusuarios.Enparte,elusogeneralizadodecertificadosporlosequipos,lasaplicaciones
ylosusuarios,losserviciosdecertificadosdeWindowsServer2008sonunelementofundamentaldeunaarquitectura
segura.
Los mecanismos basados en certificados digitales necesitan comprobaciones a mltiples niveles. As, es posible
comprobaryautenticarlavalidezdecadaunadelasentidadesimplicadasenunatransaccinelectrnicadada.
Msalldelatecnologaysupapelcentralentrminosdeseguridad,unainfraestructuradeclavespblicasintroduce
inevitablementelanecesidaddepublicarenlaorganizacintodaslasprcticasrelativasalautilizacindecertificados
digitales.
Desde un punto de vista de los elementos fundamentales que componen una infraestructura de claves pblicas,
convienedestacarlossiguienteselementos:

Loscertificadosqueutilizarnlasdiferentesentidadesrepresentadasenelsistemadeinformacin.
Los servicios de certificados que aseguran la emisin de dichos certificados y ms ampliamente su
administracin.

Lasplantillasdecertificadosadaptadasalasdiferentesnecesidadesyusos.

Lasentidadesquedebenutilizarloscertificados(usuarios,equipos,aplicacionesyservicios).

Losprocesosymtodosdeadministracindecertificadosenlaempresa.

2.Losdiferentestiposdecertificados
a.Introduccin
Los certificados se definen tcnicamente en la especificacin X.509v3. Esta especificacin describe los diferentes
formatos, opciones y mtodos relativos su utilizacin. Se utilizan generalmente en los sistemas de informacin
modernosenqueloselementosactivosnecesitansuuso.As,losconmutadoresdered,terminalesdeconexinWi
Fi,cortafuegosyotrosasistentespersonalespuedenutilizarcertificadosparasecurizarsuscomunicacionesderedy
operaciones en Internet. Por supuesto, esta lista no es exhaustiva y, finalmente, cualquier perifrico, aplicacin o
entidadactivaenunared,publicaoprivada,podrhacerusodeellos.
Un certificado es una estructura firmada digitalmente por una autoridad emisora, que expide dicho certificado y lo
remite a una persona, a un equipo o a una aplicacin. Esta estructura digital crea la relacin entre la identidad
considerada,laclavepblicaqueseleasociaascomolaclaveprivadacorrespondiente.
ApropsitodelaespecificacinX.509v3:Setratadelaversin3delarecomendacinX.509delaITUTque
especificalasintaxisyelformatodeloscertificadosdigitales.Esteformatoeselestndardeloscertificados
utilizadosenlossistemasoperativosmodernosascomoporlosperifricosfsicosdered.
Ademsdelaclavepblica,uncertificadoX.509contienelainformacinquepermitereconocerlaentidadquehasido
objetodelaemisindelcertificadoascomolainformacindelmismocertificado.Finalmente,enfuncindeltipode
certificado,tambinhayinformacinrelativaalaautoridaddecertificacinquehaentregadoelcertificado.
Unadelascaractersticasmsinteresantescontenidaenelcertificadoesrelativaalasfuncionesqueseleasignan
asignadasy,portanto,alaentidadqueloposee.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

VisualizacindeuncertificadoconstruidoconlaplantillaAdministrador.
Los servicios de certificados incluidos en las familias de los sistemas operativos Windows 2000 Server, Windows
Server 2003 y Windows Server 2008 implementan un concepto de plantilla que permite la emisin de certificados
formateadosyadaptadosausosmuyespecficos.Enesteejemplo,elcertificadosehaemitidoenbasealaplantilla
Administrador,quetienemltiplesfunciones.
Lomsdestacableeslafuncin"FirmadelistadeaprobacinMicrosoft",quepermitefirmarlosobjetosdetipo"Lista
deconfianzadelaempresa".Lasiguientefigurailustraestaposibilidadatravsdeunobjetodirectivadegrupo.La
interfazmuestraquelalistacuyonombrees"ListadelosCAadicionales"hasidoentregadoporunapersona"con
esaresponsabilidadespecial"atravsdelafuncin"Firmadelistadeaprobacin".

ElementodetipoListadeconfianzafirmadoconuncertificadoquedisponedelafuncinFirmadelistade
aprobacinMicrosoft

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Firmadelistasdeconfianza:comoeselcasoenlasoperacionesdefirma,esindispensablequelapersona
querealicelaoperacindispongadeuncertificadoquetengalacapacidaddefirmarunalistadeconfianza
enelalmacndecertificadospersonales,ascomolaclaveprivadaasociada.
La siguiente figura muestra el conjunto de funciones contenidas en el certificado. La funcin Sistema de archivos
EFS(EncryptedFileSystem)permitealusuarioquedisponedelcertificadoutilizarlosserviciosdecifradodeficheros
disponibles en las plataformas Windows 2000, Windows XP, Windows Server 2003 as como Windows Vista y
WindowsServer2008.Enesteejemplo,laclavepblicadelusuarioseutilizaparacifrarlaclavedecifradosimtrica
que permite cifrar un fichero en concreto, la clave privada es slo para permitir la decodificacin de dicha clave de
cifradopreviamentecifrada.LafuncinCorreoelectrnicosegurapermitefirmarycifrarlosmensajeselectrnicosa
travs del protocolo S/MIME (SecureMultipurposeInternetMAILextensions) que es soportado por los productos de
correocomoMicrosoftOutlookyMicrosoftExchangeServer.Porltimo,lafuncinAutenticacindelclientepermite
alusuarioautenticarsedemostrandosuidentidadenunservidorquesoporte,ltambin,elusodeloscertificados
X.509v3.

VisualizacindelasfuncionesdeuncertificadoquesebasaenlaplantillaAdministrador.

A propsito de la utilizacin de la clave: un certificado permite a su poseedor, conocido como el "sujeto",


ejecutarunaomstareasenconcreto.Paraimplementarelcontroldeusodeloscertificadosenfuncinde
losroles,lasrestriccionesseincluyenencadacertificado.Elcampo usodelaclavepermitedefinirelmbitode
utilizacindelcertificado,esdecir,lasfuncionessoportadas.Tambinesposibleemitircertificadosenfuncinde
lasnecesidadesdelosusuarios,losequipos,losdispositivosderedolasaplicaciones.
As,comoacabamosdever,loscertificadospuedenentregarseparamltiplesfuncionescomolaautenticacindelos
usuariosqueaccedenaunsitioWebconsunavegador,laautenticacindelosservidoresWebconlosclientes,la
securizacin de correos electrnicos con el protocolo S/MIME, la seguridad de los datagramas IP con el protocolo
IPSec.Porltimo,elusodeloscertificadosesilimitado.Laadministracindederechosdigitales,conlaayudadelos
serviciosDRM(DigitalRightsManagement),esunejemploparticularmentesignificativo.
Graciasaloscertificados,esposiblesoportarunaadministracinavanzadadederechosdigitalesdelosdatosyen
identidades situadas dentro o fuera de la red de la empresa. La siguiente figura ilustra las numerosas funciones
soportadasporlasautoridadesdecertificacinquefuncionanenWindowsServer2003R2ascomolaposibilidadde
crearnuevas.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

Visualizacindefuncionesaniveldeadministracindeplantillas.
LasautoridadesdecertificacindelafamiliaWindowsServer2003yWindowsServer2008estndotadasdeunode
losmltiplesmodelosdecertificadosconcebidospararesponderalasnecesidadesdelamayoradeorganizaciones.
ObservequeconlasautoridadesdecertificacinWindowsServer2003lasfuncionesaparecenenlasplantillasde
certificados con el nombre Directiva de aplicacin mientras que en Windows 2000, aparecan con el nombre
Utilizacindelaclavemejorada.
Personalizacindelasplantillasdecertificados:lasautoridadesdecertificacinquefuncionanenWindows
Server2003EditionEntrepriseyWindowsServer2003EditionDatacenterincorporandostiposdeplantillas
de certificado: las plantillas versin 1 y las plantillas versin 2. Slo las autoridades de Windows Server 2003 y
Windows Server 2008 soportan las plantillas versin 2. A diferencia de las autoridades Windows 2000 Server,
permiten personalizar la mayora de los parmetros contenidos en una plantilla. Una de las tareas ms
importantes de los administradores de certificados es la definicin de plantillas suplementarias adaptadas a las
necesidadesespecficasdelaorganizacin.LasautoridadesdecertificacionesquefuncionanenWindowsServer
2008 soportan tambin los certificados basados en las plantillas versin 3. Estas nuevas plantillas soportan los
nuevos algoritmos de cifrado de la suite ECC (Elliptic Curve Cryptography) para las mquina que funcionan en
WindowsServer 2008yenWindowsVista.
Por ltimo, conviene observar que cada entidad de tipo usuario, equipo o aplicacin que dispone de uno o ms
certificadosseconocecomo"sujetodelcertificado".Porsuparte,laautoridaddecertificacinseconsiderarcomo
"elemisoryfirmante"delcertificadoemitidoalsujeto.

b.Naturalezaycontenidodeuncertificadodigital
Uncertificadocontienemltipleinformacintcnicaylgica.Enprimerlugar,elcertificadodigitalofreceinformacin
"clara"quepermiteidentificarelobjetodelcertificado.Lasiguientefiguramuestraquesetratadeuncertificadode
usuario(nodeunequipoodeunaaplicacin)yqueelvalordelcampoobjetocontienesuDN(DistinguishedName)
delsistemadedirectorioActiveDirectory.EsinteresanteremarcarqueelcampoobjetocontieneelvalordeDN,es
decir:CN=SEGURAGARCIA,JUANCARLOS,OU=@Management,DC=Corpnet,DC=netascomoladireccindecorreode
dichousuario.

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Detalledelcampo"Asunto"deuncertificadodeusuario

Valor del campo Asunto: cuando una peticin de certificado se presenta utilizando las plantillas
proporcionadas por defecto con Windows Server 2003, el registro tendr lugar sin obligar al usuario a
introducirnada.
La siguiente figura ilustra los diferentes parmetros que se pueden combinar en las plantillas de certificados para
construirautomticamenteelnombredelsujetoenbasealainformacinquehayeneldirectorioActiveDirectory.

ConstruccindelsujetoenbasealainformacinActiveDirectoryconplantillasdecertificados.
Ademsdelcampo"Objeto"queidentificaelsujeto,loscertificadoscontienenlasiguienteinformacin:

Elvalordelaclavepblicadelsujeto.

Elperiododevalidezquedefineelperiododuranteelcualelcertificadoesvlido.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

Lainformacinqueidentificalaautoridaddecertificacinqueemitielcertificado.
La firma digital de la autoridad emisora. De este modo, es posible validar la relacin que vincula la clave
pblicadelsujetoconsuinformacindeidentificacin.

Elperiododevalidezdeuncertificadopermitelimitareneltiempoelusodeuncertificado.Unavezcumpleelperiodo
devalidezdeuncertificado,dichocertificadonosepuedeutilizaryelsujetodebepedirunnuevocertificado.
Esposiblehacerunaanalogadeesteprincipiofundamentalconelcarnetdeidentidadoelpasaporte.Eldocumento
oficial permite probar la identidad de la persona ya que la Direccin General de la Polica es la autoridad que ha
emitidoelcarnetdeidentidad,siendoestaltimadeconfianzayaquefirmconelsellodelaDireccinGeneral.El
nmeroquefiguraenelpasaporteoenelcarnetdeidentidad,sepuedecompararconelnmerodeseriedeun
certificado.Porltimo,lafechadeemisindelcarnetdeidentidadfijasufechadefindeusoyaquelosdocumentos
oficialesestnsometidosaunperiododevalidez.
Gestin de Identidades, criptografa, biometra e inicio de sesin nico SSO: actualmente, algunos
pasaportesutilizantecnologasbiomtricasparaprobardemaneraindiscutiblelaidentidaddelapersona.
Dehecho,aunquesepuedeusarenunprimerreconocimientovisual,latradicionalfotografasepuedefalsificar
fcilmente.Ensegundolugarsepuedencomprobarlahuelladigitalolaretina.Enestecasobastacompararlos
datos biomtricos del sujeto con los almacenados en el documento. Los datos privados de identificacin se
almacenanenunatarjetainteligenteconcertificadosydatosdeidentificacinprivadosounacadenadevalores
detipocdigodebarrasmientrasquealosdatospblicossepuedeaccederlibrementeparaverificarlaexactitud
delosdatosbiomtricospresentados.EsteprincipiotambinestdisponibleenlosentornosActiveDirectorypara
autenticar a los usuarios con su tarjeta inteligente sustituyendo el tradicional cdigo PIN confidencial (Personal
IdentificationNumber)poruncontrolbiomtricoenquelaparteprivadaestdirectamenteintegradaenlatarjeta
inteligente.Deestemodo,lasclavesprivadasylosdatosbiomtricosprivadosdelsujetoslolastieneelpropio
sujeto. No son pues utilizables ms que por l y son verificables en el ltimo momento durante un control. Las
tecnologasbiomtricasparticipan,pues,enprimerlugar,enlareduccindecontraseasyotroscdigossecretos
en el proceso de inicio de sesin. En segundo lugar, los servicios de seguridad de tipo SSO, permiten una
utilizacindeiniciodesesindemanera"nica"paraaccederalosdatosyalasaplicacionesdelaempresa.
Esnecesariohacerunadenunciacuandohayunrobodeuncarnetdeidentidadouncertificado.Deestemodo,el
certificado robado o perdido pierde la confianza y queda inutilizado. Esta operacin llamada revocacin permite
quitarlaconfianzadeclaradaatravsdelcertificado.Cadaautoridaddecertificacinqueemitecertificadosgenera
unalistaderevocacindecertificados,queelsistemaoperativo,losprogramasoelusuariopuedenutilizaronoen
elmomentodelavalidacindelcertificado.Esimportanteobservarqueelcertificadorevocadonoestarrealmente
inutilizadohastaelmomentoenquesepubliquelaoperacinenlalistaderevocacindecertificados.
Apropsitodelarevocacindecertificados:Atencin!Mientrasquelalistaderevocacinnoseactualice,
publique, y se verifique en el mbito del control de validez del certificado, el certificado revocado sigue
siendooperativoyutilizable.
Lasiguientefigurailustraestaoperacinrealizadaaniveldelaautoridaddecertificacinporunadministradorde
certificado:

RevocacindeuncertificadoconlaconsoladeadministracinMMCAutoridaddecertificacin

c.CertificadosX.509versin1
LaespecificacinX.509versin1aclaralosdiferentescamposquetieneuncertificadodetipoversin1.
El nombre de los diferentes campos que se utilizan se especifica en espaol y tambin en ingls entre
- 6-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

parntesis por razonas prcticas de uso corriente en numerosas documentaciones, notas tcnicas,
mensajesdesistema,etc.

Versin(version):estecampocontienelaversindelcertificado.
Nmero de serie (serial number): identificador numrico nico asociado a cada certificado emitido por una
autoridaddecertificacin.
Algoritmo de firma de la autoridad (signature algorithm): nombre del algoritmo de firma utilizado por la
autoridaddecertificacinparafirmarelcontenidodeuncertificadodigitaldado.Generalmente,setratadel
algoritmoSha1RSA.

LaautoridaddecertificacinfirmaloscamposVersin,Nmerodeserie,Algoritmodefirma,Emisor,Periodo
devalidez,ObjetoyClavepblica.

Emisor (Issuer Name): este campo contiene el valor de DN X.500 (Distinguished Name) que especifica el
nombre de la autoridad de certificacin que ha emitido el certificado. Por ejemplo, CN = Corpnet Security
Services, DC = Corpnet, DC = net. El uso del formato X.500 para nombrar la autoridad se define en la
especificacinX.509ascomoenelRFC3280llamadaInternetX.509PublicKeyInfrastructureCertificate
andCertificateRevocationListProfile.
Vlido a partir de/Vlido hasta (Valid from/Valid to): estos campos declaran el periodo durante el cual el
certificado se puede utilizar. Algunas implementaciones reemplazan estos dos campos por un solo campo
llamadoPeriododevalidez(ValidityPeriod).
Objeto (Subject Name): este campo contiene el valor del nombre del ordenador, del perifrico de red, del
usuario o del servicio asociado al uso del certificado. Generalmente, el formato de este campo utiliza una
sintaxisdetipoX.500talcomosedefineenlasespecificacionesX.509peropuedeutilizartambinformatos
diferentes(direccindecorreoelectrnico,unnombreDNS,unsufijoUPNoinclusounSPN).

CaractersticasdelosdiferentesformatossoportadosporelcampoObjeto.Sepuedenutilizarlossiguientes
formatos.Direccindecorreoelectrnico:siseinformaladireccindecorreoenelobjetousuariodeActive
Directory,serstalautilizada.Enestecaso,setratadeuncertificadodetipoUsuario.NombreDNS:elnombre
dedominiocompleto(FQDN)delsujetoquehapedidooquerepresentaelcertificado.Enestecaso,setratadeun
certificado de tipo Ordenador. Nombre principal del usuario: el nombre principal del usuario es un atributo que
formapartedelosobjetosUsuariodeActiveDirectoryysepodrutilizardeestemodo.Esestecaso,setratade
un certificado de tipo Usuario. Nombre de servicio principal (SPN): el nombre de servicio principal es un atributo
queformapartedelosobjetosEquipodeActiveDirectoryysepodrutilizardeestemodo.

A propsito de los SPN: los SPN son identificadores nicos utilizados para "representar" los servicios que
funcionanenunservidordeterminado.LosserviciosqueutilizanlaautenticacinKerberosdelosdominios
Active Directory o de dominios Kerberos que necesitan un SPN para cada servicio. De este modo, los clientes
puedenidentificardichoservicioenlared.

Observe que en un entorno Active Directory, un SPN es un atributo de los objetos de clases usuario y
equipo. Generalmente, cada servicio debe disponer de un solo SPN de tal manera que no sea posible
seleccionarotramquinaoutilizarunaclaveerrneaenunticketKerberos.

Clavepblica(PublicKey):estecampocontienelaclavepblicaasociadaalposeedordelcertificado.Laclave
pblica es un dato criptogrfico que se transmite por el solicitante del certificado a la autoridad de
certificacinconunapeticindecertificado.Estecampocontienetambinladeclaracindeltipodelalgoritmo
declavepblicautilizadaenlageneracindelpardeclaveasociadaalcertificado.

d.CertificadosX.509versin2
LoscertificadosX.509versin1disponendelainformacinbsicanecesariaparadescribirelmismocertificado.Sin
embargo, la autoridad emisora no dispone ms que de unos pocos parmetros. De hecho, la especificacin X.509
versin1poneadisposicinelnombredelemisorylafirmadelaautoridad.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 7-

Estafaltadeinformacinhacequeseaimposibleadministraralgunoseventoscomolarenovacindelcertificadode
laautoridad.Dehecho,enestecaso,existirndoscertificadosquedisponendelmismovalorenelcampoEmisor.Es
fcilaplicaruna"falsa"autoridaddecertificacinquelleveelmismonombrequelaprimera.
PararesolverestalimitacininherentealoscertificadosX.509versin1,laespecificacinX.509versin2publicada
en1993introducenuevoscampos,quesepresentanacontinuacin:

Identificadornicodelemisor(IssuerUniqueID):estecampocontieneunidentificadornicodefinidoparay
por la autoridad de certificacin emisora. Este identificador se regenera cuando la autoridad renueva el
certificado.
Identificadornicodelsujeto(SubjectUniqueID):estecampocontieneunidentificadornicodefinidoporel
certificadodelsujetoparalaautoridademisora.Enestecasoenqueelsujetoestambinlaautoridadde
certificacin emisora, el identificador nico se ubica en el campo Identificador nico del emisor (Issuer
UniqueID).
Laimplementacindeestoscampospermitemejorardemanerasignificativalaverificacindelacadenade
enlace existente entre el certificado de un sujeto y la autoridad que la ha emitido. Es posible buscar el
certificado de la autoridad comprobando la relacin existente entre el nombre de la autoridad emisora
declarada en el certificado emitido y el nombre del sujeto declarado en el certificado de la autoridad de
certificacin.Despusdepasaresteprimercontrolconxito,esposibleprocederaunasegundaverificacin.
statendrporobjetocomprobarelidentificadornicodelemisor(IssuerUniqueID)delcertificadoemitido
conelidentificadornicodelsujeto(SubjectUniqueID)delcertificadodelaautoridad.

Atencin:aunqueloscertificadosX.509versin2seanunavancesignificativoenrelacinconlaversin1,
casinoseutilizanporfaltadesoporte.Dehecho,elRFC3280recomiendanoutilizarloscamposespecficos
delaversin 2yrecomiendalaespecificacinX.509versin3.

e.CertificadosX.509versin3
La especificacin X.509 versin 3 se public en 1996 y especifica el concepto de extensiones. Estas extensiones
agregan a la vez funcionalidades para los certificados y de importantes posibilidades de las aplicaciones que las
puedanutilizar.Adems,lasextensionessoportadasporloscertificadosX.509versin3quepermitensoportarla
problemticadevalidacindelacadenadecertificacinexpuestamsarriba.
Enprimerlugar,convieneprecisarqueunaextensinenelcertificadoX.509versin3secomponedelossiguientes
elementos:

Elvalordelaextensinquedependedecadaextensin.
El indicador de tipo "Extensin crtica": este indicador especifica que el control de la extensin es de
naturalezacrtica.Dehecho,enelcasoenquelaaplicacinqueutiliceelcertificadonopuedainterpretaro
reaccionarcorrectamenteenfuncindelvalordelaextensin,elcertificadonoseutilizar.

Importante!CuandounaaplicacinnoreconoceunaextensindeterminadayelindicadorExtensincrtica
nosedeclara,laaplicacinignoralaextensinypuedecontinuarutilizandoelcertificadoparaotrosusos.

- 8-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

DeclaracindelusodeunaextensincrticaenunaplantilladecertificadodetipoControladordedominio
La figura anterior muestra una plantilla de certificado implementada por una autoridad de certificacin Windows
Server2008.EstaplantillasepodrutilizarporlosmiembrosdelgrupousuariosdelservicioMarketingyseruna
extensin crtica. Las aplicaciones pueden utilizar los certificados basados en la plantilla y controlar las funciones
declaradas(Derechosdigitales,correoelectrnicoseguro,etc.)enbasealosOID(ObjectIDentifier)relativosacada
unadelasfunciones.

Elidentificadordeextensin:lasiguientefigurailustraesteimportantecampo.Permiteinformarelvalordel
OIDafectadoporlaextensin.

ValordelidentificadordeobjetodedirectivasasociadoalafuncinAutenticacindelcliente
AhoraquesabemosqueunadelasfuncionalidadesprincipalesofrecidaporloscertificadosX.509versin3resideen
la utilizacin de "Identificadores de extensiones", podemos describir todos los campos soportados por los
certificados que utilizan esta especificacin. La siguiente figura pone en evidencia el hecho de que un certificado
utilizadoactualmenterespetasiemprelasespecificacionesX.509versin3ascomoelsoportedeloscamposdetipo
versin1.
Nota:losserviciosdegestindeloscertificadosintegradosenWindowspermitensimplificarlavisualizacin
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 9-

no.

delainformacinquecontieneelcertificadofiltrandoloscamposenbasealasextensionesobligatoriaso

FiltradodecamposenlapestaaDetallesdelcertificadodeunusuario
AcontinuacinsepresentanlasextensionesespecficasdeloscertificadosX.509versin3:

Identificadordeclavedeentidademisora(Authority Key IdentifierAKI):estecampopuedecontenerdos


tipos de valores. Por una parte el nombre de la autoridad de certificacin as como el nmero de serie del
certificadodelaautoridaddecertificacinemisora.Porotraparte,unahuelladigital(hash)delaclavepblica
delcertificadodelaautoridademisoradelcertificado.
Identificadordelaclavedeasunto(SubjectKeyIdentifierSKI):estecamporepresentaunaextensinque
contieneunahuelladelaclavepblicadedichocertificado.

