Sunteți pe pagina 1din 284

Administracin de

Sistemas
Operativos
ADMINISTRACIN DE SISTEMAS OPERATIVOS 2

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 3

ndice
Presentacin 5
Red de contenidos 7
Unidad de Aprendizaje 1
SERVICIOS FTP Y RRAS 9
1.1 Tema 1 : Servicio de mltiples websites 11
1.1.1 : Fundamentos del rol Web Server (IIS) 11
1.1.2 : Fundamentos del rol DNS Server 17
1.1.3 : Implementacin de mltiples websites 24

1.2 Tema 2 : Servicio FTP 38


1.2.1 : Fundamentos del servicio FTP 38
1.2.2 : Configuracin del Servidor FTP 40
1.2.3 : Implementacin del servicio FTP autenticado con aislamiento 44
de usuarios del dominio

1.3 Tema 3 : Servicio RRAS 73


1.3.1 : Fundamentos del servicio RRAS 73
1.3.2 : Escenarios de enrutamiento 74
1.3.3 : Implementacin del servicio RRAS para enrutamiento 75

Unidad de Aprendizaje 2
REDES PRIVADAS VIRTUALES 95
2.1 Tema 4 : Servicio VPN 97
2.1.1 : Fundamentos del servicio VPN 97
2.1.2 : Configuracin del Servidor VPN 99
2.1.3 : Implementacin del servicio VPN para clientes remotos 99

Unidad de Aprendizaje 3
FUNDAMENTOS DE SEGURIDAD DE RED 133
3.1 Tema 5 : Administracin de Windows Server Update Services 135
3.1.1 : Fundamentos de WSUS 135
3.1.2 : Configuracin del Servidor WSUS 142
3.1.3 : Implementacin y gestin de WSUS 149

3.2 Tema 6 : Asegurando el Servidor WEB 173


3.2.1 : Fundamentos de los Servicios de Certificados de Active 173
Directory
3.2.2 : Configuracin del Servidor Autoridad Certificadora 176
3.2.3 : Implementacin de certificacin digital emitida por la Autoridad 189
Certificadora para el servicio WEB

Unidad de Aprendizaje 4
ADMINISTRACIN AVANZADA DE DIRECTORIO ACTIVO 209
4.1 Tema 7 : Introduccin a Windows Server Core 211
4.1.1 : Fundamentos de Windows Server Core 211
4.1.2 : Fundamentos de Servidor de Archivos 212
4.1.3 : Implementacin de Server Core como Servidor de Archivos 212

4.2 Tema 8 : Servidor RODC 229


4.2.1 : Fundamentos del Servidor RODC 229
4.2.2 : Implementacin del Server Core como Servidor RODC 230

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 4

4.2.3 : Implementacin del Server Core como segundo controlador de 250


dominio

Unidad de Aprendizaje 5
SERVICIOS DE ESCRITORIO REMOTO Y VIRTUALIZACIN 269
5.1 Tema 9 : Remote Desktop Services 271
5.1.1 : Fundamentos de Remote Desktop Services 271
5.1.2 : Implementacin de Remote Desktop Services 272

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 5

Presentacin
Administracin de Sistemas Operativos es un curso que pertenece a la lnea de
infraestructura TI y se dicta en las carreras de Redes y Comunicaciones. Brinda un
conjunto de conocimientos tericos y prcticos que permite a los alumnos administrar
la plataforma Windows Server 2016.

El manual para el curso ha sido diseado bajo la modalidad de unidades de


aprendizaje, las que se desarrollan durante semanas determinadas. Cada una de las
unidades tiene los logros que debe alcanzar; el tema tratado, el cual ser ampliamente
desarrollado; y los contenidos que debe desarrollar, es decir, los subtemas. Por ltimo,
encontrar, las actividades que deber desarrollar en cada sesin, las cuales le
permitirn reforzar lo aprendido en la clase.

El curso es eminentemente prctico: construido como un instrumento de trabajo. Por


ello, la participacin activa de los alumnos es fundamental durante el desarrollo de
este curso, a fin de obtener la experiencia, prctica y suficiencia terica que se
necesita para un eficiente desenvolvimiento profesional. Por lo mismo, contar con el
apoyo y gua del profesor, quien lo acompaar en el desarrollo del presente manual.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 6

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 7

Red de contenidos
UNIDAD 1
Servicios FTP y RRAS

SISTEMAS OPERATIVOS
ADMINISTRACIN DE
UNIDAD 2
Redes Privadas Virtuales

UNIDAD 3
Fundamentos de seguridad de
red

UNIDAD 4
Administracin avanzada de
Directorio Activo

UNIDAD 5
Servicios de Escritorio Remoto y
Virtualizacin

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 8

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 9

UNIDAD

1
SERVICIOS FTP Y RRAS
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, el alumno mediante el uso adecuado del sistema
operativo Windows Server 2016 implementa y configura los servicios de
mltiples websites, FTP y RRAS para transferir archivos entre redes de rea
local (LAN) y redes de rea extensa (WAN), y emular un router fsico con el
Servidor Windows Server 2016.

TEMARIO

1.1 Tema 1 : Servicio de mltiples websites


1.1.1 : Fundamentos del rol Web Server (IIS)
1.1.2 : Fundamentos del rol DNS Server
1.1.3 : Implementacin de mltiples websites

1.2 Tema 2 : Servicio FTP


1.2.1 : Fundamentos del servicio FTP
1.2.2 : Configuracin del Servidor FTP
1.2.3 : Implementacin del servicio FTP autenticado con aislamiento
de usuarios del dominio

1.3 Tema 3 : Servicio RRAS


1.3.1 : Fundamentos del servicio RRAS
1.3.2 : Escenarios de enrutamiento
1.3.3 : Implementacin del servicio RRAS para enrutamiento

ACTIVIDADES PROPUESTAS
Los alumnos implementan diversos sitios web con la misma direccin IP
del Servidor Web.
Los alumnos implementan un sitio FTP autenticado con aislamiento de
usuarios del dominio.
Los alumnos configuran el Servidor RRAS para que emule como un
router entre una red local y extensa.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 10

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 11

1.1. SERVICIO DE MLTIPLES WEBSITES


1.1.1. Fundamentos del rol Web Server (IIS)

El rol Web Server (IIS) del sistema operativo Windows Server 2016 brinda una
plataforma segura y fcil de administrar donde se pueden alojar sitios web1, servicios y
aplicaciones de manera confiable. En la actualidad, este rol trabaja con la versin IIS2
8.5, este software permite que se puedan compartir informacin en distintos
escenarios, ya sea con usuarios en Internet, en una intranet o en una extranet; por lo
que es una plataforma web unificada que integra distintos tipos de pginas por
ejemplo: Active Server Pages (ASP), ASP.NET, PHP, servicios de FTP y Windows
Communication Foundation (WCF).

Dentro de las ventajas de utilizar IIS 8.5 es el hecho de que se puede implementar y
ejecutar aplicaciones web de ASP.NET, ASP clsico y PHP en el mismo servidor de
forma sencilla, otro es el refuerzo de la seguridad web que se debe gracias a una
superficie reducida del servidor y el aislamiento automtico de aplicaciones.

1.1.1.1 Instalacin del rol Web Server (IIS)

Para la instalacin de este rol, se cuenta con un servidor llamado SERVER_A y en


ella, se realizarn los siguientes pasos

1. Inicie Server Manager y haga clic en Add roles and features.

1
En ingls website, es un conglomerado de documentos (pginas web) organizados
jerarquicamente y que estn relacionadas a un dominio de internet. Un sitio puede contener
una combinacin de graficos, textos, audios, videos u otros materiales.
2
Internet Information Services (IIS) es el software de servidor web incluido con Windows que
permite la implementacin de sitios web tanto local como remotamente.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 12

2. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.

3. En la ventana Select installation type, seleccione la opcin Role-based or


feature-based installation; ello permite que la instalacin de roles y caracteristicas
se implementen en el servidor. Luego, haga clic en Next.

4. Ahora en la ventana Select destination server, seleccione la opcin Select a


server from the server pool; ello indica que se est eligiendo a nuestro servidor

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 13

SERVER_A para que en l se instalen los roles y caractersticas. Luego, haga clic
en Next.

5. En la ventana Select server roles, seleccione el rol Web Server (IIS).

6. Inmediatamente, aparece la ventana Add features that are required for Web
Server (IIS)? que indica que para poder implementar el rol Web Server (IIS) se

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 14

debe adicionar algunas caractersticas que aun no han sido instaladas; por ello,
haga clic en el botn Add Features.

7. Luego, haga clic en Next.

8. En la ventana Select features, las caractersticas bsicas y necesarias han sido


seleccionadas por defecto por el sistema; por ello, haga clic en Next. En la prxima
ventana Web Server Role (IIS), haga clic en Next.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 15

9. En la ventana Select role services, los servicios bsicos para el rol Web Server
(IIS) son seleccionados por defecto por el sistema. Haga clic en Next.

10. En la ventana Confirm installation selections, se muestra un resumen de las


caractersticas que se han seleccionado para la instalacin de nuestro rol. Luego,
haga clic en Install.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 16

11. Finalmente, luego de esperar algunos minutos, haga clic en Close. De esa
manera, ya se tiene instalado de forma exitosa nuestro rol Web Server (IIS).

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 17

1.1.2. Fundamentos del rol DNS Server

Las siglas DNS significan Sistema de Nombres de Dominio, dicho sistema se encarga
de la asignacin de nombres a equipos y servicios de red que se organizan en una
jerarqua de dominios. El servicio DNS registra la relacin que existe entre cada
nombre de dominio y su direccin IP correspondiente.

Por ejemplo, cuando un usuario desea visitar algn sitio web, lo hace mediante
nombres debido a que es ms fcil de recordar y de escribir (google.com,
cibertec.edu.pe, microsoft.com, etc), todos ellos se conocen como nombres de
dominio. En cambio, las computadoras identifican los sitios web y se conectan a ellos
mediante un formato numrico que se conocen como direcciones IP, algo similares a
la numeracin telefnica, pero mucho ms estructurado.

Es decir, si un usuario escribe una direccin o nombre de dominio en la barra de


direcciones del navegador o simplemente hace clic en un enlace de algn sitio web, el
navegador se conecta con el servidor DNS que le corresponde a una conexin de
internet y le consulta cul es la direccin IP del sitio solicitado. En caso de que el
requerimiento se encuentre en la base de datos del servidor DNS, este le brinda el
dato solicitado y es entonces cuando el navegador puede acceder a dicho sitio web.

En resumen, cuando un usuario escriba un nombre de dominio en una aplicacin, los


servicios de DNS pueden traducir el nombre a otra informacin como una direccin IP.

Entre las principales funciones que presenta este servicio, puede indicar las
siguientes:

Resolucin de nombres: Es el mecanismo que convierte un nombre de host en la


direccin IP que le corresponde. Por ejemplo, al nombre de dominio google.com le
corresponde la direccin IP 216.58.219

Resolucin inversa de direcciones: Es el mecanismo inverso al anterior, es decir de


una direccin IP obtiene el nombre de host correspondiente.

Resolucin de servidores de correo: Este mecanismo obtiene a partir de un


nombre de dominio (por ejemplo gmail.com) el servidor a travs del cual debe
realizarle la entrega del correo electrnico.

1.1.2.1 Principales servidores DNS de internet

Existen 13 servidores DNS raz en todo internet, ellos almacenan la informacin de los
servidores para cada una de las zonas de ms alto nivel. Los servidores DNS raz se
identifican con las primeras letras del alfabeto, sus nombres son de la forma letra.root-
servers.net (donde letra va desde la A hasta la M) y varios de ellos se encuentran
divididos fsicamente y dispersos geogrficamente por todo el mundo.

Ahora no precisamente existen nicamente 13 servidores fsicos, ya que cada


operador utiliza equipos informticos redundantes para ofrecer un servicio fiable.
Adems, diez servidores se encuentran originalmente en los Estados Unidos y algunos
son operados va anycast3 y los tres restantes se encuentran originalmente en
Estocolmo, Amsterdam y Tokio.
3
Es una tcnica de enrutamineto que proporciona un mayor rendimiento y una mayor
tolerancia a fallos.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 18

Figura 1: Distribucin mundial de los servidores DNS raz


Fuente- Tomado de http://root-servers.org/

1.1.2.2 Integracin de los roles DNS Server y Active Directory Domain Services

En Windows Server 2016, el rol DNS Server sigue combinando la compatibildad de


protocolos DNS estndar con las ventajas de la integracin de Active Directory Domain
Services4 (AD DS) y otras caractersticas de seguridad de red de Windows.

Se debe tener en cuenta que los servicios del rol AD DS y del rol DNS Server pueden
instalarse de forma independiente o juntos. Pero, es preciso mencionar que los
servicios del rol de AD DS son obligatorios si el DNS Server hospedar zonas DNS
integradas con Active Directory.

El proceso de integracin es el siguiente, al instalar el rol AD DS en un servidor este


se promociona al rol de un controlador de dominio. Como parte de este proceso, se le
solicita que especifique un nombre de dominio DNS para el dominio AD DS al que se
esta uniendo, luego, se le ofrece la opcin de instalar el rol DNS Server. Dicha opcin
es necesaria para buscar este servidor u otros controladores de dominio para los
miembros de un dominio de AD DS.

Ahora bien, dentro de las ventajas que se podran mencionar referente a esta
integracin son las siguientes:

DNS incluye la replicacin de datos con varios maestros y una seguridad mejorada
basada en las capacidades de AD DS. Cualquier servidor DNS que contiene una
zona integrada en Active Directory puede recibir actualizaciones dinmicas
enviados por los clientes, esto garantiza que no exista ningn punto nico de fallo,
como el caso de las reas en base a un modelo estndar.

Cuando se agrega una nueva zona a un dominio de AD DS, esta se replica y se


sincroniza con los nuevos controladores de dominio de forma automtica.

La integracin del almacenamiento de las bases de datos de la zona DNS en AD


DS le permite simplificar el planeamiento de la replicacin de la base de datos en
la red.

4
En espaol Servicios de Dominio de Directorio Activo, dicho rol proporciona una base de
datos que almacena y administra informacin acerca de los recursos de la red, tambin permite
la organizacin jerarquica de los elementos de una red (usuarios, equipos y otros dispositivos).

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 19

La replicacin integrada en Active Directory supera en rapidez y eficacia a la


replicacin de DNS estndar.
1.2.2.3 Creacin de un alias de DNS

Como escenario se cuenta con un servidor cuyo nombre es SERVER_A. En este


equipo, se ha implemetado el rol de Active Drectory Domain Services con nombre de
dominio cibertec.com y a dicho rol se ha integrado el DNS Server.

Para la creacin de un alias de DNS, se debe ejecutar los siguientes pasos.

1. Abra Server Manager y en la pestaa Tools, haga doble clic a la opcin DNS.

2. Inmediatamente, aparece una nueva ventana llamada DNS Manager, luego,


despliegue el icono del SERVER_A, dentro de l en la zona de bsqueda directa y
en la carpeta Forward Lookup Zones, haga clic derecho en la carpeta
cibertec.com y seleccione la opcin New Alias (CNAME).

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 20

3. En la ventana New Resource Record, escriba www en Alias name (uses parent
domain if left blank) como nombre de alias, luego, haga clic en Browse.

4. En la ventana Browse seleccione el nombre del equipo (SERVER_A) y haga clic en


OK.

5. Luego, seleccione la carpeta Forward Lookup Zones y haga clic en OK.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 21

6. Luego, seleccione la carpeta cibertec.com y haga clic en OK.

7. Por ltimo, seleccione el servidor server_a y haga clic en OK.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 22

8. Ahora puede visualizar la configuracin completa contando con el nombre de alias y


el nombre del dominio completo (nombre de mquina seguido del nombre del
subdominio y dominio). Luego, haga clic en OK.

9. En el nuevo registro, puede observar en el servidor dentro de la zona de bsqueda


directa que se han usado como contenedor para dicha alias.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 23

10. Finalmente, desde el equipo de un cliente puede comprobar ingresando a un


navegador de internet y escriba en la barra de url www.cibertec.com

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 24

1.1.3. Implementacin de mltiples websites

El rol Web Server (IIS) permite implementar varios sitios web en un solo servidor; para
ello, se cuenta con tres distintas formas de hacerlo:

Que cada sitio web tenga una direccin IP distinta

Que todos los sitios web tengan la misma direccin IP, pero distintos nmeros de
puertos

Que cada sitio web tenga un nombre de encabezado de host. De de esta manera,
todos los sitios web pueden utilizar la misma direccin IP y el mismo nmero de
puerto

En esta seccin, se implementar el ltimo caso. Se elaborarn tres sitios web


(sitio1.cibertec.com, sitio2.cibertec.com y sitio3.asor.local); para ello, se cuenta con un
servidor llamado SERVER_A (en el ya se encuentran instalados los roles de Active
Directory Domain Services con nombre de dominio cibertec.com, Web Server (IIS) y
DNS Server). Tambin, se cuenta con un cliente web para la verificacin del servicio.

Direccin IP Puerto TCP Nombre de encabezado de host


192.168.1.100 80 sitio1.cibertec.com
192.168.1.101 80 sitio2.cibertec.com
192.168.1.102 80 sitio3.asor.local
Tabla 1: Detalle de los sitios web

Internet Firewall

Cliente Web Controlador de Dominio


Nombre: CLIENTE Servidor DNS
Direccin IP: 192.168.1.50 Servidor Web
Mscara: 255.255.255.0 Nombre: SERVER_A
Puerta de Enlace: 192.168.1.100 Direccin IP: 192.168.1.100
Mscara: 255.255.255.0
Dominio: cibertec.com
Sitios Web: sitio1.cibertec.com
sitio2.cibertec.com
sitio3.asor.local

Figura 2: Arquitectura de Red del Servicio Web

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 25

1.1.3.1 Configuracin de direccionamiento de red para los equipos

1. En el equipo CLIENTE, seleccione el Panel de control/Redes e internet/Centro


de redes y recursos compartidos/Cambiar configuracin del adaptador. Luego,
haga clic derecho sobre el adaptador Ethernet (renombrado como LAN) y
seleccione Propiedades. Despus, haga clic en Protocolo de Internet versin 4
(TCP/IPv4) y configure el direccionamiento IP tal como se indica en la siguiente
imagen:

2. En el servicor SERVER_A, seleccione Control Panel/Network and


internet/Network and Sharing Center/Change adapter settings. Luego, haga clic
derecho sobre el adaptador Ethernet (renombrado como LAN) y seleccione
Properties. Despus, haga clic en Internet Protocol Versin 4 (TCP/IPv4) y
configure el direccionamiento IP tal como se indica en la siguiente image:

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 26

1.1.3.2 Creacin de las carpetas que alojarn los cdigos html

1. En el SERVER_A, haga clic en el boton Start y en This PC, luego, haga doble clic
en Local Disk (C:) y en la carpeta inetpub (esta carpeta fue creada por el rol IIS).
Dentro de esta ltima, cree una carpeta llamada WebSites y dentro de ella otras
tres ms llamadas sitio1, sitio2, sitio3. En cada uno de estos sitios,
almacenaremos los archivos index con su respectiva imagen de ser necesario.

2. Por ejemplo para la creacin del cdigo fuente del sitio1, abra un bloc de notas y
escriba los siguientes comandos:

<html>
<head>
<title> Sitio 1 </title>
</head>
<body bgcolor="#d6d7c9" text="#000000">
<H1 align="center" >Bienvenidos al Sitio 1 </H1>
<HR>
<p> Estimado usuario le damos una cordial bienvenida a nuestra pgina web
Sitio 1 </p>
<img src="s1.png">
</body>
</html>

Luego, guarde el archivo con el nombre index.html con el tipo All Files.

1.1.3.3 Creacin de los nombres de encabezados de host para cada sitio web

De los tres nuevos sitios web llamados sitio1.cibertec.com, sitio2.cibertec.com y


sitio3.asor.local, en los dos primeros se crearn los registros dentro de la zona
primaria perteneciente al dominio de nuestro DNS llamada cibertec.com. Para el caso
del tercero, se tendr que crear en primer lugar la zona primaria y posteriormente,
repetir la accin.

1. Abra Server Manager del SERVER_A y en la pestaa Tools, haga doble clic a la
opcin DNS.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 27

2. En la ventana DNS Manager, despliegue SERVER_A y dentro de el despliegue la


carpeta Forward Lookup Zones. Luego, haga clic derecho sobre la carpeta
cibertec.com y seleccione la opcin New Host (A or AAAA).

3. En la nueva ventana que aparece New Host, escriba en el primer rengln en


blanco, el nombre de sitio1 y en el tercer rengln, la direccin IP 192.168.1.1.100;
luego, haga clic en Add Host.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 28

4. Inmediatamente, aparecer una nueva ventana en la que nos indica que nuestro
nuevo host ha sido creado de forma exitosa, luego, haga clic en OK

5. De forma similar, se crear un nuevo encabezado de host para el sitio2.

6. Para la creacin de una nueva zona primaria, haga clic derecho sobre la carpeta
Forward Lookup Zones y elija la opcin New Zone.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 29

7. En la ventana Welcome to the New Zone Wizard, haga clic en Next para
continuar.

8. Luego, en la ventana Zone Type, seleccione la opcin Primary zone y haga clic en
Next.

9. En la ventana Active Directory Zone Replication Scope, seleccione la opcin To


all DNS servers running on domain controllers in this domain: cibertec.com y
haga clic en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 30

10. En la ventana Zone Name, escriba en el rengln en blanco el nombre de la nueva


zona primaria que se est creando el cual es asor.local, despus haga clic en
Next.

11. En la ventana Dynamic Update, seleccione la opcin Allow only secure dynamic
updates (recommended for Active Directory) y haga clic en Next.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 31

12. Luego de completar de forma exitosa la creacin de la nueva zona, haga clic en
Finish.

13. Finalmente, en la nueva zona asor.local cree un nuevo encabezado de host para
el sitio3 con la direccin IP 192.168.1.100.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 32

1.1.3.4 Creacin de los sitios web

En esta etapa, se crearn los 3 sitios web; para ello, ejecute los siguientes pasos:

1. Abra Server Manager del SERVER_A y en la pestaa Tools, haga doble clic a la
opcin Internet Information Services (IIS) Manager.

2. Luego, en la ventana Internet Information Services (IIS) Manager, desglose el


icono que representa al servidor (SERVER_A) y haga clic derecho sobre la carpeta
Sites y seleccione la opcin Add Website.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 33

3. En la ventana Add Website escriba los siguientes parmetros:

Site name: sitio1


Physical path: C:\inetpub\WebSites\sitio1
IP address: 192.168.1.100
Host name: sitio1.cibertec.com

Luego, haga clic en OK.