A propsito de extensiones AKI y SKI: estos dos datos son fundamentales para que la verificacin de la
cadenadecertificacinylavalidacindeloscertificadosX.509versin3puedantenerlugar.

- 10 -

Uso de la clave (Key Usage): toda entidad puede disponer de un solo y nico certificado o varios. Esta
extensinpermiteprecisarlasfuncionesdeseguridadquepuedenserutilizadas.Porejemplo,uncertificado
se puede utilizar nicamente para asegurar un inicio de sesin con tarjeta inteligente mientras que otro
permitiraestemismousuariofirmary/ocifrarcorreoselectrnicos.Paraconseguirlo,elusodelaclavese
debeespecificarconlasiguienteventana,utilizandolasopcionesdisponiblesaniveldeextensin:

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Configuracindelasopcionesdeextensionesdeusodeclaveenunaplantilladecertificadousuario
Lautilizacindelasclavessecontrolaconayudadelosparmetrosdeusodelasclavesascomolasdirectivasde
aplicacin del certificado. La utilizacin de la clave tambin se denomina "restriccin de base" sabiendo que esta
restriccin se aplicar en todas las operaciones que se efecten con el certificado. La anterior figura muestra las
mltiplesopcionesycombinacionesposiblesenfuncindelmbitodeusoprevisto.
Entodocaso,setratardecombinarelusodelasclavesparalasoperacionesdeFirmasyelusodeclavesparalas
opcionesdecifrado.Paracadacertificado,laextensinUsodelaclavepuedeutilizarlassiguientesopciones:
FuncionesdeFirma

Firmadigital(DigitalSignature):losdatossepuedenfirmardigitalmenteporelcertificado.Laclavepblicase
puedeutilizarparacomprobarlasfirmasyparalaautenticacindeclienteyelorigendelosdatosfirmados.
Norechazo(nonrepudiation):losdatosfirmadosporelcertificadopuedenhacerreferenciaalsujetoquehaya
ofrecidolafirmadigital.Estarelacinpermiteelnorechazodelasfirmasdetalmaneraqueesposibleaplicar
transaccionessegurasbasadasenestasfirmas.
Firmadecertificado(CertificateSigning):uncertificadosepuedeutilizarparafirmarotrocertificado.Setrata
deunafuncinespecficaatribuidaalosadministradoresdecertificados.Lasautoridadesdecertificaciones
utilizantambinestetipodeservicios.
Firma de las Listas de revocacin (Certificate revocation list signing): un certificado se puede utilizar para
firmarlistasderevocacindecertificados.

FuncionesdeCifrado

Intercambio de claves sin cifrado (Key Agreement): esta opcin configura el sujeto a fin de que pueda
utilizar un protocolo de administracin de claves que le permite generar una clave simtrica. Esta clave
simtrica se puede utilizar para cifrar y descifrar los datos entre el sujeto y el destinatario deseado. Esta
tcnicaseutilizaconelprotocolodeadministracindeclavessimtricasDiffieHellman.Enestecaso,laclave
pblicasepuedeutilizarparatransportarunaclavesimtricaentredossociosconlaayudadeunprotocolo
deintercambiodeclave.
Intercambio de claves con cifrado(KeyEncipherment):estaopcinconfiguraelsujetoafindequepueda
utilizarunprotocolodegestindeclavesquelepermitegenerarunaclavesimtrica.Estaclavesimtricase
podr utilizar para cifrar y descifrar los datos entre el sujeto y el destinatario deseado. En este caso, se
generalaclavesimtrica,secifraparafinalmenteenviarsealdestinoqueseencargardesudecodificacin.
EstemtodosetienequeseleccionarcuandoseutilicenlasclavesRSA.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 11 -

Cifrado de los datos de usuario (Data Encipherment): esta opcin permite al sujeto utilizar una clave
simtrica para cifrar y descifrar los datos sabiendo que la misma clave simtrica se utiliza tambin para el
cifradodelaclavedurantesutransporte.
Utilizacindelaclaveprivada(PrivateKeyUsagePeriod):estaextensinpermiteespecificarunperiodode
validezparticularparalaclaveprivadadelsujeto.Elvalordeladuracinsepuedefijarenunvalorinferiora
laduracindelcertificadoencuestin.Deesemodo,esposiblelimitareneltiempolautilizacindelaclave
privadaparalafirmadedocumentospermitiendoalaclavepblicaasociadaalcertificadoserutilizadams
tiempo para comprobar dichas firmas. Por ejemplo, la duracin de la clave privada se podra limitar a seis
meses,mientrasqueladelaclavepblicapodrasermuchomslarga(dosaosoms).

Atencin:elRFC3280publicadoenabrilde2003recomiendanoutilizarestaextensin.

Directivas de certificado (Certificate Policies): esta extensin describe las directivas y procedimientos
implementadosparavalidarunapeticindecertificadoantesdequeseaemitido.Elvalordeestecampose
componedeunaseriedeunoomstrminosquedefinenladirectivaaplicadaenelcertificado,construida
enbaseaunOIDydecalificativosopcionales.EstoscalificativosamenudoseutilizanparadeclararunaURL
que describe precisamente las directivas de administracin, las polticas de seguridad y los procedimientos
deemisinyderevocacindecertificados.

Los calificativos opcionales, no influyen en la definicin de la directiva declarada. Cuando de trata del
certificadodeunusuario,deunequipoodeunservicio,estostrminosexplicanelmbitodeutilizacindel
certificado y porqu se ha emitido. Cuando se trata de un certificado de una autoridad de certificacin, esta
informacinlimitatodaslasdirectivasparalasvasdecertificacinincluyendodichocertificadodeautoridad.Enel
casoenquenoesnecesariorestringirtodaslasdirectivasesposibledeclararunadirectivaparticular(anyPolicy)y
asociarleunvalorOIDiguala2529320.

Nombre alternativo del sujeto (Subject Alternative Name): esta extensin permite consignar nombres
adicionales asociados al sujeto. Si bien el nombre del sujeto se incluye en la forma de un DN X.500, esta
extensin permite aadir informacin de identificacin en el certificado. Esta informacin puede incluir la
direccindecorreoelectrnicoenInternet,elnombreDNSdelequipoodelperifrico,oinclusounadireccin
IP. Generalmente, el buen uso de esta extensin permite disponer de la misma informacin de maneras
distintas.

NombressuplementariossoportadosatravsdelaextensinNombrealternativodelsujetoenlaplantillade
certificado.

Atencin!Esobligatoriousarestaextensinrespetandolasnormasrelativasalbuenfuncionamientodelas
aplicaciones.Porejemplo,unaaplicacindecorreoelectrnicopuedeexigirqueestaextensinconsignela
direccin de correo del usuario. Como esta informacin est integrada en el mismo certificado, la autoridad de
certificacindebesercapazdeverificarestainformacin.Sielcontroldelsujetoserealizadeotromodo,hayque
declarar el campo "objeto" del certificado vaco y declarar la extensin como crtica. En el RFC 3280 (seccin
4.2.1.7)sedescribenlosdetallesdelosformatossoportadosporestaextensin.
LasiguientefiguramuestralosnombresadicionalesdeunsujetodeclaradosenuncertificadoX.509versin3.

- 12 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

ExtensinNombrealternativodelsujeto

Puntos de distribucin CRL (Certification Revocation List Distribution Point): cuando una aplicacin o el
sistema operativo se configuran para comprobar la lista de revocacin, la informacin contenida en el
certificado se utiliza para localizar la ubicacin donde se guarda la lista de revocacin actual. La extensin
Punto de distribucin CRLcontieneunaomsURLquepermitenlocalizarlalistaderevocacinactual.Es
posibledeclararlasURLhaciendoreferenciaalosprotocolosHTTP,FTPy,porsupuesto,LDAP.

Laextensinpuntodedistribucindelalistaderevocacindeloscertificados(DPCRLCertificateRevocation
Lists)indicacomosepuedeobtenerdichalista,peronosignificaqueseaposible.Esimportantepreverla
disponibilidaddelasCRLennpuntosdelared.LasRFCindicanqueelnombredelpuntodedistribucindebeser
detipoX.500.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 13 -

AtravsdelaextensinPuntosdedistribucinCRLseconocendiferentesubicacionesdelalistaderevocacinde
certificados.
La administracin de los puntos de distribucin se gestiona a nivel de la administracin de la autoridad de
certificacin.LasiguientefiguramuestralasdiferentesURLdeclaradaspordefectoenunaautoridaddecertificacin
2008.

- 14 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Declaracindelasubicaciones(DP)apartirdelascualeslosusuariospuedenobtenerunalistaderevocacin
Laconsoladeadministracindelaautoridaddecertificacinintegratodaslasfuncionesdegestindelospuntosde
distribucin.TodaslasopcionessonseleccionablesdemaneraindividualparacadaURLdeclarada.
Atencin!Cadaaplicacineslibredeutilizaronolalistaderevocacindelaautoridaddecertificacin.Por
consiguiente,ladeclaracinylasmodificacionesdelasubicacionesdelospuntosdedistribucindelaslistas
derevocacinpuedentenerefectoenlosprocesosdevalidacindelcertificadoporestasmismasaplicaciones.

3.Loscertificadosylaempresa
a.Relacinentreloscertificadosylasautenticaciones
A partir del momento en que el certificado contiene los elementos que permiten asegurar de manera fiable la
identidaddelsujeto,esfcilautenticaralosusuariosoequipossielservidorquedeberealizarelcontroldeacceso
tienelaconfianzadelaentidademisoradedichoscarnetsdeidentidadqusonloscertificados.
Enotrostrminos,elclienteposeeuncertificadoemitidoporunaautoridaddecertificacinaprobadoporellamisma
yelservidorapruebalaautoridaddecertificacinaprobadaporelcliente.Aspues,lasdospartesimplicadasenla
operacindeconfianzatienenconfianzaenuntercero,queenestecasoeslaautoridaddeconfianza.
Por ejemplo, cuando un servidor Web utiliza el protocolo seguro HTTPS, el servidor deber tener confianza en la
autoridaddecertificacinrazquehayaemitidoelcertificadoqueelmismovaautilizar.Apartirdeestemomento,el
servidor Web acepta implcitamente las directivas que la autoridad implemente a travs del certificado. El trmino
"directivas"significaquefuncionessesoportanrealmente.
LasiguientefiguramuestraslasdirectivasdeuncertificadoutilizadoparalaimplementacindelprotocoloHTTPSen
un servidor web determinado llamado kryptondc.corpnet.net. El campo Uso mejorado de claves muestra que la
funcindelcertificadopermitealservidorprobarsuidentidadalcliente.Estepuedeserelcasodeunatransaccin
bancaria:Estoyrealmenteenelservidordelbanco?S,sielcertificadosecompruebaatravsdeunaautoridadque
actecomoorganismodeconfianza.Talvezsiotalvezno,sinohaycertificadoosielcertificadonoprovienede
unaautoridadquenoreconozco!
La verdadera prueba de la relacin entre el certificado instalado en el servidor Web y la autoridad que lo haya

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 15 -

emitidoserealizacomprobandoelcampo"Identificadordelaclavedeautoridad"queseubicaenelcertificadodel
servidor Web. Este campo tiene que corresponder obligatoriamente al campoIdentificador de la clave de asunto
delcertificadoautofirmadodelaautoridaddecertificacin.
Ennuestroejemplo,laIDdelaclavetieneelvalor"f6e56ed04425ff3c5e95802f3157ce82408c0a58",que
corresponde al identificador de la clave del sujeto del certificado de la autoridad de certificacin. La confianza se
compruebaporqueelcertificadohasidoemitidoporunaautoridadrealmentereconocida.
LasiguientefiguramuestralafuncinAutenticacindelservidor.

VisualizacindelafuncinAutenticacindelservidor

Detallesdelcertificadodelaautoridaddecertificacin
ElservidorWebdelegaentonceslacomprobacindelaidentidaddelsujetodelcertificadoalaautoridademisora.
Esta operacin se realiza fcilmente declarando la autoridad raz emisora como autoridad raz de confianza.
Simplemente coloque el certificado autofirmado de la autoridad en el almacn de certificados de la mquina.
Finalmente,comoesposiblecrearjerarquasdecertificacin,lasautoridadessubalternassloserndeconfianzasi
tienenunavadecertificacinvlidahastasuautoridaddecertificacinrazdeconfianza.

b.mbitodeutilizacindeloscertificados
En la medida en que los certificados se utilizan a menudo para establecer una identidad y crear la confianza que
- 16 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

permite un intercambio de datos seguro, las autoridades de certificacin pueden otorgar certificados a usuarios,
equipos y, naturalmente, a los servicios de red como los protocolos IPSec o Radius (Remote Authentication DialIn
UserService)ytambinalasaplicacionescomolosservidoresdecorreooWeb.
Enelcasoenquesenecesitaunaltoniveldeseguridad,losequiposdebensercapacesdecontrolarlaidentidadde
laotramquinaimplicadaenlatransaccin.Estasituacinesidnticacuandosetratadeunarelacindeconfianza
entreaplicacionesyusuarios.Unavezsehahecholacomprobacindelcertificado,elclientepuede"almacenar"el
certificadodesuparejaensupropioalmacndecertificados,yacontinuacinutilizarelcertificadoparacifrarelresto
delaconversacin.Enestecaso,elclienteutilizalaclavepblicacontenidaenelcertificadoparacifrarunaclavede
sesin,queseutilizarparacifrarlospaquetesdeestasesin.
Por ltimo, los mecanismos de cifrado ofrecidos por los certificados se pueden utilizar para diversas funciones y
aplicaciones,quepresentamosacontinuacin:

Utilizacindelasfirmasdigitales:lasfirmasdigitalespermitenhacerseguraslastransaccionesenInternet
o en una Intranet cifrando y descifrando los mensajes as como autenticando el emisor. Adems de estos
mecanismos,lasfirmaspermitengarantizarquelosdatosnosehanmodificadodurantelatransmisin.
AutenticacinenInternet:loscertificadospermitenautenticarelclienteconelservidoryelservidorconel
cliente. Por ejemplo, una conexin segura SSL permite al cliente comprobar la identidad del servidor
controlandoelcertificadopresentadoalclienteporelservidorWeb.
Correo electrnico seguro: los certificados permiten garantizar un alto nivel de confidencialidad y de
seguridaddelosmensajesenviadosyrecibidosenelcorreodelaempresayenInternet.Ademselhecho
de que la identidad del emisor de un mensaje se puede verificar controlando el certificado del emisor,
garantizalaintegridaddelosdatosenviadosascomoelnorechazodelosmensajes.
Autenticacin con tarjeta inteligente: la autenticacin Windows Active Directory por Tarjeta inteligente
permite al usuario iniciar su sesin de dominio utilizando el certificado que le representa con su tarjeta
inteligenteyelcdigoPINasociado.Setratadeunaautenticacinconmltiplesfactores(dosfactores)ya
queelusuariodebetenersutarjetainteligenteyelcdigoPINquelepermitautilizarla.Latarjetainteligente
funcionacomounalmacndecertificadosprivilegiadoyaque,enestecaso,lasclavesprivadasdelodelos
certificadosnosealmacenanlocalmenteeneldiscodurodelequiposinoenlapropiatarjeta.
CifradoEFS:lasoperacionesdecifradodeficherosqueutilizanEFS(EncryptedFileSystem)puedenutilizar
los certificados. Adems, las autoridades de certificacin Windows Server 2003 y Windows Server 2008
implementanunanuevafuncionalidadquepermitela"recuperacindelasclavesprivadasdelosusuarios".
De este manera, es posible recuperar la clave privada de un usuario a partir de la base de datos de una
autoridaddecertificacinquefuncionaconWindowsServer2003EditionEntrepriseoWindowsServer2008
Edition Entreprise. A continuacin, es suficiente con importarla en un certificado de usuario para poder
descifrartodoslosficherosquesehayanencriptadoconestaclaveprivada.Observequeestaoperacinno
esnecesariasilosficherosseencriptaronbajoelcontroldeunAgentederecuperacinEFS.
Seguridad IP: cuando los equipos de la empresa forman parte de un dominio Active Directory, la
autenticacinIPSecdelmodoprincipalpuedeutilizarelprotocolodeautenticacinpordefectoKerberosv5.
En este caso, no es necesario desplegar los certificados. Sin embargo, cuando los equipos no soportan
Kerberosv5ocuandolosequiposestnconectadosaInternetyesnecesarioteneroperacionesseguras,se
recomiendalaautenticacinporcertificado.

AutenticacinyprotocoloIPSec:elprotocoloIPSecsoportatresprotocolosdeautenticacin.Elprotocolo
Kerberos versin 5, los certificados X.509v3 y las claves precompartidas. Esta ltima est disponible en
Windows2000,WindowsXPyWindowsServer2003nicamenteenelmbitodelainteroperabilidadconsistemas
noWindowsydelsoportedeestndaresynormasIPSec.Noserecomiendaelusodelasclavesprecompartidasy
slodebeutilizarseamododepruebas.

AutenticacionesIEEE802.1x:lautilizacindelprotocolo802.1xpermiteautentificaraequiposyausuarios
que utilizan conexiones Wifi 802.11 as como redes cableadas de tipo Ethernet. Esta autenticacin
proporcionasoportedelostiposdeseguridadEAP(ExtensibleAuthenticationProtocol)detalmaneraquees
posibleutilizarlosmtodosdeautenticacincomoloscertificados.
Firmadecomponentesdesoftware:lafirmadecomponentesdetipocontrolesActiveX,appletsJavayotros
ejecutablesyDLLprotegealosequiposdelainstalacindecomponentesnoautorizados.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 17 -

Jerarquadeautoridadesbooster2008booster2003CAyautoridadbooster2008 booster2003 CA
EsteprocedimientoutilizalatecnologaAuthenticode,quepermitealoseditoresdesoftwarefirmarcomponentesde
software.Lasiguientefigurailustralasfuncionessoportadasenelcertificadodelficherowuapi.dllAPIdelcliente
WindowsUpdate.

FuncionesdeuncertificadoysoportedefirmasdigitalesdeloscomponentesWindowsconlatecnologa
Authenticode
Esposibleutilizarcertificadosparacomprobarlaautenticidaddelsoftware(controlesActiveX,appletsJava,scripts,
etc.) descargados de Internet. Igual ocurre en la instalacin del software y al instalar nuevos controladores de
dispositivos en el sistema. Los certificados asociados a la tecnologa Authenticode garantizan que el software
proviene realmente del editor del software, protegiendo el software de cualquier modificacin despus de su
publicacinyaseguranlaverificacinyconformidaddeloscontroladoresdedispositivosdelsistemaWindows.
A propsito de la utilizacin de los certificados con la tecnologa Microsoft Authenticode: todas las DLL y
otros ficheros centrales del sistema operativo Windows estn firmados. De este modo el componente
WindowsFileProtectionpuedeinterveniryrestaurarlaversinoficialenelcatlogoencuestin.Amedidaquese
aaden o actualizan componentes, se aaden nuevos catlogos (ficheros que tienen la extensin .cat) a la
ubicacin %SystemRoot%\ System32\catroot. Por ejemplo, la siguiente figura muestra los detalles de la firma
electrnica en el fichero catlogo del Service Pack 1 de Windows Server 2003, SP1.cat. Puede constatar que la
firma declarada es Microsoft Windows Publisher y que ste es objeto de una doble comprobacin ya que la
operacinestcontrafirmadaporlaautoridadoficialVeriSign.

- 18 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

PropiedadesdelcatlogodeSP1deWindowsServer2003EditionEntreprise
ElbotnVercertificadopermitevisualizarelcertificado.As,esposibleverificarlaidentidaddelemisordelsoftware,
enestecasoMicrosoft,ascomoasegurarquenosehabrmodificadodespusdesupublicacin.Estasfuncionesse
declaran con el campo Utilizacin avanzada de la clave, que declara las funciones de firma de cdigo y de
verificacin de componentes del sistema Windows y de Firma de cdigo a travs de las OID (1.3.6.1.5.5.7.3.3) y
(1.3.6.1.4.1.311.10.3.6).
ObservequelaautoridadMicrosoftWindowsPublisherformapartedeunajerarquadeautoridadesdecertificacin.
LaautoridadestaprobadaporMicrosoftWindowsVerificationIntermediatePCAqueasuvezestaprobadaporla
autoridadMicrosoftRootAuthority.
En cuanto a las contra firmas, el botn Detalles permite visualizar las caractersticas del certificado VeriSign, que
permitelafirmadelosdatosconlahoraactual

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 19 -

PropiedadesdelcertificadoutilizadoporlascontrafirmasdelosficheroscatlogodeWindows
La figura que se presenta ms adelante muestra que las contra firmas VeriSign utilizan como mtodo hash el
algoritmoMD5(MessageDigest5)ycomomtododecifradoelalgoritmoRSA.Observetambinquelasautoridades
de certificacin VeriSign y Microsoft implementan un vnculo a la CPS (Certificate Practice Statement) relativa a cada
una de ellas. As es posible obtener todos los detalles de la poltica de administracin de dichos certificados. Para
lograrlo,bastaconhacerclicenelbotnDeclaracindelemisor.
Porejemplo,ladeclaracindelemisordelaautoridadMicrosoftWindowsComponentPublishersepuedeconsultar
enHTTPSenelsiguientesitio:https://www.microsoft.com/pki/ssl/cps/WindowsPCA.htm
Por ltimo, es importante remarcar que slo el propietario de un catlogo, por ejemplo Microsoft o cualquier otro
editorcreadordecategorasregistradasensusistema,puedehacerevolucionardichocatlogo.Deestamanera,es
imposiblequeunterceronoaprobadopuedamodificarloscomponentesdeclaradosendichocatlogo.