4. Para la creacin de los dos sitios web restantes, repita los pasos 2 y 3, pero para
este ltimo, donde dice Host name, se debe escribir sitio3.asor.local por
pertenecer a otra zona principal ya que la zona cibertec.com fue creado por
defecto por nuestro dominio.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 34

5. En la carpeta Sites, puede observar la creacin de los 3 sitios web.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 35

1.1.3.5 Verificacin del correcto funcionamiento de la implementacin de los


mltiples Websites

1. En el equipo del cliente web, abra un navegador de internet y visite los 3 sitios web
ya configurados; para ello, escriba en la barra de direcciones
http://sitio1.cibertec.com, http://sitio2.cibertec.com y http://sitio3.asor.local

2. Adems, utilice el comando nslookup para comprobar que nuestro DNS est
resolviendo correctamente los nombres y las IPs. Para ello, abra CMD del Cliente y
ejecute nslookup sitio1.cibertec.com

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 36

Finalmente, realice las demas pruebas para los sitios web restantes.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 37

Resumen
1. Web Server (IIS) de Windows Server 2016 es una plataforma web unificada que
integra distintos tipos de pginas tales como Active Server Pages (ASP),
ASP.NET, PHP, servicios de FTP y Windows Communication Foundation (WCF).

2. DNS Server puede almacenar mltiples zonas primarias.

3. Windows Server 2016 sigue permitiendo la integracin de los roles Active Directory
Domain services y DNS Server, ello conlleva a que el servidor DNS que contiene
una zona integrada en Active Directory puede recibir actualizaciones dinmicas
enviados por los clientes para que no exista ningn punto nico de fallo.

4. Se puede implementar mltiples sitios web con la misma direccin IP del servidor y
el mismo nmero de puerto; para ello, cada sitio web debe tener un nombre de
encabezado de host.

Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:

o https://www.youtube.com/watch?v=kPs-We3sPwQ
o https://technet.microsoft.com/es-es/library/hh831725.aspx
o https://technet.microsoft.com/es-es/library/hh831667.aspx
o https://waytoit.wordpress.com/2014/01/30/iis-8-5-ii-configurando-sites

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 38

1.2. SERVICIO FTP


1.2.1. Fundamentos del servicio FTP

El servicio FTP se encarga de la transferencia de archivos entre sistemas


interconectados o enlazados en la internet, el cual est basado en una arquitectura
cliente-servidor. Desde un equipo cliente, se puede conectar a un servidor para la
descarga o subida de archivos, este trabajo se realiza de forma independiente del
sistema operativo que se est utlizando en cada equipo.

Figura 3: Servicio FTP


Fuente.- Tomado de http://univirtual.unicauca.edu.co/moodle/file.php/24/material/Otros/multimedia/serv_internet.htm

Servidor FTP

Un servidor HTTP (es decir, un servidor Web) en que se puede comunicar con l
mediante un protocolo de Internet. Sin embargo, un servidor FTP no ejecuta las
pginas Web; slo enva y recibe los archivos a los equipos remotos.

Servidor FTP de Windows Server 2016 trabaja usando el protocolo FTP, que forma
parte de la pila TCP/IP, diseada para transferir archivos entre dos host en Internet.
Ambos equipos deben soportar sus respectivos roles FTP: uno debe ser el cliente FTP
y el otro debe ser un servidor FTP. Los archivos se almacenan en el servidor FTP
(encargado de ejecutar el servicio FTP).

Los equipos remotos se pueden conectar utilizando el cliente FTP y leer archivos del
servidor FTP, copiar o enviar archivos al servidor FTP.

Se puede configurar Internet Information Services (IIS) para funcionar como un


servidor FTP. Esto permite a otros equipos conectarse al servidor y transferir archivos
desde o hacia el servidor FTP. Por ejemplo, puede configurar IIS para que acte como
un servidor FTP si est alojando sitios Web en el equipo y desea que usuarios remotos
puedan actualizar el contenido de sus sitios webs.

Tipos de Acceso al servidor FTP

Servidor FTP annimo

Los Servidores FTP annimos le permiten al usuario ingresar al servidor FTP sin tener
una cuenta creada en el servidor, ni contrasea que lo identifiquen. Usualmente, el
nombre de usuario para conectarse de forma annima es "anonymous". Es una forma
cmoda de que mltiples usuarios puedan acceder a los archivos del FTP, sin que el
administrador deba crear cuentas para cada uno.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 39

En general, entrar a un servidor FTP de forma annima tiene ciertas limitaciones


(menos privilegios) que un usuario normal. Por ejemplo, slo se pueden descargar
archivos, y no se puede subir o modificar stos.

Servidor FTP autenticado

El FTP Autenticado se utiliza para transferir archivos al servidor FTP, enviar y recibir
archivos hacia el servidor para luego, hacerlos pblicos o privados. Para el acceso,
requiere de un usuario y contrasea.

Por ejemplo, si quiere actualizar pginas webs de un sitio web, habra que enviarlas
usando el servicio FTP. Pero, no nos gustara que cualquiera pudiese acceder a ellas
para cambiarlas o eliminarlas.

Tipos de modo del sitio FTP

IIS introduce 3 modos para el sitio FTP:

Modo de usuario sin aislamiento

No asla usuarios, este modo no habilita aislamiento de usuario FTP y funciona en


todas las versiones anteriores de IIS.

Modo de usuario con aislamiento

Este modo autentifica a los usuarios contra cuentas locales o de dominio para que
puedan tener acceso al directorio principal que coincide con su nombre de usuario.
Todos los directorios particulares de los usuarios se encuentran debajo de un
directorio raz nico FTP donde se coloca y donde se limita cada usuario a su
directorio particular. A los usuarios no se les permite desplazarse fuera de ste.

Modo de usuario con aislamiento integrado con el Directorio Activo

Los usuarios aislados que utilizan Directorio Activo, autentifican sus credenciales de
usuario contra un contenedor correspondiente del Directorio Activo, se requiere
grandes cantidades de tiempo y de procesamiento.

Servidor FTP sobre SSL5

Este Servicio FTP incorpora nuevas caractersticas que permiten a los administradores
publicar el contenido mucho con mayor seguridad. Una de las caractersticas de FTP
sobre Secure Sockets Layer (SSL) es que permite sesiones encriptadas entre el
cliente FTP y el Servidor.

5
Es la sigla en ingls de Secure Sockets Layer (en espaol capa de conexin segura). Es un
protocolo criptogrfico que proporciona autenticacin y privacidad sobre internet.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 40

1.2.2. Configuracin del Servidor FTP

Para la configuracin de este escenario, el servidor SERVER_A ser configurado


como un servidor FTP autenticado y el equipo CLIENTE ser configurado como un
cliente FTP.

Instalacin de un servicio FTP en un servidor WEB IIS existente

Para la implementacin del Servidor FTP, se debe tener instalado primero el rol Web
Server (IIS)6. Luego, se tiene que agregar a este rol las funcionalidades de FTP tal
como se detalla a continuacion en los pasos siguientes.

1. Inicie Server Manager del SERVER_A y haga clic en Add roles and features.

2. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.

3. En la ventana Select installation type, seleccione la opcin Role-based or


feature-based installation, ello permite que la instalacin de roles y caracteristicas
se implementen en el servidor. Luego, haga clic en Next.

6
Para recordar como fue la instalacin de este rol puede consultar la seccin 1.1.1.1

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 41

4. Ahora en la ventana Select destination server, seleccione la opcin Select a


server from the server pool, ello indica que se est eligiendo a nuestro servidor
SERVER_A para que en ella, se instalen los roles y caractersticas. Luego, haga
clic en Next.

5. Del listado de roles de la ventana Select server roles, desglose el rol ya instalado
Web Server (IIS) y dentro de ella, seleccione la funcionalidad FTP Server (ello
incluye las caractersticas de FTP Service y FTP Extensibility), luego, haga clic en
Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 42

6. En la ventana Select features, haga clic en Next.

7. En la ventana Corfirm installation selections, se muestra un resumen de lo que


se ha seleccionado para la instalacin, luego, haga clic en Install.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 43

8. Despus, de esperar algunos minutos al finalizar la instalacin, haga clic en Close,


y de esa manera ya se tiene instalado de forma exitosa la funcionalidad de FTP
Server en el rol Web Server (IIS).

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 44

1.2.3. Implementacin del servicio FTP autenticado con aislamiento de


usuarios del dominio

En este nuevo escenario, se agregar en el servidor SERVER_A el servcio FTP


autenticado con el modo de usuario con aislamiento integrado con el Directorio Activo
del dominio cibertec.com.

Internet Firewall

Cliente FTP
Nombre: CLIENTE Controlador de Dominio
Direccin IP: 192.168.1.50 Servidor DNS
Mscara: 255.255.255.0 Servidor Web
Puerta de Enlace: 192.168.1.100 Servidor FTP
Nombre: SERVER_A
Direccin IP: 192.168.1.100
Mscara: 255.255.255.0
Dominio: cibertec.com
Sitio FTP: Sitio FTP 1

Figura 4: Arquitectura de Red del Servicio FTP

1.2.3.1 Configuracin de direccionamiento de red para los equipos

1. En el equipo CLIENTE, elija el Panel de control/Redes e internet/Centro de


redes y recursos compartidos/Cambiar configuracin del adaptador. Luego,
haga clic derecho sobre el adaptador Ethernet (renombrado como LAN) y
seleccione Propiedades. Despus, haga clic en Protocolo de Internet versin 4
(TCP/IPv4) y configure el direccionamiento IP tal como se indica en la siguiente
imagen:

2. En el servidor SERVER_A, elija Control Panel/Network and internet/Network and


Sharing Center/Change adapter settings. Luego, haga clic derecho sobre el
adaptador Ethernet (renombrado como LAN) y seleccione Properties. Despus,
haga clic en Internet Protocol Versin 4 (TCP/IPv4) y configure el
direccionamiento IP tal como se indica en la siguiente imagen:

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 45

1.2.3.2 Creacin de los usuarios del dominio que accedern al servicio FTP

A continuacin, se crearn los usuarios scamacho y sdiaz pertenecientes al dominio


cibertec.com para que usen nuestro servicio FTP.

1. En el cmd del servidor SERVER_A, ejecute los siguientes comados:

net user /add scamacho P@ssw0rd


net user /add sdiaz P@ssw0rd

2. Verifique que se ha creado de forma exitosa dichos usuarios; para ello, abra Server
Manager y en la pestaa Tools haga doble clic a la opcin Active Directory Users
and Computers.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 46

3. Luego, en la ventana Active Directory Users and Computers despliegue


cibertec.com y haga clic en la carpeta Users donde puede visualizar los objetos de
los usuarios scamacho y sdiaz.

1.2.3.3 Creacin del directorio fsico para los usuarios FTP

Como se desea crear directorios particulares para cada usuario ejecute los siguientes
pasos:

1. En This PC del SERVER_A, haga doble clic a unidad Local Disk (C:) y dentro de
ella, cree una carpeta llamada FTP Raiz.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 47

2. Dentro de la carpeta FTP Raiz, cree otra carpeta llamada Usuarios Dominio y en
ella, una carpeta para cada usuario con los nombres de scamacho y sdiaz.

3. Es necesario alojar archivos de diversos tipos en la carpeta de cada usuario para


las pruebas de verificacin que ms adelante se realizarn.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 48

1.2.3.4 Creacin del certificado-autofirmado SSL

1. En la pestaa Tools del Server Manager, haga doble clic a la opcin Internet
Information Services (IIS) Manager.

2. En la ventana Internet Information Services (IIS) Manager, haga clic en


SERVER_A y doble clic en Server Certificates.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 49

3. Luego, seleccione la opcin Create Self-Signed Certificate del men Actions.

4. En la ventana Specify Friendly Name, escriba en Specify a friendly name for the
certificate el nombre del certificado digital el cual es srv-nps-01 y luego, haga clic
en OK.

5. Finalmente, puede visualizar la creacin de nuestro certificado digital.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 50

1.2.3.5 Creacin del sitio FTP con SSL

1. En la pestaa Tools del Server Manager, haga doble clic a la opcin Internet
Information Services (IIS) Manager.

2. En la ventana Internet Information Services (IIS) Manager, despliegue el servidor


SERVER_A, luego, haga clic derecho sobre carpeta Sites y seleccione la opcin
Add FTP Site para crear nuesto sitio FTP.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 51

3. En la ventana Site Information, escriba en FTP site name el nombre de Sitio FTP
1 y ubique el directorio C:\FTP Raiz en Physical path, luego, haga clic en Next.

4. En la ventana Binding and SSL Settings, escriba la direccin IP 192.168.1.100 en


IP Address (el puerto por defecto es 21), adems, en SSL escojemos la opcin
Allow SSL y en SSL Certificate seleccione nuestro certificado srv-nps-01. Luego,
haga clic en Next para continuar.

5. Luego, en la ventana Authentication and Authorization Information, seleccione


Basic en Authentication mientras que en Authorization se permite el acceso a los
usuarios FTP por lo que en Allow acces to, seleccione Specified users y en el
siguiente rengln, escriba scamacho, sdiaz. Ambos usuarios tendrn los permisos
de escritura y lectura por lo que en Permissions, haga check en Read y Write,
luego, haga clic en Finish.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 52

6. Luego, en la ventana Sitio FTP 1 Home, haga doble clic en FTP Messages.

7. En la ventana FTP Messages, seleccione la opcin Support user variables in


messages en Message Behavior el cual permite que se muestren las variables del
usuario en los mensajes FTP como por ejemplo el numero de bytes enviados del
servidor al cliente, el nombre de la cuenta del usuario que ha iniciado la sesin, etc.

Ademas, en la parte de Banner de Message Text puede escribir ========Sitio


FTP 1========, y en Welcome un mensaje de bienvenida como por ejemplo
Estimado(a) usuario sea bienvenido a nuestro servicio FTP; asi como en Exit
puede escribir Gracias por usar este servicio. Finalmente haga clic en Apply del
men Actions

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 53

1.2.3.6 Aislamiento de usuarios integrado con el Directorio Activo

Para la configuracin de aislamiento de usuarios integrado con el Directorio Activo,


relice los siguientes pasos

1. Seleccione el Sitio FTP 1 de la carpeta Sites de Internet Information Services (II)


Manager y en el panel de la derecha haga doble clic en FTP User Isolation

2. Luego, en la ventana FTP User Isolation, escoja la opcin FTP home directory
configured in Active Directory el cual permite aislar las sesiones de nuestros
usuarios FTP en el directorio particular configurado en los valores de cuenta de
Active Directory para cada usuario FTP (el usuario nicamente ve la ubicacin raz
de FTP que le corresponde y no puede navegar al directorio superior). Despus,
haga clic en Set.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 54

3. En ventana Set Credentials, escriba las credenciales del usuario Administrator


(recuerde que la constrasea es P@ssw0rd), luego, haga clic en OK.

4. Luego, haga clic en Apply del men Actions.

Ahora, se debe asignar a cada cuenta de usuario FTP en Active Directory un


determinado directorio principal. Por ello, se debe agregar las propiedades7 msIIS-

7
Hasta la versin de Windows Server 2008 se poda agregar estas propiedades mediante las
siguientes lneas de comando:
Iissftp.vbs /SetADProp Nombre de Usuario FTPRoot Ruta de directorio fsico FTP de raz
Iissftp.vbs /SetADProp Nombre de Usuario FTPDir Nombre de la carpeta del usuario

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 55

FTPRoot y msIIS-FTPDir (juntos determinan el directorio de inicio del usuario FTP) a la


cuenta de cada usuario.

Para ello, haga uso del ADSI Edit; en caso contrario, se negar el acceso a cada
usuario.

5. Ahora, abra Server Manager y en la pestaa Tools, haga doble clic a la opcin
ADSI Edit.

6. En la ventana ADSI Edit, seleccione la pestaa Action y haga clic en Connect to.

7. En la ventana Connection Settings, escriba en Name el nombre del dominio el


cual es cibertec.com. Despus, haga clic en OK.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 56

8. Ahora, haga doble clic de forma seguida en cibertec.com, en la carpeta


DC=cibertec, DC=com, y en la carpeta CN=Users.

9. Dentro de la carpeta CN=Users, haga clic derecho sobre la carpeta CN=scamacho


y escoja la opcin Properties.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 57

10. En la ventana CN=scamacho Properties, seleccione msIIS-FTPDir de la pestaa


Attribute Editor y haga clic en el botn Edit.

11. En la ventana String Attribute Editor escriba en Value la carpeta asignada a


nuestro usuario FTP, el cual es \scamacho y haga clic en OK

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 58

12. Ahora, en la ventana CN=scamacho Properties, seleccione msIIS-FTPRoot de la


pestaa Attribute Editor y haga clic en el botn Edit.

13. En la ventana String Attribute Editor, escriba en Value el directorio de raz de


nuestro sitio FTP para el usuario scamacho, el cual es C:\FTP Raiz\Usuarios
Dominio y haga clic en OK.

14. Despus, en la ventana CN=scamacho Properties, haga clic en Apply y luego, en


OK.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 59

15. Por ltimo, agregue las propiedades msIIS-FTPRoot y msIIS-FTPDir al usuario


sdiaz por lo que deber repetir los pasos del 9 al 14.

1.2.3.7 Verificacin del correcto funcionamiento de la implementacin del


servicio FTP autenticado con aislamiento de usuarios del dominio

Existen diversas formas de verificar que nuestro servicio FTP est funcionando
correctamente, todas ellas sern descritas a continuacin.

Prueba mediante el uso de un navegador de internet

1. En el equipo CLIENTE, abra un navegador de internet y en la barra de direcciones,


escriba la direccin ftp://192.168.1.100

2. En la ventana Internet Explorer, escriba las credenciales del usuario scamacho


(Nombre de usuario: scamacho, Contrasea: P@ssw0rd). Luego, haga clic en
Iniciar sesin.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 60

3. Luego, puede hacer uso del servicio sin ningun problema

Prueba mediante el uso del simbolo del sistema

1. En el equipo CLIENTE, abra la consola del CMD y ejecute el comando ftp


192.168.1.100

2. Luego, brinde las credenciales del usuario scamacho, por lo que en Usuario
<192.168.1.100:<none>>, escriba scamacho y en Contrasea, escriba
P@ssw0rd (tenga en cuenta que al escribir la contrasea esta no se visualiza)

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 61

3. Luego del mensaje de bienvenida, ejecute el comando8 dir para poder visualizar el
directorio del usuario.

4. Luego, para finalizar la sesin FTP, ejecute el comado bye.

8
Para poder conocer los comandos FTP e interactuar con ellos visite la siguiente pgina web
https://technet.microsoft.com/es-es/library/ff687787(v=ws.10).aspx

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 62

Prueba mediante el uso de ubicacin de red

1. En el equipo CLIENTE, presione el botn Inicio y seleccione Este Equipo, luego,


sobre este ltimo, haga clic derecho y seleccione la opcin Agregar una ubicacin
de red.

2. En la ventana ste es el Asistente para agregar ubicaciones de red, haga clic en


Siguiente.

3. En la ventana Dnde desea crear esta ubicacin de red?, haga clic en


Siguiente.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 63

4. En la ventana Especifique la ubicacin de su sitio web, escriba en Direccin de


red o internet la direccin ftp://192.168.1.100 y haga clic en Siguiente.

5. En la ventana Especifique un nombre de usuario y contrasea si se requiere,


quite la seleccin en Iniciar sesin de forma annima y en Nombre de usuario,
escriba scamacho, luego, haga clic en Siguiente.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 64

6. En la ventana Qu nombre le desea dar a esta ubicacin?, escriba en Escriba


un nombre para esta ubicacin de red el de FTP-scamacho, luego, haga clic en
Siguente.

7. Luego, en la ventana Finalizacin del Asistente para agregar ubicaciones de


red, haga clic en Finalizar.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 65

8. Finalmente, en la ventana Iniciar sesin como, escriba las credenciales del


usuario scamacho (Usuario: scamacho, Contrasea: P@ssw0rd) y haga clic en
Iniciar sesin.

9. Luego, puede hacer uso del servicio sin ningn problema.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 66

Prueba mediante el uso de un Programa de Aplicacin

En esta prueba, se har uso de un software libre como es el FileZilla Client9 cuya
ltima versin estable a la fecha es 3.15.0.1.

1. Para la instalacin del software en el equipo CLIENTE, haga clic derecho sobre
FileZilla_3.15.0.1_win64-setup y seleccione la opcin Ejecutar como
administrador.

2. En la ventana License Agreement, haga clic en I Agree.

3. En la ventana Choose Installation Options, seleccione la opcin Anyone who


uses this computer y haga clic en Next.

9
Es un software gratuito para cliente FTP que goza de una multiplataforma rpida y confiable,
adems, proporciona una interfaz grfica al usuario el cual es fcil de interactuar. Si desea
descargar la ultima versin visite la pgina web https://filezilla-project.org/download.php

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 67

4. En la ventana Choose Components, seleccione todas las opciones en Select


components to install y haga clic en Next.

5. En la ventana Choose Install Location, deje la ruta por defecto en Destination


Folder y solamente haga clic en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 68

6. Luego, en la ventana Choose Start Menu Folder haga clic en Install.

7. Por ltimo, en la ventana Completing the FileZilla Client 3.15.0.1 Setup haga clic
en Finish.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 69

8. Luego, en el programa FileZilla abra Gestor de Sitios haciendo clic sobre el icono
que se encuentra debajo de la pestaa Archivo.

9. En la ventana Gestor de Sitios, haga clic en el botn Nuevo sitio.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 70

10. Luego, renombre el Nuevo sitio por FTP-scamacho y configure los siguientes
datos:

Servidor: 192.168.1.100 Puerto: 21


Protocolo: FTP-Protocolo de Transferencia de Archivos
Cifrado: Requiere FTP explcito sobre TLS
Modo de acceso: Normal
Usuario: scamacho
Contrasea: P@ssw0rd

11. Despus, haga clic en Conectar

12. Luego de observar el certificado emitido, haga clic en Aceptar.

13. Ahora puede hacer uso del servicio sin ningn problema, por ejemplo en Sitio
remoto, escoja un archivo de nuestra eleccin y sobre este haga clic derecho y
seleccione la opcin Descargar.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 71

14. Puede verificar que la descarga ha sido exitosa, pues el archivo se encuentra en el
folder Descargas del usuario scamacho.

Del mismo modo, realice las mismas pruebas para el usuario sdiaz.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 72

Resumen
1. El servidor FTP permite que los usuarios puedan transmitir de forma rpida
informacin a travs de la Internet.

2. El servidor FTP annimo solo permite la descarga de archivos.

3. El servidor FTP autenticado permite la descarga y envio de archivos.

4. El servidor FTP de Microsoft soporta 3 tipos de modo de aislamiento: modo de


usuario sin aislamiento, modo de usuario con aislamiento, y modo de usuario con
aislamiento integrado al Directorio Activo.