- 20 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Detallesdelafirmaelectrnicautilizadacomocontrafirma

c.Utilizacindeloscertificadosdigitalesenlaempresa
Generalmente, las empresas instalan sus propias autoridades de certificacin. De este modo, es fcil entregar
certificadosalosusuariosdelaempresa,alosordenadoresyotrosperifricosespecficosquedebentenerparaque
lascomunicacionesderedseanmsseguras.
Cuandoeltamaodelaempresaolasexigenciasylimitacionesinherentesalaentregadecertificadosloimponen,
esfrecuentequeseanecesarioimplementarmsautoridadesdecertificacinintegradasenunajerarqua.Elhecho
de que se implementen diferentes autoridades hace que las entidades que utilizan los certificados deban tener
mltiplescertificadosemitidosporlasdiferentesautoridadesdecertificacininternasytambinexternas.
Por ejemplo, cuando un usuario de la empresa accede a la red de la empresa desde el exterior a travs de una
conexindetipoVPN(VirtualPrivateNetwork),elservidorVPNpresentauncertificadodetiposervidorparaprobarsu
identidad. Como el equipo del cliente aprueba la autoridad raz de la empresa que ha emitido el certificado del
servidorVPN,elordenadorclienteconfaenelservidorVPN.
Finalmente, para que el servidor VPN confe en el cliente, es necesario que este ltimo pueda reconocer al cliente
VPNantesdeseefectecualquierintercambiodedatosatravsdelaconexinvirtual.Paralograrlo,hadetener
lugar un intercambio de certificados de equipo entre los dos ordenadores o una autenticacin de tipo usuario a
travsdeunaautenticacinsoportadaporPPP(PointtoPointProtocol).
AdiferenciadelasconexionesVPNdetipoPPTP(PointtoPointTunnelingProtocol)lasconexionesVPNutilizan
elprotocoloL2TP(Layer2TunnelingProtocol)yelcifradoIPSecnecesitancertificadosdetipoordenadorenel
clienteyenelservidor.
Enesteejemplo,eloloscertificadosseutilizanparacrearlaconfianzayestablecerunacomunicacinseguratipo
VPN.Sinembargo,sepuedeutilizaruncertificadoparamsusoscomo,porejemplo,unaautenticacinparaacceder
aunportalsegurooelaccesoalcorreoelectrnico.Delmismomodo,unservidorpuedeutilizaruncertificadopara
diferentesfunciones.As,unmismocertificadosepuedeutilizarparacomprobarlaidentidaddeunservidorWeb,de
unservidordecorreoodecualquierotroservicio.
Numerosas aplicaciones usan el protocolo SSL 3.0 Secure Sockets Layer. Este protocolo se cre
originalmente para autenticar y cifrar las comunicaciones de los servidores Web, son numerosas las
aplicaciones que no utilizan esta funcin especfica y slo utilizan los certificados de tipo servidor Web para su
propiouso.Paraqueseaposibleasociarunafuncinespecficautilizableporunaaplicacintambinespecfica,es
indispensablequelafuncinsedeclareenlasextensionesdelaplantilladelcertificadoutilizadaenelmomentode
lapeticindelcertificado.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 21 -

Declaracindeunadirectivadeaplicacin:FuncinCaf

Lasfuncionessedeclarananiveldelaautoridaddecertificacinqueemiteelcertificado.Lafiguraanterior
ilustra las funciones declaradas en una plantilla de certificado implementada por una autoridad de
certificacindetipoEmpresaquefuncionaenWindowsServer2003EditionEntreprise.

d.CertificadosdeUsuarios
Los certificados de tipo usuario permiten la representacin "digital" de una persona igual que un documento de
identificacin como un pasaporte. Es posible adquirir certificados de una autoridad de certificacin comercial como
VeriSign de tal modo que el titular del certificado tenga la posibilidad de enviar correos electrnicos personales
cifradosporrazonesdeseguridadoinclusofirmadosdigitalmenteparaprobarsuautenticidad.Elhechodeutilizar
uncertificadoobtenidodeunaautoridadoficialpermitelautilizacindedichocertificadoparacualquierclienteque
apruebedichaautoridadoficial.Parausointerno,tienelaposibilidaddeutilizarsupropiaautoridaddecertificacin
enlareddelaempresa.Existennumerososejemplosdeusodecertificadosdeusuariocomolasautenticacionesde
dominio Active Directory con tarjeta inteligente, la autenticacin EAPTLS en las conexiones VPN L2TPIPSec, la
autenticacin en los sitios Web seguros a travs de los certificados de tipo usuario via SSL. Tambin podemos
mencionarelusodeloscertificadosdeusuarioenelcifradodearchivosEFS.
Enelcasodelcorreoelectrnico,elusuariodisponedeuncertificadoquepodrutilizarparafirmardigitalmenteun
correo electrnico. El destinatario puede entonces comprobar que dicho mensaje no se ha modificado durante su
transmisin y verificar la identidad del emisor. Esta ltima operacin ser posible si el destinatario aprueba la
autoridaddecertificacinquehaemitidoelcertificadodelemisordelmensaje.
Seentiendequecuandouncorreoelectrnicoolosdatossecifran,nadiepuedeleerelcontenidodurante
sutransmisinporlared.Sloeldestinatariopuededescifraryleerelcontenido.
Laadministracindeloscertificadosdeusuario,suusocontarjetasinteligentes,elcorreoelectrnicoyelsistemade
ficheroscifradosEFSsetratanmsadelante.

e.Certificadosdeequipos
Del mismo modo que ocurre con los certificados de tipo usuario, los certificados de tipo equipo son una
representacin "digital" utilizable por todos los tipos de perifricos (ordenadores clientes y servidores, routers,
impresoras,dispositivosdered,etc.).
Los certificados que utilizan los ordenadores pueden ofrecer sus servicios al mismo perifrico. Las plantillas de
certificadospropuestasporlasautoridadesdecertificacinWindowsServer2003yWindowsServer2008proponen
numerosas plantillas pensadas para responder a usos especficos. Estas plantillas orientadas a equipos se
presentanacontinuacin:

- 22 -

Servidor Web: los servidores Web pueden implementar la confidencialidad de los datos transmitidos
cifrandolascomunicacionesHTTPconelcertificado"servidor"situadoenelservidorWeb.
Servidor RAS y IAS: dos mtodos de autenticacin pueden ayudar actualmente a utilizar los certificados:

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

por un parte el mtodo EAPTLS (Extensible Authentication Protocol Transport Layer Security) y por otra el
mtodo PEAP (ProtectedEAP). Estos dos mtodos utilizan siempre los certificados para la autenticacin del
servidor.Enfuncindelmetodoutilizado,seutilizarnloscertificadosyaseaparaautenticarelordenador
clienteoelusuario.

Router(consultasinconexin):estaplantilladecertificadosepuedeutilizarporunrouterencasodeuna
peticin SCEP (SimpleCertificateEnrollmentProtocol) emitida por una autoridad de certificacin titular de un
certificadodecifradoCEP.
Replicacin de la mensajera del directorio: esta plantilla permite la replicacin del directorio Active
DirectoryconcorreoselectrnicosatravsdeSMTP.
Equipo:estaplantilladecertificadopermiteaunequipoautenticarseenlared.
IPSec(consultasinconexin)eIPSec:elprotocoloIPSecutilizacertificadosdeequipoentreelclienteyel
servidorparalaautenticacin.Porcontra,elmtodoEAPTLSutilizauncertificadodeusuariodeunatarjeta
inteligenteobiendelalmacndecertificadoslocalparalaautenticacindelusuario.
CifradoCEP:estaplantillapermitealequipoquedisponedelaactuarcomoautoridaddeinscripcinpara
laspeticionesSCEP.
Controlador de dominio: esta plantilla de certificados dispone de mltiples funciones utilizadas por los
controladoresdedominio.
Autenticacin del controlador de dominio: esta plantilla de certificados establece la autenticacin de los
ordenadoresydelosusuariosActiveDirectory.
Autenticacin de la estacin de trabajo: esta plantilla de certificados permite a los ordenadores clientes
autenticarseenlosservidores.
Agente de inscripcin (ordenador): esta plantilla de certificados permite al equipo pedir certificados por
cuentadeotrosujetoordenador.

Arecordar:enalgunoscasos,losordenadoresdebensercapacesdeintercambiarinformacinconunalto
nivel de confianza que necesita controlar la identidad de uno o ambos participantes. Las funciones
soportadas por los certificados dedicados a equipos as como la utilizacin de extensiones soportadas por la
especificacinX.509versin3permitenimplementarsolucionesadaptadasaestosproblemasdeseguridad.

f.Certificadosdeaplicaciones
El principio de firmas digitales y de mecanismos criptogrficos est estrechamente vinculado a las exigencias de
seguridad impuestas por las aplicaciones en que la naturaleza de los datos es capital. De hecho, al principio, las
aplicacionessoportaronestasoperaciones.Actualmentelaimplementacindeestosmecanismosserealizaanivel
delsistemaoperativo.Porejemplo,enWindowsServer2003,elservicio"Serviciosdecriptografa"proporcionalas
operacionesdecifradoydefirmamejoradasenlasaplicacionesparaprotegeralgunosdatos.
La mayor parte de los clientes de correo permiten firmar y/o cifrar los correos electrnicos. Este es el caso de
aplicaciones como Microsoft Outlook 98, 2000, XP, 2003 y 2007. Ocurre igual en Outlook Express, que est
disponible,pordefecto,entodaslasversionesdeWindows.Losservicioscriptogrficosintegradosenlafamiliade
sistemas operativos Windows (Windows XP Professional, Windows 2000 Server, Windows Server 2003, Windows
Vista y Windows Server 2008) se muestran directamente a nivel del shell de Windows, Explorer. Los ficheros
vinculadosascomolasoperacionesdemanipulacindeloscertificadosestndisponiblesenlalneadecomandos,
laconsoladeadministracinMMCascomoenelescritorioWindows.
El comando Certreq.exe es una herramienta de la lnea de comandos que se proporciona con el sistema
operativoWindowsServer2003yWindowsServer2008ascomoconlasherramientasdeadministracinde
Windows Server 2003, es decir el paquete Adminpak.msi. No est disponible directamente en Windows XP
Professional. Sin embargo, este comando es compatible con Windows Server 2003, Windows 2000 Server,
Windows XP Professional y lo pueden utilizar equipos que funcionen con Windows Server 2003, Windows XP
Professional y Windows 2000 para las operaciones de administracin de certificados de usuario y de equipo. A
travsdeestecomando,esposiblesometer,recuperar,crearyaceptarlaspeticionesdecertificadostransmitidas
a una autoridad de certificacin que funcione en Windows Server 2003. Tambin es posible utilizar el comando
"certreq"enscriptsparaautomatizarlaspeticionesdecertificadosorealizaralgunasoperacionestediosas.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 23 -

Paraobtenermsinformacinsobreelcomando"certreq",veamsadelanteenestelibrooconsulteenel
sitio de Microsoft en la siguiente direccin o buscando commandLineReferences y/oTools and Settings
Collection.
http://technet2.microsoft.com/WindowsServer/en/library/
1a249f1e632044c8adf5
8dfd3f31852c1033.mspx

4.Almacenamientodeloscertificados
a.Introduccin
EsesencialsaberdondeestnalmacenadosrealmenteloscertificadosX.509yaqueelsoportedecertificadosenel
sistema operativo Windows est directamente integrado en el centro del sistema. En los sistemas Windows y en
particular en las familias Windows Server 2003 (y posteriores) as como en Windows XP (y posteriores) los
certificadossealmacenanatravsdeuncomponentellamado"Almacndecertificados".Ademsdeloscertificados
queutilizantantoelequipocomoelusuario,elalmacndecertificadosintegraenelsistemaoperativosoportaotros
elementosindispensablescomo,porejemplo,laslistasdeaprobacindecertificados(CertificateTrustListsCTLs),
las listas de revocacin de certificados (Certificate Revocation Lists CRLs) as como las listas de revocacin de
certificadosdetipodelta(DeltaCRLs).Elalmacndecertificadossoportaelcontextodecertificadosdeusuariosyde
usuarioensesin.Deestemodootrousuarioquehayainiciadosesinenelmismoordenadornopuedeutilizarlas
claves privadas de los certificados de un usuario determinado. Por ltimo, el equipo y cada servicio Windows que
utilice uno o varios certificados dispondr de su propio almacn de certificados. Este sistema de almacenamiento
seguro permite garantizar una "estanquiedad" total de claves privadas vinculadas a cada certificado entre las
diferentesentidades.

b.AlmacenamientodecertificadoseinterfazCryptoAPI
LainterfazdeprogramacinCryptoAPIincorporalasfuncionesdeadministracindecertificados.Cualquiermquinao
usuariopuedefcilmentepedir,almacenar,buscarycomprobarcertificados.

AlmacenamientodecertificadosyAlmacenesdecertificadosenelordenadorlocal,elusuarioensesinylos
serviciosWindows
Lasiguientefigurailustralosalmacenesdecertificadosdelamquinalocalydelusuarioensesinenelordenador,
queofrecenunavistalgicayunaclasificacinenfuncindelanaturalezaydelorigendelainformacinmostrada.
Tambinesposiblecambiarlainterfazdelaconsoladeadministracindecertificadosconelfindequenospueda
mostrarunavistafsicadelosalmacenesdecertificados.Lasdiferentesopcionesdevisualizacinpermitentambin
elegir los certificados visualizados segn su tipo de utilizacin (por ejemplo, Autenticacin del cliente y Usuario de
seguridadIP).

- 24 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

GestindelasopcionesdevisualizacindeloscertificadosenlaconsolaMMCCertificados
La siguiente figura pone de manifiesto el almacenamiento y el control de parmetros presentados. As, cuando la
opcin Almacenes de certificados fsicos est activada por el componente de administracin de la consola MMC
Certificados Usuario actual, la interfaz grfica visualiza las categoras Registro, Directiva de grupo y Equipo
local.

Visualizacindelosalmacenesdecertificadosfsicos
Enesteejemplo,sevisualizanenlacategoraCertificadosenlosquenoseconfiadoscertificadosnoautorizados
yaquesehanobtenidodemanerafraudulenta,poniendoenevidenciaelhechodequeestnalmacenadosenel
ordenadorlocal,ynoenotraubicacin.
En marzo de 2001, el proveedor de certificados mundialmente conocido VeriSign, anunci que haba
entregado dos certificados digitales a un individuo que de manera fraudulenta deca ser un empleado de
Microsoft. Este problema de seguridad ha sido objeto de un boletn de seguridad (MS01017) cuyo impacto es
importante ya que un hacker es capaz de firmar digitalmente el cdigo utilizando el nombre Microsoft
Corporation. Este boletn est disponible en la direccin http://www.microsoft.com/technet/security/bulletin/
MS01017.mspx. VeriSign ha revocado los dos certificados y ha actualizado la lista de revocacin de certificados
VeriSign(CRL)enInternet.Sinembargo,comoloscertificadosdefirmadecdigoVeriSignnoindicanningnpunto
de distribucin de la lista de revocacin, no es posible utilizar el mecanismo de verificacin de la CRL. Para
remediarlo,Microsofthadesarrolladounaactualizacinquecorrigeestacarencia.Elcorrectivoincorporaunalista
derevocacinquecontienelosdoscertificadosfalsosascomounmduloparaconsultardirectamenteestaCRL
enlamquinalocalynoenInternet.
LainterfazgrficadeMicrosoftInternetExplorerpermitetambinconsultarelalmacndecertificadosutilizandouna
versin ligera del recorrido de los certificados a travs del botn Certificados situada en Opciones de Internet
OpcionesContenido.

c.Visualizacindeloscertificados:almacnlgicoyalmacnfsico
Cuando examine el contenido de un almacn de certificados en modo Almacn lgico, puede encontrarse con dos
copiasdelmismocertificado.Estasituacinseproduceporqueelmismocertificadoestalmacenadoenalmacenes
fsicos diferentes reagrupados en un mismo almacn lgico. Cuando el contenido de los diferentes almacenes de
certificadosfsicossecombinaconunsoloalmacnlgico,sevisualizantodaslasinstanciasdeunmismocertificado.
Comohacerunaverificacin?Parahacerlo,definalaopcindevisualizacinquepermiteverlosalmacenes
decertificadosfsicos.Elcertificadofiguraenalmacenesfsicosdiferentesdependiendodelmismoalmacn
lgico. Compare los nmeros de serie de los dos elementos. Si se trata del mismo certificado visualizado dos
veces,elnmerodeserieseridntico.ElcomplementoCertificatslepermitevisualizarloscertificadosenfuncin
desualmacnlgicoodesufuncin.Delmismomodo,sivisualizaloscertificadossegnsufuncin,uncertificado
quecumpleconvariasfuncionesaparecerencadacarpetadefinidaparacadaunadeestasfunciones.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 25 -

d.Archivadolocaldeloscertificadosexpirados
Las mquinas que funcionen con Windows Server 2003 y Windows Server 2008 as como con Windows XP
Professional y Windows Vista disponen de un mecanismo interno de archivado y de renovacin automtica de
certificadosydeclavesprivadasasociadas.Estasfuncionalidadespermitengarantizarelbuenusodeloscertificados
eneltiempo.Dehecho,lafuncindearchivadoesparticularmenteimportanteyaquepermitealusuariosercapaz
de descifrar documentos haciendo referencia a certificados expirados o a los que se les haya renovado la clave
privada.
Por defecto, los certificados archivados no se visualizan. Para visualizar los certificados archivados en la
consola MMC, active la casillaCertificados archivados situada enOpciones de visualizacin Visualizar
loselementossiguientes.

e.Estructuradealmacenamientodelalmacndecertificadoslgico
La utilizacin de almacenes lgicos de certificados elimina la necesidad de almacenar muchas veces algunos
elementosquedebensermanipuladospormsdeunaentidad.Dehecho,algunosdatossoncomunesysedeben
compartir.Porejemplo,loscertificadosdeautoridadesdecertificacinracesdeconfianzaylaslistasderevocaciones
sonelementostilesparalosusuarios,elequipoytambinlosserviciosasociadosalequipo.
Sinembargo,algunoscertificadosolistasdecertificadosdeconfianza(CTLs)olistasderevocacionesdecertificados
(CRLs)slodebenestardisponiblesparaalgunosusuarios.As,cuandouncertificadoounalistaderevocacinse
guardaenelalmacndelusuario,estoselementosnosonaccesiblesparaelordenadorniparaningnserviciodel
mismo.
Desdeunpuntodevistavisual,cuandolosparmetroscomolosCTLssedistribuyenatravsdelasdirectivasde
grupodeActiveDirectory,lainformacinapareceenlaconsolaenunacarpetallamadaDirectivadegrupo.
ApropsitodelaaplicacindelosparmetrosconGPO:porltimo,cuandolosparmetrosseubicanenla
parte Configuracin del equipo de la directiva de grupo, los parmetros estarn disponibles para el
ordenador pero tambin para todos los usuarios de la mquina, mientras que si se trata de la parte
Configuracindeusuario,losparmetrossloestarndisponiblesparalosusuariosindicadosporladirectivade
grupo.
Losalmaceneslgicosdecertificadosincluyenlassiguientescategorasparalasentidadesdetipousuarios,equipos
yservicios:

- 26 -

Personal: contiene los certificados de usuario, de equipo o de servicio actual. Cuando una autoridad de
certificacindeempresaemiteuncertificadoaunusuario,elcertificadoseubicaenelalmacnpersonaldel
usuario. Tcnicamente, el certificado se almacena en el perfil de usuario (sin la clave privada). Las claves
privadassealmacenanenunazonaseguradelregistro.
Autoridades de certificacin raz de confianza (Trusted Root Certification Authorities): contiene los
certificados auto firmados de las autoridades races. Los certificados que disponen de un camino de
certificacin a un certificado de autoridad raz son aprobados por el ordenador para todas las funciones
vlidas del certificado. Observe sin embargo, que los certificados de las autoridades no races tambin se
pueden ubicar es este lugar, comnmente llamado "Almacn de races". Estas autoridades pueden ser las
autoridadesdecertificacininternasdeWindowsotambinautoridadesexternasalaempresa.
Confianzadelaempresa (EnterpriseTrust):contienelasCTLs(CertificateTrustLists).UnaCTLesunalista
firmada que contiene los certificados de las autoridades de certificacin aprobadas. Todos los certificados
que disponen de un camino de certificacin a una CTL son aprobados por el ordenador en funcin de las
funcionesespecficasenlaCTL.
Autoridadesintermediarias(IntermediateCertificationAuthorities):contieneautoridadesdecertificacinque
no son autoridades de certificacin raz de confianza. Por ejemplo, los certificados de autoridades de
certificacin subordinadas se ubicarn en este contenedor. Esta ubicacin contiene tambin la listas de
revocacinqueutilizarnlosusuarios,elequipolocalylosservicios.
Objeto usuario Active Directory(Active Directory User Object): contiene los certificados de usuario que se
publicanenlosserviciosdedirectorioActiveDirectory.Observequeestealmacnnoaparecemsquepara
losusuariosynoparaequipososervicios.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Editores aprobados (Trusted Publishers): este contenedor alberga los certificados emitidos a personas o
entidades aprobadas explcitamente. En general, se trata de certificados auto firmados o certificados
aprobados por una aplicacin como Microsoft Outlook. Tambin se puede tratar de certificados que
representanaeditoresdesoftware.Estoscertificadossonentoncesutilizablesparalaverificacindelcdigo
firmadoconlatecnologaAuthenticode.
Certificados no autorizados (Disallowed Certificates): contiene los certificados a los que el usuario y/o el
equipo no dar confianza. Este contenedor slo existe a partir de Windows XP Professional y Windows
Server2003.Tambinesposiblerestringirelusodealgunoscertificadosdeclarndolosenunadirectivade
restriccindesoftware.

Rechazodeuncertificadovlidoconunadirectivaderestriccindesoftware

Otromtodoconsisteenrechazarexplcitamentelaconfianzaalcertificadocuandolaaplicacinpropongasu
validacin.

La presencia de este contenedor proviene del robo de los dos certificados Microsoft al proveedor de
certificadosVeriSign.

Personas autorizadas (Trusted People): contiene los certificados emitidos a usuarios o entidades
explcitamenteaprobadas.
Otras personas (Another People): contiene los certificados emitidos a usuarios o entidades aprobadas de
forma implcita. Estos certificados deben formar parte de una jerarqua de autoridades de certificacin
aprobadas. Generalmente, se trata de certificados utilizados por funciones de seguridad como el cifrado y
descifradodedatosconEFS(EncryptingFileSystem)odelcorreoelectrnicoseguroS/MIME.
Peticin de inscripcin de certificado (Certificate Enrollment Requests): este contenedor permite visualizar
laspeticionesdecertificadosenesperadeprocesoorechazadas.Puedecontenerlosficherosdepeticinde
certificados, que se crean cuando se envan las peticiones a una autoridad de certificacin autnoma o
cuandounaautoridaddecertificacindetipoempresanoestoperativa.

A propsito de la administracin del contenido de los almacenes de certificados: la ubicacin fsica de un


certificado se determinar automticamente en funcin de las caractersticas de dicho certificado. Se
almacenarlocalmenteoeneldirectorioActiveDirectoryenelcontenedoradecuadoasufuncin.Pordefecto,la
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 27 -

consoladeadministracinmuestraunavistalgicadeloscertificadosqueesmuyprcticayquenoprecisadela
visualizacin de las ubicaciones fsicas. Observe sin embargo que para resolver eventuales problemas de
funcionamientodeloscertificados,puedesertilactivarlavisualizacindelosalmacenesfsicos.

f.Origendeloscertificadosalmacenadosenlosalmacenes
Loscertificadosqueseencuentranenlosalmacenesdecertificadospuedenprovenirdecuatroorgenesprincipales
queenumeramosacontinuacin:

ElcertificadoprovienedelainstalacindeWindowsServer2008,WindowsServer2003odeWindowsVista
oWindowsXPProfessional.ProvieneenprincipiodelCDRom.Estoscertificadosrevelarnlaidentidaddela
corporacinMicrosoftyladesussocios.
Una aplicacin Web inicia una sesin SSL. En relacin a esta sesin segura y, una vez se establece la
relacindeconfianza,enelequiposealmacenauncertificado.
Unusuarioaceptadeformaimplcitauncertificado.Puedeserelcasodelainstalacindeunsoftware,dela
recepcindeuncorreoelectrnicocifradoofirmadodigitalmente.
Unusuariopideexpresamenteuncertificadoaunaautoridaddecertificacin.Estepuedeserelcasopara
accederalosrecursosconcretosdeunaorganizacin.

A medida que los usuarios y los equipos utilizan aplicaciones que necesitan certificados (conexiones Web,
autenticacionesseguras,etc.),aparecennuevasentradasenelalmacndecertificadosdeequiposyusuarios.

g.Proteccinyalmacenamientodeclavesprivadas
El almacenamiento de claves privadas es un punto fundamental para todos los sistemas que implementan los
certificadosX.509versin3ylosserviciosofrecidosporlasinfraestructurasdeclavepblica.Elhechodenoteneren
cuentaestaproblemticaanulalosaltosnivelesdeseguridadofrecidos.Dehecho,escomosilasllavesdeunacaja
fuertenoseguardaranenunlugarseguro.
Hayquedestacarelhechodequetodapersona(oproceso)quepuedaobteneryutilizardemanerailegalunaclave
principal, de hecho est usurpando la identidad del verdadero propietario de la clave. La persona puede utilizarla
paradescifrarlosdatoscifradosenlabasedelaclavepblicadelverdaderopropietarioytambinparafirmartodo
tipodedatossoportados.Unavezms,esunausurpacindelverdaderoposeedordelaclaveprivada.Portodos
estosmotivos,esprimordialquelasclavesprivadasse"almacenen"enlugaresprotegidosdetalmaneraqueslo
puedanaccederaellaslaspersonasautorizadas.
Engeneral,laproteccindelasclavesprivadasseimplementaenelsistemaoperativoatravsdemecanismosde
proteccin de las zonas de memoria que contienen las claves y el cdigo que est funcionando. Sin embargo, un
hackerpuedeatacarelsistemaoperativoyprovocarunproblemaimportanteparaconseguirlainformacinquehay
eneldumpdememoria.
Por supuesto, tambin es posible atacar fsicamente un ordenador situado en una zona donde el acceso no est
controlado.Enestecaso,esfcilparaunhackerarrancarelordenadorconunCDRom,unallaveUSBuotromedioy
utilizarherramientasdebajonivelparalocalizarydespusintentardescifrarlasclavesprivadas.Elalmacenamiento
delascopiasdeseguridadquecontienenlasclavesprivadasalmacenadasqueestabanalmacenadaseneldisco
duroes,desdeestepuntodevista,untemaquedebemostenerencuenta.
Almacenamientodeclavesyexternalizacindelalmacenamientodelascopiasdeseguridad:enlamayora
de los casos, los sistemas ms sensibles estn sujetos a procedimientos de acceso fsico regulados y
limitados. Las salas informticas estn equipadas con sistemas de control de acceso, los chasis pueden estar
equipadosconcerradurasreforzadas,etc.Deestemodo,espocoprobablequesepuedaproducirunataquefsico
alamquina.Sinembargo,quocurreconlascopiasdeseguridad?Quizesmsfcilparaelhackerrobarlos
cartuchos de las copias de seguridad. Bastara entonces con restaurarlas fuera de la red de produccin para,
tranquilamente, romper la seguridad del sistema y recuperar las claves que estn almacenadas. Una vez se
obtienelainformacin,lasclavessepuedenutilizarilegalmente.
Paraprotegerlaubicacindondeestnlasclavesprivadas,convienealmacenarlasclavesfueradelentornodela
mquina y del sistema operativo. La instalacin de un perifrico tipo tarjeta inteligente lo permite fcilmente. Las
clavesprivadasestnentoncesprotegidas,yaqueningunadeellasestenlamquina,nienlamemoriaRAM,que
estbajoelcontroldelsistemaoperativosubyacente.
Lassiguientesrecomendacioneslepermitirnimplementarunentornoaptoparaasegurarunabuenaproteccinde
susclavesprivadas:

- 28 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Es necesario asegurarse que los equipos que contienen las claves privadas particularmente sensibles
residen en un entorno seguro tanto desde un punto de vista fsico, localmente en un ordenador concreto,
comodesdeunpuntodevistadered.Porejemplo,elalojamientodeunsitiodecomercioelectrnico,enque
la seguridad descansa en gran medida en la clave privada del certificado del servidor, se debe tratar de
formaparticular.
Se recomienda implementar perifricos de almacenamiento de las claves privadas. Una clave privada se
puedealmacenarenunarchivoexternocodificado.Encasodecierredelsistema,devolcadodememoriao
deunataquealareddelservidor,nosepodraccederalasclavesprivadasyaqueestnfueradelservidor
ynuncaenlamemoriadelsistema.

Es indispensable ofrecer el mejor nivel de seguridad a los sistemas que usan claves privadas
particularmentesensibles.Porejemplo,enelcasodeunaautoridaddecertificacinrazdondeesfrecuente
quelamquinaestalojadaenunlugarmuyseguro,perotambindesconectadadelareddeproduccin.

Recuerde que la prdida o divulgacin de una clave privada pude tener consecuencias que variarn en
funcin de su importancia. Una persona que disponga de una clave privada de otra persona tiene la
posibilidad de descifrar todos los mensaje cifrados en base a la clave pblica asociada en este caso, la del
destinatario.Adems,laclaveprivadaencuestinsepodrutilizarparafirmarmensajesodatos"ennombre"del
verdaderosujeto.Esteltimocasomuestraelrobodelaidentidaddelsujeto.

5.ConsoladeadministracinMMCdecertificados
El complemento Certificats permite administrar los certificados de usuarios, equipos o servicios. Le permite pedir
nuevos certificados a las Autoridades de certificacin de la empresa que funcionan con Windows Server 2003 y
WindowsServer2008.Adems,losusuariospuedenbuscar,visualizar,importaryexportarloscertificadosapartirde
los almacenes de certificados. Sin embargo, en la mayor parte de los casos, los usuarios no tienen que administrar
personalmente sus certificados ni sus almacenes de certificados. Esta operacin la pueden efectuar los
administradores mediante los parmetros de directiva de grupo y a travs de los programas que utilizan los
certificados.
LosadministradoressonlosprincipalesusuariosdelcomplementoCertificados,y,comotales,soncapacesderealizar
diferentes tareas de gestin de certificados en su almacn de certificados personal as como en los almacenes de
cualquierequipooserviciosobreelquetienenderechosdeadministracin.

6.NuevasinterfacescriptogrficasdeWindowsVistayWindowsServer2008
Los sistemas Windows incorporan mltiples interfaces de programacin criptogrfica. Estas interfaces estn en el
ncleodelosmecanismosdeseguridaddelsistemaydelasaplicacionesqueutilizanestosservicios.Lasenumeramos
acontinuacin.

a.InterfazCNG(CryptographicAPINextGeneration)
LainterfazCNGeslainterfazdeprogramacinquereemplazaCryptoAPIalargoplazoapartirdeWindowsVistay
Windows Server 2008. Los mecanismos criptogrficos han evolucionado mucho estos ltimos aos, cosa que ha
hechonecesariodefinirunanuevainterfaz.
LasprincipalesfuncionalidadesdelainterfazCNGsonlassiguientes:

CNGpermitealosdesarrolladoresimplementarsuspropiosalgorimoscriptogrficos.
CNGsoportalaejecucinenmodokernel.Dehecho,lamismainterfazdeprogramacinestdisponibleen
modousuarioyenmodokernel.Deestemodo,losprotocolosSSLeIPSecpuedenfuncionarenmodokernel
paraelarranquedeprocesosapoyndoseenlainterfazCNG.
CNGestenprocesodeevaluacinparaobtenerlacertificacinFIPS1402(FederalInformationProcessing
Standards) y la evaluacin Common Criteria en las plataformas seleccionadas (mecanismos de fuerte
aislamientoyfuncionesdeauditora).
CNGescompatiblecontodoslosalgoritmosincluidosenlainterfazCryptoAPI1.0.Microsofthaprecisadoque

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 29 -

todoslosalgoritmossoportadosporCryptoAPI1.0tambinsernsoportadosporlanuevainterfazCNG.

CNGproporcionaelsoportedelosalgoritmosECCEllipticCurveCryptography,SuiteB,necesariosparalas
exigenciasdeseguridaddelgobiernonorteamericano(AlgoritmosECC(ECDH,ECDSA),curvasP256,P384y
P521yempaquetadosSHA2(256,384,512).
OtropuntoimportanteesrelativoalagestindechipsTPMsoportadosporWindowsVista.CNGsoportael
almacenamiento y el aislamiento de las claves, funcionalidad indispensable para soportar los chips TPM
(TrustedPlatformModule).

Atencin!LainterfazCNGutilizadaporlasautoridadesdecertificacionesquefuncionanconWindowsServer
2008 permite a protocolos como IPSec y SSL utilizar algoritmos criptogrficos personalizados. Para utilizar
estos nuevos algoritmos, es indispensable que la autoridad de certificacin y las aplicaciones soporten ECC, o
cualquierotroalgoritmoimplementadoatravsdelainterfazCNG.Porsuparte,laautoridaddecertificacinque
funcionaconWindowsServer2008debesercapazdeemitiryadministrarlosnuevostiposdecertificados,ypor
otrolado,lasaplicacionesdebenpoderutilizarlasclavesgeneradasbasadasenlosnuevosalgoritmos.

LosalgoritmosdetipoECCdelasuiteBslosonsoportadosporWindowsVistayWindowsServer2008.
Los sistemas que funcionan con Windows XP Professional y Windows Server 2003, deben continuar
utilizando algoritmos como los definidos por RSA. Es importante destacar que los sistemas que funcionan con
WindowsVistayWindowsServer2008puedenutilizarsimultneamentelaantiguainterfazcriptogrficaCryptoAPI
ylanuevainterfazCNG.Sinembargo,nohayqueperderdevistaque,parautilizarlosnuevosalgoritmosECCde
lasuiteB,esnecesariodisponerdeactualizacionesdeprotocoloscomoIPSec,SSLoinclusoS/MIME.

7.ServiciosdecertificadosdeWindowsServer2008
a.Introduccin
Lastecnologascriptogrficasylosserviciosdecertificadoshansidoconsideradoscomolossujetosmsimportantes
desdelasprimerasversionesdeWindowsNT.LosserviciosdecertificadosdeWindowsServer2008correspondena
laVersin4deestosservicios.Lasiguientetablamuestralalistadelasdiferentesversionesprincipales.
2008

WindowsServer2008

CAdetipov4

2003

WindowsServer2003

CAdetipov3

2000

Windows2000Server

CAdetipov2

1998

WindowsNT4+OptionPack

CAdetipov1

1996

WindowsNTServer4.0

1995

WindowsNTServer3.51

1994

WindowsNTServer3.5

1993

WindowsNT3.1

La primera implementacin de los servicios de certificados estuvo disponible en Windows NT Server 4.0 SP2 con
WindowsNTOptionPack.EstaprimeraversinpermitaalosadministradoresNTgestionarloscertificadosX.509v3
paraimplementarelcifradoHTTPSatravsdeSSL,elcorreoelectrnicoseguroatravsdelprotocoloS/MIMEola
implementacindeaplicacionessegurasespecficas.
LosserviciosdecertificadosincluidosenlafamiliaWindows2000Serverfueronunavancesignificativo.Dehecho,las
autoridades de empresa Windows 2000 se pueden integrar en los servicios de directorio Active Directory. Esta
relacinconlosserviciosdedirectorioLDAPylosserviciosdeseguridadKerberospermitealasmquinasWindows
2000autenticadasconelprotocoloKerberosutilizarserviciossofisticadoscomolaentregadecertificadosparalos
ordenadores de forma automtica. Tambin es posible implementar una administracin ms flexible incluso si no
permite todava delegar completamente todas las tareas de administracin. Por ltimo, las autoridades de
certificacinWindows2000permitenlapuestaenfuncionamientodemltiplesjerarquasdeautoridadesconosin
integracinActiveDirectory.

- 30 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

LasautoridadesdecertificacinquefuncionanenWindowsServer2003hacendesaparecertodaslaslimitacionesde
lasautoridadesWindows2000ypermitenalosusuariosActiveDirectoryobtenerautomticamentecertificadosde
usuario a partir de su estacin de trabajo que funciona en Windows XP Professional. La administracin de las
autoridades Windows Server 2003 es mucho ms precisa. Una de las operaciones ms interesantes permite a los
administradores delegar en un tercero la autorizacin de validar las peticiones de certificados en espera de
validacin nicamente a algunos usuarios o grupos de usuarios. Esta posibilidad permite delegar la validacin de
algunostiposdecertificadosenpersonasresponsablesdeestasensibletarea.Estepodr,porejemplo,serelcaso
deunjefedeservicio.
Finalmente,entrelasfuncionesofrecidasporlasautoridadesquefuncionanenWindowsServer 2003,esimportante
observarlossiguientespuntos:

Administracindeloscertificadosconplantillastotalmentepersonalizables.

Administracindelarchivadoydelarecuperacindeclavesprivadasdemaneracentralizada.

LainscripcinautomticadeloscertificadosporlosusuariosqueutilizanestacionesdetrabajoWindowsXP
ProfessionalyWindowsVistamiembrosdeundominioActiveDirectory.
Lapuestaadisposicindelistasderevocacindecertificados"Delta"paratodaslasaplicacionesqueutilicen
la interfaz CryptoAPI en Windows XP Professional, Windows Vista y los sistemas de la familia Windows
Server 2003 y Windows Server 2008. Esta nueva funcionalidad permite publicar listas de revocacin de
certificadosbasadasendeltas.Estemtodominimizaeltrficoderedreduciendoelnmerodedescargasde
listas de revocacin de certificados demasiado largas. El cliente descarga la lista delta ms reciente y la
asociaalaltimalistadebaseparadisponerdeunalistacompleta.
El soporte de certificaciones cruzadas, que permiten establecer relaciones de confianza entre dos
autoridadesdecertificacinquepertenecenajerarquasdeaprobacindiferentes,conelfinpermitirqueun
certificadosepuedautilizarenunajerarquadiferentealadesuorigen.
El soporte de la subordinacin cualificada. Esta posibilidad permite imponer limitaciones de emisin de
certificados a autoridades de certificacin subordinadas. Es posible imponer restricciones de utilizacin a
certificados entregados por estas autoridades y restringir el poder de las autoridades de certificacin en
funcindelasnecesidades.
La separacin de funciones. Esta nueva funcionalidad permite a un usuario efectuar una operacin de
administracindeunaautoridaddecertificacinsiposeemsdeunafuncinsobredichaautoridad.Deeste
modo,eleventualcompromisodelacuentaencuestinnopuedeponerenpeligroatodalaautoridad.
La auditora de sucesos. Esta opcin, disponible slo en autoridades de certificacin de Windows Server
2003 Edition Entreprise o Windows Server 2008 Edition Entreprise o superiores, permite registrar los
eventos relativos a la actividad de la autoridad de certificacin como la emisin de los certificados o los
cambiosdefunciones.

Todas estas funcionalidades se comentan ms tarde y se presentan nuevas funciones de servicios de certificados
incluidosenWindowsServer"Longhorn".

b.PorquutilizarunaPKIMicrosoft WindowsServerenlugardeotra?
LosserviciosdecertificadosincluidosenWindowsServer2008presentannumerosasventajasqueinteresarnen
msdeunaspectoalosadministradoresdeinfraestructurassegurasWindows.

Las PKI Microsoft son muy flexibles. De hecho, una autoridad de certificacin Windows Server 2003 o
WindowsServer2008sepuedeinstalardedosmaneras:enmodo"autnomo"oenmodo"empresa".Estos
dos tipos de configuracin permiten cubrir todos los escenarios de empresa, sabiendo que la principal
funcionalidaddelasautoridadesdetipoempresaesladeaprovecharlaintegracinconActiveDirectory,la
precisindelapersonalizacindelasplantillascertificadosylosmecanismosdeinscripcinautomticayde
renovacin de certificados. Por ltimo, el despliegue de una arquitectura PKI Microsoft se beneficiar de la
inversinentecnologavinculadaalainfraestructuraActiveDirectory.
Las PKI Microsoft son interoperables. Microsoft es un miembro activo de los diferentes grupos de trabajo
dedicados a los PKI y de los mltiples acuerdos existentes entre Microsoft y otros desarrolladores de
soluciones criptogrficas. De hecho, los servicios de certificados Microsoft soportan la mayora de los
algoritmoscriptogrficos(RSA(RivestShamirAdleman),DSA(DigitalSignatureAlgorithm),RC4(RivestCipher4),
AES(AdvancedEncryptionStandard))ascomolosestndaresrelativosalasinfraestructurasdeclavepblica
comolaspublicacionesIETFPKIX(PublicKeyInfrastructureX.509WorkingGroup),losformatosITUTX.509et
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 31 -

PKCS (Public Key Cryptography Standard). El soporte de estos estndares es fundamental para exportar o
importar certificados a o desde los ficheros PKCS #12 y PKCS #7, as como de los ficheros de certificados
binarioscodificadosatravsdelformatoX.509.

Los PKI Microsoft son muy eficientes. Los equipos de pruebas de Microsoft han demostrado durante sus
pruebasqueunasolaautoridaddecertificacinWindowsServer2003,puedeemitirmsdetreintamillones
de certificados a un ritmo superior a cincuenta certificados por segundo. Este gran rendimiento se explica
fcilmenteporelhechodequelosserviciosdecertificadosinteractanconunabasededatosutilizandoel
motorESE(ExtensibleStorageEngine),yautilizadoconlosserviciosdedirectorioMicrosoftActiveDirectoryy
losbancosdeinformacindeMicrosoftExchangeServer.

Importanciadeloscriteriosderendimiento:Lafuncinprimeradeunaautoridaddecertificacines"tratar"
laspeticionesdecertificadosemitidasporlosusuarios,losequipos,losperifricosolasaplicaciones.Este
proceso consiste en aceptar o rechazar las peticiones de certificados as como asegurar las funciones de
administracin de certificados como la renovacin o la revocacin de dichos certificados. Las autoridades de
certificacinsontambinresponsablesdelapublicacindelaslistasderevocacindelta,quenecesitantambin
unniveldedisponibilidadyderendimientosuficiente.

LasPKIMicrosoftsonampliables.LasautoridadesdecertificacinWindowsServer2003yWindowsServer
2008 soportan mltiples mdulos de directiva y de salida. Los mdulos de directiva indican a la autoridad
bajoqucondicioneslaspeticionesdecertificadossetienenencuenta.Losmdulosdesalidaindicanala
autoridad como y dnde los certificados emitidos se publican. Por ltimo, es tambin posible vincular la
autoridaddecertificacinalosmdulosdeseguridadHSM(HardwareSecurityModules).

A propsito de otras alternativas a los servicios de certificados de Windows Server. Los competidores de
Microsoft (por ejemplo, Entrust y Baltimore) disponen de soluciones muy eficaces cuyos costes son
importantes, sin ofrecer una integracin tan avanzada como la de Microsoft en redes Windows. Los estudios
demuestranqueelcostetotaldepropiedaddelasinfraestructurasPKIestvinculadoengranpartealdespliegue
yalarenovacindeloscertificados.Estepuntoespues,particularmenteimportante,yaqueslolosserviciosde
certificadosdeWindowsServer2003ydeWindowsServer2008soportanlainscripcindinmicaylarenovacin
automticadeloscertificadosparalosequiposytambinparalosusuarios.

LosPKIMicrosoftpuedenaumentarfcilmenteelniveldeseguridadamltiplesniveles.Laintegracindelos
serviciosdecertificadosMicrosoftenlosserviciosdedirectorioActiveDirectorypermitedesplegarunsistema
de autenticacin multifactorial como las tarjetas inteligentes. Tambin es posible utilizar el protocolo IPSec
paraasegurarlaconfidencialidadylaintegridaddelosdatostransmitidosporlaredascomoelcifradode
los ficheros EFS (Encrypting File System), para asegurar la confidencialidad de los datos almacenados en
discosNTFS.
LosPKIMicrosoftseaprovechandeunaadministracinsimplificada.Laempresapuedeentregarcertificados
y, en relacin con otras tecnologas, suprimir el uso de contraseas. Se facilitan mucho las funciones de
revocacinylapublicacindelaslistasderevocacindecertificados.Unavezms,losadministradoresse
beneficiarn de la integracin de los servicios de certificados con el directorio Active Directory, de las
directivasdegrupo,delasaplicacionesintegradasenActiveDirectory,delosobjetosusuarioyequiposas
comodelosserviciosdeautenticacinydeproteccindered(serviciosRadiusIASyserviciosNAP(Network
AccessProtection)deWindowsServer2008).

c.ImportanciadelaArquitecturadeunainfraestructuradeclavepblica
Esmuyimportanteconsiderarelcarcter"crticoycentral"deunainfraestructuraPKIenunsistemadeinformacin
deunaempresa.Dehecho,losserviciosofrecidosporunaPKIsirvendecomponentesdeseguridadparanumerosas
aplicaciones y son tan importantes como las aplicaciones. Los siguientes puntos, si se tienen en cuenta, pueden
servircomopuntodereferenciaparaevitarloserroresmsfrecuentes.

- 32 -

Estudieyvalidetodoslospuntosrelativosalaarquitecturayaldespliegue"enlasreglasdelatcnica"de
su infraestructura PKI. Cada empresa tiene sus propias limitaciones y exigencias en trminos de niveles y
prcticasdeseguridad,tambinexistenmltiplessoluciones,cadaunaadaptadaacadacaso.
Busque la simplicidad. Las tecnologas, procesos y mtodos relativos a las infraestructuras PKI son
complejas.Siendoelprimerobjetivoreforzarlaseguridaddelosusuarios,equiposyaplicacionesdisponibles
en la red, es indispensable ocultar los detalles y la complejidad de las tecnologas PKI promocionando su
ladofuncional.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

8.NovedadesaportadasporlasAutoridadesWindowsServer2008
WindowsServer2008esunaversinimportanteenmuchosaspectos,particularmenteenmateriadeseguridad,de
fiabilidad y de interoperabilidad. De hecho, los servicios de certificados, ahora llamados AD CS, evolucionan para
permitirunmejorusoglobaldelasinfraestructurasdeclavespblicas.
El hecho de que los servicios de certificados de Windows Server 2008 lleven ahora el nombre de "Active Directory
CertificateServices"nosignificaquenoseaposibledesplegarunaautoridaddecertificacinenmodoautnomo,sinla
presenciadelosserviciosdedominioActiveDirectory.
Microsoft pone en evidencia la importancia de los servicios Active Directory cuando se quiere desplegar una
infraestructuradeclavespblicasimplementadaatravsdelosserviciosdecertificadosdeWindowsServer
2008.
ElobjetivoprincipaldelasmejorasaportadasalosserviciosdecertificadosdeWindowsServerestesencialmente
enfocadoaunagestinanmsflexibleyprecisadelaobtencindeloscertificadosporlosclientes.
LasnovedadesmssignificativasaportadasporWindowsServer2008conADCSsonlassiguientes:

ElcontroldelosparmetrosglobalesconPKIView.
El soporte del protocolo SCEP (Simple Certificate Enrollment Protocol). Las infraestructuras PKI de Windows
Server2003,ytambindeWindows2000Server,participaronenlaimplementacindemtodosinteligentes
para que la inscripcin de los certificados de ordenadores y usuarios sea lo ms transparente posible.
Actualmente, el servicio NDES (Network Device Enrollment Service) permite la entrega de certificados de
dispositivos de red, como por ejemplo los routers, los servidores VPN o cualquier otro elemento activo que
debadisponerdeuncertificado.
ParaimplementarmejorlosescenariosquefavorecenlosmtodosbasadosenlaWeb(formulariosdepeticin
deinscripcin,etc.),losserviciosADCSaportanmodificacionesimportantesalainterfazdeinscripcinWeb.
ElsoportedelprotocoloOCSP(OnlineCertificateStatusProtocol)tieneporobjetofacilitarlaimplementacinde
lasinfraestructurasPKIcomplejas,incluyendocuandoesnecesarioponerenfuncionamientositiosremotos.
Unagranprecisinyfacilidaddeadministracinconlosnuevosparmetrosdedirectivasdegrupodisponibles
conWindowsVistayWindowsXPProfessionalparadesplegardiferentestiposdecertificados.Ocurreigualen
larenovacindedichoscertificados,tareaquepuedesertodavamscostosaquelainscripcininicial.

a.NuevocomponenteMMCPKIdeempresa
Este nuevo complemento de administracin facilita las tareas de administracin esenciales de infraestructuras de
clave pblica integradas en un entorno Active Directory. Permite la supervisin, la solucin de problemas, y da un
rpidovistazoalestadodefuncionamientodelasjerarquasdeautoridadesintegradasenActiveDirectory.
Enunprincipio,estaherramientaformabapartedelkitderecursostcnicosdeWindowsServer2003yahoraforma
partedelaherramientasdeadministracindeWindowsServer2008.