5. Los clientes FTPs pueden ser de modo grfico o texto.

6. El servidor FTP sobre SSL slo soporta clientes FTP de entorno grfico.

Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:

o https://technet.microsoft.com/es-es/library/hh831655.aspx#Step1
o https://technet.microsoft.com/es-es/library/hh831729.aspx
o https://technet.microsoft.com/es-es/library/hh831662.aspx

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 73

1.3 SERVICIO RRAS


1.3.1 Fundamentos del servicio RRAS

El Servicio de enrutamiento y acceso remoto (RRAS10) recibe su nombre debido a que


proporciona dos servicios principales de red las cuales son enrutamiento y acceso
remoto.

1.3.1.1 Enrutamiento

Un enrutador o router es un dispositivo intermedio que administra el flujo de datos


entre segmentos de red o subredes. El enrutador se encarga de direccionar los
paquetes entrantes y salientes basndose en la informacin sobre el estado de sus
propias interfaces de red y una lista de posibles orgenes y destinos del trfico de red.
Al proyectar el trfico de red y las necesidades de enrutamiento segn el nmero y los
tipos de dispositivos de hardware y aplicaciones usados en el entorno, es posible
decidir mejor si se va a usar un enrutador de hardware dedicado, un enrutador basado
en software o una combinacin de ambos. Normalmente, los enrutadores de hardware
dedicados controlan mejor las demandas de enrutamiento ms complejas, mientras
que los enrutadores basados en software, que no resultan tan caros, controlan cargas
de enrutamiento ms ligeras.

Para trabajar en un entorno de red pequea y segmentada con un trfico relativamente


ligero es recomendable utilizar una solucin de enrutamiento basada en software,
como RRAS en esta versin de Windows. En cambio, los entornos de red
empresariales con un gran nmero de segmentos de red y una amplia gama de
requisitos de rendimiento pueden necesitar una variedad de enrutadores basados en
hardware para realizar distintos roles en la red.

1.3.1.2 Acceso remoto

Si se configura el servicio RRAS para que acte como un servidor de acceso remoto,
se podr conectar trabajadores remotos o mviles a las redes de la organizacin.
Tenga en cuenta que los usuarios remotos pueden trabajar como si sus equipos
estuvieran conectados directamente a la red.

Todos los servicios que suelen estar a disposicin de un usuario conectado


directamente (incluso el uso compartido de archivos e impresoras, el acceso al
servidor web y la mensajera) se habilitan por medio de la conexin de acceso remoto.
Por ejemplo, en un servidor RRAS, los clientes pueden usar el Explorador de Windows
para realizar conexiones a una unidad y para conectarse a las impresoras. Dado que
las letras de unidad y los nombres de convencin de nomenclatura universal (UNC)
son totalmente compatibles con el acceso remoto, la mayora de las aplicaciones
comerciales y personalizadas funcionan sin necesidad de modificacin. Abordaremos
ms relacionado a este tema en la siguiente unidad de este manual.

10
Siglas en ingls de Routing and Remote Access Service

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 74

1.3.2 Escenarios de enrutamiento

El uso del servicio RRAS permite implementar tres escenarios de enrutamientos


tpicos.

1.3.2.1 Escenario de enrutamiento simple

En la siguiente ilustracin, se muestra una configuracin de red simple con un servidor


RRAS que conecta dos segmentos de red de rea local (LAN), las redes A y B. En
esta configuracin, no se requiere un protocolo de enrutamiento porque el enrutador
est conectado a todas las redes a las que necesita enrutar paquetes.

Figura 5: Conexin enrutada entre dos segmento de rea local (LAN)


Fuente.- Tomado de https://technet.microsoft.com/es-pe/library/dd469784.aspx

1.3.2.2 Escenario de varios enrutadores

En la siguiente ilustracin, se muestra una configuracin ms compleja de


enrutadores. Esta vez se cuenta con tres redes (redes A, B y C) y dos enrutadores
(enrutadores 1 y 2). El enrutador 1 est en las redes A y B, mientras que el enrutador 2
est en las redes B y C. El enrutador 1 debe notificar al enrutador 2 que se puede
tener acceso a la red A a travs del enrutador 1 y viceversa el enrutador 2 debe
notificar al enrutador 1 que se puede tener acceso a la red C a travs del enrutador 2.
Esta informacin se comunica mediante un protocolo de enrutamiento11, como el
protocolo de informacin de enrutamiento (RIP versin 2) usado para IPv4.

Figura 6: Conexin enrutada entre tres redes


Fuente.- Tomado de https://technet.microsoft.com/es-pe/library/dd469784.aspx

11
La informacin de enrutamiento IP se propaga mediante protocolos. Los dos protocolos de
enrutamiento IP ms comunes utilizados en intranets son el Protocolo de informacin de
enrutamiento (RIP, Routing Information Protocol) y Abrir la ruta de acceso ms corta primero
(OSPF, Open Shortest Path First).

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 75

El funcionamiento de este escenario es el siguiente: por ejemplo cuando un usuario de


la red A desea comunicarse con un usuario de la red C, el equipo del usuario de la red
A reenva el paquete al enrutador 1. Luego, el enrutador 1 reenva el paquete al
enrutador 2 y ste lo reenva al equipo del usuario de la red C.

Si no se desea utilizar protocolos de enrutamiento, la otra opcin seria establecer rutas


estticas; para ello, un administrador de redes debe especificar rutas estticas en las
tablas de enrutamiento del enrutador 1 y del enrutador 2. Tenga en cuenta que las
rutas estticas no funcionan bien en redes de gran tamao ni se recuperan despus
de realizar cambios en la topologa de la red.

1.3.2.3 Escenario de enrutamiento de marcado a peticin

En la siguiente ilustracin, se muestra una configuracin de enrutamiento que usa


marcado a peticin. Las redes A y B estn separadas geogrficamente y, por la
cantidad de trfico que se transfiere entre las redes, no resulta econmico una
concesin de vnculo de red de rea extensa (WAN). El enrutador 1 y el enrutador 2
pueden conectarse a travs de una lnea telefnica analgica mediante un mdem u
otro tipo de conectividad como ISDN (RDSI) en cada extremo. Cuando un equipo de la
red A inicia la comunicacin con un equipo de la red B, el enrutador 1 establece una
conexin con el enrutador 2. La conexin se mantiene solo mientras se estn enviando
o recibiendo paquetes. Si la conexin est inactiva, el enrutador 1 se desconecta para
reducir los costos de conexin.

Figura 7: Conexin enrutada entre dos redes separadas geogrficamente


Fuente.- Tomado de https://technet.microsoft.com/es-pe/library/dd469784.aspx

1.3.3 Implementacin del servicio RRAS para enrutamiento

El objetivo de esta seccin es implementar un escenario de enrutamiento simple. En


este escenario, se cuente con un nuevo servidor llamado SERVER_B que emular el
trabajo de un router. Se contar con dos reas de red (LAN y WAN), por lo que este
equipo tendr dos interfaces de red, donde una de ellas estar conectado a los
clientes y la otra a los servidores.

La red LAN cuya direccin de red es 10.0.0.0/8 es el lugar donde estarn los usuarios
Web y FTP representados por el equipo CLIENTE. La red WAN de direccin de red
192.168.1.0/24 es el lugar donde se alojarn nuestros servidores (controlador de
dominio, servidor DNS, servidor Web, servidor FTP) representados por el SERVER_A

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 76

Figura 8: Arquitectura de Red del Servicio RRAS

1.3.3.1 Configuracin de direccionamiento de red para los equipos

1. En el equipo CLIENTE, elija Panel de control/Redes e internet/Centro de redes y


recursos compartidos/Cambiar configuracin del adaptador. Luego, haga clic
derecho sobre el adaptador Ethernet (renombrado como LAN) y seleccione
Propiedades. Despus, haga clic en Protocolo de Internet versin 4 (TCP/IPv4)
y configure el direccionamiento IP tal como se indica en la siguiente imagen:

2. En el servidor SERVER_B, seleccione Control Panel/Network and


internet/Network and Sharing Center/Change adapter settings. Luego, haga clic
derecho sobre el adaptador Ethernet (renombrado como LAN) y seleccione
Properties. Despus, haga clic en Internet Protocol Versin 4 (TCP/IPv4) y
configure el direccionamiento IP tal como se indica en la siguiente imagen:

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 77

3. Adems, en el mismo servidor SERVER_B nos dirigimos a Control Panel/Network


and internet/Network and Sharing Center/Change adapter settings. Luego,
haga clic derecho sobre el adaptador Ethernet 2 (renombrado como WAN) y
seleccione Properties. Despus, haga clic en Internet Protocol Versin 4
(TCP/IPv4) y configure el direccionamiento IP tal como se indica en la siguiente
imagen:

4. En el servidor SERVER_A, elija Control Panel/Network and internet/Network and


Sharing Center/Change adapter settings. Luego, haga clic derecho sobre el
adaptador Ethernet (renombrado como WAN) y seleccione Properties. Despus,
haga clic en Internet Protocol Versin 4 (TCP/IPv4) y configure el
direccionamiento IP tal como se indica en la siguiente imagen:

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 78

1.3.3.2 Instalacin del rol Remote Access

Este rol ser instalado en el SERVER_B por lo que se ejecutarn los siguientes pasos:

1. Inicie Server Manager y haga clic en Add roles and features

2. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 79

3. En la ventana Select installation type, seleccione la opcin Role-based or


feature-based installation, ello permite la instalacin de roles y caracteristicas
para la configuracin de nuestro servidor. Luego, haga clic en Next.

4. Ahora en la ventana Select destination server, seleccione la opcin Select a


server from the server pool, ello indica que se est eligiendo a nuestro servidor
SERVER_B para que en l se instalen los roles y caractersticas. Luego, haga clic
en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 80

5. En la ventana Select server roles, seleccione el rol Remote Access y haga clic en
Next.

6. En la ventana Select features, las caractersticas bsicas y necesarias han sido


seleccionadas por defecto por el sistema, por lo que haga clic en Next

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 81

7. Luego, en la ventana Remote Access, haga clic en Next.

8. En la ventana Select roles services, seleccione DirectAccess and VPN (RAS).

9. Inmediatamente, aparece la ventana Add features that are required for


DirectAccess and VPN (RAS)? que nos indica que para poder instalar
DirectAccess and VPN (RAS) se debe adicionar algunas caractersticas que aun
no han sido instaladas, por lo que haga clic en el botn Add Features.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 82

10. Tambin, en la ventana Select role service, seleccione Routing y haga clic en
Next.

11. En la ventana Web Server Role (IIS), haga clic en Next para instalar dicho rol al
SERVER_B (tenga en cuenta que los roles Remotes Access y web server (IIS)
trabajan en forma conjunta).

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 83

12. En la ventana Select role services, deje seleccionados los servicios que por
defecto sern instalados para el rol Web Server (IIS), luego, haga clic en Next.

13. En la ventana Confirm installation selections, se muestra un resumen de las


caractersticas que se han seleccionado para la instalacin de nuestro rol, luego,
haga clic en Install.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 84

14. Finalmente, luego de esperar algunos minutos haga clic en Close. De esa manera,
ya se tiene instalado de forma exitosa los roles Remote Access y Web Server
(IIS)

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 85

1.3.3.3 Configuracin del Router

Nuestro servidor SERVER_B ser configurado para que realice el trabajo de emular
como un router ulitizando el servicio de Remote Access. Para ello, ejecute los
siguientes pasos:

1. Abra Server Manager del SERVER_B y en la pestaa Tools, haga doble clic a la
opcin Routing and Remote Access.

2. En la ventana Routing and Remote Access, haga clic derecho sobre el servidor
SERVER_B (local) y seleccione la opcin Configure and Enable Routing and
Remote Access.

3. Luego, en la ventana Welcome to the Routing and Remote Access Server Setup
Wizard haga clic en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 86

4. En la ventana Configuration, seleccione la opcin Custom configuration y haga


clic en Next.

5. En la ventana Custom Configuration, seleccione la opcin LAN routing y haga


clic en Next.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 87

6. En la ventana Completing the Routing and Remote Access Server Setup


Wizard, haga clic en Finish.

7. Por ltimo, haga clic en el boton Start service para iniciar el servicio.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 88

Agregando un protocolo de enrutamiento IP (opcional)

1. En la ventana Routing and Remote Access, despliegue el servidor SERVER_B


(local) y dentro de el despliegue IPv4. Luego, haga clic derecho sobre General y
seleccione New Routing Protocol.

En la ventana New Routing Protocol, seleccione RIP Version 2 for Internet


Protocol y haga clic en OK.

2. Luego, haga clic derecho sobre RIP el cual est dentro de IPv4 y seleccione la
opcin New Interface.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 89

3. En la ventana New Interface for RIP Vesrion 2 for Internet Protocol, seleccione
la interface en el cual funcionar RIP, en nuestro caso escoja la interface LAN y
luego, haga clic en OK.

4. En la ventana RIP Properties LAN Properties, deje las selecciones hechas por
defecto por el sistema y haga clic en Apply y despus en OK.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 90

1.3.3.4 Verificacin del correcto funcionamiento de la implemetancin del


servicio RRAS para enrutamiento

Pruebas de Conectividad mediante el uso de lneas de comando

En esta prueba, use los comandos ping y tracert.

1. En el equipo CLIENTE, abra CMD y haga ping y tracert a la direccin IP de nuestro


servidor SERVER_A. Para ello, ejecute los comandos ping 192.168.1.100 y tracert
192.168.1.100

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 91

2. De la misma forma que el paso 1, en nuestro servidor SERVER_A, abra CMD y haga
ping y tracert a nuestro equipo CLIENTE; para ello, ejecute los comandos ping
10.0.0.100 y tracert 10.0.0.100

Verificacin de la tabla de enrutamiento

1. En el CMD del servidor que trabaja como router (SERVER_B), ejecute el comando
route print.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 92

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 93

Resumen
1. Un enrutador o router es un dispositivo intermedio que sirve para interconectar
redes. Gracias al servicio RRAS se puede lograr que un servidor emule el trabajo
de un router.

2. El servicio de enrutamiento y acceso remoto forma parte del rol Remote Access en
Windows Server 2016.

3. Una solucin de enrutamiento basado en software es ideal para el trabajo en un


pequeo entorno de red con un trfico relativamente ligero.

4. Dentro de los escenarios de enrutamiento que se puede implementar se tiene el


escenario simple, el de varios enrutadores y el de marcado a peticin

5. El servicio RRAS brinda protocolos de enrutamiento a travs de redes LAN, y WAN

6. La implementacin del servicio RRAS necesita como mnimo 2 interfaces de red

Puede revisar los siguientes enlaces para ampliar los conceptos vistos en esta unidad:

o http://www.cisco.com/c/es_mx/products/routers/index.html
o https://technet.microsoft.com/es-pe/library/dn636119.aspx
o https://technet.microsoft.com/es-es/library/dn614140.aspx
o https://technet.microsoft.com/es-pe/library/dd469784.aspx

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 94

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 95

UNIDAD

2
REDES PRIVADAS VIRTUALES
LOGRO DE LA UNIDAD DE APRENDIZAJE

Al trmino de la unidad, el alumno implementa y administra redes virtuales


empleando la herramienta administrativa Routing and Remote Access.

TEMARIO

2.1.1 : Fundamentos del servicio VPN


2.1.2 : Configuracin del Servidor VPN
2.1.3 : Implementacin del servicio VPN para clientes remotos

ACTIVIDADES PROPUESTAS

Los alumnos implementan un servicio VPN con el protocolo PPTP para


clientes remotos.
Los alumnos implementan un servicio VPN con el protocolo L2TP para
clientes remotos.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 96

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 97

2.1 SERVICIO VPN


2.1.1 Fundamentos del servicio VPN

Una red privada virtual (VPN, Virtual Private Network) es la extensin de una red
privada que incluye vnculos de redes compartidas o pblicas como Internet. Con una
red privada virtual, se puede enviar datos entre dos host a travs de una red
compartida o pblica de forma que emula un vnculo privado punto a punto.

Las funciones de red privada virtual consisten en crear y configurar una misma red con
estas caractersticas. Para emular un vnculo punto a punto, los datos se encapsulan o
empaquetan con un encabezado que proporciona la informacin de enrutamiento que
permite a los datos recorrer la red compartida o pblica hasta alcanzar su destino.
Para emular un vnculo privado, los datos se cifran para asegurar la confidencialidad.
Los paquetes interceptados en la red compartida o pblica no se pueden descifrar si
no se dispone de las claves de cifrado. El vnculo en el que se encapsulan y cifran los
datos privados es una conexin de red privada virtual (VPN).

La siguiente ilustracin muestra el equivalente lgico de una conexin VPN.

Figura 9: Equivalencia lgica de una conexin VPN


Fuente.- Tomado de https://technet.microsoft.com/es-es/library/dd469653.aspx

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 98

2.1.1.1 Tipos de conexiones VPN

Existen dos tipos de conexiones VPN:

VPN de acceso remoto

Los usuarios que trabajan en casa o que estn de viaje pueden usar conexiones VPN
para establecer una conexin de acceso remoto al servidor de una organizacin
mediante la infraestructura que proporciona una red pblica como Internet. Desde la
perspectiva del usuario, la red privada virtual es una conexin punto a punto entre el
equipo (el cliente VPN) y el servidor de la organizacin (el servidor VPN). La
infraestructura exacta de la red compartida o pblica es irrelevante dado que,
lgicamente, parece como si los datos se enviarn a travs de un vnculo privado
dedicado.

VPN de sitio a sitio

Las organizaciones tambin pueden utilizar conexiones VPN para establecer


conexiones enrutadas con oficinas alejadas, geogrficamente, o con otras
organizaciones a travs de una red pblica como Internet al mismo tiempo que
realizan comunicaciones seguras. Una conexin VPN enrutada a travs de Internet
funciona como un vnculo de WAN dedicado.

Figura 10: Conexin mediante VPN de dos sitios remotos a travs de Internte
Fuente.- Tomado de https://technet.microsoft.com/es-es/library/dd469653.aspx

Gracias al acceso remoto y a las conexiones enrutadas, una organizacin puede


utilizar conexiones VPN para realizar conexiones a larga distancia, o lneas
concedidas para conexiones locales o con un Proveedor de servicios Internet (ISP).

2.1.1.2 Protocolos de tnel VPN

En la familia Microsoft Windows Server 2016 hay cuatro tipos de tecnologa VPN
basadas en el Protocolo punto a punto (PPP):

Protocolo de tnel punto a punto (PPTP)

PPTP utiliza mtodos de autenticacin PPP de nivel de usuario y cifrado punto a punto
de Microsoft (MPPE) para cifrar los datos.

Protocolo de tnel de capa 2 (L2TP) con seguridad de protocolo Internet


(IPSec)

L2TP utiliza mtodos de autenticacin PPP de nivel de usuario y certificados de nivel


de equipo con IPSec para cifrar los datos, o IPsec en modo tnel, en el que IPsec
proporciona encapsulacin (slo para el trfico IP).

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 99

Protocolo de tnel de socket seguro (SSTP)

SSTP es la nueva forma de tnel de VPN con caractersticas que permiten al trfico
pasar a travs de los firewalls que bloquean el trfico PPTP y L2TP. SSTP brinda un
mecanismo para encapsular trfico PPP sobre el canal SSL del protocolo HTTPS

Intercambio de claves de internet (IKEv2)

IKEv2 permite el trfico de mltiples protocolos que se codifiquen y luego,


encapsulados en una cabecera IPsec para ser enviados a travs de una red IP privada
o una red Ip pblica. IKEv2 supone una alternativa al intercambio manual de claves.
Su objetivo es la negociacin de una Asociacin de Seguridad para IPSEC. Permite,
adems, especificar el tiempo de vida de la sesin IPSEC, autenticacin dinmica de
otras mquinas, etc

Es importante referir, a pesar de que no ser implementado en este manual, que el rol
Remote Access no solo brinda servicios de enrutamiento y VPN sino que adiciona el
servicio de DirectAccess12. Pese a que en Windows Server 2008 R2 el servicio VPN
no poda coexistir en el mismo servidor perimetral con DirectAccess por lo que se
deba de implementar y administrar de forma separada de DirectAccess. Hoy en dia
esta situacin cambia pues en Windows Server 2016 dichos servicios se encuentran
unificados en un nuevo rol de servidor permitiendo la administracin configuracin y
supervisin de los mismos.

2.1.2 Configuracin del Servidor VPN

En este nuevo escenario, el servidor SERVER_B ser configurado como un servidor


VPN mientras que el equipo CLIENTE ser configurado como un cliente remoto VPN.
Se requiere de la instalacin del rol Remote Access e implementar el servicio
DirectAccess and VPN (RAS); sin embargo, es preciso recordar que dichos servicios
ya fueron instalados de forma satisfactoria en el SERVER_B (se le invita a revisar la
seccin 1.3.3.2 que est comprendido por las pginas del 81 al 88)

2.1.3 Implementacin del servicio VPN para clientes remotos

En esta seccin, implementaremos como tipo de conexin un VPN de acceso remoto,


adems, trabajaremos con los protocolos de tuneles PPTP y L2TP/IPSec.

SERVER_B ser el servidor VPN, quien ser unido al dominio cibertec.com para que
use la base de datos de cuenta del dominio. Se contar con dos reas de red
(EXTERNA e INTERNA) por lo que este equipo tendr dos interfaces de red, donde
una de ellas estar conectado remotamente por medio de internet a los clientes y la
otra a los servidores.

La red EXTERNA cuya direccin de red es 10.0.0.0/8 es el lugar donde estarn los
usuarios desde ubicaciones remotas representados por el equipo CLIENTE. La red

12
Es una caracterstica de acceso remoto que permite conectarse a los recursos de la red
corporativa sin necesidad de establecer conexiones de red privada virtual (VPN). DirectAccess
establece una conectividad bidireccional con una red interna cada vez que un equipo con
DirectAccess habilitado se conecta a Internet. Los usuarios no tienen que preocuparse de
conectarse a la red interna y los administradores de TI pueden administrar los equipos remotos
fuera de la oficina, incluso cuando los equipos no estn conectados a la red VPN.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 100

INTERNA de direccin de red 192.168.1.0/24 es el lugar donde se alojarn nuestros


servidores (controlador de dominio, servidor DNS, servidor Web, servidor FTP)
representados por el SERVER_A.