EstadoglobaldelosserviciosdecertificadosatravsdelcomplementoMMCPKIdeempresa
La primera funcionalidad de esta herramienta es permitir una visibilidad eficaz del estado del entorno vital de las
autoridadesdecertificacin.Tambinesposiblevisualizarlaaccesibilidadyvalidezdelainformacindeaccesode
autoridad AIA (Authority Information Access), as como el estado de los puntos de distribucin (Certificates

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 33 -

DistributionPoints)quecontienenlaslistasderevocacindecertificados(CRL).Setienenencuentalossiguientes
estados:

EnlneayFueradelneadelasautoridades.

Problemacrtico.

Problemanocrtico

Operativo

El complemento MMC PKI de empresa permite tambin el acceso simplificado a las funciones de administracin de
serviciosdecertificadosADCS.Esfcil,conestaherramienta,corregiromodificarlosparmetrosdeunaautoridad
decertificacinoinclusopublicaroactualizarlaslistasderevocaciones.
LasiguientefiguramuestraelestadodebuenfuncionamientodelaautoridaddecertificacinAddscorpCA.

ListadelasCAysuestado

b.InscripcindelosdispositivosderedconelprotocoloMSCEP
Las autoridades de certificacin de Windows Server 2008 soportan el protocolo SCEP (Simple Certificate Enrollment
Protocol),queesactualmenteunareferenciacomoestndardeInternetdetipodraft.EsteRFCdescribeelprotocolo
decomunicacincapazdepermitiradiversostiposdeelementosderedcomunicarseconunaautoridadderegistro
RA (Registration Authority), para la inscripcin de los certificados. El protocolo SCEP ya poda implementarse en
Windows Server 2003 a travs de IIS 6.0 y un filtro ISAPI instalado directamente en la autoridad de certificacin,
actualmenteestaposibilidadestintegradaenlosserviciosADCS.
Windows Server 2008 implementa funcionalidades ms avanzadas que la versin publicada en IETF. Esta
versinsedenominaMSCEPporMicrosoftSCEP.Enunprincipio,elprotocoloSCEPhasidodesarrolladopor
Cisco como extensin de los mtodos de inscripcin que existan anteriormente. Est basado en el protocolo
desarrollado por VeriSign para el hardware Cisco. Puede obtener ms detalles en la siguiente direccin:
http://www.ietf.org/internetdrafts/draftnoursescep14.txt

ElprotocoloSCEPnoestdisponibleenlasversionesStandardyWebdeWindowsServer2008,sloenlas
versionesEntrepriseyDatacenter.
LaimplementacindelaDLLISAPIresponsabledelprotocoloMSCEPimplementalassiguientesfuncionalidades:

Lageneracindecontraseasdeusonico(onetimepasswords)paralosadministradores.
La puesta en marcha de las peticiones de inscripcin transportadas por el protocolo SCEP salidas de
perifricosderedcomoswitchs,routersuotroselementosactivosquesoportanelprotocoloSCEP.
Larecuperacindelaspeticionesenesperaalmacenadasenlaautoridaddecertificacin.

Instalacinymtododedespliegue
- 34 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

El despliegue de los servicios de inscripcin de dispositivos de red necesita un mnimo de planificacin. El primer
conceptoconsisteeninstalarelservicioadecuado,quenosepuedeinstalaralmismotiempoquelaautoridadde
certificacin.

AadidodeunserviciodefuncinconelAdministradordeservidorWindowsServer2008ydelosserviciosde
certificadosActiveDirectory
Esta primera etapa se realiza muy fcilmente utilizando la opcin Agregar servicios de funcin en la categora
ServiciosdeCertificateServerdeActiveDirectorydelAdministradordelservidor.Acontinuacin,elasistentede
instalacinnecesitarinformarlossiguientesparmetros:

Declarar la identidad utilizada por el servicio de inscripcin de dispositivos de red. Tendr la posibilidad de
utilizar una cuenta de servicio o la autoridad integrada Network Service, sabiendo que se recomienda la
primeraalternativa.ObservequeenestecasolacuentacreadatienequesermiembrodelgrupoIIS_IUSRS.
Declararelnombredelaautoridadderegistro(RegistrationAuthority), sin omitir la informacin de regin y
pas,queseincluyenentodosloscertificadosMSCEPentregados.
DeclararlasCSP(CryptographicServiceProvider),quesedebenutilizarparagenerarlasclavesdecifradoque
seutilizarnparacifrareltrficoentrelaautoridaddecertificacinylaautoridadderegistro.Tambinser
necesariohacerelmismotipodeeleccinrespectoalaseguridaddelosflujosentrelaautoridadderegistro
y el o los dispositivos de red. En los dos casos, ser necesario definir el tamao de las claves de cifrado,
fijadaspordefectoa2048bits.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 35 -

Aadidodelserviciodeinscripcindedispositivosdered

Atencin!Elprocesodeinstalacindelosserviciosdeinscripcindedispositivosderedinscribeunanueva
autoridadderegistroysuprimeloscertificadosdelasanterioresautoridadesderegistroquesehubieran
instalado anteriormente. Microsoft recomienda que en el caso en que sea necesario instalar una RA en una
mquinaenlaqueyasehubierahechounainstalacin,secierrenlosprocesosencursoparanoperderningn
dato.
Elprocesodeinscripcinsecomponedelassiguientesetapas:
1.ElperifricoderedgeneraunpardeclavesdetipoRSA.
2.EladministradorobtieneunacontraseadelserviciodeinscripcindeldispositivodereddeWindowsServer2008
conlapginadeadministracindelosserviciosdeinscripcindedispositivosdered.Elserviciocompruebaqueel
administradordisponedelospermisosnecesariossobrelasplantillasdecertificadosrequeridas.

- 36 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Accesoalainterfazdeadministracindelserviciodeinscripcindedispositivodered
3.Eladministradorconfiguraeldispositivoconlacontraseaydeclaraelcertificadodelaautoridaddecertificacin
de empresa utilizado. Esta operacin es especfica para cada perifrico pero utiliza generalmente la funcin
GetCACertimplementadaporelservicioSCEP.
4. El administrador configura el dispositivo para enviar la peticin de inscripcin al servicio de inscripcin de
dispositivosderedquefuncionaenelservidorWindowsServer2008.
5.ElserviciodeinscripcindedispositivosderedfirmalapeticindeinscripcinconelcertificadodetipoAgentede
inscripcinydespusloenvaalaautoridaddecertificacin.
6.Laautoridaddecertificacinemiteelcertificadoytransmitelainformacinalserviciodeinscripcindedispositivos
dered.
7.Eldispositivorecuperaelcertificadoemitidoapartirdelserviciodeinscripcindeperifricosdered.
Alfinaldelproceso,eldispositivoescapazdeimplementarlosmecanismoscriptogrficosquesonnecesariossobre
labasedelpardeclavespblica/privada.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 37 -

ProcesodeinscripcincompletoconunaRA(RegistrationAuthority),ydelprotocoloSCEPconWindowsServer2008

SecurizacindelprotocoloSCEPyconfiguracindeIIS
Duranteelprocesodeinstalacin,elasistentedeconfiguracindelosserviciosdeinscripcindeperifricosdered
proponeinstalaryconfigurarMicrosoftIISyloscomponentesIISrelacionadosnecesarios.
Duranteestafase,secreandosdirectoriosvirtuales:

Elprimerdirectoriovirtualseutilizaenlaspeticionesdecontraseas.

Elsegundodirectorioseutilizaenelenvodelaspeticionesdecertificados.

Las peticiones de contraseas slo se pueden hacer despus de que el usuario haya sido autenticado y que se
hayancomprobadolospermisosnecesarios.Sisevalidaelusuario,elserviciogenerarunanuevacontrasea,que
seretornarentextoclaro.

PorestaraznesnecesarioimplementarSSLeneldirectoriovirtual.

ParmetrospordefectodelservicioSCEP
El servicio de inscripcin de dispositivos de red se configura por defecto para satisfacer a la mayora de las
configuraciones. Todos los parmetros de configuracin del servicio se ubican en la siguiente clave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP

- 38 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

En el caso en que la clave anterior no exista, el servicio de inscripcin de perifricos de red utilizar los
parmetrospordefecto"hardcode"
Para obtener ms detalles sobre la implementacin y los parmetros avanzados del servicio de inscripcin de
dispositivos de red, puede descargar el documento Active Directory Certificate Services: Network Device
EnrollmentServiceenlasiguientedireccin:
http://www.microsoft.com/downloads/details.aspx?FamilyID
=
10845bc8d446&displaylang=en

e11780de819f40d78b8e

Implementacin de restricciones en los Agentes de inscripcin delegados en el certificado de la autoridad de


registro(RACertificate)
Microsoftrecomiendarestringirlosagentesdeinscripcindeclarandoencadaautoridaddecertificacinquefunciona
enWindowsServer2008Agentesdeinscripcinespecficamenteconfigurados.Desestemodo,cadacertificadode
agentedeinscripcinslolopodrnutilizaralgunosdispositivos.
El hecho de no crear una delegacin implica que el servicio de inscripcin de dispositivos de red tiene el
poderdeentregarcertificadosparatodoelquelopida.Observequeestafuncionalidadnoestdisponible
msqueenlasautoridadesdecertificacinquefuncionanenWindowsServer2008EditionEntreprise.
LasiguienteventanamuestraqueMariaValerodisponedeunarestriccinquelepermite,enlaplantilladenominada
Cifrado CEP autorizar al usuario Miguel Lpez inscribir un certificado basado en esta plantilla, mientras que el
usuarioJMartinezdisponedepermisosdiferentes.

Declaracindelasrestriccionesenlosagentesdeinscripcionesconlaspropiedadesdelosserviciosdecertificados
ADCSdeWindowsServer2008

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 39 -

LaadministracindelasrestriccionesnecesitaunaautoridaddecertificacinquefuncioneenWindowsServer2008
Dehecho,WindowsServer2003EditionEntreprisenopermiteaunagentedeinscripcininscribircertificadospara
algunos sujetos particulares. Las autoridades de certificacin que funcionan en Windows Server 2008 permiten
ahoraaunaempresacontrolardemaneramuyestrictaquplantillasdecertificadospuedeutilizarelagenteypara
qu.Elhechodelimitarelmbitodelosagentesdeinscripcin,permitecontrolarmejorladelegacindelaconfianza
atercerosaprobadosylosriesgosasociados.
http://www.microsoft.com/downloads/details.aspx?familyid
=
0539ba21ab95&displaylang=en

9bf17231d8324ff98fb8

Definicindeunperiododevalidezcorrectoparaloscertificadosdedispositivos
Hay que encontrar un punto medio entre la facilidad de administracin y el nivel de seguridad exigido. Durante el
periododevalidezdelcertificadosetendrqueproducirelprocesodeinscripcinyderenovacin.Elinconveniente
deunapolticacomostaesqueunhackerdispondrademstiempoparacalcularlaclaveprivada.
Por defecto, el periodo de validez se fija en un ao. Se recomienda slo para un nmero limitado de
dispositivos,ysielriesgoenmateriadeseguridadesaceptable,elperiododeseguridadsepodrextender
adosaos.Unapolticacomostapermiteminimizarlasoperacionesderenovacindecertificadosy,portanto,
minimizarlastareasdeadministracin.

SecurizacindelaspeticionesydisponibilidaddelservicioSCEP
Noesnecesarioqueelservicioderegistrodedispositivosestdisponiblepermanentemente.Dehecho,unvezuno
o ms dispositivos se inscriben, se recomienda parar los servicios IIS. Para poder renovar los certificados que
expirensetendrquearrancarelservicioIIS.
En el caso en que otras aplicaciones utilicen el servicio IIS, es posible parar slo el pool de aplicaciones
utilizado por el sitio responsable de los servicios de registro de dispositivos. El hecho de parar IIS borra
todoslosdatostemporalesutilizadosporelservicioSCEP,comoporejemplo,lascontraseasenespera.

c.EvolucindelosmtodosdeinscripcinWebconADCS
WindowsServer2008introduceuncambioimportanterelativoalsoportedelregistrodecertificadosatravsdeuna
interfaz Web. Este mtodo, disponible desde Windows 2000 Server, ofrece un servicio de entrega completamente
personalizable para emitir certificados utilizados por numerosas aplicaciones que utilizan tecnologas criptogrficas
basadas en la utilizacin de claves pblicas y privadas. La utilizacin de esta interfaz Web es particularmente
interesante,ynecesaria,cuandolaestacindetrabajonoformapartedeundominioActiveDirectoryobiencuando
laautoridaddecertificacinestsituadaenotrobosqueActiveDirectory.
EnWindowsServer2008yWindowsVista,elcontrolActiveXXenrollsereemplazaporCertEnroll.dll
WindowsServer2008yWindowsVistaintroducenunnuevocomponenteCOMdirectamenteincluidoenelsistema
operativoparaimplementaroperacionesrelativasalainscripcindeloscertificados.
Este nuevo componente, CertEnroll.dll, se ha desarrollado especficamente para Windows Server 2008 y Windows
Vista.Deestemodo,noesnecesarioinstalaryutilizarelantiguocontrolActiveXXenroll,queapareciconWindows
2000yactualmenteseconsideramuyfrgilypocoseguro.

- 40 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

ElcomponenteCertEnroll.dllClientedeinscripcindelosserviciosdecertificados
Como ocurra con Windows Server 2003, las autoridades de certificacin que funcionan con Windows Server 2008
tienen una interfaz Web que implementa las operaciones de inscripcin a travs de un navegador como Microsoft
InternetExplorer6.xoNetscape 8.1.
LasiguientefigurailustralautilizacindelcontrolActiveXXenrollMicrosoftCertificateEnrollmentControl,publicado
por Microsoft y disponible en servidores que funcionen con Windows Server 2008 con los servicios de certificados
ActiveDirectoryADCS.

DescargaeinstalacindelcontrolActiveXenunaestacindetrabajoWindowsXPProfessional

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 41 -

LasautoridadesdecertificacinADCSpermitenalasmquinasquefuncionanconWindows2000,Windows
XPyWindowsServer2003usarelcontrolXEnroll.LossistemasquefuncionanconWindowsVistautilizande
modonativoelnuevocomponenteCertEnroll.dllyanopuedenutilizarelantiguocontrolActiveX.

InteroperabilidaddelasinterfacesdeinscripcinWebdeWindowsServer2003ydeWindowsServer2008
HemosvistoanteriormentequelasautoridadesdecertificacinquefuncionanenWindowsServer2008soportaban
alavezmquinasconWindows2000,WindowsXPyWindowsServer2003perotambinmquinasWindowsVistay
WindowsServer2008.
Pordesgracia,noocurrelomismoconlasautoridadesdecertificacindeWindowsServer2003quenosoportanel
reconocimientodeWindowsVista.Losnivelesdeinteroperabilidadsonlossiguientes:

EstacionesdetrabajocuyosistemaoperativoesanterioraWindowsVista:estasmquinassonsoportadas
porlasautoridadesdecertificacinWindowsServer2003,WindowsServer2003SP1ySP2.Lasautoridades
decertificacinWindowsServer2008soportantambinestasmquinas,perodemaneralimitada.
Estaciones de trabajo cuyo sistema operativo es Windows Vista o posterior: estas mquinas no son
soportadasporlasautoridadesdecertificacinWindowsServer2003oWindowsServer2003SP1.Cuando
utilice la interfaz Web de inscripcin se mostrar el siguiente mensaje: Unsuccessful together with a
DownloadingActiveXcontrolmessage.LomismoocurreconlasautoridadesdecertificacinWindowsServer
2003 SP2. No obstante el mensaje indicar que es necesaria una actualizacin. Las autoridades de
certificacin Windows Server 2008 soportan totalmente las mquinas que funcionan con Windows Vista o
posteriores.

ParaobtenermsindicacionessobreelsoportedelainterfazWebdeinscripcindecertificadosyelproceso
deinstalacindelainterfazdelosserviciosdecertificadosADCSdeWindowsServer2008enunservidor
quefuncioneconWindowsServer2003,puedeconsultarelartculotcnicoMicrosoft922706titulado"Howtouse
CertificateServicesWebenrollmentpagestogetherwithWindowsVista".

WindowsServer2008,IIS7.0yelmodox64
LamayoradeprocesadoresIntelyAMDactualessoportanelfuncionamientodeedicionesde32bitsy64bitsde
WindowsServer.Elfuncionamientoenmodo64bitsatravsdeWindowsServer2003x64oWindowsServer2008
x64puedenecesitaralgunasvalidacionesfuncionales.
Dehecho,IISpuedefuncionarenunaplataformax64enmodox64ox86,esdecirenmodo32bits.SiinstalaIISen
un servidor que ejecuta un versin x64 de Windows Server 2008, debe tener cuidado de no instalar aplicaciones
Webde32 bits.
En el caso en que una aplicacin Web 32 bits se instale en un mquina con Windows Server 2008 x64,
como, por ejemplo, WSUS, IIS funcionar en modo 32 bits. La aplicacin Web 32 bits funcionar pero el
serviciodeinscripcinWeb,quenecesitaunaplataformax64,nofuncionar.

ModificacionesenlainscripcinWebconlosserviciosADCS
ConvienedestacarquelainterfazWebintegradaenlosserviciosdecertificadosADCSintroducealgunoscambios
respectoalaanteriorversindeWindowsServer2003.

- 42 -

Para poder enviar directamente una peticin de certificado a travs de las pginas de inscripcin Web, es
necesario disponer de una versin de navegador superior o igual a Microsoft Internet Explorer 6.x o
Netscape8.1.Losusuariosquenodispongandeestasversionesdelnavegadordebernrealizarlapeticin
delcertificadogenerandounapeticinPKCS#10,siempreconlapginadeinscripcinWeb.
NoesposibleutilizarlaspginasdeinscripcinWebpararealizarlaspeticionesdecertificadosbasadosen
lasplantillasdecertificadosversin3.0,disponiblessloatravsdeautoridadesquefuncionanenWindows
Server2008.Loscertificadoscreadosenbasealasplantillasdecertificadosversin3.0soportanlaemisin
decertificadosutilizandolosprotocoloscriptogrficosdelasuiteB.
En Windows Vista no es posible que un usuario pueda pedir certificados de tipo equipo a travs de la
interfazWeb.EstalimitacinseexplicayaqueenlasmquinasquefuncionanconWindowsVista,Internet
Explorernosepuedeejecutarenelcontextodelamquinalocal.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

NosepuedenutilizarlasposibilidadesaportadasporlosAgentesdeinscripcinyaqueestasfuncionalidades
se han suprimido de las pginas de inscripcin Web incluidas con los servicios de certificados AD CS de
WindowsServer2008.Estafuncionalidaderaparticularmenteinteresanteparainscribirtarjetasinteligentes
paralosusuarios.SideseautilizarestafuncionalidadconunaautoridaddecertificacindeWindowsServer
2008, se recomienda utilizar Windows Vista en la mquina que desempea la funcin de equipo de
inscripcindetarjetasinteligentes.

d.OCSPyparmetrosdevalidacindelarutadeacceso
Amedidaquelautilizacindeloscertificadosylanecesidaddeproteccindedatosaumentan,losadministradores
utilizandirectivasdeconfianzadecertificadosparamejorarelcontroldeutilizacindeloscertificados.Adems,una
administracin no centralizada de los certificados puede convertirse rpidamente en una tarea de administracin
imposible.EsporestoqueWindowsServer2008yWindowsVistaofrecenactualmenteunavancesignificativopara
controlar mejor todos los procesos de registro as como la verificacin de las rutas de acceso a la informacin de
autoridadesenparticularrelativasalasderevocaciones.EsenesteltimopuntoenqueelprotocoloOCSP(Online
CertificateStatusProtocol)permiteadministrarmejorlainformacinderevocacin.
Afindegarantizarunagestinhomogneadeestosimportantesparmetrosdeseguridad,serecomienda
administrar los certificados usando parmetros de directiva de grupo que se aplican a los clientes en un
dominio Active Directory, un grupo, o una unidad organizativa. Los detalles de los parmetros importantes se
presentanmsadelante.
Elprocesoderevocacinesunaparteimportantedelagestindeloscertificados.Dehecho,cuandosepresentaun
certificado a una aplicacin, la aplicacin determina el estado de revocacin del certificado comprobando si dicho
certificadoestincluidoonoenlalistaderevocacinCRL(Certificate Revocation List)publicadaporlaautoridadde
certificacin.
Un equipo toma la iniciativa de descargar una lista de revocacin a partir de un punto de distribucin CDP (CRL
DistributionPoint)slocuandolaCRLqueestencachdelamquinahaexpirado.Laslistasderevocacinimponen
variaslimitaciones.Lascuestionesrelativasaestaslimitacioneslosonenrelacinconlassiguientesproblemticas:

ConqufrecuenciaseactualizanlasCRLenlasautoridadesdecertificacin?

ConqufrecuenciasepublicanlasCRLenlosCDP?

QuimpactotieneenlaredlapublicacindelasCRL?

Los inconvenientes de las listas de revocacin son generalmente su tamao que presenta limitaciones y
efectossecundarios.Enfuncindelnmerodeestacionesdetrabajo,delnmerodecertificadosrevocados,
aumentaelanchodebandaconsumidoyesnecesariocompensarlolimitandolafrecuenciadelasactualizacionesy
descargasdelasCRL.
Para responder a estas consideraciones, los servidores Windows Server 2008 soportan el protocolo OCSP (Online
CertificateStatusProtocol)definidoporelRFC2560.Esteprotocoloseimplementaatravsdelservicioderespuesta
enlneaqueproporcionalainformacinderevocacindecertificados,evitandoaslacomprobacinyladescargade
laslistasderevocacindecertificados.
La respuesta en lnea implementada en Windows Server 2008 permite al destinatario de un certificado
enviarunapeticindeestadodelcertificadoauncontestadorOCSPatravsdelprotocoloHTTP(HyperText
Transfer Protocol). El contestador OCSP reenva una respuesta firmada digitalmente que indica el estado del
certificado.AdiferenciadelosCRLqueaumentandemaneraincremental,lacantidaddedatosacomprobarpor
peticin es constante. No hay pues, relacin entre el nmero de certificados revocados por la autoridad de
certificacinyelnmerodecomprobacionesdevalidezdeloscertificadosenlaempresa.

Para obtener ms informacin sobre el protocolo OCSP, puede consultar el RFC citado anteriormente, as
como en la direccin Microsoft http://go.microsoft.com/fwlink/?LinkID= 71068. RFC 5019: The Lightweight
Online Certificate Status Protocol (OCSP) Profile for HighVolume Environments. RFC 4806: Online Certificate
Status Protocol (OCSP) Extensions to IKEv2. RFC 4557: Online Certificate Status Protocol (OCSP) Support for
Public Key Cryptography for Initial Authentication in Kerberos (PKINIT). RFC 2560: X.509 Internet Public Key
InfrastructureOnlineCertificateStatusProtocol.

TodoslosRFCsepuedendescargarenladireccinhttp://www.rfceditor.org/

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 43 -

Componentesdelarespuestaenlnea
ElservicioderespuestaenlneaincluidoconWindowsServer2008contienelossiguienteselementos:

Servicio de respuesta en lnea: el servicio de respuesta en lnea decodifica una peticin de estado de
revocacin para un certificado concreto, evala el estado y enva una respuesta firmada. Esta respuesta
contienelainformacindelestadodelcertificado.

Observe que el servicio de respuesta en lnea es un componente distinto a una autoridad de certificacin
(CA).Porrazonesdeseguridad,sepodrinstalarindependientementedeellaenunservidordiferentedela
autoridaddecertificacin.

InstalacinslodelserviciodelafuncinRespuestaenlnea

Respuesta en lnea:unservidorenelqueseejecutanelservicioderespuestaenlneaascomoelproxy
Web del contestador. Un equipo que alberga una autoridad de certificacin puede ser configurado
igualmentecomocontestadorconectado,peroserecomiendaconservarlasautoridadesdecertificacinylos
contestadoresconectadosenequiposdistintos.