Figura 11: Arquitectura de Red del Servicio VPN

2.1.3.1Configuracin de direccionamiento de red para los equipos

1. En el equipo CLIENTE, seleccione Panel de control/Redes e internet/Centro de


redes y recursos compartidos/Cambiar configuracin del adaptador. Luego,
haga clic derecho sobre el adaptador Ethernet (renombrado como EXTERNA) y
seleccione Propiedades. Despus, haga clic en Protocolo de Internet versin 4
(TCP/IPv4) y configure el direccionamiento IP tal como se indica en la siguiente
imagen:

2. En el servidor SERVER_B, seleccione Control Panel/Network and


internet/Network and Sharing Center/Change adapter settings. Luego, haga clic
derecho sobre el adaptador Ethernet (renombrado como EXTERNA) y seleccione
Properties. Despus, haga clic en Internet Protocol Versin 4 (TCP/IPv4) y
configure el direccionamiento IP tal como se indica en la siguiente imagen:

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 101

3. Adems, en el mismo servidor SERVER_B, elija Control Panel/Network and


internet/Network and Sharing Center/Change adapter settings. Luego, haga clic
derecho sobre el adaptador Ethernet 2 (renombrado como INTERNA) y seleccione
Properties. Despus, haga clic en Internet Protocol Versin 4 (TCP/IPv4) y
configure el direccionamiento IP tal como se indica en la siguiente imagen:

4. En el servidor SERVER_A seleccione Control Panel/Network and


internet/Network and Sharing Center/Change adapter settings. Luego, haga clic
derecho sobre el adaptador Ethernet (renombrado como INTERNA) y seleccione
Properties. Despus, haga clic en Internet Protocol Versin 4 (TCP/IPv4) y
configure el direccionamiento IP tal como se indica en la siguiente imagen:

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 102

2.1.3.2 Configuracin del servicio VPN

1. Abra Server Manager del SERVER_B y en la pestaa Tools, haga doble clic a la
opcin Remote Access Management.

2. En la ventana Remote Access Management Console, haga clic donde dice


DirectAccess and VPN.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 103

3. Luego, haga clic en Run the Remote Access Setup wizard.

4. En la nueva ventana Configure Remote Access, seleccione la opcin Deploy VPN


only.

5. En la ventana Routing and Remote Access, haga clic derecho sobre nuestro
servidor SERVER_B (local) y seleccione la opcin Configure and Enable Routing
and Remote Access.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 104

6. Luego, en la ventana Welcome to the Routing and Remote Access Server Setup
Wizard, haga clic en Next para continuar.

7. En la ventana de Configuration, seleccione la opcin Remote Access (dial-up or


VPN) y haga clic en Next.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 105

8. En la ventana Remote Access, seleccione la opcin VPN y haga clic en Next.

9. Ahora en la ventana VPN Connection, seleccione la interfaz que conecta este


servidor con internet la cual es EXTERNA y luego, haga clic en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 106

10. En la ventana IP Address Assignment, seleccione la opcin From a specified


range of addresses ya que se asignar un rango especifico de direcciones ip para
que los clientes remotos accedan a la red Interna. Luego, haga clic en Next.

11. En la ventana Address Range Assignment, haga clic en New.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 107

12. De forma inmediata, aparece una nueva ventana llamada New IPv4 Address
Range en el cual se asignarn 11 direcciones IP de la red 192.168.1.0/24 para los
clientes VPN. En el campo Start IP address, escriba por ejemplo la direccin IP
192.168.1.200 y en el campo End IP address, 192.168.1.210, luego, haga clic en
OK.

13. Luego en la ventana Address Range Assignment, haga clic en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 108

14. En esta implementacin, no se utilizar un servidor RADIUS13 por lo que en la


ventana Managing Multiple Remote Access Servers, escoja la opcin No, use
Routing and Remote Access to authenticate connection requests. Luego,
haga clic en Next.

15. En la ventana Completing the Routing and Remote Access Server Setup
Wizard, haga clic en Finish.

13
El nombre RADIUS es el acrnimo de Remote Authentication Dial In User Services, es decir
estos servidores se encargan de la gestin de cuentas de usuarios para autenticar el acceso a
los proveedores de servico de Internet.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 109

16. Por ltimo, aparece un mensaje relacionado al uso de DHCP Relay Agent el cual
se omitir, pues para esta implementacin no se ha configurado el servicio
DHCP.Cierre la ventana haciendo clic en OK.

17. De esa manera, observe en SERVER_B / IPv4 / General de la ventana Routing


and Remote Access que las interfaces han sido creadas de forma exitosa.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 110

2.1.3.3 Configuracin de los permisos de acceso a los usuarios VPN

Ahora, se brindarn permisos a los usuarios scamacho y sdiaz de nuestro dominio


cibertec.com (implementado en el SERVER_A) para que sean nuestros usuarios VPN.

1. Abra Server Manager del SERVER_A y en la pestaa Tools, haga doble clic a la
opcin Active Directory Users and Computers.

2. En la ventana Active Directory users and Computers, haga clic derecho en el


usuario scamacho de la carpeta Users y seleccione la opcin Properties.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 111

3. En la ventana scamacho Properties, seleccione la pestaa Dial-in.

4. Luego, en el campo Network Access Permission de Dial-in, seleccione Allow


Access para permitir el acceso remoto al usuario scamacho y finalmente, haga clic
en Apply y luego, en OK.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 112

5. Por ltimo, realice la misma configuracin de los pasos del 2 al 4 para el usuario
sdiaz.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 113

2.1.3.4 Uniendo el servidor VPN (SERVER_B) al dominio cibertec.com

1. En la ventana Explorador del SERVER_B, haga clic derecho sobre This PC y


seleccione la opcin Properties.

2. En la ventana System, haga clic en Change settings.

3. Ahora en la ventana System Properties, haga clic en el botn Change.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 114

4. Luego, en la ventana Computer Name/Domain Changes, escriba en la opcin


Domain de Member of el nombre del dominio cibertec.com y haga clic en OK.

5. En la ventana Windows Security, brinde las credencianles del administrador del


dominio cibertec.com por lo que en el primer casillero, escriba como usuario
Administrator y en el segundo la contrasea P@ssw0rd, luego, haga clic en OK.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 115

6. Luego, en la ventana de bienvenida al dominio cibertec.com, haga clic en OK.

7. Luego, para que se efecten los cambios en el sistema, se debe reiniciar el equipo,
por lo que haga clic en OK.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 116

2.1.3.5 Configuracin del Cliente VPN con el uso del protocolo PPTP

1. En el Panel de control de nuestro equipo CLIENTE y seleccione la opcin Ver el


estado y las tareas de red de la categoria Redes e Internet.

2. En la ventana Centro de redes y recursos compartidos, en la opcin Cambiar la


configuracin de red, haga clic en Configurar una nueva conexin o red.

3. En la ventana Elegir una opcin de conexin, seleccione la opcin Conectarse a


un rea de trabajo y haga clic en Siguiente.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 117

4. En la ventana Cmo desea conectarse?, seleccione la opcin Usar mi conexin


a Internet (VPN).

8. En la ventana Desea configurar una conexin a Internet antes de continuar?,


seleccione la opcin Configurar ms tarde una conexin a Internet.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 118

9. En la ventana Escribe la direccin de Internet a la que se conectar, escriba la


direccin IP externa de nuestro servidor VPN y un nombre para la conexin, ingrese
los siguientes datos:

Direccin de Internet: 10.0.0.1

Nombre del destino: Ciber VPN 1

Luego, haga clic en Crear.

10. Luego, en la ventana Centro de redes y recursos compartidos de la categora


Redes e Internet del Panel de control, haga clic en la opcin Cambiar
configuracin del adaptador.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 119

11. En la ventana Conexiones de Red, haga clic derecho sobre la conexin Ciber
VPN 1 y seleccione la opcin Conectar o desconectar.

12. Luego, haga clic en la conexin Ciber VPN 1 del panel derecho.

13. Y haga clic en el botn Conectar.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 120

14. Ahora, inicie la sesin con el usuario scamacho cuya contrasea es P@ssw0rd,
luego, haga clic en Aceptar.

15. Ahora puede observar que la conexin Ciber VPN 1 se ha realizado de forma
exitosa.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 121

2.1.3.6 Verificacin del correcto funcionamiento de la implementacin del


servicio VPN para clientes remotos

Pruebas de Conectividad mediante el uso de lneas de comando

En esta prueba, se usar los comandos ipconfig, ping y tracert

1. En el equipo CLIENTE, abra CMD y ejecute el comando ipconfig /all

2. Ahora, haga ping y tracert a la direccin IP de nuestro servidor SERVER_A


ejecutando los comandos ping 192.168.1.100 y tracert 192.168.1.100.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 122

Prueba mediante el uso de la herramienta administrativa Routing and Remote


Access

1. Ahora abra Server Manager de SERVER_B y en la pestaa Tools, haga doble clic
a la opcin Routing and Remote Access.

2. En SERVER_B (local) / IPv4 / General de la ventana Routing and Remote


Access, se puede contemplar la correcta transaccin de bytes por la interfaz
Internal.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 123

3. Y por ltimo en SERVER_B (local) / Remote Access Clients, se puede observar


la conexin de los clientes VPN tal es el caso del usuario scamacho.

2.1.3.7 Configuracin del Cliente VPN con el uso del protocolo L2TP/IPSec

1. Abra Server Manager del SERVER_B y en la pestaa Tools, haga doble clic a la
opcin Routing and Remote Access.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 124

2. En la ventana Routing and Remote Access, haga clic derecho sobre SERVER_B
(local) y seleccione la opcin Properties.

3. En la ventana SERVER_B (local) Properties, seleccione la pestaa Security.

Luego, seleccione Allow custom IPsec policy for L2TP/IKEv2 connection y en el


casillero Preshared Key14, escriba como clave 12345678. Despus, haga clic en
Apply y luego, en OK.

14
Sus siglas en ingles es PSK, es una clave secreta que previamente se comparte en ambas
partes (Servidor-Cliente) usando un canal seguro antes que se utilice.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 125

5. Ahora en el equipo CLIENTE y en su Panel de control, seleccione la opcin Ver el


estado y las tareas de red de la categoria Redes e Internet.

6. En la ventana Centro de redes y recursos compartidos, elija la opcin Cambiar


la configuracin de red y haga clic en Configurar una nueva conexin o red.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 126

7. En la ventana Configurar una conexin o red, seleccione la opcin Conectarse a


un rea de trabajo y haga clic en Siguiente.

8. En la ventana Cmo desea conectarse?, Seleccione la opcin Usar mi


conexin a Internet (VPN).

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 127

9. En la ventana Desea configurar una conexin a Internet antes de continuar?,


seleccione la opcin Configurar ms tarde una conexin a Internet.

10. En la ventana Escribe la direccin de Internet a la que se conectar, escriba la


direccin IP externa de nuestro servidor VPN y un nombre para la conexin por lo
que ingresamos los siguientes datos:

Direccin de Internet: 10.0.0.1

Nombre del destino: Ciber VPN 2

Luego, haga clic en Crear.

11. Luego, en la ventana Centro de redes y recursos compartidos de la categora


Redes e Internet del Panel de control, haga clic en la opcin Cambiar
configuracin del adaptador.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 128

12. En la ventana Conexiones de Red, haga clic derecho en la conexin Ciber VPN 2
y seleccione la opcin Propiedades.

13. En la ventana Propiedades de Ciber VPN 2, seleccione la pestaa Seguridad.

14. Luego, en Tipo de VPN, seleccione la opcin Protocolo de tnel de nivel 2 con
IPsec (L2TP/IPsec) y haga clic en Configuracin avanzada.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 129

15. Ahora en la ventana Propiedades avanzadas, seleccione la opcin Usar clave


previamente compartida para autenticar y en Clave escriba nuestra contrasea
el cual es 12345678. Luego, haga clic en Aceptar.

16. Luego, en la ventana Propiedades de Ciber VPN 2, haga clic en en botn


Aceptar.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 130

17. Luego, en la ventana Conexiones de Red, haga clic derecho sobre la conexin
Ciber VPN 2 y seleccione la opcin Conectar o desconectar.

18. Despus, haga clic en la conexin Ciber VPN 2 del panel derecho.

19. Y haga clic en el botn Conectar.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 131

20. Inicie sesin con el usuario sdiaz cuya contrasea es, luego, haga clic en Aceptar.

21. Luego de esperar algunos segundos, puede observar que la conexin Ciber VPN 2
se ha realizado de forma exitosa.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 132

Resumen
1. La implementacin de una red VPN permite extender la red de la empresa de forma
segura y confiable.

2. El servicio VPN trabaja con dos tipos de conexiones, VPN de acceso remoto y VPN
de sitio a sitio.

3. VPN de acceso remoto esta diseado para usuarios que trabajan en casa o se
encuentran de viaje y necesiten establecer una conexin al servidor de una
organizacin por una red publica como internet.

4. VPN de sitio a sitio permite establecer conexiones enrutadas con oficinas alejadas
geogrficamente de una organizacin (sucursales) a travs de internet. Funciona
como un vnculo de WAN dedicado.

5. Los 4 protocolos de tnel VPN soportados por Windows Server 2016 son: PPTP,
L2TP/IPSec, SSTP e IKEv2.

Puede revisar los siguientes enlaces para ampliar los conceptos vistos en esta unidad:

o https://msdn.microsoft.com/es-es/library/jj635995.aspx
o https://technet.microsoft.com/es-es/library/hh831416.aspx
o https://technet.microsoft.com/es-pe/library/ff687723(v=ws.10).aspx

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 133

UNIDAD

3
FUNDAMENTOS DE SEGURIDAD
DE RED
LOGRO DE LA UNIDAD DE APRENDIZAJE

Al trmino de la unidad, el alumno implementa el acceso seguro a servicios


Web y enva actualizaciones automticas a los equipos de la red mediante el
uso de certificados digitales y la herramienta administrativa Windows Server
Update Services.

TEMARIO

3.1 Tema 5 : Administracin de Windows Server Update Services


3.1.1 : Fundamentos de WSUS
3.1.2 : Configuracin del Servidor WSUS
3.1.3 : Implementacin y gestin de WSUS

3.2 Tema 6 : Asegurando el Servidor WEB


3.2.1 : Fundamentos de los Servicios de Certificados de Active
Directory
3.2.2 : Configuracin del Servidor Autoridad Certificadora
3.2.3 : Implementacin de certificacin digital emitida por la Autoridad
Certificadora para el servicio WEB

ACTIVIDADES PROPUESTAS

Los alumnos implementan y gestionan el servicio WSUS.


Los alumnos implementan certificados digitales para asegurar el servicio
WEB.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 134

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 135

3.1 ADMINISTRACIN DE WINDOWS SERVER UPDATE


SERVICES
3.1.1 Fundamentos de WSUS

Windows Server Update Services (WSUS) es una herramienta para administrar y


distribuir actualizaciones de software que resuelven conocidas vulnerabilidades de
seguridad y brinda estabilidad al sistema operativo Windows y sus versiones
modernas, como a otras aplicaciones de Microsoft.

Tradicionalmente, los administradores mantienen actualizado los sistemas por medio


de una frecuente verificacin del web site Microsoft Update o el web site Security para
actualizaciones de software. Los administradores descargan manualmente las
actualizaciones disponibles, verifican las actualizaciones en ambientes de prueba y
luego, las distribuyen manualmente o usando la herramienta tradicional de distribucin
de software. Por medio de WSUS, los administradores pueden realizar estas tareas
automticamente.

Qu es Microsoft Update?

Microsoft Update es un sitio web que mantiene sus sistemas actualizados. Es usado
para obtener las actualizaciones de los sistemas operativos, las aplicaciones de
Windows, los controladores de los dispositivos y softwares. Los nuevos contenidos son
agregados regularmente a este sitio web por lo que siempre se puede obtener las
actualizaciones ms recientes para proteger a los servidores y las computadoras
clientes de la red.

Qu son las actualizaciones?

Las actualizaciones pueden incluir arreglos en la seguridad, actualizaciones crticas, o


controladores crticos. Estas actualizaciones resuelven problemas conocidos de
seguridad y brinda estabilidad en los sistemas operativos de Windows. El sitio web de
Microsoft Update tambin tiene actualizaciones para aplicaciones tales como Microsoft
Office, Microsoft Exchange Server y Microsoft SQL Server.

Las categoras de las actualizaciones

Las categoras de las actualizaciones para los sistemas operativos de Windows son
las siguientes:

Actualizaciones crticas
Soluciona problemas de seguridad y otras actualizaciones importantes para mantener
nuestras computadoras y redes de forma segura.

Descargas recomendadas
Contiene los ltimos service packs de Windows y Microsoft Internet Explorer y otras
actualizaciones importantes.

Herramientas de Windows
Son utilidades y otras herramientas qu son brindadas para mejorar el rendimiento y
facilitar las actualizaciones.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 136

Qu son las actualizaciones automticas?

Una actualizacin automtica (Automatic Updates) representa una opcin configurable


en Windows que permite descargar e instalar actualizaciones al sistema operativo sin
ninguna intervencin por parte del usuario. Las actualizaciones pueden ser
descargadas desde el sitio web Microsoft Update o desde un servidor WSUS. La
configuracin de Automatic Updates puede ser controlado, de manera centralizada,
por el administrador

Escenarios para la implementacin del servicio WSUS

Se puede implementar el servicio WSUS en varios escenarios segn sea el caso mas
apropiado para la organizacin.

Un solo servidor WSUS (red pequea o sencilla)

En un escenario con un solo servidor WSUS, los administradores pueden configurar


un servidor que ejecute WSUS dentro de su firewall corporativo, el cual sincroniza el
contenido directamente con Microsoft Update y distribuye las actualizaciones entre los
equipos cliente, tal y como se muestra en la figura siguiente.

Figura 12: Implementacin simple de WSUS


Fuente.- Tomado de https://technet.microsoft.com/es-es/library/hh852344.aspx#BKMK_1.2

Varios servidores WSUS independientes

Los administradores pueden implementar varios servidores configurados de forma que


cada uno sea administrado, independientemente, y sincronice su contenido desde
Microsoft Update, tal como se muestra en la figura siguiente. El mtodo de
implementacin en este escenario sera apropiado en situaciones en las que los
diferentes segmentos de redes de rea local (LAN) o redes de rea extensa (WAN) se
administran como entidades separadas (por ejemplo, sucursales). Tambin, sera
adecuada cuando un servidor que ejecuta WSUS se ha configurado para implementar

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 137

actualizaciones slo en equipos cliente que ejecutan un sistema operativo determinado


(como, por ejemplo, Windows 8.1), mientras otro servidor se ha configurado para
implementar actualizaciones slo en equipos cliente que ejecutan otros sistemas
operativos (como, por ejemplo, Windows 10).

Figura 13: Implementacin de Servidores WSUS autnomos


Fuente.- Tomado de https://technet.microsoft.com/es-es/library/hh852344.aspx#BKMK_1.2

Varios servidores WSUS sincronizados internamente

Los administradores pueden implementar varios servidores que ejecuten WSUS y que
sincronicen todo el contenido de la intranet de la organizacin. En la figura siguiente,
slo hay un servidor expuesto a Internet. En esta configuracin, ste es el nico
servidor que descarga actualizaciones desde Microsoft Update. Este servidor est
establecido como el servidor que precede en la cadena, con cuyo origen se sincroniza
el servidor que sigue en la cadena. Si es necesario, los servidores pueden ubicarse a
travs de una red, geogrficamente, dispersa para ofrecer la mejor conectividad
posible a todos los equipos cliente.

Figura 14: Implementacin de varios Servidores WSUS

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 138

Fuente.- Tomado de https://technet.microsoft.com/es-es/library/hh852344.aspx#BKMK_1.2


Servidores WSUS en modo de rplica

Este modo tambin es denominado administracin centralizada, funciona con un


servidor WSUS que precede en la cadena y que comparte actualizaciones, estados de
aprobacin y grupos de equipos con los servidores que siguen en la cadena.Los
servidores de rplica heredan las aprobaciones de actualizacin y no pueden
administrarse al margen del servidor WSUS que los precede, es decir trabajan de un
modo jerarquico .La siguiente imagen muestra cmo se podran implementar
servidores WSUS de rplica en un entorno de sucursal:

Figura 15: Implementacin de Servidores WSUS en modo de rplica


Fuente.- Tomado de https://technet.microsoft.com/es-es/library/hh852344.aspx#BKMK_1.2

Servidores WSUS desconectados

Si la directiva corporativa u otras condiciones limitan el acceso del equipo a Internet,


los administradores pueden configurar un servidor interno que ejecute WSUS, tal como
se muestra en la figura siguiente. En este ejemplo, se cre un servidor para conectarlo
a Internet; sin embargo, ste se encuentra aislado de la intranet. Despus que
descargar, probar y aprobar las actualizaciones en este servidor, un administrador
podra, a continuacin, exportar los metadatos y contenido de las actualizaciones a los
medios apropiados. Luego, desde estos medios, el administrador importara los
metadatos y contenido de las actualizaciones en los servidores que ejecutan WSUS
dentro de la intranet. Aunque la figura siguiente muestra este modelo en su forma ms
sencilla, ste podra escalarse a una implementacin de cualquier tamao.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 139

Figura 16: Implementacin de Servidores WSUS desconectados


Fuente.- Tomado de https://technet.microsoft.com/es-es/library/hh852344.aspx#BKMK_1.2

Servidores WSUS con equipos clientes mviles

Si en la red participan usuarios mviles que inician sesin desde distintas ubicaciones,
se puede configurar WSUS para permitir que estos usuarios actualicen sus equipos
cliente desde el servidor WSUS que tengan geogrficamente ms cerca. La figura 17
muestra un servidor WSUS implementado en cada regin y cada regin es una subred
DNS.Todos los equipos cliente se dirigen al mismo servidor WSUS, que se resuelve
en cada subred como el servidor WSUS fsico ms cercano.

Figura 17: Implementacin de Servidores WSUS con equipos clientes mviles


Fuente.- Tomado de https://technet.microsoft.com/es-es/library/hh852344.aspx#BKMK_1.2

Sincronizacin

Los servidores que ejecutan WSUS son actualizados en un proceso llamado


sincronizacin. Este proceso compara el software del servidor WSUS con las ltimas
actualizaciones liberadas del sitio web Microsoft Update. Los administradores pueden
configurar este proceso automticamente, o de forma manual.

Sincronizacin programada

La configuracin por defecto para la sincronizacin programada es manual. Esto


significa que el administrador tiene que escoger manualmente descargar las
actualizaciones nuevas para el servidor WSUS. ste es apropiado, nicamente, para
los servidores WSUS desconectados. Para otros servidores WSUS, la sincronizacin
debera ser programada. La programacin diaria permite al servidor WSUS tener las
ltimas actualizaciones. Despus de la sincronizacin el administrador an tiene que
aprobar las actualizaciones antes que sean distribuidas a los clientes.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 140

Clasificacin de productos y actualizaciones

El administrador puede seleccioner productos especficos y clasificar las


actualizaciones para limitar la descarga innecesaria. Por defecto, son descargadas las
actualizaciones crticas y las actualizaciones de seguridad.

Fuente de actualizacin

El administrador puede sincronizar el contenido del servidor WSUS desde el sitio web
de Microsoft Update o desde otra instalacin WSUS. La fuente de actualizacin
depender de cmo se haya planeado la implementacin de WSUS. Un servidor
WSUS independiente sincronizar el contenido desde el sitio web de Microsoft Update,
mientras que el servidor WSUS de una oficina sucursal sincronizar su contenido
desde el servidor WSUS de la oficina principal.

Idioma de actualizacin

El administrador puede indicar las actualizaciones que son descargadas basadas en el


idioma de la actualizacin. Esto reduce el uso del ancho de banda para la descargada
y reduce el espacio de disco requerido para almacenar las actualizaciones. La
configuracin, por defecto, descarga las actualizaciones en todos los idiomas.

Administracin de los grupos de computadoras

Los grupos de computadoras son usados por WSUS para controlar que
actualizaciones son aplicadas, y a que computadoras. Esto permite implementar
etapas en las actualizaciones y reducir la carga en la red. Por ello, los grupos de
computadoras son ideales para testear las actualizaciones en computadoras
especficas antes de distribuir dichas actualizaciones a toda la organizacin.

Computadoras clientes

Las computadoras clientes estn listas en la pgina computers de la consola de


administracin. Estas computadoras son agregadas automticamente a esta pgina
despus se contacta con el servidor WSUS. Una computadora nunca es removida de
manera automtica desde el servidor WSUS. Si se reconfigura una computadora para
usar otro Servidor WSUS, se tendr que remover manualmente la computadora desde
el servidor WSUS original.

Grupos de computadoras por defecto

Todas las nuevas computadoras son agregadas, de forma automtica, a los grupos All
Computers group y Unassigned Computers Group. El grupo All Computers group
brinda una forma conveniente para aplicar actualizaciones a cada computadora
usando un servidor WSUS. El grupo Unassigned Computers Group te permite ver
que computadoras quizs sean nuevas usando el servidor WSUS y necesiten ser
agregadas a un grupo. Despus que las computadoras son agregadas a un grupo
creado por el administrador, ellas ya no formarn parte del grupo Unassigned
Computers Group.

Agregar computadoras a los grupos de stas

Las computadoras pueden ser agregadas manualmente o automticamente a los


grupos. Para agregar de forma manual las computadoras a los grupos, se usa la

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 141

consola WSUS Administration. Para agregar las computadoras automticamente, se


debe usar la poltica de grupo Client-side targeting.

Aprobaciones de actualizaciones

Despus que las actualizaciones han sido sincronizadas al servidor WSUS, el


administrador tendr que aprobarlas para inicializar la implementacin.

Aprobar una actualizacin

El administrador puede aprobar la instalacin de una actualizacin, detectar, eliminar,


o declinar. Cuando apruebe una actualizacin especfica la configuracin por defecto
aprobada en el grupo All Computers group, y algunas configuraciones necesarias
por cada grupo de computadora en la ventana aprobar actualizaciones. Sino se
aprueba una actualizacin, el estatus de aprobacin se mantiene como no aprobar y el
servidor WSUS no va realizar ninguna accin para la actualizacin. La excepcin para
esto son las actualizaciones crticas y de seguridad que son aprobadas
automticamente por defecto.

Deteccin

Cuando aprueba una actualizacin para deteccin, la actualizacin no es instalada. En


vez que WSUS verifique si la actualizacin es compatible o necesaria con un grupo de
computadoras. La deteccin ocurre en una hora programada. Despus de la deteccin
puede ver cmo algunas computadoras no tienen la actualizacin instalada y es
necesitada. El nmero requerido para una actualizacin es 0, luego, todas las
computadoras clientes son actualizadas.

Instalacin

La opcin aprobar instalacin ejecuta la actualizacin al grupo de computadoras


seleccionedas. En la instalacin por defecto de WSUS, las actualizaciones no son
descargadas al servidor WSUS hasta que sean aprobadas para la instalacin. Cuando
una actualizacin est aprobada para ser instalada, puede configurar un plazo. La
fecha especificada en el plazo obliga la instalacin de la actualizacin en las
computadoras clientes.

Eliminacin

Si una actualizacin causa problemas despus de ser instalada, esta puede ser
removida por medio de la eliminacin. sto es, particularmente importante si se ha
automatizado la instalacin para ciertas clasificaciones de actualizaciones.

Declinar actualizaciones

Como administrador puedes declinar cualquier actualizacin que no sea relevante.


Una actualizacin declinada es removida de la lista disponible de actualizaciones.

Aprobaciones automticas

El proceso para testear y aprobar actualizaciones nuevas puede ser lento en muchas
organizaciones. Algunas organizaciones han encontrado un menor riesgo en aplicar
actualizaciones crticas y de seguridad, de forma inmediata, antes que esperar que el

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 142

proceso de testeo haya sido completado. Esto permite que los nuevos virus no tomen
ventajas de las fallas.

3.1.2 Configuracin del Servidor WSUS

Para la configuracin de este escenario, se cuenta con un solo servidor WSUS. El


servidor SERVER_B ser el servidor WSUS.

1. Previamente se crear una carpeta llamada WSUS en Local Disk (D:) del servidor
SERVER_B, dicha carpeta ser usada para el almacenamiento de las
actualizaciones de modo que los equipos clientes las descarguen de forma rpida.

2. Abra el Server Manager del SERVER_B y haga clic en Add roles and features.

3. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 143

4. En la ventana Select installation type, seleccione la opcin Role-based or


feature-based installation, ello permite la instalacin de roles y caracteristicas
para la configuracin de nuestro servidor. Luego, haga clic en Next.

5. Ahora en la ventana Select destination server, seleccione la opcin Select a


server from the server pool, ello indica que se esta eligiendo al servidor
SERVER_B para que en el se instalen los roles y caractersticas. Luego, haga clic
en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 144

6. En la ventana Select server roles seleccione el rol Windows Server Update


Services y haga clic en Next

7. Inmediatamente aparece la ventana Add features that are required for Windows
Server Update Services? indicando que para poder instalar Windows Server
Update Services se debe adicionar algunas caractersticas, por lo que haga clic en
el botn Add Features.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 145

8. Luego, haga clic en Next.

9. En la ventana Select features, las caractersticas bsicas y necesarias han sido


seleccionadas por defecto por el sistema por lo que haga clic en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 146

10. Luego, en la ventana Windows Server Update Services, haga click en Next.

11. En la ventana Select role services, seleccione los servicios WID Database y
WSUS Services y haga clic en Next.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 147

12. En la ventana Content location selection, seleccione Store updates in the


following location y escriba la ubicacin donde se guardarn las actualizaciones
el cual es D:\WSUS, luego, haga clic en Next.

13. En la ventana Confirm installation selections, se muestra un resumen de las


caractersticas que se han seleccionado para la instalacin de nuestro rol, luego,
haga clic en Install.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 148

14. Finalmente, luego, de esperar algunos minutos haga clic en Close. De esa
manera, ya se tiene instalado de forma exitosa el rol Windows Server Update
Services.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 149

3.1.3 Implementacin y gestin de WSUS

Esta seccin tiene como objetivo implementar un escenario simple de WSUS. En este
escenario, se cuenta con el servidor SERVER_B que emular el trabajo de un router y
ser el nico servidor WSUS. Se contar con tres reas de red (LAN, WAN e
INTERNET) por lo que este equipo tendr tres interfaces de red, donde una de ellas
estar conectado a los clientes, la otra a los servidores y el ltimo estar conectado a
internet para acceder al sitio web Microsoft Update.

La red LAN cuya direccin de red es 10.0.0.0/8 es el lugar donde estarn los usuarios
Web y FTP y WSUS representados por el equipo CLIENTE. La red WAN de direccin
de red 192.168.1.0/24 es el lugar donde se alojarn nuestros servidores (controlador
de dominio, servidor DNS, servidor Web, servidor FTP) representados por el
SERVER_A. La red de INTERNET cuya direccin ser proporcionado por un
proveedor de internet.

Figura 18: Arquitectura de Red de WSUS

3.1.3.1 Configuracin de direccionamiento de red para los equipos

1. En el equipo CLIENTE, seleccione a Panel de control/Redes e internet/Centro de


redes y recursos compartidos/Cambiar configuracin del adaptador. Luego,
haga clic derecho sobre el adaptador Ethernet (renombrado como LAN) y
seleccione Propiedades. Despus, haga clic en Protocolo de Internet versin 4
(TCP/IPv4) y configure el direccionamiento IP tal como se indica en la siguiente
imagen:

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 150

2. En el servidor SERVER_B, seleccione Control Panel/Network and


internet/Network and Sharing Center/Change adapter settings. Luego, haga clic
derecho sobre el adaptador Ethernet (renombrado como LAN) y seleccione
Properties. Despus, haga clic en Internet Protocol Versin 4 (TCP/IPv4) y
configure el direccionamiento IP tal como se indica en la siguiente imagen:

3. Adems, en el mismo servidor SERVER_B, seleccione Control Panel/Network


and internet/Network and Sharing Center/Change adapter settings. Luego,
haga clic derecho sobre el adaptador Ethernet 2 (renombrado como WAN) y
seleccione Properties. Despus, haga clic en Internet Protocol Versin 4
(TCP/IPv4) y configure el direccionamiento IP tal como se indica en la siguiente
imagen:

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 151

4. En el servidor SERVER_A, seleccione Control Panel/Network and


internet/Network and Sharing Center/Change adapter settings. Luego, haga clic
derecho sobre el adaptador Ethernet (renombrado como WAN) y seleccione
Properties. Despus, haga clic en Internet Protocol Versin 4 (TCP/IPv4) y
configure el direccionamiento IP tal como se indica en la siguiente imagen:

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 152

3.1.3.2 Configuracin de WSUS

1. Abra Server Manager del SERVER_B y en la pestaa Tools, haga clic a la opcin
Windows Server Update Services.

2. En la ventana Complete WSUS Installation, haga clic en Run y deber esperar


algunos segundos.

3. Luego, haga clic en Close.

4. En la ventana Update Services, despliegue SERVER_B luego, haga clic en


Options y seleccione WSUS Server Configration Wizard.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 153

5. En la ventana Before You Begin, puede encontrar algunas indicaciones antes de


iniciar el asistente de configuracin, luego, de leerlas haga clic en Next.

6. En la ventana Join the Microsoft Update Improvement Program, la corporacin


Microsoft nos realiza la consulta si deseamos participar en el programa de mejora
de Microsoft Update, como esto es opcional desseleccione la opcin Yes, I would
like to join the Microsoft Update Improvement Program para decirles que no.
Luego, haga clic en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 154

7. En vista que en el dominio solo se cuenta con un solo servidor WSUS la


sincronizacin se realizar directamente desde Microsoft Update por lo que en la
ventana Choose Upstream Server, seleccione la opcin Synchronize from
Microsoft Update y haga clic en Next.

8. En la ventana Specify Proxy Server, haga clic en Next puesto que no se cuenta
con un servidor proxy en el dominio.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 155

9. En la ventana Connect to Upstream Server, haga clic en el botn Start


Connecting para descargar la informacin de actualizacin de Micrososft Update,
luego, de esperar algunos minutos haga clic en Next.

10. En la ventana Choose Languages, seleccione los idiomas English y Spanish en


las que nuestro servidor descargar actualizaciones, luego, haga clic en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 156

11. En la ventana Choose Products, seleccione los productos que desea actualizar,
como por ejemplo Windows 8.1 luego, haga clic en Next.

12. En la ventana Choose Classifications, seleccione Critical Updates, Definition


Updates y Security Updates despus haga clic en Next.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 157

13. En la ventana Set Sync Schedule, seleccione Synchronize manually despus


haga clic en Next.

14. En la ventana Finished, deje la sincronizacin para despus y haga clic en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 158

15. En la ventana Whats Next, haga clic en Finish.

16. Por ltimo, se crear el grupo de equipos Finanzas; para ello, en la consola de
administracin de WSUS, haga clic derecho sobre All Computers y seleccione la
opcin Add Computer Group.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 159

17. En la ventana Add Computer Group, escriba Finanzas en Name y luego, haga
clic en el botn Add.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 160

3.1.3.3 Configuracin de GPO para los clientes WSUS

A continuacin, se crear un GPO15 con el nombre WSUS PC Clients para los clientes
WSUS; para ello, ejecute los siguientes pasos en SERVER_A.

1. Abra Server Manager del SERVER_A y en la pestaa Tools, haga clic a la opcin
Group Policy Management.

2. En la ventana Group Policy Management, despliegue Forest: Cibertec.com,


luego, Domains y en cibertec.com, haga clic derecho y seleccione la opcin
Create a GPO in this domain, and Link it here.

15
Siglas en ingls de Group Policy Object (un objeto de directiva de grupo) es un conjunto de
una o ms polticas para la seguridad del sistema

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 161

3. En la ventana New GPO, escriba en Name el nombre de WSUS PC Clients y haga


clic en OK.

4. Luego, haga clic derecho sobre la GPO recin creada WSUS PC Clients y
seleccione la opcin Edit.

5. En la ventana Group Policy Management Editor, despliegue la carpeta Policies


de Computer Configuration y luego, despliegue la carpeta Administrative
Templates y dentro de ella Windows Components.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 162

6. Luego, dentro de la carpeta Windows Update, haga clic derecho sobre la poltica
Configure Automatic Updates y seleccione Edit.

7. En la ventana Configure Automatic Updates, seleccione Enabled, luego,


seleccione Auto download and Schedule the installation, despus programe en
Scheduled install days la opcin 0 Every day y en Scheduled install time
18:00. Luego, damos clic en Apply y en Ok.

8. Ahora haga clic derecho sobre la poltica Specify intranet Microsoft Update
service location y seleccione Edit.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 163

9. En la ventana Specify intranet Microsoft Update service location, seleccione


Enabled, luego, en Set the intranet update service for detecting updates y en
Set the intranet statistics server escriba http://server_b (nombre de nuestro
servidor WSUS). Luego, damos clic en Apply y en Ok.

10. Finalmente, haga clic derecho sobre la poltica Enable cliente-side targeting y
seleccione Edit.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 164

11. En la ventana Enable client-side targeting, seleccione Enabled, luego, en Target


group name for this computer, escriba el nombre del grupo de computadoras
(Finanzas) al que pertenecer los equipos. Luego, haga clic en Apply y en Ok.

12. Por ltimo, cierre la ventana Group Pilicy Management Editor.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 165

3.1.3.4 Verificacin del correcto funcionamiento de la implemetancin y gestin


de WSUS

Prueba de sincronizacin

Para obtener actualizaciones, se debe sincronizar el servidor WSUS. Para la


sincronizacin, el servidor WSUS se pone en contacto con Microsoft Update. Una vez
establecido el contacto, WSUS determina si hay actualizaciones nuevas disponibles
desde la ltima vez que se sincroniz. Debido a que es la primera vez que se
sincronizar el servidor WSUS, todas las actualizaciones estn disponibles y listas
para que sean aprobados para su instalacin.

1. En la consola de WSUS, seleccione Synchronizations y haga clic en Synchronize


Now del men Actions. Luego, de esperar varios minutos se puede observar que
la sincronizacin ha sido exitosa.

2. En Updates, se observa un resumen del estadop de todas las actualizaciones.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 166

Aprobacin e implementacin de actualizaciones

En este paso, se aprueba la actualizacin de los equipos cliente de prueba del grupo
de prueba. Los equipos del grupo se comprobarn con el servidor WSUS durante las
24 horas siguientes. Transcurrido este perodo de tiempo, puede utilizar la
caracterstica de generacin de informes de WSUS para determinar si esas
actualizaciones se implementaron en los equipos. Si la comprobacin es correcta,
puede aprobar la misma actualizacin para el resto de los equipos de la organizacin.

1. En la consola de WSUS, seleccione SERVER_B y dentro de la seccin To Do haga


clic en 690 security updates are waiting to be approved.

2. Luego, dentro de Security Updates, seleccione Approved en Approval y Needed


en Status.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 167

3. Para aprobar una actualizacin, haga clic derecho sobre la actualizacin elegida y
seleccione Approve.

4. Luego, apruebe la instalacin de la actualizacin elegida sobre un grupo de


equipos. Para ello, en la ventana Approve Updates haga clic derecho sobre el
grupo de equipos Finanzas y seleccione la opcin Approved for Install.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 168

5. Luego, haga clic en OK.

6. Despus, de esperar algunos minutos puede observar que la aprobacin se ha


completado sin errores de forma exitosa. Para terminar, haga clic en Close.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 169

Uso del Catlogo de Microsoft Update

El Catlogo de Microsoft Update es un servicio de Microsoft que proporciona una lista


de las actualizaciones de software que pueden ser distribuidos a travs de una red
corporativa. El uso del Catlogo de Microsoft Update puede llegar a ser un lugar de
ventanilla nica para encontrar las actualizaciones de software de Microsoft, los
controladores y las revisiones

1. Abra la consola de WSUS y en la seccin Resources de SERVER_B, haga clic en


Microsoft Update Catalog.

2. En el sitio web de Microsoft Update Catalog, escriba windows 2016 en Search.

3. Luego, como resultado de la bsqueda figuran varias actualizaciones relacionados


a Windows Server 2016. Escoja una de nuestra eleccin y haga clic en Add.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 170

4. Luego, importe directamente la actualizacin escogida en WSUS; haga clic en


Import.

5. Finalmente luego, de esperar algunos minutos se puede observar que la


actualizacin elegida ha sido importada satisfactoriamente en el servidor WSUS.
Para terminar haga clic en Close.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 171

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 172

Resumen
1. WSUS se encarga de administrar y distribuir actualizaciones de software que
resuelven casos de vulnerabilidad de seguridad y proporciona un soporte de
estabilidad a la plataforma Windows

2. Microsoft Update es un sitio web de la corporacin Microsoft que aloja todas las
actualizaciones disponibles y que interarctua con el servidor WSUS

3. Existen diversos escenarios para la implementacin de WSUS: con un solo


servidor WSUS, varios servidores WSUS independientes, varios servidores WSUS
sincronizados internamente, servidores WSUS en modo rplica, servidores WSUS
desconectados, etc

4. La sincronizacin es un proceso que se puede configurar de forma manual o de


modo automtico y se encarga de comparar el software del servidor WSUS con las
ltimas actualizaciones liberadas de Microsoft Update

Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:

o https://technet.microsoft.com/es-es/windowsserver/bb332157.aspx
o https://technet.microsoft.com/es-es/library/hh852346.aspx
o https://technet.microsoft.com/es-es/library/hh852340.aspx
o https://technet.microsoft.com/es-es/library/hh852345.aspx
o https://technet.microsoft.com/es-es/library/hh852344.aspx#BKMK_1.2

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 173

3.2 ASEGURANDO EL SERVIDOR WEB


3.2.1 Fundamentos de los Servicios de Certificados de Active Directory

Durante los ltimos aos, los servidores Web se han convertido en una excelente
fuente de diversin para personas maliciosas: cualquier empresa que se aprecie,
desde las ms pequeas a las ms grandes multinacionales tiene un sitio web en la
que al menos trata de vender su imagen corporativa.

La mayor parte de estos ataques tiene xito gracias a una configuracin incorrecta del
servidor o a errores de diseo del mismo: si se trata de grandes empresas, los
servidores Web suelen ser bastante complejos (alta disponibilidad, balanceo de carga,
sistemas propietarios de actualizacin de contenidos, etc) y difciles de administrar,
correctamente, mientras que si la empresa es pequea es muy posible que haya
elegido un servidor Web simple en su instalacin y administracin pero en el cual es
muy difcil garantizar una mnima seguridad.

Sea por cualquier motivo, la cuestin es que cada da es ms sencillo para una
persona maliciosa ejecutar rdenes de forma remota en una mquina o al menos
modificar contenidos de forma no autorizada gracias a los servidores Web que un
sistema pueda albergar.

Hoy en da, las conexiones a servidores Web son sin duda las ms extendidas entre
usuarios de Internet, hasta el punto de que muchas personas piensan que este
servicio (http, comnmente en el puerto 80 del protocolo TCP) es el nico que existe
en la red. Lo que en un principio se dise para que unos cuantos fsicos
intercambiaran y consultaran artculos, fcilmente en la actualidad mueve a diario
millones de dlares y es uno de los pilares fundamentales de cualquier empresa.

Los problemas de seguridad relacionados con el protocolo http se dividen en tres


grandes grupos en funcin de los datos a los que pueden afectar:

Seguridad en el servidor

Es necesario garantizar que la informacin almacenada en el servidor no pueda ser


modificada sin autorizacin, que permanezca disponible y que slo pueda ser
accedida por los usuarios a los que les est legtimamente permitido.

Una encuesta de Ernst & Young encontr que cuatro de cada cinco organizaciones
grandes, con ms de 2.500 empleados ejecuta aplicaciones crticas en redes de reas
local LANs. Dichas LANs, y la informacin vital que albergan, estn cada vez ms
expuestas a la amenaza de ataques externos perpetrados a travs del acceso que
proporcionan los servidores web. De un total de 61 organizaciones estudiadas, se
encontraron 142 accesos no autorizados y decenas de incidentes relacionados con
Hackers en los ltimos tres meses.

Seguridad en la red

Cuando un usuario se conecta a un servidor Web se produce un intercambio de


informacin entre ambos, por lo que es vital garantizar que los datos que recibe el
cliente desde el servidor sean los mismos que se estn enviando (esto es, que no
sufran modificaciones de terceros) y tambin, garantizar que la informacin que el
usuario enva hacia el servidor no sea capturada, por un atacante. Esto es
especialmente importante si la informacin en trnsito es secreta, como en el caso de

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 174

las contraseas que el usuario teclea para autenticarse en el servidor, o en el


comercio electrnico y el intercambio de nmeros de tarjetas de crdito.

Seguridad en el cliente

Por ltimo es necesario garantizar al usuario que lo que descarga de un servidor no va


a perjudicar a la seguridad de su equipo. Sin llegar a extremos de applets maliciosos o
programas con virus, si simplemente, el navegador del usuario se cuelga al acceder
al visitar las pginas de una organizacin, con seguridad, esa persona dejar de
visitarlas con la consecuente prdida de imagen y posiblemente de un futuro cliente
para esa entidad.

La proteccin del servidor en cada uno de los aspectos mencionados es


responsabilidad del administrador del sistema y si bien no se puede considerar al
servidor totalmente seguro, las acciones emprendidas en pos de la seguridad pueden
proveer una proteccin suficiente en la mayora de los casos.