Observequelarespuestaenlneanicapuedeproporcionarlainformacindelestadoderevocacinpara
loscertificadosentregadosporunaomsautoridades.Lainformacinderevocacinpuedeseremitidapor
variosserviciosderespuestaenlnea.Elserviciocontestadorconectadosepuedeinstalarencualquierservidor
WindowsServer2008EditionEntrepriseoDatacenter.

Losdatosderevocacindecertificadossederivandeunalistaderevocacindecertificados(CRL)publicada
quepuedeprovenirdeunaautoridadWindowsServer2008,WindowsServer2003,Windows2000Server,
odecualquierautoridadnoMicrosoft.

- 44 -

ProxyWebdelarespuestaenlnea:lainterfazdelservicioderespuestaenlneaexistebajolaformade
una extensin ISAPI albergada por los servicios IIS. El proxy Web recibe y decodifica las peticiones y
gestionalacachdelasrespuestas.
Configuracin de revocacin: una configuracin de revocacin contiene los parmetros necesarios para
responderalaspeticionesdeestadodecertificadosquesehayanemitidoatravsdelautilizacindeuna
clave de autoridad de certificacin especfica. Estos parmetros incluyen el certificado de la autoridad, el
certificadodefirmadelservicioderespuestaenlneayeltipodeproveedorautilizarenlarevocacin.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Proveedores de revocacin: un proveedor de revocacin es el mdulo de software que, junto con otros
parmetrosdeconfiguracinderevocacin,permiteaalservicioderespuestaenlneacomprobarelestado
de un certificado. El proveedor de revocacin Windows Server 2008 utiliza los datos de las listas de
revocacin(CRL)paradarlainformacindeestado.
Grupo de servicios de respuesta en lnea:ungrupodeserviciosderespuestaenlneacomprendeunoo
variosserviciosderespuestaenlneamiembros.Puedeaadircontestadoresconectadossuplementariosa
ungrupodecontestadoresconectado.

Puedeserinteresanteaadircontestadoresconectadosaungrupoexistenteparaadministrarubicaciones
geogrficas diferentes, para mejorar la tolerancia a errores o bien para administrar eventuales problemas
derendimientoensitiosimportantes.

Controladordegrupodeserviciosderespuestaenlnea:cuandodiferentescontestadoresconectadosson
miembrosdeunmismogrupo,undelosmiembrossedesignacomocontroladordelgrupo.

Cadaservicioderespuestaenlneadeungruposepuedeconfigurarindependientemente.Sinembargo,en
casodeconflicto,lainformacindeconfiguracindelcontroladordelgruposerprioritariarespectoaotros
miembrosdelgrupo.

Configuracindeserviciosderespuestaenlneaenunared
La configuracin de servicios de respuesta en lnea necesita varias etapas que deben efectuarse a nivel de la
autoridad de certificacin para entregar los certificados de firma OCSP (Online Certificate Status Protocol). Estos
certificados son necesarios para el funcionamiento de cada equipo que desempea la funcin de servicio de
respuestaenlnea.

CertificadodetipoFirmaOCSPparainstalarenelservidorquetengaelserviciodeRespuestaenlnea
Esnecesariodeclararlaplantilladecertificadoapropiada,activarlaplantilladecertificadoenlaautoridademisoray

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 45 -

porltimo,activarelregistrosautomticoenelservidorqueacojaelservicioderespuestaenlnea.Estaltimafase
permitealamquinaautorizadaobtenerelcertificadonecesarioparaelfuncionamientodelservicioderespuestaen
lnea.
El proceso completo de instalacin y configuracin de un contestador conectado necesita la utilizacin del
Administrador del servidor para instalar el servicio contestador conectado, el complemento MMC Plantillas de
certificados para configurar y publicar los modelos de certificados de tipo Firma de respuesta OCSP, del
complementoMMCAutoridaddecertificacinparaincluirlasextensionesOCSP.Laltimafaseconsisteenutilizarel
complemento Respuesta en lneapara crear una configuracin de revocacin y comprobar el buen funcionamiento
delservicioconunequipocliente.
Lasiguientefigurailustraelcertificadoutilizadoyobtenidoatravsdelainscripcinautomtica.

Visualizacindelestadodeconfiguracindeunaconfiguracinderevocacin

DeclaracindelaubicacindelservicioderespuestaenlneaOCSPenlaextensindeaccesoalainformacin
delaautoridadenlaautoridaddecertificacin
LafasefinaldeconfiguracinconsisteenintroducirlaolasURLdecadaservicioderespuestaenlnea.Lasetapas
deconfiguracinsonlassiguientes:

En la autoridad de certificacin, con la consola de administracin MMC Autoridad de certificacin, seleccione la


autoridaddecertificacinyenelmenAccin,hagaclicenPropiedades.
HagaclicenlapestaaExtensiones.
EnlalistaSeleccionarlaextensin,hagaclicenAccesoalainformacindeentidad(AIA),yacontinuacinen
Agregar.
Especifique las ubicaciones a partir de las cuales los usuarios pueden obtener los datos de revocacin de
certificados.Pordefecto,setratardeunaURLcomohttp://ServerOCSP/ocsp

Atencin! Recuerde activar la casilla Incluir en la extensin del Protocolo de estado de certificados en
lnea(OCSP).

Enestepunto,asegresequelaplantilladecertificadoFirmadelarespuestaOCSPestenlacategora
Plantilladecertificadosaniveldelaautoridaddecertificacin.

- 46 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

InformacindeAIAdelaautoridaddecertificacinydeclaracindelaURLdelarespuestaenlnea

ComprobacindelbuenfuncionamientodelaRespuestaenlneaOCSP
Despus de la instalacin de un nuevo servicio de respuesta en lnea, es indispensable comprobar que funcione
correctamente.Elprocesoconsisteenrevocarunoomscertificadosemitidosydespuscomprobarelserviciode
respuesta en lnea devuelve los datos de revocacin. Esta operacin necesita que disponga de privilegios de
administradoraniveldeautoridaddecertificacin.Lasdiferentesoperacionesarealizarsonlassiguientes:

Declare una o ms plantillas de certificado en la autoridad de certificacin. Puede utilizar cualquier mtodo de
inscripcinsoportadoporlaautoridadylaestacindetrabajoconelfindeobtenerunoomscertificadospara
revocar.Elregistroautomticodeloscertificadoseselmtodomsmodernoymsseguroparalasestacionesde
trabajoquefuncionanconWindowsVistaoWindowsXP.

UnavezsehapublicadolainformacinrelativaalasnuevoscertificadosenlaconfiguracinActiveDirectory,
puedeverseobligadoaesperarlareplicacinActiveDirectoryobienaforzarlareplicacindelcontroladorde
dominio con el comando repadmin, de la herramienta Replmon o de la consola MMC Sitios y Servicios Active
Directory.

En una estacin de trabajo, abra la lnea de comandos e inicie un ciclo de registro automtico para obtener un
certificadoatravsdelcomandocertutilpulse.
En la estacin de trabajo, utilice la consola MMC Certificados para asegurarse que los certificados se han
entregadoalusuarioyalordenadordemaneracorrecta.

Enelcasoenquelainscripcinautomticanosehayarealizadotodava,puedetecleartambinelcomando
Gpupdate/force.Tambinesposiblereiniciarelordenadorclienteconelfindeforzarelregistroautomtico
yobtenerelcertificadoatravsdelregistroautomtico.

En la autoridad de certificacin, con la consola MMC Autoridad de certificacin, revoque uno o ms de los
certificados entregados a travs del men Accin Todas las tareas Revocar un certificado Seleccione el

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 47 -

motivoderevocacindelcertificado,yconfirmelaoperacin.

Enlaautoridaddecertificacin,conlaconsolaMMCAutoridaddecertificacin,publiqueunanuevaCRLatravs
delmenAccinTodaslastareasPublicar.

PuededecidirnopublicarlistasderevocacinynoutilizarloscontestadoresconectadosOCSP.Parasuprimir
lospuntosdedistribucindelaautoridaddecertificacin,utilicelaconsolaMMCAutoridaddecertificacin,
seleccionelaautoridaddecertificacin,enelmenAccinhagaclicenPropiedades,enlapestaaExtensiones,
elija Puntos de distribucin de lista de revocacin, seleccione el o los puntos de distribucin y haga clic en
Eliminar.

ReinicielosserviciosdecertificadosADCSyprocedaaprobarelfuncionamientodelservicioderespuestaenlnea
a partir de un equipo cliente lanzando la consola MMCCertificadosconelpropsitodeexportarelcertificadoa
probarhaciaunficheroquetengalaextensin.cer.
Unavezelcertificadodelusuarioexportado(porejemploJMartinezExport.cerparaelusuarioJFAprea),tecleeen
lalneadecomandos:certutilurlJMartinezExport.cer

UtilizacindelcomandoCertutilenWindowsVistahaciauncontestadorOSCPquefuncionaenWindowsServer2008
El comando Certutil urlc:\JMartinezExport.cer extrae la informacin de revocaciones del servicio de respuesta en
lnea en funcin de la informacin de AIA (Authority Information Access) declarada a nivel de la autoridad de
certificacin.LasiguientefiguramuestralaURLhttp://winsrv20081.addscorp.corpnet.net/ocspdeclaradaanivelde
lainformacindeaccesoalaautoridad.

- 48 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

InformacindeAIAyprotocolodeestadodecertificadocontectadoOCSP

Publicacindelainformacin
Atencin!Loscertificadossedebenemitirdespusqueelservicioderespuestaenlneahayasidoinstalado
ysedeclareaniveldelainformacindeAIA.
UnavezsehavalidadoelfuncionamientoconlaHerramientaderecuperacindeURLvistaanteriormente,conviene
comprobarlacorrectainterpretacindelainformacinderevocacin.Parallevaracaboestaltimaprueba,proceda
delasiguientemanera:

A nivel de la autoridad de certificacin, revoque el certificado anteriormente validado a travs del estado
Comprobado.
Aniveldelaautoridaddecertificacin,publiqueunanuevalistaderevocacin.

Publicacindelainformacinderevocacinactualizada

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 49 -

AniveldelservicioderespuestaenlneaOCSP,actualicelainformacinderevocacincomoenlasiguiente
figura.

Actualizacindelosdatosderevocacinaniveldelarespuestaenlnea

Ennuestroejemplo,laltimafaseconsisteenvalidarotravezelcertificadodelusuarioJMartinezutilizando
elcomandocertutilurlJMartinezExport.cer.

UtilizacindelcomandoCertutilycontroldelestadodevalidezdelcertificadoatravsdelarespuestaenlneaOSCP
deWindowsServer2008
Esta vez, la comprobacin del certificado, con el protocolo OCSP para el usuario Juanjo Martnez, muestra que el
certificado est en estado Revocado. En este estado, el servicio de respuesta en lnea se puede considerar
totalmenteoperativo.
ComandoCertutilyvalidacindelasCRL
El comando certutil tambin se puede utilizar para ayudar en la resolucin de problemas de comprobacin de la
validezdeloscertificados.Puedebasarseenelmismoprincipioqueelquehemosutilizadoparalaverificacindela
informacinderevocacindelasrespuestasenlnea.
Basta con seleccionar la opcin CRLs (desde CDP) y seleccionar la opcin Recuperar. La herramienta de
recuperacin de URL visualizar el estado de las diferentes listas de revocaciones publicadas a travs de Active
DirectoryyelprotocoloLDAPatravsdelprotocoloHTTP.
Ennuestroejemplo,elcomandosehaescritodelsiguientemodo:
certutilurlhttp://winsrv20081.addscorp.corpnet.net/CertEnroll/AddscorpWinsrv20081CA.crl

- 50 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Comprobacindelcorrectofuncionamientodelaslistasderevocacindecertificadosconelcomandocertutilurl
FicheroEntrada|URL

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 51 -

ActiveDirectoryFederationServices(ADFS)
1.Conceptosfundamentales
LosserviciosdefederacinActiveDirectoryADFS(ActiveDirectoryFederationServices)incorporadosaWindowsServer
2008 forman una plataforma abierta integrante de los sistemas Windows y de sistemas no Windows, para
implementarunasolucindecontrolaccesosbasadaenlasidentidades.
LaprincipalfuncionalidaddelosserviciosdefederacinADFSpermitealasaplicacionesWebsituadasdentroyfuera
de la red permitir un acceso seguro a aplicaciones frontales de tipo Internet en base a cuentas de usuario y
aplicacionessituadasenredesdiferentes.
Este concepto bsico forma parte desde hace aos de los fundamentos de las infraestructuras compuestas de
dominios Windows NT, y despus Active Directory. La idea consiste pues, en reimplementar el concepto para las
aplicacionesnoWindows,esdecirWeb,perosobreunabasecentralunificadoradetipoServiciosdedominioActive
Directory.
As,cuandounaaplicacinubicadaenunareddeterminadadebadaraccesoausuariossituadosenunareddiferente,
generalmente, los usuarios deben utilizar una segunda autenticacin, adems de la primera. Esta segunda
informacin de identificacin representa la identidad del usuario en el contexto de seguridad donde la aplicacin
reside. Los servicios AD FS permiten no tener que utilizar identidades suplementarias implementando relaciones de
confianzacapacesdetransmitirlainformacindeidentidadesalossociosqueaceptenestasmismaidentidades.
La misma idea del principio de federacin de las identidades, permite imaginar numerosos escenarios donde el
despliegue de servicios de federacin AD FS podran ser apropiados. Puede, por ejemplo, desplegar servidores de
federacin en diversas organizaciones para facilitar el despliegue de configuraciones complejas donde sea posible
hacertransaccionesentresociosdeconfianza.Lasrelacionesasociativasbasadasenlasfederacionesdesociosson
adecuadasparalasempresasquerespondenaestasexigenciasylimitaciones:
Entidadesqueponenencomnlosrecursos
Lasempresasqueposeenyadministransuspropiosrecursospuedenporejemplodesplegarservidoresdefederacin
AD FS para permitir a socios de confianza acceder a las aplicaciones Web integradas en AD FS. El concepto de
federacin no se limita a entidades externas pero se puede utilizar respecto a divisiones o filiales de la misma
organizacin.
Entidadesqueponenencomnlasidentidades
Laempresasqueposeenyadministransuspropiasidentidadespuedendesplegarservidoresqueautentiquenalos
usuarioslocalesycreenfichasdeaccesoquelosservidoresdefederacin,ubicadosenlasentidadesquereagrupan
losrecursos,utilizarnconelpropsitodeconcedertalocualpermiso.
ADFS,elSSOparalasaplicacionesWeb
El proceso que permite, estando autenticado en un contexto determinado, acceder a recursos ubicados en un
contexto diferente sin que el usuario se tenga que volver a autenticar, se denomina Inicio de sesin nica o SSO
(SingleSignOn).
Los servicios de federacin Active Directory proporcionan una solucin de autenticacin nica para las aplicaciones
WebenlasesindelnavegadorInternet.
ServiciosdelasfuncionesADFSenWindowsServer2008
ElservidorquealbergalosserviciosdefederacinADFSdeWindowsServer2008incluyelosserviciosdefederacin,
los servicios proxy y los servicios de agente Web. Estos servicios se deben configurar para permitir el SSO de las
aplicacionesWeb,lafederacinderecursosdetipoWebascomolospermisosconcedidosalosusuarios.
SeleccindelosserviciosdefuncionesADFS
En funcin de las limitaciones de la empresa, es posible desplegar servidores especficos en relacin a estas
limitaciones.Acontinuacinseenumeranestasfunciones:

Servicio de federacin: este servicio central est compuesto por uno o ms servidores de federacin que
comparten una poltica de confianza comn. Los servidores de federacin se utilizan principalmente para
encaminar las peticiones de autenticacin emitidas por usuarios ubicados en otras organizaciones o de
clientesdirectamenteubicadosenInternet.
Serviciodeproxydefederacin:esteserviciodesempealafuncindeproxydeautenticacinenunared
perimetral DMZ (DeMilitarized Zone).ElserviciodeproxydefederacinutilizalosprotocolosWSF PRP (WS

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

Federation Passive Requestor Profile) para transferir la informacin de identificacin de los navegadores a los
ServiciosdeFederacinActiveDirectory.

Agente de notificacin, Claimsaware agent: este agente se puede implementar en un servidor Web que
albergue una aplicacin compatible para permitirle solicitar fichas de acceso AD FS. Generalmente, una
aplicacincompatibleesunaaplicacinASP.NETqueutilizaelconceptodefuncinpresentadaenlasfichasde
accesoADFS.Estainformacinpermiteasignarlospermisoscorrectosypersonalizarlasaplicaciones.
Agente basado en las fichas de acceso Windows: este agente se puede utilizar en un servidor Web que
albergueunaaplicacinbasadaenlautilizacindefichasdeaccesoWindowsNTparaasegurarlaconversin
delasfichasdeaccesoADFSenunafichadeaccesoWindowsNT.LasaplicacionesNTbasadasenlasfichas
deaccesoNTutilizanmecanismosdeautorizacionesimplementadosensistemasWindowsNTyposteriores.

Apropsitodelosnotificadores(Claims)
Los servicios de federacin AD FS proporcionan una arquitectura de seguridad extensible que soporta las fichas de
acceso basadas en la norma SAML 1.1 (Security Assertion Markup Language) y en la autenticaciones Kerberos. Los
serviciosADFSpuedenrealizartambinlosmapeosentredosidentidadesylasfuncionesutilizadasporloselementos
delalgicadelasaplicaciones.
Las empresas puede utilizar estos mecanismos para integrar su infraestructura de autenticacin existente as como
susdirectivasdeseguridadinternasenlosserviciosdefederacinActiveDirectory.
Estos elementos tcnicos y lgicos toman la forma de unos objetos denominados notificadores (en ingls, claims).
Estos elementos, que representan en general un cliente, son construidos por un servidor y pueden representar un
nombre,unaidentidad,unaclave,ungrupo,unpermiso,unafuncinocualquierestructuratilenlaadministracinde
laconfianzaenlafederacin.
Conayudadeestasherramientas,losserviciosdefederacinActiveDirectorytransmitenlaconfianzaconcedidaentre
entidades que pueden ser muy diferentes. Los servicios AD FS han sido concebidos para permitir el intercambio de
estos elementos que contienen valores aleatorios. En funcin de estos valores, el socio puede, por ejemplo,
implementartalocualniveldeautorizacinostaoaqullaidentidadaprobada.
Losintercambiosyrelacionespuedentenerlugarycombinarsedelasiguientemanera:

Delalmacenamientodecuentasdeusuarioalserviciodefederacinyalsocioderecursos.

Delsociodecuentasdeusuarioalserviciodefederacinyalrecursodelaaplicacin.

Delalmacenamientodelascuentasdeusuarioalserviciodefederacinyalrecursodelaaplicacin.

2.ADFS:NovedadesaportadasporWindowsServer2008
WindowsServer2008introduceunanuevaversindelosserviciosdefederacinActiveDirectoryahorallamadosAD
FSporActiveDirectoryFederationServices.
Estanuevaversinsoportanuevasfuncionalidadesquehacendeellaunaevolucininteresanterespectoalaanterior
versinincluidaenWindowsServer2003R2.
El objetivo principal de esta nueva versin es permitir una implementacin de escenarios habituales, incluyendo el
soportenativodeaplicaciones.Acontinuacinsepresentanestasevoluciones:

Instalacinsimplificadaeintegradacomonuevafuncindeservidor.Elnuevoasistenteseencargadetodos
losaspectosacomprobarparaasegurarunainstalacinyunapuestaenmarcharpidaysegura.
IntegracindelasaplicacionesdeempresaenADFS.MicrosoftOfficeSharePointServer2007ylosserviciosde
administracindederechosdigitalesADRMS(ActiveDirectoryRightsManagementServices)soportanahoraen
modonativolosserviciosdefederacinAD FS.
Administracinsimplificadadelasdeclaracionesnecesariasparalapuestaenmarchadelasaprobacionesde
federacin. La exportacin y la importacin de los parmetros de aprobacin se han mejorado para permitir
una disminucin de la complejidad de configuracin generalmente asociada a la implementacin de las
federaciones.

3.InstalacindelafuncinADFS
- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

LainstalacindelafuncinADFSseintegradirectamenteatravsdeladministradordelservidordeWindowsServer
2008. Una vez instalados los servicios, ser necesario declarar las diferentes confianzas con el componente MMC
ServiciosADFS.
Los servicios de federacin AD FS son funcionalidades directamente integradas en Windows Server 2003 R2 y
Windows Server 2008. De hecho, los componentes fundamentales AD FS el servicio de federacin, el servicio de
proxydefederacinascomolosagentesWeb,nopuedenfuncionarenversionesanterioresdeWindows.
Atencin!NoesposibleinstalarenelmismoservidorWindowsServerlasfuncionesserviciosdefederaciny
deservicioproxydefederacin.

ElAsistenteparaagregarfuncionesdelAdministradordelservidorpermiteunainstalacinasistidadelafuncin
ADFS

LimitacionestcnicasparalosserviciosdeFederacinADFS
LosserviciosdefederacinADFSdebenrespetarlassiguienteslimitacionesdeinstalacin:

El servidor debe utilizar uno de los siguientes sistemas operativos: Windows Server 2003 R2 Edition
EntrepriseoDatacenter,WindowsServer2008EditionEntrepriseoDatacenter.

InternetInformationServices(IIS),MicrosoftASP.NET2.0,Microsoft.NETFramework2.0.

Despusdelainstalacin,elsitiopordefectoIISdebeconfigurarseparasoportarelcifradoSSL.

Los servicios de federacin necesitan la utilizacin de identidades de servicios de dominios AD DS (Active


Directory Domain Services), o AD LDS (Active Directory Lightweight Directory Services). Los servidores que
desempean la funcin de controladores de dominio deben funcionar con Windows Server 2008, Windows
Server2003R2,WindowsServer2003oWindows2000SP4(conalgunasactualizacionescrticas).

LimitacionestcnicasparalosserviciosdeProxydeFederacin
Los servicios de proxy de federacin (Federation Service Proxy) deben respetar las siguientes limitaciones de
instalacin:

El servidor debe utilizar uno de los siguientes sistemas operativos: Windows Server 2003 R2 Edition
EntrepriseoDatacenter,WindowsServer2008EditionEntrepriseoDatacenter.
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

InternetInformationServices(IIS),MicrosoftASP.NET2.0,Microsoft.NETFramework2.0.

Despusdelainstalacin,elsitiopordefectoIISsedebeconfigurarparasoportarelcifradoSSL.

LimitacionestcnicasparalosserviciosdeAgenteWeb
LosserviciosdeagenteWeb(ADFSWebAgent)ascomolosagentesdeNotificacinolosagentesbasadosenlas
fichasdeaccesoWindowsNT,debenrespetarlassiguienteslimitacionesdeinstalacin:

Elservidordebeutilizarunodelossiguientessistemasoperativos:WindowsServer2003R2EditionStandard,
EntrepriseoDatacenter,WindowsServer2008EditionStandard,EntrepriseoDatacenter.

InternetInformationServices(IIS),MicrosoftASP.NET2.0,Microsoft.NETFramework2.0.

Despusdelainstalacin,elsitiopordefectoIISsedebeconfigurarparasoportarelcifradoSSL.