3.2.1.1 Servicios de certificados de Active Directory

En Windows Server 2016, los Servicios de certificados de Active Directory (AD CS)
ofrecen nuevas funcionalidades y caracteristicas en comparacin con las versiones
anteriores.

Este rol nos proporciona servicios personalizables para la emisin y administracin de


certificados de infraestructura de clave pblica (PKI16) que frecuentemente utilizamos
en sistemas de seguridad de software que emplean tecnologas de clave pblicas.

La funcin de servidor de AD CS incluye seis servicios:

Entidad de certificacin
Inscripcin web de entidad de certificacin
Respondedor en lnea
Servicio de inscripcin de dispositivos de red
Servicio Web de directiva de inscripcin de certificados
Servicio Web de inscripcin de certificados

Dichos servicios proporcionan nuevas funcionalidades para la versin de Windows


Server 2016 de AD CS, entre ellas puede mencionar las siguientes:

Integracin con el administrador del servidor


Capacidades de implementacin y administracin de Windows PowerShell
Todos los servicios de rol de AD CS se pueden instalar en cualquier versin de
Windows Server 2016
Todos los servicios de rol de AD CS se pueden ejecutar en Server Core
Aplicacin de renovacin de certificado con la misma clave
Soporte para nombres de dominio internacionales
Mayor seguridad habilitada de forma predeterminada en el servicio de rol de CA

16
Una infraestructura de clave pblica (PKI) es un sistema de certificados digitales, entidades
de certificacin (CA) y autoridades de registro que comprueban y autentican la validez de cada
entidad implicada en una transaccin electrnica mediante el uso de la criptografa de clave
pblica.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 175

3.2.1.2 Qu es una Autoridad Certificadora (CA)?

Una Autoridad Certificadora o tambin llamada entidad emisora de certificados es un


servidor de confianza que tiene instalado el rol de AD CS el cual se encarga de
aceptar solicitudes de certificado, asi como el de emitir, revocar y administrar
certificados. Una CA verifica la informacin del usuario y luego, emite un certificado
con una credencial de seguridad junto a una PKI (Infraestructura de clave pblica)

Existen bsicamente dos tipos de Autoridades certificadoras:

Autoridades Certificadoras comerciales

Las Autoridades Certificadoras comerciales, son empresas dedicadas y especializadas


en el tema, por lo cual si optamos por comprarle los certificados digitales que
necesitemos tenemos la tranquilidad que el tema est manejado por gente que sabe,
pero tambin tiene sus posibles inconvenientes (no siempre es econmico y estamos
sujetos a los requisitos que se imponen para el otorgamiento de los certificados). Pero
de todas formas, tienen una gran ventaja si estn asociadas con el programa de
actualizaciones de Microsoft, ya que cualquier sistema Windows reconocer los
certificados como vlidos. Son la solucin requerida si los certificados deben ser
validados por terceros, por ejemplo para un sitio web, transacciones comerciales, etc.

Autoridades Certificadoras privadas

Instalar una propia Autoridad Certificadora de tipo privada tambin tiene ventajas y
desventajas. Algunos piensan que en este caso es gratis, y nada ms alejado, hay que
instalar y mantener la misma, inclusive tomando medidas adicionales de seguridad, ya
que si se comprometiera la seguridad de una Autoridad Certificadora estaran
comprometeidos todos los certificados por ella otorgados

Las ventajas pasan por la flexibilidad que se tendria de acuerdo a nuestras


necesidades, y la posibilidad de automatizar el otorgamiento de certificados si la
integramos con Active Directoy. Sin embargo, se debe tener en cuenta que los
certificados no sern reconocidos externamente, salvo si se realiza una configuracin
especial que no se detallar en esta seccin

Respecto a la seguridad sobre la Autoridad Certificadora, una de las mejores opciones


es mantenerla en un equipo fuera de la red, o inclusive apagada, esto mejora
enormemente la seguridad sobre la misma. Sin embargo, por otro lado, si quiere
automatizar lo mximo posible la obtencin y renovacin de los certificados esto lo
puede lograr integrndola en Active Directoy, lo cual por supuesto requiere que est
funcionando sobre un servidor miembro de un dominio, y por lo tanto, no puede estar,
ni fuera de la red ni apagada

La solucin recomendable es contar dos Autoridades Certificadoras. La primera, una


Autoridad Certificadora Raz que ser de tipo standalone sobre un servidor en grupo
de trabajo lo que nos permitir mantenerla offline. Esta entidad se autofirma los
certificados y se encarga de otorgar certificados a la otra Autoridad Certificadora que
mantendremos en la red.

La segunda Autoridad Certificadora, cuya identidad se encuentra certificada por la


anterior esta integrada en Active Directory (Enterprise Certification Authority), lo que
nos permitir automatizar la distribucin e implementacin de todos los certificados
digitales, bsicamente a travs de Directivas de Grupo (GPOs).

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 176

3.2.2 Configuracin del Servidor Autoridad Certificadora

Para la configuracin de este nuevo escenario, el servidor SERVER_A ser


configurado como una Autoridad Certificadora del tipo Standalone para la red
corporativa. Dentro de este servidor, se instalarn los servicios del rol AD CS: Entidad
de certificacin e Inscripcin web de entidad de certificacin Todo este proceso consta
de dos partes que se detallan a continuacin.

3.2.2.1 Instalacin del rol Active Directory Certificate Services

1. Inicie Server Manager del SERVER_A y haga clic en Add roles and features.

2. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.

3. En la ventana Select installation type, seleccione la opcin Role-based or


feature-based installation, ello permite la instalacin de roles y caracteristicas
para la configuracin de nuestro servidor. Luego, haga clic en Next.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 177

4. Ahora en la ventana Select destination server, seleccione la opcin Select a


server from the server pool, ello indica que se est eligiendo al servidor
SERVER_A para que en l se instalen los roles y caractersticas. Luego, haga clic
en Next.

5. En la ventana Select server roles, seleccione el rol Active Directory Certificate


Services.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 178

6. Inmediatamente aparecer la ventana Add features that are required for Active
Directory Certificate Services? indicando que para poder instalar Active Directory
Certificate Services se debe adicionar algunas caractersticas, por lo que haga clic
en el botn Add Features.

7. Luego, haga clic en Next.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 179

8. En la ventana Select features, las caractersticas bsicas y necesarias han sido


seleccionadas por defecto por el sistema por lo que haga clic en Next.

9. Luego, en la ventana Active Directory Certificate Services, haga clic en Next .

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 180

10. En la ventana Select role services, seleccione primero el servicio Certification


Authority.

11. Luego, seleccioneel servicio Certification Authority Web Enrollment

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 181

12. Inmediatamente, aparecer la ventana Add features that are required for
Certification Authority Web Enrollment? que nos indica que para poder instalar
Certification Authority Web Enrollment se debe adicionar algunas caractersticas.
Haga clic en el botn Add Features.

13. Luego, haga clic en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 182

14. En la ventana Confirm installation selections, se muestra un resumen de las


caractersticas que se han seleccionado para la instalacin de nuestro rol, luego,
haga clic en Install.

15. Finalmente, luego, de esperar algunos minutos, haga clic en Close. De esa
manera, ya se tiene instalado de forma exitosa el rol Active Directory Certificate
Services.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 183

3.2.2.2 Configuracin del rol Active Directory Certificate Services

Para configurar los servicios Certification Authority y Certification Authority Web


Enrollment de AD CS, ejecute los siguientes pasos

1. En el Server Manager del SERVER_A, haga clic en el icono de notificacin el cual


es el signo de exclamacin cerca de la bandera y haga clic en Configure Active
Directory Certificate Services on the destination server.

2. En la ventana Credentials, haga clic en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 184

3. En la ventana Role Services, seleccione los roles Certification Authority y


Certification Authority Web Enrollment, luego, haga clic en Next.

4. En la ventana Setup Type, seleccione la opcin Standalone CA. Luego, haga clic
en Next.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 185

5. En la ventana CA Type, seleccione Root CA ya que nuestro servidor se sita en la


parte superior de la jerarqua de infraestructura de clave pblica (PKI). Luego, haga
clic en Next.

6. En la ventana Private Key, seleccione la opcin Create a new private key para la
creacin de una nueva clave privada. Luego, haga clic en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 186

7. En la ventana Cryptography for CA, mantenga las opciones que ya se encuentran


seleccionadas, pero en Key length, seleccione 1024. Luego, haga clic en Next.

8. En CA Name, mantenga por defecto los campos escritos. Luego, haga clic en Next.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 187

9. En la ventana Validity Period, seleccione 5 Years como tiempo de validez de


nuestra CA, luego, haga clic en Next.

10. En la ventana CA Database, haga clic en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 188

11. En la ventana Confirmation, haga clic en Configure.

12. Finalmente, luego de esperar algunos minutos haga clic en Close, y de esa
manera, ya hemos terminado de forma exitosa la configuracin de Active Directory
Certificate Services.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 189

3.2.3 Implementacin de certificado digital emitida por la Autoridad


Certificadora para el servicio WEB

El objetivo de esta seccin es implementar un escenario donde se emitan y revoquen


certificados digitales por una Autoridad Certificadora Raz. En este escenario, se
cuenta con el SERVER_B que emular el trabajo de un router. Se contar con dos
reas de red (LAN y WAN), por lo que este equipo tendr dos interfaces de red, donde
una de ellas estar conectado a los clientes y la otra a los servidores.

La red LAN cuya direccin de red es 10.0.0.0/8 es el lugar donde estarn los usuarios
Web y FTP representados por el equipo CLIENTE. La red WAN de direccin de red
192.168.1.0/24 es el lugar donde se alojarn los servidores (controlador de dominio,
servidor DNS, servidor Web, servidor FTP y Servidor CA) representados por el
SERVER_A.

Figura 19: Arquitectura de Red de los Servicios de certificados de Active Drectory

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 190

3.2.3.1 Configuracin de direccionamiento de red para los equipos

1. En el equipo CLIENTE, seleccione Panel de control/Redes e internet/Centro de


redes y recursos compartidos/Cambiar configuracin del adaptador. Luego,
haga clic derecho sobre el adaptador Ethernet (renombrado como LAN) y
seleccione Propiedades. Despus, haga clic en Protocolo de Internet versin 4
(TCP/IPv4) y configure el direccionamiento IP tal como se indica en la siguiente
imagen:

2. En el servidor SERVER_B, elija Control Panel/Network and internet/Network and


Sharing Center/Change adapter settings. Luego, haga clic derecho sobre el
adaptador Ethernet (renombrado como LAN) y seleccione Properties. Despus,
haga clic en Internet Protocol Versin 4 (TCP/IPv4) y configure el
direccionamiento IP tal como se indica en la siguiente imagen:

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 191

3. Adems, en el mismo servidor SERVER_B, seleccione Control Panel/Network


and internet/Network and Sharing Center/Change adapter settings. Luego,
haga clic derecho sobre el adaptador Ethernet 2 (renombrado como WAN) y
seleccione Properties. Despus, haga clic en Internet Protocol Versin 4
(TCP/IPv4) y configure el direccionamiento IP tal como se indica en la siguiente
imagen:

4. En el servidor SERVER_A, elija Control Panel/Network and internet/Network and


Sharing Center/Change adapter settings. Luego, haga clic derecho sobre el
adaptador Ethernet (renombrado como WAN) y seleccione Properties. Despus,
haga clic en Internet Protocol Versin 4 (TCP/IPv4) y configure el
direccionamiento IP tal como se indica en la siguiente imagen:

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 192

3.2.3.2 Solicitud de certificados digitales

1. Abra Server Manager del SERVER_A y en la pestaa Tools, haga clic a la opcin
Internet Information Services (IIS) Manager.

2. En la ventana Internet Information Services (IIS) Manager, seleccione


SERVER_A y haga doble clic en Server Certificates.

3. En la ventana Server Certificates, haga clic en la opcin Create Certificate


Request del men Actions.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 193

4. En la ventana Distinguished Name Properties de Request Certificate, escriba los


campos tal como se detalla en la imagen y haga clic en Next.

5. En la ventana Cryptographic Service Provider Properties, seleccione las


opciones Microsoft RSA SChannel Cryptographic Provider en Cryptographic
service provider y 1024 en Bit length. Luego, haga clic en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 194

6. En la ventana File Name, escriba C:\Users\Administrator\Desktop\cert-01.txt


como el nombre de archivo de la solicitud de certificado, luego, haga clic en Finish.

7. Ahora en el escritorio del servidor SERVER_A, puede visualizar la solicitud de


certificado llamado cert-01.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 195

3.2.3.3 Emisin de certificados digitales por la Autoridad Certificadora

1. En el SERVER_A, abra un navegador de internet e ingrese a la direccin web


http://server_a/certsrv, luego, en la ventana Welcome de Microsoft Active
Directory Certificate services SERVER_A-CA, haga clic en la tarea Request a
certificate.

2. En la ventana Request a Certificate, haga clic en advanced certificate request


para presentar una solicitud de certificado avanzada.

3. En la ventana Advanced Certificate Request, haga clic en la opcin Submit a


certificate request by using a base-64-encoded CMC or PKCS #10 file, or
submit a renewal request by using a base-64-encoded PKCS #7 file.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 196

4. A la par, abra archivo cert-01.txt ubicado en el escritorio del SERVER_A y


seleccione los cdigos que se muestan en la imagen, luego, haga clic derecho
sobre lo seleccionado para hacer clic en Copy.

5. Regresando a la ventana Submit a Certificate Request or Rewal Request, pegue


los cdigos seleccionados en la ventana Saved Request. Luego, haga clic en
Submit.

6. Luego, se visualiza un mensaje que indica que nuestra solicitud de certificado ha


sido bien recibida, pero se debe esperar hasta que el administrador emita el
certificado solicitado. Adems, la ID de la solicitud es el nmero 2.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 197

7. Luego, abra el Server Manager del SERVER_A y en la pestaa Tools, haga clic a
la opcin Certification Authority.

8. En la consola de Certification Authority, despliegue cibertec-SERVER_A-CA y


haga clic en la carpeta Pending Request. Luego, para emitir el certificado
solicitado, haga clic derecho sobre el certificado de Request ID 2 y en All Tasks,
seleccione la opcin Issue.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 198

9. Para visualizar que el certificado solicitado ha sido emitido por la Autoridad


Certificadora, ingrese a la carpeta Issued Certificates.

10. Ahora para ver el estado de una solicitud de certificado pendiente, vuelva a visitar
la direccin web http://server_a/certsrv, luego, en la ventana Welcome de
Microsoft Active Directory Certificate services SERVER_A-CA, haga clic en la
tarea View the status of a pending certificate request.

11. En la ventana View the Status of a Pending Certificate Request haga clic en
Saved-Request Certificate (2/22/2016 12:09:00 PM)

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 199

12. En la ventana Certificate Issued, aparece un mensaje donde indica que el


certificado solicitado ha sido emitido nuestro uso. Luego, para la descarga de
nuestro certificado haga clic en Download certificate.

13. Luego de la descarga, abra nuestro certificado llamado certnew haciendo clic en el
botn Open de la ventana Open File Security Warning.

14. Luego, en la ventana Certificate, haga clic en el botn Install Certificate.

15. En la ventana Welcome to the Certificate Import Wizard, deje seleccionado la


opcin Current User de Store Location y para continuar, haga clic en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 200

16. En la ventana Certificate Store, seleccione la opcin Automatically select the


certificate store base on the type of certificate, luego haga clic en Next.

17. Luego, en la ventana Completing the Certificate Import Wizard, haga clic en
Finish.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 201

18. Luego, aparece un mensaje que nos indica que la importacin del certificado fue
exitoso por lo que haga clic en OK.

19. Y por ltimo, en la ventana Certificate, haga clic en OK.

3.2.3.4 Intalacin del certificado digital en el Servidor Web

1. Ahora, abra el Server Manager del SERVER_A y en la pestaa Tools, haga clic a
la opcin Internet Information Services (IIS) Manager.

2. En la ventana Internet Information Services (IIS) Manager, seleccione


SERVER_A y haga doble clic en Server Certificates.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 202

3. En la ventana Server Certificates, haga clic en la opcin Complete Certificate


Request del men Actions.

4. En la ventana Specify Certificate Authority Response, escriba


C:\Users\Administrator\Desktop\certnew.cer (ubicacin del certificado digital) en
File name containig the certification authoritys response y cert-01 en Friendly
name. Luego, haga clic en OK.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 203

5. Con ello, hemos completado la solicitud de certificado.

3.2.3.5 Enlace del certificado digital al sitio web por defecto de cibertec.com

1. Ahora. abra Server Manager del SERVER_A y en la pestaa Tools, haga clic a la
opcin Internet Information Services (IIS) Manager.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 204

2. En la ventana Internet Information Services (IIS) Manager, despliegue


SERVER_A e ingrese al sitio web por defecto; para ello, despliegue la carpeta
Sites y haga clic en Default Web Site. Luego, en la ventana Defaul Web Site
Home haga clic en la opcin Bindings de Edit Site del men Actions.

3. En la ventana Site Bindings, haga clic en el botn Add.

4. En la ventana Add Site Binding, seleccione los siguientes parmetros:


Type: https, IP address: 192.168.1.100, Port:443, SSL certificate: cert-01.
Luego, haga clic en OK.

5. Luego, haga clic en Close para cerrar la ventana Site Bindings.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 205

6. Luego, en la ventana Default Web Site Home, haga clic en la opcin SSL
Settings.

7. En la ventana SSL Settings, seleccione la opcin Require SSL y haga clic en


Apply del men Actions. Finalmente, cierre la herramienta Internet Information
Services (IIS) Manager.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 206

3.2.3.6 Verificacin del correcto funcionamiento de la implemetancin de


certificado digital emitida por la Autoridad Certificadora para el servicio
WEB

1. En el equipo CLIENTE, abra un navegador de internet e ingrese el sitio web por


defecto del dominio cibertec.com, el cual es https://www.cibertec.com

2. Luego, omita el mensaje que aparece y haga clic en Vaya a este sitio web (no
recomendado).

3. Luego, en la parte superior del sitio web, haga clic en Error de certificados
ubicado en la barra de direcciones.

4. En la ventana Direccin, no coincidente omita el mensaje que se presenta y haga


clic en Ver certificados.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 207

5. Ahora, puede observar la informacin general del certificado, luego, haga clic en la
pestaa superior Ruta de certificacin.

6. Finalmente, se observa, tal como dice en el Estado del certificado, que el certificado
es vlido y ha sido emitido por la Autoridad Certificadora cibertec-SERVER_A-CA.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 208

Resumen
1. El rol Servicios de certificados de Active Directorio se encarga de brindar servicio
personalizados para la emisin y administracin de certificados de infraestructura
de clave pblica (PKI).

2. Una Autoridad Certificadora (CA) es la entidad encargada de aceptar solicitudes de


certificado, asi como el de emitir, revocar y administrar certificados.

3. Existen dos tipos de Autoridades Certificadoras: Las comerciales que en su mayora


estn asociadas con el programa de actualizaciones de Microsoft y las otras son las
privadas que se encargan de atender las necesidades internas de la compaa que
lo implementa.

4. Por seguridad, se recomienda contar con dos Autoridades Certificadoras, la primera


(Autoridad Certificadora Raiz del tipo standalone) desconectada fuera de la red que
autofirma los certificados encargada de otorgar certificados a la otra que
mantendremos en la red.

Puede revisar los siguientes enlaces para ampliar los conceptos vistos en esta unidad:

o https://technet.microsoft.com/es-es/library/cc732625.aspx
o https://technet.microsoft.com/es-es/library/cc725593.aspx
o https://technet.microsoft.com/es-es/library/dn473011
o https://technet.microsoft.com/es-es/library/cc731564(v=ws.10).aspx

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 209

UNIDAD

4
ADMINISTRACIN AVANZADA
DE DIRECTORIO ACTIVO
LOGRO DE LA UNIDAD DE APRENDIZAJE

Al trmino de la unidad, el alumno, configura Windows Server Core y el


Servidor RODC (Read-Only Domain Controller) para autenticar usuarios de
oficinas remotas sin poner en riesgo la seguridad del Active Directory.

TEMARIO

4.1 Tema 7 : Introduccin a Windows Server Core


4.1.1 : Fundamentos de Windows Server Core
4.1.2 : Fundamentos de Servidor de Archivos
4.1.3 : Implementacin de Server Core como Servidor de Archivos

4.2 Tema 8 : Servidor RODC


4.2.1 : Fundamentos del Servidor RODC
4.2.2 : Implementacin del Server Core como Servidor RODC
4.2.3 : Implementacin del Server Core como segundo controlador de
dominio

ACTIVIDADES PROPUESTAS

Los alumnos implementan el Server Core como Servidor de Archivos.


Los alumnos implementan el Server Core como Servidor RODC.
Los alumnos implementan el Server Core como segundo controlador de
dominio.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 210

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 211

4.1 INTRODUCCIN A WINDOWS SERVER CORE


4.1.1 Fundamentos de Windows Server Core

Server Core para Windows Server 2016 proporciona una instalacin mnima del
sistema operativo. Esto reduce los requerimientos de espacio de disco y convierte a
Server Core en un buen candidato para escenarios de oficinas remotas. Los archivos
de instalacin desatendida pueden ser usados para acelerar la implementacin de
Windows Server Core 2016. Esto reduce los requerimientos de mantenimiento y
reduce las oportunidades de ataque desde la red.

Al empezar la instalacin de Windows Server 2016, los administradores pueden elegir


la instalacin del servidor con la funcionalidad nica de Windows Server Core 2016.
Esto limita los roles que pueden funcionar en el servidor, pero puede mejorar la
seguridad y reduce la administracin. Este tipo de instalacin es llamada la instalacin
de Server Core.

Los beneficios que brinda el uso de Server Core son las siguientes:

Server Core requiere menos mantenimiento de software, as como la instalacin de


actualizaciones.
Server Core tiene menos ataques desde la red.
Administrar Server Core es mucho ms fcil.
Server Core usa menos espacio de disco para la instalacin.

Roles de Server Core

Para instalar y configurar los roles que brinda Server Core, se debe implementar
archivos desatendidos. Server Core brinda la plataforma ms estable, fcil y segura
para implementar los roles. Los siguientes roles disponibles para esta versin son los
siguientes:

Servicio de certificados de Active Directory


Servicios de dominio de Active Directory
Servidor DHCP
Servidor DNS
Servicios de archivo (incluido Administrador de recursos del servidor de archivos)
Active Directory Lightweight Directory Services (AD LDS)
Hyper-V
Servicios de impresin y documentos
Servicios de multimedia de transmission por secuencias
Servidor web (incluido un subconjunto de ASP.NET)
Servidor Windows Server Update
Servidor de Active Directory Rigths Management
Enrutamiento y acceso remoto

Conversin de una instalacin Server Core en una instalacin Servidor con GUI

La instalacin en Server Core nos permite instalar Windows Server 2016 sin una
interfaz grfica. Pese a ello, una novedad para esta versin es que la renovada
PowerShell y las mejoras introducidas en el sistema operativo nos permiten "mezclar"
lo mejor de los dos mundos, instalando solo algunas caractersticas de administracin

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 212

grfica en nuestro Server Core o dejando solo una interfaz de lnea de comandos que
reduce los recursos consumidos y la superficie de ataque del equipo.

Mientras que en versiones anteriores se deba decidir si se quera una "versin


completa" o una versin "Server Core" en el despligue del servidor, Windows Server
2016 nos permite instalar y desinstalar esta interfaz grfica como una caracterstica
ms de Windows, lo que nos permite, por ejemplo, desplegar el servidor con GUI,
hacer la primera configuracin del mismo a golpe de ratn y, cuando estemos
satisfechos con el resultado, desinstalar la interfaz grfica para obtener as los
beneficios de Server Core.

Para convertir a una instalacin Servidor con una GUI con Windows PowerShell, siga
los pasos del siguiente procedimiento.

1. Determine el nmero de ndice de una imagen de Servidor con una GUI (por
ejemplo,SERVERSTANDARD noSERVERDATACENTERCORE) con

Get-WindowsImage -ImagePath <path to wim>\install.wim.

2. Ejecute

Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell Restart


Source c:\mountdir\windows\winsxs

3. O bien, si desea usar Windows Update como el origen en lugar de un archivo WIM,
use este cmdlet de Windows PowerShell:

Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell Restart

4.1.2 Fundamentos de Servidor de Archivos

Un Servidor de Archivos es un tipo de servidor que almacena y distribuye diferentes


tipos de archivos informticos entre los clientes de una red corporativa.

Su funcin es permitir el acceso remoto de otros nodos a los archivos que almacena o
sobre los que tiene acceso.

Desde el punto de vista del cliente de un servidor de archivos, la localizacin de los


archivos compartidos es transparente, es decir, en la prctica no hay diferencias
perceptibles si un archivo est almacenado en un servidor de archivos remoto o en el
disco de la propia mquina.

4.1.3. Implementacin de Server Core como Servidor de Archivos

Esta seccin tiene como objetivo implementar un escenario donde el Server Core se
convierta en un Servidor de Archivos. En este escenario, se cuenta con el SERVER_B
que emular el trabajo de un router. Se contar con dos reas de red (LAN y WAN)
por lo que este equipo tendr dos interfaces de red, donde una de ellas estar
conectado a los clientes y la otra a los servidores.

La red LAN cuya direccin de red es 10.0.0.0/8 es el lugar donde estarn los usuarios
Web y FTP representados por el equipo CLIENTE. La red WAN de direccin de red
192.168.1.0/24 es el lugar donde se alojarn nuestros servidores (controlador de

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 213

dominio, servidor DNS, servidor Web, servidor FTP y Servidor CA) representados por
el SERVER_A y en otro equipo, el servidor de Archivos representado por el Server
Core.

Figura 20: Arquitectura de Red del Server Core como Servidor de Archivos

Configuracin de direccionamiento de red para los equipos

1. En el equipo CLIENTE, seleccione Panel de control/Redes e internet/Centro de


redes y recursos compartidos/Cambiar configuracin del adaptador. Luego,
haga clic derecho sobre el adaptador Ethernet (renombrado como LAN) y
seleccione Propiedades. Despus, haga clic en Protocolo de Internet versin 4
(TCP/IPv4) y configure el direccionamiento IP tal como se indica en la siguiente
imagen:

2. En el servidor SERVER_B, elija Control Panel/Network and internet/Network and


Sharing Center/Change adapter settings. Luego, haga clic derecho sobre el

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 214

adaptador Ethernet (renombrado como LAN) y seleccione Properties. Despus,


haga clic en Internet Protocol Versin 4 (TCP/IPv4) y configure el
direccionamiento IP tal como se indica en la siguiente imagen:

3. Adems, en el mismo servidor SERVER_B, ingrese Control Panel/Network and


internet/Network and Sharing Center/Change adapter settings. Luego, haga clic
derecho sobre el adaptador Ethernet 2 (renombrado como WAN) y seleccione
Properties. Despus, haga clic en Internet Protocol Versin 4 (TCP/IPv4) y
configure el direccionamiento IP tal como se indica en la siguiente imagen:

4. En el servidor SERVER_A, seleccione Control Panel/Network and


internet/Network and Sharing Center/Change adapter settings. Luego, haga clic
derecho sobre el adaptador Ethernet (renombrado como WAN) y seleccione
Properties. Despus, haga clic en Internet Protocol Versin 4 (TCP/IPv4) y
configure el direccionamiento IP tal como se indica en la siguiente imagen:

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 215

Cambiando de nombre de host al servidor Server Core

1. Para conocer el nombre actual del servidor mediante lnea de comando en el CMD,
ejecute lo siguiente:

C:\Users\Administrator>cd C:\Windows\system32
C:\Windows\System32>hostname

El comando hostname nos permite conocer el nombre actual de nuestro servidor el


cual precisamos para ejecutar nuestro prximo comando. En nuestro caso el servidor
se llama WIN-S7FL1G5HO5E.

2. Luego, para cambiar de nombre al servidor por el de SERVER_CORE, ejecute el


siguiente comando:

C:\Windows\System32>netdom renamecomputer WIN-S7FL1G5HO5E


/newname:SERVER_CORE

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 216

3. Luego en la consulta Do you want to proceed <Y or N>?, escriba Y y presione la


tecla ENTER.

Con la ejecucin de este comando, estar cambiando el nombre de nuestro servidor


por el nuevo SERVER_CORE.

4. Luego, ejecute el comando C:\Windows\System32>shutdown r t 0 para


reiniciar nuestro servidor.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 217

5. Luego de reiniciar el equipo, puede comprobar que el cambio de nombre de host


ha sido exitoso; para ello, vuelva a ejecutar el comando.

C:\Windows\System32>cd C:\Windows\system32
C:\Windows\System32>hostname

Configuracin del direccionamiento IP y DNS del servidor SERVER_CORE

1. Para visualizar la interfaces de red con la que se cuenta ejecute el comando:

C:\Windows\System32>netsh interface ipv4 show interfaces

Se puede visualizar que el nombre de nuestra interfaz es Ethernet.

2. Luego, para configurar el siguiente direccionamiento IP:

Direccin IP Mscara Puerta de Enlace DNS

192.168.1.90 255.255.255.0 192.168.1.1 192.168.1.100

Se debe ejecutar el siguiente commando:

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 218

C:\Windows\System32>netsh interface ipv4 set address Ethernet static


192.168.1.90 255.255.255.0 192.168.1.1

3. Para la configuracin del DNS se debe ejecutar el siguiente commando

C:\Windows\System32>netsh interface ipv4 set dns Ethernet static


192.168.1.100

4. Para verificar que la configuracin del direccionamiento IP es el correcto, ejecute el


comado:

C:\Windows\System32>ipconfig /all

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 219

5. Finalmente, deshabilite los servicios de firewall en SERVER_CORE; para ello,


ejecute el siguiente comando:

C:\Windows\System32>netsh advfirewall set allprofiles state off

Integracin del servidor SERVER_CORE al dominio cibertec.com

Para unir el SERVER_CORE al dominio, ejecute el siguiente comando:

C:\Windows\System32>netdom join %computername% /domain:cibertec.com


/userd:administrator /passwordd:*

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 220

Luego, despus, del mensaje Type the password associated with the domain
user escriba la contrasea del administrador del dominio el cual es P@ssword
(tenga en cuenta que al momento de escribirla esta no ser visible)

Luego, ejecute el comando C:\Windows\System32>shutdown r t 0 para


reiniciar el servidor y de ese modo se apliquen los cambios realizados.

Finalmente, observe que el servidor SERVER_CORE se ha unido al dominio de


forma satisfactoria.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 221

Compartir un directorio en la red cibertec.com

1. En la unidad C de SERVER_CORE, se crear una carpeta llamada Compartida y


dentro de ella dos carpetas: Finanzas y Contabilidad. Para ello, ejecute los
siguientes comandos:

C:\Users\Administrator.CIBERTEC>cd ..
C:\Users>cd ..
C:\>md Compartida
C:\> cd Compartida
C:\Compartida>md Finanzas
C:\Compartida>md Contabilidad

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 222

2. Adems, dentro de la carpeta Contabilidad, se crear un archivo de texto llamado


conta01.txt para ello, ejecute el comando:

C:\Compartida>cd Contabilidad
C:\Compartida\Contabilidad>copy con conta01.txt

3. Luego, si ejecuta el comando C:\>net share, se mostrar informacin acerca de


todos los recursos compartidos en el equipo local. Para cada recurso, se muestran
los nombres de dispositivo y un comentario descriptivo.

4. Luego, comparta la carpeta Finanzas para el usuario scamacho con el privilegio de


control total sobre dicha carpeta; para ello, ejecute el siguiente comando:

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 223

C:\>net share Finanzas=C:/Compartida/Finanzas /user:5 /grant:scamacho,full

5. Finalmente comparta la carpeta Contabilidad para el usuario sdiaz con el privilegio


de solo lectura sobre dicha carpeta; para ello, ejecute el siguiente comando:

C:\>net share Contabilidad=C:/Compartida/Contabilidad /user:5 /grant:sdiaz,read

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 224

Verificacin del correcto funcionamiento del Server Core como un Servidor de


Archivos

1. En el equipo CLIENTE, inicie sesin con el usuario scamacho.

2. Luego, de iniciar sesin escriba las teclas y en la ventana.

Ejecute escriba \\192.168.1.90 en Abrir, luego, haga clic en el botn Aceptar.

3. Luego, haga clic en la carpeta compartida llamada Finanzas.

4. Para corroborar que el usuario scamacho, tiene control total. Sobre ella, cree un
archivo de texto llamado PRUEBA.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 225

5. Ahora, inicie sesin con el usuario sdiaz.

6. Luego, inicie sesin escriba las teclas y en la ventana.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 226

Ejecutar escriba \\192.168.1.90 en Abrir, luego, haga clic en el botn Aceptar.

7. Luego, haga clic en la carpeta compartida llamada Contabilidad.

8. Finalmente, para corroborar que el usuario sdiaz, tiene permisos de solo lectura.
Sobre ella, intente eliminar (sin xito alguno) el archivo de texto llamado conta01.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 227

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 228

Resumen
1. Server Core es el escenario ideal para oficinas remotas ya que proporciona una
instalacin minima del sitema operativo, tambin reduce los requerimientos de
espacio de disco y reduce oportunidades de ataque desde la red.

2. En la versin Windows Server Core 2016, se puede interactuar pasando de una


interfaz de lnea de comandos a una interfaz grafica y viceversa mediante el uso de
Windows PowerShell.

3. Un Servidor de Archivos se encarga de almacenar y distribuir diferentes tipos de


archivos informticos entre los clientes de una red corporativa.

Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:

o https://msdn.microsoft.com/en-us/library/hh846325(v=vs.85).aspx
o https://windowserver.wordpress.com/2013/11/20/windows-server-2012-r2-
cambiar-entre-server-core-min-shell-server-with-gui-y-desktop-experience/
o https://technet.microsoft.com/es-es/library/jj574158.aspx
o https://technet.microsoft.com/es-es/library/hh831786.aspx

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 229

4.2 SERVIDOR RODC


4.2.1 Fundamentos del Servidor RODC

Para mejorar el tiempo de respuesta de autentificacin, algunas veces es deseable


ubicar un controlador de dominio en las oficinas sucursales o en las redes que estn
en el lmite del sitio. Las oficinas sucursales o las redes que estn en el lmite del sitio
algunas veces carecen de seguridad. El controlador de dominio de solo lectura, en
ingls Read-Only Domain Controller (RODC) est diseado para escenarios donde un
controlador de dominio necesita ser ubicado en un ambiente con baja seguridad. Un
RODC no almacena ninguna contrasea por defecto. Si el RODC est comprometido,
la intrusin en la red usando la informacin obtenida desde el RODC es,
significativamente, pequea. Debido que las oficinas sucursales algunas veces tienen
pocos controles de acceso, RODC puede ser una eleccin ms segura para ubicar un
controlador de dominio en las oficinas sucursales.

Figura 21: Perimetros de red con controladores de dominio


Fuente.- Tomado de https://technet.microsoft.com/es-es/library/cc753348(v=ws.10).aspx

RODCs almacena copias de informacin de slo lectura del directorio activo usando
replicacin unidireccional para el directorio activo del sistema de replicacin de
archivo.

Caracteristicas del uso de RODC

El primer es evidente por su nombre que incluye Read Only (Slo Lectura), lo cual
implica que no se pueden hacer cambios en la copia de la base de Active Directory
local al mismo.

E inclusive si alguien de alguna forma pudiera alterar la base de Active Directory, estos
cambios nunca se propagarn al resto, pues un RODC tiene slo replicacin entrante;
nunca replicarn otros Controladores de Dominio desde un RODC.

Otra caracterstica particular, es que no tiene replicadas las contraseas de todos los
usuarios, tiene solamente las que el administrador especficamente permita que se
repliquen.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 230

Y la ltima caracterstica principal, es que se puede delegar la administracin e


instalacin de este Controlador de Dominio en particular a un usuario normal. Si fuera
un Controlador de Dominio normal la nica forma sera teniendo un administrador de
Dominio, en este caso no es necesario

Base de Datos del directorio activo de solo lectura

Los controladores de dominio de slo de lectura son ideales para ser ubicardos en
lugares donde exista un alto riesgo de exposicin a ataques externos. Esto,
tpicamente, incluye los lmites de la red perimetral, conocida como DMZ, o algn
ambiente donde la seguridad es muy baja son los lugares ms adecuados para
implementar un RODC.

Los servidores de aplicacin, como son Internet Information Services (IIS) y servidores
de mensajera como lo es Microsoft Exchange, algunas veces estn ubicados en el
lmite de la red perimetral. Las aplicaciones que ejecuta IIS algunas veces requiere el
servicio del directorio para autentificacin, el servidor Exchange siempre requiere del
Directorio Activo, pero blindar el acceso de estos servidores a los controladores de
escritura representa un riesgo a la seguridad. Los RODCs son ideales para estos
escenarios.

Replicacin Unidireccional del controlador de dominio de solo lectura

Dado que no se escriben cambios directamente en el RODC y, por lo tanto, no se


originan de manera local, no es necesario que los controladores de dominio grabables,
que son asociados de replicacin, extraigan los cambios del RODC. Esto significa que
cualquier cambio o dao que un usuario malintencionado pueda realizar en las
ubicaciones de la sucursal no se puede replicar desde el RODC al resto del bosque.

4.2.2 Implementacin del Server Core como Servidor RODC

El objetivo de esta seccin es implementar un escenario donde el Server Core se


convierta en un Servidor RODC. En este escenario, se cuenta con el SERVER_B que
emular el trabajo de un router. Contaremos con dos sitios de Active Directory (LIMA y
TRUJILLO) por lo que este equipo tendr dos interfaces de red, donde una de ellas
estar conectado a la sede principal de la organizacin (LIMA) y la otra a la sede
sucursal (TRUJILLO).

La sucursal cuya direccin de red es 10.0.0.0/8 es el lugar donde estar el servidor


RODC y un equipo llamado CLIENTE TRUJ que desear unirse al dominio. La sede
principal de direccin de red 192.168.1.0/24 es el lugar donde se alojarn nuestros
servidores (controlador de dominio, servidor DNS, servidor Web, servidor FTP y
servidor CA) representados por el SERVER_A.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 231

Figura 22: Arquitectura de Red del Server Core como Servidor RODC

Configuracin de direccionamiento de red para los equipos

1. En el Servidor RODC, configure el direccionamiento IP tal como se indica en la


siguiente imagen:

Direccin IP Mscara Puerta de Enlace DNS


10.0.0.90 255.0.0.0 10.0.0.1 192.168.1.100

Para cambiar de nombre de host, configure IP y DNS y deshabilte el firewall del


Server Core, revise las secciones Cambiando de nombre de host al servidor
Server Core y Configuracin del direccionamiento IP y DNS del servidor
SERVER_CORE que se encuentra en las pginas 215 y 217 respectivamente.

2. En el servidor SERVER_B, seleccione Control Panel/Network and


internet/Network and Sharing Center/Change adapter settings. Luego, haga clic
derecho sobre el adaptador Ethernet (renombrado como TRUJILLO) y seleccione
Properties. Despus, haga clic en Internet Protocol Versin 4 (TCP/IPv4) y
configure el direccionamiento IP tal como se indica en la siguiente imagen:

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 232

3. Adems, en el mismo servidor SERVER_B, elija Control Panel/Network and


internet/Network and Sharing Center/Change adapter settings. Luego, haga clic
derecho sobre el adaptador Ethernet 2 (renombrado como LIMA) y seleccione
Properties. Despus, haga clic en Internet Protocol Versin 4 (TCP/IPv4) y
configure el direccionamiento IP tal como se indica en la siguiente imagen:

4. En el servidor SERVER_A, seleccione Control Panel/Network and


internet/Network and Sharing Center/Change adapter settings. Luego, haga clic
derecho sobre el adaptador Ethernet (renombrado como LIMA) y seleccione
Properties. Despus, haga clic en Internet Protocol Versin 4 (TCP/IPv4) y
configure el direccionamiento IP tal como se indica en la siguiente imagen:

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 233

Configuracin de los Sites en Active Directory

1. Abra Server Manager del SERVER_A y en la pestaa Tools, haga clic a la opcin
Active Directory Sites and Services.

2. Para renombrar el sitio principal, en la ventana Active Directory Sites and


Services, despliegue la carpeta Sites y dentro de la misma, haga clic derecho
sobre Default-First-Site-Name y seleccione la opcin Rename.

3. Renombre el sitio principal como LIMA.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 234

4. Luego, para asignar una direccin de red al sitio LIMA, haga clic derecho sobre la
carpeta Subnet y seleccione la opcin New Subnet.

5. En la ventana New Object Subnet, escriba 192.168.1.0/24 en Prefix y en Select


a site object for this prefix, seleccione LIMA, luego, haga clic en OK.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 235

6. Luego, para la creacin del sitio TRUJILLO, haga clic derecho sobre la carpeta
Sites y seleccione la opcin New Site.

7. En la ventana New Object Site, escriba TRUJILLO en Name y seleccione como


objeto de vnculo de sitios DEFAULTIPSITELINK, luego, haga clic en OK.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 236

8. Luego, haga clic en OK.

9. Luego, para asignar una direccin de red al nuevo sitio creado (TRUJILLO), haga
clic derecho sobre la carpeta Subnet y seleccione la opcin New Subnet.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 237

10. En la ventana New Object Subnet, escriba 10.0.0.0/8 en Prefix y en Select a


site object for this prefix, seleccione TRUJILLO, luego, haga clic en OK.

11. Luego, para renombrar el objeto de vnculo de sitios primero, despliegue la carpeta
Inter-Site Transports y haga clic en la carpeta IP. Despus, haga clic derecho
sobre DEFAULTIPSITELINK y seleccione la opcin Rename.

12. Renombre el el objeto de vnculo de sitios como LIMA-TRUJILLO.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 238

Creacin de una cuenta para RODC en AD DS

En esta seccin, el asistente registrar todos los datos del RODC que se van a
almacenar en la base de datos distribuida de ActiveDirectory, incluido el nombre de la
cuenta del controlador de dominio de slo lectura del RODC y el sitio en el que se
ubicar. Esta fase se debe realizarla con un miembro del grupo Admins. del dominio
cibertec.com. Tenga en cuenta que el administrador que crea la cuenta RODC tambin
puede especificar en ese momento qu usuarios o grupos pueden completar la
siguiente fase de la instalacin.

1. Abra Server Manager del SERVER_A y en la pestaa Tools, haga clic a la opcin
Active Directory Users and Computers.

2. En la ventana Active Directory Users and Computers, despliegue el objeto


cibertec.com y dentro de l haga clic derecho sobre la carpeta Domain
Controllers y seleccione la opcin Pre-create Read-only Domain Controller
account.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 239

3. En la ventana Welcome to the Active Directory Domain Services Installation


Wizard, seleccione Use advanced mode installation y haga clic en Next.

4. En la ventana Network Credentials, seleccione la opcin My current logged onn


credentials (CIBERTEC\Administrator) en donde dice Specify the account
credentials to use to perform the installation, luego, haga clic en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 240

5. En la ventana Specify the Computer Name, escriba RODC en Computer name,


luego, haga clic en Next.

6. En la ventana Select a Site, seleccione TRUJILLO en Sites, luego, haga clic en


Next.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 241

7. Luego de esperar algunos minutos, en la ventana Additional Domain Controller


Options, seleccione las opciones DNS Server y Global catalog y haga clic en
Next.

8. En la ventana Specify the Password Replication Policy, deje las configuraciones


por defecto y haga clic en Next.

9. En la ventana Delegation of RODC installation and Administration, haga clic en


Set.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 242

10. En la ventana Select User or Group, escoja al usuario Administrator ( en la


practica real se debe asignar un usuario de la sucursal) y haga clic en OK.

11. Luego, para continuar haga clic en Next

12. En la ventana Summary, se vizualiza un resumen de todas las opciones elegidas


para la creacin de la cuenta RODC, luego, haga clic en Next.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 243

13. Luego, en la ventana Completing the Active Directory Domain Services


Installation Wizard culmine haciendo clic en Finish.

14. Por ltimo, para verificar que la creacin de la cuenta para RODC en AD DS ha
sido exitosa abra las consolas de Active Directory Sites and Services y Active
Directory Users and Computers y observe que figura el objeto RODC.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 244

Instalacin del servidor RODC en Server Core

Durante esta segunda fase, se instalar el rol AD DS en el servidor que se convertir


en el RODC y se conecta al servidor a la cuenta de dominio previamente creada para
l. Durante esta fase, todos los datos de AD DS que residen localmente, como la base
de datos o los archivos de registro, se crean en el propio RODC.

Tenga en cuenta que el servidor que ser el RODC no debe unirse al dominio antes de
intentar asociarlo a la cuenta RODC. Como parte de la instalacin, el asistente detecta
de forma automtica si el nombre del servidor coincide con los nombres de las cuentas
RODC creadas anticipadamente para el dominio. Cuando el asistente encuentra un
nombre de cuenta coincidente, solicita al usuario que la use para completar la
instalacin del RODC.

Para instalar un RODC en una instalacin Server Core de Windows Server 2016, se
debe realizar una instalacin desatendida de AD DS. En el procedimiento que se
describe a continuacin se incluyen los parmetros que se pueden especificar en el
archivo de respuesta durante una instalacin desatendida. Tambin puede especificar
estos parmetros en la lnea de comandos si usa el comando dcpromo /unattend.