LimitacionestcnicasparalasAutoridadesdecertificacin
ElsoportedelprotocoloSSlylafirmadelasfichasnecesitaelusodecertificadosdigitales.Esindispensablequelas
autoridadesqueseutilicentenganlaconfianzadelossistemasimplicadosenlainfraestructuraADFS.Puedeutilizar
las autoridades de certificacin de tipo Empresa, es decir, integradas en la configuracin Active Directory. Estas
autoridadesdecertificacindeempresapuedenfuncionarconWindowsServer2008oWindowsServer2003.Puede
utilizartambinautoridadesdecertificacinpblicascomo,porejemplo,lasofrecidasporVeriSign.
LimitacionestcnicasparalosnavegadoresdeInternet
LosserviciosdefederacinADFSsoportanlamayoradenavegadoresdeInternet.LoslaboratoriosdeMicrosofthan
validadoelfuncionamientodelasfuncionesclienteADFSconlasversionesInternetExplorer7,InternetExplorer6,
InternetExplorer5o 5.5,FirefoxySafarienlossistemasAppleMacintosh.Microsoftrecomiendaque,porrazonesde
rendimiento, se active Java Script. Adems, se debe activar el soporte de cookies o, como mnimo, confiar en los
servidoresdefederacinADFSylosservidoresWebalosqueseaccede.
ConfiguracindelosserviciosdefederacinADFS
LaconfiguracindeserviciosdefederacinADFSnecesitaunprocesodeconfiguracincuyoobjetivofinalespermitir
uninicioyunaautenticacinnicaparaelaccesoalasaplicacionesWebparalossociosexternosconconfianza.
Deestemodo,deber:

- 4-

Definir una arquitectura de servicios de federacin adaptados a sus necesidades en funcin de los grandes
escenarios de arquitecturas AD FS. La solucin debe proporcionar los medios a los administradores para
permitir a la empresa alcanzar sus objetivos de administracin federada de las identidades que comparten
estas identidades a travs de las confianzas de federacin, cuando sea necesario. Existen tres grandes
escenarios de arquitecturas: el SSO Web de tipo federado, el SSO Web de tipo federado con confianza de
bosqueActiveDirectory,SSOWebsinningunaconfianzadefederacin.
Agregarlasdiferentesentidadessociosalosserviciosdefederacin.Sepuedetratardesociosderecursoso
desociosdecuentasdeusuario.
Agregaryconfigurarelolosalmacenesdecuentasdeusuarioenlosserviciosdefederacin.Puedetratarse
almacenamientobasadoenADDSy/oADLDS.
AgregarlasaplicacionesWebalosserviciosdefederacin.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Declaracindenotificaciones,dealmacenesdecuentas,deaplicacionesydeasociados
ParaobtenermsinformacinsobrelaconfiguracindelosserviciosdefederacinADFS,descarguedelsitioMicrosoft
el documento titulado "StepbyStep Guide for AD FS in Windows Server 2008" de la siguiente direccin:
http://go.microsoft.com/fwlink/?LinkID=85685

4.ReferenciasparaADFSconWindowsServer2008
Para obtener ms informacin sobre los detalles tcnicos de los servicios de federacin AD FS, visite el sitio de
Microsoft,enlasiguientedireccin:

AutomateInformationAccesswithIdentityManagementhttp://go.microsoft.com/fwlink/?LinkId=78692

WebServicesSpecifications:http://go.microsoft.com/fwlink/?LinkId=44191

WebServicesandOtherDistributedTechnologies:http://go.microsoft.com/fwlink/?LinkId=44189

WebServicesProtocolWorkshops:http://go.microsoft.com/fwlink/?LinkId=44190

WebServicesInteroperabilityOrganization(WSI):http://go.microsoft.com/fwlink/?LinkId=34328

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

ActiveDirectoryLightweightDirectoryServices(ADLDS)
1.Conceptosfundamentales
Los servicios AD LDS (Active Directory Lightweight Directory Services), incluidos con Windows Server 2008 permiten
implementarlosserviciosLDAPestndarutilizablesporlasaplicacionescreadasparautilizarlosserviciosdedirectorio.
Los componentes AD LDS desempean la funcin de proveedores de servicios de identidades para responder a los
escenarios de tipo directorio extranet o incluso para almacenar identidades externas, como las de los socios,
proveedores, etc. La idea inicial viene de la necesidad o voluntad de la arquitectura de separar estas identidades
particularesdelalmacenamientodelasidentidadesdelaempresaquesealmacenanygestionanhabitualmentecon
losserviciosdedominioActiveDirectoryADDS.
ADLDSesimportanteporvariasrazones.Dehecho,ademsdesufuncindeserviciodedirectorioLDAPestndar,los
servicios de federacin Active Directory AD FS lo soportan, as como en el mbito de gestin de directivas de
autorizacinimplementadasatravsdelcomponenteWindowsAuthorizationManager,denominadoAzMan.Adems,
en los entornos donde se utilizan los servicios AD DS, pueden invocar los servicios Active Directory para la
autenticacindelosusuariosquedisponendeunaautenticacinWindows.
VentajasaportadasporlosserviciosADLDS
LosserviciosADLDSaportannumerosasventajastantoentrminosdefuncionalescomoentrminosdefacilidadde
implementacinoperativa.
Acontinuacinseenumeranlossiguientespuntos:

LosserviciosADLDSutilizanlamismatecnologaquelosserviciosdedominiosActiveDirectoryADDS.
Los servicios AD LDS permiten responder mejor a los problemas complejos separando los servicios de
directorio necesarios para la infraestructura Windows de los servicios de directorio necesarios para las
aplicaciones.
Los servicios AD LDS soportan los nombres de tipo X.500 como O= MyCompany y C= FR, la O significa
OrganizationylaCsignificaCountry.
LosserviciosADLDSpuedenutilizarlasestructurasdeseguridadWindowsparaloscontrolesdeaccesoyla
autenticacin.LaplantilladeadministracinesidnticaalaqueseutilizadesdehacemuchotiempoconActive
Directory.
EsmuyfcildesplegarlosserviciosADLDSrespectoalaslimitacionesimpuestasconlosserviciosdedominio
ActiveDirectory.Porotraparte,nohayningnefectosecundariooimpactosobrelosserviciosADDS.
LosserviciosADLDSsoninstalablesydesinstalablessinreiniciarelservidor.
LosserviciosADLDSseinstalanenformadeinstanciasquepuedenfuncionardemaneraconcurrenteenel
mismoservidor.Cadainstanciapuedepersonalizarseenfuncindelasnecesidadesdelasaplicaciones.Por
ejemplo,cadainstanciadisponedesupropioniveldeesquema,totalmenteindependientedeotrasinstancias
ADLDSyADDS.

2.ADLDS:NovedadesaportadasporWindowsServer2008
Windows Server 2003 soportaba la primera versin de los servicios LDAP totalmente independiente de la
infraestructuraActiveDirectory.Estaversin,denominadaADAM(ActiveDirectoryApplicationMode),estdisponibleen
elsegundoCDRomdeWindowsServer 2003 R2.
EstaversinhasidoactualizadademanerasignificativaconWindowsServer2008.Estasnuevasfuncionalidadesson
lassiguientes:

LosserviciosADLDSsepuedeninstalarcomofuncinenunainstalacindeWindowsServer2008enmodo
Core.Esesunaspectoimportante,especialmenteparalosservidoresexpuestosenInternet.Unainstalacin
enmodoCorepermitelimitarlasuperficiedeataquedelservidorquefuncionaenWindowsServer2008as
comolatotalidaddelastareasdemantenimiento(actualizacionescrticas,servicespacks,etc.).

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

LainstalacindelosserviciosADLDSsoportanunnuevomododeinstalacinopcinInstallfromMedia(IFM),
quepermitecrearinstalacionespersonalizadasdelosserviciosADLDS.
LosserviciosADLDSutilizanlosnuevosserviciosdecopiadeseguridadyderestauracindeWindowsServer
2008. Los servicios AD LDS disponen de las mismas nuevas funcionalidades de auditora avanzada de las
modificaciones integradas en los nuevos servicios de dominio Active Directory de Windows Server 2008. Se
agregaunasubcategorallamadaDirectoryServiceChangesparaconsignarlosvaloresantesydespusdela
modificacindelosvaloresdelosatributosyobjetosADLDS.
LosserviciosADLDSsoportanunnuevomecanismodeayudaalarecuperacinpermitiendolacomparacinde
losdatosalmacenadosenfotografasinstantneasoencopiasdeseguridadactualmenteenproduccin.Esta
herramienta, DSAmain.exe, llamada Active Directory database mounting tool, permite suprimir varias
restauracionesinnecesarias.

DuranteelprogramaBetadeWindowsServerLonghorn,estaherramientasellamSnapshotViewer.

LosserviciosADLDSsoportanahoraelcomponenteMMCSitiosyServiciosActiveDirectory.Estaherramienta,
habitual para los administradores Active Directory, se puede utilizar ahora para administrar la replicacin de
lasdiferentesinstanciasADLDS.
LosserviciosADLDSsoportanlaincorporacindeficherosLDIFpersonalizadosdurantelafasedeinstalacin.
Estosficherossetienenquecolocarenlacarpeta%systemroot%\ADAM.
LosserviciosADLDSsoportanlasconsultasrecursivasdelosatributosvinculados.Estanuevafuncionalidad
permiteelsoportedelasconsultasLDAPutilizandoatributosanidados.

Para obtener ms informacin sobre esta nueva funcionalidad, puede consultar el artculo de la base de
conocimientosdeMicrosoft914828.

ADLDSetADDS:Puntosimportantes
Acabamos de ver que los servicios AD LDS y AD DS comparten la misma tecnologa y los mismos principios
fundamentales. Sin embargo, debe ser consciente de las diferencias que hacen que se trate de componentes
funcionalesytcnicasradicalmentediferentes.Acontinuacinseenumeranestospuntos:

Los servidores, los controladores de dominio Active Directory as como los servidores autnomos se pueden
configurarparaacogerlosserviciosADLDS.
LosserviciosdedominioADLDSylosserviciosADDSsoportanfuncionalidadescomunescomolaplantillade
replicacinmultimaestro,laplantillaylasinterfacesdeprogramacinADSI(ActiveDirectoryServiceInterfaces),
lasparticionesdeldirectoriodeaplicacinascomoelsoportedelprotocoloLDAPenmodocifradoLDAPover
SecureSocketsLayer(SSL).
LosserviciosdedominioADLDSylosserviciosADDSsondiferentesenlossiguientespuntos:losserviciosAD
LDSnoalmacenanlasestructurasdeseguridadWindowscomolosusuariosogruposdeusuariosdedominio
Active Directory. Sin embargo, se pueden utilizar en las listas de controles de acceso ACL para controlar los
accesosalosobjetosADLDS.Enelmismoordendecosas,lossistemasWindowsnopuedenautenticaralos
usuariosalmacenadosenlosserviciosADLDSniutilizarlosensuslistasdecontrolesdeacceso.
Los servicios AD LDS no tienen relacin directa, ni soportan, las funciones de dominios y de bosques Active
Directory,lasdirectivasdegrupo,oloscatlogosglobales.

3.InstalacindelafuncinADLDS
La implementacin de los servicios AD LDS se realizan con el Administrador de servidor de Windows Server 2008 a
travsdelaadministracindelasfunciones.ElnicorequisitoquedebecumplirseparainstalarADLDSenunservidor
esformarpartedelgrupoAdministradoresdelamquinalocal.

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

AadidodelafuncinADLDSconelAdministradordeservidordeWindowsServer2008
UnavezseinstalanloscomponentesADLDS,puedeinstalarvariasinstanciasADLDSydespusprocederalacarga
desudirectorioADLDS.LaadicindenuevasinstanciasserealizaconelAsistenteparainstalacindeServiciosde
directorioligerodeActiveDirectoryaccesiblegraciasalaccesodirectoHerramientasdeadministracindelmenInicio.
Al poner en marcha la instalacin de una nueva instancia AD LDS, ser necesario declarar todos los parmetros
relativosacadaunadeellas.

UtilizacindelAdministradordelservidorparacrearunanuevainstancia

Como muestra la siguiente figura, una vez la funcin AD LDS est implementada en el servidor, no hay
ningunainstanciaADLDScreada,ysloestnpresentesenelservidorloscomponentesinternos.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

CreacindeunanuevainstanciaADLDS
ElAsistenteparainstalacindeServiciosdedirectorioligerodeActiveDirectorypermitecrearinstanciasdeservicios
ADLDS.Una"instanciadeservicio"serefiereaunacopiadeejecucinnicadeADLDS.Sepuedeejecutardiversas
instancias AD LDS simultneamente en el mismo servidor, cosa que no ocurre con los servicios de dominio Active
Directory AD DS. Cada instancia AD LDS dispone de su propio motor de almacenamiento privado, de un nombre de
servicionicoenWindowsydesupropiadescripcin.
Despusdeestainstalacindelainstancia,puedecrearunaparticindedirectoriodeaplicaciones.Estaoperacines
opcionalyaquepuedehaberserealizadodurantelainstalacindelaaplicacinqueutilizalainstanciaADLDS.

Parallevaracaboesteproceso,debeformarpartedelgrupodeadministradores.

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

DeclaracindelnombredelainstanciaacrearynombredelservicioADLDSasociado

Atencin! Los nombres de instancias existen bajo la forma de un contexto de nombres LDAP (se puede
hablartambindeparticinActiveDirectory).Dehecho,losnombresdebenrespetarlasreglasdenombres
DNS.EstalimitacinpermitedeclararlosregistrosSRVasociadosalasdiferentesparticionesyservidoresLDAP(RFC
2782yantiguamente2052).

CreacindeunanuevarplicaADLDS
Paraofrecerunabuenatoleranciaaerroresysoportarfuncionesdebalanceodecarga,lasinstanciasADLDSpueden
perteneceraunconjuntodeconfiguraciones.Todaslasinstanciasdeunconjuntotienenquereplicarunaparticinde
configuracin comn, una particin de esquema y n particiones de directorio de aplicaciones AD LDS. Para crear la
nuevainstanciaADLDSyunirlaaunconjuntoexistente,utiliceelAsistenteparainstalacindeServiciosdedirectorio
ligerodeActiveDirectoryyelijalaopcinInstalarunareplicadeinstanciaADLDS.Alcrearlainstancia,debeconocer
elnombreDNSdelservidorqueejecutalainstanciaADLDSpertenecientealconjuntodeconfiguracionesascomoel
puertoLDAPespecfico.
PuedetambinproporcionarelDN(Ldap Distinguished Name)delasparticionesdedirectoriodeaplicaciones
que desee copiar desde el conjunto de configuraciones a la nueva instancia AD LDS que vaya a crear.
RecuerdequedebeperteneceralgrupoAdministradores.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

DeclaracindelospuertosLDAPydelnombredelaparticinADLDS
En este ejemplo, el puerto LDAP por defecto que se utiliza es el 50000, y el puerto LDAP SSL es el 50001, cada
instanciadeunmismoservidordebedisponerdesuspropiospuertos.ElhechoquelospuertospordefectoADLDS
seandiferentesdelospuertospordefectoLDAPpermiteinstalarunaomsinstanciasADLDSenunamquinaque
desempeelafuncindecontroladordedominio.
Unavezsedeclaranlosparmetros,debevalidarlaubicacindelosficherosasociadosalainstanciaADLDS,elegirla
cuentadeservicioasociadaalainstancia(pordefecto,setratadelacuentaintegrada"Serviciodered"),ydeclararla
cuentadeadministracindelainstancia.
ImportacindelosficherosLDIFenlaparticinADLDS
Laltimafaseconsisteenintegrarunesquemadedirectorioadaptadoalasfuturasnecesidadesdelainstancia.

- 6-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

ArchivosLDIFaimportar
Estaventanadeseleccinpermiteelegirquficheros.LDFdeseaimportarenlainstanciaADLDS.Acontinuacinse
presentaeldetalledecadaunodelosarchivos:

MSInetOrgPerson.ldf: este archivo contiene las definiciones de la clase de objeto "inetOrgPerson" LDAP
objectclass.

MSUser.ldf:estearchivocontienelasdefinicionesdelaclasedeobjeto"user".

MSUserProxy.ldf:estearchivocontienelasdefinicionesdelaclasedeobjeto"userProxy".

MSUserProxyFull.ldf:estearchivocontienelasdefinicionesdelaclasedeobjeto"userProxy".

MSADLDSDisplaySpecifiers.ldf: este archivo contiene la definiciones de la clase de objeto "Display


specifiers". Este archivo es necesario para la implementacin de las herramientas de administracin como la
consolaMMCSitiosyservicesActiveDirectory.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 7-

UbicacindelosarchivosLDIFdelosserviciosADLDS

TienelaposibilidaddeintegrararchivosLDIF(LDAPDataInterchangeFormat)personalizadosdurantelafase
de instalacin de las instancias AD LDS. Basta con colocar los archivos LDF (LDIF files), adems de los
ofrecidos por defecto, aadindolos en la carpeta %systemroot%\ADAM. Puede crear sus propios ficheros
personalizadosconlaherramientaADSchemaAnalyzer.

DesinstalacindeunainstanciaADLDS

La eliminacin de instancias AD LDS creadas se realiza muy fcilmente con el icono Programas y

caractersticasdelPaneldecontroldelservidorWindowsServer2008.

DesinstalacindeunainstanciaADLDS

Atencin! Antes de eliminar la funcin AD LDS, utilice Programas y caractersticas en elPanel de control
paraeliminartodaslasinstanciasADLDSinstaladasanteriormente.

UtilizacindelaautenticacinydelcontroldeaccesoconADLDS
El control de acceso a los servicios AD LDS se realiza en dos fases sucesivas. Primero, AD LDS autentifica a los
usuarios pidiendo el acceso al servicio de directorio, y autorizando a los usuarios autenticados. A continuacin, los
- 8-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

servicios AD LDS utilizan los descriptores de seguridad ACL en los objetos de directorio con el fin de controlar los
objetosalosqueelusuarioautenticadotieneacceso.
LosusuariosinteractanconlosdatosdeldirectorioADLDSatravsdelasaplicacionesqueaccedenalainstanciaAD
LDS utilizando el protocolo LDAP en el puerto declarado a nivel de la instancia. Antes de acceder a los datos, la
aplicacin presenta las credenciales para autenticacin o conexin. Esta peticin incluye el nombre de usuario, su
contraseay,segneltipodeconexin,unnombrededominioounnombredeequipo.
LosserviciosADLDSsoportanlosmecanismosdeautenticacinydeconexin,ascomolaspeticionesADLDSlocales
ylasentidadesWindowslocalesydedominio.

PropiedadesdelobjetogrupoDirectores
En este ejemplo, el administrador debe modificar un objeto grupo cuyo DN LDAP es
CN= Directores,CN= Espaa,CN= app1,DC= addscorp,DC= corpnet,DC= net. La operacin a realizar consiste en agregar
unusuariomiembrodeundominioActiveDiretoryyunusuarioLDAPexistentealainstanciaADLDSactual.Estatarea
se puede realizar de diferentes maneras. En esta ocasin, el administrador utilizar el complemento ADSI Edit:
Adsiedit.msc.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 9-

Propiedadesdelatributo"member"delobjetoDirectoresyaadidodeunusuarioActiveDirectoryaungrupoADLDS
La ventana de modificacin del atributo "member" permite seleccionar fcilmente las cuentas Windows o nombres
nicos,directamentedeclarados.
HerramientasdeadministracinADLDS
Hemos visto que los servicios AD LDS de Windows Server 2008 aseguran los servicios de directorio genricos cuyo
principal objetivo es proporcionar a los desarrolladores una cierta flexibilidad en la integracin de aplicaciones de
directorio, sin ninguna dependencia, ni restricciones en relacin con los servicios de domino Active Directory, AD DS.
HayquerecordarelhechoquelosserviciosADLDSdisponendesupropiatopologadereplicacinydeunesquema
gestionadoapartedelosserviciosdedominioActiveDirectory.
Por estas razones, las herramientas de administracin de los servicios AD LDS son un poco "speras", si se las
compara con las herramientas de administracin de Windows Server. Las herramientas que puede utilizar para
administrarlasinstanciasADLDSsonlassiguientes:

- 10 -

ADSI Edit: el Editor ADSI es un complemento MMC. Para ejecutar esta herramienta, puede ejecutar el
comandoAdsiEdit.msc,oenelordenadordondeestinstaladalafuncinADLDS(ActiveDirectoryLightweight
Directory Services), haga clic en Inicio Herramientas de administracin Editor ADSI. Observe que esta
herramientasepuedeutilizarconADLDSpertambinconlosserviciosADDS,cosaquenoocurraenelcaso
deWindowsServer2003conADAMdondeexistaunaversinespecficadeADSIEditparaADAM.
Ldp:elcomandoLdpnoesuncomplemento,sinounarchivoejecutable.ParaarrancarLdp,hagaclicenInicio,
despushagaclicconelbotnderechoenLneadecomandos,hagaclicenEjecutarcomoadministradory
tecleeldpenlalneadecomandos.ElcuadrodedilogodeLdptienedospaneles:elrboldelaconsolayel
paneldeinformacin.Elrboldelaconsolacontieneelobjetobasedeeventualesobjetoshijos.Elpanelde
informacinpresentalosresultadosdelasoperacionesLDAP(LightweightDirectoryAccessProtocol).

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Csvde:elcomandocsvdepermiteimportaryexportardatosapartirdelosserviciosADLDSoADDSatravs
deficherosdedatosseparadosporcomas(CSV,CommaSeparatedValue).
Ldifde: el comando Ldifde permite crear, modificar y suprimir objetos de directorio. Puede utilizar ldifde
igualmenteparaampliarelesquema,exportarlainformacinrelativaalosusuariosyalosgruposhaciaotras
aplicacionesoservicios,yllenarADLDSoADDScondatosoriginariosdeotrosserviciosdedirectorio.
Adamsync:elcomandoAdamsyncpermitesincronizarobjetosdeserviciosdedominioADDSconunainstancia
deserviciosdedirectorioADLDS.

Atencin!Parapoderutilizarestecomando,debeimportarlasdefinicionesdeclasesusuarioincluidasenel
ficheroMSAdamSyncMetadata.LDF.
Todas estas herramientas le permitirn administrar grupo y usuarios AD LDS, importar las clases de usuario que
proporcionan los servicios AD LDS, sincronizar instancias AD LDS con los servicios de dominio AD DS, agregar un
usuarioADLDSaldirectorio,agregarungrupoADLDSaldirectorio,agregarmiembrosaungrupoADLDSoeliminar,
visualizarodefinirpermisossobreunobjetodedirectorio,desactivaroactivarunusuarioADLDS,definiromodificar
unacontraseadeunusuarioADLDSytambinagregarunaunidadorganizativaaldirectorio.

4.ReferenciasparaADLDSconWindowsServer2008
ParaobtenermsdetallesrelativosalasoperacionesdeadministracinydegestindelosserviciosADLDS,puede
consultarenlassiguientesdirecciones:

ADLDSTechnicalOverview.http://go.microsoft.com/fwlink/?LinkId=96084
Tasks and examples of programming with AD LDS. http://msdn2.microsoft.com/enus/library/aa772138
(VS.85).aspx
ADLDSprogrammingelements.http://msdn2.microsoft.com/enus/library/aa705889(VS.85).aspx
Programmers guide to using the Lightweight Directory Access Protocol API. http://msdn2.microsoft.com/en
us/library/aa367033(VS.85).aspx
ReferenceinformationforLDAP.http://msdn2.microsoft.com/enus/library/aa366961(VS.85).aspx

LamayorpartedelosvnculossloestndisponibleseninglsyaqueseencuentranenlossitiosMicrosoft
TechnetUSyMicrosoftMSDNUS.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 11 -

ActiveDirectoryRightsManagementServices(ADRMS)
1.Introduccin
WindowsServer2008incorporaahoraserviciosdeadministracindederechosdigitales,queanteriormenteestaban
disponiblesparaWindowsServer2003enformadedescargagratuita.
Los servicios de Administracin de Derechos Digitales Active Directory, AD RMS (Active Directory Rights Management
Services)permitenalasempresasresponderalaproblemticadeproteccindelainformacindigital.Estatecnologa
permiteaaplicacionescompatiblesconRMSprotegerdocumentosdigitalesdeaccesosnoautorizadostantosiestos
documentosestndentroofueradelareddelaempresaylasoperacionesseanonlineono.LosserviciosRMSson
especialmentenecesariosparalasempresasquetienenqueprotegerdatossensiblesaunqueseaenformatobinario
oinclusomensajesconfidenciales.
LosserviciosRMStambinpermitendefinirdirectivasdederechosdigitalespersistentesquepermitenalasempresas
respetarlasdirectivasdeseguridaddefinidasalmsaltonivel.Estatecnologapermiteunenfoquemscercanoalas
necesidadesdelaempresa,sobretodocuandosetratadedocumentosquesedebantransmitirasocios,contratistas
oproveedores.
Paraconseguirlo,losserviciosADRMSlepermitencrearlossiguienteselementos:

Entidadesdeconfianza:laempresapuededeclararentidadesdeconfianzacomousuarios,equipos,grupos.
TodasestasentidadespuedenparticipardelainfraestructuraADRMS.
Derechosdeusoycondiciones:esposibleasignarderechosdeusoycondicionesaentidadesdeconfianza
que puedan utilizar los documentos bajo control de RMS. La tecnologa AD RMS le permite administrar los
derechos de uso elementales como derechos de copia, impresin, copia de seguridad o edicin. Tambin es
posibleadministrarderechosmsespecficos,comoporejemplo,elderechodeenviaruncorreoelectrnicoo
defijarunafechadeexpiracin,inhabilitandoeldocumento.
Exclusionesespecficas:eladministradortienelaposibilidaddeexcluiraentidadesparticularesoaplicaciones
delaccesoadatosprotegidosporADRMS.
Cifradodelosdatos:elhechodeprotegerdatosdigitalesconlatecnologaRMSimplementaautomticamente
el cifrado de los datos. La nica manera de acceder a los datos debe ser mediante la autenticacin de la
identidaddeunaentidaddeconfianza.

2.Conceptosfundamentales
Una infraestructura AD RMS (o RMS), cuando hablamos de servicios RMS en entornos Windows Server 2003, se
componedelaparteservidor,delaparteclienteynaturalmentedeaplicacionescompatiblesconlatecnologaRMS,
como Microsoft Office 2003 y posteriores pero tambin de aplicaciones que manejan formatos de documentos
especficoscomolosficherosAdobePDF.Todosestoscomponentesrealizanlassiguientesfunciones:

Emisindelicenciasdepublicacin:cuandoundocumentoestprotegido,secreaunalicenciadepublicacin
paraelcontenidoencuestin.Lalicenciaemitidacorrespondealosderechosespecficosdeutilizacindeun
documentoparaquepuedaserdistribuidoyestdirectamenteintegradaeneldocumentoprotegido.Deeste
modo, los usuarios pueden transmitir documentos digitales protegidos a usuarios de la empresa o usuarios
ubicadosfueradelamisma.Losusuarios"externos"puedenserusuariosdeInternetqueseidentifiquencon
unacuentaMicrosoftLiveID.PuedenformarpartedeotrobosqueActiveDirectoryconconfianzaatravsde
losserviciosdefederacinADFS.
Adquisicindelicencias:cuandolosusuariosaccedenauncontenidoprotegido,sehaceunapeticinalos
componentesADRMSyselesenvalaconsulta.ElserviciodelicenciasdeADRMSenservicioenelclusterRMS
emiteunalicenciadeutilizacincompatibleconlosderechosycondicionesdeusoespecificadosenlalicencia
de publicacin. Los derechos y condiciones de utilizacin se convierten en persistentes y se aplican
automticamenteindependientementedelaubicacindondeseutiliceeldocumento.
Creacindeplantillasdedirectivasdederechos:losusuariosconconfianzaenlaplataformaADRMSpueden
crearygestionardocumentosprotegidosutilizandoaplicacionescompatiblesconlatecnologaRMSenbasea
plantillasdederechosdeusopredefinidasfcilmenteaplicables.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 1-

3.ADRMS:NovedadesaportadasporWindowsServer2008
ConestanuevaversindeWindowsServer2008,losserviciosADRMSdisponendenuevasfuncionalidades.
NuevafuncinADRMSparaWindowsServer2008ynuevaconsolaMMC
LosserviciosADRMSdeWindowsServer2008seimplementanenformadeunanuevafuncindeservidor:elhecho
dequelosserviciosADRMSseintegrenenWindowsServer2008comounafuncinenelAdministradordelservidor
facilita de manera significativa la configuracin de los servicios AD RMS. La nueva consola MMC Administrador del
servidorlistaeinstalalosserviciosnecesarioscomoMessageQueuingeIISeinstalarinclusolosserviciosbsicosde
datosinternosWindowssinoseespecificaelusodeunabasededatosremota.Laadministracinserealizaatravs
deunnuevocomplementoMMC3.0muchomsintuitivoqueelanterioradministradorWebutilizadoenlosservidores
RMSquefuncionanconWindowsServer2003.
IntegracinADRMS/ADFS
LosserviciosdefederacinADFSseintegrantotalmenteconAD RMS.Elsoportedelosmecanismosdefederacinen
laplataformaADRMSpermitealasempresasprever"fcilmente"escenariosdeasociacinconentidadesexternas.
Anteriormente, los servicios RMS de Windows Server 2003 slo soportaban las identidades externas de
tipo Passport.NET(actualmentellamadasWindowsLiveID).Ahora,laintegracindelosserviciosdefederacinADFS
permitecrearconfianzasdefederacinentrediferentessocios.
Atencin! Para que un cliente AD RMS pueda utilizar las confianzas ofrecidas por los servicios AD FS, es
indispensableutilizarelclienteADRMSincluidoenWindowsVistaoelClienteRMSSP2.LosclientesRMSde
versionesanterioresnosoportanlosserviciosdefederacinADFS.

AutoregistrosdelosservidoresADRMS
Los servidores AD RMS tienen finalmente la posibilidad de registrarse automticamente, haciendo innecesario el
procesoderegistroenlneaofueradelneadelosserviciosRMSdeWindowsServer 2003conlaautoridadRazRMS
deMicrosoft.
ElregistrodeunservidorRMSesunatareaesencialqueincluyelacreacinylafirmadeuncertificadodelicenciade
servidorSLC(ServerLicensorCertificate),quepermitealservidorADRMSemitircertificadosylicencias.
EnlasversionesanterioresdeRMS,elcertificadoSLClofirmabaunservicioderegistroenlneaimplementadoatravs
de Internet por Microsoft (Microsoft Enrollment Service). Esto requera que el servidor RMS u otro equipo pudiera
accederaInternet.EstalimitacinsehasuprimidopermitiendoalservidorADRMSautofirmarsucertificadoSLC.
NuevasfuncionesadministrativasADRMS
Paramejorarelsoportedelosmecanismosdedelegacinyelcontroldelentorno,estndisponiblesnuevasfunciones
de administracin. Estas nuevas funciones administrativas se implementan a travs de nuevos grupos locales
adaptadosacadanuevafuncin.
Atencin!CuandolosserviciosADRMSseinstalanenuncontroladordedominio,elprogramadeinstalacin
creagruposdedominiolocales.
LosnuevosgruposADRMSsonlossiguientes:

GrupodeservicioADRMS:losmiembrosdeestegrupopuedenejecutarlosserviciosADRMS.
AdministradoresdeempresaADRMS:losmiembrosdeestegrupopuedenadministrartodaslasdirectivasy
parmetrosADRMS.
AdministradoresdeplantillasADRMS:losmiembrosdeestegruposlopuedenadministrarlasplantillasAD
RMS.
AuditoresADRMS:losmiembrosdeestegruposlopuedenadministrarelregistroylacreacindeinformes
ADRMS.

BuenasprcticasapropsitodelosgruposADRMS:lacuentadeserviciodeclaradadurantelainstalacinde
losserviciosADRMSseincluyeautomticamenteenelGrupodeservicioADRMS.Igualmente,lacuentadel
usuarioquehainstaladolosserviciosADRMSseincluyeautomticamenteenelgrupoAdministradoresdeempresa
AD RMS. Si dispone de diversos servidores AD RMS, se recomienda crear grupos de seguridad Active Directory y

- 2-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

agregarlosasusgruposlocalesrespectivosenlosdiferentesservidoresADRMS.

4.InstalacindelafuncinADRMSdeWindowsServer2008
LainstalacinseiniciaconelAdministradordelservidoryconlafuncinAgregarfunciones.

Elasistentedeinstalacinproponeaadirloscomponentesquefaltan.
ParainstalarADRMS,elservidordeberespetarlassiguienteslimitaciones:

UtilizarWindowsServer2008,exceptolaversinWindowsWebServer2008.

UtilizarNTFScomosistemadeficherosparaalbergarlosserviciosADRMS.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 3-

LosserviciosdeMessageQueueServerqueestarinstaladosascomoMicrosoftIISconsoportedeASP.NET.
Los servicios AD RMS se deben instalar en un dominio Active Directory, sabiendo que los controladores de
dominiodebenutilizarWindowsServer2000SP3oposterior,WindowsServer2003oWindowsServer2008.
Los usuarios antes de obtener licencias y publicar los documentos protegidos obligatoriamente deben tener
unadireccindecorreoelectrnicocomoatributodeActiveDirectory.

- 4-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

SeleccindelsoportedelosserviciosdefederacinADFS

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 5-

CreacindeunclusterADRMSounindeunnuevoservidorenelclsterADRMSexistenteyseleccindelabasede
datosdeconfiguracinADRMS

- 6-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

DeclaracindelacuentadeserviciodedominioyconfiguracindelalmacenamientodelaclavedeclsterADRMS

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 7-

DeclaracindelacontraseadeproteccindelaclavedeclsterADRMSyseleccindelsitioWebdeacogidadel
directoriovirtual

- 8-

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

DeclaracindeladireccindelaURLdelclsterADRMSydeclaracindelnombredelservidordefederacinADFS

ResultadodelainstalacindelosserviciosADRMS

5.ValidacindelbuenfuncionamientodelaplataformaRMS
Despusdelainstalacin,puedevalidarelbuenfuncionamientodelaplataformaAD RMSconunaestacindetrabajo
WindowsXPProfessionalSP2enlaquesehayainstaladoelClienteRMSSP2ascomounaaplicacincompatiblecon
latecnologaRMScomoMicrosoftOfficeProfessional2003o2007.Puedetambininstalarunaestacindetrabajocon
WindowsVista.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 9-

UtilizacindelaopcindeproteccindeundocumentoWordenelpaneldeMicrosoftOffice2007.
Este ejemplo ilustra la aplicacin de derechos digitales con una aplicacin como Microsoft Office 2007. Para lograrlo,
procedadelasiguientemanera:

Creeoabraundocumento.

ConelbotnOfficedeWord2007,seleccionelaopcinPreparar.

OtravezconelbotnOffice,seleccionelaopcinLimitarlasautorizaciones,ydespusAccesorestringido.

Despusdeestaoperacin,laaplicacinADRMSinicializalalockbox(cajafuerte)RMSyregistraelordenador.

ComprobacindelainformacindeconexinatravsdelconductoADRMS

DefinicindepermisosaotorgaratravsdelaventanadegestindepermisosdelclienteADRMSintegradoen
WindowsVista

- 10 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

CadausuariodeclaradodebedisponerobligatoriamentedeunadireccindecorreoenlosserviciosdedominioActive
Directory.

VisualizacindelasopcionesdetalladasatravsdelaopcinMsopciones
Losanterioresdetallesponendemanifiestoelhechoqueeldocumentocreadoporelusuariojuanki73@wanadoo.es
est sometido a los permisos AD RMS que dan acceso de slo lectura a los usuarios Bob Durand y Alice Martin,
sabiendoqueeldocumentoexpirarel30demarzode2010.

InformacinvisualizadaenOffice2007
Unavezseinscribenlospermisoseneldocumento,seactualizaelpaneldeMicrosoftOffice2007paraindicarsehan
restringidolospermisosyqueslolosusuariosespecificadospuedenaccederaldocumento.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 11 -

CuadrodedilogodeinformacinADRMS
DurantelaprimerautilizacindelcanaldecomunicacinADRMSentreelclienteADRMSyelservidordelicenciasAD
RMS, un cuadro de dilogo informa al usuario que el acceso est actualmente restringido y que la aplicacin, en
nuestro ejemplo Microsoft Office, debe conectarse a la URL de cluster de licencia AD RMS con el fin de verificar la
informacin de identificacin del usuario y, en caso de xito, descargar la autorizacin del usuario sobre dicho
documento.
Una vez se realice el control de acceso, se puede abrir el documento en funcin de las autorizaciones otorgadas al
usuario.

ProhibicindeimprimireldocumentocontroladoporADRMSenOffice2007.
Enesteejemplo,elusuariohaceclicenelbotnImprimir,peronosepuederealizarlaoperacinyaqueelpermiso
pedidonolopermite.LasiguientefiguradetallalasautorizacionesdeM.Varela.
El usuario dispone nicamente de derechos de lectura, y no se permiten los derechos de modificacin, copia,
impresin,registro,accesoatravsdeunprogramaycontroltotal.
Puedeobservarlafechadeexpiracindeldocumentofijadaa30dejuniode2011,loquesignificaqueapartirdeesta
fechaM.Varelanopodrrealizarningunaaccinsobreeldocumento,incluyendolaaperturaylalecturadelmismo.

- 12 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

Visualizacindelospermisosdemvarela@corporate.netyutilizacindelaopcinModificarelusuario...

Seleccindeltipodeidentidadautilizar
La parte cliente AD RMS integrada en Windows Vista as como el Cliente RMS SP2 de Windows XP Professional o
Windows Server 2003 permite el cambio de identidad. Esta funcionalidad es muy prctica para los usuarios que
disponendediferentescuentasdeusuarioenelmismobosque,enunbosquediferenteoinclusocuandosetratede
unacuentaWindowsLiveIDdeInternet.
Nota: las funcionalidades probadas anteriormente permiten validar el buen funcionamiento de la plataforma
cluster AD RMS y de un cliente genrico con Windows Vista. Para probar todas las funcionalidades AD RMS,
tambin puede utilizar las herramientas del kit de recursos tcnicos RMS que se pueden descargar en el sitio de
Microsoft.

InformacindePreinstalacinparadesplegarlosserviciosADRMS
LainstalacindelosserviciosADRMSnecesitarespetarlossiguientesaspectostcnicos:

El servidor AD RMS debe ser miembro de un dominio Active Directory que pueda contener las cuentas de
usuariosqueutilizarnlosdocumentoscontroladosporADRMS.
Debecrearunacuentadedominioquenodispongadeningnpermisoadicional.Estacuentaseutilizarcomo
cuentadeservicioparalosserviciosADRMS.

Atencin! La cuenta que utilice durante la instalacin de los servicios RMS debe ser diferente de la que se
declarecomocuentadeservicioADRMS.

Debe registrar un objeto SCP (Service Connection point) durante o despus de la instalacin del servidor AD
RMS. Para realizar esta fase, debe ser miembro del grupo Active Directory Administradores de la empresa o
disponerdepermisosequivalentes.
El programa de instalacin de servicios AD RMS permite declarar la base de datos SQL que utilizarn los
serviciosADRMS,inclusosielservidordebasededatosestenunamquinadiferentedelservidorADRMS.
Paraconseguirlo,lacuentadeusuarioutilizadaparainstalarlosserviciosADRMSdeberdisponerdelpermiso
ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 13 -

paracrearbasesdedatosenelservidordebasededatos.EnelcasodeMicrosoftSQLServer2005,lacuenta
deusuariodebetenerelrolAdministradordelSistemaoequivalente.
ADRMS:Recomendacionesdeinstalacin
La instalacin de los servicios AD RMS de Windows Server 2008 se implementa con un asistente mucho ms
evolucionado que el que conocemos de la versin de RMS que funciona en Windows Server 2003. Gracias a este
asistente, se pueden evitar muchos problemas. Las siguientes recomendaciones, le permiten hacer una instalacin
operativadelosserviciosADRMS:

DebedefinirlaURLqueseutilizarpararepresentarelnombredeClusterRMS.Estenombredebeguardarse
mientrasseutilicelaplataformaADRMS.Serecomiendadeclararunnombrediferentedelnombrerealdela
mquina.
El servidor de base de datos debera estar instalado en un ordenador diferente del servidor que da los
serviciosADRMS.
LascomunicacionesentreunclienteRMSyelclusterADRMSutilizanelprotocoloHTTP.Serecomiendainstalar
uncertificadoSSLparacifraryautenticarlosflujosentrelasentidades.

Puedeutilizaruncertificadoautofirmadooemitidoporunaautoridaddecertificacinconconfianza.Recuerde
que la utilizacin de un certificado autofirmado no se debe utilizar ms que en pruebas, porque esta
configuracinnoescompatibleconMicrosoft.AlagregarunnuevoservidoraunclusterADRMS,elcertificadoSSL
debeestarinstaladoantesdeiniciarlainstalacindelosserviciosADRMS.

Para beneficiarse de una independencia en evoluciones futuras o de la implementacin de procesos de


recuperacindeurgencia,creeunregistrodealiasDNS(CNAME)parahacerreferenciaalaURLdelclusterAD
RMSyotroregistrodelmismotipoparahacerreferenciaalnombredelservidorquealberguelabasededatos
de configuracin AD RMS. En caso de que la plataforma evolucione (se aadan o supriman servidores en el
clusterRMS),bastarconactualizarlosregistrosdealiasDNS.

Atencin!NopuedeutilizarunaURLquecontenga"localhost"durantelainstalacindelosserviciosADRMS.
EsnecesarioutilizarunaURLbasadaenunnombreDNScuyaresolucinDNSserealicecorrectamente.

DesplieguedelosserviciosADRMSenentornosmultibosque
Slo se puede inscribir un cluster AD RMS en un bosque Active Directory. Cuando una empresa desee utilizar
documentosprotegidosenunentornocompuestopormsdeunbosque,deberdesplegarunclusterADRMSpara
cadabosque.Lasrecomendacionesrelativasaestetipodesituacinselistanacontinuacin:

- 14 -

TodaslasURLdelosdiferentesclustersADRMSdebenimplementarSSLparacifrartodoslosintercambios.
Todos los bosques que no utilicen Exchange Server, debern hacer una extensin del esquema Active
Directory. Para obtener ms informacin de este proceso, consulte la siguiente direccin de Microsoft:
http://go.microsoft.com/fwlink/?LinkId=93740
La cuenta de servicio AD RMS debe tener permisos para acceder al canal de comunicacin de expansin de
grupos.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

AdministracindepermisosconelcanaldecomunicacinADRMSconelAdministradordeservidordeWindowsServer
2008

La cuenta de servicio AD RMS debe tener permisos para acceder al canal de comunicacin de expansin de
grupos.EstaoperacinserealizaconfigurandolosderechosdeaccesodelarchivoGroupExpansion.asmx.Por
ejemplo, si tiene que implementar diversos bosques deber declarar las cuentas de servicio AD RMS de los
diferentesbosquesenlosdiferentesclustersADRMS.

El archivo GroupExpansion.asmx se sita en la carpeta C:\inetpub\wwwroot\ _wmcs\ groupexpansion. Para


obtenermsinformacinsobreesteproceso,puedeconsultareldocumento"DeployingActiveDirectoryRights
Management Services in a multiple forest environment StepbyStep guide" en la siguiente direccin:
http://go.microsoft.com/fwlink/?LinkId=7213

ActualizacindeRMS(WindowsServer2003)aADRMS(WindowsServer2008)
Se deben tener en cuenta las siguientes precauciones para realizar correctamente el proceso de evolucin de una
plataformaRMSquefuncioneenWindowsServer2003aunanuevaplataformaADRMSenWindowsServer2008.

RealizarunacopiadeseguridaddelasbasesdedatosRMSquefuncionanenWindowsServer2003.
EnelcasoenquelaconfiguracinRMSamigrarutilicelaopcinderegistroenmododesconectado,tieneque
realizarelprocesoderegistroconelfindeactivarelservidordelicenciasRMSWindowsServer2003antesde
cualquieractualizacin.
En Windows Server 2003, una configuracin RMS Windows Server 2003 puede utilizar MSDE (Microsoft Data
Engine o Microsoft Desktop Engine) como motor de base de datos. Sin embargo, esta configuracin slo se
puedeutilizarenmododepruebas.Porconsiguiente,parapoderrealizarunaactualizacinaADRMS,primero
debeactualizarlabasededatosMSDEaMicrosoftSQLServer2005,yaquenosesoportalaactualizacinde
unabasededatosRMSquefuncionebajoMSDE.

AunquenoesposibleactualizarunabasededatosMSDERMS(WindowsServer2003)aunabasededatosADRMS
(WindowsServer2008),losserviciosADRMSdeWindowsServer2008puedenutilizarelmotorintegradoenWindows
Server2008(basededatosinternadeWindows).
Atencin! Las bases de datos MSDE o las bases de datos internas Windows, no proporcionan soporte de
conexiones remotas. Estas configuraciones no permiten agregar otros servidores RMS como miembros del
clusterADRMS,yson,engeneral,utilizadosnicamenteparapruebasoevaluaciones.

SoportedelosserviciosdefederacinADFSconADRMS
ParaasegurarunbuenfuncionamientodelosserviciosdefederacinADFSenunentornoADRMS,debeconsiderar
lossiguientesaspectos:

Sedebeconfigurarunarelacindeconfianzadegeneracinantesqueconfigureelsoportedefederacinde
identidades.Durantelainstalacindeestafuncionalidad,debeespecificarlaURLquepermitaelaccesoalos
serviciosdefederacin.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

- 15 -

ADFSnecesitacomunicacionessegurasentrelosservidoresADRMSylosservidoresADFS.

LacuentadeservicioADRMSdebedisponerdelospermisosGenerarauditorasdeseguridad.

LasURLextranetdelosclusterADRMSdebenestaraccesiblesenlascuentasdelaempresaconconfianzaa
travsdelosserviciosADFS.

6.ReferenciasparaADRMSconWindowsServer2008
Los servicios Active Directory Rights Management Services son objeto de atencin por parte de los equipos de
Microsoft. De hecho, los equipo informticos que soportan la proteccin de la informacin digital deben tener una
buenavisindelosconceptosdeproteccindigital,delastecnologasimplicadasydelasbuenasprcticasrelativasa
latecnologaRMSyalestndarXrML(eXtensiblerightsMarkupLanguage).
ParaobtenermsinformacinsobrelosserviciosADRMS,visiteelsitioMicrosoftActiveDirectoryRightsManagement
ServicesTechCenter,enlasiguientedireccin:http://go.microsoft.com/fwlink/?LinkId=80907
Paraobtenerinformacingeneral,consultelasiguientedireccin:http://go.microsoft.com/fwlink/?LinkId=84730.
ParaobtenerinformacinrelativaalaarquitecturadelosserviciosADRMSylaplanificacindeldespliegue,consultela
siguientedireccin:http://go.microsoft.com/fwlink/?LinkId=84734.
Para obtener informacin relativa al despliegue de los servicios AD RMS, consulte la siguiente direccin:
http://go.microsoft.com/fwlink/?LinkId=84735.
Para obtener informacin suplementaria relativa a las operaciones relativas a los servicios AD RMS, consulte la
siguientedireccin:http://go.microsoft.com/fwlink/?LinkId=84736.
Para obtener ms informacin relativa a la resolucin de errores de los servicios AD RMS, consulte la siguiente
direccin:http://go.microsoft.com/fwlink/?LinkId=93769.
Para acceder a la gua de referencias tcnicas de los servicios AD RMS, consulte la siguiente direccin:
http://go.microsoft.com/fwlink/?LinkId=93770.

- 16 -

ENI Editions - All rights reserved - Sergio Ramirez Ramirez

S-ar putea să vă placă și