1. En el Servidor RODC, cree un archivo de instalacin desatendita para la instalacin


del rol AD DS; para ello, abra un bloc de notas ejecuando el comando
C:\Windows\System32>notepad en el CMD

2. Luego, copie en el archivo de texto los siguientes comandos:

[DCInstall]
CriticalReplicationOnly=NO
ReplicaDomainDNSName=cibertec.com
userDomain=cibertec.com
userName=cibertec\Administrator
Password=P@ssw0rd
DatabasePath=c:\windows\ntds
LogPath=c:\windows\ntds
SYSVOLPath=c:\windows\SYSVOL
safemodeAdminPassword=P@ssw0rd
RebootOnCompletion=Yes

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 245

3. Luego, guarde el archivo de texto con el nombre rodc.txt en el directorio


C:\Windows\System32.

4. Luego, en el CMD, ejecute el siguiente comando:

C:\Windows\System32>dcpromo /useexistingaccount:attach
/unattend:c:\Windows\System32\rodc.txt

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 246

5. Espere unos minutos.

6. Por ltimo, en la consola de Active Directory Users and Computers del


SERVER_A, puede ver que el Servidor RODC ha sido instalado de forma exitosa.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 247

Verificacin del correcto funcionamiento del Server Core como un Servidor


RODC

1. Para esta prueba, una el equipo CLIENT-TRUJ al dominio cibertec.com usando


como direccin de DNS el IP del Servidor RODC; para ello, realice la siguiente
configuracin de direccionamiento IP tal como se muestra en la imagen:

2. En el escritorio del equipo CLIENTE TRUJ, haga clic derecho sobre Este equipo y
seleccione la opcin Propiedades.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 248

3. En la ventana Sistema, haga clic en Cambiar configuracin.

4. Ahora en la ventana Propiedades del sistema, haga clic en el botn Cambiar.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 249

5. Luego, en la ventana Cambios en el dominio o el nombre del equipo, escriba en


la opcin Dominio el nombre del dominio cibertec.com y haga clic en Aceptar.

6. En la ventana Seguridad de Windows, brinde las credencianles del administrador


del dominio cibertec.com por lo que en el primer casillero escriba como usuario
Administrator y en el segundo, la contrasea P@ssw0rd; luego, haga clic en
Aceptar.

7. Luego, en la ventana de bienvenida al dominio cibertec.com, haga clic en Aceptar,


luego, reinicie equipo para que se efecten los cambios realizados en el sistema.

8. Luego, abra Server Manager del SERVER_B y en la pestaa Tools, haga doble
clic a la opcin Active Directory Users and Computers.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 250

9. Finalmente, en la ventana Active Directory Users and Computers puede


visualizar en la carpeta Computers al equipo CLIENTE TRUJ.

4.2.3 Implementacin del Server Core como segundo controlador de


dominio

El objetivo de esta seccin es implementar un escenario donde el Server Core se


convierta en un segundo controlador de dominio. En este escenario, se cuenta con el
SERVER_B que emular el trabajo de un router. Contaremos en esta ocasin con dos
sitios de Active Directory (LIMA y AREQUIPA), por lo que este equipo tendr dos
interfaces de red, donde una de ellas estar conectado a la sede principal de la
organizacin (LIMA) y la otra a la sede sucursal (AREQUIPA).

La sucursal cuya direccin de red es 10.0.0.0/8 es el lugar donde estar el Server


Core como un segundo controlador de dominio. La sede principal de direccin de red
192.168.1.0/24 es el lugar donde se alojarn nuestros servidores (controlador de
dominio, servidor DNS, servidor Web, servidor FTP y servidor CA) representados por
el SERVER_A.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 251

Figura 23: Arquitectura de Red del Server Core como controlador de dominio secundario

Configuracin de direccionamiento de red para los equipos

1. En el Server Core, configure el direccionamiento IP tal como se indica en la


siguiente imagen:

Direccin IP Mscara Puerta de Enlace DNS


10.0.0.80 255.0.0.0 10.0.0.1 192.168.1.100

Para cambiar de nombre de host, configure IP y DNS y deshabilte el firewall del


Server Core, revise las secciones Cambiando de nombre de host al servidor
Server Core y Configuracin del direccionamiento IP y DNS del servidor
SERVER_CORE que se encuentra en las pginas 215 y 217 respectivamente.

2. En el servidor SERVER_B, elija Control Panel/Network and internet/Network and


Sharing Center/Change adapter settings. Luego, haga clic derecho sobre el
adaptador Ethernet (renombrado como AREQUIPA) y seleccione Properties.
Despus, haga clic en Internet Protocol Versin 4 (TCP/IPv4) y configure el
direccionamiento IP tal como se indica en la siguiente imagen:

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 252

3. Adems, en el mismo servidor SERVER_B, seleccione Control Panel/Network


and internet/Network and Sharing Center/Change adapter settings. Luego,
haga clic derecho sobre el adaptador Ethernet 2 (renombrado como LIMA) y
seleccione Properties. Despus, haga clic en Internet Protocol Versin 4
(TCP/IPv4) y configure el direccionamiento IP tal como se indica en la siguiente
imagen:

4. En el servidor SERVER_A, elija Control Panel/Network and internet/Network and


Sharing Center/Change adapter settings. Luego, haga clic derecho sobre el
adaptador Ethernet (renombrado como LIMA) y seleccione Properties. Despus,
haga clic en Internet Protocol Versin 4 (TCP/IPv4) y configure el
direccionamiento IP tal como se indica en la siguiente imagen:

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 253

Configuracin de los Sites en Active Directory

1. Abra Server Manager del SERVER_A y en la pestaa Tools, haga clic a la opcin
Active Directory Sites and Services.

2. Para renombrar el sitio principal, en la ventana Active Directory Sites and


Services despliegue la carpeta Sites y dentro de la misma, haga clic derecho sobre
Default-First-Site-Name y seleccione la opcin Rename.

3. Renombre el sitio principal como LIMA.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 254

4. Luego, para asignar una direccin de red al sitio LIMA, haga clic derecho sobre la
carpeta Subnet y seleccione la opcin New Subnet.

5. En la ventana New Object Subnet, escriba 192.168.1.0/24 en Prefix y en Select


a site object for this prefix, seleccione LIMA, luego, haga clic en OK.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 255

6. Para la creacin de un nuevo vnculo de sitio, haga clic derecho sobre la carpeta IP
ubicada dentro de la carpeta Sites y seleccione la opcin New Site Link.

7. En la ventana New Object Site Link, escriba LIMA-AREQUIPA en Name y haga


clic en OK.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 256

8. Luego, para la creacin del sitio AREQUIPA, haga clic derecho sobre la carpeta
Sites y seleccione la opcin New Site.

9. En la ventana New Object Site, escriba AREQUIPA en Name y seleccione como


objeto de vinculo de sitios LIMA-AREQUIPA, luego, haga clic en OK.

10. Luego, haga clic en OK.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 257

11. Luego, para asignar una direccin de red al nuevo sitio creado (AREQUIPA), haga
clic derecho sobre la carpeta Subnet y seleccione la opcin New Subnet.

12. En la ventana New Object Subnet, escriba 10.0.0.0/8 en Prefix y en Select a


site object for this prefix, seleccione AREQUIPA, luego, haga clic en OK.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 258

13. Luego, haga clic en la carpeta IP. Despus, haga clic derecho sobre el vinculo de
sitio LIMA-AREQUIPA y seleccione la opcin Properties.

14. Por ltimo, en la ventana LIMA-AREQUIPA Properties, escoja los sitios LIMA y
AREQUIPA para este vinculo y haga clic en Apply y luego, en OK.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 259

Instalacin de un controlador de dominio secundario en Server Core

En esta seccin, instalar el rol AD DS en el servidor SERVER_CORE mediante el uso


de linea de comandos de Windows PowerShell.

1. En el servidor SERVER_CORE, inserte Ctrl+Alt+Supr, luego, seleccione la opcin


Task Manager.

2. En la ventana Task Manager, haga clic en File y seleccione la opcin Run new
task.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 260

3. En la ventana Create a new task escriba en Open el comando powershell.exe y


haga clic en OK

4. De esa manera, est listo para usar Windows PowerShell.

5. En Windows PowerShell, ejecute el comando: PS C:\Windows\system32>


Install-WindowsFeature Name AD-Domain-Services ComputerName
SERVER_CORE.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 261

6. Luego, promocione el servidor SERVER_CORE como controlador de dominio


secundario para el sitio AREQUIPA; para ello, ejecute el comando:

PS C:\Windows\system32> Invoke-Command ComputerName


SERVER_CORE ScriptBlock {Import-Module ADDSDeployment;Install-
ADDSDomainController NoGlobalCatalog:$False
CreateDNSDelegation:$False Credential (Get-Credential)
CriticalReplicationOnly:$False DatabasePath C:\Windows\NTDS
DomainName cibertec.com InstallDNS:$True LogPath
C:\Windows\NTDS NoRebootOnCompletion:$False SiteName
AREQUIPA SysVolPath C:\Windows\SysVol }

7. En la ventana Windows PowerShell Credential Reques, escriba las credenciales


del usuario Administrator (User name: cibertec\Administrator y Password:
P@ssw0rd)

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 262

8. Luego, en SafeModeAdministratorPassword, escriba la contrasea P@ssw0rd

9. Nuevamente en Confirm SafeModeAdministratorPassword, vuelva a escribir la


contrasea P@ssw0rd

10. Luego, en la consulta Do you want to continue with this operation?, escriba Y.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 263

11. Espere un tiempo hasta que se concluya la instalacin.

12. Luego, de reiniciado el equipo, ejecute en Windows PowerShell el comando PS


C:\Windows\system32> GET-WINDOWSFEATURE para ver el estado del rol AD
DS.

La columna Install State nos muestra la disponibilidad del componente, que puede
ser:

Installed: El componente est instalado y activo


Available: El componente no est instalado, pero sin embargo estn disponibles en
la instalacin los binarios necesarios si se desea agregarlo
Removed: El componente no est instalado, y en este caso, no estn disponibles
en la instalacin los binarios necesarios. En caso de querer instalarlo, deber
proveer una fuente externa.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 264

Puede observar que el componente que se desea est marcado como Installed, o
sea que el rol AD DS se encuentra instalado y activo.

13. Por ultimo, para verificar que la implementacin del servidor SERVER_CORE ha
sido exitosa, abra las consolas de Active Directory Sites and Services y Active
Directory Users and Computers y observe que figura el objeto SERVER_CORE.

Verificacin del correcto funcionamiento del Server Core como un controlador


de dominio secundario

Cuando se cuenta con un controlador de dominio secundario que no es RODC la


replicacin es bidireccional17, para comprobar ello, se crear un usuario en el servidor
SERVER_CORE y este objeto se replicar en el controlador de dominio principal.

17
La replicacin sirve para que el servicio de directorio Active Directory mantenga rplicas de
los datos de directorio en mltiples controladores de dominio y, de este modo, se garantiza la
disponibilidad y el rendimiento del directorio para todos los usuarios.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 265

1. En el CMD del servidor SERVER_CORE ejecute el comando net user /add ntorres
P@ssw0rd

2. La replicacin entre ambos controladores es de 15 minutos, pero si quiere puede


forzarlo. Para ello, en SERVER_A, abra la consola de Active Directory Sites and
Services; luego, haga clic en el objeto NTDS Settings de cada sitio. Despus,
haga clic derecho sobre automatically generated y seleccione la opcin Replicate
Now.

Primero replique de LIMA a AREQUIPA.

3. Despus, replique de AREQUIPA a LIMA.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 266

Por ltimo, abra la consola de Active Directory Users and Computers y observe
que figura en la carpeta Users el usuario ntorres, por lo que se tiene que la
replicacin entre ambos controladores ha sido exitosa.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 267

Resumen
1. El controlador de dominio de solo lectura (RODC) est diseado para sitios donde
no se puede garantizar una seguridad total.

2. Entre las caractersticas de RODC puede precisar el hecho que no se pueden hacer
cambios en la copia de la base de Active Directory local al mismo debido a que
RODC solo tiene replicacin entrante, otra caraterstica es que se puede delegar la
administracin e instalacin de este Controlador de Dominio en particular a un
usuario normal.

3. Las contraseas no son almacenadas en el servidor RODC.

Puede revisar los siguientes enlaces para ampliar los conceptos vistos en esta unidad:

o https://technet.microsoft.com/es-es/library/cc755058(v=ws.10).aspx
o https://technet.microsoft.com/es-
es/library/cc753223(v=ws.10).aspx#bkmk_unireplication
o https://technet.microsoft.com/es-es/library/cc754629(v=ws.10).aspx
o https://technet.microsoft.com/es-pe/library/jj574152.aspx
o https://technet.microsoft.com/es-
es/library/cc754629(v=ws.10).aspx#bkmk_installSrvFound

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 268

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 269

UNIDAD

5
SERVICIOS DE ESCRITORIO
REMOTO Y VIRTUALIZACIN
LOGRO DE LA UNIDAD DE APRENDIZAJE

Al trmino de la unidad, el alumno configura Remote Desktop Services (RDS)


para brindar acceso remoto a las aplicaciones e implementa la virtualizacin de
servidores mediante el rol Hyper-V.

TEMARIO

5.1 Tema 9 : Remote Desktop Services


5.1.1 : Fundamentos de Remote Desktop Services
5.1.2 : Implementacin de Remote Desktop Services

ACTIVIDADES PROPUESTAS

Los alumnos brindan acceso remoto a las aplicaciones mediante el uso de


RDS.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 270

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 271

5.1. REMOTE DESKTOP SERVICES


5.1.1 Fundamentos de Remote Desktop Services

Remote Desktop Services (RDS)18, conocidos como Servicios de Terminal Server en


la plataforma Windows Server 2016 y versiones anteriores, es un rol que proporciona
tecnologas para permitir a los usuarios conectarse a escritorios virtuales, programas
Remote App y escritorios basados en sesin. Con RDS los usuarios pueden tener
acceso a conexiones remotas desde una red corporativa o desde internet.

Qu es Remote App?

RemoteApp permite que los programas a los que se obtiene acceso de forma remota
mediante Servicios de Escritorio remoto aparezcan como si se ejecutaran en el equipo
local del usuario final. Estos programas se conocen como Programas RemoteApp. En
lugar de presentarse al usuario en el escritorio del servidor de Host de sesin de
Escritorio remoto, el Programa RemoteApp se integra en el escritorio del cliente.

El Programa RemoteApp se ejecuta en su propia ventana ajustable, se puede arrastrar


de un monitor a otro y dispone de una entrada propia en la barra de tareas. Si un
usuario ejecuta ms de un Programa RemoteApp en el mismo servidor de Host de
sesin de Escritorio remoto, elPrograma RemoteApp compartir la misma sesin de
Servicios de Escritorio remoto.

Servicios que ofrece el rol Remote Desktop Services

En Windows Server 2016, el rol RDS consta de los siguientes servicios de rol:

RD Virtualization Host
El Host de virtualizacin de Escritorio remoto (Host de virtualizacin de RD) se integra
con Hyper-V para implementar colecciones de escritorios virtuales personales o
agrupados dentro de la organizacin.

RD Session Host
Host de sesin de Escritorio remoto permite a un servidor hospedar programas
RemoteApp o escritorios basados en sesin. Los usuarios pueden conectarse a
servidores host de sesin de Escritorio remoto de una coleccin de sesiones para
ejecutar programas, guardar archivos y usar recursos de esos servidores.

RD Connection Broker
Agente de conexin a Escritorio remoto permite a los usuarios volver a conectarse a
sus escritorios virtuales, programas RemoteApp y escritorios basados en sesin
existentes. Tambien, permite distribuir la carga uniformemente entre los servidores
host de sesin de Escritorio remoto de una coleccin de sesiones o de los escritorios
virtuales agrupados de una coleccin de escritorios virtuales agrupados. Por ltimo,
este agente proporciona acceso a los escritorios virtuales de una coleccin de
escritorios virtuales.

RD Web Access

18
Servicios de Escritorio remoto en espaol

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 272

Acceso web de Escritorio remoto permite a los usuarios obtener acceso a Conexin de
RemoteApp y Escritorio mediante el men Inicio en un equipo que ejecute Windows 10
o Windows 8, o a travs de un explorador web. Conexin de RemoteApp y Escritorio
proporciona una vista personalizada de los programas RemoteApp y los escritorios
basados en sesin de una coleccin de sesiones, y los programas RemoteApp y los
escritorios virtuales de una coleccin de escritorios virtuales.

RD Licensing
Administracin de licencias de Escritorio remoto administra las licencias necesarias
para conectarse a un servidor host de sesin de Escritorio remoto o a un escritorio
virtual. Se utiliza Administracin de licencias de Escritorio remoto para instalar y emitir
licencias, y para realizar un seguimiento de su disponibilidad.

RD Gateway
Puerta de enlace de Escritorio remoto permite a los usuarios autorizados conectarse a
escritorios virtuales, programas RemoteApp y escritorios basados en sesin de una
red corporativa interna desde cualquier dispositivo conectado a Internet.

Tipos de implementacin de RDS

Para implementar Remote Desktop Services, ahora se dispone de dos opciones


guiadas: Quick Start (Comienzo Rpido) y Standard Deployment (Implementacin
Standard). El primero instala todos los servicios de rol necesarios de RDS en un
equipo para permitirle instalarlos y configurarlos en un entorno de prueba. Mientras
que el segundo permite implementar de manera flexible los servicios de rol de
Servicios de Escritorio remoto en diferentes servidores.

5.1.2 Implementacin de Remote Desktop Services

Esta seccin tiene como objetivo implementar un escenario donde podamos contar
con los Servicios de Escritorio remoto (su implementacin ser del tipo Quick Start).
En este escenario, se cuenta con el SERVER_B que emular el trabajo de un router.
Contaremos con dos reas de red (LAN y WAN) por lo que este equipo tendr dos
interfaces de red, donde una de ellas estar conectado a los clientes y la otra a los
servidores.

La red LAN cuya direccin de red es 10.0.0.0/8 es el lugar donde estarn los usuarios
Web, FTP y RDS representados por el equipo CLIENTE. La red WAN de direccin de
red 192.168.1.0/24 es el lugar donde se alojarn nuestros servidores (controlador de
dominio, servidor DNS, servidor Web, servidor FTP, Servidor CA y Servidor RDS)
representados por el SERVER_A.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 273

Figura 24: Arquitectura de Red de RDS

Configuracin de direccionamiento de red para los equipos

1. En el equipo CLIENTE, seleccione Panel de control/Redes e internet/Centro de


redes y recursos compartidos/Cambiar configuracin del adaptador. Luego,
haga clic derecho sobre el adaptador Ethernet (renombrado como LAN) y
seleccione Propiedades. Despus, haga clic en Protocolo de Internet versin 4
(TCP/IPv4) y configure el direccionamiento IP tal como se indica en la siguiente
imagen:

2. En el servidor SERVER_B, elija Control Panel/Network and internet/Network and


Sharing Center/Change adapter settings. Luego, haga clic derecho sobre el
adaptador Ethernet (renombrado como LAN) y seleccione Properties. Despus,
haga clic en Internet Protocol Versin 4 (TCP/IPv4) y configure el
direccionamiento IP tal como se indica en la siguiente imagen:

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 274

3. Adems, en el mismo servidor SERVER_B, seleccione Control Panel/Network


and internet/Network and Sharing Center/Change adapter settings. Luego,
haga clic derecho sobre el adaptador Ethernet 2 (renombrado como WAN) y
seleccione Properties. Despus, haga clic en Internet Protocol Versin 4
(TCP/IPv4) y configure el direccionamiento IP tal como se indica en la siguiente
imagen:

4. En el servidor SERVER_A, elija Control Panel/Network and internet/Network and


Sharing Center/Change adapter settings. Luego, haga clic derecho sobre el
adaptador Ethernet (renombrado como WAN) y seleccione Properties. Despus,
haga clic en Internet Protocol Versin 4 (TCP/IPv4) y configure el
direccionamiento IP tal como se indica en la siguiente imagen:

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 275

Instalacin del rol Remote Desktop Services (Quick Start)

1. Inicie Server Manager del SERVER_A y haga clic en Add roles and features.

2. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 276

3. En la ventana Select installation type, seleccione la opcin Remote Desktop


Services intallation. Luego, haga clic en Next.

4. En la ventana Select deployment type, seleccione la opcin Quick Start y haga


clic en Next.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 277

5. En la ventana Select deployment scenario, nos permiten elegir si se har una


implementacin de escritorios con mquinas virtuales, o basada en sesiones. En
este caso, se elegir la segunda opcin Session-based desktop deployment y
haga clic en Next.

6. En la ventana Select a server, se indica que la opcin Quick Start instalar los
servicios de rol RD Connection Broker, RD Web Access y RD Session Host enel
mismo servidor (SERVER_A). Luego, haga clic en Next.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 278

7. En la ventana Corfirm selections, se muestra un resumen de lo que se ha


seleccionado para la instalacin, habilite la opcin Restart the destination server
automatically if required y luego, haga clic en Install.

8. Espere algunos minutos la instalacin de los servicios requeridos.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 279

9. Luego, se reinicia el equipo una vez y contina la instalacin.

10. Luego de que ha concluido la instalacin, haga clic en Close, y de esa manera, ya
se tiene instalado de forma exitosa el rol Remote Desktop Services.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 280

Publicacin de un programa RemoteApp

1. Abra Server Manager del SERVER_A y haga clic en Remote Desktop Services
ubicado en el panel de la izquierda de la administracin.

2. Luego, haga clic en QuickSessionCollections.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 281

3. En la ventana Select RemoteApp programs, seleccione todas las aplicaciones


que se quieran publicar; por ejemplo, en este caso, seleccione la aplicacin
Defragment and Optimize Drives. Luego, haga clic en Next.

4. Luego, en la ventana Confirmation, haga clic en Publish.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 282

5. En la ventana Completion, se indica que la aplicacin seleccionada ha sido


publicada de forma exitosa. Haga clic en Close.

6. Finalmente, puede observar todas las aplicaciones publicadas con las que se
cuentan y que son visibles en RD Web Access.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC


ADMINISTRACIN DE SISTEMAS OPERATIVOS 283

CIBERTEC CARRERA DE REDES Y COMUNICACIONES


ADMINISTRACIN DE SISTEMAS OPERATIVOS 284

Resumen
1. Remote Desktop Services (RDS) , conocido como Servicios de Terminal Server en
la plataforma Windows Server 2016 y versiones anteriores, es un rol que
proporciona tecnologas para permitir a los usuarios conectarse a escritorios
virtuales, programas Remote App y escritorios basados en sesin.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC